Я обычно выискиваю подобные программные ошибки, когда пытаюсь взломать корневой каталог в системе. Если мне удается взломать корневой каталог за считанные секунды, то я точно знаю, перед чем я оказалась. И обычно за этим стоит серьезный риск.
Продолжая проверку, нашла подтверждение моим ожиданиям. Настроек безопасности здесь тоже не было. Эти системы были установлены «как есть», без настройки их безопасности и без добавления дополнительных средств защиты. В основном, проблемы были теми же, что и с домашней сетью Натана (и неудивительно).
И снова масса уязвимых мест в безопасности. Список разновидностей риска, которым подвергалась TransWorld, возглавляли следующие пункты:
Существовала избыточность разрешений на доступ к файлам.
Не были стерты старые учетные записи пользователей.
В программы не были внесены исправления (патчи), повышающие безопасность.
Не была обеспечена надлежащая физическая безопасность.
Уже только в этом скрывался огромный потенциал для бедствия. В TransWorld нужно было поработать экспертам по вопросам безопасности не менее двух недель и с полным рабочим днем, с тем чтобы защитить их сеть. Как и во многих других начинающих компаниях, им не хотелось тратить деньги на сотрудника, занимающегося безопасностью. Я думаю, что они хотели вместо этого купить побольше оборудования, а может быть, они ожидали предъявления им какого-то счета к оплате в этом месяце.
Как бы то ни было, я передала свою информацию Джорджу в обмен на обещанное пиво. А что касается безопасности их сети то я не питала особых надежд. У Джорджа не было времени поговорить со мной за его пивом. Он был так занят работой сети, обслуживанием клиентов, написанием программ и общественной жизнью. Иногда мне казалось, что серьезное отношение к безопасности мне никогда не встретится.
Резюме: Будете ли вы подключаться через такого провайдера?
У Джорджа и Натана могут возникнуть реальные причины для беспокойства в будущем. Взаимоотношения «провайдер/клиент» подразумевают ответственность провайдера, хранящего вашу веб-страницу и личный каталог, за безопасность, надежность и целостность вашей информации. Но до настоящего времени через суд не прошло ни одного дела в отношении безответственного провайдера, потерявшего информацию клиента. Довольно трудно сказать, чем должны руководствоваться судьи. Я считаю (и большинство клиентов думает так же), что суд должен принимать во внимание то, что если вы оплатили данную услугу, то ваша информация попадает в руки к специалистам, которые должны обеспечить ее защиту и безопасность. В конце концов, разве не за это вы платите?
Так или иначе, клиентам TransWorld пока везет. Забавно, но они даже не знают о том, что их информация находится на краю пропасти. И она может безвозвратно в ней исчезнуть.
Джорджу и Натану пока тоже везет. Насколько мне известно, на них не подавали в суд и их не подкарауливали их клиенты. Но я бы не захотела выбрать их в качестве
Если вы не проверили вашу сеть на наличие дыр, то это может сделать кто-нибудь другой. Есть шансы, что этот другой будет не на вашей стороне и будет вовсе не борцом за мир во всем мире и за свободу слова в Интернете. Скорее всего, он или она окажется хакером, выискивающим секреты компаний. И хотя вы недавно провели свой аудит и убедились, что ваша сеть безопасна, ваша информация с большой вероятностью может подвергаться риску. Из своего опыта я могу почти гарантировать то, что если ваши служащие не знают, как проводить аудит безопасности, и никогда его не проводили, то ваша информация в опасности. Привлеките эксперта к проведению аудита вашей сети или приобретите правильный инструмент и обучитесь пользованию им.
Доступен широкий выбор инструментов проведения аудита безопасности. (Подробнее см. в Приложении А, «Люди и продукты, о которых следует знать».)
Не надейтесь и не притворяйтесь, что ваша сеть в безопасности. Полную уверенность можно получить только после аудита!
Изучить людей, которые знают вашу информацию
В особенности будьте подозрительны в отношении новых Интернет-провайдеров. Быстрый рост числа служб, обеспечивающих доступ в Интернет, оказывает воздействие на безопасность двумя путями. Во-первых, большое количество предпринимателей, имеющих благие намерения, но без опыта в вопросах безопасности (а также с малым опытом общего применения компьютеров), устремилось в провайдерский бизнес. Они строят большие планы в получении огромных прибылей при малых затратах, а то и при отсутствии таковых. И в то же время увеличение численности новых провайдеров создало бескрайнее поле новых привлекательных целей для предприимчивых хакеров.
И они их «окучивают». В феврале 2000 года какой-то тинейджер, используя уже готовые и широко доступные инструменты, запустил атаки по типу «отказа от обслуживания», которые заблокировали доступ законным пользователям на сайты Amazon, eBay и Buy.com. Хотя доступ на сайты не был полностью блокирован, все же доступ к наиболее важным страницам был закрыт. Так, участники аукциона на сайте eBay обнаружили, что не могут видеть описание выставленных предметов. Доходы продавцов соответственно упали, что отразилось и на прибыли eBay, которому пришлось любезно продлять время проведения всех аукционов, пострадавших от атаки. Подобная атака на Yahoo в том же месяце была столь интенсивной, что почти на три часа заблокировала его пользователей. Для компаний, существующих главным образом в киберпространстве, атаки по типу «отказа от обслуживания» могут стать фатальными. Британский Интернет-провайдер Cloud-Nine Communications в конце концов закрылся в начале 2002 года после того, как подвергся широкой кампании атак по типу «отказ от обслуживания». Как сказал Бернгард Уорнер (Bernhard Warner) из агентства «Рейтер», промышленные эксперты описывали это закрытие как «первый пример компании, прекратившей свое существование из-за хакеров». Может быть и первый, но определенно не последний.