Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Моя догадка, что для всех серверов базы данных используется учетная запись dbadmin, оказалась верной. Теперь я имела доступ ко всем серверам перевозок. Мне даже не надо было регистрироваться с помощью учетной записи, которую создала для меня Шелли.

Сейчас, когда я была в сети, я открыла сессию на DBS 10 и проверила свое предположение. Оно оказалось правильным! DBS 10 был подключен к сети Express Time, и у него не было настроек безопасности вообще — даже патчей. После получения полного доступа к DBS 10 я легко добилась полного контроля (прав суперпользователя [49] Права пользователя root. — Примеч. науч. ред. ) над системой. Я могла, как мне заблагорассудится, перескакивать из одной системы в другую на правах суперпользователя.

Это было ужасно. Я легко бы смогла обрушить эти системы, не оставляя следов моего визита. То же мог сделать каждый имевший доступ в любую из сетей! Для любого плохого парня, желающего украсть информацию, внедрить «Троянского коня», спустить с поводка вирус или установить бомбу с часовым механизмом, S&B была настоящей находкой.

Я продолжала тестировать другие системы сети и обнаружила те же проблемы с защитой, повторяющиеся снова и снова. Уровень безопасности этих систем был типичным для стандартной установки. И к этому изначальному риску системные администраторы добавили еще больший риск, установив доверительную конфигурацию.

Теперь я выявила главные проблемы. Разумеется, в этом месте книги вы почти все из них уже знаете наизусть.

• Никто не писал каких-либо политик и процедур аудита.

• Точно так же никто не писал каких-либо политик и процедур по поддержке клиентских сетей.

• Персонал технической поддержки не получал должного обучения по вопросам безопасности.

• Безопасность сети для клиентских подключений была недостаточной.

• Слишком легко мог быть получен доступ к корневому каталогу.

• Не были установлены патчи, повышающие безопасность.

• Разрешения на доступ к файлам раздавались направо и налево.

• Были включены ненужные сетевые службы.

• И любой восьмилетний ребенок мог бы легко отгадать многие используемые пароли.

В этот момент появилась Шелли, чтобы сопроводить меня на беседу с сотрудниками. Сбор информации придется закончить позднее.

Сначала Шелли устроила мне встречу с системным администратором Эндрю Клейном. Эндрю только что поступил на работу в качестве сотрудника по технической поддержке систем сети S&B. Он имел опыт по обслуживанию больших компьютеров и начал осваивать UNIX около года назад, так как считал, что мейнфреймы вымирают, как динозавры.

Эндрю впервые пришлось обслуживать распределенную сеть. Он думал, что системы DBS находятся в клиентской сети и защищены брандмауэром. Так как он не представлял в действительности, в чем заключается безопасность систем, то он никогда ее и не контролировал. В конце концов, эти системы были установлены до того, как он принял сеть. Он полагал, что тот, кто устанавливал системы, знал, что он делает.

Я немного поговорила с Эндрю о риске, которому подвергаются как клиентские системы, так и системы S&B. Казалось, он очень удивлен тем, что риск, о котором я говорила, вообще возможен. Я настоятельно ему порекомендовала пройти обучение по вопросам безопасности, если он рассчитывает и дальше работать в качестве сотрудника технической поддержки сети такого типа.

Мое следующее интервью было с администратором группы обеспечения безопасности Джимом Барнсом. Джим принес мне копии отчетов по аудитам безопасности, которые охватывали и систему DBS. Просмотрев их, я увидела, что он проверил некоторые важные системные настройки, но не все из них. В его отчетах было указано на избыточность разрешений доступа к файлам и ненужные сетевые службы, но он никогда не проверял установку патчей, повышающих безопасность, и не пытался взламывать пароли пользователей. И конечно, он не ответил на вопрос, вполне подходящий для телевикторины $64 000 Question: «Почему DBS 10 была подключена к двум сетям без какой-либо защиты брандмауэром?»

Джим выглядел очень смышленым парнем, но он только начинал свою карьеру и не имел опыта в аудите систем. В этом деле он был новичком. Так как в компании бытовал подход к обучению «плыви или тони», то власть предержащие проинструктировали его: «Послушай! Иди и проведи аудит этих систем».

Разумеется, Джим не имел ни малейшего представления, как правильно проводить аудит. Требовать от кого-либо провести аудит группы систем без выработанного подхода или соответствующего обучения глупо и жестоко по отношению к этому сотруднику. Это похоже на то, как если бы ваш механик из автосервиса попросил вас припарковать машину на железнодорожных путях тогда, как вы оба знали бы, что у машины неисправен стартер. «Не беспокойтесь, — говорит он вам. — Если машина не будет заводиться, когда покажется поезд, то позвоните мне». Это не тот уровень риска, с которым бы компании могли мириться в своих сетях.