Раздел: Документация
0 ... 47 48 49 50 51 52 53 ... 169 ло о талонах на междугородные переговоры, выдаваемые компанией МО, о котором уже упоминалось выше. «Такой человек, как осужденный за киберворовство Лэй, не связан с международными преступными группировками, - - говорит представитель MCI. — Очевидно, его привлек кто-то из сотрудников. Самый большой риск, с точки зрения безопасности, не обязательно исходит от квалифицированного хакера». Когда хакеры — лучшие друзья банка... Верить можно только Богу. Все остальные — под подозрением. Кевин Митник Во времена, когда сыскное дело только зарождалось, первыми и наилучшими полицейскими сыщикам и были прежние воры, которые порвали с вольной жизнью и вступили на светлый путь исправления. Таким в России был Ванька Каин, а во Франции — Видок. Ныне, когда компьютерные преступники используют против банков новейшие компьютерные технологии, вновь приходит на выручку прежняя методика. Тому, кто хочет узнать, насколько хорошо защищен его Web-сер-вер, можно посоветовать весьма надежное средство: нанять хакера и попросить его взломать защиту. Этот способ сослужил отличную службу одной финансовой организации, собиравшейся проводить банковские операции с помощью Web-технологий. Компания наняла специальную группу хакеров, которая нашла «дыры» в системе защиты прежде, чем услуга была предоставлена публике в уже исправленном виде, недоступном обычному хакеру. Тем самым удалось уменьшить риск проникновения электронного воришки в систему, где хранятся чужие деньги. Расскажем о реальном случае, произошедшем в банковской сфере. Названия, имена и прочие детали изменены таким образом, чтобы организацию нельзя было «вычислить». Во всем остальном история правдива. Состояние вице-президента по безопасности Super Grand World Bank, назовем его Билли Розуотером, было близко к паническому. Он только что выяснил, что его банк собирается внедрять систему услуг для удаленных клиентов на базе Web-технологий; услугой предполагалось охватить несколько миллионов человек по всему миру. Банк 152 должен был предоставить удаленным клиентам возможность знакомиться с состоянием счетов по Интернету, и точно так же по Интернету выполнять переводы и платежи и управлять движением своих средств. Розуотер не понимал, почему его никто не предупредил о разработке проекта, который ставил колоссальное количество проблем перед службой безопасности. Уже началось бета-тестирование программы; до внедрения новой он-лайновой услуги оставалось не больше двух месяцев. Президент банка решил, что его главного «секыорити» просто «заклинило», и предложил ему как можно скорее найти выход из ситуации. Необходимо было срочно оценить, насколько безопасна система банковской сети. Ведь достаточно даже не злоумышленного «взлома» системы, а просто Web-хулиганства, чтобы клиент потерял доверие к услуге, а банк лишился части дохода. Последовало решение: нанять людей, которые попытаются проникнуть в систему извне и тем самым определят слабые места в ее защите. Розуотер заключил контракт с одной командой хакеров и та начала работать. Он постарался заранее объяснить, в чем состоит задача экспериментального проникновения, или, если можно так выразиться, «дружественного» взлома. Предстояло оценить целостность новой услуги и определить, как эта услуга соотносится с прочими банковскими операциями; выявить слабые места; предложить решения по улучшению защиты; продемонстрировать возможные последствия взлома. Разработка планов вторжения При моделировании атаки на банк извне необходимо было вначале определить, кто является потенциальным злоумышленником. Большинство компаний представляют себе в этом качестве какого-нибудь профессионального преступника, иностранную державу, шпиона, конкурента-террориста или просто 16-летнего подростка, развлекающегося с клавиатурой. Директор сказал, что более всего боится международных преступников, действующих из корыстных побуждений. После этого хакеры смогли решить, как надо проводить «дружественный» взлом сетей и Web-узлов банка. Бесспорно, многое зависит от того, насколько далеко готов зайти потенциальный хакер. Для получения информации, которая может оказаться полезной при взломе, часто используются разнообразные психологические приемы. Например, преступник звонит в офис и мило расспрашивает сотрудников о преимуществах нового пакета услуг, попутно задавая вопросы относительно системы безопасности. 153 Другой, часто встречающийся прием, — разгребание мусора. Очень часто сотрудники компаний довольно легкомысленно выбрасывают внутренние телефонные справочники, техническую документацию, диски и многое другое. Это же настоящая золотая жила для злоумышленника! Хакеры пытались войти в систему разными способами. Доступ можно получить через телефонную систему, порты для технической поддержки и прочие электронные «форточки». Они не брезговали и психологическими штучками, прикидываясь по телефону то сотрудниками компании, то поставщиками. В корпоративном мусоре они тоже покопались, но занимались этим только за пределами организации. Хакеры вначале строго очертили для себя запретные зоны. Запрещенными считались: психологические приемы с использованием электронной почты, разгребание мусора на территории организации,себя за сотрудника банка при личном контакте, а также попытки проникновения в системы бизнес-партнеров банка. Исключались и более грубые методы, вроде вымогательства, силового давления, шантажа и копания в биографиях сотрудников банка. Часть из этих «методов» была отклонена по соображениям законности, на другие не согласилась служба безопасности банка. Все эти ограничения помешали команде полностью смоделировать действия альных злоумышленников. Тем, кто надумает пойти по пути мистера Розуотера, стоит учесть, что и само хакерство — деяние противозаконное; иногда оно даже преследуется в уголовном порядке. Поэтому не забудьте выдать нанимаемой вами команде письменное разрешение на все предпринимаемые действия. Если какие-то действия группы, оценивающей систему безопасности, будут выявлены (правда, вероятность этого мала), неверно поняты и зарегистрированы как правонарушение, эта бумага поможет приглашенным хакерам избежать неприятностей. Ясно, впрочем, что ни одна компания не разрешит сторонней организации вторгнуться в свою вычислительную сеть. Разумный хакер собирает информацию любыми доступными средствами — в ход идут, например, открытые документы, финансовые отчеты, техническая документация. Хакеры собирают данные об используемых операционных системах, продуктах, являющихся основой информационной системы, телефонных станциях, а также физические адреса центров хранения данных и телефонных узлов. Чтобы сэкономить время и деньги, Розуотер сам передал всю эту информацию нанятой рабочей группе. 154 0 ... 47 48 49 50 51 52 53 ... 169
|
