Безопасность для всех и каждого, и пусть никто не уйдет

[dastapov]

"- Вы останетесь в доме! - приказал робот.
С удивительной быстротой двигаясь на своих гусеницах, он пересек комнату, загородил собой дверной проем и протянул руки к пульту у потолка, чтобы включить защитное поле вокруг дома. В ужасе Кармайкл увидел, как быстро перебирая пальцами, робот перенастроил установку.
- Я изменил полярность охранного поля, - объявил Бисмарк. - Поскольку выяснилось, что вам нельзя доверять соблюдение предписанной мной диеты, я не вправе позволить вам покинуть дом. Вы останетесь внутри и будете подчиняться моим благотворным советам."

Я участвовал в проекте, заказчик которого настаивал на строгом соблюдении ряда своих внутренних процедур и правил. Одно из правил гласило, что все сотрудники компании, а также партнеры (партнеры партнеров и т.п.) должны заключить с компанией договор о неразглашении коммерческих и всяких прочих тайн. Второе правило гласило, что все работы на благо компании ведутся исключительно на оборудовании компании и инструментами, предоставленными компанией. Как вы уже поняли, к вопросам информационной безопасности компания относилась более чем серьезно.

В результате я стал (на время) обладателем предоставленного компанией ноутбука, который был защищен на всех уровнях: диск его был зашифрован SafeDisk-ом, и для загрузки требовалось указать пароль. Учетная запись Windows была сильно урезана в правах, и ни о каком локальном администрировании и речи быть не могло. Все коммуникации с компанией поддерживались при помощи VPN в их штаб-квартиру - почта через их exchange-сервер, интернет через их прокси, и т.д. и т.п.

Компьютер был далеко не самым современным, и тормозил, как только мог. SafeDisk тормозил, расшифровывая и зашифровывая секторы при доступе к диску. Windows XP тормозил, загружаясь с зашифрованного диска и робко пряча тело жирное в 512Мб памяти. Своп, как вы понимаете, тоже был на зашифрованном диске. Добавьте к этому антивирус, проверяющий все и вся, не шибко быстрый VPN, нестандартную раскладку клавиатуры, мою искреннюю "любовь" к работе в win-окружении - и в поймете, что работать на этом чуде враждебной техники было одно удовольствие.

Загружался ноутбук минут 10, соответственно, я старался никогда его не shutdown-ить. а вместо этого опускать в hibernate. Тогда он просыпался быстрее, минуты за 3.

И вот однажды мне потребовалось БЫСТРО написать заказчику очень важное письмо, и ехать на деловую встречу. Время поджимало, письмо было объемным, я спешил, как только возможно, и, казалось, едва-едва успевал до назначенного срока. Памятуя о том, что VPN тут - штука не быстрая, я загодя запустил VPN-клиента и сказал "connect!". Соединение было установлено, я отправился дописывать письмо.

В это время на компьютере оживилась всякая нечисть и, учуяв VPN, стала качать себе всякие апдейты. Outlook обновлял реплику адресной книги, VPN-клиент - правила firewall-а, антивирус - антивирусные базы и какие-то свои модули (не забывая попутно проверять все, что качалось параллельно другими программами). Ноутбук весело затрещал свопом, слова в outlooke стали набираться не по буквам, а минимум по слогам. Я, чертыхаясь, пытался успеть дописать письмо за оставшиеся несколько минут.

Тут антивирус закончил качать свои базы и обновления и вывесил в трее уведомление: "Я накачал критических апдейтов. Меня надо перезапустить. Перезапускаюсь". Уведомление скрылось, появилось окошко: "Для завершения обновления антивируса, компьютер надо перезапустить. Ok?". Поверх него открылось еще одно окно от VPN-клиента: "Ахтунг! Мы остались без антивируса! Защищенное VPN-соединение в trusted сеть не может быть использовано в таких условиях. VPN-соединение будет закрыто.". Поверх него открылось еще одно: "Outlook остался без связи с Exchange-сервером, вы не сможете получать и отправлять письма".

Матерясь, на чем свет стоит, я понял, что проще отдаться, чем объяснить, что мне осталось писать пару предложений. Спустя 10 томительных минут ожидания я (уже опаздывающий сверх всяких пределов) запустил Outlook и ... увидел, что папка Outbox пуста.

Последний раз подобное ощущение потери овладевало мной году эдак в 94-м, когда у меня враз накрылся винчестер на 80 мб, и все, что на нем было, потерялось безвозвратно. Желание кинуть ноутбук в стену преодолевалось с трудом. Я решил, что, по крайней мере, уведомлю клиента о том, что по техническим причинам отвечу ему позже. В поисках адреса какого-то начальника, которого надо было ставить в "CC:", я пошел рыться в папке Sent и ... увидел там свое недописанное письмо. Якобы уже отправленное.

Вскрытие показало, что письмо реально никуда не уходило, никто его не получал, а Outlook не захотел сознаваться, по каким причинам оно было перенесено в Sent. С тех пор я дожидался завершения процесса обновления антивируса, и лишь потом начинал писать важные письма по этому проекту. На всякий случай - мало ли, может у него в запасе есть какие-то еще благие намерения.

Comments

[the-frost-msk.livejournal.com]

За исключением SafeDisk'a все остальное - норма жизни в крупных компаниях.
Вместо SafeDisk'a чаще используют аппаратное шифрование с PowerOn-паролем у ноута.
А VPN могут ведь и через RSA подключать. Отдельноье веселье, особенно на dial-up'e.

[arkanoid.livejournal.com]

да-да. с биометрией потому что лень пароль вводить :-))))

[the-frost-msk.livejournal.com]

Не, биометрию пока редко используют.
Высоковат процент сбоев, а слишком часто разлочивать аккаунты охотников мало.

[gonzo.kiev.ua (from livejournal.com)]

Рассказ читал когда-то в Юном Технике. Автора вот только не помню :)

[http://users.livejournal.com/_adept_/]

Роберт Сильверберг, "Железный Канцлер"

[f-andrey.livejournal.com]

Помнится был еше фильм с подобным сюжетом где компьютерный дом взбунтовался против ученого

[http://users.livejournal.com/_navi_/]

ага, спасибо, что напомнил, я тоже этот замечательный рассказ в ЮТ читал :-)

А не помнишь случаем, что там был за фантастический рассказ, где (смутно помню) двух человек инопланетяне (?) поместили в комнату, материализовывали всё, что они желали, в результате те пожелали оружие и стену посреди комнаты, а потом её разрушили деревом кажется (ох!)?

[atrow.livejournal.com]

Блин, как же давно это было..
Вот, нашел: http://books.rusf.ru/unzip/add-on/xussr_ty/temkig01.htm?1/2
Григорий Темкин, Барьер

[starcat13.livejournal.com]

Роберт Силверберг "Железный канцлер"

[sergey-sidorin.livejournal.com]

+1, "Юный техник" за какой-то махровый 88-89-й год.

[vorotylo.livejournal.com]

Супер, Адепт! Я поржал. И загодя приготовил картинку.

PS: В следующий раз не подавляй желание расфигачить эту хрень об стену.

[shmyg.livejournal.com]

В тех проектах, где я участвовал, абсолютно все это по фигу. У меня внешняя почта, никаких VPN-ов, никаких оутлуков (Господи, прости). Втыкаю свой ноут с дебианом в сетку - и в путь. Главное - работу работать.

[ex-ivlad.livejournal.com]

Рассказ этот я обожаю.

[weaverine.livejournal.com]

Знакомо. Я несказанно рада, что кто-то в свое время перепутал и мне выдали новое Леново, которое мне по рангу не положено, потому что престарелый Компак еще как-то через пень-колоду работал воткнутым прямо в корпоративную сеть, но просто физически не тянул VPN.

[rssh.livejournal.com]

Ага. А у нас помню был проект, где нам был запрещен логин на продакшин сервер приложений (только их админы, мы передаем програмы), и на пользователя xxx БД, в то же время когда они думали что что-то случалось, нам звонили и давали логины от сис-а ;)

[egorfine.livejournal.com]

...и все зашифровано, и все строго по паролям, чтобы ни один же ж шпион!... ну а поскольку тетя Маша уже не молодая женщина, мы ей поставим пароль 55555 и напишем большими буквами возле монитора, чтобы не забыла и чтобы ей было удобно.

[shpax.livejournal.com]

бугага но ЧАСТЬ из 8ми символьного пароля 55555555 - нужно написать таки в Upper case ;-)

[nex-otaku.livejournal.com]

Что мешало сделать из него(на время работы) нормальный ноутбук?

[arech]

Видимо, фаервол с антивирем отвалились не полностью и их интерфейсная часть, осуществляющая взаимодействие с аутлуком, осталась частично живой. В неё и ушло Ваше сообщение стандартным для аутлука образом, что для него означает, что он отправил сообщение. А уж, что оно реально дальше не пошло, - то да, мертвый фаервол/антивирь не пустили...

[xoma-xoma.livejournal.com]

В одной Большой Компании, где я когда-то работал, для написания писем использовали Ворд, чтоб "внезапная перегрузка Аутглюка" не приводила к столь критичным душепереживаниям. Хотя, с другой стороны, загрузка ещё одного МС-Офисного приложения здоровья ноуту явно не прибавило бы, но зато вызвала новую лавину загрузки апдейтов... ;)
не люблю Аутглюк, не люблю Лотус Ноутс -- монстры с камнем за пазухой...

[dewfy.livejournal.com]

Имея физический доступ к компу приобрести админский аккаунт ...
Сам Шеннон говаривал что-то такое: "безопасность компьютера - это когда он заперт в сейфе в изолированной комнате с вооруженной охраной".

[ex-ivlad.livejournal.com]

Что-то у меня есть подозрение, что Шеннон этого сказать не мог. В годы его активной работы компьютеры в сейф не помещались. :)

[dewfy.livejournal.com]

Всецело признаю, но точность цитаты не обещал. Скорее всего речь шла об информации.
Уж простите мою гиперболу.

[dendik.livejournal.com]

Запароленный биос + опечатанный HD?

[dewfy.livejournal.com]

Запароленный биос нам мешает только тем что нельзя всунуть дискету. Подобрать пароль админа самым банальным brut-force помогают утилиты типа LC4 - им не нужен админский аккаунт, ведь иначе ни Win ни Linux не смогли бы реализовать имперсонизацию. 12 символьный пароль вскрывается за ночь (с 15 около 2х суток).
Для примера, в одной конторе работая сторонним консалтером (к слову имено там я познакомился с глубокоуважаемым автором _adept_) перед поездом срочно потребовалось сделать админскую операцию. Ждать заявки на приход админов было никак нельзя. LC4 справился с подбором за 7 мин.

[andy-shev.livejournal.com]

На линуксе всё же через John the ripper можно.

[-avm-.livejournal.com]

Можно, если хэш пароля есть. А откуда его взять?

[andy-shev.livejournal.com]

А как иначе?
Простым перебором система просто заткнётся на время и опаньки.

Как достать хеши - отдельная тема. Самому интересно послушать существующие методы.

[alexander-mikh.livejournal.com]

посмотрите на Ophcrack live CD

[gns-ua.livejournal.com]

> "безопасность компьютера - это когда он заперт в сейфе в изолированной комнате с вооруженной охраной".

это говаривал Gene Spafford : "The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts."

[dewfy.livejournal.com]

видно когда слышал эту фразу сработало ложное узнавание. Спасибо за цитату.

[jin-ua.livejournal.com]

а що ж ти хотів - усі пллються на корпоративні середовища