В атаке Роберта системный администратор должен был контролировать VPN-сервер на появление новых пользователей в группе VPN. Другие меры тоже очевидны, это: удаление «спящих» аккаунтов из системы (как уже не раз было отмечено), гарантированное удаление всех уволенных сотрудников, и ограничение времени доступа рабочими днями и рабочими часами.
УДАЛЕНИЕ УСТАНОВОЧНЫХ ФАЙЛОВ
Роберт смог получить список рассылки, который был ему интересен, не проникая в приложение для рассылки, а используя лазейку в изначальной установке приложения. После того, как приложение успешно установлено, установочные тексты должны быть удалены.
ПЕРЕИМЕНОВАНИЕ АККАУНТА АДМИНИСТРАТОРА
Любой человек, у кого есть доступ к Интернету, может запросить Google на предмет «листа паролей», чтобы найти сайты, где перечислены все начальные пароли, которые производители устанавливают на свои устройства. Именно поэтому надо по мере возможности переименовывать директории администратора и внешнего пользователя. Однако это не имеет смысла, когда имя аккаунта и пароль сохраняются где-нибудь в открытой форме, как это было в случае с атакой Эрика.
УЖЕСТОЧЕНИЕ УСТАНОВОК WINDOWS, ЧТОБЫ ПРЕДОТВРАТИТЬ СОХРАНЕНИЕ ОПРЕДЕЛЕННЫХ ДАННЫХ
Изначально установленная конфигурация Windows автоматически перемешивает «нарезку» паролей и сохраняет в виде текста те пароли, которые используются для входа в сеть через diap-up. После получения достаточных привилегий атакующий будет пытаться извлечь максимум информации, включая любые пароли, которые хранятся в регистре или других областях системы.
Сотрудник, пользующийся доверием своих коллег, может в принципе проникнуть в любое место домена, приложив минимальные усилия социальной инженерии, если его рабочая станция запоминает пароли. Один рассерженный сотрудник призвал к себе службу технической поддержки, жалуясь, что не может войти в свою рабочую станцию. Он потребовал от техников немедленно прийти к нему на помощь. Техник пришел, вошел в систему, используя свои привилегии. и устранил «проблему». Вскоре после этого упомянутый сотрудник извлек из директории техника все зашифрованные пароли и взломал их, получив такие же права в доступе к домену, как имел техник.
Такие программы, как Internet Explorer и Outlook хранят пароли в регистре. Чтобы узнать больше об отключении этих возможностей, используйте поиск Google по словам «disable password caching».
ГЛУБОКАЯ ЗАЩИТА
Истории, рассказанные в этой главе, показывают, может быть даже более наглядно, чем все остальные в этой книге, что защита компании по периметру — явно недостаточная мера. В современной ситуации периметр часто открывается, поскольку бизнес-цели предусматривают доступ пользователей в сеть. Поэтому межсетевой экран не может остановить каждую атаку. Хакер отыскивает малейшие бреши в защите, стараясь использовать те сервисы, которые разрешены правилами межсетевого экрана. Одна из возможных стратегий снижения этой угрозы заключается в том, чтобы поместить все системы публичного доступа в отдельный сегмент сети и тщательно фильтровать трафик в более важные сегменты.
Например, если SQL-сервер расположен в корпоративной сети, то можно установить второй межсетевой экран, позволяющий соединения только с портом, на котором расположена данная услуга.
Установка внутренних межсетевых экранов для защиты важной информации достаточно неприятная процедура, но ее надо использовать, если вы действительно хотите защитить свои данные от злонамеренных сотрудников и внешних хакеров, которым удастся прорваться через периметр.
ПОСЛЕСЛОВИЕ
Ничто не остановит опытного хакера на пути к его цели. Он пристально изучит систему, которую он атакует, и определит все ее звенья и общедоступные сервисы. Хакер может ждать недели, месяцы и даже годы, чтобы отыскать и использовать новую, еще никому не известную лазейку. В процессе моей хакерской карьеры я лично проводил долгие часы, атакуя ту или иную компьютерную сеть. И моя настойчивость всегда была вознаграждена, поскольку я находил бреши в стенах защиты.
Хакер Эрик пошел еще дальше в своей настойчивости и стремлении получить коды программы, на что он потратил около двух лет. А Роберт предпринял целую цепь сложных шагов для того, чтобы получить миллионы адресов электронной почты для своего друга спамера.
Вы понимаете, что два этих хакера не уникальны. Их настойчивость вполне обычна в хакерском сообществе. Люди, ответственные за обеспечение безопасности инфраструктуры организации, должны понимать, с кем им предстоит сражаться. В распоряжении хакеров практически неограниченное время для поисков брешей в защите, а перегруженный работой сетевой администратор может выделить лишь небольшое время для занятий безопасностью.
Как мудро писал китайский философ Сун Тзу (Sun Tzu) в своей книге «Искусство войны» (Oxford University press: New York , 1963): «Познайте себя и познайте вашего врага, тогда в сотне битв вы избежите поражения. Даже если вы хорошо знаете себя, но не знаете вашего врага, — ваши шансы на победу и поражение примерно равны…» Идея понятна: ваши соперники могут потратить любое время на проникновение туда, куда им нужно. Поэтому вам следует провести оценку различных рисков, чтобы четко понять степень угрозы для вашей компании, и все обнаруженные угрозы надо принимать во внимание при разработке стратегии безопасности. Если вы будете готовы к нападению, и постоянно будете продумывать, внедрять и совершенствовать ваши методы защиты безопасности, то вам удастся сдерживать атаки хакеров.
Как мы уже отмечали, любой серьезный хакер может проникнуть куда угодно, но ваша цель — сделать его жизнь настолько сложной и утомительной, чтобы «овчинка не стоила выделки».
Глава 9.
На континенте
Вначале вы видите лишь клоч к иинформации и то, как устроены те или иные вещи, и постепенно у вас начинает зарождаться понимание всей структуры компании и мировоззрения людей, ответственных за организацию ИТ-системы. Начинаешь постигать, что они знают о безопасности, и что они для нее делают.
Луис
В начале предыдущей главы мы предостерегали читателей, что людям без технического образования будет трудно воспринять некоторые ее части. Это еще более справедливо для этой главы. Но советую вам все же прочитать ее. поскольку история просто удивительная. И суть ее вполне можно понять, опуская сложные технические детали.
ГДЕ-ТО В ЛОНДОНЕ
Итак — мы находимся где-то в лондонском Сити.
Картина следующая: большая комната без окон в глубине здания, где тусуется технический персонал. Прекрасная иллюстрация для историй о «хакерах, как о существах, далеких от общества и не связанных с ним», работающих каждый за собственным компьютером и связанных друг с другом только «в удаленном доступе».
Давайте назовем одного из них Луисом. Он вырос в маленьком городке в северной Англии и начал общаться с компьютером в возрасте семи лет, когда его родители купили «какое-то старое железо», чтобы дети получили представление о современной технологии. Он начал заниматься хакерством еще в школе, когда случайно обнаружил список всех пользователей и их паролей, и его любопытство впервые зашевелилось. Этим первым хакерским опытом он нажил себе большие проблемы, так как один из студентов старших курсов («префект» по английской терминологии) поймал Луиса. Но эта неудача не отвратила его от компьютерных секретов.
Теперь высокого темноволосого взрослого Луиса больше не волнуют достижения в «самых английских видах спорта» — крикете и футболе, которые так занимали его, когда он был школяром.
ПОГРУЖЕНИЕ
Некоторое время тому назад Луис со своим приятелем Броком занимались совместным проектом. Их мишенью была компания, расположенная где-то в Европе — компания, занимающаяся безопасностью, перевозящая большие суммы денег, а также и заключенных из тюрьмы в суд и обратно, и из одной тюрьмы в другую. ( Т о , что одна и та же компания занимается перевозкой денег и заключенных, необычно для американцев, но это вполне общепринято в Европе и в Англии).
Любая компания, которая объявляет, что занимается чем-то, связанным с безопасностью, берет на себя большую ответственность. Если они занимаются безопасностью, означает ли это, что хакеры не могут взломать их систему? Для любой группы ребят с хакерским менталитетом подобная декларация звучит как вызов, особенно, если вначале у ребят нет ничего, кроме названия компании.
«Мы относились к этому, как к проблеме, которая должна быть решена. Поэтому сначала мы должны были отыскать как можно больше информации об этой компании», — говорит Луис. Они начали с того, что стали искать упоминания о компании в Google, используя Google даже для перевода текстов, поскольку никто из них не говорил на языке той страны, где была расположена их мишень.