Технический форум

Технический форум (http://www.tehnari.ru/)
-   Кидалово (http://www.tehnari.ru/f102/)
-   -   Ох, тоска зеленая... (http://www.tehnari.ru/f102/t63317/)

Vladimir_S 30.01.2012 17:38

Ох, тоска зеленая...
 
Вложений: 1
Почему хакеры еще не украли ваши деньги
Вложение 64833
Виктория Рудник
Думаете, я шучу? Ничего подобного.
Некоторое время назад, когда я ещё работала в государственной конторе скромным инженером техподдержки, пользователь задала мне вопрос, адекватного ответа на который у меня не нашлось.
Она спросила меня, почему абсолютно у всех сотрудников пароль на вход в систему 12345.
В самом деле, если пароль одинаковый, может быть, имеет смысл вообще обойтись без него? Тогда я была скромным и исключительно вежливым человеком, у меня не поворачивался язык ответить так, как стоило бы.
Задай она мне этот вопрос сейчас, я бы сказала: «Уважаемая, необходимость пароля — это сугубо техническое требование для всех машин, находящихся в домене. Без пароля обойтись невозможно. А вот ставить вам разные пароли нам запретило руководство. Почему? Потому что сто человек государственных служащих оказались не способны запомнить свой уникальный пароль из шести-семи символов».
Пароли — это бич любой it-инфраструктуры. Какие бы драконовские методы вы не применяли, люди будут записывать собственные пароли на бумажках и прикреплять их на самых видных местах. К монитору, под клавиатуру, в собственный ежедневник на первой странице. Пароли будут храниться в электронном виде на рабочем столе, на общедоступном сетевом диске или где угодно, только не в собственной голове.
Я лично наблюдала работу бухгалтера довольно крупного московского банка, у которой в текстовом документе были собраны логины и пароли абсолютно всех работников бухгалтерии.
Люди передают пароли друг другу, а, если имеют возможность изменять их, заменяют на что-то вроде Маша1961 или Вася88. Рассказывать о безопасности, о сохранении информации бесполезно, в качестве сотрудника it-отдела можно только скрежетать зубами и упрашивать вышестоящее руководство «как-то повлиять».
Мне известны только два случая «дрессировки» пользователей с плохой памятью. В первом администратор выдавал каждому пользователю хороший пароль, состоящий из 7 цифр и букв в разном регистре. Если пользователь внезапно его забывал, то следующий пароль генерировался уже из 8 символов, и так до десяти.
После этого на стол начальства ложилась записка от администратора о служебном несоответствии сотрудника N занимаемой должности.
Во втором случае всё было ещё проще, пользователи получали пароли не от системного администратора, а от начальника службы безопасности компании. В комплекте с учетными данными шла суровая лекция на тему информационной безопасности. Повторения никто не хотел, и, как ни удивительно, ситуаций «забыл пароль, потому что он слишком сложный» там не было.
На сегодняшний день создано множество программ, которые должны обеспечивать сохранность информации. Но каким бы серьёзным не было программное обеспечение, всё упирается в человеческий фактор. Дабы не быть голословной, приведу несколько примеров из личного опыта. Наверняка многим, имеющим хоть какое-то представление о работе банковских систем, известны vpn-ключи Амикон. Стандартный пароль на этот ключ состоит из четырёх единиц, естественно, менять его необходимо при первой же установке. Это написано в инструкции, это повторяет техподдержка, это, наконец, логично и понятно любому адекватному человеку. За время своей работы в IT я перевидала немало людей, работающих с Амиконом, пароль не менял никто. То же самое касается ключей e-token и rutoken. То же самое — в системе дистанционного банковского обслуживания (ДБО BS-Client) и других.
И дело тут не в ленивых айтишниках, которые не обращают внимания на безопасность (хотя, конечно, и таких в природе хватает).
Дело в том, что айтишникам часто просто не дают менять пароли. Почему? Я только процитирую слова одной начальницы отдела: «Это слишком сложно, мои сотрудники не запомнят». Стоит ли говорить про пароль главного бухгалтера не самой маленькой компании, состоящий из трёх цифр? А про пароль «Maksim» от электронной подписи генерального директора?
Конечно, можно справедливо заметить, что некоторые программы требуют от пользователей выполнения слишком большого количества действий, связанных с безопасностью работы. В частности, для отправки платежных поручений через банк-клиент СБРФ требуются пароль на вход в сам банк-клиент, пароль на vpn до банка и пароль на электронно-цифровую подпись. Всё это мы умножаем на число юридических лиц и число банк-клиентов (а у некоторых бухгалтеров их не один, не два и не пять), и сумма необходимых к запоминанию паролей становится внушительной. В связи с этим нет ничего удивительного в том, что бухгалтерия хранит все секретные записи в ярком ежедневнике с огромными закладками по каждому банку отдельно в верхнем ящике тумбочки рядом с рабочим компьютером.
Всё это понятно и не вызывает вопросов, но, с другой стороны, надо же понимать, что банковские приложения — это серьёзные системы, работа с которыми требует осторожности и осмотрительности. По долгу службы бухгалтер ежедневно взаимодействует с чужими деньгами и в случае утечки информации пострадать может множество людей. Стоит ли пенять в таком случае на высокие требования безопасности и неудобство работы?
Справедливости ради стоит сказать, что и сами создатели многочисленных банковских приложений порой ничуть не лучше конечных пользователей. Так, к примеру, совсем недавно мне пришлось столкнуться с проблемой, связанной с программой Контур-Экстерн, системой для составления и отсылки отчетов в пенсионный фонд, Росстат, налоговую и фонд социального страхования через интернет. Ситуация следующая: в течение довольно длительного времени бухгалтерия в полном составе готовит сложный отчет в этой программе. Затем отчет подписывается электронной подписью и отправляется по адресу. После этого всякий контроль за кропотливо составленным отчетом теряется: отчет либо верен и принимается, либо неверен и отбрасывается. Вернуть отчет для работы над ошибками невозможно. Разумно предположить, что неплохо бы сохранять отчет себе на жесткий диск перед отправкой. Более того, такая возможность существует. Но проблема заключается в том, что отчет сохраняется в формате, который может прочитать только сама программа отчетов, читать она его не хочет, так как отчет уже отослан, а конвертация превращает отчет просто в набор цифр.
Мне довелось вести занимательный разговор с техподдержкой этого чуда. Я узнала, что отчет действительно нельзя просмотреть, «потому что нельзя». Вопрос, «а зачем тогда вообще есть возможность его сохранить?» остался без ответа.
Между тем, если верить информации на сайте программы, она внедрена почти на миллионе предприятий по всей России.
В самом начале я не зря упомянула про банковские карты. Большинство людей почему-то свято уверено в том, что для того, чтобы перевести деньги с карты, необходимо иметь под рукой считывающий терминал и знать уникальный пин-код, состоящий из четырёх цифр. Однако это не так, для проведения подобной операции достаточно только знать номер кредитной карты (на передней стороне карты) и код CVC2 или CVV2 (на обратной стороне). То есть вся информация для проведения банковской операции имеется у нас на самой карте. И вот именно ксерокопии карт (с двух сторон) всех сотрудников компании мне довелось как-то наблюдать на столе у бухгалтера компании. Я не знаю, для чего была необходима эта операция, но факт заключался в том, что любой желающий мог зайти в кабинет, взять со стола стопку бумаг и воспользоваться ими по своему усмотрению. Подобное не происходило только потому, что злодеев в тот момент рядом не оказалось.
Многие думают, что в серьёзных финансовых (и других серьезных) компаниях всё происходит как-то иначе. Но нет, люди везде одинаковые.
Так, например, в одном из московских отделений крупного российского банка пароли от учетных записей сотрудников лежат просто на столе, причем записаны по принципу: «логин такой-то, пользователь такой-то».
В дорогой частной медицинской клинике в подмосковном городе В. установлен один и тот же пароль ко всем учетным записям МИС (Медицинская Информационная Система). А в ней, между тем, помимо экономических данных содержится вся информация о пациентах, их диагнозы, результаты анализов и обследований. На логичный вопрос системного администратора: «Почему здесь у всех пароль единичка?» был получен уникальный по своей незамутненности ответ: «А так было написано в примере в инструкции». Между тем, согласно ФЗ-152 и совместного Приказа ФСТЭК России, ФСБ России, Мининформсвязи России N55/86/20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных», информация о состоянии здоровья относится к наивысшей, первой категории.
Бухгалтер крошечного магазина, хранящая «пороли» (орфография сохранена) на рабочем столе в txt-файле, будет точно также поступать, устроившись на работу в солидный банк.
Девочки-менеджеры, где бы они ни работали, будут без вопросов передавать друг другу свои учетные данные, нимало не печалясь о том, что это противоречит политике информационной безопасности. Про именные сертификаты, хранящиеся на флешке вперемешку с музыкальными и видеофайлами, не хочется даже говорить. Бухгалтер прекрасно осведомлён о том, что в случае утери сертификата его не получится восстановить за один день, однако продолжает использовать рабочую флешку в личных целях. Увы, помочь тут может только самое серьёзное административное вмешательство, но до этого доходит только в случае уже произошедшего инцидента.
Впрочем, всё написанное выше относится не только к информационным технологиям. Множество людей считает, что с ними не случится ничего плохого, потому что «со мной такое не может случиться». Подобная точка зрения порождает фантастическую беспечность, результаты которой могут быть катастрофическими.



газета.ru

Weles 30.01.2012 18:01

А что тут скажешь, чистая правда, это РОССИЯ!!!!!! у нас как всегда всё на авось, и "пока гром не грянет мужик не перекрестится":D

Денисыч 30.01.2012 18:55

И не только пароль 123456 в ходу, если попробовать поиграться с датами рождения и именами, то думаю можно 90% аккаунтов в РФ сломать.

Dram 30.01.2012 19:24

Цитата:

Сообщение от Weles (Сообщение 664232)
А что тут скажешь, чистая правда, это РОССИЯ!!!!!! у нас как всегда всё на авось, и "пока гром не грянет мужик не перекрестится":D

Нет тут дело не в России...что ж так отчаянно все грехи мирские на неё валить :D ....это простая психология человека..и попытка навязать человеку машинное мышление(такое возможно) но все таки человек на то и человек что бы отделять информацию нужную от не нужной, ту которую необходимо хранить в голове и ту которую на всякий случай записать на бумажку. но так же есть еще особенность у людей если что то есть на "стороннем носителе" держать это в голове незачем.
Яркий пример. студен и шпоры :) Ведь среди отличников всегда находятся те кто и в предмете все понимает и на лекции ходил. а все равно шпоры готовит :)

Wolf812 30.01.2012 19:51

У мну пароль состоит из 16 символов, перемешка латиницы, регистра и цифр. Каждый раз, когда кто-то видит количество звездочек вечно удивляется, мол, нафига такой длинный? Или "Как ты его запоминаешь?". А мой начальник довольно таки удивился и сказал, что если кому надо будет, тот взломает, шифруй не шифруй.
Собственно, оно и подтвердилось, когда кто-то с мобильника зашел на мою страничку в контакте и разослал спам некоторым моим друзьям. Если бы не бан и требование подтверждения номера телефона то я бы об этом взломе так и не узнал бы. Задумался серьезнее над безопасностью... может увеличить до 26 символов пароль для доверенных сайтов? )

Weles 30.01.2012 20:57

Думаешь 26 символов хакеру тупо влом будет переписывать:D

кочевник 30.01.2012 21:28

Цитата:

Сообщение от Dram (Сообщение 664315)
Нет тут дело не в России.

Цитата:

Сообщение от Weles (Сообщение 664412)
Думаешь 26 символов хакеру тупо влом будет переписывать

5 дней назад получаю емелю от старого приятеля, живущего ныне в Калгари, Канада. Пишет на очень строгом английском: Отдыхали семьей в Испании, по дороге в аэропорт у них украли все документы билеты и деньги и карточки. Добрая самаритянка приютила и дала свои данные, не мог бы я перевести пару тысяч для добраться домой. Первая мысль - идти переводить. Но насторожило: на протяжении всех лет мы здоровались по казахски. И подпись не "Шура" а "Алекс", что непривычно. Мысль вторая: позвонить ему домой. Позвонил! Долго и весело смеялись: развод чистейшей воды!
Все понимаем: абсолютно все что ты выложил в сеть - доступно! Не пиши личного и лишнего. Имей минимум 2 счета, один расходный, второй с обговоренным доступом. Ну и думай! И все равно первая мысль - надо помочь!

Weles 30.01.2012 22:11

Да, подобных случаев уже много обговорено, и люди некоторые посажены:D Люди, храните деньги в сберегательной банке!!!:D:D:D

кочевник 30.01.2012 22:25

Цитата:

Сообщение от Weles (Сообщение 664493)
храните деньги в сберегательной банке

И носите ее с собой!:tehnari_ru_948:

Weles 30.01.2012 23:17

Зачем же её с собой носить, в носок всё- в носок:)) а то ещё в подкладку зашить можно. Чёй то ушли мы от темы:D


Часовой пояс GMT +4, время: 22:32.

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.