Кевин Митник - Искусство вторжения

КОНТРМЕРЫ

Повторюсь: проникновение в банк Dixie дает еще один пример необходимости «глубокой защиты». В этом случае сеть банка оказалась гладкой. После того, как в одну из систем сети проникал атакующий, он мог соединиться с любой системой сети. Методика «глубокой защиты» могла бы помешать Габриэлю получить доступ к AS/400.

Сайт онлайнового банка должен требовать, чтобы все разработчики Интернет-приложений придерживались фундаментальных правил безопасности и чтобы у них проводился аудит всех кодов. Лучше всего ограничить число пользователей, имеющих доступ к текстам на сервере. Для этого надо использовать сложные имена файлов и засекреченных констант, что естественно повысит уровень безопасности приложения.

Недостаточный контроль сети и слишком простые пароли на сервере Citrix — главная ошибка в рассматриваемом случае, именно она позволила Габриэлю свободно путешествовать по сети, устанавливать программу для записи набираемых на клавиатуре текстов, следить за другими пользователями и внедрять программы — трояны. Хакер написал небольшую программу и поместил ее в стартовую папку администратора, поэтому, когда администратор входил в компьютер, он неосознанно записал программу pwdump3. Габриэль уже имел права администратора. Хакер должен был только дождаться, когда администратор домена войдет в компьютер, после чего он мог украсть его привилегии и автоматически извлечь пароли из первичного контроллера доменов. Спрятанная программа называется трояном или «черным ходом». Вот краткий список контрмер:

• проверьте, когда изменялись пароли во всех аккаунтах, в системных приложениях, не предназначенных для персонала, без административной авторизации, без групповой авторизации и времена таких смен. Такие проверки могут выявить вторжение хакера. Посмотрите на пароли, которые были изменены в нерабочие часы, поскольку хакер может не подумать о том, что таким образом он оставляет следы, подвластные аудиту.

• Ограничьте интерактивный вход в систему рабочими часами.

• Обеспечьте аудит всех входов и выходов во все системы, доступные через беспроводной доступ, dial-up или Интернет.

• Устанавливайте такие программы как SpyCop (доступные на сайте http://www.spycop.com). которые помогают обнаружить неавторизованные программы для отслеживания работы клавиатуры.

• Тщательно устанавливайте все обновления систем безопасности. В некоторых случаях самые последние версии можно загрузить автоматически. Компания Microsoft настоятельно советует своим пользователям сконфигурировать свои компьютеры так, чтобы иметь возможность сделать это.

• Проверяйте системы, доступные извне, на наличие программ удаленного управления, таких, как WinVNC, TightVNC, Danware и т.п. Эти программы позволяют атакующему «мониторить» системы, работающие на компьютере и даже управлять ими.

• Тщательно проверяйте все входы с использованием Windows Terminal Services или Citrix MetaFrame. Большинство атакующих предпочитают использовать эти сервисы для удаленного управления программами, чтобы снизить риск быть обнаруженным.

ПОСЛЕСЛОВИЕ

Хакерские попытки, описанные в этой главе, тривиальны, они основаны на слабых паролях и уязвимых CGI-текстах. В то время как многие люди, даже осведомленные о компьютерной безопасности, думают о вторжении хакеров, как о какой-то экзотике со стратегической подготовкой типа фильма «11 друзей Оушена», грустная правда заключается в том. что большинство атак не являются ни талантливыми, ни даже просто умными. Они успешны лишь потому, что большая часть корпоративных сетей не защищена адекватным образом.

Кроме того, люди, ответственные за разработку и развертывание таких систем, делают простые ошибки в их конфигурировании, что дает возможность тысячам хакерам проникать в них буквально с парадного входа каждый день.

Если бы оба финансовых учреждения, о которых идет речь в этой главе, были типичным примером того, как большинство банков в мире защищает сведения о клиентах и их счетах, тогда, скорее всего, все мы вернулись бы к хранению денег в обувных коробках под кроватями.

Что самое ценное в любой компании? Это не компьютеры, не помещения или фабрики, это даже не то, что стало модным клише в некоторых корпорациях: «Наши самые ценные активы — это наши люди».