13:00 09.02.2012, IT happens

Филиал крупной фирмы находился на территории постсоветского крупного предприятия со своими кабельными сетями и АТС — точнее, тем, что от неё осталось. На предприятии был связист, в ведении которого находилось это хозяйство. Отдел аудита как-то попытался разобраться, за что ежемесячно этому связисту платят 200 грн.

— Он что, выполняет какие-то работы?

— Нет.

— Так за что мы ему платим деньги?

— Понимаете, если ему не заплатить 200 грн, то он что-то где-то дёргает, и у нас не работает инет или работает, но очень плохо. Мы пытались с этим бороться: искали, где обрыв или плохой контакт, но не нашли. Решили, что лучше заплатить 200 грн, и пусть всё работает нормально.

13:00 09.02.2012, IT happens

Сайты в правительственном домене .gov.страна. Ресурсы с информацией по тендерам пестрят многотысячными заказами на разработку информационных порталов и систем управления с веб-доступом к специальным базам данных. За такие заказы берутся энтерпрайзные конторы с внушительным послужным списком и списком услуг, в котором не только разработки шаблонов для «джумл» и «вордпрессов», но и услуги по осуществлению аудита, построения систем защиты данных с ограниченным доступом, и прочее, прочее, прочее.

Когда же, загружая официальный документ с разработанного энтерпрайзной конторой новенького, с иголочки, сайта, абсолютно ненамеренно вытерев в адресной строке всё, кроме домен.gov.страна/files/, видишь листинг каталога веб-сервера, уже становится нехорошо.

Когда, следом заглянув в robots.txt, видишь в списке запрещённого ботам каталог популярного визивиг-редактора, к горлу подкатывает ком: «Это же крупная государственная контора, этого не может быть!»

Когда далее находишь в каталоге этого редактора веб-интерфейс плагина для загрузки файлов, не прикрытый даже банальной http-авторизацией, невольно вырывается истерический хохот: «Я могу загружать файлы? Это сон? Так не должно быть!» Но версия загрузчика настолько стара, хоть и свободна-открыта, что может благодаря уязвимостям трёхлетней давности заливать что угодно — хоть .exe, хоть .php.

Торопишься написать письмо веб-мастеру, описываешь всё в мельчайших деталях, отправляешь, ждёшь ответа — час, два, полдня, день… Ответа нет, изменений на сайте тоже. Будний день.

Минуты сомнений. Статья 361 УК? Но я же не преодолевал никаких средств защиты, их просто не было на моём пути! Потемнение разума на одно мгновение — и ты уже видишь Ubuntu на третьем ядре, не обновлённом после обнаруженной в январе уязвимости Mempodipper, установленный на сервер (sic!) KDE, энтерпрайзная БД Oracle, несколько дампов — наверное, бэкапы. Ну, хоть не совсем отсталые админы. Хотя…

В домашних каталогах админов — гигабайты видео (wget со ссылками в истории команд), музыка на любой вкус, каталог games на пятнадцать гигабайт. «Герои Голд»? Не, не играл в такое. Ничего не трогаю, ничего не удаляю, ничего не сливаю, выхожу, оставив записку на видном месте.

Письмо-ответ от вебмастера так и не пришло. Радует, что сайт таки прикрыли через несколько дней — видимо, при помощи rm -rf /*. Теперь моя совесть чиста.

Ребята, если вы узнали себя, не стесняйтесь — давайте спишемся, встретимся за бокалом хмельного напитка вечерком. Поскольку «спасибо» я не дождался, то вы угощаете. За беседой я расскажу вам, у кого из ваших коллег по правительственным сайтам до сих пор есть или была такая же фигня, а вы мне — как с таким уровнем знаний, умений и профнавыками получать такие заказы и такую работу. Буду ждать.

15:00 09.02.2012, IT happens

Сидим на работе в офисе всем админским составом. Пришли три новых сервера и шесть новых системников. Радость неописуемая. Всё настроили, вылизали — красота! План выполнили, делать нечего — запустили Counter-Strike, играем три на три.

Входит в кабинет начальник, видит всё это безобразие, начинает орать не своим голосом. В итоге ушёл, извиняясь. Как думаете, почему? Правильно: «Мы тестировали новые компьютерные системы в различных условиях, с различными потоками задач и различными нагрузками».