АНАЛИЗ
Сайт эстонского банка — это легкая мишень. Юхан обнаружил бреши в защите, когда он просматривал коды программ Интернет-сайта банка. Они использовали скрытые параметры, которые содержали имена файлов форм, которые загружались текстом CGI и показывались пользователям в их Интернет-браузере. Он изменил эти параметры так, чтобы они указывали на файл паролей сервера, — «раз-два», и у него на экране появился этот файл паролей. Удивительно, что это файл не был замаскирован, поэтому он получил доступ ко всем зашифрованным паролям, которые он впоследствии взломал.
Взлом банка « D i x i e » продемонстрировал еще один пример необходимости «глубокой зашиты». В данный момент сеть банка была гладкой; то есть, без серьезной защиты за пределами сервера Citrix. После того, как в одну из систем сети проникал атакующий, он мог соединиться с любой системой сети. Методика «глубокой защиты» могла бы помешать Габриэлю получить доступ к AS/400.
Служба безопасности банка испытывала абсолютно ложное ощущение безопасности, возникшее после внешних аудитов, которые неоправданно завысили оценку уровня их общей безопасности. Хотя проведение подобных проверок и аудитов — очень важный шаг при выяснении вашей способности противостоять атакам, еще более важным элементом является процесс правильного управления сетью и всеми работающими в ней системами.
КОНТРМЕРЫ
Повторюсь: проникновение в банк Dixie дает еще один пример необходимости «глубокой защиты». В этом случае сеть банка оказалась гладкой. После того, как в одну из систем сети проникал атакующий, он мог соединиться с любой системой сети. Методика «глубокой защиты» могла бы помешать Габриэлю получить доступ к AS/400.
Сайт онлайнового банка должен требовать, чтобы все разработчики Интернет-приложений придерживались фундаментальных правил безопасности и чтобы у них проводился аудит всех кодов. Лучше всего ограничить число пользователей, имеющих доступ к текстам на сервере. Для этого надо использовать сложные имена файлов и засекреченных констант, что естественно повысит уровень безопасности приложения.
Недостаточный контроль сети и слишком простые пароли на сервере Citrix — главная ошибка в рассматриваемом случае, именно она позволила Габриэлю свободно путешествовать по сети, устанавливать программу для записи набираемых на клавиатуре текстов, следить за другими пользователями и внедрять программы — трояны. Хакер написал небольшую программу и поместил ее в стартовую папку администратора, поэтому, когда администратор входил в компьютер, он неосознанно записал программу pwdump3. Габриэль уже имел права администратора. Хакер должен был только дождаться, когда администратор домена войдет в компьютер, после чего он мог украсть его привилегии и автоматически извлечь пароли из первичного контроллера доменов. Спрятанная программа называется трояном или «черным ходом». Вот краткий список контрмер:
• проверьте, когда изменялись пароли во всех аккаунтах, в системных приложениях, не предназначенных для персонала, без административной авторизации, без групповой авторизации и времена таких смен. Такие проверки могут выявить вторжение хакера. Посмотрите на пароли, которые были изменены в нерабочие часы, поскольку хакер может не подумать о том, что таким образом он оставляет следы, подвластные аудиту.
• Ограничьте интерактивный вход в систему рабочими часами.
• Обеспечьте аудит всех входов и выходов во все системы, доступные через беспроводной доступ, dial-up или Интернет.
• Устанавливайте такие программы как SpyCop (доступные на сайте http://www.spycop.com ). которые помогают обнаружить неавторизованные программы для отслеживания работы клавиатуры.
• Тщательно устанавливайте все обновления систем безопасности. В некоторых случаях самые последние версии можно загрузить автоматически. Компания Microsoft настоятельно советует своим пользователям сконфигурировать свои компьютеры так, чтобы иметь возможность сделать это.
• Проверяйте системы, доступные извне, на наличие программ удаленного управления, таких, как WinVNC, TightVNC, Danware и т.п. Эти программы позволяют атакующему «мониторить» системы, работающие на компьютере и даже управлять ими.
• Тщательно проверяйте все входы с использованием Windows Terminal Services или Citrix MetaFrame. Большинство атакующих предпочитают использовать эти сервисы для удаленного управления программами, чтобы снизить риск быть обнаруженным.
ПОСЛЕСЛОВИЕ
Хакерские попытки, описанные в этой главе, тривиальны, они основаны на слабых паролях и уязвимых CGI-текстах. В то время как многие люди, даже осведомленные о компьютерной безопасности, думают о вторжении хакеров, как о какой-то экзотике со стратегической подготовкой типа фильма «11 друзей Оушена», грустная правда заключается в том. что большинство атак не являются ни талантливыми, ни даже просто умными. Они успешны лишь потому, что большая часть корпоративных сетей не защищена адекватным образом.
Кроме того, люди, ответственные за разработку и развертывание таких систем, делают простые ошибки в их конфигурировании, что дает возможность тысячам хакерам проникать в них буквально с парадного входа каждый день.
Если бы оба финансовых учреждения, о которых идет речь в этой главе, были типичным примером того, как большинство банков в мире защищает сведения о клиентах и их счетах, тогда, скорее всего, все мы вернулись бы к хранению денег в обувных коробках под кроватями.
Глава 8.
Ваша интеллектуальная собственность не в безопасности
Если какой-то прием не работает, я пробую что-то еще, поскольку я знаю: что-нибудь обязательно сработает. Что-нибудь всегда срабатывает. Надо просто найти, что.
Что самое ценное в любой компании? Это не компьютеры, не помещения или фабрики, это даже не то, что стало модным клише в некоторых корпорациях: «Наши самые ценные активы — это наши люди».
На самом деле все, что перечислено, может быть заменено. Не так просто, не без борьбы, но практически любая компания выживет после того, как сгорит фабрика или несколько ключевых сотрудников покинут ее пределы. А вот выжить после потери интеллектуальной собственности — это совсем другая история. Если кто-нибудь украдет конструкцию ваших продуктов, список клиентов, план выпуска новых товаров, результаты исследовательских работ — это будет катастрофа для компании.
Более того, если кто-то украдет хоть тысячу продуктов с вашего склада, тонну титана с производства или сотню компьютеров из офиса, вы сразу же узнаете об этом. Если кто-нибудь украдет вашу интеллектуальную собственность электронным образом, то есть, скопирует ее, вы никогда об этом не узнаете или узнаете, когда почувствуете последствия этой кражи.
Шокирующей новостью для вас может стать тот факт, что люди с хакерскими навыками крадут интеллектуальную собственность каждый день, часто из компаний, которые думают о безопасности не меньше, чем вы, о чем и рассказывается в этой главе.
Два героя двух следующих историй принадлежат к особой хакерской ветви под названием «кракеры», — так называют хакеров, которые взламывают программы при помощи реинжиниринга коммерческих приложений или простой кражи кодов этих приложений или лицензированных кодов, так что они могут использовать эти программы бесплатно и распространять их через лабиринт тайных кракерских сайтов. (Не надо их путать с программами «кракерами» для взлома паролей).
У кракеров есть три главных мотива для погони за определенным продуктом:
• Получить программу, которая их интересует, для пристального изучения.
• Принять вызов, чтобы понять, сможет ли он превзойти конкурента (обычно разработчика), — аналогично тому, как игроки стремятся превзойти оппонента за шахматной доской, в бридже или за покерным столом.