Gallo

На волне постов про наглость людей вспомнилось. Друг несколько лет назад пришёл в службу безопасности одного банка. Рассказывал, что у них есть система, которая блокирует счета за подозрительные операции, плюс ручной поиск аномалий и блокировка по заявкам. Из-за этого различные тёмные личности не могут вывести деньги, часто довольно большие суммы. Сотрудники банка регулярно получают предложения разблокировать счёт, им обещают довольно много, говорят, что все безопасно. Если я правильно помню, то похожее предложение когда-то даже обсуждали здесь.

Одна девушка поверила в это, естественно сразу попалась, попала под следствие и довольно быстро уехала за решетку. После этого безопасники стали сообщать всем сотрудникам, что нарушение процедуры разблокировки счета является мошенничеством и может быть наказано лишением свободы. И дополнительно рассказывали, что одна сотрудница уже села за это. Через год нашлась ещё одна девушка, которая поверила мошенникам, тоже села. Всех сотрудников ещё раз напугали.

И этим летом нашёлся гений, который разблокировал несколько счетов. Сначала он утверждал, что за нарушение регламента работы можно только уволить, но когда осознал, что же он сделал, довольно сильно загрустил. Скорее всего, довольно скоро он тоже сядет, служба безопасности настроена серьёзно. Почему люди готовы так рисковать из-за сумм, не превышающих месячную зарплату, я не знаю.

Я занимаюсь консультированием по вопросам информационной безопасности, сейчас появилось немного свободного времени, решил рассказать о нескольких интересных случаях. Постараюсь обойтись без лишних технических деталей, чтобы всем желающим было все понятно.

Очередной заказ мне сначала не понравился: инициатором аудита выступал не технический специалист, а директор. Обычно такой заказчик не знает точно, что он хочет, а это может привести к некоторым проблемам.

Директор оказался довольно адекватным, рассказал, что где-то прочитал о том, что у большинства компаний есть критические проблемы с безопасностью. Решил выделить средства на внешний аудит, хотя есть свой сотрудник, который отвечает за безопасность.

Фирма занимается торговлей, есть несколько офисов, отдельное розничное направление. Свой IT-отдел, состоящий из нескольких человек. Начальник спросил, зачем я тут нужен, когда у них есть свой безопасник Дима. А вот Димы в этот момент на работе не было. Ответил, что это не моё решение, получил информацию об инфраструктуре, учетные записи для доступа к внутренним и внешним сервисам, ушёл работать.

Проблем оказалось очень много. Очень много старых версий систем, которые содержат уязвимости, довольно дырявые сервисы, сделанные IT-отделом самостоятельно, много что доступно из интернета, хотя не должно.

Принёс отчёт директору, он сильно удивился, позвал Диму. Наконец-то я его увидел. Вполне обычный парень после института, ничего странного.

Директор: Почему столько проблем, ты же должен все проверять?

Дима: Я поставил сканер уязвимостей, запускаю его каждый день, все, что нашёл, сообщаю разработчикам.

Я: И это все?

Дима: Ну да, а разве вы как-то по-другому это делаете?

Я сижу в шоке, директор просто удивлён. Объясняю, что использование автоматических сканеров - это только небольшая часть работы, многое надо делать руками. Плюс сканер надо правильно настроить, тогда он может найти больше проблем.

Обсудил с директором, когда он отправит деньги, узнал, сколько платят горе-безопаснику, попрощался. На выходе начальник IT-отдела спросил, "Зачем я подставил Диму?" Ведь парень нормально работал, проблем не было. А то, что фирма платит ему довольно много за ежедневный клик мышкой и копирование результатов работы программы, никого не волнует.

Замечание: имя изменено, разрешение на публикацию без личных данных и названий есть.

Увидел пост о том, как сотрудники метро разбирались с бесхозными вещами (http://pikabu.ru/story/o_beskhoznyikh_veshchakh_v_metro_5163...), и решил рассказать о случае, который видел сам.

Петербург, первая половина дня, около недели после взрыва в метро.

Я жду на конечной, к противоположной платформе прибывает поезд, люди выходят, дежурная проверяет вагоны. Я стою практически напротив того вагона, где она что-то нашла. Она уходит, поезд стоит. Постепенно появляются сотрудники метро, один встаёт рядом со мной.

Кто-то периодически заходит в вагон, смотрит на предмет и выходит. Задержка поезда увеличивается, народу на посадку все больше.

Наконец, я слышу из рации женский голос "Ну вы что, не мужики, с пакетом справиться не можете?" После этого в вагон заходит сотрудник метро, осторожно поднимает этот предмет (тогда я увидел, что это довольно большой пузатый пакет), несёт его на лавку у лестницы и ворошит. Из пакета была извлечена какая-то одежда, сотрудники удалились, поезд поехал на разворот. А я стоял и думал, вот ведь что бывает.

По мотивам истории про сисадмина (http://pikabu.ru/story/kak_provozhayut_sisadminov_5146786)

Мой друг работает в области информационной безопасности, занимается поиском багов (специалист ищет уязвимости, с помощью которых можно взломать систему, и сообщает о них владельцам). Его позвали проверять систему для корпоративных пользователей, он даже встречался пару раз с разработчиками, но потом владельцы решили, что его услуги слишком дорогие (вместо него нашли студента, который готов работать за 5$ в час). Друг сильно удивился, но расстался с ними довольно мирно, оставив контакты.

Через полгода ему пишет один из владельцев сервиса с вопросом, что делать в случае взлома. Выяснилось, что этот студент пропустил проблему с прямыми ссылками, по которым можно скачивать все файлы клиентов. Кто-то так и сделал, и требовал денег за то, что не будет использовать эти файлы для причинения вреда.

Результат простой: студент исчез и молчит, пришлось заплатить взломщику (забавно, что взломщик оказался "честным" и не стал вредить или требовать ещё денег). Зато какая экономия на оплате аудита.