bash.im ithappens.me zadolba.li

Безопасность

12927

Пароль должен содержать хвост и четыре ноги

20 декабря 2014, 09:48

Есть у нас общая учётка для коммерсов (человек на тридцать). Так вот, пароль очень часто либо забывается, либо блокируется. При этом раз в три месяца пароль подлежит обязательной замене: такой регламент местной СИБ.

Последние версии паролей в порядке выдачи (для удобства чтения русские варианты):

  1. продаём_слона

  2. слона_продали_вчера

  3. теперь_продаем_овцу

  4. овцу_обстригли

  5. отметили_новый_год_с_татарами_и_овцой

12910

Опорно скачать бесплатно

Кто, скажите, не смеялся над историей про студента, написавшего шуточку для младшего брата — вырубать комп, если на клавиатуре набрано «порно», — и тем, как он сам попался во время поиска реферата про опорно-двигательный аппарат?

Так вот, со вчерашнего дня я в раздумьях: то ли авторы фильтра всякой непотребщины для российского образования не в курсе этой истории, то ли, наоборот, пасхалку вставили.

Сижу себе, никого не трогаю, кеширующую проксю на «фре» ковыряю, ибо канал в школе хоть и безлимитный, но 128К там чисто теоретически, да и связь рвётся частенько. Так что, когда «Час кода» проводили, только тем и спаслись.

Зашла биологичка, которая с компьютерами даже не на «вы», а на что-то вроде «не будет ли так любезен многоуважаемый джинн…» Ну, а в роли многоуважаемого джинна — все, кто оказываются в этот момент рядом.

Так вот, надо ей для аттестации что-то изобразить с использованием современных технологий — презентацию, проектор, показ презентации… э-э-э, как его там… слайды, показ слайдов (и так далее — начало первой серии IT Crowd, в общем). Да не вопрос, надо — сделаем. Когда урок? Через полтора часа? Тю, ещё куча времени. Тему давай, ща всё будет. Забиваю в окошко старого верного Google Desktop «опорно-двигательный ppt»… Мда, локально не нашлось — жму «В интернет». И вместо результатов вижу сообщение от фильтра: «Данная страница заблокирована, так как содержит информацию, вредно влияющую на развитие…»

Нет, презентацию я ей всё же нашёл, скачал и запустить помог — мобильный интернет уже давно не редкость. Но вот причину истерического смеха объяснить так и не смог.

12838

Численное преимущество

21 ноября 2014, 08:12

Наконец-то киоск открылся! Несколько монет — и сборник сложных судоку у него в руках. Бегом в автобус, который повезёт его на работу — и решать! Выпуска этого сборника он ждал долго, готовился интенсивно, по несколько часов в день, ведь первого, кто правильно решит задачи на всех его страницах, ждёт суперприз.

Страницу за страницей щёлкал он как орешки. Потом схватил телефон, вошёл в скайп, направил видеокамеру на сборник (трансляция в реальном времени была обязательным условием конкурса) и принялся быстро-быстро решать. Уф-ф, готово! А вот и работа. 90 минут на 30 сложных судоку — неплохо. По три минуты на страницу. Не зря готовился.

С работы он отпросился за два часа до конца рабочего дня. Потому что прочёл ответ: суперприз — его! Бегом в другой автобус, ещё полтора часа — и издательство. Суперпризом оказался… удар шокера.

Очнулся он пятизвёздочном отеле привязанным к креслу. Люди в форме полиции Намибии объяснили ему, что здесь одна из преступных группировок внедрила у себя новый вид криптографии. Не квантовый, а вообще непонятно какой. Единственное, что удалось установить — что разгадать шифр можно, решив сложное судоку не дольше, чем за четыре минуты. Компьютер для этого не годится: ключом к шифру будет ЭЭГ человека, снятая во время решения. Согласишься решать всего одно судоку в день — не будешь себе здесь ни в чём отказывать. Не согласишься — пеняй на себя.

— А как же родители, жена, дети?

— Их сюда к тебе привезём и на пожизненное содержание возьмём. Ну что ж, приступим. Вот тебе электродная шапочка и первое судоку. Давай.

— Сначала их сюда, потом приступлю. Только не надо их шокером, поделикатнее как-нибудь.

— Хорошо. Доставим, даже не напугав. Но после этого — сразу приступай!

12748

Подпись верна, клянусь виндой

23 октября 2014, 07:00

Есть многое на свете, друг Горацио, что и не снилось нашим мудрецам…

Вы, наверное, никогда не имели дела с электронно-цифровой подписью при работе с банками или налоговыми в России. Всё до изумления просто. Участники документооборота должны быть уверены в авторстве того или иного документа. Считается, что после проверки подписи можно точно сказать, что в документ не вносились правки и их автор — владелец закрытой части ключа, который может быть только у автора подписи. Также должен использоваться только сертифицированный нашими органами алгоритм шифрования — ГОСТ. Вменяемо реализует этот алгоритм продукт компании «К».

И вот вы захотели поучаствовать в госзакупках, отправить отчётность в налоговую или попасть на сайт госуслуг. Вам нужен закрытый ключ, который будет только у вас. Вот тут начинаются разночтения. Кто-то заставляет получать токен специально замученным курьером с доверенностью и печатями, кто-то требует личного присутствия. Точки выдачи только в Москве, а клиенты есть такие, которым на оленях три недели добираться до ближайшего аэропорта… Но есть же интернет! Осталось придумать, как по интернету передать закрытый ключ, чтобы он не попал к злоумышленникам.

В этом месте я жму руку специалистам компании «К». Они поступили проще. Зачем передавать по закрытым каналам ключи, когда их можно сгенерировать прямо у клиента, закрытую часть сразу сбросить на дискету/флешку/токен, а открытую часть отослать на сервер для проверки администраторами? Осталось дело за малым: решить, чем генерировать пару ключей. Яваскриптом? Производительность не та, да и реализацию раскрывать так уж явно не хочется. Специальной программкой? Так её придётся обновлять (достаточно часто, там должен быть модуль связи с сервером). Обновляться автоматически? Во-от! Всё уже изобретено за нас — это или ява-апплеты, или ActiveX. Кто один умеет работать с ActiveX? Правильно, только «ослик». А то, что Хром и иже с ними до сих пор не понимают ActiveX, уж точно не проблема компании «К» и клиентов, которые пользуются их продуктами.

Вы правильно отметили: заточка продукта на IE сильно упрощает саппорт. Мы в компании клиентов поддерживаем сами и очень редко отсылаем в саппорт компании «К» (хотя надо бы). Почти все глюки связаны либо с файрволами, либо со старыми версиями программ на ОС типа «восьмёрки», либо с тем, что пользователь потерял ключевой контейнер. Руководство, читая мою переписку с клиентами, начинает подозревать во всяком: мол, при минимуме информации он даёт такие развёрнутые ответы, телепат, наверное.

А как же линуксы, спросите вы? Уверяю вас, даже в этом случае есть варианты — не такие прямолинейные, но есть. Клиентам-разработчикам всяких там автоматилок под линукс с удовольствием рассказываю, что надо приобрести и установить, чтобы не лезть к нашим серверам из-под Windows. Кому-то хватает прокси на Windows, кто-то делает более аккуратно несмотря на то, что в большинстве свободных дистрибутивов нет поддержки ГОСТ из коробки. Даже компилировать ничего не придётся — почти всё привычное из инструментария работает нормально.

Кто-то сказал: «Максимально защищённая система максимально неудобна для использования». И прежде чем менять любимый зарплатный банк на другой, предлагаю подумать: стоит ли?

12731

Пока ключи не стали тыквой

17 октября 2014, 07:12

Работаю в маленьком филиале большой компании. Раз в квартал приходится пользоваться всем известной системой отправки бухгалтерской отчётности через интернет. Главбух попросила «проверить систему» в 17:50, и на бухгалтерском компьютере за десять минут до окончания рабочего дня так ничего сделать и не удалось. Комп полудохлый, тормозит безбожно, но на нём «всё настроено» — куча сертификатов и ключей от разных важных организаций. А бухгалтеры с него в основном работают в терминале на ферме.

Итак, события следующего дня.

8:50. Запускаю подключение к системе отчётности.

8:56. Получаю сообщение об истечении срока действия сертификата через 2 часа 8 минут. Отчёт необходимо отправить строго сегодня.

9:00. Наконец добираюсь до входа в систему и обнаруживаю, что обновления требует и криптопрограмма для этой системы.

9:00 — 9:25. Обновляю криптопрограмму. Обнаруживается, что новая версия требует 20-значный ключ, а наш на 10 символов.

9:30 — 9:40. Слушаю мнение главбуха и отпаиваюсь чаем.

9:45 — 10:05. Путешествую по техподдержкам головной компании и оператора системы. Нужный человек найден, ключ запрошен.

10:10 — 10:25. Жду ключ.

10:30 — 10:50. Ввожу ключ, завершаю установку криптопрограммы, вхожу в систему под уведомление о скором истечении сертификата.

10:55. Главбух присылает Word-форму на запрос сертификата. Ждать два дня!

11:00. Обнаруживаю возможность запроса нового сертификата с помощью старого. Генерирую новый, подписываю старым за семь минут до его истечения.

11:10. Старый сертификат сдох, новый готов. Отпаиваюсь чаем, зову бухгалтера для заполнения формы.

Мораль:

  • планируй обновления сертификатов и ключей за несколько дней до их истечения, используй напоминалки (даже если на год вперёд);

  • не надейся на уведомления от вышестоящих уполномоченных товарищей;

  • доверяй пятой точке своего главбуха, ибо работа у него такая;

  • не сдавайся и борись до последнего.

12730

Руки вверх, пароль на стол

17 октября 2014, 07:00

Давным-давно решили мы с товарищем заняться бизнесом. Вложились, организовали фирму, начали работать, и даже вполне успешно: среди наших клиентов были крупные банки и довольно важные государственные организации. Вот только, пока это всё окупается и выходит на расчётный уровень, кушать-то всё равно что-то нужно. Поэтому хочешь не хочешь, а пришлось искать временную работу.

Я пошёл работать эникеем. Ну, почти: заниматься серверами, а не юзерскими машинками, но всё равно должность, прямо скажем, низовая. Ну, а что, одно другому не мешает: бизнес раскручивается, только на пару писем в день ответить и указания раздать, а в свободное время вполне можно покопаться в серверах. Соответственно, с собой ноутбук со всей информацией: документы, договоры, личные дела сотрудников, доступы к оборудованию. Как обычно, когда с чем-то работаешь постоянно — привыкаешь носить с собой и особо по этому поводу не волнуешься.

И вот сижу я в офисе, работаю, выясняю, почему внезапно недоступен сайт компании — и тут по внутренней связи проходит информация: на нас напал ОМОН. Вооружённые люди в масках и бронежилетах вломились в основной офис, всех кладут мордой в пол, компьютеры сгребают в кучу. Хорошо ещё, что айтишники были в отдельном помещении, больше похожем на склад, поэтому нас успели предупредить до того, как во входную дверь начали раздаваться удары чем-то тяжёлым. А у меня же ноутбук с конфиденциальной информацией! Мало того, что нужно спасти критические данные с серверов, так ещё и ноут не должен попасть в чужие руки ни в коем случае. Паника! Остальным-то проще — ну, настигнут, ну, заберут хозяйские базы — и чёрт с ними, другую работу найдут, а тут я сам в беде…

К счастью, в тот раз нам удалось уйти через запасной выход. И данные спасли, и ноут не пришлось прятать. А вот все компьютеры из офиса вывезли и вернули только через несколько дней. Что там с них собрали — неведомо, но, наверное, было что.

Как потом выяснилось, причина наезда была в разборках между конкурентами. Кто-то смог привлечь административный ресурс, напрячь прокуратуру и ОМОН, остановить бизнес прямо перед праздниками, в самое хлебное время. Наверняка потом как-то договаривались и торговались — это уже не моё дело.

Я из всей этой истории извлёк несколько важных уроков:

  • На вас всегда могут натравить «органы». От полиции до пожарников и санитаров — смотря какие возможности и интересы у ваших конкурентов.

  • Нельзя доверять хостингам, зависимым от «звонка сверху». Если будет заказ — вас отключат немедленно под предлогом борьбы с чем угодно.

  • Нельзя хранить секретную информацию в пределах доступности. Никакие охранники не защитят от «правоохранительных органов» — неважно, чьи права они охраняют.

  • А уж ноутбук без применения средств криптографии использовать вообще недопустимо: минимум — шифрование всего диска, максимум — отдельные скрытые криптоконтейнеры для особо важной информации, чтобы не только не прочитали с наскоку, но и с пристрастием бы ничего не нашли.

Было это давным-давно, ещё до громких взломов почты разных там оппозиционеров и истории с Павлом Дуровым. Но, как показала практика, всё так и есть на самом деле. Недаром сейчас под предлогом обеспечения информационной безопасности ведутся разговоры то про перенос серверов, то про «Чебурашку» — не доверяю я этим людям. Заокеанские спецслужбы как-то меньше пугают, чем свои.

И лучше я буду подобен Неуловимому Джо, который неуловим, потому что никому на фиг не нужен, но лучше подстраховаться заранее, чем кусать локти и «договариваться» потом.

12727

Был человек — и нет человека

Пригласили как-то в одной конторе на собеседование жутко редкого специалиста в очень узкой области. Стандартная процедура: кадровик, безопасник, будущее непосредственное начальство, пара возможных коллег. Спец явно подходит, но требуется соблюсти формальности и пройти тестирование. Дали два часа, оставили наедине с пачкой тестов в кабинете с гордой вывеской наименования отдела.

Через полчаса в кабинет влетает сурового вида большой босс.

— Вы тот самый специалист?

— Э-э-э… Я!

— Дайте ваш телефонный аппарат!

— Э-э-э… Вот.

(Выключая телефон.) Поднимайтесь и бегом за мной!

— Э-э-э…

— Бегом!

Делать нечего — бегом за большим боссом, а тот куда-то в недра ведёт, через кучу дверей с ограничением доступа и суровой охраной. Заводит в просторное помещение с множеством еле шумящего и моргающего оборудования, подводит к терминалу. Рядом внушительный шкафчик с документацией.

— Пока не исправишь, не отпустим!

Большой босс даёт команду охраннику: «Закончит — сообщите, проводите и отдадите вот это», — разворачивается на месте и быстро уходит. За спиной специалиста остаётся сурового вида охранник с амуницией, рацией, дубинкой на боку, шокером на ремне и выданной большим боссом папкой с чем-то в руках.

Со слов охранника: «Ну, он минут десять сидел с трясущимися руками и смотрел на экран, потом листал книжки с полки, потом что-то делал… Через час где-то сказал, что всё исправил, я позвонил шефу, тот перезвонил через пять минут и разрешил парня вывести».

Со слов кадровика: «Два часа прошли, в кабинете начатые тесты — и никого!»

11 часов вечера 31 декабря. Все помещения организации вскрываются и осматриваются, вся охрана на ногах, кого-то ищут. Кадровик и безопасник пьют кофе, предвкушая грядущее. У кадровика звонит телефон, он круглыми глазами смотрит на номер, включает громкую связь…

Со слов специалиста: «Меня проводили через проходную, вручили папку, пожелали всего хорошего. Понял, что легко отделался, быстро нырнул в метро — и домой, нервы восстанавливать. Только дома понял, что у меня в руках папка. Открываю — а там мой телефон, конверты с надписями „Рекомендация“, „Выходное пособие“ и „Трудовая книжка“. Только взяв в руки пухлую пачку денег и открыв трудовую, в которой не моя фамилия, я понял…»

Первым заржал суровый безопасник.


Эта история не происходила в 2004 году, все совпадения случайны, а пострадавшие — выдуманы.

12677

Пароли? Не, не слышали

30 сентября 2014, 07:24

Прислали как-то из бухгалтерии табличку. Её запаролил каким-то длиннющим паролем бывший главбух; когда он уволился, все, естественно, пароль тут же забыли. Очень слёзно просили открыть.

Я удивился: файл открывается безо всяких паролей. В чём же дело? Да просто открывал я его Опенофисом, которому до всей этой мелкомягкой безопасности дела никакого нет.

12634

Оставьте привычки дома

15 сентября 2014, 07:24

Сколько приносит компании сисадмин, который должен «оставить амбиции в серверной»? Нисколько. Вопрос поставлен совершенно не так. Сколько благодаря нему не уносят?

Сколько ядерных боевых блоков не упали в городе, где расположена штаб-квартира вашей мегакорпорации из-за того, что на другой стороне планеты боевое дежурство несут ракетные войска стратегического назначения (или стратегические ВВС)?

Сколько раз ваша компания не разорилась из-за того, что действуют финансовые регуляторы типа Центрального банка или Федеральной резервной системы, не позволяющие неустойчивому равновесию на рынке перейти в новую Великую депрессию?

Сколько раз вас не зарезали гангстеры у порога офиса из-за того, что полиция худо-бедно, но ловит преступников?

Сколько раз вы не умерли от эпидемий из-за того, что врачи обеспечили такой охват прививками, что вам не от кого подхватить заразу, которая в средневековье выкашивала Европу, даже если лично вы прививки не делали?

Сколько коммерческих тайн вашей корпорации не утекли на сторону из-за того, что офицер по компьютерной безопасности (возможно, совмещающий должность с системным администратором, сетевым администратором, эникеем, электронщиком и посыльным из-за небольшого бюджета вашей организации) давал по рукам гениальному брокеру за размещение конфиденциальной информации в открытом всем виде в социальных сетях?

Так что давайте сисадмину правильно настроить ваш компьютер и сетевое оборудование, показывайте полицейскому паспорт, выполняйте предписания пожарных и правила дорожного движения, соблюдайте гигиену. Не мешайте специалисту работать. Поверьте: оно случается. И работа специалиста по безопасности в любой отрасли не в том, чтобы обеспечить комфорт клиента и выполнять любые его капризы (за этим — к платным жрицам любви, только потом всё равно побежите к врачу, когда вас заразят, и в полицию, когда опоят клофелином и ограбят), а в том, чтобы пользователь делал свою работу, потерпев небольшие неудобства ради отсутствия серьёзной опасности.