Начало марта. Лично для меня — не очень приятное время года. В воздухе стоит неприятный запах сырости, а ботинки наполняются влагой очень быстро, стоит только пройти по рыхлому мокрому снегу. Через снег проступают разноцветные отходы деятельности домашних животных, желто-оранжевые фильтры окурков, целлофановые пакеты и прочий мусор. В 9 часов утра это не так заметно, и внутренне я был рад, что обеденное время проведу в офисе. Полусонный я шел на работу и думал над задачей по оптимизации работы скрипта.
Сегодня я пришел на работу пораньше своих коллег. До их прихода оставалось около 20 минут и хотелось развлечься перед трудовым днем. Покапавший в подписках YouTube, ничего интересного не нашел и поэтому решил найти каталог в сети, где мы обычно обмениваемся файлами. Открыв Проводник, я навел указатель мыши в адресную строку и кликнул. Курсор приветливо заморгал и пригласил к вводу адреса каталога. Задумавшись и взглянув на стену я ввел случайные цифры и нажал клавишу Enter. Спустя 3 секунды из колонок щелкнул стандартный звук открытия папки Windows.
Переведя взгляд на монитор я увидел не привычную помойку файлов, а несколько папок с непривычными мне названиями — «1CBase», «Налоговая», «Образцы документов», «Ключи СОНО». Ну да, верно — IP 192.0.2.10. Это точно не локальная помойка 192.168.1.101.
Окинув взглядом офис, я зло улыбнулся. Мгновенно возникали и исчезали мысли:
— чувак, на этом можно заработать бабла;
— вот она слава — приходит неожиданно;
— нахрен я сюда залез.
Задумавшись, я понял, что не знаю, какую можно извлечь выгоду из бухгалтерских данных и баз 1C. Перебивая внутренний неизвестный страх, который то подбегал к глотке, то резко ударял в пятки, я принялся изучать файлы. Действительно, то был реальный компьютер бухгалтера компании «ИТ-Вольфрам Голд Казахстан», находящийся в городе Алматы. Зарплатные сметы в xls файлах, заявления от работников в rtf, сканы документов jpeg, ключи доступа к личным кабинетам налогоплательщика — это только вершина айсберга. Немного подумав, я скачал файл places.sqlite (история посещений Mozilla Firefox), изучил. Посмотрел сохраненные пароли и перечитал логи интернет-меседжеров. Круто, я чувствовал себя детективом. Создавалось впечатление, что я могу управлять финансовой стороной это фирмы или выражаясь по черному — слить бабла.
Но во мне жил добропорядочный гражданин Республики Казахстан. Среди документов в файле «Мое резюме.docx» я нашел мобильный телефон бухгалтера. Это была женщина 52-го года рождения. Амбициозная, коммуникабельная и жаждущая новых знаний, с огромным опытом работы в различных организациях. Зайдя на сайт оператора я отправил СМС:
u menja kljuchi nalogovoj i bazy prodam ili udalju skype profixakep
Мне опять показались оттенки детектива.
Через пару минут в skype написал некий Талгат. Я так и понял, что это по моему делу. Зашел коллега, я поприветствовал его и сделал вид, что уже очень занят работой. Я написал:
— Добрый день. Слушаю.
Была пауза минуты две. Мне ответили:
— По поводу смс… Доказательства есть?
— Да, ключи от СОНО, базы, документы. Я не злоумышленник, я просто покажу уязвимость.
Мне явно не хотели отвечать. Надавив тем, что я слил всю инфу на жесткий диск и получил доступ к интернет-банкингу, получил ответ:
— Компьютер старый, базы старые, инфа не актуальна.
Вдруг захотелось все это забыть и заняться работой. Я заблокировал Талгата и удалил его из контакт-листа. Skype я использовал с своими реальными данными, на жесткий диск ничего не загружал, боятся было нечего и я переключился на работу.
Придя домой и зайдя почитать ленту «ВКонтакте» я обнаружил личное сообщение от Талгата:
— Я вот смотрю, ты неплохой парень вроде, робототехникой увлекаешься и сайт у тебя полезный. Зачем бабушек пугаешь? Наш бухгалтер запаниковала, позвонила шефу. Шеф сказал писать заявление в органы. Я его уговорил не делать этого и объяснил, что ты просто кулхацкер — да еще и без анонимности(!) и просто не понимаешь, с чем связываешься. Тебе еще повезло, что я разобрался, в чем дело. Другие бы и разбираться не стали. Сразу в полицию. Больше так не делай! Занимайся полезными вещами.
Меня это сообщение задело. Вроде ошибку показал, признался, что нашел, а тут на тебе — полиция.
Началось общение:
Я: Дык я ж говорил, что не злоумышленник. Если раздел диска расшарен и виден любому.
Талгат: Не любому, а пользователям локальной сети.
Я: Это вы шефу рассказывайте. Я даже сканер не использовал, а случайно ввел в адресную строку ip адрес из диапазона казактелекомовских. Жалко в 7-ке нет telnet клиента, а putty лень было качать.
Талгат: Объясню проще. Никто в общий доступ файлы не выкладывал. Пользоваться уязвимостью — это все равно что взломать плохой замок. Это не дает тебе законных оснований взламывать дверь и красть чужое. Так?
Я: Как не выкладывал. Именно у файлов и был публичный доступ по протоколу SMB. Никакой авторизации. Практически любой участник сети интернет мог получить доступ. Другой бы слил инфу (а уж поверьте, есть куда) и ваша компания понесла бы убытки. И это не уязвимость. Это кривые руки сисадмина.
Талгат: Я говорил с шефом. Ничего тайного в базах у нас нет. Банкинг без карты не работает. Убытки не за что нести. А насчет кривых рук, кажется: я начинаю понимать, в чем дело…
Я: Но мы то знаем, в чем дело. Лучше один раз правильно сконфигурировать локалку и доступ к устройствам и разделам.
Талгат: Айпишники, белая сеть… Не думал, что все так запущено.
Я: Так что пусть ваш босс мне премию выписывает за аудит безопасности.
Талгат: Наш сисадм — это в общем-то, монтажник сетей. А я по проекту работаю как тупо юзер.
Я: Надо статью написать, а то все не могу инвайт на Хабр получить.
Талгат: Я поговорю с шефом на счет аудита, придется мне это разгребать теперь самому. Спасибо еще раз!
Я проснулся от того, что кто-то толкает меня за плечо. Приподняв голову, я увидел своего директора и понял, что опять уснул на рабочем месте, оставаясь вчера допоздна. Пора завязывать с оптимизацией и заняться следующими задачами.
Автор: IvanSCM
