Искусство вторжения
Шрифт:
Итак, на Интернет-сервере был пользователь с правами администратора, который имел такое же имя, как и администратор домена, и пароль в обоих с л у ч а я х был один и т о т же. Э т о т администратор был невероятно ленив, если для своей директории на другом сервере повторно использовал то же самое имя и пароль».
Дело постепенно продвигалось, хоть и небольшими шажками. Администратор на Интернет-сервере не имел таких привилегий на весь домен. Но, получив его пароль на Интернет-сервере, благодаря его лени мы смогли проникнуть в директорию администратора домена. Администратор домена администрирует или управляет всем доменом в отличие от администратора вашего локального компьютера, который управляет только им. В данном случае Луис не был
«Надо сказать, что это обычная практика, с которой мы часто встречаемся. Администратор домена создает свою директорию на всех машинах сотрудников сети и использует для них тот же пароль. И это означает, что сведения из каждого локального компьютера могут быть использованы для взлома системы безопасности всего домена».
ЦЕЛЬ ДОСТИГНУТА
Шаг за шагом — все ближе к цели. Луис и Брок обнаружили, что не могут получить полный контроль над сервером приложений и данными, которые на нем хранятся. Они проверяли IP-адрес компьютера, который они нашли на ноутбуке водителя (или охранника), и сервер приложений, с которым он был связан. После этого они пришли к выводу, что сервер приложений расположен в том же домене. Наконец, они получили полный контроль над всеми действиями компании. «Наконец, мы добрались до самого сердца бизнеса компании, Мы могли изменить все команды на сервере приложений, то есть могли дать указание водителям доставить деньги туда, куда нам было надо. Мы могли дать водителям такую команду: „Возьмите деньги из этой кассы и доставьте по этому адресу“ и ждать по указанному адресу, когда они доставят нам деньги».
Или: «Возьмите заключенного А, доставьте в определенное место и передайте тем, кто его там будет ждать» — и вы извлекаете из тюрьмы своего приятеля или беспутного брата.
Или террориста…
Они получили в свои руки средство для обогащения или создания хаоса. « М ы испытали определенный шок, поскольку они просто не представляли себе размеры ущерба, который мы могли им нанести», — говорит Луис.
То, что компания считала безопасностью, оказалось только призраком безопасности.
АНАЛИЗ
Луис и Брок не разбогатели благодаря той мощи, которую получили в свои руки и не стали рассылать приказы по освобождению или пересылке заключенных. Вместо этого они предоставили компании полный отчет о том, что им удалось обнаружить.
Услышав обо всем этом, компания отреагировала достаточно вяло. Они не стали проводить анализ рисков шаг за шагом: «Если хакеры проникли в первый компьютер, что они могли сделать дальше?» и так далее. Они опять посчитали себя в безопасности, закрыв несколько лазеек, на которые указал им Луис. Они считали, что кроме тех, которые нашли Луис и Брок, других просто не существует.
Луис считает, что подобная надменность и самоуверенность типичны для крупного бизнеса. Еще бы — какие-то пришельцы дают им рекомендации по поводу их безопасности. Их раздражает, когда им дают рекомендации, что они должны делать, и особенно те, кто дает им эти рекомендации. Они уверены, что все уже знают. Когда появляется брешь, они заделывают ее и считают, что она была единственной.
КОНТРМЕРЫ
Также как и в других историях, рассказанных в этой книге, атакующие не нашли большого количества лазеек в атакуемой компании, но даже тех немногих, что они нашли, было вполне достаточно, чтобы завладеть всем доменом компьютерной системы компании, который имеет огромное значение для бизнеса. О некоторых полезных уроках стоит сказать отдельно.
ВРЕМЕННЫЕ МЕРЫ
Не так давно устройства компании 3Com соединялись с последовательным портом маршрутизатора Cisco.
Под давлением необходимости быстрого реагирования на ситуацию компании требуется предпринимать «временные» меры,
но их ни в коем случае нельзя сделать «постоянными». Надо сразу же установить режим физической и логической проверки всех шлюзов, использовать те средства безопасности, которые постоянно контролируют открытые порты, в узлах или устройствах в соответствии с политикой безопасности компании.ИСПОЛЬЗОВАНИЕ ВЫСОКИХ ПОРТОВ
Компания сконфигурировала маршрутизатор Cisco так, чтобы разрешить удаленные соединения на порту с большими номерами, предполагая, что эти порты достаточно неопределенные области и они не могут привлечь внимания атакующих — это еще один пример «безопасности через неясность».
Мы уже не один раз обсуждали эту тему на страницах книги, когда решения по обеспечению безопасности основываются на таком подходе. Истории в этой книге снова и снова демонстрируют, что если у вас есть хотя бы одна-единственная щель в системе безопасности, кто-то из атакующих рано или поздно отыщет ее. Самая лучшая стратегия при обеспечении безопасности — убедиться в том, что все точки доступа и устройства (прозрачные или нет) проходят фильтрацию, если доступ к ним происходит извне.
ПАРОЛИ
В тысячный раз повторяем: все изначально установленные пароли должны быть изменены перед тем, как допускать устройство или систему к эксплуатации. Даже если технический персонал знает об этой проблеме, и знает, как ее устранять. Не забывайте о том, что в Интернете есть такие сайты, какнапример, где приведены все изначальные имена пользователей и пароли.
БЕЗОПАСНОСТЬ ЛИЧНЫХ НОУТБУКОВ
Ситуация, когда устройство, которое используют удаленные работники компании, соединяется с корпоративной сетью с недостаточным уровнем безопасности или же совсем без нее, очень распространена. У одного из пользователей стояло приложение PC Anywhere, позволяющее устанавливать удаленное соединение даже безо всякого пароля. Хотя компьютер и был соединен с Интернетом через dial-up, причем только на очень короткие периоды времени, каждое из таких соединений открывало окно для возможных проникновений. Атакующие смогли удаленным образом управлять компьютером, соединяясь с ноутбуком, на котором работало приложение PC Anywhere. И поскольку оно было сконфигурировано так, что даже не требовало пароля, атакующие могли проникнуть в компьютер пользователя, просто зная его IP-адрес.
ИТ-политики компании должны устанавливать такие требования к системам клиентов, чтобы у них был определенный уровень безопасности перед тем, как им будет позволено соединиться с корпоративной сетью. Есть специальные программы, которые устанавливаются на компьютеры клиентов и обеспечивают контроль их безопасности и их соответствие политике компании: в ином случае компьютеру клиента не разрешается доступ к корпоративным компьютерным ресурсам. «Плохие парни» обычно анализируют свою мишень, изучая ситуацию в целом. Они проверяют, соединен ли какой-нибудь пользователь удаленно, и если да, то где источник этого соединения. Атакующий знает, что если ему удастся проникнуть в один из таких «надежных» компьютеров, используемых для доступа в корпоративную сеть, очень вероятно, что ему удастся и дальше получать доступ к корпоративным информационным ресурсам.
Даже когда в компании о безопасности думают вполне серьезно, очень часто проблема защиты ноутбуков и домашних компьютеров, используемых сотрудниками для доступа к корпоративной сети, недооценивается, они остаются открытыми для атаки, и атакующие могут использовать этот недосмотр, как и произошло в этой истории. Ноутбуки и домашние компьютеры, которые соединяются с внутренней сетью, должны быть полностью безопасны — иначе компьютер сотрудника может стать слабым звеном, которое как раз и используют «плохие парни».