Это вижу не я одна. По оценке координационного центра CERT, размещенного в CMU, 99 % всех зарегистрированных компьютерных атак явились результатом знания уязвимых мест, на которые уже можно было бы поставить патчи.
Проблемы безопасности интранет реальны так реальны, что ваши сотрудники должны знать, как настраивать безопасность ваших систем. Иначе каждый бит вашей системы будет подвержен такому же риску, как и информация серверов Trans World.
Глава 3 Поддержка со стороны руководства
(включая прогноз доходов) фирме Fishman & McDonald Investors.
К счастью для миссис Смит и ее компании, управляющий этой финансовой фирмы немедленно сообщил содержание электронного письма Чарльзу Уинифреду, финансовому директору миссис Смит. Это сообщение явилось первым сигналом Чарльзу о том, что безопасность сети нарушена, и у него возникло много вопросов. Чарльз хотел знать, как удалось взломать систему. Он хотел знать, почему его обслуживающий персонал не обнаружил неавторизованного доступа к информации. И конечно, он хотел выяснить, кто должен отвечать за кражу и раскрытие информации. В общем, он хотел получить ответы, и немедленно.
Чарльз считал свою финансовую сеть безопасной. В конце концов, разве не за это платят системным администраторам? Как они могли проявить такую безответственность? И почему они не заметили брешь в защите до того, как информация не была раскрыта через Интернет?
Но Чарльз забыл главный принцип распределения ответственности. В конечном счете именно руководитель его уровня несет ответственность за надежность и целостность информации в корпоративных сетях, а не системные администраторы. Финансовые аудиторы и акционеры, в частности, привлекают к ответственности именно руководящих работников. Если прогнозы доходов выставлены на общее обозрение в Интернете, то финансовые аудиторы, акционеры и репортеры служб новостей преследуют высшее руководство, а не системных администраторов.
Для лучшей иллюстрации роли руководителей в компьютерной безопасности давайте взглянем поближе на события, происходящие до и после того, как была раскрыта финансовая информация ISD.
День 1-й: Незащищенные системы
Мартин начал аудит с зондирования информации финансовых систем и тестирования сети на наличие дыр. Менее чем за полчаса Мартин обнаружил потрясающие факты. Для компании, в которой так много говорилось о приверженности к безопасности, действительное состояние дел оказалось ужасающим.
Мартин обнаружил, что системы компании были установлены стандартным способом, без настройки безопасности. Наиболее ответственные системы были обезличены и плохо защищены, что превращало всю сеть в зону повышенного риска. Более того, в защите сети было так много дыр, что под конец рабочего дня к ней можно было подобраться «на расстояние выстрела». И такие системы хранили самую секретную финансовую информацию компании!
Далее Мартин узнал, что системы были широко открыты и не имели контрольных или отслеживающих механизмов. Это облегчало доступ и сводило к нулю шансы быть пойманным. Любой с самыми небольшими знаниями в области безопасности мог приятно провести целый день в этой сети.
Чарльз также попросил Мартина найти источник посылки электронного письма с прогнозами доходов. Поэтому после тестирования систем Мартин попытался отследить путь электронного письма. Он предполагал, что его попытки будут бесплодными. Так и оказалось. Мартин зашел в тупик, пытаясь установить «дом» хакера.
Хотя финансовый директор не мог поверить в то, что путь электронного письма нельзя отследить, для меня в этом не было ничего удивительного. Довольно легко можно обмануть Sendmail и создать иллюзию, что электронное письмо послано от кого-то другого. С таким заданием легко могла бы справиться моя 13-летняя сестра Лаура.
В любом случае имитация адреса отправки почты почти всегда заводит преследователя хакера в тупик. Когда вы сталкиваетесь с этим, то лишь оцениваете умение хакера изобретать доменные имена и идете дальше. То же сделал и Мартин.
Мартин завершил аудит и объединил полученные результаты в конфиденциальном отчете для руководства. Теперь нужно было подготовиться к самому трудному - как представить отчет руководству. К счастью, прошли те времена, когда гонцу за плохие вести отрубали голову. Но еще остались топоры в переносном смысле. При докладе о высоком риске безопасности вас может ждать неприязнь начальства или понижение с такой же вероятностью, как и похлопывание по плечу.
системами финансовой сети связан наибольший риск. Я прозондировала вначале информацию этих систем. Затем сняла копию таблицы паролей и запустила программу Crack. Мне нравится начинать аудит с взлома паролей, потому что я хочу увидеть, как много можно их взломать с первого захода. В таблице содержалось 520 паролей пользователей это довольно много. Поэтому мне, возможно, удастся взломать некоторые из них. И мне удалось. Просмотр файла crack.out показал, что 10 паролей были угаданы с первого раза. Я столько и ожидала. Оставив просмотр дальнейших результатов программы Crack на более позднее время, я сосредоточилась на аудите систем повышенного риска.