За то время, что я считаюсь опытным пользователем, я повидал много любопытных и не очень решений в области безопасности. Сегодня меня порадовала отечественная социальная сеть, которая не устаёт подчёркивать, как сильно она заботится о защищённости учётных записей своих пользователей: даже ввела привязку к номеру мобильного телефона, чтобы владелец всегда мог вернуть себе аккаунт, даже если тот был похищен злобными хакерами.
Я зашёл к себе на страницу через мобильный браузер. Меня встретили надписью:
Вы пытаетесь зайти под именем <такого-то> из необычного места. Чтобы подтвердить, что вы действительно являетесь владельцем страницы, пожалуйста, укажите последние четыре цифры номера мобильного телефона…
А дальше — не верю своим глазам:
…В случае, если вы по какой-либо причине не можете вспомнить номер, к которому привязана ваша страница, вы можете сменить этот номер. Для этого нажмите сюда.
Нажимаю — действительно, открывается текстовое поле и кнопка «Сменить номер». Браво, товарищи разработчики! С нетерпением жду появления аналогичной страницы в форме логина:
Вы ввели неправильный пароль. В случае, если вы по какой-либо причине не можете вспомнить пароль к вашей странице, вы можете сменить этот пароль. Для этого нажмите сюда.
В детстве меня, как и многих из вас, родители хотели оградить от вредного влияния компьютера. Но компьютерной грамотности для установки пароля на BIOS им не хватило, и они решили действовать более грубыми методами. Сейфов и дипломатов с кодовым замком в нашем доме не имелось, зато имелась запирающаяся на замок комната с окном, выходящим на длинную лоджию. В комнате и стоял P-166 с вожделенными третьими «Героями».
Скилл аккуратного отковыривания штапиков, съёма стёкол и очень быстрого стекления рамы до первоначального состояния я и потом не раз использовал для проникновения в помещения без следов.
Я тот самый программист банкоматов, упоминаемый в недавней истории. Постараюсь вкратце ответить на некоторые вопросы, волнующие автора.
Для начала давайте подумаем: что самое главное в работе банкомата? Красивый и удобный интерфейс? Нет. Последовательность выдачи денег, карты и чека? Нет. Сложная интеллектуальная система подсказок с постоянным обращением в процессиноговый центр? Опять нет.
Самое главное в работе банкомата — безопасность. Как находящихся внутри сейфа денег, так и карт клиентов. И если деньги банк ещё может застраховать, то от считывания скиммером карту застраховать не получится. Поэтому часто можно встретить накладку на картридере, которая медленно, будто умирающий лебедь, захватывает и возвращает вашу карту. Это не банкомат тормозит, это вас защищают от потенциальных мошенников.
Почему на пин-клавиатуре не работает кнопка Enter, а подтверждение происходит по нажатии боковой кнопки? Да потому, что пин-клавиатура и боковая кнопка — это разные устройства, подключённые к разным контроллерам, и назначение у них разное. Если клавиатуру вырвут с корнем из корпуса (такое бывало) и вставят в фейковый банкомат, то пин-код с помощью неё ввести не получится — для того и сделано отдельное подтверждение.
Пункты в меню не работают? Опять тут «виновата» безопасность. Чем сложнее система, тем проще найти в ней уязвимость. Поэтому вместо красивых, интерактивных и интеллектуальных меню выбора суммы с подсказкой используются простые статические картинки.
У «П***-банка» тормознутые и медленные банкоматы? А вы пробовали сообщать об этом в сам банк? Большинство проблем со скоростью работы банкомата непосредственно связаны с находящимся внутри банкомата системным блоком типа «компьютер», который очень часто работает на всем известной ОС от дяди Билла. Иногда банальное увеличение ОЗУ приводит к многократному увеличению скорости работы железного ящика. Обратитесь в техподдержку банка, и через какое-то время, вполне вероятно, ваш банкомат будет летать со скоростью света.
И пока у банков на первом месте будет безопасность средств клиентов, вы не сможете поиграть в «косынку» на банкомате, как это делают на богомерзких платёжных терминалах, с вашей карты не украдут ни рубля, а запрошенная сумма будет всегда выдаваться в полном объёме и без сбоев. Удачи!
Мой друг, хозяин небольшой фирмы, настолько боится ОБЭП, что не только перевёл все компы на линукс, но и запретил работникам качать из сети музыку и фильмы, а охраннику приказал каждый день проверять ноутбуки и смартфоны сотрудников на отсутствие нелицензионного ПО и контента, прямо как в европейских аэропортах.
Заявились как-то в контору гости. Охранник их останавливает:
— Ноутбук для досмотра предъявите. — Нету. — Тогда смартфон. — Тоже нету. — А есть что?
Достают Nokia 6230i.
— Покажите, проверим на наличие ворованных Java-приложений и музона.
Проверил — обнаружил только Opera Mini да Jimm и успокоился. А они ему:
— Кто вообще вам позволяет досматривать личные ноутбуки и телефоны? — ОБЭП придёт — не будет разбирать, личные — не личные. Хозяин как огня ОБЭПа боится. На линукс нас перевёл, сотрудникам качать музыку и фильмы запретил, ноутбуки и смартфоны досматривать меня заставил.
У гостей от растерянности отвисли челюсти. Не знали, как объяснить, что они и есть тот самый ОБЭП. К слову, проверка прошла без сучка и задоринки.
Дело было года два назад, учился я в универе на физика. Для всех желающих в общежитии имелся компьютерный класс — кому почту посмотреть, кому по учёбе сварганить что, кому во флеш-игры поиграть. Повадились мы там в «Доту» резаться — каждый со своей флешки, ибо при отключении с компа всё стиралось. Позже мы обнаружили, что папка All Users со всем её содержимым выживает, но история не о том.
Однажды злым админам надоело, что вирусы, принесённые юзерами, носятся по сети туда-обратно. А может, просто при очередном апдейте кто-то напортачил. Так или иначе, при подключении флешки стали требовать установить дрова, а для этого требовать админский пароль. Параллельно все компы вычистили, и наши залежи пропали. Народ затосковал не по-детски.
Все пользователи делились на группы доступа. При подключении надо было выбрать свою группу из выпадающей менюшки, ввести свой юзернейм и пароль. Была там видна и группа Administrators — а толку? Но пытливый ум отлучённого от любимой игры студента способен преодолеть любые преграды.
При подсоединении флешки появлялось окошко с сообщением, что для установки дров нужны права администратора, при этом винда услужливо выдавала окошко логина с уже подсвеченной группой админов. Только, в отличие от окошка входа в систему, поле Username было не просто полем ввода, а выпадайкой. Любопытство дёрнуло меня посмотреть: кто же у нас админы? В списке значилось штук пять учётных записей. Одна привлекла моё внимание: называлась test123. Явно кто-точто-то проверял и поленился придумать нормальное имя. А если он такой лентяй, то, может… 1234? Не подошёл. 12345? Опаньки, грузится мой драйвер!
Вечером того же дня десять радостных студентов сидели и яростно пытались перекликать друг друга в «Доте». А учётка эта просуществовала до последнего дня моей учёбы, а может, так и существует до сих пор.
Верно говорят, что у айтишников мозги работают по-другому.
Поставили в нашей конторе в туалете механический кодовый замок, дабы посторонние личности в виде бомжей и иже с ними не шарахались и не уворовывали мыло, полотенца и остальные причиндалы. Курим с коллегой, админом соседнего отдела. Слышится дёрганье ручки двери, на которые та, впрочем, не реагирует. Пятисекундная пауза на осмысление — и попытка потыкать в кнопочки. А вдруг?.. Но замок заперт. Затянувшись сигаретой, изрекаю:
Последние новости и истории о взломе тех или иных сайтов напомнили мне историю, которая произошла несколько лет назад.
Позвали меня проверить безопасность в некоей полугосударственной организации. Контора никоим образом не была связана с финансами; с другой стороны, в её сети хранились личные данные достаточно большого количества граждан.
Итак, прихожу я туда, сажусь напротив начальника IT-отдела и начинаю его интервьюировать по поводу того, что у них есть в сети, как она построена. Он выкладывает передо мной чертежи, документацию и прочее. Смотрю, читаю — планировка достаточно грамотная. Хорошему, естественно, нет предела, но вполне адекватно сделано.
— Хорошо, — говорю, — а теперь давайте прогуляемся и посмотрим, как оно выглядит физически.
Идём в серверную, мне показывают, где что стоит, как подключено. И тут у меня возникает ощущение, что мне (точнее, им) чего-то не хватает. Чего-то, что я видел на чертеже, но не вижу в реальности.
Закончили обход, вернулись в кабинет к начальнику, закрыли за собой дверь.
— Скажите, пожалуйста, вот тут (тычу пальцем в чертёж) у вас нарисован файрвол. А где он физически? Я его нигде не видел. — Да вот же он, — отвечает начальник и показывает мне за спину. — Мы его уже два года назад купили.
За мной на полке лежит он. В картонной коробке, запечатанной в целлофан, с надписью «Check Point».
До сих пор горжусь своей выдержкой. Я не начал хохотать в лицо, а сдерживался, пока не вышел на улицу.
Как, по-вашему, взламывают пароли? Если честно, я и сам знаком с этим процессом только понаслышке: у меня другая специализация, в железе ковыряться. А вот сценарист фильма «След. Сантехник» знает. Оказывается, для этого надо запустить одновременно два плеера XMMS с визуализацией, чтобы покрасивее было, а под ними посередине расположить анимированный GIF с фразой «Идёт подбор пароля». И всё! Попробовать, что ли?
Контора-провайдер. Сидят девушки в колл-центре, принимают вызовы от клиентов. Дабы поддерживать безопасность внутри компании, существует правило регулярно менять пароли. Естественно, люди их регулярно забывают. И вот сидит одна барышня и тщетно пытается вспомнить свой последний пароль.
— Ну, это какая-то планета! — в голосе слёзы. — Сатурн? — Нет. — Юпитер? — Нет! — Марс, Венера, Меркурий, Уран, Плутон? — НЕТ!
Идут всем гаремом на поклон к сисадмину. Тот жуёт бороду, стучит по кнопкам…
