?

Log in

No account? Create an account
dump -0f - /dev/mind
Я знаю Haskell, OCaml, GSM, эндофункторы и много других страшных слов
Безопасность для всех и каждого, и пусть никто не уйдет 
22nd-Jul-2008 09:36 pm
"- Вы останетесь в доме! - приказал робот.
С удивительной быстротой двигаясь на своих гусеницах, он пересек комнату, загородил собой дверной проем и протянул руки к пульту у потолка, чтобы включить защитное поле вокруг дома. В ужасе Кармайкл увидел, как быстро перебирая пальцами, робот перенастроил установку.
- Я изменил полярность охранного поля, - объявил Бисмарк. - Поскольку выяснилось, что вам нельзя доверять соблюдение предписанной мной диеты, я не вправе позволить вам покинуть дом. Вы останетесь внутри и будете подчиняться моим благотворным советам.
"

Я участвовал в проекте, заказчик которого настаивал на строгом соблюдении ряда своих внутренних процедур и правил. Одно из правил гласило, что все сотрудники компании, а также партнеры (партнеры партнеров и т.п.) должны заключить с компанией договор о неразглашении коммерческих и всяких прочих тайн. Второе правило гласило, что все работы на благо компании ведутся исключительно на оборудовании компании и инструментами, предоставленными компанией. Как вы уже поняли, к вопросам информационной безопасности компания относилась более чем серьезно.

В результате я стал (на время) обладателем предоставленного компанией ноутбука, который был защищен на всех уровнях: диск его был зашифрован SafeDisk-ом, и для загрузки требовалось указать пароль. Учетная запись Windows была сильно урезана в правах, и ни о каком локальном администрировании и речи быть не могло. Все коммуникации с компанией поддерживались при помощи VPN в их штаб-квартиру - почта через их exchange-сервер, интернет через их прокси, и т.д. и т.п.

Компьютер был далеко не самым современным, и тормозил, как только мог. SafeDisk тормозил, расшифровывая и зашифровывая секторы при доступе к диску. Windows XP тормозил, загружаясь с зашифрованного диска и робко пряча тело жирное в 512Мб памяти. Своп, как вы понимаете, тоже был на зашифрованном диске. Добавьте к этому антивирус, проверяющий все и вся, не шибко быстрый VPN, нестандартную раскладку клавиатуры, мою искреннюю "любовь" к работе в win-окружении - и в поймете, что работать на этом чуде враждебной техники было одно удовольствие.

Загружался ноутбук минут 10, соответственно, я старался никогда его не shutdown-ить. а вместо этого опускать в hibernate. Тогда он просыпался быстрее, минуты за 3.

И вот однажды мне потребовалось БЫСТРО написать заказчику очень важное письмо, и ехать на деловую встречу. Время поджимало, письмо было объемным, я спешил, как только возможно, и, казалось, едва-едва успевал до назначенного срока. Памятуя о том, что VPN тут - штука не быстрая, я загодя запустил VPN-клиента и сказал "connect!". Соединение было установлено, я отправился дописывать письмо.

В это время на компьютере оживилась всякая нечисть и, учуяв VPN, стала качать себе всякие апдейты. Outlook обновлял реплику адресной книги, VPN-клиент - правила firewall-а, антивирус - антивирусные базы и какие-то свои модули (не забывая попутно проверять все, что качалось параллельно другими программами). Ноутбук весело затрещал свопом, слова в outlooke стали набираться не по буквам, а минимум по слогам. Я, чертыхаясь, пытался успеть дописать письмо за оставшиеся несколько минут.

Тут антивирус закончил качать свои базы и обновления и вывесил в трее уведомление: "Я накачал критических апдейтов. Меня надо перезапустить. Перезапускаюсь". Уведомление скрылось, появилось окошко: "Для завершения обновления антивируса, компьютер надо перезапустить. Ok?". Поверх него открылось еще одно окно от VPN-клиента: "Ахтунг! Мы остались без антивируса! Защищенное VPN-соединение в trusted сеть не может быть использовано в таких условиях. VPN-соединение будет закрыто.". Поверх него открылось еще одно: "Outlook остался без связи с Exchange-сервером, вы не сможете получать и отправлять письма".

Матерясь, на чем свет стоит, я понял, что проще отдаться, чем объяснить, что мне осталось писать пару предложений. Спустя 10 томительных минут ожидания я (уже опаздывающий сверх всяких пределов) запустил Outlook и ... увидел, что папка Outbox пуста.

Последний раз подобное ощущение потери овладевало мной году эдак в 94-м, когда у меня враз накрылся винчестер на 80 мб, и все, что на нем было, потерялось безвозвратно. Желание кинуть ноутбук в стену преодолевалось с трудом. Я решил, что, по крайней мере, уведомлю клиента о том, что по техническим причинам отвечу ему позже. В поисках адреса какого-то начальника, которого надо было ставить в "CC:", я пошел рыться в папке Sent и ... увидел там свое недописанное письмо. Якобы уже отправленное.

Вскрытие показало, что письмо реально никуда не уходило, никто его не получал, а Outlook не захотел сознаваться, по каким причинам оно было перенесено в Sent. С тех пор я дожидался завершения процесса обновления антивируса, и лишь потом начинал писать важные письма по этому проекту. На всякий случай - мало ли, может у него в запасе есть какие-то еще благие намерения.
Comments 
22nd-Jul-2008 07:03 pm (UTC)
За исключением SafeDisk'a все остальное - норма жизни в крупных компаниях.
Вместо SafeDisk'a чаще используют аппаратное шифрование с PowerOn-паролем у ноута.
А VPN могут ведь и через RSA подключать. Отдельноье веселье, особенно на dial-up'e.
22nd-Jul-2008 10:04 pm (UTC)
да-да. с биометрией потому что лень пароль вводить :-))))
22nd-Jul-2008 08:08 pm (UTC)
Рассказ читал когда-то в Юном Технике. Автора вот только не помню :)
22nd-Jul-2008 08:36 pm (UTC)
Роберт Сильверберг, "Железный Канцлер"
22nd-Jul-2008 08:26 pm (UTC)
Супер, Адепт! Я поржал. И загодя приготовил картинку.

PS: В следующий раз не подавляй желание расфигачить эту хрень об стену.
22nd-Jul-2008 08:26 pm (UTC)
В тех проектах, где я участвовал, абсолютно все это по фигу. У меня внешняя почта, никаких VPN-ов, никаких оутлуков (Господи, прости). Втыкаю свой ноут с дебианом в сетку - и в путь. Главное - работу работать.
22nd-Jul-2008 09:16 pm (UTC)
Рассказ этот я обожаю.
22nd-Jul-2008 09:19 pm (UTC)
Знакомо. Я несказанно рада, что кто-то в свое время перепутал и мне выдали новое Леново, которое мне по рангу не положено, потому что престарелый Компак еще как-то через пень-колоду работал воткнутым прямо в корпоративную сеть, но просто физически не тянул VPN.
22nd-Jul-2008 11:42 pm (UTC)
Ага. А у нас помню был проект, где нам был запрещен логин на продакшин сервер приложений (только их админы, мы передаем програмы), и на пользователя xxx БД, в то же время когда они думали что что-то случалось, нам звонили и давали логины от сис-а ;)
23rd-Jul-2008 12:07 am (UTC)
...и все зашифровано, и все строго по паролям, чтобы ни один же ж шпион!... ну а поскольку тетя Маша уже не молодая женщина, мы ей поставим пароль 55555 и напишем большими буквами возле монитора, чтобы не забыла и чтобы ей было удобно.
23rd-Jul-2008 08:14 am (UTC)
бугага но ЧАСТЬ из 8ми символьного пароля 55555555 - нужно написать таки в Upper case ;-)
23rd-Jul-2008 03:55 am (UTC)
Что мешало сделать из него(на время работы) нормальный ноутбук?
23rd-Jul-2008 04:50 am (UTC)
Видимо, фаервол с антивирем отвалились не полностью и их интерфейсная часть, осуществляющая взаимодействие с аутлуком, осталась частично живой. В неё и ушло Ваше сообщение стандартным для аутлука образом, что для него означает, что он отправил сообщение. А уж, что оно реально дальше не пошло, - то да, мертвый фаервол/антивирь не пустили...
23rd-Jul-2008 07:30 am (UTC)
В одной Большой Компании, где я когда-то работал, для написания писем использовали Ворд, чтоб "внезапная перегрузка Аутглюка" не приводила к столь критичным душепереживаниям. Хотя, с другой стороны, загрузка ещё одного МС-Офисного приложения здоровья ноуту явно не прибавило бы, но зато вызвала новую лавину загрузки апдейтов... ;)
не люблю Аутглюк, не люблю Лотус Ноутс -- монстры с камнем за пазухой...
23rd-Jul-2008 07:36 am (UTC)
Имея физический доступ к компу приобрести админский аккаунт ...
Сам Шеннон говаривал что-то такое: "безопасность компьютера - это когда он заперт в сейфе в изолированной комнате с вооруженной охраной".
23rd-Jul-2008 09:02 am (UTC)
Что-то у меня есть подозрение, что Шеннон этого сказать не мог. В годы его активной работы компьютеры в сейф не помещались. :)
(Deleted comment)
4th-Oct-2009 06:27 am (UTC)
а що ж ти хотів - усі пллються на корпоративні середовища
This page was loaded Oct 21st 2019, 3:04 am GMT.