Безопасность

Работали мы как-то в Одном Очень Крутом Банке, занимались системами защиты данных от несанкционированного доступа и другими интересными вещами. Если кто не сталкивался — это такие штуки отечественного производства, вставляющиеся в PCI-слот, перехватывающие часть I/O на себя и взаимодействующие с программной частью, интегрирующейся в Windows. Всё сделано так, чтобы «завязать» пользователя на аппаратный идентификатор — даже украденный пароль не поможет злоумышленнику получить доступ к локальной системе и данным на серверах. Этот самый идентификатор выглядит, как ключ от домофона, и работает по той же технологии. Уже догадались?

Приклеить скотчем нельзя — разработчики системы это предусмотрели, и ключ срабатывает, только если поднести его по запросу на чтение. Но пользователи не только оставляют стикеры с логинами-паролями на мониторе, но и всеми доступными способами вешают идентификаторы рядом со считывателями. Правильно, зачем далеко тянуться? По популярности лидировали цепочки из скрепок.

У нас рабочие компьютеры каждый месяц требуют смены пароля. Причём пароль должен быть криптостойким: не менее восьми знаков, включая буквы в разных регистрах, цифры и спецсимволы. Нет, я, конечно, программист, и тема защиты информации мне весьма интересна, так что я могу вспомнить около десятка таких паролей: от моего домашнего компа, от разных почтовых ящиков, от админок нескольких сайтов, — вплоть до пароля на компе на прошлой работе. Но здесь стоит ограничение: пароль не должен совпадать с 24 (двадцатью четырьмя) предыдущими. Чувствую, когда я исчерпаю свой десяток паролей, придётся либо просить наших админов снять ограничение, либо увольняться.

Сдача дипломного проекта — экспертной системы с функциями самообучения. Гриф «секретно». Пишется код в спецпомещении на спецкомпьютере, все материалы после работы упаковываются в чемодан, сдаваемый на спецхранение. Язык — Пролог, который во всем вузе знают ровно два человека, я и товарищ-студент. За неделю до защиты вирус сносит всю информацию с диска. Бэкапов нет — «секретно».

В срочном порядке методом копипаста генерируется листинг программы позаковыристей, рисуются блок-схемы, оформляется сопроводительная документация. Диплом спасён: все документы налицо, всё проштамповано и зарегистрировано в секретной части, защита подготовлена и отработана. А что программа не работает — так она же секретная, ей нельзя!

Сижу в метро, вижу, какой-то гопник докапывается до парня лет пятнадцати:

— Э, денег дай.
— А SSL есть?

Наглый пацанчик повисает на пару секунд;

— Чё?
— Ну, SSL есть? А то без шифрования транзакции проводить небезопасно — видишь, людей сколько, — обводит парень рукой вагон.

Гопник в ауте, юноша уходит в открывающиеся двери. Будущее под надёжной криптозащитой.

Начало девяностых. Крупнейший банк страны. Управляющая отделением:

— Костя, Москва требует повысить безопасность. С новыми компьютерами это сможешь сделать?

Не вопрос. Здание только что после специального ремонта под заказ; стенки и плинтуса — нетронутые, СКС — по всем правилам, хоть в учебник; сотня новеньких лизинговых эйчпишников и айбиэмов с фирмовыми пакетными установочниками, на каждом магнитный ключ; новенькие брендовые серваки с лицензионными (в те-то времена!) Новеллами; доступ только двум админам сразу, у каждого по паре спецпаролей...

Схема кабинетов и рабочих мест с тучей подписей от завхозов, пожарников и безопасников, стопка инструкций по обеспечению безопасности информации полтора метра высотой — бараном надо быть, чтобы не справиться или ошибиться.

Я бараном себя не считал. Трое суток с короткими перерывами на корейскую лапшу и сон на диванчике возле поста охраны — вуаля! Трубите, горны, бейте, барабаны, я не загоржусь ни за какие коврижки, ибо я — человек будущего, властелин обжимника, волшебник колдовских матерков, от которых даже Новелл становится послушным! Спецтехника по глушению сигналов работает от своего генератора, солярку в бак которого строго по расписанию заливает сам завхоз. Врагу недоступен наш гордый «Варяг»!

Вот только жёлтенькие и розовенькие липучие бумажки на каждом мониторе почему-то резали мне глаз. Аккуратным почерком на них было выведено: «Логин — ******, пароль — ********».

За повышение уровня безопасности мне была начислена премия в размере семи окладов. Представление на поощрение было подписано начальниками служб безопасности отделения, территориального управления и всем составом комиссии по безопасности, присланной из «головы» с проверкой.

Уже бэкап иногда приходит и к обычным юзверям. Но...

Юра Акронисом ежемесячно снимал копию с ноута, эту копию заливал на narod.ru и ещё на пару файлообменников. Грамотный народ говорил: «Юра — не просто гуд, это вери велл!» Юра был горд. Он даже был морально готов к случайной утере девайса.

Возвращался Юра с соседнего города в электричке; случайно его легонько толкнули, и легонько так брямкнул ноут. Бывало, громче брямкал. Но...

Новый винт Юра купил, в ноут вставил, вот только выяснилось, что образ, сделанный со сбойного диска и разложенный во всех потаённых местах, оказался невосстановимым. Любил Юра приватность, и при сохранении образа шифровал его, а ключ хранил на том же диске.

Был у нас на обслуживании замечательный клиент: весь такой серьёзный, с крутыми разработками, которые хранились на диске, напрочь зашифрованном какой-то древней аладдиновской софтиной. Причем диск был зашифрован полностью, а не отдельными разделами, как иногда бывает.

Для какой-то надобности нам потребовалось весь диск расшифровать. Ставим на расшифровку, вбиваем пароли, сидим, ждём. Через несколько процентов расшифровки свет моргает, а дохленький UPS не выдерживает. Сервак, естественно, перегружается. В итоге имеем частично расшифрованный диск и полное отсутствие видимой информации на нём. Все в панике: по причине секретности никаких бэкапов нет и быть не может (угу, паранойя у начальства — великое зло). Возможности продолжить расшифровку с момента остановки в программе не предусмотрено. Паника нарастает, работа конторы стоит.

Звоним в «Аладдин»: «Этой софтине больше десяти лет, у нас даже исходников от неё не осталось, не то что разработчиков. Вот если б вы с новой работали, мы бы вам помогли». Обзваниваем всех, кто может помочь. Одна из московских контор соглашается попробовать. Пробуют недели две, всё возвращают: «Ни фига не получилось».

Уже представляя миллионную претензию, которую нам выкатят за это дело, сижу и тупо просматриваю диск DiskEditor'ом. Вижу, что те самые расшифрованные несколько процентов выглядят нормально, то есть какая-то инфа, возможно, восстановится. Хорошо видно MBR и таблицу файлов. Недолго думая, «выкусываю» фрагмент с расшифрованной информацией и сохраняю отдельно. Снова ставлю диск на полную дешифровку, а по её завершении заменяю дважды дешифрованный кусок отложенным. Лёгкий танец с бубном и EasyRecovery — вуаля. Потерялось только несколько несущественных документов, которые были на границе расшифрованного пространства.

Правильно говорят, что сисадмины делятся на тех, кто делает бэкапы, и тех, кто уже делает бэкапы.

После того, как меня задолбал спам от друзей, у которых увели пароли от ICQ, я разослал всем такое сообщение:

В связи с участившимися случаями увода ваших уинов пишу вам это письмо. Прочти и прими к сведению — пересылать дальше не стоит. Так вот, если тебе придёт сообщение от меня с предложением выслать денег или отправить SMS на какой-либо номер, ни в коем случае не делай этого. Я никогда не предложу тебе увеличить член и попялиться на сиськи. Если я захочу занять у тебя денег, поверь, я всегда наберу твой номер и попрошу об этом лично. Да, не забудь обезопасить себя от взлома: придумай себе пароль хотя бы вида «АБВ123%+» (три буквы, три цифры и пара символов) — это спасёт твой номер от взлома в 99% случаев.

Результат? Большинство ответило: «Отвали, что за чушь ты мне прислал?!» И эти люди ещё смеют мне звонить и жаловаться: «Спаси, не работает комп»...

И меня родители не пускали за комп, пока не сделаю уроки — знакомый айтишник установил пароль на BIOS. Про устройство компа и клавы мне тогда не было известно ничего, но я нашёл выход — помогла видеокамера. Алгоритм прост:

1) Делаем уроки.
2) Устанавливаем камеру в незаметном месте, направляем на клаву и включаем.
3) Зовём маму.

Всё было отлично, но на мутной записи я лишь смог разглядеть, что пароль начинался с «про». Что я только не перепробовал: и «программа», и «прокол», и даже «протосс» (чем чёрт не шутит) — ничего не подходило. Пошёл к бабушке и попросил сказать какое-нибудь слово, начинающееся на «про». Ответ был дан моментально: «Простокваша!» Посмеялся, ввёл — подошло.