In 2020, pe la inceput de pandemie ma gandeam ca hai ca poate o sa fie pe bune pandemia asta, vine apocalipsa si zic sa nu mor prost sa nu vad si eu cum e sa fii contractor la UE.
And how luck would have it, cum zic prietenii mei de peste ocean, am dat de unii de cautau pe cineva pe security si in acelasi timp sa faca mai multe lucuri: de la endpoint la network si ceva IAM pe la mijloc. Interviul in sine a fost o discutie de o ora in care toti aia prezenti m-au intrebat daca am lucrat cu X, Y si Z si sa le dau niste exemple. Destul de pe repede inainte toata treaba.
Contractul asta era B2B si era un trenulet asa de firme intermediare pana la clientul final, ca deh, toata lumea trebuie sa manance ceva.
Dupa un pic de certat cu firma prin care urma sa facturez pe aia cu care faceam treaba la agentie, ca initial mi-au dat un contract prin care trebuia sa vin cu bani d’acasa daca stranutam in directia gresita sau nu clipeam cum trebuie si alte clauze contractuale sa zicem interesante, am reusit sa ne intelegem.
Vreo trei luni am lucrat “remote” pe un proiect “air gapped” :)) Bine, sunt un pic carcotas, ca a fost frumos, am citit documentatie pe bani de Europa la costuri de .ro. Si nici nu mi-a venit somn cand citeam cum mi se intampla de obicei cand citesc.
Proiectul presupunea si munca on-site – ca security & stuff.
Si ajung eu in orasul unde era agentia intr-o miercuri ca joi trebuia sa fac treaba la prima ora. Joi la prima ora n-am facut treaba ca nu eram pe lista de intrare. Si nici urmatoarele doua saptamani n-am fost pe lista de intrare. Si am mai muncit un pic remote sa citesc documentatie si sa am teleconferinte cu diversi oameni povestindu-le ce chestii jmechere o sa le fac dupa ce ma lasa inauntru.
Intr-un final glorios, m-au pus pe lista de intrare. Mi-am frecat palmele, si zic, gata, sa facem si treaba pe bune, ca de vorbit toata lumea se pricepe.
M-am dezumflat repede, ca din cauza de securitate, nu puteam sa-mi pun laptop-ul in retea si sa fac treaba, era musai sa folosesc un calculator de-al lor. Care avea nevoie de utilizator si parola. Pentru care a mai durat o saptamana si un pic sa le primesc.
Si dupa ce le-am primit si le-am scris cu chiu cu vai pe o tastatura frantuzeasca, m-au pus sa schimb parola. Pe o tastatura frantuzeasca si cu OS-ul pus pe tastatura QWERTY. Sa zicem ca nu a fost asa amuzant pe cat suna.
Dupa ce m-am logat pe calculator, a mai durat cred ca vreo saptamana asa sa mearga ping-ul.
Pentru cine mai zice ca in vest lucurile sunt organizate, sa suga preventiv o ceapa.
Asta a fost inceputul.
Pentru o entitate care avea treaba cu IT-ul, era foarte paranoia cu securitatea fizica. Primii oameni pe care i-am vazut cu gard electric in jurul sediului. Intre alte doua garduri.
Dar nu asta era problema. Ci faptul ca in fiecare dimineata trebuia sa arat buletinul la un paznic, care sa vorbeasca cu alt pazic sa deschida o usa. Dupa care sa dau iar buletinul la altul sa ma scrie pe o foaie. Dupa care sa trec printr-un detector de metale si sa bag rucsacul la X-Ray. Dupa care sa dau buletinul la alti oameni, care sa-mi ia amprentele si sa-mi dea o legitimatie sa pot sa deschid o usa.
Acu, cu detectorul de metale era o schema: daca aveai ceva bluza cu fermoar trebuia data jos, daca nu, nu trebuia. Si uite asa am purtat aceeasi bluza in fiecare zi, care n-avea fermoar, doar de-al dracu’ sa nu le dau satisfactie cu regulile lor de cacat.
Astia de la security erau mai mult pe principiul noi muncim, nu gandim. Si incercau sa fie amuzanti prin a schimba regulile de intrare. Cea mai tare chestie, not. Adica ori trebuia lista data zilnic, ori saptamanal. Sau cardul primit mergea la niste usi intr-o zi si a doua zi nu mai mergea la aceleasi usi… Cam in fiecare saptamana jucam un joc din ala in cap in care eram curios daca o sa ajung la birou sau o sa raman blocat pe la vreo usa :))
Asa, cu securitatea fizica, sa continui. Intr-o zi ajung acolo, trec de primii doi, dau sa trec prin detectorul de metale dar in el era unul pus care-mi face semn sa ma opresc. Se da in spate si imi face foarte protocolar asa semn sa trec. Se uita la mine ca la butelie. Si il intreb care-i combinatia, ca de obicei era unul singur acolo. Si imi raspunde senin: sa fim siguri ca treci prin detectorul de metale. Ma uit la el, ma uit la gardul din stanga si dreapta detectorului si ii zic ca n-am pe unde altundeva sa trec. Asta fara sa clipeasca: da, dar trebuie sa fim siguri. Am mai clipit o data ca nu puteam sa-l injur.
Tot asa intr-o zi, in timp ce-mi scanau suba de iarna ca nu cumva sa introduc ceva ilegal in curtea lor, se opresc, mai cheama pe vreo doi si panica mare. Ca e ceva in suba si ei sunt de parere ca e un cutit. Eu zic, ba n-am cutit, ca nu-mi trebuie. Ei nu, ca e metalic si uite e ascutit pe scanner. Si deschid buzunarul la geaca sa le arat la destepti ca nu e ce cred ei ca e. Si era telefonul care se pusese la miscare cumva pe o muchie si statea in picioare. Acu mi-ar placea sa pot sa injunghii pe cineva cu iPhone-ul, dar nu prea se poate :))
Din motive care-mi scapa si in ziua de azi, aveau o obsesie cu apa la tine. Nu ca era ilegal, da cand le aparea apa pe ecranul ala de la X-Ray, sa moara Bibi, incepeau sa se agite de parca o gasisera pe Elodia. Distractia asta a culminat intr-o zi cand m-a pus unul sa deschid sticla de apa sa fie el sigur ca e apa inauntru…
Intr-o alta zi, tot inteligentii astia de la paza au zis sa organizeze un exercitiu de incendiu. Si in loc sa dea alarma si sa astepte sa iasa lumea, au dat c-o grenada fumigena in sala de mese, “sa fie real” – dupa spusele lor. Si a fost bine, ca le-a iesit la final e ca au scapat peste 90% din oameni din cladire, “grate success” si aia a fost.
Asa, pe partea cu apasatul butoanelor n-a mers mai grozav. Ca nu e cum stiam eu cu statul din .ro, unde faceai treaba, oamenii erau multumiti ca merge, mai scriai acolo si un pic de documentatie si iti vedeai de viata.
Nu, aici prima oara scriai un eseu despre ce vrei sa faci si il trimiteai la revizuit. Si primeai inapoi comentarii foarte pertinente precum:
- culoarea fontului nu este corecta
- la paragraful 2 nu a fost indentata corect o lista
- pe FTP se downloadeaza, nu se transfera
- nu se face update de software, se face upgrade de software
Si corectai ce ai scris gresit, si mai trimiteai o data. Intr-un final ti se aproba esesul si puteai sa apesi niste butoane.
Cireasa de pe tort? Toate comentariile astea le primeai intr-un Excel in care trebuia sa scrii si ca ai remediat problema. Si dupa ce trimiteai documentul nou cu tot cu Excelul, se stabilea ziua de revizuit in care intram multi oameni intr-o teleconferinta si era asa o schema: le aratam Excelul, unde ziceam ca am remediat, dupa care le aratam documentul unde se vedea ca am remediat si dupa aia scriam in Excel ca intr-adevar s-a remediat ce era de remediat. Si la fel scriam si in document ca am remediat ce era de remediat folosind comentarii.
Macar nu faceam conferinte cu video, ca probabil m-ar fi concediat daca ma vedeau cum le arat pula la fiecare comentariu cretin pe care trebuia sa-l justific…
Asa am aflat ca e nu pot sa ma duc de capul meu cu un computer sa-l conectez pe seriala la un echipament, ca daca pun virusi pe echipament la 9600bps? Nu mai bine ma supravegheaza cineva cand dau comenzi? Si mai bine ca cine ma supraveghea nu avea treaba cu IT-ul? Because fuck logic, that’s why.
Atatea chestii retardate la un loc n-am vazut niciodata. Si nu ca n-am vazut, da’ erau la nivelul ala la care nici nu te gandesti ca ar putea fi.
Proiectul la care lucram in teorie era misto, in practica a iesit o struto-camila atat de complicata ca sa dea dracii cand s-o strica ceva ca nimeni n-o sa stie de unde s-o apuce. Si nu neaparat asta, da am descoperit ca’s oameni de operatiuni care nu stiu sa citeasca un mesaj de eroare si sa-l interpreteze. Si un sa zicem stack trace, din alea simple, gen “Ce inseamna Connection Refused”. True story :(
As mai fi scris, da imi incalc zecile de pagini de NDA pe care a trebuit sa le semnez.
Anyway, acu pot sa o bag p’aia ca am si experienta la UE :))