Оглядываясь назад, я убеждаюсь, что, возможно, фантазировала насчет практических способностей этих парней в области безопасности. Раз так, то я обещаю больше не фантазировать.
Я надеялась на быстрое решение проблемы и сказала Натану, что загляну к ним по дороге на свою работу. Натан сообщил мне, что последний взлом был в его домашней сети, и я решила начать отсюда. Сначала я спросила Натана, почему его домашняя сеть подключена к TransWorld. Натан объяснил, что он хранит разрабатываемые программы на этой системе и ему нужен легкий доступ к ним при работе в главном офисе.
Из ответа я поняла, что решение проблемы не будет быстрым. Часто «легкий доступ» означает «риск». При работе с электронной информацией вам всегда придется взвешивать риск и нужды бизнеса. Если меры безопасности слишком строги, то это может препятствовать возможности клиентов вести свои дела. Очевидно, никому этого не хочется. В любом бизнесе необходима некоторая гибкость. Тем не менее некоторые компании не подсчитывают, как такая гибкость влияет на величину риска. Вместо этого они устанавливают облегченный доступ, надеясь, что их информация достаточно защищена. По дороге к дому Натана я не могла понять, почему Натан так ценит свой легкий доступ.
Утром в 6.30 я подъехала к дому Натана. Натан предложил мне чашку кофе. Но я уже и так была взвинчена адреналин уже начал выделяться. «Нет, спасибо, сказала я. Где система?» Он подвел меня к клавиатуре.
В течение пяти минут после входа в систему я обнаружила, в чем заключается проблема безопасности. Безопасности не было вообще! Системы были установлены «как есть», стандартным способом, и подключены к Интернету.
Один из самых больших рисков при стандартных установках состоит в том, что вставки, повышающие безопасность (security patches), в стандартную поставку не входят. Все операционные системы имеют уязвимые места с точки зрения безопасности. К ним необходимо добавлять вставки безопасности для решения подобных проблем, иначе системы могут остаться широко открытыми (в зависимости от уязвимости).
По мере того как я просматривала настройки системы, я удивлялась своим находкам. Они экспортировали личные каталоги через Интернет с разрешениями чтения/записи (с глобальным доступом). Я не верила своим глазам! Экспортирование файловых систем через Интернет с разрешениями чтения/записи позволяло каждому в Интернете читать, красть или уничтожать информацию. О чем эти парни думали? Я проверяла снова и снова, надеясь, что результаты будут как-то меняться, так как не хотела верить в то, что увидела.
Такого со мной еще не случалось. Два парня, которые намного умнее меня в программировании и которые берут деньги с клиентов за доступ в Интернет и хранение информации, создали сеть без установки каких-либо средств обеспечения безопасности.
В то время как я пыталась продолжать мое исследование, Натан не переставал задавать мне вопросы. Я не могла сосредоточиться. Я «зациклилась», и все в моей голове перемешалось. Я вынуждена была прервать проверку и сказала Натану, что мне надо ехать.
Он подвергался серьезному риску, а я не могла быстро устранить проблему. В действительности, он хотел только быстрого решения. К сожалению, он не собирался получить решение проблемы от меня (или от кого-либо еще на планете). Вместо решения я дала Натану список неотложных мер (опасно устранить немедленно!) и сказала, что еще вернусь.
Как только у меня появилась возможность обдумать его вопрос, я ему позвонила и сказала, что проблем безопасности в его домашней сети так много, что я не могу даже сказать, с чего ему начать. Лучше всего провести полномасштабный аудит безопасности его сети. Я сказала, что очень занята работой в Sun, помогая клиентам защищать свои сети от Интернета, и что смогу вернуться к нему только через несколько недель. Кроме того, я не собиралась тратить время на помощь ему в установке защиты, я могла только сообщить ему о результатах моих исследований. Я полагала, что он наймет кого-то для проведения аудита и принятия мер безопасности в своей сети.
Натан сказал, что подождет. Несколько недель для него не много значили. Хотя Натан явно был озабочен безопасностью, но он еще не был так напуган, чтобы нанять кого-то для решения проблемы. Я продолжала удивляться, каково же его клиентам при такой угрозе надежности и целостности их информации.
Продолжение саги: Сеть остается под угрозой
компьютеры, брандмауэры и коммутационную аппаратуру отделяли от остальных компаний лишь внутрикомнатные стенки высотой пять футов. Системы даже не были заперты в стойках.
Более того, все адреса и учетная информация клиентов были в персональных компьютерах (ПК). ПК имели резервное копирование, но устройства для этого находились прямо рядом с ними. Любой, кто бы ни пожелал, мог перепрыгнуть через невысокие стенки, взять систему и устройство резервного копирования и просто уйти. Разве это не беспорядок? Представьте себе, что ваш провайдер вызывает вас, чтобы поискать, заплатили ли вы ему за прошедший месяц!
Безопасность информации не выглядела лучше. Я уже это предполагала, но всегда нужны твердые факты. Я села за клавиатуру и начала аудит. Через несколько секунд я взломала корневой каталог и получила полный контроль над их главным сервером. При этом я не «выкладывалась», а просто использовала незащищенное место в операционной системе, о котором широко известно много лет.