Решил я от нефиг делать погуглить запрос: «filetype:xls username password». На первой же странице логин на какой-то сайт: непонятное сборище букв и цифр, а пароль — welcome. Добро пожаловать, господа!
Безопасность
Добрым словом и паяльником
Криптозащита, пароли, защищённый доступ… Фуфел это всё, господа. Это вещи полезны только тогда, когда угроза нужна от дурака или дилетанта. Вот вам ряд примеров.
* * *
Суббота, официально выходной день. Начальству позарез понадобилось в один компьютер залезть. А у него пароль на биосе, пароль на входе; то, что надо, тоже на пароле. Ответственное лицо по случаю выходного находится вне зоны действия сети. Чего делать? Пароль с биоса снят, вход в ОС осуществлён собственными силами. Дальше сложнее. Пока вызванные кулхацкеры нагружали процессоры непосильной задачей подборки пароля, начальник СБ вызвонил коллег отдыхающего ответственного лица, пораскинул мозгами и нашёл его на даче, где тот в гамаке пузо грел. Адрес дачи и вероятность нахождения на ней сотрудника, знамо дело, у сослуживцев выяснили.
* * *
Уволившийся сотрудник отдела IT затаил злобу на бывшего работодателя. Ну да, не ценили. Угу, в зарплате обижали. Сволочи, одним словом. А не сменить ли им пароль в хитрой базе данных, которая нужна не каждый день? Сказано — сделано. Сменил, уволился. Думаете, вызывали мегапрограммеров? Ну, вызывали, они даже
* * *
Заказали
Нехитрыми умозаключениями выяснили, кому это было выгодно и кого он мог бы привлечь для пакостей уровня выше среднего. И правда, существенная часть запросов шла из европейского городка на берегу моря, куда некоторое время назад эмигрировал наш соотечественник, шарящий в сфере информационных технологий. Звонить ему и ругаться? Смысл? Хотя смысл был. И был один звонок, в котором его мама, не пожелавшая расстаться с Родиной, просила великовозрастного сыночка не хулиганить. Атаки на сайт ощутимо ослабли.
* * *
Оговорюсь, что ни в одном из перечисленных случаев мер физического воздействия, а также угроз не применялось. Просто просили понять и войти в наше положение.
А как заключение вот вам цитата сотрудника государственных органов: «Если человек, установивший пароль, жив, то и мы его узнаем».
Курение опасно для вашей безопасности
Вчера вернулся из командировки с окраин необъятной — ставили комплексную систему безопасности в региональном филиале крупной фирмы инкассации. Через подобные филиалы ежедневно проходят миллиарды денег; стремление московского офиса усилить безопасность в отделениях вполне понятна. Теория отличная, но на практике…
Задумка такая. В числе прочих систем безопасности на входе делается некое подобие шлюза: две двери, пока не закрыта одна, вторая не откроется ни за какие коврижки. Управление происходит только изнутри, по ночам в обязательном порядке дежурят двое охранников. На всякий случай установлена кодовая панель — пароль сообщен только начальнику службы безопасности. То есть потенциальные налетчики, просочившиеся за вошедшим в первую дверь, оказываются в тамбуре-ловушке под зорким оком двух видеокамер и деться уже никуда не могут: за внутренней дверью выстраиваются свои охранники с «калашами», за наружней в течение двух минут появляется наряд ОМОНа. Делаем, тестируем, развешиваем листочки с этой информацией в тамбуре, проводим инструктаж — всё окей, работает чётко, как в аптеке.
Проходит неделя. Ночью охранникам хочется курить, но если выйти из здания, то обратно уже не войдешь. Поодиночке им курить, видимо, религия не позволяет. Требующий никотина мозг находит выход: «случайно» включается пожарная сигнализация, замки, естественно, отключаются (чтобы люди могли беспрепятственно выбегать из здания в случае реального пожара), мозг охранников получает дозу никотина, и они спокойно возвращаются обратно в открытые двери. Деньги под надежной защитой, ага.
Днём, опять же, всем очень лень ожидать, пока дежурный внутри нажмет кнопку открытия двери, поэтому начальник службы безопасности (!) распечатывает листочек с паролем от кодовой панели и вывешивает в тамбуре на всеобщее обозрение.
Всё, приехали, финиш. Усилили безопасность, называется. Начинаем возмущаться — а кому
Безопасность — не игрушки
Начальство
Начальство обнаглело и спросило, что это буквоциферное безобразие означает. После двух ответов «ничего не означает» плюнул и сказал, как есть.
И что вы думаете? Сегодня получил требование (!) сменить пароль от моего личного (!!) почтового ящика, потому что он «не соответствует духу компании и связан с компьютерными играми, а на работе любые игры должны быть под запретом».
Вы когда-нибудь сталкивались с настолько феерической наглостью? Вот сейчас думаю: увольняться сразу или послать требование к чёрту и сначала поцапаться?
Он нам не нравится
Нет, я всё понимаю — безопасность, туда-сюда, но брандмауэр, который предлагает победить процесс winlogon, потому что он зело подозрительный, — это перебор.
Как раз в этот момент я набирал текст. Когда появилось очередное окошко о подозрительном winlogon, успел нажать Enter… Ну, вы поняли.
Админ спит — взлом идёт
Сидел всю ночь, производил «аудит безопасности веб-интерфейсов», как это модно говорить, а на самом деле рутал серваки. Почти не спал, утром к девяти в универ.
Захожу в автобус, достаю проездной — в автобусе опущены рога АСКП. Прохожу в салон, а в голове одна мысль: «Обход авторизации».
Дальше ещё интересней. В вузе подхожу к кофеварке — монетки не принимаются, а вываливаются в сдачу. «Задефейсили морду, данные с формы сливаются в лог».
Явно надо
Начитались тут
Систему охраны я, конечно, не вскрывал, но подобная история тоже однажды была.
В Москве есть очень хороший книжный магазин. Книг там много-много, и для удобства посетителей в залах через каждый десяток метров стоят терминалы с каталогом. Есть поиск, описания книг, обложки, указаны цены, можно распечатать маленький чек с указанием зала, стеллажа и полки, где находится книга.
То ли сделано это всё великолепие в какой-то самописной программе, то ли просто открыт локальный сайт, но факт остаётся фактом: в качестве движка используется стандартный виндовый TWebBrowser, причём далеко не самой последней версии. Стоп-стоп. В описании книги, как я уже сказал, есть обложка. Обложка — это картинка. Если навести курсор на картинку (ткнуть в тачскрин), то появляется маленькая панелька инструментов: сохранить как, распечатать, послать по почте, открыть «Мои картинки».
Откроем «картинки», вверх-вверх-вверх, «Мой компьютер». Зайдём в «Сеть», откроем какой-нибудь комп… Ой, фильмы, игры,
Впрочем, проделав это, почти сразу же от терминала я отошёл — на меня уже начали коситься работники магазина. А на экране остались висеть открытыми командная строка и клавиатура.
Око за око, бэкап за бэкап
В 1983 году админил я ЕС-1035. Материалы на ней обрабатывались разные, в том числе и с грифом «не для всех». И тут верхнему начальству показалось мало системного программиста и системного инженера с соответствующими формами допуска. Ввели должность инженера по безопасности, причём на полставки. То есть в смену он не ходил, а работал с 9 до 18 с перерывом на обед, как белый человек. Назначили мужичка, далёкого от вычислительной техники; выделили ему терминал, на котором постоянно крутилась его программа, и показали, где «птички» ставить. Мужичок сразу и поставил, руководствуясь принципом: «чем больше, тем безопаснее».
Системщики взвыли в первую же ночь. Этот деятель, кроме всего прочего, запретил запись на магнитную ленту (суточный бэкап сделать не удалось) и вывод на перфоленту (накрылось срочное задание, связанное с оборонкой). И если ленту удалось сделать днём, под чутким надзором этого деятеля, то бэкап можно было делать только ночью.
Уговоры и даже жалобы руководству не помогли. Мужик стоял насмерть. Пришлось копать глубже. Выяснилось, что за блокировку отвечает всего один байт. Запускаем программу «Око» (официально — разработка Горьковского пединститута, на самом деле — американская программа Eye), правим, работаем… Главное, не забыть вернуть обратно.
Спокойно жили месяц. Потом
Ну что ж, если начальство так настаивает… Перестали бэкапиться. Через неделю система упала — а восстанавливать-то не с чего. Получили люлей, конечно, но плавно перевели стрелки на безопасника. Управление перешло обратно к сисадмину.
Дырка? А href с ней!
Доводилось
Приводов нет, диспетчер задач действительно заблокирован. На весь экран — охранная программа. Программное отключение USB-порта? В моём случае просто был выключен автостарт. Возможности вызвать «Пуск» не было. Так как стояла «хрюшка», альт-табнуться на пустое окно, как в «семёрке», не удавалось. Выключать компьютер запрещалось, а если что — загрузка с других устройств запрещена.
И всё равно «защита» пала. Охранник ещё полгода смотрел фильмы, а обслужка, зная это, чесала репу и ничего понять не могла. Потом, сдавшись, у меня и узнали.
Собственно, решение: «Справка → О программе». В конце текста — ссылка на сайт разработчика. Кликаем — открывается IE. В строку «D:» — а вот уже и флешка появилась.
Разработчики, будьте скромнее!