В юности я преподавал информатику в одном лицее. Был класс, в котором оказалось на одного ребёнка больше, чем юзерских машин в кабинете. Приходилось сажать одного ребенка к кому-то в пару, а в дни проведения контрольных — за админскую машину, стоящую отдельно от остальных. Надо отметить, что на моём коне был установлен TightVNC, запароленный во избежание. Запаролил, как мужик: ключ «достался в наследство» от известного пиратского релиза второго Diablo.
Во время одной из контрольных я усадил за свой комп Васю, который достаточно неплохо усваивал мои уроки и был очевидным лидером по оценкам в своём классе. Ходил по классу, смотрел за этими оболтусами, пресекал перешёптывания. Прозвенел звонок — сел за свой комп проверять результаты тестирования. Натыкаюсь на две работы с идентичными ошибками. Смотрю авторов творчества: одним из них оказывается этот самый Вася. Чешу репу минуты две, потом смотрю логи VNC и улыбаюсь.
На следующий день вызываю Васю на ковер: так и так, говорю, сознавайся, кому и как тест заполнял. Вася не стал долго отнекиваться и показал: дескать, на папином компьютере дома такая же программа стоит. Парень вводил свой пароль в Тайт в полной уверенности, что требуется именно он, а пароли совпадали.
Переписывать заставил обоих, заявив, что выставлю среднее арифметическое по результатам обоих тестов. К моему удивлению, ребята сдали на «отлично».
Когда я учился в школе, работал в корпоративной газете с незамысловатым названием «Школьная правда». Место нам определили в каморке у завхоза, но при обновлении техники достались школьникам под любые цели пять списанных машин и закуток перед входом в библиотеку для их размещения. Неособо шустрые машинки не были подключены к глобальной сети, но тривиальные офисные задачи на них решать было можно. Админу своих забот хватало, и он компьютеры не трогал. Чтобы не рождался ещё один рассадник вирусов, пришлось взять админство на себя: школа у нас гуманитарного профиля, и большинство учеников с управлением системой боялись связываться, а меня подобные вещи как раз интересовали.
Самую мощную машину мы на правах редакции зарезервировали под технические работы. Для того, чтобы устранить утечку информации до выпуска газеты, систему я запаролил. Для пароля выбрал название исследовательской работы, которое услышал в Москве: «Каналы социализации подростков, прошедших конкурсный вступительный отбор в элитное учебное заведение». Винда пожаловалась на очень длинный пароль, поэтому его пришлось сократить до первых трёх слов. Пароль я сообщил нашей редакции, но что знают двое — знают все, и через три дня заветные слова знала уже добрая половина школы.
Проходя мимо, я заметил, как кто-то не из нашей редакции пытается набрать пароль, а ось его не пускает. В другой раз девушке нужен был доступ к материалам газеты, но она не могла попасть в систему. Оказалось, не все так же хорошо владеют клавиатурой, как и я, поэтому попадают по соседним кнопкам, не замечают этого и продолжают ввод пароля. Я ржал, вводил пароль, и система, к великому удивлению юзверей, мне поддавалась.
В конечном итоге пароль пришлось сменить: в систему мог попасть только я, хотя пароль знали все. После этого случая я неоднократно задумывался о перспективах подобного метода защиты информации.
Я — админ небольшой конторы с несколькими разноудаленными участками. В политике домена — ежемесячная смена пароля. Есть такие пользователи, которые в поле «Новый пароль» вводят «новый», а в поле «Подтверждение» — «подтверждаю». К слову, ежемесячная смена пароля действует уже более года. Как эти юзеры работали всё это время — остается только догадываться.
В свое время писали мы с соавтором курсовую работу в форме танка для RoboCode — по-честному, с эвристическими алгоритмами и кучей различных хитростей. На сдачу пришли (получилось так) в камуфляже. Изложили комиссии суть проекта, продемонстрировали работу, провели показательный бой, в котором наш Т-256 благополучно раскатал нескольких ботов по карте. Вопрос у преподавателей был один:
Админю небольшой сайтик. Сегодня мне пришло мыло от хакера — мол, проблемки у вас там, дырочки залатать нужно. Хакер спрашивал, что за систему хеширования я юзаю: пытаясь вскрыть хеш моего пароля, он напарывался снова на какой-то хеш. Понятное дело, я не ответил.
Только после того, как оказалось, что неизвестный хакер — админ из соседней фирмы, я раскололся, что пароль «1D62C8A1A0B00CAAAD1BB9DE3148C23F71CFC689» — это и есть SHA-1-хеш очень известного виндового файлика, а использовать хеш в качестве пароля — мой способ всегда хранить подсказку под рукой.
Лежал в больнице, принёс с собой нетбук фильмы смотреть. Для интереса решил поискать вайфай-точки. Нашёл одну с WEP-шифрованием. Где наша не пропадала? Грузимся с live-флешки BackTrack — пароль наш. Вся палата радуется. Пододвинули кровать к стене, где наилучший сигнал был, сидим впятером, как зомби, на внешние раздражители не реагируем. Медсестра зашла — испугалась. Позвала врача. Пришёл врач, спросил пароль.
На следующий день пришли уже два врача с ноутами — и вот мы уже всемером сидим у стены, качаем торренты и радуемся жизни. Хорошо лежать в больнице...
Работаю программистом: разрабатываю софт для ресторанов, гостиниц и магазинов. Но история не об этом. Захожу с утра в комп, а монитор чёрный. Вслепую пароль ввёл, потом только выключателем монитора щёлкнул.
Смотрю: обоина другая, рабочий стол другой, настройки программ все сбились. Ну, думаю, мало ли, откат админы делали. Панель задач настроил, обоину убрал, переставил софт, лишнее снёс. Только ближе к обеду обнаружил, что вошёл под другим пользователем.
Кипятильник на винт как панацея от налоговой и прочих власть эксплуатирующих? Я как-то раз сделал чуть «умнее». Камрад попросил изготовить подобную «защиту», но чтобы носитель уничтожался физически. Пара пива, чешем репу, полчаса элементарной химии — и двадцатикубовый шприц с прессованным «термитом» готов! В него я вставил кусок фитиля и запал с тёркой, как на старых ручных гранатах.
Друг «термитный» шприц на суперклей присобачил к винту, верёвку от запала вывел из сервака наружу (стоял тот на столе рядом) и приспособил колечко серебряное, которое уже давно на столе валялось. Спустя пять минут зашла девочка-секретарша, вскричала: «А вот и потерянное колечко!» — и дёрнула ювелирное изделие на себя.
Брызги расплавленного металла, электрические и шлаковые искры... Переборщил я с объёмом: сгорел не только винт, но и сервер, и стол под ним.
Электронные подписи, шифрование, новые стандарты ведения дел, тендеры в интернете... На инструктаж по внедрению этой самой ЭЦП поехали специалисты юридического отдела. На флешке с ключом, прибывшим из центра сертификации — два вируса и троян, а ЭЦП нет совсем.
