Область работы и специалисты
История произошла в 2018 году в одном из новых и современных кардиологических центров Казахстана. Есть вероятность, что история может повториться и сегодня, спустя пять лет, в любой другой медицинской клинике.
Дорогое оборудование, исключительный доступ к его обслуживанию только сертифицированных специалистов вызывает нездоровый, низменный интерес охотников полакомиться. И ведь действительно, оборудование приобретается у сертифицированных поставщиков, берётся в лизинг, должно "отбивать" стоимость и приносить деньги в режиме 24/7. Поясню, что многие центры работают на государственной основе, но с правами хозяйственной деятельности, оказывая платные услуги и получая прибыль. Специалисты, выполняющие, скажем так, компьютерные работы в такой организации, - это не всегда разработчики и хакеры, большей частью эникейщики, которые знают, как установить операционную систему, настроить сеть, проложить кабель и т.п. Они не любят копаться внутри дорогостоящих программ, брать ответственность за случайные поломки хотя бы потому, что им платят ровно столько, чтобы делать свою работу в определенных пределах.
В те годы я работал в кардиологическом центре на позиции разработчика и занимался развитием самописной медицинской информационной системы. Была ответственность за свою часть, коллеги занимались «железом». Медицинское оборудование центра (поставщики GE Healthcare, Siemens и прочее) было для нас запретным. Медработники нас не привлекали к консультированию и ремонту оборудования: видимо, клиника имела прямые контакты с поставщиком либо с обслуживающей компанией.
Лучший вариант в данном случае - долгосрочный контракт с поставщиком, у которого есть свой проверенный и квалифицированный персонал. Обслуживающая компания - это бизнесмен, который берёт на себя риск по обслуживанию оборудования. Есть честные и порядочные, имеющие сертификаты, которые дают им законное право работы с оборудованием. Но есть и другая категория бизнесменов. Возглавляемые ими компании, по причине отсутствия настоящих профессионалов, готовы выполнить минимум технических работ; сложные же проблемы им оказываются не под силу. Вот и приходится им либо молиться, чтобы не произошло ничего серьезного, либо искать специалистов на стороне, чтобы не ставить под угрозу контракт. Худший вариант в этой ситуации, когда вся оговоренная в контракте сумма может уйти на ремонт, но сторонней компании. Плюс здесь в том, что они, за счет этой сторонней компании, сохранят свое лицо, «отобьют» деньги и свой авторитет на других. Соответственно, все обслуживающие компании закладывают траты именно на вызов узких специалистов. В моей работе было несколько эпизодов, когда мы с коллегами, не имея сертификатов, собственными силами, без привлечения узких специалистов, сами что-то исправляли, восстанавливали. Некоторые проблемы были понятными, а решения - осознанными; иные проблемы решали спонтанно, по наитию. Чем руководствовались? Особой мотивации не было. Был просто интерес и любовь к своему делу.
Несколько слов о госзакупках. Как правило, госзакупки ориентированы на минимальные цены: кто меньше предложит, то есть не слишком высоко оценит свой труд, тот и занимается впоследствии обслуживанием. Не всегда обслуживающая компания имеет квалифицированных специалистов по всем видам оборудования. Если попадется оборудование из списка вне их компетенции, то вынуждены искать на рынке услуг соответствующего специалиста; в крайнем случае обращаются к сертифицированной обслуживающей компании либо к поставщику оборудования. Так что госзакупки редко можно назвать честным конкурсом, чаще всего это лотерея, игра в рулетку, где не всегда побеждает профессионализм. Хотя и большие профессионалы – лучшие, так сказать, в своей профессии, - оказываются с гнильцой. В подтверждение своих слов приведу такой случай.
В самый неподходящий момент
Как-то обслуживающая компания медицинского оборудования кабинета электрофизиологического исследование сердца (ЭФИ) просит посмотреть рабочую станцию. Оборудование предназначалось для определения у пациентов высокого риска развития внезапной аритмической смерти, а также диагностики места происхождения и механизма развития преходящих или сложных аритмий. Довольно серьёзное оборудование, на котором была сосредоточена очередь приёмов пациентов и запись на диагностику была на несколько недель вперёд. Просят посмотреть нелегально, втихую. Свои идеи исправить проблему иссякли, организовали мозговой штурм. Все связанные риски брали на себя. Предложили 10К рублей за независимое мнение и ответ на вопрос "можно ли что-то сделать, не обращаясь к «родным» специалистам из Москвы?". Специалистам обслуживающей компании показалось странным периодическое выключение компьютера сразу после его включения. Видимых проблем с техникой не было. Рабочую станцию HP Z600 Workstation с установленной операционной системой Windows XP SP3 решили отключить в центре и привезти на обследование в их офис (неофициально - ко мне домой). На изучение выделили выходные. В понедельник станция должна быть уже на месте.
Медперсонал понимает, что всё это зря и проблема в другом. Это оборудование каждый год требовало участия именно поставщика и технического обслуживания из Москвы, откуда было поставлено оборудование и в течение нескольких лет обслуживалось. Видимо, до этого удавалось сертификатами обложиться при госзакупках. Но в этот раз что-то пошло не так, и это было поводом для медиков улыбнуться, что мол зачем полезли в договор сопровождения незнакомого оборудования. Сертифицированное же обслуживание заключалось в замене "отработавшего срок службы комплектующего" в системном блоке рабочей станции раз в год и периодических консультаций по телефону. Медики как бы понимали, что ничего сделать нельзя, кроме замены. Но бизнес говорил, что надо попытаться.
Я согласился попробовать, тем более, что ничего не терял. Свою десятку я бы получил даже при отрицательном раскладе. Итак, проблема вырисовалась следующая. Рабочая станция заводилась, работала "на холостом ходу", но после входа в систему под пользователем спустя некоторое время, через 5 -10 минут, выключалась. Время между входом и выключением варьировалось, но не сильно, в пределах 10 минут. Видимых проблем с системой не видно, вход штатный, окон с ошибками не видно, синего экрана тоже. Войти под админом нельзя: паролей нет; пароли только у поставщика оборудования из Москвы, их не передали и держат в секрете. Соответственно, логов загрузки не увидеть, доступа к рабочему столу, файловой системе и средствам мониторинга нет. Все инструменты отключены, и компьютер превращён в рабочую станцию одной программы. Вероятно, делается это для того, чтобы избавить пользователей от сложностей общения с техникой.
Думаю, обслуживающей компании хотелось бросить вызов москвичам и самим во всем разобраться. Но своих сил не хватило, поэтому предложили мне вникнуть в проблему, посмотреть системный блок, что называется, в приватном режиме, то есть без уведомления руководства медицинского центра. В то время я был штатным сотрудником кардиологической клиники и не рискнул бы браться за такую работу в рамках своих обязанностей.
Скучное исследование
Мыслей, с чего начать, было немного: для начала получить административный доступ, просмотреть логи. Чуйка подсказывала, что проблема не аппаратная. Административный доступ можно получить загрузочным диском с Joker и подобным ему инструментом. Сброс в таких программах производится на пустой пароль либо свой заданный. Вариант не подходит, слишком грубо для результата, но достаточно для эксперимента. Грубый взлом уж точно не гарантирует, что непрофессионал не трогал рабочую станцию. Это дало бы дополнительный повод для отказа в обслуживании или увеличению ценника москвичам.
Работать «на живую» было не безопасно, и я начал работы с создания полной копии жёсткого диска. Копию диска сделал при помощи Clonezilla и попробовал запустить на другой машине. Боялся, что операционная система Windows XP не запустится на другом оборудовании. Но обошлось. Система запустилась. На копии системы получилось сбросить пароль администратора и исследовать проблему изнутри, изучить логи. Ошибок в системе не оказалось, выключения после запуска не последовало. Получается, что проблема в пользователе. Загрузиться под целевым ограниченным пользователем и посмотреть процессы не представилось возможным: инструменты отключены. Пришлось исследовать реестр пользователя на предмет отключения оболочки, запуска редактора реестра и автозапуска. Всё удалось разыскать в реестре, отключить. В автозапуске оказался незнакомый подозрительный элемент. Прошёл по пути нахождения исполняемого файла. Рядом незамысловатые исходные коды на C на пару функций и компилятор. Всё рядом и совсем не скрытно. Исходники приложения для проверки времени/даты и выключения через Win API. Время изменений и компиляции кода - примерно год назад. На этом можно было бы закончить и идти ругаться с поставщиком, который это установил. Но столько ожидаемых вопросов появилось бы: зачем залезли в систему, как туда попали, кто вскрывал станцию и тому подобное. Ещё бы и остались виноватыми. Внутреннее ликование прошло, и я сосредоточился на следующей проблеме.
Радуга-дуга
Следующей проблемой является получение пароля администратора. Целевая операционная система Windows XP. Но, как следует из всемирного знающего, пароли от всех учетных записей Windows XP хранит в специальном многоуровневом зашифрованном файле SAM, расположенном в каталоге «system32\config». Заполучить их обычным методом не получится, так как в документе хранятся только их хэши.
Наскоро просмотрев тему взлома паролей для XP, нашёл магические радужные таблицы - и вперёд. Имея полный доступ над системой (копией), могу получить файл паролей. При работе с радужными таблицами нужно понять, хэш примерно на какой пароль мы ищем. Надеясь на простоту пароля, исключил кириллицу. Остановился на латинице, цифрах и спецсимволах. Мне повезло. Минут 20-30 обработки программой RainbowCrack, получил пароль в верхне-нижне-цифровом виде с парой спецсимволов.
С имеющимся паролем дела уже пошли проще: получил на основной машине доступ к файловой системе, выпилил исполняемый файл, удалил запись о запуске файла. Пароль админа записал на листочке. В понедельник система была у пользователей, к среде уже запустили в работу.
Всё так просто?
Сложилась и полная картина с оборудованием и подрядчиками. Зная законы о госзакупках и случайном выигрыше в них неквалифицированными компаниями, у которых нет ни оборудования для диагностики, ни специалистов, московская компания или обслуживающий специалист решили подстраховаться и обеспечить себя постоянным заработком. Кто бы ни выиграл в закупках, всё равно придут за ремонтом постоянно выходившей из строя детали к ним. Стоимость приезда обходилась в ~200К рублей плюс командировочные. Единственное, что осталось непонятым, программная закладка была личным решением специалиста или всё-таки компании.
Когда начал заниматься проблемой, взглянул на авторство приложения (GE Healthcare) и марку оборудования. Стало понятно, что с технической стороны не могло просто что-то сломаться, делали качественно и обдуманно. Было подозрительно, что каждый год в одно и то же время, плюс-минус месяц, приезжает специалист и меняет "какую-то деталь в системном блоке". Когда ставил диск для копирования, открывал системный блок. Внутри оборудования всё было кристально чистым. Системный блок был установлен в белой зоне операционной, пыль отсутствовала. Пользователи внимательные, аккуратные. используют комплекс по назначению, Интернета и локальной сети нет, флэшек тоже.
А честно ли?
Многие разработчики, кому рассказывал историю, предлагали оставить закладку, сдвинув дату на новое время и получать деньги вместо москвичей. Другие пытались защищать разработчиков и не мешать зарабатывать деньги так, как кто может.
Закладку не оставил, пользователям системы - докторам рассказал ситуацию. Руководству не стали говорить так как вопрос сложный с субподрядчиком. За своё исследование и работу получил около 20% стоимости вызова московской обслуживающей компании. Остался доволен исследованием и новыми знаниями.
