Как-то с другом сидели, пили пиво и говорили о проблеме защиты информации на его предприятии. После недолгого обсуждения было решено, что на его машинку (отключенную от локальной сети и интернета) попасть можно только физически, сев за неё в офисе. Встал вопрос: как же защитить комп от такого незаконного вмешательства?
Кроме всего прочего, в его кабинете стоял маленький сейф. Туда складывались ценные бумаги, иногда деньги. Размеры сейфа были соответствующими — системник не влезал. В общем, каждый вечер друг теперь отключает от компа мышку и убирает в сейф. Интересно, часто ли хакеры-взломщики носят с собой мышки?
По роду деятельности в одной научно-военно-брутальной конторе познакомился я с военными ноутбуками. Был рабочий Panasonic Toughbook CF-28, потом я ушёл, ноут сдал, но запали они мне в душу. Решил я прикупить себе на Ибее Getac A320 (для тех, кто не видел — это такой «ядерный чемоданчик», алюминиевый кейс весом около 5 кг с ручкой). В дальнейшем появились ещё Miltope и Panasonic CF-M34, но с ними связаны совсем другие истории.
И вот моя мечта идиота приехала. Забрал его с почты, зашёл к знакомому русифицировать лицензионную винду и направился домой. Надо сказать, что ноутбуков таких в городе нашем никто не видел и, скорее всего, не увидит. По пути решил купить хлеба в местном супермаркете. Захожу, ноут в руках. Охранник на входе недовольно требует оставить его в ячейках хранения. Я отказываюсь. Охранник продолжает напирать, я говорю, что девайс этот слишком дорогой. Охранник упорствует.
— Оставьте ваш кейс в ячейке. — Это не кейс. — (злорадно) А что же? — Компьютер. — (сдерживая смех) Да ну...
Открываю ноут, охранник видит клаву и экран и замолкает.
— Тогда оставьте на стойке охраны. — (вкрадчиво и тихо) Знаете, на этом компьютере находятся важные коды для секретного применения. В случае чего все, кто имел с ним хоть короткий контакт, попадают под подозрение и могут быть (пауза)... зачищены. — (с ужасом отступая к стойке) Проходите! Проходите!
Я побродил, взял буханку хлеба, подхожу к кассе — охрана толпится рядом. Протянул хлеб кассирше, а она дрожащим голосом прошептала: «Бесплатно. Это подарок». Недоумевая, я оставил десятку на стойке и направился к выходу. Выйдя за дверь, услышал дружный вздох облегчения охраны.
Об одном жалею: в том же здании этажом ниже был супермаркет бытовой техники, а охрана на всех одна. Может быть, стоило зайти и туда? А ещё интересно, забрали ли они с кассы мою десятку, или она там так и осталась лежать?
Есть у меня любимый способ придумывания паролей. Старая уловка от лингвиста: берёшь бессмысленное словечко посмешнее, типа «мундропуп» или «бурозявка», и вбиваешь, предварительно переключившись в латинскую раскладку — набор букв получается ещё тот. И длина пароля пристойная, и логикой особо не подцепишь, не подберешь. А главное, запоминается легко — в случае sudo-пасса это особенно удобно (я убунтоводец). Слова выбираются хорошие и разные, а зачастую и не совсем цензурные. Пароль — штука интимная, чего стесняться?
Утро. Еду в маршрутке на лекции. Звонок мобильного: домой заявился мамин бойфренд, которому срочно — а главное, очень вовремя! — понадобилось в интернет. Компьютер большую часть времени безраздельно принадлежит мне, так что пользовательская учётка в Убунте всего одна — моя. Пароль к ней, естественно, рождён излюбленным методом. Интернет человеку нужен здесь и сейчас — куда деваться с подводной лодки? Чувствуя себя Чингизом из «Фальшивых зеркал», зажимаю нервы в узду и называю по буквам...
Первое, что ваш несчастный лингвист сделал, придя домой — поставил pwgen, нагенерил зубовышибательных мозгодробительных паролей с ключом -s и навек зарёкся подходить к криптографии творчески. Представьте себе, что чувствует человек, которому в маршрутке пришлось вслух и достаточно громко сообщить, что паролем его учётки является слово «ногох#йц».
В нашей конторе легализация софта происходила со скрипом. На первом этапе на компьютеры бухов поставили Убунту, а для запуска 1С и прочей кавалерии установили терминальный сервер, на котором уже крутились «пролетарские» версии винды, 1С, Офиса и прочего, освобождённые от капиталистических замашек вроде проверки ключей и лицензий. Для уменьшения вирусной угрозы в интернет бухи ходили через Убунту, да и пасьянсы раскладывали там же.
Была на работе сотрудница, которая одним своим появлением вышибала всю сеть в помещении. После недолгого разбирательства админы выяснили, что при входе в помещение она умудрялась ловко наступать на доску в полу, из-за чего обесточивался свитч, подающий сеть в бухгалтерию. Но директор постановил доску не чинить...
...потому что в один прекрасный момент мы дождались-таки проверяющих. Картина маслом: проверяющий входит в комнату, за ним директор. Шеф незаметно всем своим богатырским весом наступает на эту доску, и ревизора встречают бухи с абсолютно честными глазами, торчащие в «Одноклассниках» из-под невинной Убунты. Иконку RDP проверяющий не заметил.
Сидел я однажды у компьютера рядом с каким-то странным модемом от непонятной китайской фирмы и смотрел на него задумчиво. Инструкций, естественно нет, пользователь ходит в сеть только с одной машины, а хочет с двух одновременно.
В интернет лезть лень, настроек модема я не знаю, но в карточке провайдера указаны VPI/VCI, логин и пароль. Выставляю на компьютере адрес 192.168.1.10 — модем не пингуется. Исправляю на 192.168.0.10. Иду браузером на http://192.168.0.1/ — просит логин и пароль для модема. «Admin/admin» работают, я быстренько настраиваю роутинг, сохраняюсь, перезагружаю модем и компьютер. Из интереса вхожу в XP под учёткой локального админа, как и ожидалось, с пустым паролем. Проверяю — интернет есть.
А у пользователя рядом дикие глаза по пять рублей и один вопрос: откуда я знаю все его пароли?
Работали мы как-то в Одном Очень Крутом Банке, занимались системами защиты данных от несанкционированного доступа и другими интересными вещами. Если кто не сталкивался — это такие штуки отечественного производства, вставляющиеся в PCI-слот, перехватывающие часть I/O на себя и взаимодействующие с программной частью, интегрирующейся в Windows. Всё сделано так, чтобы «завязать» пользователя на аппаратный идентификатор — даже украденный пароль не поможет злоумышленнику получить доступ к локальной системе и данным на серверах. Этот самый идентификатор выглядит, как ключ от домофона, и работает по той же технологии. Уже догадались?
Приклеить скотчем нельзя — разработчики системы это предусмотрели, и ключ срабатывает, только если поднести его по запросу на чтение. Но пользователи не только оставляют стикеры с логинами-паролями на мониторе, но и всеми доступными способами вешают идентификаторы рядом со считывателями. Правильно, зачем далеко тянуться? По популярности лидировали цепочки из скрепок.
У нас рабочие компьютеры каждый месяц требуют смены пароля. Причём пароль должен быть криптостойким: не менее восьми знаков, включая буквы в разных регистрах, цифры и спецсимволы. Нет, я, конечно, программист, и тема защиты информации мне весьма интересна, так что я могу вспомнить около десятка таких паролей: от моего домашнего компа, от разных почтовых ящиков, от админок нескольких сайтов, — вплоть до пароля на компе на прошлой работе. Но здесь стоит ограничение: пароль не должен совпадать с 24 (двадцатью четырьмя) предыдущими. Чувствую, когда я исчерпаю свой десяток паролей, придётся либо просить наших админов снять ограничение, либо увольняться.
Сдача дипломного проекта — экспертной системы с функциями самообучения. Гриф «секретно». Пишется код в спецпомещении на спецкомпьютере, все материалы после работы упаковываются в чемодан, сдаваемый на спецхранение. Язык — Пролог, который во всем вузе знают ровно два человека, я и товарищ-студент. За неделю до защиты вирус сносит всю информацию с диска. Бэкапов нет — «секретно».
В срочном порядке методом копипаста генерируется листинг программы позаковыристей, рисуются блок-схемы, оформляется сопроводительная документация. Диплом спасён: все документы налицо, всё проштамповано и зарегистрировано в секретной части, защита подготовлена и отработана. А что программа не работает — так она же секретная, ей нельзя!
