ИТ безопасность. Человеческий фактор
Совсем недавно, случайно, набрел на интересный ролик. Парень вел доклад о суде за кражу каких-то коммерческих данных. Точнее о схеме кражи и как доказывали. Ссылку уже не найти, поэтому в двух словах. Некого гражданина, поймали на краже данных. Случайно. Попался видимо на продаже. После чего, его нашли, доказали вину и осудили. На реальный срок. А беда была в том, что решения из области безопасности в компании, казались даже избыточныии. А в реальности, сотрудник, скачал данные на первый комп, заархивировал многотомник с паролем и расширением мр4, аля кино. Перетаскал файлы ещё через два ПК с защитами. А на четвертом слил на флешку. Собственно, эта статья о личных наблюдениях и стороннем взгляде на современную ИТ безопасность.
Думаю начать стоит с моей истории. Пока пять лет учили держать паяльник, другим глазом учил программирование. Паралельно впитывал знания из областей администрирования и использования софта. Уже не важно на сколько глубоки были эти знания. Стало не важно, когда выйдя с дипломом радиоинженера из технаря!, понимаешь, радиопромышленности нет, диплом ничто, да и за паяльник нехосись. На вышку денег нет, да и кушать хочется. Выход нашелся неожиданный.
Пока был на практике у ремонтников ЧПУ одного из авиазаводов, на меня вышел начальник бюро инфобезопасности из секретного отдела. Им нужен был человек знакомый с радиотехникой и знающий ПК изнутри. Особенно софт часть. Отсутствие вышки оказалось не проблема. В общем голод победил. За смешную зарплату в 8к, когда коллеги с производства имели оклад по 50к, согласился беречь мифические тайны России.
Один из сборочных цехов. Тайны этих птичек охранял и я.
Не буду рассказывать о нудных расчетах эффективности постановки помех и другой рутинной работе инженера отдела технической безопасности информации. Начну первое повествование.
На то время, на заводе, действовало три объекта с АРМ, для работы с секреткой. И мой приход был ознаменован временным прекращением работы этих объектов и переполохом начальников. А все дело в пресловутых требованиях к рабочей среде на этих ПК. В то время, на них был установлен 98Win. Так вот, операционка эта, в комплексе с популярным тогда Алладином, подведомством знаменитого ФСБ ранее именуемое ФСТЭК, одобряла, при условии что не будет интернета. Даже не проверяя на закладки. Так и работали тихо, пока не появился я…
Оказалось, одним из требований жестко предъявляемых к таким объектам, отсутствие в системе средств отладки. Просто и лаконично. Но мало кто знает, что в стандартных средствах 95х систем, есть волшебная команда -debug. Эта софтинка, по сути и есть тот самый отладчик. Не знаю, что уж там можно в ней отладить в защищённой среде запуска винды, но кодить в реале на асме она позволяла. В том числе вызывать дисковые прерывания. Взрогнули, покривили рожи, но ситуацию быстро разрулили. Админам дали задания подчистить этот отладчик, написали распоряжения на будущее, а мне дали премию. Хотя ситуация, кто далёк от секретки, была патовая. АРМ по сути не соответствовала требованиям, но на ней обрабатывалась секретка. Посадить бы не посадили, но штрафы были бы не хилые. И моим шефам в первую очередь. Нарушение толи первой толи третьей категории.
Скрин debug в работе
Главное в этой истории другое. В то время у мин атома требования были жёстче. Им проверка на закладки требовалась. Поэтому они, через пень колоду, выудили себе в распоряжение копию NT4.0, жуткая гадость кто в курсе. Насколько я знаю в стандартном конфиге debug вроде как имелся также. Но вот был ли в той сборке он, вопрос любопытный? Задать его, как вы поняли мне не дали :), а вот искать дыры оказалось столь интересным занятием. Тем более, как показал опыт, раздолбайства никто не отменял.
Ужас админов
Уволился я сам. После трех лет обещаний хорошей зарплаты. Вышка Так и осталась в мечтах. А вместо карьеры безопасника или ИТишника, пройдя путь от продавца мышками, до регионального дистрибьютера оемок, ныне расскладываю по полкам печенюшки в магазине лидера ретейла. И пугаю местных «ИТ-специалистов», задавая неуместные вопросы.
Надо сразу оговорится. При всей бажности и отсутствии эргономичности продуктов и решений, разработанных ИТ подразделением этой компании, продукты достаточно гибки, а разрабы оперативны в устранении недочётов. Возможно сбойность, связанна с ограниченностью времени и отсутствием в команде людей имеющих реальное представление о ситуации на местах. Но объем работы выполненный за трехлетний период, я вам скажу сумасшедший. Кстати блог этой команды есть на Хабре X5Group.
Они делают жизнь трудяг легче
Собственно раздолбайства хватает и тут.
Во многих компаниях выручка, является конфиденциальной информацией. Тем более сменная. Об этом сотрудники подписывали соглашение. Об этом указано в договоре конфиденциалки. Это нехилые затраты компании. Думается вся разработка софта ориентирована на безопасность этих сведений в том числе. А по факту? А по факту каждый вечер руководство магазинов, шлёт друг другу и в группы ежедневную выручку. По ватсап. И самое смешное руководители СБ на местах и местные директоры региона в курсе. И всем чхать, что это увольнение, по статье минимум. Они бы сразу в инсту выкладывали бы скрины. Хотя, не факт, что смартфоны этого уже не сделали, синхронизировав фото с аккаунтом Гугла. Обычным пользователям эта автоматически активированная фича навряд ли известна. Так смысл тратить миллионы?
Дальше веселее. Пришли новые терминалы сбора данных (ТСД в обиходе). Под ос Андроид. Классные игрушки. Весь софт собственный. Установить левый невозможно. Сеть только вифи, доступа во внешку нет. Защита от левого софта отличная. И тут ситуация, коллеги днём сделали фото на ТСД. Вечером взялись грузить фото в приложение, и выясняется. Фото весом 2 гб, а допустимо только 1 гб. Варианта два, жать или заново, из приложения с другими настройками съемки. Повторное фото сделать геморрой, нужно много времени. А его то как раз нет. Нужно до закрытие магазина все отправить.
Чет типа, но современнее. Маленький лёгкий, не то что на Винде шестой.
Поставили мне задачу. Помоги!
В ТСД небыло ничего, чем сжать фото. Пока думал, понял что такая защита от левого софта только видимость.
Первая мысль, отконнектить местный вайфай, и примонтировать точку доступа со своего смарта. Поставить программу, сжать, потом подчистить приложения. Но побоялся отключать вайвай, так как используется цисковское оборудование, с аутентификацией логин/пароль. Можно было понадеяться, что подключение сохранится, на крайний случай есть связка для подключения аккаунта директора. Побоялся.
Нашел решение проблемы проще. Открыл блютус. Скинул себе фото. Так как для фото, у меня тоже стандартные средства, тоесть жать нечем, просто переслал его из аккаунта в аккаунт по ватсапу. Фишка ксиоми. Оно сжалось до 166 мб. Вернул по зубу обратно и благополучно загрузили фото в приложение.
Теперь собственно про дыры. Как вы поняли, первая дыра на ТСД, это блютус. Тоесть можно спокойно перебрасывать любые данные, и софт и фото и много чего тырить, просто коннектясь средствами андроид.
Вторая дыра. Это все тот же человеческий фактор. Хранение паролей. Для доступа в сеть, по мануалу от ТСД, требуется пароль директора, от внутреннего аккаунта привязанного к личному кабинету. Вы скажете это же личная информация. Ага. Поэтому почти все пароли сотрудников магазина можно посмотреть в кэше паролей хрома на рабочем компьютере.
Все бы ничего. Но. Это уже дыра поинтереснее. Для работы используются, я так понял ПК в режиме терминала. Пароли для запуска на бумажке у директора, и все, на всякий случай, знают где они лежат. Пароль, для доступа в местную сеть есть. В лучшем случае, после грубого увольнения, нечестный сотрудник, подъедет вечером с ноутом к магазину, зайдет в сеть, откроет терминал и спишет весь товар в неликвиды. Пока поймут что и как, магазин весь день не работает.
Надесь, не все так просто, как я нарисовал. За админской панелью не новички. Возможно загрузка терминалов привязана к маку. Но тестить нет желания, если честно.
В итоге хочу сказать несбывшимися коллегам. За рутинной работой, ковыряя роли и права, закупая дорогой софт и аппаратуру, часто так глубоко лезут в дебри, что не замечают элементарного. И как сказал один препод на спецкурсах в НГТУ: «У любой информации есть цена. Она измеряется финансовыми потерями, которые понесет владелец в случае проблем с ней. И защита, не должна превышать эту стоимость. Иногда стоит подумать, что выгоднее, платить миллионы за защиты от дурака или нанять профессионала, платя достойную зарплату за его верность.» А бывший коллега особист перефразировал бы: «Что бы спереть из кабинета директора папочку с секретными документами, дешевле (мыжским органом) и цветами завербовать секретаршу, которая сопрет все тихо, чем нанять воров с монтировками, и они бы полезли через взвод охраны и гору сигнализаций и не факт что смогли бы что то украсть.»