Немного об информационной безопасности, или как я работал с банком

Привет. Хочу рассказать о небольшом наблюдении.
Работал я некоторое время назад на техподдержке банка. Сразу расскажу как это происходило, чтоб ты верно меня понял.
Банк имеет множество филиалов по стране, это понятно. Самому банку наверняка накладно иметь дополнительный штат техподдержки на каждый регион (если не город). Поэтому он заключил договор с подрядной организацией (генподрядчик, ГенП), кстати, имеющей большой опыт в этих делах и не только хорошие логистические связи, но и собственную программную платформу для учёта всего, всех ивсех везде. Но и она работает лишь в Москве, как и «голова» банка, поэтому данный ГенП набрал себе субподрядчиков (СубП). Они уже работают непосредственно по точкам банка на своих территориях. ГенП получает задания от IT-отдела банка и спускает нужным ребятам. Собственно, работа этих ребят из субподряда — выполнять эти задания. Ими могут быть и работа с техникой (выдача, замена, установка, изъятие…), и открытие/перемещение/закрытие стойки или точки продаж (СП или ТП) или клиентского центра (КЦ), + соответствующие документальные и технические работы, консультирование работников в случае чего, а то и обучение некоторым азам. Все работы отчитывались ГенП-ку, а тот — банку. Всё просто. Вот это и есть техподдержка.
Это было со мной уже достаточно давно, однако только недавно я понял одну очень плохую вещь в организации всего этого.

ГенП имеет в своём распоряжении технику банка. Для ТП и СП это ноутбуки двух моделей (не считая одинакового набора периферии, речь не о ней) и часто такие же ноуты стояли в КЦ. Там уже учётки для работников были доменными и контроллировались ГенП. На СП и ТП ноуты были укомплектованы локальной учёткой для сотрудника и отдельной учёткой для саппорта с админскими правами. Такая же была и в домене для работы в КЦ.
Это достигалось одинаковыми образами заранее подготовленной системы. Для каждой модели ноута — своя. И для точек (КЦ или СП+ТП) тоже своя. Т.е. как минимум 4: на один ноут готовые образы, и на другой. Т.о. можно менять их местоположение без особого парева с переконфигурированием: СубП при необходимости бэкапит данные, перезаливает образ и если надо — возвращает данные (но это уже врядли).
А вот самое интересное. Nota bene, так сказать.
Пароли стоят на всех учётках, касперском (тоже центрально управляемом), на скрытом доменном вайфае в КЦ и чёрт знает где ещё.
Саппорт (СубП) знает все пароли в черте своей технической необходимости: от касперыча, той же вафли, своей учётки (у локальной и доменной одинаков), от учётки сотрудника (если не в КЦ, т.е. не доменная) и многое другое. И здесь уже обращаем внимание на мой случай. Так получилось, что пришёл в местную фирму я по (не)случайному знакомству. Т.е. работал неофициально, «на словах», доверии и договорённостях. Разошлись мы так мирно и спокойно (по причине моей тогда ещё заканчивающейся и очень усердной учёбы). Ушёл и всё, никто ничего особо не потерял. Но будь на моём месте кто другой?
Человек, пришедший в СубП организацию, не подписывал бумаги о неразглашении конфиденциальной информации: данные с компов банка, личные данные сотрудников, какая-то служебная банковская инфа, и главное — эти самые пароли от всего и вся. Работает как и я тогда, на честном слове за небольшие деньги. При этом имеет доступ *почти* ко всей банковской инфраструктуре и владеет даже такой информацией, которую не положено знать ни банковским сотрудникам на местах, ни даже региональной администрации (она есть в любом регионе, но ей СубП не подчиняются и вообще работают лишний раз не пересекаясь, ведь не банк возглавляет работу СубП, а ГенП).
Представим ситуацию, что начальник и такой работник не поладили и тот ушёл. Ушёл, а обиду затаил. И под видом всё той же техподдержки придёт завтра в КЦ, сломает всё к чертям и уйдёт. И в тот же день полетит голова именно с плеч босса того серого работника. ГенП пофигу, в принципе, их личные неприязни.
Однако именно с ГенП начинается цепочка, прямо намекающей на неверно организованную информационную безопасность всего банка. Образы готовятся уже с учётками. Доступ к ним получит даже если представитель СубП одного города/региона приедет в другой.
Дальше — СубП как юридическое лицо. Он в ответе за те риски и те беды, которые могут возникнуть для банка вследствие плохой внутренней политики фирмы-СубП. Т.е. именно они на своих местах работают в непосредственной близости от банковских данных, данных клиентов, операций, денег…. Это ладно в других регионах, может где-то всё более или менее официально и серьёзно. Но в моём случае, кроме меня в фирме работал… только её гендиректор. И то, я, как уже сказал, лишь на честном слове получил доступ к банковским секретикам разного срока лишения свободы.
Далее — СубП как физическая субстанция. Все мы люди, в конце концов. Что-то кого-то может не устроить. Понятное дело, какие-то личностные переживания у субподрядчиков совсем пофигу тем, кто спускает задания сверху. Но поверьте, те тоже лишь выполняют свою работу и наверняка тихонько друг друга ненавидят, и своих проблем им хватает больше, чем ваших. Но стоит лишь проколоться в какой-то мелочи субподрядчику и чёрт знает чем всё это может кончиться. И тут даже не в бумагах дело-то… ты человеку доверяешь управление какой-никакой, а банковской техникой. Ты как работодатель не знаешь что возникнет у него на уме, когда узнает пароль от ноутбука на стойке в магазине напротив его дома. И бумажками твоими он подотрётся под той же стойкой (хотя опустим твою возможность ими всё же воспользоваться в суде по назначению).
Я считаю, в такой работе не должно быть слабых мест. Ни у одного работника не должно возникнуть оргазма от ощущения того, что он контроллирует едва ли не все компы банка в своём радиусе. Мало того, что люди, по-моему, обязаны подписывать обязательстива о неразглашении и невозможности утечки никакой попадающей к ним в руки/на флешки информации, так ещё и людей этих обязательно надо садить на испытательный срок месяца в два. В качестве помогайки по небольшим поручениям новобранца можно легко поднатаскать к предстоящей работе, убедиться/огорчиться в его способностях, а он и сам (не)поймёт с чем собирается иметь дело. Всё это приведёт лишь и к более ответственному подбору персонала, хорошему отсеву плохишей и к наименьшими рискам утечки важной информации.
Да, никто ни от чего плохого не застрахован, какие бы меры не предпринимались. Но ведь значительно снизить риски вднх в ваших интересах.
*****
Я до сих пор помню большинство тех паролей. Хотя они и были у меня отдельно сохранены в базе Keepass, однако я их сразу удалил когда в них отпала служебная необходимость. И теоретически, я могу приехать на стойку, сказать «Я из техподдержки, нужно провести плановую замену ПО» и я тот же час получу доступ ко многому.
Подумайте над этим. Может быть, это окажется ваш банк?

Заветное фото у меня

Сегодня пришла посылка с автографом. Безумно радый!


Сначала был звонок из транспортной компании, сказали, что мне «тут пакет от Лаборатории Касперского пришёл на имя АнтониСопрано». Да, я забыл, намыливая почтовые данные на электронку одной из сотрудниц ЛК, указать своё имя, и те использовали мой ник. Забавно.
Убедились в правильности адреса и сказали, что приедут минут через 20.

Не думал я, что так быстро посылка придёт! Я-то думал всё по старинке, Российской Почтой отправят, и ждать к февралю… Но тут дествительно вышел подарочек на Новый Год.

Сижу я такой, сердце колотится, скурено несколько сигарет, звонок в дверь — пришли показания счётчика снять. Бл*дь, ну вовремя вы, дяденька!

Ещё минут 15, и долгожданный звонок в дверь раздался. Дали бумажку, расписался, получил картонный конверт.

Захожу домой, сердце вот-вот выпрыгнет, руки трясутся, передо мной — заветный конверт, светящийся ярким кремовым светом. Открываю — ещё один. С лого ЛК, их адресом, и.. розовым стикером с моим ником! Ещё веселей.

Открываю этот конверт — запах свежего картона и краски бьёт в нос. Достал из конверта фото, на обычной такой фотобумаге, чуть полукруглая, да у тебя таких дома полно! Вставлено в красный лист картона с автографами. И тут моя эйфория достигла своего пика 🙂

Честно говоря, я не понял до сих пор с какой стороны чья подпись. Думаю, слева Евгения, справа — Джанкарла.
Упаковал всё обратно и убрал в коробку от ноута. Там и целее будет, по размерам как раз, и места не занимает.

Автограф Касперского и Физикеллы

Знаете, недавно выиграл розыгрыш автографов от Лаборатории Касперского в твиттере:
1) Тынц.
2) Тынц.

Вскоре мне придёт интересная посылка. Выслали московским утром 22 декабря, когда придёт в Улан-Удэ — не знаю. Но как бы то ни было, это классный подарок на Новый Год, не так ли?

Пронесло: HUERовая атака

Вчера попробовал скачать крэк для WinXP с этого обменника. Еще не докачавшись файл был обнаружен доблестным KIS’ом, который меня защитил от 2 зловредов. Уж не знаю каким чудом, но мне удалось избежать вторжения HEUR:Trojan.Win32.*.

Разновидностей HEUR’а довольно много, и это единственный зловред, которого я реально опасаюсь. У меня в прошлом году был глобальный прецедент, когда я просто не мог вылечить 2 винчестера от этой гадости. Ко всему прочему он сожрал процентов 75 нужных экзешников: от инсталляторов необходимых программ до самих программ и системных утилит/служб. Каспер (тогда ещё 2010-ый) просто не успевал с ним бороться, пока лечился или удалялся 1 файл сразу находилось более десятка новых зараженных.

Я долго пытался вывести этого гада, и под конец истории система буквально «висела на соплях» — все было удалено из-за невозможности лечения, остальное было просто съедено. Переустановил систему с полным форматированием, и, вроде, распространение прекратилось, тогда уже было проще прощаться с файлами, до которых еще не дошло удаление.

Приведу скриншот отчета касперского по данному файлу:

Может сам по себе упомянутый хостинг и хорош, но то, что там уже есть я буду обходить стороной, не смотря на отличную защиту. Мне ещё дороги мои данные, тем более с тех пор они стали ещё важнее и их стало больше. И, поверьте, у меня на примете довольно большое множество подобных сервисов, где можно скачать гадких насекомых, причём когда скачиваешь как будто в русскую рулетку играешь — никогда не узнаешь какого ты зверя поймаешь.

Мораль — не суйте нос в глобальные помойки, где хранится целый заповедник всякой голодной живности, которая готова сожрать всё, что увидит на вашем компе. Я не советую использовать такой ресурс как что-то ценное, где можно найти полезную и нужную информацию, которой нет в Интернете. Просто как временная хранилка файлов он работает на все 100, но зря они открыли всеобщий доступ ко всем файлам.