Алекс Экслер - Омерт@. Учебник по информационной безопасности для больших боссов

Да-да, именно так это и звучало, если я правильно законспектировал все эти прелестные русские артикли.

Дальше что? Далее этот побитый жизнью человек садится за стол и занимается «охраной вверенной ему территории». Так по крайней мере записано в контракте, который составляет фирма Большого Парня с охранной конторой.

На деле выглядит это следующим образом… Звоню в дверь. Открывают, не спросив, кто и что. Кстати, меня сегодня не ждут. Я сразу сказал Большому Парню, что после заключения нашего контракта приду не сразу, а в какой-то день в течение месяца. И чтобы он не говорил ни одной живой душе о том, кто я такой, и что я появлюсь в офисе.

Охранник спрашивает мою фамилию, получает на руки документ и старательно вписывает в тетрадочку мои данные: «Петр Васильевич Мокин». Документ – удостоверение красного цвета, которое я купил в ближайшем магазине канцтоваров и заполнил на коленке. Там стоит совершенно идиотский штамп, текст которого представляет собой бессмысленный набор символов. Но охранника документ устраивает. Тем более, что «красная книжечка», как мне рассказали, в Росси в почёте. В таком авторитете, что её может купить любой желающий за сумму в полтора доллара и заполнить любым бредом.

Далее идёт волнующий диалог.

- Вы к кому? – строго спрашивает охранник, старательно насупливая брови. Вероятно, это должно означать, что если я совру – меня тут же покарают силы небесные.

- В компьютерный отдел, - отвечаю. – На предмет отладки TCP-IP протокола в интранетовской сети и тестирования асинхронных  портов.

Охранник в замешательстве. По идее, ему нужно позвонить и спросить, но повторить все эти термины он не в состоянии. Кроме того, звонить ему тоже неохота. Поэтому он, еще раз насупив брови, спрашивает:

- А вас вызывали?

- Ясный пень, - отвечаю, - я сам приехал, по собственной инициативе. Мне больше делать нечего, как просто так ездить по всяким вшивым конторам без вызова.

Охранник успокоен. Клиент злится, значит, всё в порядке. Два сантиметра его мозга быстро прикинули, что если бы я был чеченский террорист с гранатомётом, то у меня за спиной, во-первых, был гранатомёт, а кроме того, я бы стал горячо доказывать, что меня вызывали, поэтому я тут. «Сердится – значит, правда по делу», - решает охранник и гордится своей проницательностью.

- Да я просто спросил, - улыбается охранник и брови его предательски расползаются. После этого он подробно рассказывает мне, как пройти в компьютерный отдел и желает всяческих успехов.

После этого начинается не лишённое приятности путешествие по офису…

Офис

Вряд ли имеет смысл подробно рассказывать, каким образом я хожу из комнаты в комнату и что за диалоги там звучат. Я думаю, что намного проще и нагляднее результат моих исследований свести в несколько постулатов, которые с небольшими вариациями верны для большинства тех офисов, что я посетил.

Охранник считает, что раз человек пришел в офис без базуки, значит, он не может быть злоумышленником. У злоумышленника, знает охранник, чёрная борода, бандана цвета хаки и безумный блеск в глазах. Все, кто не подпадают под этот образ, злоумышленниками быть не могут.

Практически во всех комнатах считают, что раз человек прошёл охранника – значит, ему можно доверять на все сто.

В любой комнате достаточно произнести имя-отчество генерального, после чего вам предоставят все документы и раскроют все секреты. Имя-отчество генерального можно узнать у охранника – он его мгновенно сообщает, из почтительности вставая и принимая позу «смирно».

Ни в одной из комнат, когда я именем генерального требовал пустить меня к компьютеру, никуда не позвонили и не спросили, кто я такой и почему произношу имя генерального всуе.

Девяносто процентов пользователей не помнят свои пароли, поэтому хранят их следующим образом:

Записанными на стикере и прилепленными к монитору.

Записанными на листочке, который лежит под стеклом на рабочем столе.

Записанными на стикере, который прилеплен к дну выдвигающегося ящика. Для удобства доступа ящик всегда выдвинут.

Записанными в специальной записной книжке. Для удобства пользования книжка всегда раскрыта на листочке с паролями и лежит под монитором.

Сверххитроумные пользователи пароль на стикере пишут задом-наперёд – чтобы враг не догадался. (Одна девушка буквально потрясла меня тем, что на её стикере было написано дословно следующее: «ANEL (вводить наоборот)»).

Во многих фирмах из-за постоянной чехарды с забытыми паролями благоразумные сетевые администраторы вводят один-единственный пароль для всех пользователей. Так как пользователи забывает и его, пароль крупными буквами написан на листе А4 и прикноплен к доске объявлений.

Секретные дискеты с ключами, требуемые для запуска особо конфиденциальных программ, практически всегда торчат в дисководе и не покидают свое пристанище годами совершенно независимо от того, присутствует ли за компьютером тот единственный человек, который должен иметь доступ к этим секретным данным, или нет.  То же происходит с ключами, которые остаются в com-портах.

Пароль на доступ к сетевым папкам называют сразу, стоит только задать коронный вопрос: «А какой у вас тут пароль к сетевым папкам»? При этом в 70% до задавания коронного вопроса я даже не называл имя генерального, а в остальных случаях даже и не говорил, кто я такой.

На просьбу: «Вы не позволите посмотреть ваш компьютер? Меня прислал генеральный» - реагируют очень душевно. То есть позволяют. Впрочем, реакция зависит от моего внешнего вида. Если я – толстый и лысый пузан с бородавкой на носу, то сначала всё-таки позвонят в секретариат и спросят, что за хрен тут просится за компьютер. Но если я, как и есть в реальности, хорошо одетый мужчина средних лет с симпатичным и располагающим к себе лицом – никаких вопросов не будет. Все сотрудники фирмы так же, как и охрана считают, что злоумышленника сразу видно по бородавке на носу, засаленной футболке или по базуке за спиной.

Когда симпатичные сотрудницы бухгалтерии уходят обедать, оставляя комнату совершенно пустой, на всех их мониторах светятся данные «чёрной» бухгалтерии. Всё это элементарно можно вывести на принтер, стоящий там же в комнате. Но если вам лень возиться – просто возьмите эти бумаги со столов. Они там лежат распечатанные… Впрочем, врать не буду, примерно в 10% фирм бухгалтеры, покидая комнату, её запирают. Вместе со мной. Любезно объясняя, что у них так заведено. Поэтому они пойдут обедать, а я пока могу поработать. Запертый.

На вопрос: «Какой процент зарплаты вы платите “по-белому”?» - отвечает любой бухгалтер. Но только в том случае, если ты подтверждаешь, что не служишь в налоговой полиции. Ответ: «Нет, я по компьютерной части», сдобренный парой заковыристых терминов, - их вполне успокаивает.

Отдельная комната с самым святым, что есть на фирме, - сервером – заперта наглухо! Специальным кодовым замком! Открыть его почти невозможно! Для этого нужна или тонкая железная расческа, или простая наблюдательность: цифры, которые нужно вводить, изрядно загрязнены пальцами сетевого администратора. А так как больше трёх пальцев он использовать не умеет, перебор комбинаций редко занимает более тридцати секунд, особенно если учесть тот факт, что цифры почти всегда вводятся по возрастанию. Один-единственный раз я встретил комбинацию «987» - и был этим несказанно удивлён.

Наиболее секретные бумаги в офисе из соображений безопасности рвутся не меньше чем на две части (они бы рвали и меньше чем на две части, потому что лениво, но не получается) и выкидываются в корзину так, что их легко прочитать, просто бросив на них взгляд. В каждой комнате, как правило, есть шредеры, но сотрудники их не любят, потому что, цитирую одну из милых девушек: «С ума можно сойти, пока накормишь это чудовище. Нужно долго стоять, пока он бумаги медленно пережёвывает. Мы бумаги в корзину выбрасываем. Ну да, рвём не всегда. А зачем? Здесь же все свои!»