Страница 3 из 67
В следующем разделе каждой главы описываются действительные риски для безопасности, которые я обнаружила при проведении аудита. В этом разделе также объясняется происхождение этих рисков. Это ведь не происходит так, что не успели вы проснуться утром, как узнали, что защита вашей сети в самовольной отлучке. Бреши в защите обычно образуются по недосмотру или из-за плохого планирования в течение длительного времени. В этом разделе объясняется, каким образом можно дойти до такого состояния.
В последнем разделе каждой главы «Мы пойдем другой дорогой…» вам будет, главным образом, рассказано о том, как избежать подобных проблем. Я надеюсь, что вы прочитаете эти разделы внимательно и близко к сердцу воспримете мои рекомендации.
О хакерах
На протяжении всей книги я использую термин «хакер», чтобы обозначить того, кто получает неавторизованный доступ к системам и информации. Некоторые специалисты используют для этого термин «кракер» (cracker), замечая при этом, что некоторым программистам нравится называть себя «хакерами», в то время как они являются в действительности составителями программ высшей квалификации и не склонны к преступной деятельности. Я все же решила использовать термин «хакер», так как он более распространен за пределами круга экспертов по безопасности, и любому выбравшему эту книгу он будет понятен.
Я присвоила «хакеру» мужской пол, и, хотя им может быть и женщина, я не хотела надоедать, часто употребляя оборот «он или она».
Наконец, эта книга о хакерах, но не для них. Если вы являетесь начинающим хакером (wa
Глава 1
Отражение атак
Обнаружение, изоляция и устранение инцидентов во многом напоминают обезвреживание взрывных устройств — чем быстрее и лучше вы это проделаете, тем меньший урон нанесет инцидент, связанный с безопасностью системы.
Наступил субботний вечер. Сеть вашей компании была прекрасно спроектирована, отлично работала и еще лучше обслуживалась. Группа по обеспечению безопасности бьла хорошо обучена, а политики и процедуры поддержания безопасности отражены в инструкциях. Но, стремясь поскорее написать эти инструкции (с тем чтобы получить большую премию), вы забыли внести в них процедуру реагирования на инциденты. И пока вы поздравляли себя с отлично проделанной работой, хакер проник в самое чувствительное место системы.
Что делать теперь? Судьба хранящейся в системе информации зависит от того, как быстро вы сможете ответить на этот вопрос (если только на него есть ответ). Сотрудники компании ждут указаний, что им делать, как и когда. Им также нужно знать, к кому обращаться при обнаружении взлома. Иначе ситуация может быстро выйти из-под контроля. Эскалация ответных усилий особенно важна, если масштабы вторжения выходят за рамки знаний, которые есть у группы обеспечения.
После обнаружения вторжения каждый ваш шаг будет означать движение либо к сохранению, либо к утрате секретов вашей компании. Представьте себе, что случится, если вся важная информация в вашей компьютерной системе будет похищена или уничтожена. Это невозможно? Так утверждают все, пока их система не подверглась взлому!
Всегда помните о важности хранящейся в вашей системе информации! Будьте готовы ее защитить! Убедитесь в том, что каждый (сверху донизу) сотрудник вашей компании знает, что делать при взломе для защиты информации от похищения, модификации или уничтожения.
Рассмотрим пример…
Кошмар реагирования на инцидент[2]
Дэйв Армстронг являлся системным администратором корпоративной сети банка First Fidelity Bank в округе Анаканст. В понедельник, поздно вечером, Дэйв обнаружил, что какой-то хакер полностью контролирует все 200 с лишним систем[3] банка и «бродит» по ним, собирая пароли и тщательно просматривая данные.
К несчастью, Дэйв ничего не предпринял и просто стал наблюдать за хакером с целью выяснить, кто же среди ночи влез в систему. Хотя в First Fidelity имелись инструкции с политиками и процедурами безопасности для многих ситуаций, по каких-либо формальных указаний на случай подобного инцидента в них не было. Поэтому, не имея конкретных предписаний, Дэйв потратил целых три дня, безуспешно пытаясь установить личность хакера, и только потом призвал на помощь группу обеспечения безопасности банка.
Теперь представим себе на мгновение, что хакер бесконтрольно «бродит» по сети вашего банка в течение трех дней, собирает имена и номера счетов и, возможно, изменяет информацию, переводя денежные средства или уничтожая записи. Уже думаете о том, как нам сменить банк? Я — тоже!
Как возникают подобные ситуации? В данном случае Дэйв установил конфигурацию программного сервера таким образом, чтобы ему доверяли все остальные системы. Доверие здесь означает то, что все системы сети предоставили программному серверу удаленный привилегированный доступ (remote root access) без требования пароля при входе (конфигурация по типу «доверяемая сеть» — web-of-trust). Несколько сотен систем доверяли программному серверу.
Хотя такая конфигурация облегчает установку в системах нового программного обеспечении, имеете с тем она подвержена риску, особенно в случае, когда о риске и уязвимости, связанных с поддержкой доверительных отношений, не думают в первую очередь. Если конфигурация системы должна включать доверяемый сервер (и других вариантов нет), то такой доверяемый сервер обязательно должен быть защищенным. Иначе любой хакер, проникший в такой доверяемый сервер, получает прямой привилегированный доступ (ведь пароль не требуется) к каждой системе, имеющей доверительные отношения с сервером.
Это как раз и произошло в корпоративной сети банка First Fidelity. Сотни систем этой сети поверили программному серверу. В результате сервер стал привлекательным для хакера, искавшего вход в сеть компьютеров банка. Дэйву не приходило в голову, что его система подвержена риску и не способна противостоять атаке. Ни он, ни его управляющий не знали случая, когда единственная незащищенная система может открыть дверь к остальной сети. Доверяемая сеть банка First Fidelity проникала далеко в глубины его интранета (более 200 систем). При наличии сотен систем, доверяющих программному серверу, сервер следует защищать надлежащими мерами безопасности. Но сервер сети банка тем не менее не обладал достаточной степенью защиты. Он был широко открыт и ждал, когда в него зайдет хакер.
Так и случилось. Когда хакер получил полный доступ к доверяемому серверу, то ему был предоставлен удаленный привилегированный доступ ко всем системам сети. Нельзя сказать, что это удалось ему с большим трудом.
Давайте рассмотрим подробнее этот случай вторжения и то, что последовало за ним в последующие дни.
День 1-й: Неавторизованный доступ
Дэйв обнаружил хакера в системе в 11. 45 ночи в понедельник, во время плановой проверки сети. Он заметил, что выполняются необычные процессы и загруженность ценфальпого процессора значительно выше нормальной загруженности для этого позднего времени. Эта необычная активность разожгла любопытство в Дэйве, и он продолжил исследование. Просмотрев регистрацию, он обнаружил, что в системе зарегистрировался Майк Нельсон, сотрудник группы обеспечения безопасности банка. Майк являлся законным пользователем, но он должен был входить в систему, вначале предупредив об этом кого-нибудь из группы Дэйва. Может быть это хакер маскирующийся под Майка? Или это сам Майк работает над проблемами безопасности? Но если это Майк, то он либо забыл сделать предварительное уведомление, либо умышленно его не сделал.
2
Инцидент- в данной книге: ситуация в системе, связанная с несанкционированным вторжением (атакой, взломом). — Примеч. пер.
3
Системами в данном случае называются серверы и рабочие станции в сети банка. — Примеч. науч. ред.