Текст книги "IT-безопасность: стоит ли рисковать корпорацией?"
Автор книги: Линда Маккарти
сообщить о нарушении
Текущая страница: 4 (всего у книги 22 страниц)
Джордж и Натан проработали около двух лет, пока на их сайт из Интернета не «забрел» хакер. Натан обнаружил хакера благодаря написанной им программе для отслеживания времени доступа клиентов (программа была довольно хорошей). На выходе она выдавала Натану сообщение, какой счет выставлять клиентам за использованное ими время доступа. Натан заметил, что однажды в корпоративной сети TransWorld какой-то хакер создал каталог, установил инструменты для взлома безопасности (для сбора паролей, отслеживания путей и т. д.), а затем начал взламывать системные пароли и искать информацию и доступ к другим системам. (Как изнутри выглядит такая атака, см. главу 12, «Прогулка хакера по сети».)
В конце концов, Натан выяснил, что хакер проник с использованием учетной записи, оставшейся от старой коммерческой демонстрации. Он отключил учетную запись и посчитал проблему решенной.
+Две недели: Хакер возвращаетсяДвумя неделями позднее хакер вновь всплыл в сети TransWorld. На этот раз хакер переписал на их сервер программу, которая при исполнении могла пересылать по почте файл с паролями на другую систему в Интернете. Вначале Натан не мог понять, как хакер вошел в его сеть. При дальнейшем исследовании Натан обнаружил, что установленная им система позволяла переписывать на его сервер и исполнять файлы из Интернета. Хакер просто переписал программу на сервер TransWorld и запустил ее на исполнение.
При исполнении эта программа скопировала файл TransWorld с паролями и переслала его по почте на неизвестную систему в Интернете. Затем хакер взломал пароль. Удача! И вот хакер внутри. Программа Натана по отслеживанию использования системы была хорошей, но она не могла заменить собой контрольные журналы.
Так как контроль за действиями не был установлен, то сотрудники TransWorld не могли даже сказать, заменил ли хакер какие-либо системные файлы, или им был оставлен «черный ход» в систему. Натан заткнул дыры так крепко, как он смог, и ограничил разрешения на доступ к файлам в системе.
+Три недели: Усиление защитыВзломы продолжались. Время от времени хакер (или хакеры!) запросто заходил из Интернета. Каждый раз, когда Натан затыкал одну дыру в защите, хакер быстро находил другую. К этому времени сотрудники TransWorld работали в режиме реагирования. Они тратили так много времени, реагируя на непрекращающиеся взломы, что начали терять сон от страха перед настоящим бедствием.
В этот момент Джордж позвал меня на помощь. Так как Джордж и Натан были моими старыми друзьями, то я согласилась проверить их системы в обмен на приятную беседу и пару банок холодного пива.
Так как эти парни знали очень много о системах, то я полагала, что мне предстоит устранить проблему относительно быстро. В конце концов, у них обоих за плечами был большой опыт в управлении и поддержке систем, и они обслуживали реальную провайдерскую сеть. Я знала, что опытность не всегда является показателем осведомленности в вопросах безопасности, но хотела убедиться в осознанности их действий. Так как именно провайдер отвечает за информацию своих клиентов, то мне хотелось знать, предприняли ли они необходимые меры предосторожности.
Оглядываясь назад, я убеждаюсь, что, возможно, фантазировала насчет практических способностей этих парней в области безопасности. Раз так, то я обещаю больше не фантазировать.
Я надеялась на быстрое решение проблемы и сказала Натану, что загляну к ним по дороге на свою работу. Натан сообщил мне, что последний взлом был в его домашней сети, и я решила начать отсюда. Сначала я спросила Натана, почему его домашняя сеть подключена к TransWorld. Натан объяснил, что он хранит разрабатываемые программы на этой системе и ему нужен легкий доступ к ним при работе в главном офисе.
Из ответа я поняла, что решение проблемы не будет быстрым. Часто «легкий доступ» означает «риск». При работе с электронной информацией вам всегда придется взвешивать риск и нужды бизнеса. Если меры безопасности слишком строги, то это может препятствовать возможности клиентов вести свои дела. Очевидно, никому этого не хочется. В любом бизнесе необходима некоторая гибкость. Тем не менее некоторые компании не подсчитывают, как такая гибкость влияет на величину риска. Вместо этого они устанавливают облегченный доступ, надеясь, что их информация достаточно защищена. По дороге к дому Натана я не могла понять, почему Натан так ценит свой легкий доступ.
Утром в 6.30 я подъехала к дому Натана. Натан предложил мне чашку кофе. Но я уже и так была взвинчена – адреналин уже начал выделяться. «Нет, спасибо, – сказала я. – Где система?» Он подвел меня к клавиатуре.
В течение пяти минут после входа в систему я обнаружила, в чем заключается проблема безопасности. Безопасности не было вообще! Системы были установлены «как есть», стандартным способом, и подключены к Интернету.
Один из самых больших рисков при стандартных установках состоит в том, что вставки, повышающие безопасность (security patches), в стандартную поставку не входят. Все операционные системы имеют уязвимые места с точки зрения безопасности. К ним необходимо добавлять вставки безопасности для решения подобных проблем, иначе системы могут остаться широко открытыми (в зависимости от уязвимости).
По мере того как я просматривала настройки системы, я удивлялась своим находкам. Они экспортировали личные каталоги через Интернет с разрешениями чтения/записи (с глобальным доступом). Я не верила своим глазам! Экспортирование файловых систем через Интернет с разрешениями чтения/записи позволяло каждому в Интернете читать, красть или уничтожать информацию. О чем эти парни думали? Я проверяла снова и снова, надеясь, что результаты будут как-то меняться, так как не хотела верить в то, что увидела.
Такого со мной еще не случалось. Два парня, которые намного умнее меня в программировании и которые берут деньги с клиентов за доступ в Интернет и хранение информации, создали сеть без установки каких-либо средств обеспечения безопасности.
В то время как я пыталась продолжать мое исследование, Натан не переставал задавать мне вопросы. Я не могла сосредоточиться. Я «зациклилась», и все в моей голове перемешалось. Я вынуждена была прервать проверку и сказала Натану, что мне надо ехать.
Он подвергался серьезному риску, а я не могла быстро устранить проблему. В действительности, он хотел только быстрого решения. К сожалению, он не собирался получить решение проблемы от меня (или от кого-либо еще на планете). Вместо решения я дала Натану список неотложных мер (опасно – устранить немедленно!) и сказала, что еще вернусь.
Как только у меня появилась возможность обдумать его вопрос, я ему позвонила и сказала, что проблем безопасности в его домашней сети так много, что я не могу даже сказать, с чего ему начать. Лучше всего провести полномасштабный аудит безопасности его сети. Я сказала, что очень занята работой в Sun, помогая клиентам защищать свои сети от Интернета, и что смогу вернуться к нему только через несколько недель. Кроме того, я не собиралась тратить время на помощь ему в установке защиты, я могла только сообщить ему о результатах моих исследований. Я полагала, что он наймет кого-то для проведения аудита и принятия мер безопасности в своей сети.
Натан сказал, что подождет. Несколько недель для него не много значили. Хотя Натан явно был озабочен безопасностью, но он еще не был так напуган, чтобы нанять кого-то для решения проблемы. Я продолжала удивляться, каково же его клиентам при такой угрозе надежности и целостности их информации.
Продолжение саги: Сеть остается под угрозойЧерез несколько недель я отправилась в главный офис TransWorld для проверки состояния дел. Первой проблемой, обнаруженной мной при полномасштабном аудите, была физическая безопасность. Сеть располагалась в здании, офисное пространство которого было поделено между несколькими компаниями. Сетевые серверы, компьютеры, брандмауэры и коммутационную аппаратуру отделяли от остальных компаний лишь внутрикомнатные стенки высотой пять футов.[10]10
около полутора метров. – Примеч. пер.
[Закрыть] Системы даже не были заперты в стойках.
Более того, все адреса и учетная информация клиентов были в персональных компьютерах (ПК). ПК имели резервное копирование, но устройства для этого находились прямо рядом с ними. Любой, кто бы ни пожелал, мог перепрыгнуть через невысокие стенки, взять систему и устройство резервного копирования и просто уйти. Разве это не беспорядок? Представьте себе, что ваш провайдер вызывает вас, чтобы поискать, заплатили ли вы ему за прошедший месяц!
Безопасность информации не выглядела лучше. Я уже это предполагала, но всегда нужны твердые факты. Я села за клавиатуру и начала аудит. Через несколько секунд я взломала корневой каталог и получила полный контроль над их главным сервером. При этом я не «выкладывалась», а просто использовала незащищенное место в операционной системе, о котором широко известно много лет.
Я обычно выискиваю подобные программные ошибки, когда пытаюсь взломать корневой каталог в системе. Если мне удается взломать корневой каталог за считанные секунды, то я точно знаю, перед чем я оказалась. И обычно за этим стоит серьезный риск.
Продолжая проверку, нашла подтверждение моим ожиданиям. Настроек безопасности здесь тоже не было. Эти системы были установлены «как есть», без настройки их безопасности и без добавления дополнительных средств защиты. В основном, проблемы были теми же, что и с домашней сетью Натана (и неудивительно).
И снова масса уязвимых мест в безопасности. Список разновидностей риска, которым подвергалась TransWorld, возглавляли следующие пункты:
• Существовала избыточность разрешений на доступ к файлам.
• Не были стерты старые учетные записи пользователей.
• В программы не были внесены исправления (патчи), повышающие безопасность.
• Не была обеспечена надлежащая физическая безопасность.
Уже только в этом скрывался огромный потенциал для бедствия. В TransWorld нужно было поработать экспертам по вопросам безопасности не менее двух недель и с полным рабочим днем, с тем чтобы защитить их сеть. Как и во многих других начинающих компаниях, им не хотелось тратить деньги на сотрудника, занимающегося безопасностью. Я думаю, что они хотели вместо этого купить побольше оборудования, а может быть, они ожидали предъявления им какого-то счета к оплате в этом месяце.
Как бы то ни было, я передала свою информацию Джорджу в обмен на обещанное пиво. А что касается безопасности их сети – то я не питала особых надежд. У Джорджа не было времени поговорить со мной за его пивом. Он был так занят работой сети, обслуживанием клиентов, написанием программ и общественной жизнью. Иногда мне казалось, что серьезное отношение к безопасности мне никогда не встретится.
Резюме: Будете ли вы подключаться через такого провайдера?Как бы плохо ситуация ни выглядела, Джордж и Натан все же действительно хорошие люди. Они знают, как устанавливать и обслуживать системы. Им известны все тонкости подключения к Интернету. Но их проблема заключается в том, что они не знают, как защитить свои системы, и не обращаются за посторонней помощью. Они не думают о возможном вторжении хакера в их сеть. Так как они не считают безопасность приоритетной, то тратят свои финансы на любые другие цели. И конечно, получат то, за что платили.
У Джорджа и Натана могут возникнуть реальные причины для беспокойства в будущем. Взаимоотношения «провайдер/клиент» подразумевают ответственность провайдера, хранящего вашу веб-страницу и личный каталог, за безопасность, надежность и целостность вашей информации. Но до настоящего времени через суд не прошло ни одного дела в отношении безответственного провайдера, потерявшего информацию клиента. Довольно трудно сказать, чем должны руководствоваться судьи. Я считаю (и большинство клиентов думает так же), что суд должен принимать во внимание то, что если вы оплатили данную услугу, то ваша информация попадает в руки к специалистам, которые должны обеспечить ее защиту и безопасность. В конце концов, разве не за это вы платите?
Так или иначе, клиентам TransWorld пока везет. Забавно, но они даже не знают о том, что их информация находится на краю пропасти. И она может безвозвратно в ней исчезнуть.
Джорджу и Натану пока тоже везет. Насколько мне известно, на них не подавали в суд и их не подкарауливали их клиенты. Но я бы не захотела выбрать их в качестве своего Интернет-провайдера.
Мы пойдем другой дорогой…
В большинстве своем мы знаем ничтожно мало о людях и/или компаниях, подключающих нас и нашу информацию к внешнему миру. Имеете ли вы дело с Интернет-провайдером со стороны или же работаете со своим отделом по обеспечению связи, в любом случае вы должны искать ответы на прямо поставленные вопросы.
Имеется ли у вас договор с вашим Интернет-провайдером? Если договор есть, то не указано ли в нем, что провайдер не отвечает за вашу информацию, то есть за информацию, о которой он должен заботиться? У вас может не быть провайдера, обслуживающего вашу информацию. Но если вся ваша информация содержится внутри вашей интранет, то вы можете также не заметить рисков, которые были обнаружены в TransWorld. Ваш системный администратор может провести установку всей сети, используя системы только со стандартными настройками. В таком случае каждая из систем вашей интранет будет подвержена риску.
Вам нужно выяснить, когда в вашей компании делался последний аудит безопасности. Это единственный способ убедиться в том, что ваши системы защищены. Иначе вы играете в «русскую рулетку» вашей информацией, не говоря о том, что ваши акционеры могут лишиться твердых доходов.
Помните, что руководители отвечают за надежность и целостность информации.
Знать, каким рискам вы подвергаетесьЗнаете ли вы, какому риску подвергается информация в сети вашей компании? Большинство хакеров ищут информацию, которую можно продать: финансовую информацию, информацию о клиентах, номера кредитных карточек. В «Обзоре компьютерных преступлений и вопросов безопасности» CSI 2002 года указывается, что инциденты, о которых сообщили только 26 респондентов, причинили убытки в 170 827 000 долларов от кражи информации о собственности.
И если вы еще думаете, что «стандартный» хакер является рано развившимся тинейджером, без присмотра и с плохой социальной ориентацией, то зря. Все в большем количестве «хакерские» кражи совершаются намеренно и хорошо организованно. Есть случаи, когда участие в них переходит на правительственный уровень. В марте 2002 года официальные представители ФБР сообщили о непрекращающихся взломах компьютеров со стороны организованных преступных группировок из России и Украины, в результате которых было украдено более миллиона номеров кредитных карточек. Пятнадцатилетний мальчик, о котором думает большинство людей, может вполне оказаться пятидесятилетним бюрократом, собирающим компромат по заданию своего правительства. Помните это, думая о том, какие части и стороны вашей корпоративной информации вам необходимо защищать. Постарайтесь убедиться в том, что все люди, имеющие доступ к вашей информации, понимают, что и от кого им следует защищать.
Очевидно, одна информация более важна, чем другая. По этой причине нужно делать анализ действительного риска, которому подвергается ваша сеть. Проведена ли экспертами в вашей компании классификация информации? Приняла ли ваша компания повышенные меры безопасности в отношении информации повышенного риска? Может быть, да. Может быть, нет.
Избегать стандартных установок системСтандартная установка систем без проведения настроек безопасности может проводиться только при отсутствии риска для информации в сети. Ваша сеть установлена стандартно? Правильно ли это? А может быть, в вашей компании забыли простые истины?
Так же как и оценка риска, политики и процедуры настройки систем должны отражать конкретные нужды компании. В защите вашей сети могут оставаться многочисленные дыры в случае, если вы не приняли нужных мер предосторожности при установке и поддержке систем сети. Если интранет вашей компании состоит из одних стандартно установленных систем, то будьте уверены – ваша информация под угрозой.
В условиях роста компьютерной преступности изготовители вынуждены предлагать стандартные системы с легко осуществимыми настройками. Не ждите от них чудес – требуйте от вашего поставщика более высоких уровней защиты в их продуктах. Если этого потребуют все, то изготовителям придется удовлетворить эти требования, чтобы выжить.
Протестировать вашу сетьЕсли вы не проверили вашу сеть на наличие дыр, то это может сделать кто-нибудь другой. Есть шансы, что этот другой будет не на вашей стороне и будет вовсе не борцом за мир во всем мире и за свободу слова в Интернете. Скорее всего, он или она окажется хакером, выискивающим секреты компаний. И хотя вы недавно провели свой аудит и убедились, что ваша сеть безопасна, ваша информация с большой вероятностью может подвергаться риску. Из своего опыта я могу почти гарантировать то, что если ваши служащие не знают, как проводить аудит безопасности, и никогда его не проводили, то ваша информация в опасности. Привлеките эксперта к проведению аудита вашей сети или приобретите правильный инструмент и обучитесь пользованию им.
Доступен широкий выбор инструментов проведения аудита безопасности. (Подробнее см. в Приложении А, «Люди и продукты, о которых следует знать».)
Не надейтесь и не притворяйтесь, что ваша сеть в безопасности. Полную уверенность можно получить только после аудита!
Изучить людей, которые знают вашу информациюНе считайте системных специалистов, обслуживающих вашу сеть, специалистами по безопасности. Великие программисты, инженеры и системные администраторы не всегда являются хорошими защитниками информации. Различие их предпочтений и запасов знаний может давать удивительные результаты.
В особенности будьте подозрительны в отношении новых Интернет-провайдеров. Быстрый рост числа служб, обеспечивающих доступ в Интернет, оказывает воздействие на безопасность двумя путями. Во-первых, большое количество предпринимателей, имеющих благие намерения, но без опыта в вопросах безопасности (а также с малым опытом общего применения компьютеров), устремилось в провайдерский бизнес. Они строят большие планы в получении огромных прибылей при малых затратах, а то и при отсутствии таковых. И в то же время увеличение численности новых провайдеров создало бескрайнее поле новых привлекательных целей для предприимчивых хакеров.
И они их «окучивают». В феврале 2000 года какой-то тинейджер, используя уже готовые и широко доступные инструменты, запустил атаки по типу «отказа от обслуживания», которые заблокировали доступ законным пользователям на сайты Amazon, eBay и Buy.com. Хотя доступ на сайты не был полностью блокирован, все же доступ к наиболее важным страницам был закрыт. Так, участники аукциона на сайте eBay обнаружили, что не могут видеть описание выставленных предметов. Доходы продавцов соответственно упали, что отразилось и на прибыли eBay, которому пришлось любезно продлять время проведения всех аукционов, пострадавших от атаки. Подобная атака на Yahoo в том же месяце была столь интенсивной, что почти на три часа заблокировала его пользователей. Для компаний, существующих главным образом в киберпространстве, атаки по типу «отказа от обслуживания» могут стать фатальными. Британский Интернет-провайдер Cloud-Nine Communications в конце концов закрылся в начале 2002 года после того, как подвергся широкой кампании атак по типу «отказ от обслуживания». Как сказал Бернгард Уорнер (Bernhard Warner) из агентства «Рейтер», промышленные эксперты описывали это закрытие как «первый пример компании, прекратившей свое существование из-за хакеров». Может быть и первый, но определенно – не последний.
Как широко распространены подобные атаки? В 2001 году исследователи из University of California в Сан-Диего зафиксировали 12 800 атак по типу «отказ от обслуживания» в течение одного трехнедельного интервала.
Предусмотреть или потребовать необходимое финансирование безопасностиБезопасность всегда зависит от ее финансирования. Очевидно, что вы не захотите потратить на защиту какого-либо объекта больше того, чем он стоит. Поэтому вам нужно знать, какую информацию вам нужно защитить и сколько она стоит. Думайте об информации как о деньгах. Допустим, вам нужно защитить 10 миллиардов долларов. Сколько вы собираетесь потратить для их защиты? Возможно, вам следует начать с крепкого, безопасного сейфа, сигнализации и круглосуточной камеры наблюдения. Возможно, вы захотите добавить вооруженную охрану. И снова это будет зависеть от степени риска. Степень риска может определяться местоположением. В какой вы стране? В каком городе? Что по соседству? В любом случае анализ риска означает определение различных его уровней. К примеру, ваш сейф расположен в Соединенных Штатах, одном из самых безопасных государств на планете. Никаких проблем. Но подождите. Определяем конкретное место внутри Соединенных Штатов: южный район центра Лос-Анджелеса, первый этаж, общественное здание, в зале, напротив ломбарда. Уже проблема? Подобным же подходом нужно пользоваться при оценке риска для вашей информации. Детальная и методическая оценка покажет вам, что нужно защитить и какой уровень защиты вам потребуется. Первым шагом, конечно, является определение риска. Люди в TransWorld никогда не проводили оценку риска, так как считали, что риску ничто не подвергается. Они полагали, что хакер никогда не заберется в их сеть. Не думайте так же. Это приведет вас к тому, что вы окажетесь неподготовленными и уязвимыми к моменту атаки. Иммунитета нет даже у экспертов. Спросите об этом в координационном центре CERT, главный офис которого размещен в Carnegie Mellon University (CMU). Это – одна из ведущих организаций, ответственных за предупреждение общества о новых вирусах и других угрозах безопасности в киберпространстве. В мае 2001 года CERT сама подверглась атаке по типу «отказ от обслуживания». Оценка риска, знание того, как вы должны реагировать, и стремление защитить свою сеть являются главными составляющими отражения атаки, подобной этой. Анализируя стоимость вашей информации при оценке риска, берите в расчет реальную цену потери этой информации. Приведу результаты состязания Forensic Challenge, проведенного в марте 2001 года некоммерческой группой профессионалов в области безопасности Honey Project. Участники состязания должны были проанализировать реальный компьютерный взлом, кропотливо установить, к чему был доступ, и определить, какой ущерб (если таковой имелся) был нанесен.
Какие были показаны результаты? Взломщик менее чем за минуту вторгся в университетский компьютер через Интернет и находился в нем менее получаса. Но поиск того, что он наделал за это время, занял в среднем у каждого участника состязания более 34 часов. В реальной ситуации пострадавшие компании выплатили бы специалистам по 2000 долларов. Подобное неравенство, выявленное в проведенном состязании Forensic Challenge, еще раз подчеркивает большую стоимость «чистки» после того, как взломщик скомпрометировал сеть,[11]11
Компрометация – здесь: нарушение взломщиком безопасности системы, которое может приводить к изменению, уничтожению или краже информации, – Примеч. пер.
[Закрыть] говорит Дэвид Диттрич (David Dittrich), старший инженер по безопасности в University of Washington и главный судья состязания. По его оценке, если бы у штатных сотрудников не хватило опыта и был бы приглашен консультант со стороны, то эти 34 часа обошлись бы компании примерно в 22 000 долларов.
