Искусство вторжения
Шрифт:
Поэтому проверять безопасность в надежде, что она подтвердит правильность действий компании по защите ценной информации, просто глупо. Результат скорее всего докажет обратное, что и демонстрируют следующие истории — одна о консалтинговой компании, другая — о биотехнической фирме.
ОДНОЙ ХОЛОДНОЙ ЗИМОЙ
Не так давно несколько менеджеров и руководителей большой И Т —компании в Новой Англии собрались в своей комнате для переговоров, чтобы пообщаться с двумя консультантами. Могу себе представить, как технологические эксперты компании удивились, увидев рядом с собой за столом консультанта Питера Затко.
В начале девяностых годов Mudge с приятелями собрал единомышленников, чтобы работать вместе в небольшой комнатке на складе в Бостоне; эта группа стала уважаемым игроком на рынке компьютерной безопасности и стала называться l0pht. или, говоря более точно, l0pht Heavy Industries. (Имя пишется с маленьким 1, нулем вместо буквы «о», затем в хакерском стиле «ph» вместо звука «ф» и произносится «лофт»). После того, как операции становились все более успешными, и репутация фирмы укреплялась. Mudge стали приглашать для того, чтобы он мог поделиться своими знаниями. Он читал лекции в таких местах, как школа военной стратегии в Монте-рее на тему «Информационное оружие» — как проникнуть во вражеский компьютер и нарушить его работу, не будучи замеченным, а также о технологиях разрушения информации и т.п.
Одно из самых популярных средств для компьютерных хакеров (а иногда и для сотрудников безопасности) — это пакет программ под названием l0phtCrack. Волшебные свойства этой программы воспринимаются теми, кто ее использует, как должное, но я подозреваю, что многие другие люди ее люто ненавидят. Группа l0pht привлекла внимание СМИ, поскольку именно ее члены написали эту программу, которая быстро взламывает множество закодированных паролей. Mudge был соавтором в создании l0phtCrack и одним из основателей Интернет-сайта, который сделал эту программу доступной для хакеров и любого заинтересованного человека, сначала бесплатно. а потом — за деньги.
ПЕРВАЯ ВСТРЕЧА
Запрос, который получила компания Lopht от консалтинговой компании (мы будем называть ее «Newton»), возник после того, как компания решила расширить спектр услуг, который она предлагала своим клиентам, добавив в него тесты безопасности. Вместо того, чтобы нанимать новых людей и постепенно строить соответствующий отдел, они решили обратиться к существующим организациям за теми решениями, которые они могли бы купить и использовать в своих целях. В начале встречи один из сотрудников компании изложил эту идею: «Мы хотим купить вас и сделать частью нашей компании». Mudge вспоминает реакцию:
«Наша реакция была типа: „Хорошо, но… вы нас совсем не знаете“. Мыто знали, что они были глубоко заинтересованы в нас благодаря тому шуму, который СМИ подняли по поводу l0pht».
Отчасти, чтобы выиграть время, необходимое для того, чтобы привыкнуть к мысли о продаже компании, отчасти из-за того, что он не хотел форсировать сделку, Mudge решил выбрать тактику выжидания.
«Я сказал: „ В ы просто не знаете, что покупаете. Что вы скажете о пятнадцати тысячах долларов в качестве нашего гонорара, ведь нам придется серьезно поработать с этими тестами“.
В тот момент l0pht даже не занималась подобными исследованиями. Но я сказал им: « В ы не знаете наших способностей, вы исходите просто из нашей известности. З а п л а т и т е нам пятнадцать тысяч долларов. Е с л и вам не понравится то, что вы получите, то вы просто не будете нас покупать и, тем не менее, потраченное время окупится, поскольку вы получите качественные результаты проверки безопасности, а у н а с будет пятнадцать тысяч д о л л а р о в в банке. С другой стороны, е с л и вам в с е понравится, на ч т о мы искренне
надеемся, тогда вы нас купите». Они сказали: «Прекрасно, нас это устраивает». А я подумал; «Что за идиоты!»В понимании Mudge, в «Newton» сидели «идиоты», поскольку допустили команду l0pht к своим файлам и всей корреспонденции и в то же время хотели купить эту компанию. Он был уверен, что сможет «заглянуть им через плечо».
(«Подглядывание через плечо» — этот красочный термин конкретно означает тайное подглядывание за тем, как некто набирает на компьютере свой пароль. Специализирующийся именно в этом занятии хакер может по движению пальцев по клавиатуре определить. что печатает человек, не привлекая к себе особого внимания).
ОСНОВНЫЕ ПРАВИЛА
Консультанты по безопасности, проводящие тесты безопасности, похожи на полицейских, работающих под прикрытием и покупающих наркотики. Если ничего не знающий другой полицейский заметит это безобразие и наведет на них свой пистолет, то они покажут ему свои полицейские значки. Они могут не опасаться тюрьмы. Консультанты по безопасности, которых пригласили для проверки надежности защиты компании, хотят обладать такой же неприкосновенностью. Правда, вместо полицейского значка каждый участник проверки получает письмо, подписанное кем-то из руководства компании, которое гласит: «Этот человек приглашен для выполнения нашего задания, если вы поймаете его за каким-то противозаконным занятием, не беспокойтесь. Не мешайте ему. Позвольте ему делать свое дело и пошлите мне отчет о деталях инцидента».
В сообществе экспертов безопасности такое письмо всем известно под названием «индульгенции». Все участники проверки стремятся сделать несколько копий этого письма и всегда иметь их при себе, когда они занимаются работой в компании клиента, — это нужно, чтобы обезопасить себя от какого-нибудь ретивого стража порядка, который решит продемонстрировать свою власть и показать руководству свою бдительность, или же от аккуратного сотрудника, который заметит что-то подозрительное, и у него хватит ума вступить в конфликт с проверяющим.
Еще одним обязательным шагом перед тем, как проверка начнется. всегда становится определение клиентом основных правил — какая часть бизнеса компании должна быть включена в проверку, а какая — останется за ее пределами. Является ли эта проверка чисто технической атакой, чтобы посмотреть, смогут ли проверяющие получить доступ к важной информации, найдя незащищенные участки системы или пробравшись через межсетевой экран? Или это проверка приложений общедоступного Интернет-сайта, или внутренней компьютерной сети, или всей системы? Должны ли быть включены в проверку атаки социальных инженеров — попытки обмануть сотрудников и получить неавторизованную информацию? А как быть с физическими атаками, в процессе которых проверяющие пытаются проникнуть в здание, обманув охрану или просочившись через вход «только для сотрудников»? А как насчет попыток получить информацию при помощи «рытья в помойках», то есть, просматривая все мусорные корзины в поисках выброшенной ценной информации? Все это должно быть оговорено заранее.
Часто компании заказывают лишь ограниченную проверку. Один из членов группы l0pht, Карлос, считает такую практику нереальной, подчеркивая, что «хакеры так не работают». Он предпочитает более агрессивный подход, как бой «без перчаток», где нет никаких ограничений. Такой тип проверки не только более результативен и ценен для клиентов, но более привлекателен и для самих проверяющих. Как говорит Карлос, «это гораздо приятнее и интереснее». В данном случае его желания были удовлетворены: компания «Newton» согласилась на неограниченную атаку.