Приснился мне страшный сон, будто ночью рабочую машину, на которую я хожу через VNC поверх OpenVPN-туннеля, сломали, завайпили жесткий диск и поставили туда голую винду, добавив туда зачем-то новелловский клиент (привет бывшим коллегам из ПФР) и сервер Lineage II. Захожу я на неё, а там только уродливые монстры ходят по пустому компу.
От всего ужаса увиденной картины я проснулся и некоторое время пребывал в шоке, после чего начал рассуждать логически. Даже если ключи от туннеля и все пароли куда-то уплыли, то провернуть подобную операцию удалённо в полном объеме невозможно (никаких других загрузочных носителей в машине нет). Нужен физический доступ, что тоже маловероятно, причём переводит проблему в категорию не моих, а значит, это всё дурацкий сон, и можно расслабиться.
Успокоившись, я смог опять заснуть. Впрочем, я всё же запланировал внеочередной бэкап локальных файлов.
Вечные войны бухгалтеров и программистов, говорите? А что бывает, когда один бухгалтер объясняет другому меры компьютерной безопасности?
Некоторое время назад по внутренней почте через систему «банк-клиент» одного очень крупного бывшего государственного банка пришло письмо о повышении мер безопасности при работе с электронными ключами. Перечень невыполнимых с точки зрения нормального пользователя параноидальных требований венчал перл следующего содержания (орфография и пунктуация сохранены):
Обращаем Ваше внимание на имевшие место инциденты, со стороны персонала организации, связанные с несанкционированным доступом к ключам уполномоченных лиц, а как следствие несанкционированный доступ к компьютерам уполномоченных лиц по локальной вычислительной сети организации и сети Интернет.
Где, когда и в какой организации «имели место инциденты со стороны персонала организации», и чего хотели добиться сотрудники этого уважаемого банка от остальных своих клиентов, мне не до конца ясно до сих пор.
В нашей проектной конторе поставили систему контроля доступа. Используется она на полпроцента её возможностей: несколько камер наблюдения и турникет на проходной, пропускающий сотрудников по магнитным ключам (проксимити-картам).
Один из многих приколов случился на днях. У департамента безопасности центр потребовал отчёт о рабочем времени сотрудников. Приходящий спец показал мне, как составлять такие отчеты, и выставил временные пределы, относительно которых отсчитывались опоздания и ранние уходы.
После этого турникет перестал предоставлять доступ до восьми утра и после пяти вечера. Сначала я не заметил привязку ко времени и отлавливал озорников, прикладывавших ключи вместе с банковскими карточками и прочим барахлом. Пошарив в справках и в самом интерфейсе, я обнаружил, что заданное спецом временное окно было привязано не только к именам сотрудников, но и к их ключам. Одна и та же политика определяла как опоздания, ранние уходы, прогулы и т. д., так и временные ограничения доступа в здание.
Пятница. Все пятеро сотрудников отдела информационной безопасности сидят и задорно стреляют друг друга в Red Faction. Дверь кабинета открыта из-за проблем с отоплением. Мониторы отвёрнуты от входа, чтобы не навлекать подозрений.
Очередной сотрудник, проходящий мимо кабинета, спрашивает:
— Что это вы всё за компьютерами сидите? — Работа у нас такая! — улыбается старший специалист, сделав красивый фраг.
— Не могу выйти в интернет, не подходит пароль. — Пароль меняли? — Нет.
Лезу в Active Directory Users and Computers и вижу, что аккаунт пользователя заблокирован, а пароль действительно не менялся. Полез я в гугл, нашел статью и понял, что я такой не один — многие администраторы сталкиваются с этой проблемой.
Причиной «залочки» аккаунта явилась политика безопасности домена, которая предотвращает N-кратный ввод неправильного пароля, после чего аккаунт блокируется. Выяснил я это благодаря утилите от мелкомягких под названием «Account Lockout Status». Но непонятна была природа блокировки...
Я пообщался со своим другом-администратором, и ответ на волнующий меня вопрос вскоре был найден. Как оказалось, друг уже проходил через эти «боевые учения» и с любезностью поделился со мной своим опытом.
Причиной всему стал Adobe Updater, который запускался при вызове Acrobat Reader и проверял наличие новых версий на своем сайте. Апдейтер не учёл одного: он не знал пароль для выхода в интернет, доступ в который пользователи нашей организации получают через прокси, прикрученный к Active Directory.
В далеком девяносто седьмом в нашу школу обязались завести компьютеры. Для будущего их размещения выбрали именно наш класс, поэтому все второе полугодие занятия проходили под звук работающих дрелей, перфораторов и болгарок.
Ближе к концу учебного года учителя начали замечать непонятную тенденцию — «мальчуковая» половина класса начала постоянно тянуть руку, причём даже отъявленные двоечники. Самое странное заключалось в том, что отвечающие ученики ничего не знали! В попытках разгадать странное поведение учеников родились различные теории: от «они чувствуют отвественность» до «пьяные, что ли, на уроки ходят».
А разгадка была проста. Для охраны будущих компьтеров была установлена сигнализация с простейшим датчиком движения, который на любое мельтешение в подконтрольной зоне отвечал загорающимся красным диодом. Мы такое видели только по телевизору, это вызвало бурный восторг, и мы постоянно поднимали руки и раскачивали ими лишь для того, чтобы загорелся светодиод.
Когда очередной нерадивый ученик на этом попадался, учителя принимали поднятую руку за желание ответить; так как ученик чаще всего ничего не знал, он старался выкрутиться и садился под дружный хохот одноклассников, понимающих, что на самом деле произошло.
Устанавливали недавно на одном объекте систему видеонаблюдения. В подробности вдаваться не стану, скажу лишь об одном элементе системы — дорогой всепогодной камере с функцией «ночного зрения». Эта камера закреплена над въездными воротами для фиксации номеров транспорта, въезжающего на территорию. Качество картинки с неё намного лучше, чем с обычных черно-белых «видеошпионов», поэтому звонок с жалобой на то, что камера дает нечёткое изображение, изрядно удивил. Техподдержка умчалась на вызов, а я, чтобы не терять времени, начал изучать мануалы в поисках возможной причины неисправности. Спустя полчаса ржущие как кони техники положили мне на стол… распечатку А4 с действительно бледным и смазанным изображением какой-то «ГАЗели».
Оказалось, что проверять въездной контроль взялся лично начальник службы безопасности объекта — бывший полковник милиции, работавший в уголовном розыске. Но как он это делал! Каждый день охранник приносил ему на рассмотрение… распечатку кадров с изображением въезжающих на объект автомашин. Поскольку печатались стоп-кадры на древнем струйном принтере с практически пустым картриджем, то чистая и чёткая картинка с камеры превращалась на бумаге в жалкую тень. Как уж техники объясняли это бывшему милиционеру, я не знаю, но больше жалоб с этого объекта не поступало.
Сессия. Все бегают туда-сюда, мне остаётся сдать последнюю работу по базам данных. Пришёл в компьютерный класс, открыл методичку и начал читать. Сложилось такое впечатление, что методички писал не очень русский человек: иногда даже окончания в словах стояли неправильно, и оставалось гадать, что имелось в виду в этом предложении.
Дохожу до рекомендаций по выбору пароля. Первые две вполне нормальные, а третья согнула меня в синусоиду от смеха:
Нежелательна комбинация букв и цифр, так как это затрудняет подбор пароля и делает бесполезной атаку по словарю.
Ходил с напарником как-то раз эникеить в местный филиальчик крупного московского поставщика косметики. Минисетка на две машины, всё настроено московскими коллегами для работы по удалёнке и запаролено намертво, чтобы продавцы не сломали.
Вызывают: «Нет связи». Проблема прояснилась практически моментально — перебили витушку. Не проблема, обжимаем новый хвост, втыкаем — связи нет. Повторный осмотр показал, что на машине отключилось сетевое подключение, а без администраторского пароля его обратно не включить. Что ж, стали звонить коллегам-хозяевам с целью узнать оный. На другом конце линии нам вежливо объяснили, что мы некомпетентны, ничего не понимаем в администрировании подобных систем, и что «коллеги» сейчас всё поправят по удалёнке. Ага, щас, с отключенным-то коннектом...
В общем, после получасовой перебранки мы-таки выпросили пароль через Большое Начальство. Тут же было поставлено условие: уничтожить записанный пароль сразу после «ремонтных работ». Мой напарник со словами «диктуйте пароль, не волнуйтесь, как починим — я съем бумажку» записывает волшебное слово... на коробке с бухтой витухи. Свидетели в ауте.
Проблема решилась за 30 секунд, связь была восстановлена, а вместо невкусной коробки спасителей накормили вкусным тортиком.
