Наблюдения эксперта по безопасности в офисах посещаемых им фирм

Несколько постулатов, которые с небольшими вариациями верны для большинства офисов.

Выдержки из книги "Руководство по компьютерной безопасности и защите информации", Карла Абрахама Шкафица II в переводе Алекса Экслера (приводятся с сокращениями):

Охранник считает, что раз человек пришел в офис без базуки, значит, он не может быть злоумышленником. У злоумышленников, знает охранник, черная борода, бандана цвета хаки и безумный блеск в глазах. Все, кто не подпадают под этот образ, злоумышленниками быть не могут.

Практически во всех комнатах считают, что раз человек прошел охранника - значит ему можно доверять на все сто.

В любой комнате достаточно произнести имя-отчество генерального, после чего вам предоставят все документы и раскроют все секреты. Имя-отчетство генерального можно узнать у охранника - он его мгновенно сообщает, из почтительности вставая и принимая позу "смирно".

Ни в одной из комнат, когда я именем генерального требовал пустить меня к компьютеру, никуда не позвонили и не спросили, кто я такой и почему произношу имя генерального всуе.

Девяносто процентов пользователей не помнят свои пароли, поэтому хранят их следующим образом:

1. записанными на стикере и прикрепленными к монитору
2. записанными на листочке, который лежит под стеклом на рабочем столе
3. записанными на стикере, который прикреплен к дну выдвигающегося ящика. Для удобства доступа ящик всегда выдвинут.
4. записанными в специальной записной книжке. Для удобства пользования книжка всегда раскрыта на листочке с паролями и лежит под монитором.
5. сверххитроумные пользователи пароль на стикере пишут задом наперед - чтобы враг не догадался.

Во многих фирмах из-за постоянной чехарды с забытыми паролями благоразумные сетевые администраторы вводят один-единственный пароль для всех пользователей. Так как пользователи забывают и его, пароль крупными буквами написан на листке А4 и прикреплен к доске объявлений.

Секретные дискеты с ключами, требуемые для запуска особо конфиденциальных программ, практически всегда торчат в дисководе и не покидают свое пристанище годами совершенно независимо от того, присутствует ли за компьютером тот единственный человек, который должен иметь доступ к этим секретным данным, или нет. То же происходит с ключами, которые остаются в com-портах.

Пароль на доступ к сетевым папкам называют сразу, стоит только задать коронный вопрос: "А какой у вас тут пароль к сетевым папкам?" При этом в 70% до задавания коронного вопроса я даже не называл имя генерального, а в остальных случаях даже и не говорил кто я такой.

На просьбу: "Вы не позволите посмотреть ваш компьютер? Меня прислал генеральный" - реагируют очень душевно. То есть позволяют.

Когда симпатичные сотрудницы бухгалтерии уходят обедать, оставляя комнату совершенно пустой, на всех их мониторах светятся данные "черной" бухгалтерии. Все это элементарно можно вывести на принтер, стоящий там же в комнате. Но если вам лень возиться - просто возьмите эти бумаги со столов. Они там лежат распечатанные...

На вопрос: "Какой процент зарплаты вы платите "по-белому" - отвечает любой бухгалтер. Но только в том случае, если ты подтверждаешь, что не служишь в налоговой полиции.

Отдельная комната с самым святым, что есть на фирме, - сервером - заперта наглухо! Специальным кодовым замком! Открыть его почти невозможно! Для этого нужна или тонкая железная расческа, или простая наблюдательность: цифры, которые нужно вводить, изрядно загрязнены пальцами сетевого администратора. А так как больше трех пальцев он использовать не умеет, перебор комбинаций редко занимает более тридцати секунд, особенно если учесть тот факт, что цифры почти всегда вводятся по возрастанию.

Наиболее секретные бумаги в офисе из соображений безопасности рвуться не меньше чем на две части (они рвали бы и меньше чем на две части, потому что лениво, но не получается) и выкидываются в корзину так, что их легко прочитать, просто бросив на них взгляд.

Этот прыщавый парень, которого тут почему-то кличут "системным администратором", не зря ест свой хлеб, заодно занимаясь компьютерной безопасностью. Он сделал гениальную вещь - убрал из всех компьютеров дисководы. "Для безопасности" как мне объяснили в отделах. Поэтому на дискету в полтора мегабайта ничего скачать нельзя - даже и не пытайтесь! Зато можно все что угодно скачать через USB-порт...

Если USB-порт, через который ты хочешь скачать информацию, занят, например, мышкой, - милые девушки из бухгалтерии сами вытащат ее из порта, чтобы ты мог подключить свой flash-drive, потому что это, цитирую себя же, "специальное устройство, которое произведет вакцинацию ваших компьютеров от вирусов".

Секретарши начальников, несмотря на всю свою миловидность, жестко стоят на страже корпоративных интересов. Нечего и пытаться подкупить их конфетами, сладким алкоголем или, прости господи, деньгами! Они с негодованием отклонят ваше предложение и устроят скандал! Поэтому не нужно пытаться их подкупать. Они все раскажут просто так. В обычном человеческом разговоре. Единственное - нужно знать, когда генерального не будет в офисе весь день до вечера, после чего с утра пораньше прийти к нему на встречу и дожидаться в приемной. Секретарша - она тоже человек. Ей скучно, у нее глючит Word, а периодически компьютер и вовсе зависает. Поэтому теплая, участливая беседа симпатичного мужчины в хорошем костюме - вот то, что нужно этой очаровательной девушке. Главное - почаще упоминать волшебную фразу "А вот у нас ...". Именно эта фраза открывает фонтан ее красноречия. Потому что в ответ на "а вот у нас" последует ее "а у нас" с вариациями "точно так же" или "совсем не так". При этом обычно я узнаю все о явных и тайных пороках генерального, всего совета директоров и о тонкостях организации бизнеса, а также о способах прятать документы от налоговой полиции...

Подобная тактика также хорошо срабатывает в общении с уборщицей. Между прочим, уборщицы очень много знают. Иногда значительно больше секретарш...

Источник: Карл Абрахам Шкафиц II, "Руководство по компьютерной безопасности и защите информации"  в переводе Алекса Экслера