ЛЫТДЫБР под настроение. - Добавить комментарий

06:54 pm - А не пойти ли мне в "случайные" эксперты?

Посетил я сегодня (с использованием нейтрального предлога) одну весьма известную контору А. Точнее, ее российское представительство, в котором, как мне, ничтоже сумлящеся, сообщили, всё техническое производство и выполняется. 

Вход. Классика. «Вы к кому? – Мне назначено. – Документ? – Нате. - (пишем в журнал) – Посидите на диванчике пока.». Наблюдение: прокатит любой документ с фотографией и с внушительной печатью.

Пока сижу – наблюдаю два турникета с RFID и как минимум два монитора. Сижу минут 5, в процессе делаю вывод: турникеты сделаны не для ИБ, а для контроля передвижений персонала, чтобы штрафовать, если чё. Потому как я уже видел, что именно смотрит охрана – мониторы в свободном доступе. Плюс бооооольшое зеркало, и не захочешь - увидишь :)

Кстати. Уже прямо сейчас знаю, где находится серверная. Офис организован по пиндосскому принципу, «сотами». Капитальные стены видно издалека, а в них двери, на которых таблички. Вряд ли табличка "Server Room" обозначает не то, что на ней написано.

Но тут меня встречают. Захожу, используя гостевой RFID-пропуск. Что характерно, при наличии персонала числом от 300 человек, мне его на виду держать не нужно.

(Да, а перед началом мероприятия, кстати, я стоял и 20 минут курил у входа. И видел, как именно выглядят негостевые пропуска – потому как штатные сотрудники тоже выходили курить, да ;) Так что стиль оформления реальных пропусков у меня уже в голове есть.

Классическая атака номер два: на струйнике пропечатал что-то похожее, опять напросился в гости под благовидным предлогом, вовремя достал правильный бейджик, повесил на видное место, и пошел гулять по конторе, логины-пароли с мониторов списывать, никто и слова не скажет).

Ну ладно. Пришел человек, поздоровался. Зашли на территорию, идем в переговорную. По дороге наблюдаю чужие мониторы во всей красе. Через открытые двери кабинетов. На меня поглядывают, но вскользь. Идет себе и идет, раз прошел турникет – все задерись. 

А может, еще и потому, что я в костюме. Потому как у персонала стиль «распиздяй» - джинсы и свитер, даже у девушки на ресепшне. Учтем. 

А вот и переговорная. Доска, маркеры, стол, кресла, проектор, хвост патчкорда, еще системник под столом. Кондиционер. Общаемся с человеком минут 5, потом он говорит – приглашаем руководство, ждите минут 5-10. Уходит. Закрывает дверь. 

И я минут 15 нахожусь безо всякого контроля. Был бы реальным промшпионом – уже засканил бы эфир, плюс заюзал бы тот самый патчкорд, который у меня болтается прямо перед глазами. Видеонаблюдения однозначно нет: я знаю, как оно выглядит даже в самом скрытом варианте, и успел осмотреться. 

И вот приходит АйТи-руководство. Разговоры, разговоры. В процессе разговоров меня начинают умилять две вещи: во-1, я сюда пришел не собирать им готовый проект (поэтому, когда просят изобразить на доске, изображаю картинку на тему «ручки-ножки-огуречик», и объясняю так же. Фигасе. То, что просят – оно денег стоит, и немалых). А во-2, судя по тем вопросам, что мне задает их АйТи-директор, я начинаю понимать, что конторский топ-менеджмент набирался по знакомству. Пафоса море, но задачу сформулировать внятно не умеет. Или не хочет. Еще и палит ситуацию, что у них, оказывается, совершенно нормально, когда юзер является локальным админом, и что юзер имеет доступ к чужим доменным учетным данным, включая логин/пароль.  И что юзеры не блокируют свое рабочее место при отлучке. Рисковые пацаны, однако ;)

Ладно. Прощаемся и расходимся. НО! Прощаемся в переговорной, расходимся там же. После чего я остаюсь предоставлен сам себе. Хочу – пойду вглубь конторы. Хочу – пойду на выход. Никакого контроля. Никакого сопровождения. 

В общем – рай для специально обученного промышленного шпиона. Уж если я такие нестыковки отловил, то что сможет отловить промышленный спец по косвенному выниманию инфы? Тут даже терморектального криптоанализа не потребуется…