Безопасность

Работаю в конторе IT-толка линукс-админом, заодно поддерживаю виндовые десктопы в местном филиале.

Сдох вчера у одного сотрудника винт. Тихо матерюсь на затраты времени на установку юзер-френдли продукта MS. Лезу на файлосвалку за дистрибутивом очередной проги и обнаруживаю левую рабочую группу Programm. Офигеваю. В группе — один-единственный комп, обозначенный как Mohamed (Ibrahim-######). Охреневаю.

Первая мысль: сломали вайфай. Свитчи тут простенькие, определить, на каком он порту, крайне трудно. Да и что это даст: через три точки работает десяток человек. Срочно рублю на шлюзе злодея по MAC, чтобы гадости от нашего имени творить не стал. Запускаю nmap с OS detection. Говорит: либо WinXP, либо Win2003. Железка — Asus какой-то. Обдумываем с шефом, что это может быть.

Заходит «безлошадный». По лицу вижу: с проблемой. «Что, инет отрубился?» — «Да».

Вспоминаю, что он сегодня взял на работу свой недобук асусовский. Не выдерживаю. Высказываю всё, что я думаю о людях, которые ставят на своё железо непонятный софт и даже не утруждают себя правкой хостнейма. Он, оказывается, снёс имевшегося там линуха и развернул готовый образ системы, ничего не изменив. Скорее бы BSA до домашних пользователей у нас добралась…

Работаю в Штатах, в жутко секретном месте: сканер отпечатков на входной двери, сетчатки в особо важных местах, все дела. Но везде есть панелька для набора цифрового кода для разблокировки.

Сидела на последнем месяце перед уходом в отпуск по беременности. Работы не было. Скучала: инета-то нет в целях безопасности… Заинтересовалась, что за пакеты гуляют по нашей сети.

Не буду грузить особенностями системы, важен лишь факт: каждый пульт в случае неправомерного доступа отсылал остальным пультам таймстемп и свой ID. Если на пульт приходил непонятный пакет, он так же бил тревогу во все концы и блокировался. Так как пульты айпишников не имеют, только MAC, послать им что-нибудь случайно очень трудно.

В общем, началась у директора война с замком: тот сам по себе стал блокироваться. А я — ловить пакеты и смотреть, что и как там устроено. Оказалось, пакет-открывашка устроен очень просто: перевёрнутый пакет-блокиратор и код-пароль, который всего два байта. На десятимегабитной сетке за полсекунды все варианты можно перебрать.

Осталось понять, как можно отослать пакет пульту, не подключаясь к сети. На счастье, директор, взбешённый войной с замком, вызвал мастера. Тот пришёл, открыл пульт. Чудо из чудес: от разъёма сети тянулся длинный, неизолированный медный провод через всю плату. Антенна, да. В общем, сварганила коробочку-приёмник, опробовала… И тут пришла пора уходить в отпуск.

Через два года, когда дитё стало возможно оставлять с няней, прихожу снова на работу. Росту я достаточно маленького, худенькая, плюс очки с толстенными линзами на пол-лица. В общем, охранники посмеялись: «Девочка, а ты точно не ошиблась домом? Давай мы твою маму позовём!» Я хмыкнула: не надо, мол, так войду.

К сожалению, за два года мои данные успели потереть, так что замок меня не пустил. Охранники хмыкнули. Я достала из сумки большой розовый ноутбук с заячьими ушками, прицепила к нему свою коробочку, наложила на пульт и набрала код. Замок щёлкнул.

Всё же охрана у нас хорошая: скрутили, пискнуть не успела. Хорошо, шеф СБ меня узнал. Потом пришлось в Калифорнию ехать и объяснять разрабам, где они накосячили.

Пришёл сегодня на работу, как обычно, подключил свой ноутбук к сети, но другим патч-кордом. Сразу обратил внимание, что интернет появился без ввода всяких настроек и по скорости не уступает моей домашней выделенке. Удивился, но как-то не заострил на этом внимание. Подключаюсь удалённо к серверу, делаю бэкап базы 1С, заливаю на болванку и со спокойной душой продолжаю лазить в интернете. Через некоторое время начинают просачиваться сомнения насчёт возможности такого быстрого интернета у меня на работе, да ещё и без настроек.

Оказалось, что я подключился к сети другой организации, которую обслуживали наши сисадмины больше шести лет назад. Никто и не знал, что у нас есть выход в их сеть, а пароли, которые были установлены на сервере, так и не изменились.

Сижу и думаю, что с бэкапом 1С делать. С одной стороны, надо сисадминам той организации отнести и всё рассказать. С другой стороны, не хотелось бы, чтобы меня от такого интернета отключили!

— Техническая поддержка %bankName%, здравствуйте.
— Здравствуйте, это бухгалтер компании %clientName%, я не могу платёжку подписать!

Смотрю в карточку клиента. ЭЦП зарегистрирована на мужчину, в телефоне женский голос. Обычная практика. От токена они отказались, ЭЦП была записана на их флешку вместе с инструкциями и прочим. Состояние ЭЦП — конь не валялся.

— Вы не можете подписать, потому что у вас техническая ЭЦП. Вы не выполнили пункты 2 и 3 инструкции.
— А мне наш администратор сказал, что он всё сделал.
— Тем не менее, откройте инструкцию и выполните сейчас пункт номер 2. Там всё очень просто.
— А у меня нет инструкции.
— Есть, она находится на вашей флешке с ЭЦП.
— У меня нет флешки.
— А где же она?
— Наш администратор у меня её забрал. Сказал, что она будет у него, а мне он всё сделал.

Без ЭЦП человек в систему не зайдёт. Неужели?.. Ага, путь к файлу личного сертификата — N:\Бухгалтерия\Клиент-банк\…

— Тогда попросите у вашего администратора инструкцию и сделайте то, что там написано. И ещё хочу сказать, что ваш клиент-банк настроен неправильно, вы сильно рискуете. Пусть ваш администратор позвонит мне, я объясню детали.
— А какой у вас телефон?

Смотрю на базу — клиент звонит через секретаря.

— Телефон технической поддержки есть в запечатанном листке с логином и паролем, посмотрите.
— А у меня его нет. У меня его администратор забрал.
— Логин и пароль вы заучили наизусть?
— Нет, записала.
— Вы слишком многое доверяете вашему администратору.
— Вы знаете, у нас очень хороший администратор! Он родственник генерального директора!
— Ну, удачи! Звоните, если что.

Работал IT-директором. На очередной планёрке генеральный издал приказ заблокировать «Одноклассников». Дело несложное — я дал задание сисадмину закрыть доступ на ISA. На следующий день все сотрудники, конечно, взвыли, но потом смирились.

Всё бы хорошо, но секретарша генерального спокойно продолжала сидеть в соцсети — как назло, прямо перед глазами шефа. Разумеется, он тут же пришёл ко мне и устроил взбучку. Я, в свою очередь, сделал выговор старшему сисадмину и потребовал немедленно закрыть все возможные пути. На следующий день секретарша продолжала спокойно листать «Одноклассников».

Старший сисадмин пришёл сдаваться: типа, не понимает, в чём дело. Пошли вместе в серверную смотреть логи. На ISA запрещены все возможные варианты написания, до кучи на файрволе закрыт весь диапазон, на всякий случай в кеше DNS прописаны левые адреса. Также закрыты все порты, кроме восьмидесятого, и целый список проксей-анонимайзеров. Ничего не помогает, в логах всё чисто, но секретарша спокойно сидит в соцсети и ухом не ведёт. Идти к ней и выяснять, как она это делает, стыдно. Но решать вопрос как-то надо.

Дождались, пока она отойдёт от компа, зашли по удалёнке и стали смотреть, что там у неё такое. Оказалось, она просто и без ухищрений набирает в браузере www.odnoklassniki.ru, и всё грузится. В настройках браузера тоже чисто: никаких проксей или анонимайзеров. Мы в шоке. Младший админ стал рассказывать, что он где-то читал про чудотворные сетевые платы. Мы похихикали, но на всякий случай, дождавшись перерыва, сетевушку в компе сменили. Не помогло.

В очередной раз проходя мимо компа секретарши, я уцепился взглядом за флешку, которая постоянно торчала в системнике. Разгадка сразу же была найдена: это оказался вайфай-адаптер. Хитрая секретарша просто нашла открытую сетку и спокойно сидела в чужом интернете безо всяких наших файрволов.

Просканировав диапазон, мы эту сетку сразу же нашли. Всё по умолчанию: admin/admin. Зашли в настройки, забанили MAC-адрес вайфай-адаптера секретарши и на всякий случай сменили пароль доступа. Так в очередной раз силы разума победили силы добра.

Неисповедимы порою пути, которым приходится следовать, решая задачи удалённого администрирования. Родной инструментарий Windows в этом плане работу отнюдь не облегчает.

На удалённой клиентской машине, где-то в Германии введённой в домен, запущена пока что только Windows PE, которую мы и настраиваем. Дело доходит до монтирования сетевого диска, и вот тут-то и начинается прекрасное: у стандартной учётной записи, под которой PE и работает, не хватает на это прав. Удалённого доступа к машине нет вообще никакого. В текущей ситуации мы можем лишь только отсылать через среду удалённого развёртывания команды и смотреть на результат их выполнения. Отсюда следует прекрасный вывод: мы не можем выполнить задание под другим пользователем, поскольку все без исключения утилиты Windows при этом требуют ввода пароля из терминала — без всяких исключений! Дать же прямой удалённый доступ к машине, равно как и набрать команду самостоятельно, немцы отказываются категорически: мол, политика безопасности у них такая, а подготовить машину к работе вообще наша задача, и ничего они за нас делать не будут. Ситуация начинает выглядеть безвыходной, половина отдела погружается в жестокий мозговой штурм…

Решение всё-таки было найдено: до безобразия уродливое, до безобразия лобовое. На машину закидывался и затем выполнялся файл VBScript следующего содержания:

set oShell = Wscript.CreateObject("WScript.Shell")
oShell.Run "net use T: \\%sharename%$ /user:%username%"
WScript.Sleep 500
oShell.Sendkeys "Pa$$w0rd~"
Wscript.Quit

То есть скрипт вызывал окно командной строки, ждал 500 миллисекунд для верности, чтобы появился интерактивный запрос на ввод пароля, а затем имитировал ввод данных с терминала. Самым удивительным при этом оказалось то, что метод сработал, диск примонтировался, и начальник, уже доведённый до белого каления поведением несгибаемого немца, его одобрил. Попросил только доработать, чтобы скрипт вдобавок писал в текстовый файл результат выполнения dir для свежесмонтированного диска.

На взлом пароля с помощью пластилина мне в детстве фантазии так и не хватило. Может, просто не успел, так как компьютер от частых разъездов довольно быстро превратился в хлам, а следующий появился лишь года через три. Но до установки пароля на BIOS родители достаточно долго пытались меня оградить от компьютера, просто запирая мышь, клаву и кабели в дипломат с кодовым замком. Навык их взлома мне пару раз в жизни всё-таки пригодился.

Попросила одна знакомая винду поменять. Прихожу со своими дисками на всякий случай. Пытаюсь запустить setup.exe. Хренею. Стоит защита на запись в реестр! Ладно, выкосил. Запускаю. Первая перезагрузка — пароль на биосе. Знакомая ушла в магазин известно за чем. Вскрываю системник, вытаскиваю батарейку, снова ставлю. Пошла установка! Всё это время матерю того козла, что ей комп настраивал — она сама этого точно не могла сделать.

Возвращается. Задаю законный вопрос: что за козёл ей систему ставил? И тут до меня доходит, что этот самый козёл — я сам. Ставил всё лет пять назад, когда со знакомой жила меньшая сестра, которая уж очень любила в компе поковыряться.

Друг из себя кулхацкера возомнил. Но ничего у него не получается, кроме тупого повторения опытов из всем известного журнала. Однажды он огорошил меня вопросом:

— А почему эксплойты для одного браузера не подходят к другому?
— Ну ты представь себе, что пришёл на сеанс гипноза, а там тебя гипнотизируют на языке, которого ты не знаешь. Подействует?