Раздел: Документация

0 ... 49 50 51 52 53 54 55 ... 169

Телефонное хулиганство

Руководитель банковской службы безопасности обязан выяснить, насколько надежно защищена ваша корпоративная АТС. У нее вполне могут обнаружиться недокументированные каналы связи с сетью передачи данных, что откроет путь потенциальным злоумышленникам. К счастью для банка, о коем идет речь, здесь взломщикам далеко продвинуться не удалось.

Проникновение в РВХ или системы голосового ответа дает массу ценной информации о портах доступа, прямого администрирования извне и технического обслуживания, о внутренних прикладных системах с распознаванием голоса, а также о службеголосовой почты в РВХ. Таким образом, хакер может получить доступ к банковским счетам и системам управления.

Чтобы уберечь РВХ от проникновения хакера, нужно поменять все пароли по умолчанию и изучить все контрольные журналы, составив представление о нормальном режиме работы АТС. Проверяйте все

модификации программного обеспечения и системные «заплаты» на

предмет того, не способствуют ли они возникновению новых слабых

мест. Необходимо также убедиться, что в вашей системе нет каких-нибудь неизвестных вам модемов. Помните: система, в которой случайно

окажутся модем и ПК под Remote Server Mode, будет полностью

открыта для вторжения извне.

Воспользовавшись программой автоматического подбора номера, было обнаружено некоторое число модемов в телефонном пространстве банка. Через них хакеры попытались «влезть» в эти модемы и проверить их защиту. Часть модемных входов была закрыта паролем. Запустив программу подбора пароля, чтобы проверить, насколько сильна эта защита, они ничего не добились. Зато им удалось вручную (!) подобрать пароль к порту технической поддержки маршрутизатора!

Попав через этот порт в сеть, а потом зайдя на AS/400, перевели

небольшую сумму на контрольный тысячедолларовый счет с чужого

счета. Если хакеры сумели это сделать, то что помешает хакеру перевести миллион долларов? Или миллиард? Однако теперь, ориентируясь на результаты изысканий в области психологических приемов, банк установил некую предельную сумму сделки, при превышении которой вступают в действие механизмы обнаружения финансового мошенничества.

Проникнув на AS/400 и получив доступ к мэйнфреймам, хакеры

начали атаку на систему защиты Resource Access Control Facility. Но

тут сотрудники банка, уже убедившиеся в наличии «дыр» в Web-сис-теме, решили прекратить эксперименты.

158

---

Резюме

По результатам псевдо-взлома был выработан ряд стратегических рекомендаций и даны советы по использованию конкретных процедур, методов и технологий, которые помогут решить проблемы с защитой данных. Так, банку были даны рекомендации по выработке политики в области Web-безопасности и реализации метода поиска слабых мест. Кроме хакеры указали, как можно связать между собой

различные схемы парольной защиты и добиться оптимального выбора

паролей. Сотрудникам отдела автоматизации посоветовали установить новые версии некоторых операционных систем и перевести определенные системы с Unix на Windows NT, поскольку ряд приложений

лучше работает под NT.

Главное изменение состояло в том, чтобы вывести часть услуг на отдельные серверы, повысив тем самым степень защиты. Если услуги типа FTP и размещения Web-серверов сосредоточены на одной машине, это снижает уровень информационной безопасности.

Розуотер, впрочем, оказался достаточно разумным, чтобы осознать: одних этих мер недостаточно для обеспечения неуязвимости

информационной системы банка. Было выяснено, как защищена конфиденциальность информации, насколько хорошо обеспечивается целостность данных и как устроена система управления доступом, однако из рассмотрения выпал такой важнейший аспект информационной

безопасности, как готовность системы.

Банк намеревался предоставлять Internet-услуги для получения дополнительного дохода и укрепления доверия клиентов. Для этого сервер должен работать без перерывов и выходных. Если в результате атаки хакера обслуживание прервется, то, несомненно, пострадают как финансовые дела банка, так и его отношения с клиентами. Мало того, следы Web-хулиганства на сервере способны «подпортить» имидж самой компании, ее продуктов и услуг, в особенности, если на деловых страничках появятся порнографические картинки.

Хакерская группа решила выяснить, насколько легко хакер сумеет вызвать на Web-сервере банка перебои в обслуживании. Для этого взломщики воспользовались разнообразными программами. Некоторые разработанные хакерами программы, вызывающие сбои обслуживания, можно загрузить по Internet, однако чтобы заставить их работать, с ними приходится долго возиться.

Применялись почтовые бомбы для переполнения сети, затопле-

159

---

сети пакетами синхронизации (SYN flooding), а такжесмер-

ти», т. е. нападение с использованием шшг-накетов, иногда приводящее к зависанию серверов. Обязательно попросите группы оценки информационной безопасности исследовать устойчивость к искусственным перебоям в обслуживании; такие атаки могут полностью вывести сервер из строя. Необходимо также выяснить, сколько времени занимает восстановление работоспособности системы.

Экзамены никогда не кончаются

Когда нанятым хакерам удалось взломать систему, ваша работа только начинается. Ни в коем случае не следует считать, что сам факт

тестирования уже обеспечивает информационную безопасность.

Оценка системы безопасности (вроде той, что была предпринята по заказу банка) дает толькоо состоянии сети на момент

проведения операции. Система информационной безопасности претерпевает постоянныеи требует к себе постоянного внимания.

Первый всеобъемлющий тест должен рассматриваться вами как отправная точка. Не забывайте время от времени выделять деньги на повторные обследования. Не менее важно и то, чтобы исследования проводились до запуска онлайновых услуг, а не после того, как «дыры» в защите дадут о себе знать.

Не забывайте девиз: «Взломай свою систему сам, пока кто-то не сделает этого без твоего ведома». А пока — удачной охоты!

Вместо заключения

На проходившей в среду в Лос-Анджелесе конференции «Giga Information Group» известный хакер Кевин Митник выступил с обширным докладом, посвященным компьютерной безопасности.

Митник призвал бизнесменов не доверять всем без исключения, прибавив, что до тех пор, пока абсолютно все сотрудники фирмы, от менеджеров до секретарш, не будут знать, каким образом и с какими целями хакеры совершают свои атаки, корпоративные и веб-сайты не будут защищены от взлома.

Бывший хакер подробно описал образ мышления, цели и методы хакеров, взламывающих корпоративные компьютерные сети, а также

подробно разъяснил, каким образом каждый сотрудник должен бороться с возможным проникновением взломщиков в систему.

160

0 ... 49 50 51 52 53 54 55 ... 169