Выбрать главу

ОПЫТЫ: Вопиющий в пустыне. Сетевая безопасность по-ближневосточному

Автор: Алексей Фридман

Публикация рецензии на книгу Кевина Митника «Искусство вторжения»[См. «КТ» #1-2 от 18.01.2006.] заставила многих пересмотреть отношение к легендарному «хакеру», о чем они поспешили сообщить ее автору. Однако, нашлись люди, которые полностью поддержали подход Кевина. «Зачем учиться ломать, если все можно взять и так, лишь продемонстрировав выдумку и немного обаяния?», — спрашивали они. А один читатель, живущий в одной очень маленькой, но гордой ближневосточной стране, поспешил написать небольшую статью о том, как обстоит дело с сетевой безопасностью в его организации, дабы заочно поддержать господина Митника. Предлагаем ее вашему вниманию. — С.В.

Я работаю в большой государственной организации в одной далекой стране, где тоже читают «Компьютерру». Контора эта большая, имеет прямое отношение к деньгам и содержит в своих информационных хранилищах сведения о каждом без исключения гражданине страны. Мне не хочется здесь называть ни страну, ни организацию по двум причинам — первая это желание сохранить хотя бы видимость анонимности, а вторая состоит в том, что вы можете подставить любое название, поменять страну, а проблемы останутся теми же. Причина тому одна — человеческий фактор, а именно косность, нежелание что либо менять, неизбывный авось и потрясающая уверенность всех и каждого в собственной правоте. Так вот, в одной далекой-предалекой ближневосточной стране, в одной большой-пребольшой организации жили да были пользователи сети…

Нет, не так. Живут-то пользователи корпоративной сети неплохо, но безопасность последней обеспечивается довольно странным образом — почти на каждом мониторе (у кого-то плоском жидкокристаллическом, у кого-то стареньком 15-дюймовом, пучеглазом) прилеплена большая наклейка с пространным текстом, сообщающим, что информация, выводимая на данный дисплей, секретна, предназначена только для глаз допущенного персонала и за разглашение ее полагается суровое наказание, согласно статьям закона таким-то и сяким-то. Скажу честно — надпись на этой наклейке никто и никогда не читал, а кто и читал — давно уже забыл. Конечно, сеть тут отделена от Интернета. Физически отделена: на каждом рабочем месте есть только электронная почта, хорошо защищенная антивирусным фильтром одной известной компании, который не пропускает внутрь почти никаких вложений. Но системы фильтрации контента тут не предусмотрено, так что спам неплохо ходит как внутрь, так и наружу; нет никаких препятствий тому, чтобы из окна рабочей программы скопировать несколько килобайт информации и отослать куда угодно. Да и зачем мучиться с почтой, если можно просто распечатать что угодно на лазерном принтере и спокойно унести в портфеле домой. А как же Интернет, спросите вы? Очень просто — в офисах организована отдельная сеть, через обычный ADSL-модем подключенная к Интернету. Ради обеспечения безопасности из интернет-станций выкручены флоппи-дисководы. Обезвредить порты USB никому в голову не пришло, в то время как у каждого второго сотрудника в кармане лежит USB-флэшка солидной емкости. Базу целиком не утащишь, но если заархивировать и разбить на тома, то за недельку — вполне. Но настоящий ужас мне внушает программно-аппаратный зоопарк имеющихся в эксплуатации компьютеров и программ. Основная рабочая программа и база данных находится на мэйнфрейме IBM, установленном в центральном офисе. Все пользователи подключены к мэйнфрейму через веб-интерфейс программы эмулятора обычного терминала, что не удивительно — основная рабочая среда неизменна уже лет двадцать, говорят даже (я лично не видел), что в одном из отдаленных филиалов часть сотрудников до сих пор работает на монохромных терминалах. Как оно работает — сами понимаете.

Но вернемся к информационной безопасности. Исторически сложилось так, что большинство сотрудников имеет четыре разных пароля, необходимых для работы — пароль для сети Novell, для входа в домен NT, код для основной рабочей программы и для программы учета и контроля рабочего времени. Управленческий состав и техники имеют дополнительные пароли для своих нужд. Естественно, разум государственного чиновника вместить в себя такое количество информации не в состоянии, поэтому, как правило, все эти пароли у них одинаковы и записаны на бумажке, лежащей под клавиатурой. В крайнем случае, в ящике стола или другом подобном «секретном» месте. Большинство паролей, по моим наблюдениям, не длиннее шести знаков. Обусловлено это тем, что в основной рабочей программе длина пароля фиксирована и составляет как раз шесть символов. Типичный пароль сотрудника состоит из одной-двух букв и идущей подряд последовательности цифр, например — jd1234. Более того, многие работники убеждены, что необходимость смены пароля каждые 90 дней есть спущенная сверху глупость, а посему тратить на нее время совершенно необязательно. Когда приходит пора сменить пароль, они меняют в нем одну букву. Многие аккуратно ведут список бывших паролей, ведь система не принимает при замене код, ранее существовавший у данного пользователя. Обычно на последней позиции данного списка значится актуальный пароль. Где хранится бумажка с записями — см. выше.