Προγραμματισμός

Ηλίθια κόλπα χρηστών: Έντεκα ιστορίες τρόμου IT

Ανεξάρτητα από το πόσο σκληρά προσευχόμαστε, πόσα κοτόπουλα θυσιάζουμε, πόσο συχνά ψάλλουμε γυμνά από το φως του φεγγαριού, κάθε δίκτυο είναι ταυτόχρονα ή άλλο εκτεθειμένο στον απόλυτο τεχνολογικό κίνδυνο: χρήστες.

Είναι κοντό, ψηλό, κοκαλιάρικο και λιπαρό. Είναι έξυπνοι ή ηλίθιοι, μοναδικοί ή κλωνοποιημένοι -- αλλά δεν έχει σημασία τι, θα κάνουν κατάχρηση της τεχνολογίας.

Σε συνάρτηση με τα χρόνια που ασχολούμαι με αυτό το πιο επικίνδυνο είδος άγριας ζωής, οι συντάκτες του μου ζήτησε να καταγράψω μερικές από τις πιο αξέχαστες εμπειρίες μου μαζί με συμβουλές για το πώς να αποφύγω παρόμοια συμβάντα. Όντας τόσο εμπεριστατωμένος όσο και τεμπέλης, αποφάσισα να ανοίξω το λόγο και στους περιπετειώδεις αναγνώστες μας, οι οποίοι ήταν αρκετά καλοί για να μιλήσουν για τις ιστορίες της θλίψης και της λύσης τους.

Το αποτέλεσμα είναι μια λίστα κατηγοριών προβλημάτων με καθεμία και συγκεκριμένη λύση. Ευρείες συμβουλές που ισχύουν για όλους τους τυχοδιώκτες πληροφορικής μπορούν να βρεθούν στην ηθική ανατροπή. Με την τύχη, αυτές οι ευεργετικές πληροφορίες θα σας βοηθήσουν να κρατήσετε το πίσω σας καλυμμένο.

Αυτόματες ενημερώσεις

Το BrilliantCompany.com αναπτύχθηκε με ρυθμούς φούσκας dot-com. Με τα τμήματα να εμφανίζονται σαν μαργαρίτες την άνοιξη, το προσωπικό πληροφορικής παραχώρησε τον έλεγχο της επιφάνειας εργασίας σε επικεφαλής τμημάτων, διότι οι περισσότεροι όλοι ήταν τεχνικοί ούτως ή άλλως.

Λίγο μετά την έλευση 75 νέων επιτραπέζιων υπολογιστών της Dell έφτασαν για να δημιουργήσουν ένα νέο τμήμα προϊόντων, το δίκτυο πέθανε ξαφνικά στη μέση της ημέρας. Όλα τα φώτα ήταν πράσινα σε γη υποδομής, αλλά η απόδοση είχε επιβραδυνθεί σε τέτοια ανίχνευση που το LAN παρέλυσε αποτελεσματικά. Κάποιος επιμελής εισπνοή και καταγραφή αρχείων καταγραφής αποκάλυψε τον ένοχο.

Αποδεικνύεται ότι η αυτόματη ενημέρωση των Windows XP είχε προεπιλεγεί το μεσημέρι την ημέρα της εβδομάδας και και τα 75 μηχανήματα προσπάθησαν να κατεβάσουν αρκετές εκατοντάδες megs του Service Pack 2 ταυτόχρονα και μεμονωμένα. Στιγμιαίο φράξιμο δικτύου.

Λύση: Συγκεντρώστε τον έλεγχο της πληροφορικής, ώστε κάποιος να μπορεί να είναι υπεύθυνος για όλες τις λεπτομέρειες. Αυτό έγινε σε σύντομο χρονικό διάστημα αφού κυκλοφόρησα ένα σωστά υπόμνημα στους κατάλληλους λαούς. Στη συνέχεια, έκανα ό, τι έπρεπε να κάνω νωρίτερα και έστησα το SUS (Υπηρεσίες ενημέρωσης λογισμικού), τώρα WSUS (Windows Server Update Services), για να κατεβάσω ενημερώσεις και να διανείμουν την κατάλληλη στιγμή και μετά από κατάλληλες δοκιμές κατά των τμηματικών λειτουργικών λειτουργιών.

Ηθικός: Ακριβώς επειδή οι χρήστες σας είναι τεχνικοί δεν σημαίνει ότι θα συμπεριφέρονται με μεγαλύτερη προσοχή στη λεπτομέρεια από τον μέσο Joe. Εάν ο χρόνος λειτουργίας δικτύου είναι δική σας ευθύνη, τότε αναλάβετε την ευθύνη και διαχειριστείτε ό, τι χρειάζεται διαχείριση.

Προστασία πελατών

Ο αναγνώστης SEnright αναφέρεται σε μια δακρυσμένη ιστορία: Ένας χρήστης κινητής τηλεφωνίας που κλήθηκε να πει ότι ο φορητός υπολογιστής του δεν λειτουργούσε πλέον. Μετά από μια μακρά τηλεφωνική συνομιλία, κατά την οποία ο χρήστης αρχικά αρνήθηκε ότι είχε συμβεί κάτι ασυνήθιστο, αποκάλυψε ότι είχε χύσει ένα ολόκληρο κουτί Coke στο πληκτρολόγιο. «Συνέχισε λέγοντάς μου ότι είχε προσπαθήσει να το στεγνώσει με στεγνωτήρα μαλλιών, αλλά ότι δεν θα ξεκινούσε. Τον ζήτησα να μου το στείλει και να το επισκευάσω. "

Λύση: Ο φορητός υπολογιστής ήταν ασφαλισμένος μόνο για «τυχαία» ζημιά. Από το συμβάν, η διατήρηση της πλήρους κάλυψης του κινητού εξοπλισμού ήταν φυσικά ζήτημα για τη SEnright.

Ηθικός: Καλύψτε τους κινητούς σας πολεμιστές. Αυτό σημαίνει όχι μόνο την ασφάλιση του υλικού τους, αλλά και την παροχή κατάρτισης και σαφών εγγράφων πολιτικής για το τι μπορεί και τι δεν μπορεί να γίνει με το υλικό της εταιρείας στο δρόμο. Επιπλέον, βεβαιωθείτε ότι τα δεδομένα τους υποστηρίζονται θρησκευτικά, τόσο όταν βρίσκονται στο Υπουργείο Εσωτερικών όσο και όταν βρίσκονται στο δρόμο.

Εκτελεστική επιρροή

Εδώ, μας απασχολεί το ανώτερο στέλεχος που πρέπει να έχει πλήρη δικαιώματα διαχειριστή για κάθε υπολογιστή του δικτύου. Ακόμα κι αν είναι τόσο τεχνικός όσο η γάτα μου--και η γάτα μου είναι νεκρή.

Οι ηλικιωμένοι χρήστες μπορεί να είναι κίνδυνοι ακόμη και χωρίς ειδικά δικαιώματα πρόσβασης. Ο John Schoonover, ο οποίος εργάστηκε στο Υπουργείο Άμυνας σε μια από τις μεγαλύτερες αναπτύξεις δικτύου στην ιστορία κατά τη διάρκεια της Επιχείρησης Enduring Freedom ήταν «μάρτυρας τεράστιας έλλειψης σημείων IQ» σε έναν ανώτερο διευθυντή.

Σύμφωνα με τον Schoonover, οι στρατιωτικές εγκαταστάσεις infosec ακολουθούν γενικά μια ιδέα που ονομάζεται «διαχωρισμός κόκκινου και μαύρου». Το κόκκινο είναι απλά δεδομένα που δεν έχουν κρυπτογραφηθεί ακόμη. (Κίνδυνος, ο κόσμος και οι sniffers μπορούν να σας δουν!) Ο Μαύρος είναι τα ίδια δεδομένα αφού έχει κρυπτογραφηθεί και είναι τώρα έτοιμο να διασχίσει τον κόσμο. «Αυτές οι περιοχές [κόκκινο και μαύρο] πρέπει να διαχωρίζονται με ένα φυσικό κενό έξι ποδιών», λέει ο Schoonover.

Ο ήρωάς μας συνεχίζει να ακολουθεί αυτές τις οδηγίες και αναπτύσσει το δίκτυο, αλλά επιστρέφει από το μεσημεριανό γεύμα μια μέρα για να βρει το τείχος προστασίας. Η έρευνα δείχνει ότι ένας ανώτερος διευθυντής «είχε πάρει την καλωδίωση από τον εσωτερικό δρομολογητή και είχε συνδεθεί στο Διαδίκτυο για συνδεσιμότητα, παρακάμπτοντας έτσι όλες τις υπηρεσίες τείχους προστασίας, την κρυπτογράφηση και -- Ω ναι, αυτό είναι σωστό -- ολόκληρο το ασφαλές δίκτυο με ένα άλμα κατευθείαν στο Διαδίκτυο! "

Λύση: Ο Τζον λέει ότι "αφαίρεσαν τους αντίχειρες του ένοχου, γιατί αν δεν μπορείτε να πιάσετε το καλώδιο, δεν μπορείτε να το αποσυνδέσετε." Δεν ζήτησα περισσότερες λεπτομέρειες.

Ηθικός: Η διαχείριση απατεώνων ανώτερων χρηστών είναι μια τέχνη από μόνη της που απαιτεί διπλωματία και ακόμη και απόλυτη εξαπάτηση. Σε αρκετές εγκαταστάσεις έχω μετονομάσει τον λογαριασμό διαχείρισης κάτι σαν "IT" και έχω κάνει "Administrator" έναν λειτουργικά περιορισμένο λογαριασμό με απλώς περισσότερη πρόσβαση ανάγνωσης / εγγραφής σε καταλόγους δεδομένων, ενώ εξακολουθώ να αποκλείω την πρόσβαση σε πράγματα όπως ο κατάλογος συστήματος των Windows ή οι κατάλογοι ρίζας Unix . Τις περισσότερες φορές δεν παρατηρούν ποτέ. και αν το κάνουν, είμαι πολύ καλός στο να κάνω δικαιολογίες γιατί αυτοί οι κατάλογοι παραμένουν κλειστοί. ("Ω, αυτό ήταν που έκανε η Microsoft στο τελευταίο service pack. Φοβερός ο Bill Gates.")

Νομικοί αετοί που κυνηγούν ποντίκια IT

Οι δικηγόροι καταστρέφουν τα πάντα -- συμπεριλαμβανομένων ομαλών δικτύων. Όμως, οι διαχειριστές πληροφορικής που αγνοούν τον συνεχώς μεταβαλλόμενο αντίκτυπο του νομικού τοπίου στην τεχνολογία το κάνουν σε κίνδυνο.

Μου κάλεσαν κάποτε ως διαιτητής μεταξύ εσωτερικών συμβούλων, ανώτερων στελεχών και προσωπικού πληροφορικής, αφού η εταιρεία ενημερώθηκε ότι η παιδική πορνογραφία είχε παρακολουθηθεί στους διακομιστές της. Η εταιρεία δεν ήξερε αν θα βοηθούσε την έρευνα, υπολογίζοντας ποιος υπάλληλος ήταν υπεύθυνος ή απλώς να διαγράψει αμέσως όλα τα προσβλητικά αρχεία και πιθανότατα να επιβληθεί πρόστιμο, αλλά να προστατεύσει την εταιρεία από το κλείσιμο.

Στο τέλος, οι δικηγόροι κατάφεραν να κάνουν μια συμφωνία με τους ανακριτές. Το δίκτυο πληροφορικής της εταιρείας παρέμεινε ενεργό και παρακολουθήσαμε τη χαμηλή ζωή και τον συνέλαβαν. Ήσυχα.

Λύση: Μιλήστε με ανώτερους διευθυντές και εταιρικούς συμβούλους σχετικά με νομικά ζητήματα, όπως εταιρική απόκριση σε ελέγχους τρίτων ή ευθύνη της εταιρείας για δεδομένα που έχει σχετικά με τρίτα μέρη, προτού συμβούν.

Αυτή η συζήτηση ξεπερνά τις λύσεις που επικεντρώνονται στην πληροφορική. Η διεύθυνση πρέπει να αποφασίσει εάν θέλει να διατηρήσει όλα τα σχετικά δεδομένα (την καλύτερη πορεία δράσης για αυτούς τους ελέγχους τρίτων) ή να διαγράψει αυτόματα τα προσβλητικά δεδομένα (όπως ό, τι υπάρχει στα φίλτρα πορνό).

Η πληροφορική και η διοίκηση πρέπει να παρακολουθούν απόλυτα τον τρόπο με τον οποίο η εταιρεία θα ανταποκριθεί σε έρευνες, έρευνες ή ακόμα και σε επιδρομές επιβολής του νόμου. Εάν οι πράκτορες της Εσωτερικής Ασφάλειας πιστεύουν ότι ένας τρομοκράτης μεταμφιέζεται ως υπάλληλος και αποθηκεύει δεδομένα σε εταιρικούς διακομιστές, μπορεί να εισέλθει και να πάρει σχεδόν ό, τι θέλει. Αυτό θα μπορούσε να βάλει μια πραγματική πτέρυγα στο στυλ, ας πούμε, ενός ηλεκτρονικού επιχειρείν.

Η ανάπτυξη της βέλτιστης πορείας δράσης πρέπει να περιλαμβάνει τα ανώτερα στελέχη, τον εταιρικό σύμβουλο και την επιβολή του νόμου. Το FBI είναι συνήθως πολύ χρήσιμο σε αυτές τις συζητήσεις -- και έτσι, μερικές φορές, είναι το τοπικό τμήμα εγκλημάτων υπολογιστών, όπως το μεγάλο τμήμα Πληροφορικής και Τεχνολογικής Μονάδας του NYPD.

Ηθικός: Όσο υψηλότερη είστε στην αλυσίδα τροφίμων IT, τόσο μεγαλύτερη ευθύνη μπορεί να προκαλέσει σοβαρά προβλήματα. Εάν φροντίσετε να συζητήσετε τουλάχιστον γενικά νομικά γεγονότα με τα ανώτερα διευθυντικά στελέχη, είναι πολύ πιο πιθανό να κάνετε στον εαυτό σας και στον εργοδότη σας κάποια πραγματική υπηρεσία σε συγκεκριμένες περιπτώσεις. Εάν αρνούνται να συζητήσουν το θέμα, αρχειοθετήστε ό, τι μπορείτε.

Καταστροφές στην αποκατάσταση καταστροφών

Ο Gary Crispens αναφέρει ένα περιστατικό που αντιμετώπισε μετά από ερώτηση ενός διευθυντή πληροφορικής σχετικά με την ετοιμότητα της εταιρείας για αποκατάσταση καταστροφών. Ο σκηνοθέτης απάντησε με βαρύτητα ότι η καυτή τοποθεσία ήταν έτοιμη για οποιαδήποτε καταστροφή, συμπεριλαμβανομένου του απαραίτητου χώρου και του εξοπλισμού που υποστηρίζεται από μια γεννήτρια με ντίζελ με «άφθονο καύσιμο».

Μετά από περίπου ένα χρόνο, η εταιρεία είχε διακοπή ρεύματος που σχετίζεται με τον τυφώνα που την ανάγκασε να μετακινηθεί στον καυτό ιστότοπο. «Σίγουρα, ο Διευθυντής Πληροφορικής είχε κρίσιμες λειτουργίες σε λειτουργία και μπορούσα να ακούσω ότι η γεννήτρια τρέχει πίσω. Αλλά μετά από περίπου οκτώ ώρες η ισχύς έσβησε για πάντα και όλα τα συστήματα έπεσαν όταν η γεννήτρια σταμάτησε. "

Αποδείχθηκε ότι το "άφθονο καύσιμο" ήταν ένα βαρέλι 55 γαλονιών που ήταν ήδη μισό κενό από τις μηνιαίες δοκιμές.

Λύση: Ένα σχέδιο αποκατάστασης καταστροφών που ζήτησε ελέγχους καυσίμων εκτός από τον έλεγχο γεννήτριας.

Ηθικός: Η αποκατάσταση καταστροφών δεν είναι ένα στατικό πρόβλημα. Ένα σχέδιο ή μία πολιτική δεν είναι ποτέ τέλεια έξω από την πύλη. Πάντα. Περάστε τέτοιες έννοιες από όσο περισσότερα έμπειρα μάτια μπορείτε και στη συνέχεια τις επισκέπτεστε κάθε χρόνο ή ακόμη και κάθε δύο φορές για βελτίωση.

Rogue περιφερειακά

Τα βιβλία CompUSA και Dummies διδάσκουν στους χρήστες αρκετό αλφάβητο τεχνολογίας για να εξηγήσουν προβλήματα.

Μία από τις αγαπημένες μου ιστορίες ήταν το δίκτυο που είχε πειρατικά πειραματιστεί από κάποιον που ήρθε από έξω και διέγραψε το κύριο κατάστημα μηνυμάτων του Exchange. Τα αρχεία καταγραφής του τείχους προστασίας δεν είχαν πάρει τον τοπικό διαχειριστή πληροφορικής πουθενά, οπότε μας κάλεσαν να κάνουμε λίγο κατασκοπεία. Μακάρι να το σκέφτηκα, αλλά ένας άλλος τύπος της ομάδας είχε την αίσθηση να τρέξει το AirSnort. Βρήκε ένα ευρύ ανοιχτό σημείο ασύρματης πρόσβασης Linksys σε περίπου έξι δευτερόλεπτα.

Ο εσωτερικός διαχειριστής επέμεινε ότι δεν υπάρχει ασύρματη εκτέλεση οπουδήποτε στο δίκτυο. Χρειάστηκε δίχτυα για sneaker, αλλά βρήκαμε τον απατεώνα AP στο γραφείο ενός ανώτερου στελέχους περίπου 20 λεπτά αργότερα. Φαίνεται ότι είδε πόσο φθηνά ήταν στην τοπική CompUSA και αποφάσισε να συνδέσει ένα στη δευτερεύουσα θύρα δικτύου στο γραφείο του, ώστε να μπορούσε να χρησιμοποιήσει το ασύρματο του φορητού υπολογιστή του αντί για την ενσύρματη σύνδεση, επειδή κανένα καλώδιο «δεν φαίνεται καλύτερο».

Ένα άλλο πρόβλημα σε αυτό το πνεύμα είναι το USB. Το να μπορείτε να συνδέσετε ένα περιφερειακό και να επιτύχετε κατάσταση λειτουργίας χωρίς την ανάγκη εγκατάστασης προγραμμάτων οδήγησης έχει διαδώσει γρήγορα τη δημοτικότητα των προσωπικών περιφερειακών. Δεν θέλετε να παρασυρθείτε για να υποστηρίξετε πράγματα όπως εκτυπωτές που δεν περιλαμβάνονται στην επίσημη λίστα αγορών σας -- ή εξωτερικούς σκληρούς δίσκους, μονάδες DVD, συστήματα ήχου και ακόμη και οθόνες.

Ούτε θέλετε τον κίνδυνο ασφάλειας ενός υπαλλήλου να συνδέσει μια συναυλία ή δύο κενού χώρου στη θύρα USB οποιουδήποτε σταθμού εργασίας και να αντιγράψει σημαντικές εταιρικές πληροφορίες. Ο πηγαίος κώδικας, τα λογιστικά δεδομένα και τα ιστορικά αρχεία μπορούν να αντιγραφούν γρήγορα και στη συνέχεια να βγουν έξω στην τσέπη κάποιου.

Λύση: Ενημερώστε τους υπαλλήλους τι είναι και δεν είναι αποδεκτό ως εταιρικά περιφερειακά. Κρατήστε ένα ακριβές αρχείο στοιχείων για το τι ανήκει στο τμήμα πληροφορικής, ώστε να μπορείτε να βρείτε ή να αγνοήσετε ευκολότερα τα πράγματα που δεν το κάνουν. Και αν η κλοπή δεδομένων είναι πρόβλημα, σκεφτείτε να προστατεύσετε τον εαυτό σας απενεργοποιώντας μονάδες USB, απεγκαθιστώντας μονάδες CD-RW ή παρόμοια μέτρα. Η εργασία που κάνετε τώρα μπορεί να σώσει το μπέικον σας αργότερα.

Ηθικός: Η διαχείριση περιουσιακών στοιχείων δεν αφορά μόνο τον πρωκτικό. Το να γνωρίζετε ακριβώς τι πρέπει να είναι στο δίκτυό σας είναι ένα βασικό βήμα για την επίλυση μιας μεγάλης ποικιλίας μυστηρίων πληροφορικής.

Copyright el.verticalshadows.com 2024

$config[zx-auto] not found$config[zx-overlay] not found