Безопасность

Мышки, говорите, хакеры не носят? Они и не нужны.

Работаю админом одной небольшой фирмы с филиальной сетью. Привезли мне как-то системник с небольшой проблемой: комп по дефолту загружается в профиль пользователя с ограничением на установку драйверов. Подключил я к этому чудо-устройству клавиатуру, мышь, экран; после загрузки обнаружил, что ни клава, ни мышь не работают. Система драйвера поставить не может с правами пользователя.

Идея родилась неожиданно и своевременно. Был написан скрипт, меняющий пару параметров в реестре, благо админский пароль был стандартный. Записал я это дело на CD с автозагрузкой, и после небольшого танца с бубнами система загрузилась под администратором, а я получил заветный контроль над машиной.

А лучший способ сберечь секретную информацию — не хранить её. Всегда найдется тот, кто сможет обойти систему.

Читал я Википедию, а именно статью про тамплиеров. Дальше пошёл «автостопом» — знаменитое википедийное «смотрите также».

Дохожу до «Ангелов и демонов» Дэна Брауна, перехожу на «Код да Винчи» и попадаю на статью о теориях заговора. Скроллю вниз; на абзаце о масонском заговоре Аутпост выдаёт: «Викимедиа сканит твои порты, прибить?»

В течение десяти минут доступ к Вики получить я не мог. Кто-то ещё сомневается?

В своё время я строил сеть для Министерства обороны РФ. В числе прочего оборудования на узлах связи устанавливалась шифрующая железка отечественного производства, на настройку которых согнали людей из самой компании-производителя. Товарищ оттуда, с которым мне довелось общаться, рассказал поучительную историю.

Делали всё тем же военным шифрованный спутниковый канал. Идет приёмочное мероприятие: высшие военные чины и представители той самой компании с важным видом смотрят на работающее оборудование и процесс пингования — вроде бы всё успешно. Один из военных задает вопрос:

— А вот если американцы спутниковый сигнал перехватят, то сколько времени им понадобится на расшифровку?
— Ну, при текущих вычислительных мощностях — около тридцати лет.
— А что это мы всё пингами тестим? Давайте попробуем перекинуть на тот конец что-нибудь большое.

Все при ноутбуках, но они рабочие — ни фильмов, ни чего-нибудь подобного по размеру ни у кого не было. Почти. У одного из военных нашлась коллекция той самой немецкой классики, которая немедленно была послана на противоположный конец канала. Вопрошающий же задумчиво произнёс:

— Вот расшифруют американцы через тридцать лет сигнал с российского военного спутника, а там — немецкое порно.

Некогда моя рабочая станция представляла собой весьма старенький системный блок с раскуроченным насмерть PS/2-портом. Посему клавиатура была весьма сурово припаяна к разъёму, а сверху для надёжности залита термоклеем. Поставить другую было делом хитрым — в те времена USB-клавиатуры были скорее экзотикой, чем реалиями.

И вот шибануло меня тогда научиться методу слепого набора. Пресловутое «Соло» не радовало вообще, и было принято решение вытереть все надписи с кнопок. Задумано — сделано. Клавиатура чистая. Пару дней мучений, и я смог уже работать с более чем приемлемым количеством ошибок. А со временем и вовсе всё хорошо стало. Удивился я, когда обнаружил, что никто другой за моей машиной работать больше не может; более того, даже не пытается провести захват рабочего места во время моего отсутствия.

Как-то с другом сидели, пили пиво и говорили о проблеме защиты информации на его предприятии. После недолгого обсуждения было решено, что на его машинку (отключенную от локальной сети и интернета) попасть можно только физически, сев за неё в офисе. Встал вопрос: как же защитить комп от такого незаконного вмешательства?

Кроме всего прочего, в его кабинете стоял маленький сейф. Туда складывались ценные бумаги, иногда деньги. Размеры сейфа были соответствующими — системник не влезал. В общем, каждый вечер друг теперь отключает от компа мышку и убирает в сейф. Интересно, часто ли хакеры-взломщики носят с собой мышки?

По роду деятельности в одной научно-военно-брутальной конторе познакомился я с военными ноутбуками. Был рабочий Panasonic Toughbook CF-28, потом я ушёл, ноут сдал, но запали они мне в душу. Решил я прикупить себе на Ибее Getac A320 (для тех, кто не видел — это такой «ядерный чемоданчик», алюминиевый кейс весом около 5 кг с ручкой). В дальнейшем появились ещё Miltope и Panasonic CF-M34, но с ними связаны совсем другие истории.

И вот моя мечта идиота приехала. Забрал его с почты, зашёл к знакомому русифицировать лицензионную винду и направился домой. Надо сказать, что ноутбуков таких в городе нашем никто не видел и, скорее всего, не увидит.
По пути решил купить хлеба в местном супермаркете. Захожу, ноут в руках. Охранник на входе недовольно требует оставить его в ячейках хранения. Я отказываюсь. Охранник продолжает напирать, я говорю, что девайс этот слишком дорогой. Охранник упорствует.

— Оставьте ваш кейс в ячейке.
— Это не кейс.
— (злорадно) А что же?
— Компьютер.
— (сдерживая смех) Да ну...

Открываю ноут, охранник видит клаву и экран и замолкает.

— Тогда оставьте на стойке охраны.
— (вкрадчиво и тихо) Знаете, на этом компьютере находятся важные коды для секретного применения. В случае чего все, кто имел с ним хоть короткий контакт, попадают под подозрение и могут быть (пауза)... зачищены.
— (с ужасом отступая к стойке) Проходите! Проходите!

Я побродил, взял буханку хлеба, подхожу к кассе — охрана толпится рядом. Протянул хлеб кассирше, а она дрожащим голосом прошептала: «Бесплатно. Это подарок». Недоумевая, я оставил десятку на стойке и направился к выходу. Выйдя за дверь, услышал дружный вздох облегчения охраны.

Об одном жалею: в том же здании этажом ниже был супермаркет бытовой техники, а охрана на всех одна. Может быть, стоило зайти и туда? А ещё интересно, забрали ли они с кассы мою десятку, или она там так и осталась лежать?

Есть у меня любимый способ придумывания паролей. Старая уловка от лингвиста: берёшь бессмысленное словечко посмешнее, типа «мундропуп» или «бурозявка», и вбиваешь, предварительно переключившись в латинскую раскладку — набор букв получается ещё тот. И длина пароля пристойная, и логикой особо не подцепишь, не подберешь. А главное, запоминается легко — в случае sudo-пасса это особенно удобно (я убунтоводец). Слова выбираются хорошие и разные, а зачастую и не совсем цензурные. Пароль — штука интимная, чего стесняться?

Утро. Еду в маршрутке на лекции. Звонок мобильного: домой заявился мамин бойфренд, которому срочно — а главное, очень вовремя! — понадобилось в интернет. Компьютер большую часть времени безраздельно принадлежит мне, так что пользовательская учётка в Убунте всего одна — моя. Пароль к ней, естественно, рождён излюбленным методом. Интернет человеку нужен здесь и сейчас — куда деваться с подводной лодки? Чувствуя себя Чингизом из «Фальшивых зеркал», зажимаю нервы в узду и называю по буквам...

Первое, что ваш несчастный лингвист сделал, придя домой — поставил pwgen, нагенерил зубовышибательных мозгодробительных паролей с ключом -s и навек зарёкся подходить к криптографии творчески. Представьте себе, что чувствует человек, которому в маршрутке пришлось вслух и достаточно громко сообщить, что паролем его учётки является слово «ногох#йц».

В нашей конторе легализация софта происходила со скрипом. На первом этапе на компьютеры бухов поставили Убунту, а для запуска 1С и прочей кавалерии установили терминальный сервер, на котором уже крутились «пролетарские» версии винды, 1С, Офиса и прочего, освобождённые от капиталистических замашек вроде проверки ключей и лицензий. Для уменьшения вирусной угрозы в интернет бухи ходили через Убунту, да и пасьянсы раскладывали там же.

Была на работе сотрудница, которая одним своим появлением вышибала всю сеть в помещении. После недолгого разбирательства админы выяснили, что при входе в помещение она умудрялась ловко наступать на доску в полу, из-за чего обесточивался свитч, подающий сеть в бухгалтерию. Но директор постановил доску не чинить...

...потому что в один прекрасный момент мы дождались-таки проверяющих. Картина маслом: проверяющий входит в комнату, за ним директор. Шеф незаметно всем своим богатырским весом наступает на эту доску, и ревизора встречают бухи с абсолютно честными глазами, торчащие в «Одноклассниках» из-под невинной Убунты. Иконку RDP проверяющий не заметил.

Сидел я однажды у компьютера рядом с каким-то странным модемом от непонятной китайской фирмы и смотрел на него задумчиво. Инструкций, естественно нет, пользователь ходит в сеть только с одной машины, а хочет с двух одновременно.

В интернет лезть лень, настроек модема я не знаю, но в карточке провайдера указаны VPI/VCI, логин и пароль. Выставляю на компьютере адрес 192.168.1.10 — модем не пингуется. Исправляю на 192.168.0.10. Иду браузером на http://192.168.0.1/ — просит логин и пароль для модема. «Admin/admin» работают, я быстренько настраиваю роутинг, сохраняюсь, перезагружаю модем и компьютер. Из интереса вхожу в XP под учёткой локального админа, как и ожидалось, с пустым паролем. Проверяю — интернет есть.

А у пользователя рядом дикие глаза по пять рублей и один вопрос: откуда я знаю все его пароли?