Кевин Митник - Искусство вторжения

А если атакующие найдут брешь в электронной обороне вашей компании, что тогда? По мнению Эрика: «Когда кто-то проник в вашу сеть так глубоко, как я проник в эту сеть, вы никогда и ни за что не выгоните его. Он останется там навсегда». Он считает, что избавление от такого незваного гостя потребует колоссальной перетряски всей системы, изменения каждого пароля в один день и час, переустановки всех систем одновременно и установки систем безопасности одновременно, чтобы закрыть систему. «Оставьте хоть одну дверь слегка приоткрытой, и я вернусь к вам снова».

Мой опыт подтверждает этот вывод. Когда я учился в высшей школе, я проник в DEC (Digital Equipment Corporation Easynet). Они знали, что к ним проник хакер, но в течение восьми лет их лучшие специалисты по безопасности не могли «выкурить» меня оттуда. Они, в конце концов, освободились от меня — причем совсем не благодаря своим усилиям, а потому, что правительство отправило меня на вынужденные каникулы в одно из своих специальных заведений.

КОНТРМЕРЫ

Хотя мы рассказали о различных атаках, вы должны были понять. как много одинаковых лазеек открывают хакерам путь к успеху, а значит, и для противодействия им есть общие контрмеры.

Вот главные выводы из рассказанных историй.

КОРПОРАТИВНЫЕ МЕЖСЕТЕВЫЕ ЭКРАНЫ

Межетевые экраны должны быть сконфигурированы так, чтобы разрешать доступ только к необходимым услугам, как того требует бизнес. Надо провести тщательную проверку, чтобы убедиться, что ни к каким услугам нет доступа, кроме как по бизнес-необходимости. Вдобавок стоит использовать «межсетевой экран с проверкой состояния». (Этот тип межсетевого экрана обеспечивает более высокий уровень безопасности, отслеживая перемещение всех пакетов за определенный период времени. Входящие пакеты пропускаются только в ответ на исходящее соединение. Другими словами, межсетевой экран открывает свои ворота только для определенных портов на основе исходящего трафика). Кроме того, имеет смысл установить набор правил для управления исходящими сетевыми соединениями. Системный администратор должен периодически проверять конфигурацию межсетевого экрана и все записи о его активности, чтобы убедиться, что никто не сделал в нем неавторизованных изменений. Если хакер взламывает межсетевой экран, то он, скорее всего, сделает в нем незначительные перемены для своей выгоды.

Имеет смысл организовать и управление доступом к VPN на основе IP-адреса пользователя. Это применимо там, где лишь ограниченное число пользователей может соединяться с корпоративной сетью через VPN. В дополнение к этому можно ввести более безопасную форму VPN-авторизации, такую, как смарт-карты или специальные сертификаты вместо каких-то локальных секретов.

ЛИЧНЫЕ МЕЖСЕТЕВЫЕ ЭКРАНЫ

Эрик проник в компьютер СЕО и обнаружил, что там работает персональный межсетевой экран. Его это не остановило, поскольку он использовал сервис, который был разрешен межсетевым экраном. Он смог посылать нужные ему команды через процедуру, работающую по умолчанию в Microsoft SQL-сервере. Это еще один пример использования сервиса, от которого межсетевой экран не защищает. Жертва в таком случае никогда и не подумает проверять огромные записи (logs) об активности межсетевого экрана, которые содержат более 500 Кбайт. И это не исключение. Многие организации внедряют специальные технологии для обнаружения и предотвращения вторжения, после чего думают, что технологии будут сами собой управлять. Как было показано, такое неразумное поведение позволяет атаке продолжаться без помех.

Урок ясен: необходимо очень тщательно определить правила работы межсетевого экрана, чтобы не только фильтровать, как входящий, так и исходящий трафики для услуг, которые не являются необходимыми для ведения бизнеса, но и периодически проверять соблюдение этих правил и записей о работе экрана, чтобы обнаружить неавторизованные изменения или попытки взлома системы безопасности.

После того, как хакер проник в систему, он, скорее всего, отыщет «спящую» или неиспользуемую систему и проникнет в них, чтобы иметь возможность вернуться сюда в недалеком будущем. Другая тактика состоит в том, чтобы добавить групповые привилегии существующим аккаунтам, которые уже были взломаны, Периодические проверки всех директорий пользователей, групп и разрешений доступа к файлам — это единственный способ выявить возможное вторжение или неавторизованную активность собственных сотрудников. Есть целый ряд коммерческих и общедоступных средств для контроля безопасности, которые автоматизируют этот процесс. Поскольку хакеры прекрасно осведомлены о них, очень важно периодически проверять целостность и этих средств, текстов и любых данных, которые используются вместе с ними.