WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     || 2 | 3 | 4 | 5 |
-- [ Страница 1 ] --

• Файл взят с сайта • • • где есть ещё множество интересных и редких книг.

• • Данный файл представлен исключительно в • ознакомительных целях.

• • Уважаемый читатель!

• Если вы скопируете данный файл, • Вы должны незамедлительно удалить его • сразу после ознакомления с содержанием.

• Копируя и сохраняя его Вы принимаете на себя всю • ответственность, согласно действующему • международному законодательству.

• Все авторские права на данный файл • сохраняются за правообладателем.

• Любое коммерческое и иное использование • кроме предварительного ознакомления запрещено.

• • Публикация данного документа не преследует за • собой никакой коммерческой выгоды. Но такие документы • способствуют быстрейшему профессиональному и • духовному росту читателей и являются рекламой • бумажных изданий таких документов.

• • Все авторские права сохраняются за правообладателем.

• Если Вы являетесь автором данного документа и хотите • дополнить его или изменить, уточнить реквизиты автора • или опубликовать другие документы, пожалуйста, • свяжитесь с нами по e-mail - мы будем рады услышать ваши • пожелания.

IT Security:

Risking the Corporation Linda McCarthy Линда Маккарти IT-безопасность (Стоит ли рисковать корпорацией Перевод с английского КУДИЦ-ОБРАЗ Москва • '•' • Посвяшение Доктору Полу Глинну за то, что он раскрыл передо мной мир и научил считать единственными границами в жизни только пределы нашего мышления.

Линда ББК 32. 973-018. Маккарти Л.

IT-безопасность: стоит ли рисковать корпорацией?

Пер. с англ. - М.: КУДИЦ-ОБРАЗ, 2004. - 208 с.

Информационные технологии все глубже проникают в нашу жизнь, Не говоря о фирмах, непо­ средственно занятых разработками или внедрением ИТ, без них уже не могут обойтись банки, крупные торговые фирмы, госпитали, музеи... И этот список легко продолжить. И все чаще объек­ том грабителей, террористов или просто вандалов становятся информационные системы и сети и хранимая в них информация. Как убедиться, что ваша информация надежно защищена? Что зло­ умышленник или просто резвящийся тинэйджер, украв или уничтожив данные в вашей сети, не разрушит и вашу личную судьбу, и судьбу всей компании? Этим вопросам и посвящена книга, которую вы держите в руках. Увы, технические проблемы безопасности не всегда очевидны для тех, кто принимает решения о выделении средств и проведении необходимых мероприятий. Но в книге вы и не найдете технических деталей, необходимых системным администраторам и спе­ циалистам по безопасности. Автор разбирает конкретные достаточно типичные ситуации, с кото­ рыми она сталкивалась как аудитор безопасности, и приводит простые советы, как убедиться в том, что в вашей компании такое невозможно.

Книга даст массу полезных советов для руководителей верхнего уровня и специалистов, отве­ чающих за информационную безопасность компаний.

ISBN 0-13-101112-Х ISBN 5-9579-0013- Линда Маккарти IT-безопасность: стоит ли рисковать корпорацией?

Учебно-справочное издание Корректор М. П. Матекин Перевод с англ. А. С. Казаков Научные редакторы А. В. Закис, А. Г. Серго (гл, 11) ООО "ИД КУДИЦ-ОБРАЗ" 119049, Москва, Ленинский пр-т., д. 4, стр. 1А. Тел.;

333-82-!!, ok@kudits. ru Подписано в печать 10. 12. 2003.

Формат 70x100/16. Бум. офсетная. Печать офсетная.

Усл. печ. л. 16, 8. Тираж 3000. Заказ 777.

Отпечатано с готовых диапозитивов в ООО «Типография ИПО профсоюзов Профиздат».

109044. Москва, Крутицкий вал, 18.

ISBN 0-13-101112-Х ISBN 5-9579-0013-3 © ООО "ИД КУДИЦ-ОБРАЗ", Авторизованный перевод с англоязычного издания, озаглавленного IT Security: Risking the Corporation.

Iя Edition by MCCARTHY, LINDA, опубликованного Pearson Education, inc. под издательской маркой Prentice Hall PTR / Sun Microsystem Press, Copyright © 2003 by Pearson Education, Inc.

Ail rights reserved. No part of this book may be reproduced or transmitted in any forms or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from Pearson Education inc, Все права защищены Никакая часть этой книги не может воспроизводиться или распространяться в лю­ бой форме или любыми средствами, электронными или механическими, включая фотографирование, магнитную запись или информационно-поисковые системы хранения информации без разрешения от Pearson Education, inc.

Русское издание опубликовано издательством «КУДИЦ-ОБРАЗ», С Оглавление Благодарности Введение......... Глава 1 Отражение атак....... Кошмар реагирования на инцидент День 1-й: Неавторизованный доступ День 2-й: Проблема решена День 3-й: Защита взломана снова Дни с 4-й по 7-й: Эскалация инцидента День 8-й: Слишком поздно собирать улики День 9-й: Кто был этим плохим парнем?..... Резюме: Атаки изнутри..... Мы пойдем другой дорогой Сосредоточиться на упреждающих мерах Готовиться к худшему... Реагировать быстро и решительно... Завершающие действия..... Контрольный список Заключительные слова. Глава 2 Безопасность в стандартной поставке............... Безопасностью займемся позднее День 1-й: Ложное чувство безопасности Два года спустя: Замечена атака +Две недели: Хакер возвращается. +Три недели: Усиление защиты....... Продолжение саги: Сеть остается под угрозой Резюме: Будете ли вы подключаться через такого провайдера? Мы пойдем другой дорогой Знать. каким рискам вы подвергаетесь Избегать стандартных установок систем Протестировать вашу сеть Изучить людей. которые знают вашу информацию Предусмотреть или потребовать необходимое финансирование безопасности Не экспортировать глобальные разрешения чтения/записи Стереть старые учетные записи Оглавление Тестировать пароли Сделать исправления программ (патчи), повышающие безопасность Выполнять политики и процедуры Использовать экспертов Обучать использованию Контрольный список Заключительные слова Глава 3 Поддержка со стороны руководства Участие руководителей День 1-й: Незащищенные системы Год спустя: Неавторизованный доступ продолжается Резюме: Займите активную позицию Мы пойдем другой дорогой Правильно относиться к безопасности на любом уровне сотрудников Не перекладывать работу на другие плечи Уменьшать количество уровней руководства до минимума Предоставлять отчеты вышестоящему руководству Сделать безопасность общей целью Учить или учиться самому сколько нужно Обеспечить понимание вопросов безопасности всеми руководителями Поддерживать прямую связь с руководством Контрольный список Заключительные слова Глава 4 Сетевой доступ Соединение с партнерами День 1-й: Архитектура безопасности Несколько недель спустя: Политика установки средств безопасности. На следующий день: Кто отвечает за безопасность Еще через 29 дней: Хакер захватывает контроль 6!

+ Один месяц: Незапланированное тестирование безопасности Аудит, день 1-й: Схемы сети говорят о многом Аудит, день 2-й: Ничем не подкрепленные политики Последний день аудита: Кто несет ответственность за безопасность... Резюме: Не подпускать к себе конкурентов Мы пойдем другой дорогой Использовать типовые архитектурные схемы Отслеживать внешние подключения Отвечать за свою территорию Требовать утверждения внешних подключении Оглавление Следить за выполнением политик и процедур Выключать ненужные службы Подчеркивать важность обучения Проследить весь процесс настройки Не подключать незащищенные системы к Интернету Контрольный список Заключительные слова Глава 5 Обучение безопасности Пробелы в обучении Первый контакт: Тестирование безопасности День 1-й: Сбор фактов День 2-й: Тестирование систем День 3-й: Обучение безопасности оставлено за рамками бюджета. Резюме: Обеспечьте финансирование обучения Мы пойдем другой дорогой Просвещать высшее руководство Отстаивать бюджет обучения безопасности Включать вопросы безопасности в обязанности руководства Делать обязательным обучение системных администраторов Посещать семинары по безопасности Организовывать деловые ланчи Распространять информацию по безопасности Присоединиться к спискам рассылки по вопросам безопасности.... Выпускать «белые статьи» Писать в периодические издания Превращать инструменты в продукты Контрольный список Заключительные слова. Глава 6 Безопасность вне плана План перехода День 1-й: Тестирование безопасности Выяснение риска Первая фаза: Физическая безопасность Вторая фаза: Прохождение через систему физического контроля... Третья фаза: Неавторизованный доступ День 2-й: Риск для персональной информации Резюме: Тщательнее планируйте выполнение подрядных работ Мы пойдем другой дорогой Оценить риски Классифицировать системы 8 Оглавление Запретить стандартные установки систем........... Не быть слишком доверчивым................ Извлекать уроки из прошлого.................. Выбирать цели при сокращении бюджета Проводить тестирование безопасности. Сделать руководителей подотчетными Не расплачиваться за других Включать обучение в бюджет. Подсчитывать очки Контрольный список. Заключительные слова Глава 7 Поддержка безопасности..... Кто отвечает за безопасность День 1-й: Как выгоняли плохих парней День 2-й: Администратор брандмауэра Временная безопасность Руководители и безопасность.. Серьезное отношение к поддержке безопасности..... Мой последний день: Отношение к работе может говорить о многом.. Резюме: Нe спрашивайте у сотрудников компании. отвечающих за безопасность. что они могут для вас сделать. Мы пойдем другой дорогой Определить роли и обязанности Разработать политики и процедуры для брандмауэра.. «Кормить» свой брандмауэр Читать своп контрольные журналы.. Использовать программы обнаружения взлома.. Реагировать быстро! Требовать подтверждении безопасности Проводить аудиты. Углублять знания Контрольный список Заключительные слова. Глава 8 Безопасность внутренней сети.......................................................... Незащищенная сеть.................................................................................... Начало событий;

В обход корпоративной сети День 1-й: Сбор доказательств День 2-й: Системные администраторы против группы обеспечения безопасности....... В чьих руках безопасность Оглавление Перекладывание ответственности.... Резюме: Безопасность - жертва войны. Мы пойдем другой дорогой Возложить на кого-либо из сотрудников ответственность за политики и процедуры. Разграничить обязанности по поддержке безопасности между группами. Не надеяться на чудо..... Пересматривать процессы Иногда - просто сдаться Выполнять свои обязанности Контрольный список Заключительные слова Глава 9 Безопасность аутсорсинга........ Забыли о безопасности?... День 1-й: Осмотр средств обеспечения безопасности... День 2-й: Сетевые соединения Поразительные ошибки в защите Техническая поддержка при отсутствии обучения и опыта Дни 3-й и 4-й: Понимает ли проблему руководство? Резюме: Аутсорсинговые системы должны быть защищены Мы пойдем другой дорогой Проводить оценку безопасности Проводить ее правильно.. Проводить ее регулярно.. Решать обнаруженные вами проблемы Не использовать подход «плыви или тони» ! Контрольный список. Заключительные слова. Глава 10 Незащищенная электронная почта. Есть ли у электронной почты конверт?..... Доступ к персональной информации получен Резюме: Вы имеете право отказаться от вашего права на тайну переписки.... Мы пойдем другой дорогой Использовать шифрование! Убедить компанию в необходимое!!! шифрования.... Предусмотреть в бюджете средства па шифрование Отслеживать возникновение других угроз электронной почте Заключительные слова............ 10 Оглавление Глава 11 Оглядываясь назад: что будет дальше? Риск для всей корпорации Юридические обязанности по защите информации и сетей Деловые инициативы и корпоративные цели Угрозы требуют действий Глава 12 Прогулка хакера по сети Краткая характеристика хакеров Реальные хакеры О применяемых инструментах Прогулка с хакером Что делал хакер Заключение Приложение А Люди и продукты, о которых следует знать Сокращения Глоссарий Предметный указатель Предисловие Поймите сразу - эта книга не похожа на большинство других купленных вами книг по во­ просам безопасности. В ней вы не найдете мрачных подробностей о слабых местах в серверах и списки IP-портов, используемых для проникновения в них. Нет в ней также и листингов исходных кодов вирусных программ с комментариями. Автор не включил в книгу каталог скриптов для взлома и лист подписки на веб-сайты, откуда вы могли бы их «скачать». Здесь нет трагических (и повторяющихся) рассказов от первого лица о том, как легко одурачить людей, раскрывая их пароли. Так что если вы надеетесь, что все это есть в книге, то лучше отложить ее в сторону.

Но... я предупреждаю вас, что вы отказываетесь от книги, в которой обсуждаются реальные проблемы реальной безопасности и даются основательные и запоминающиеся уроки - неко­ торые из них я настоятельно рекомендую усвоить любому, кто работает с компьютерами.

Только подумайте - примерно в течение года после отправки этой книги в печать объем электронной коммерции в Интернете перевалил отметку в один триллион долларов в год.

Коммерческого использования сетей практически не было до 1993 года, поэтому такие темпы роста являются невероятными. Но даже глядя на эти цифры, мы все равно не смо­ жем себе представить, что это только начало, - ведь «подключена» сейчас только час­ тичка населения планеты, и только частичка делового мира начала принимать участие в онлайновой коммерции по схеме «бизнес-бизнес»1.

Многие слышали о законе (Гордона) Мура, впервые сформулированном в 1965 году и пред­ сказывавшем, что производительность процессоров будет удваиваться каждые 18 месяцев.

Действительность подтвердила это предположение, и ожидается, что оно будет продолжать действовать, по меньшей мере, еще одно десятилетие. Подобный рост наблюдался и в исполь­ зовании вторичной памяти, вследствие чего емкость онлайновых систем за последние не­ сколько лет удваивалась приблизительно каждые 14 месяцев. Также был виден впечатляющий рост пропускной способности линий связи, вызванный непрерывным распространением опто­ волоконных и беспроводных технологий. Стоимость всех этих товаров широкого потребления (а они действительно таковыми стали) упала после того, как увеличился их общий объем.

Являясь как причиной, так и следствием роста инфраструктуры информационных техно­ логий, критически важная информация размещается в сетях во все возрастающих объе­ мах. Банки, брокерские фирмы, аудиторские и финансовые компании всех видов приме­ няют для ведения своего бизнеса компьютеры и сети. Федеральное правительство и адми­ нистрация штатов не могут работать без компьютеров. Критически важные инфраструк­ туры, включая энергетику и транспорт, зависят от датчиков и исполнительных механиз­ мов, подключенных по сетевой схеме. Правоохранительные органы и вооруженные силы опираются на информационные технологии при хранении своей информации и техниче­ ской поддержке выполнения своих задач. Документация учреждений здравоохранения, медицинская справочная система, системы врачебной диагностики все больше обрастают компьютерами. В онлайновую среду помещается также интеллектуальная собственность, 1. В2В, или B-to-B, - схема электронной коммерции, при которой предприятия и организации предоставляют товары и оказывают услуги друг другу. - Примеч. пер.

2. Вторичной памятью называется долговременная память, расположенная вне материнской платы компьютера.

Например, жесткий магнитный диск или компакт-диск. - Прим. науч. ред.

Предисловие которая приводит в движение огромные пласты нашей коммерции. Проекты чипов, новые программы, лекарственные формулы, сведения о разработке нефтяных месторождений, музыкальные и литературные произведения, кинофильмы и прочее - все это может быть украдено, изменено и уничтожено. Бесспорно, каждый коммерческий сектор имеет свой жизненно важный компонент в киберпространстве (или вскоре будет иметь).

Теперь вспомним изречение, приписываемое знаменитому грабителю банков Вилли Сат тону. Когда его спросили, зачем он грабит банки, он искренне ответил: «Потому что в них есть деньги». Как вы думаете, на что будут нацеливаться знаменитые преступники буду­ щего? Террористы? Радикальные активисты, вандалы и анархисты? Смело посмотрим в лицо действительности - самым привлекательным объектом всех видов атак станут ин­ формационные технологии. И это будущее уже наступило. Годовые потери от вирусов, взломов и онлайновых фальсификаций уже оцениваются во многие десятки миллионов долларов.

Широкое распространение такие потери получили вследствие хронической нехватки нуж­ ной информации, средств защиты и подготовленного персонала, которая усиливается пло­ хим знанием законов рынка массовой продукции. Типичные онлайновые системы соз­ даются на базе программного обеспечения, не предполагающего наличия средств защиты и ориентированного на совместимость со старым, еще менее безопасным программным обеспечением. Такие программы писались людьми, не имеющими представлений о защи­ те, их тестирование сводилось к минимуму, и это программное обеспечение выпускалось к установленным срокам начала его продажи, невзирая на остающиеся в нем ошибки. Эти же самые системы затем покупались людьми, не имеющими знаний в области безопасно­ сти, устанавливались как расширение незащищенной программной базы и использова­ лись в режиме обхода средств защиты, так как они мешали онлайновой деятельности.

Слишком часто руководители полагались на услуги и программы, написанные доморо­ щенными специалистами, чей опыт основывался на «скачивании» и запуске подготовлен­ ных другими инструментов взлома. Поэтому неудивительно, что происходит так много компьютерных инцидентов. Удивительно другое - почему их так мало!

Еще не так давно, в 1980-х годах, информационная безопасность была диковинной и за­ крытой областью вычислительной техники, сравниваемой с такими новинками, как ком­ пьютерная графика, сетевые технологии и искусственный интеллект. Я помню, что в то время было лишь несколько книг по информационной безопасности (не считая книг по криптографии), доступных широкому кругу компьютерных пользователей. Идея безо­ пасности тогда еще не окрепла, так как широкий пользователь пока не сталкивался с каки­ ми-либо реальными угрозами в сфере информационных технологи!!. Интернет и ком­ пьютерное обслуживание торговли в корне изменили динамику этого процесса! И вот уже выпущены сотни книг по вопросам безопасности. Но из всего этого обилия лишь неко­ торые книги заслуживают внимания, остальные же содержат переработку более глубоких исследований, простое перечисление уязвимых мест (которое становится непригодным через пару месяцев) и информацию о том, как наложить дополнительные «заплаты» на прохудившуюся инфраструктуру.

На этом фоне выделяются немногие эксперты, действительно понимающие «общую картину» информационной безопасности. Линда Маккарти является одним из таких экс­ пертов, и внимательное чтение данной книги покажет вам, почему ее первое издание на­ ходится на полках большинства преподавателей и практиков. Вместо того чтобы давать готовые решения для временных «заплат», Линда использует свой опыт аудитора безопас­ ности, консультанта, менеджера, разработчика, преподавателя и руководителя для опреде­ ления и демонстрации скрытых структур и взаимоотношений, которые являются движу­ щими силами планирования и осуществления мер безопасности. Она знает, что ком Предисловие пьютерная безопасность зависит главным образом не от самих компьютеров, а от людей, которые покупают, устанавливают и эксплуатируют эти компьютеры. Необходимо знать экономическую, психологическую, правовую и деловую стороны практики применения компьютеров, которые определяют реальную обстановку безопасности, Дополняя заголо­ вок, придуманный Линдой для этой книги, можно сказать о том, что он подчеркивает глав­ ное в обеспечении безопасности;

роль высших руководителей корпораций, С такого высо­ кого уровня обеспечение информационной безопасности видится как нечто большее, чем борьба «системного администратора с хакером» - оно становится функцией по поддержа­ нию живучести всего предприятия. Как показывает текст книги, выполнение обязанно­ стей по обеспечению безопасности и выполнению политик должно начинаться с самого верха и заключаться в предупреждении проблем, а не в реагировании на них. Руководство должно проявлять постоянную заботу о безопасности, опираться на имеющиеся ресурсы, и ему вовсе не обязательно знать, как работает сканер уязвимых мест в защите.

По мере того как мы продвигаемся по веку информации, в котором защита информации становится все более важной, мы должны понять, почему в этих обоих терминах приме­ няется слово «информация», а не «компьютер». Это связано с тем, что мы расширяем на­ ши знания о защите наших информационных ресурсов независимо от их местонахожде­ ния. Главное место в нашем мышлении должны занимать не конкретный компьютер или версия операционной системы, а структуры, образующие основу для их функционирова­ ния, -социальная, экономическая и правовая. Нам всем нужно понять, что информацион­ ная безопасность не представляла бы проблемы, если бы она не была ради людей, а тех­ нологии сами по себе не смогли бы решить вопросов, которые люди ставят перед безопас­ ностью. Технологии, несомненно, важны, но они не единственный и даже не самый глав­ ный компонент. Линда познавала эти главные истины годами и использовала их в своей карьере. Почти каждый сможет извлечь для себя что-нибудь ценное из ее опыта, прекрас­ но обобщенного и иллюстрированного в последующих главах.

Первое издание этой книги не являлось единственным источником для моих рассуждении о глубинах информационной безопасности. И все же его я часто рекомендовал студентам и коллегам, желающим углубить свои знания о безопасности, и они находили эту книгу поучительной. Это еще одно ее отличие от толстых книг, в которых перечисляются веб­ сайты с хакерскими инструментами и дается сомнительный совет: «Эта книга в корне из­ менит ваше представление о безопасности». Если вы ищете одну из таких книг по безо­ пасности, то мой совет будет заключаться в том, чтобы вы не откладывали эту книгу в сторону... по крайней мере, пока ее не прочитаете.

Юджин X. Спаффорд.

Декабрь 2002 года Благодарности Я выражаю особую признательность моему редактору Денизе Уэлдон-Сиви. Мне никогда бы не удалось закончить книгу без нее. Ее идеи, вдохновение и энтузиазм придали особую окраску этой книге. Рэндалл Миллен воодушевил меня на написание первой страницы и оказывал мне постоянную поддержку.

Я также глубоко благодарна моему издателю и его персоналу, включая Рэйчел Борден из Sun Microsystems Press, Джона Бортнера из SunSoft marketing и редактора Грега Дунча из Prentice Hall. Я благодарю их за поддержку и работу по координации деталей, остав­ шихся за сценой.

Дэн Дж. Лэнджин написал раздел «Юридические обязанности по защите информации и сетей» для 11-й главы.

Конечно, я должна также поблагодарить моего прежнего работодателя Sun Microsystems.

Особую благодарность я испытываю к техническому директору Sun Эрику Шмидту, за создание обстановки, в которой поощрялись творчество и тяга к знаниям. Среди его со­ трудников я особо хочу поблагодарить Хамфри Поланена.

Многие из экспертов по компьютерной безопасности отдавали мне свое время и делились ценной информацией, чтобы научить меня хитростям своей профессии. Мне бы хотелось сказать спасибо Мэтью Арчибальду, Касперу Дику, Дэну Фармеру, Алеку Маффетту, Брэду Пауэллу и Маркусу Рануму.

Специалисты из других областей также нашли для меня время в своей занятой жизни, что­ бы сделать общие замечания, предложения и оказать поддержку. Этими щедрыми людьми, в алфавитном порядке, являются: Диана Браунинг, доктор Том Хафкеншил, Сьюзен Ларсен, Джон Маккарти, Тим Мерфи, Мишель Парри, Ричард Пауэр, Боб Шотвелл, Стив Смаха, Джин Спаффорд, Кейт Уотсон и Дебора Ярборо.

Наконец, я хочу выразить признательность всем моим друзьям и семье за неиссякаемые вдохновение и поддержку.

Спасибо!

Об авторе Линда Энн Маккарти является признанным авторитетом в области технологий безопасности, а также писателем и «глашатаем» данной отрасли. Кроме того, Маккарти - руководитель службы консультантов по вопросам безопасности отдела технического директора в Symantec Corporation. Совсем недавно Маккарти занимала пост вице-президента по системным разра­ боткам в Recourse Technologies, компании по разработке программ для обнаружения, поимки и отслеживания хакеров.

До этого Маккарти была старшим вице-президентом в NETSEC, компании, предостав­ ляющей услуги по управляемому обнаружению вторжения и реагированию на него. Еще раньше она работала менеджером по исследованиям и разработкам в области безопасно­ сти в Sun Microsystems и была основателем Network Defense Fund.

По просьбе руководителей компаний Маккарти взламывала системы в их корпоративных сетях и показывала, как легко можно получить доступ к секретам компании, обрушить промышленные системы и даже вызвать катастрофу в их глобальных операциях. Вместо этого она направляла свои знания на обучение менеджеров тому, как избегать подобных бедствий.

Линда вела несколько учебных курсов в Sun Microsystems по архитектуре аппаратных средств, системному администрированию и безопасности UNIX.

Введение Век массового подключения очень агрессивен. Поток свободно перемещающейся во всех направлениях информации и электронная коммерция, вышибающая все новые двери, больше не позволяют нам обходиться в сетевой защите одним только хорошим бранд­ мауэром при подключении к Интернету, Я затратила много времени, проводя аудиты безопасности распределенных сетей. Во мно­ гих случаях я обнаруживала, что информация могла быть легко изменена, украдена или уничтожена и при этом не оставалось бы следов произошедшего инцидента. Системные администраторы и другие «полномочные представители» знали, что настройка защиты их систем не была проведена. Но они не знали, каким высоким оставался при этом уровень риска. Также не знали об этих рисках и руководители компаний.

Эта книга научит вас, как избежать их ошибок. Если вы являетесь руководителем высшего уровня, менеджером, системным администратором или любым другим сотрудником, от­ вечающим за безопасность сети, то вы должны занять активную позицию в этом вопросе.

Не делайте тех же ошибок, что и эти люди. Это может вам стоить вашей компании.

Об этой книге То, что вы собираетесь прочитать, не является плодом моего воображения. Здесь собраны описания реальных аудитов. Каждая глава посвящена отдельному аудиту, который я проводи­ ла в реальной, живой, функционирующей компании. Если бы я использовала действительные названия компаний, то вы, вероятно, узнали бы среди них своих партнеров по бизнесу.

Конечно, я не использовала действительных названий компаний, имен сотрудников или дру­ гих участников событий по очевидным юридическим и этическим причинам. Но я привела здесь реальные факты, касающиеся риска и моего подхода к аудиту в каждом конкретном случае.

Читайте внимательно, особенно если вы являетесь руководителем верхнего уровня, линей­ ным менеджером, системным администратором, юристом или профессиональным предста­ вителем правоохранительных органов. Описываемые риски являются рисками, которые вы должны себе представлять.

В любом случае реальные риски кроются не только внутри операционных систем. Серьез­ ные риски скрываются в способах установки систем, проведения настройки, технической поддержки и управления. Именно эти факторы главным образом определяют риск для ва­ шей компании.

Указывая на эти риски, я надеюсь, что люди, отвечающие за информацию в сетях, начнут занимать активную и вдумчивую позицию в обеспечении безопасности.

Введение Как устроена эта книга Хотя все описываемые аудиты являются реальными, я начинаю каждую главу с выдуманной истории, рассказанной от первого лица. Работая в различных компаниях, я начала понимать, что большинство людей станут воспринимать безопасность серьезно только тогда, когда что либо произойдет с их системами, их информацией и их компанией, - это одна из причин, по которой детское «Я» остается в людях на всю жизнь. Я ввожу читателя в каждую из этих историй для передачи ощущения того, что это может случиться с вашей информацией и с ва­ шей компанией.

В следующем разделе каждой главы описываются действительные риски для безопасно­ сти, которые я обнаружила при проведении аудита. В этом разделе также объясняется про­ исхождение этих рисков. Это ведь не происходит так, что не успели вы проснуться утром, как узнали, что защита вашей сети в самовольной отлучке. Бреши в защите обычно обра­ зуются по недосмотру или из-за плохого планирования в течение длительного времени.

В этом разделе объясняется, каким образом можно дойти до такого состояния.

В последнем разделе каждой главы «Мы пойдем другой дорогой... » вам будет, главным образом, рассказано о том, как избежать подобных проблем. Я надеюсь, что вы прочитаете эти разделы внимательно и близко к сердцу воспримете мои рекомендации.

О хакерах На протяжении всей книги я использую термин «хакер», чтобы обозначить того, кто по­ лучает неавторизованный доступ к системам и информации. Некоторые специалисты ис­ пользуют для этого термин «кракер» (cracker), замечая при этом, что некоторым програм­ мистам нравится называть себя «хакерами», в то время как они являются в действительно­ сти составителями программ высшей квалификации и не склонны к преступной деятель­ ности. Я все же решила использовать термин «хакер», так как он более распространен за пределами круга экспертов по безопасности, и любому выбравшему эту книгу он будет понятен, Я присвоила «хакеру» мужской пол, и, хотя им может быть и женщина, я не хотела надое­ дать, часто употребляя оборот «он или она».

Наконец, эта книга о хакерах, но не для них. Если вы являетесь начинающим хакером (wanna-be), то вам не удастся в этой книге научиться взлому систем. Вам лучше поставить книгу обратно на полку.

Глава Отражение атак Обнаружение, изоляция и устранение инцидентов во многом напоминают обез вреживание взрывных устройств — чем быстрее и лучше вы это проделаете, тем меньший урон нанесет инцидент, связанный с безопасностью системы.

Джин Шульц, главный инженер Наступил субботний вечер. Сеть вашей компании была прекрасно спроектирована, отлично работала и еще лучше обслуживалась. Группа по обеспечению безопасности бьла хорошо обучена, а политики и процедуры поддержания безопасности отражены в инструкциях.

Но, стремясь поскорее написать эти инструкции (с тем чтобы получить большую премию), вы забыли внести в них процедуру реагирования на инциденты'. И пока вы поздравляли себя с отлично проделанной работой, хакер проник в самое чувствительное место системы.

Что делать теперь? Судьба хранящейся в системе информации зависит от того, как быстро вы сможете ответить на этот вопрос (если только на него есть ответ). Сотрудники компа­ нии ждут указаний, что им делать, как и когда. Им также нужно знать, к кому обращаться при обнаружении взлома. Иначе ситуация может быстро выйти из-под контроля. Эскала­ ция ответных усилий особенно важна, если масштабы вторжения выходят за рамки зна­ ний, которые есть у группы обеспечения.

После обнаружения вторжения каждый ваш шаг будет означать движение либо к сохране­ нию, либо к утрате секретов вашей компании. Представьте себе, что случится, если вся важная информация в вашей компьютерной системе будет похищена или уничтожена. Это невозможно? Так утверждают все, пока их система не подверглась взлому!

Всегда помните о важности хранящейся в вашей системе информации! Будьте готовы ее защитить! Убедитесь в том, что каждый (сверху донизу) сотрудник вашей компании знает, что делать при взломе для защиты информации от похищения, модификации или уничто­ жения. Рассмотрим пример...

Кошмар реагирования на инцидент Дэйв Армстронг являлся системным администратором корпоративной сети банка First Fidelity Bank в округе Анаканст. В понедельник, поздно вечером, Дэйв обнаружил, что какой-то хакер полностью контролирует все 200 с лишним систем банка и «бродит» по ним, собирая пароли и тщательно просматривая данные.

К несчастью, Дэйв ничего не предпринял и просто стал наблюдать за хакером с целью вы­ яснить, кто же среди ночи влез в систему. Хотя в First Fidelity имелись инструкции с поли 1. Инцидент- в данной книге: ситуация в системе, связанная с несанкционированным вторжением (атакой, изломом). - Примеч. пер.

2. Системами в данном случае называются серверы и рабочие станции в сети банка. - Примеч. науч. ред.

тиками и процедурами безопасности для многих ситуаций, по каких-либо формальных указаний на случай подобного инцидента в них не было. Поэтому, не имея конкретных предписаний, Дэйв потратил целых три дня, безуспешно пытаясь установить личность ха кера, и только потом призвал па помощь группу обеспечения безопасности банка.

Теперь представим себе на мгновение, что хакер бесконтрольно «бродит» по сети вашего банка в течение трех дней, собирает имена и номера счетов и, возможно, изменяет ин­ формацию, переводя денежные средства или уничтожая записи. Уже думаете о том, как нам сменить банк? Я -тоже!

Как возникают подобные ситуации? В данном случае Дэйв установил конфигурацию про граммного сервера таким образом, чтобы ему доверяли все остальные системы. Доверие здесь означает то, что все системы сети предоставили программному серверу удаленный привилегированный доступ (remote root access) без требования пароля при входе (конфи гурация по типу «доверяемая сеть» - web-of-trust). Несколько сотен систем доверяли про* граммному серверу.

Хотя такая конфигурация облегчает установку в системах нового программного обеспече­ нии, имеете с тем она подвержена риску, особенно в случае, когда о риске и уязвимости, связанныхх с поддержкой доверительных отношений, не думают в первую очередь. Если Конфигурация системы должна включать доверяемый сервер (и других вариантов нет), по такой доверяемый сервер обязательно должен быть защищенным. Иначе любой хакер, проникший в такой доверяемый сервер, получает прямой привилегированный дос туп (ведь пароль не требуется) к каждой системе, имеющей доверительные отношения с сервером.

Это как раз и произошло в корпоративной сети банка First Fidelity. Сотни систем этой сети померили программному серверу. В результате сервер стал привлекательным для хакера, искавшим вход в сеть компьютеров банка. Дэйву не приходило в голову, что его система Подвержена риску и не способна противостоять атаке. Ни он, ни его управляющий не зна ли случая, когда единственная незащищенная система может открыть дверь к остальной сети.

Доверяемая сеть банка First Fidelity проникала далеко в глубины его интранета (более 200 систем). При наличии сотен систем, доверяющих программному серверу, сервер сле­ нге т защищать надлежащими мерами безопасности. Но сервер сети банка тем не менее не обладал достаточной степенью защиты. Он был широко открыт и ждал, когда в него зай дет хакер.

Так и случилось. Когда хакер получил полный доступ к доверяемому серверу, то ему был предоставлен удаленный привилегированный доступ ко всем системам сети. Нельзя ска­ ­­­ь, что это удалось ему с большим трудом.

Давайте рассмотрим подробнее этот случай вторжения и то, что последовало за ним в по следующие дни.

День 1-й: Неавторизованный доступ Дэйв обнаружил хакера в системе в 11. 45 ночи в понедельник, во время плановой про­ верки сети. Он заметил, что выполняются необычные процессы и загруженность цен фальпого процессора значительно выше нормальной загруженности для этого позднего времени. Эта необычная активность разожгла любопытство в Дэйве, и он продолжил ис следование. Просмотрев регистрацию, он обнаружил, что в системе зарегистрировался Майк Нельсон, сотрудник группы обеспечения безопасности банка. Майк являлся закон­ ным пользователем, но он должен был входить в систему, вначале предупредив об этом кого-нибудь из группы Дэйва. Может быть это хакер маскирующийся под Майка? Или это 20 Кошмар реагирования на инцидент сам Майк работает над проблемами безопасности? Но если это Майк, то он либо забыл сделать предварительное уведомление, либо умышленно его не сделал. Дэйв запутался.

Хуже того, он не знал, кого позвать и что ему самому делать.

Затем произошло то, что случается с большинством людей, которые впервые обнаружили вторжение хакера в их систему, Дэйв ощутил прилив адреналина, вызванный чувством возбуждения, смешанного со страхом и отсутствием определенности необходимых в та­ ком случае действий. Он был в одиночестве посреди ночи. Если бы он не работал в столь позднее время, то, может быть, никто бы и не узнал об этой атаке. И он решил, что раз он отвечает за систему, то должен сделать что-то для восстановления контроля над ней.

Он удалил пользователя из системы, а затем отключил учетную запись, заблокировав пароль пользователя. Дэйв восстановил контроль над системой и, думая, что выполнил свою миссию, отправился домой.

К несчастью, Дэйв не предполагал, что подобные его действия являются лишь кратко­ срочным решением проблемы. Удаление неавторизованного пользователя из системы час­ то означает только то, что тот будет в таком качестве только один день и сможет вернуть­ ся. После первого вторжения в систему хакер часто оставляет «черный ход» (back doors), через который он легко может проникнуть в следующий раз. Действия Дэйва создали лож­ ное чувство безопасности. Он считал, что проблема решена простым удалением хакера из системы. Но это оказалось не так, и проблема защиты от хакера даже им не была затрону­ та. Дэйв выгнал грабителя из дома, но оставил дверь незапертой.

День 2-й: Проблема решена Во вторник утром Дэйв сообщил о своем полночном приключении управляющему и двум другим системным администраторам. Они немного поговорили об этом инциденте, но все еще не пришли к единому мнению о том, вторгся ли в систему неизвестный хакер или же это был Майк из группы безопасности. Во всяком случае, они посчитали проблему решен­ ной - подозрительная учетная запись недействительна, и в системе нет больше неавтори­ зованных пользователей. Они закрыли вопрос и вернулись к работе. За текущими делами время прошло быстро.

В конце своей смены Дэйв просто из любопытства вошел в программный сервер. Он об­ наружил в нем только еще одну регистрацию - Эда Бегинза, системного администратора, выполнявшего резервное копирование на серверах ночью. Это ему показалось нормаль­ ным и даже ожидаемым. Система работала прекрасно. Итак, отработав еще 12 часов, Дэйв вышел из системы и пошел домой.

День 3-й: Защита взломана снова Дэйв отсыпался. В конце концов, это только еще утро среды, а он уже проработал 24 часа на этой неделе. Во второй половине дня он вернулся в офис и заметил, что Эд не выходил из сервера с прошлой ночи. Это показалось странным. Эд работал в ночную смену и обычно не оставался на день. Помня о необъяснимой регистрации в понедельник, Дэйв связался с Эдом по пейджеру на предмет работы того в системе. Эд ответил тотчас же, что не выполнял какого-либо копирования прошлой ночью и не работает в системе в настоя­ щее время. Похоже было на то, что хакер теперь маскируется под Эда.

При дальнейшем исследовании Дэйв обнаружил, что ложный «Эд» пришел с системы Майка. Более того, этот пользователь не только проверял, кто еще находится в системе, но и запускал анализатор паролей. Дэйв подумал, что это Майк проверяет систему, и во­ шел в нее, маскируясь под Эда. (Дэйв не допускал ситуации, в которой неизвестный хакер находится в системе и крадет информацию.) Теперь Дэйву это стало действительно надое Отражение атак дать. Он считал, что Майк заставляет его ходить по кругу и тратить время зря. Дэйв был нетерпелив. Он удалил из системы «Эда», заблокировал его пароль и сообщил о новом по­ вороте событий управляющему.

Управляющий вызвал Майка и спросил, регистрировался ли тот в системе, запускал ли анализатор паролей и работал ли ночью в понедельник. Майк настойчиво утверждал, что не является этим таинственным пользователем. Майк также заявил, что на его системе не мог зарегистрироваться какой-либо хакер, так как он уверен, что она не взломана. По мне­ нию Майка, хакер занимается имитацией (spoofing), то есть притворяется, что приходит из системы Майка, хотя в действительности запрос формируется где-то в другом месте.

Ситуация выродилась в простое тыканье пальцем друг в друга. Системный администратор продолжал верить, что Майк «лазит» по сети. Майк продолжал настаивать, что вторжение имеет характер имитации и его ложно обвиняют. Все лишились сна и стали тратить боль­ ше времени на выяснение того, что же в действительности произошло.

Дни с 4-й по 7-й: Эскалация инцидента В четверг начальник Дэйва привлек к решению проблемы руководителя службы безопас­ ности банка и отдел внутреннего аудита. Несколько дней все собранные силы - группа обеспечения безопасности, отдел аудита и системные администраторы - ожидали нового появления хакера.

Но хакер уже не появлялся. Руководитель внутреннего аудита продолжал сомневаться, что главной причиной произошедшего был хакер. Достаточно ли было удаления того из сис­ темы, чтобы он отказался от дальнейших атак? Может быть, это Майк сам занимался взло­ мом ради забавы и затих, когда осознал, что все ополчились против него?

День 8-й: Слишком поздно собирать улики Только спустя неделю после вторжения отдел внутреннего аудита связался с Дэйвом и за­ просил техническую информацию, полученную им во время инцидента, которая бы могла -оказать действия хакера на сервере. Так как банк не имел штатного эксперта по безопас­ ности, то руководитель аудита нанял меня. Я должна была определить по этой техниче­ ской информации, кто же проник в сервер.

День 9-й: Кто был этим плохим парнем?

Приехав, я обсудила этот случай с руководителем аудита и просмотрела информацию.

С момента второго вторжения прошло несколько дней, и хакер больше не возвращался.

К сожалению, я не смогла дать ответ руководителю аудита на интересующий его вопрос, так как было невозможно выследить хакера по собранной информации. Из нее было ясно, что взломщик использовал бесплатно распространяемый хакерский инструмент (esniff), который легко доступен в Интернете, маскировался под нескольких законных пользовате­ лей системы, собирал целую охапку паролей и будто бы приходил из системы Майка.

Но информации было недостаточно, чтобы сказать, находился ли хакер вне системы, был ли это Майк или кто-то еще из сотрудников компании.

Когда Дэйв удалил Майка из системы, то он не оставил возможности отследить источник вторжения. Любой из моих ответов был бы чистой догадкой. Опрос сотрудников не дал результатов. Многие указывали на Майка, но не приводили ни одного доказательства.

Оставив это, я посчитала лучшим посоветовать руководителю аудита поскорее разрабо­ тать и внедрить процедуры реагирования на инцидент.

22 Кошмар реагирования на инцидент Если это был хакер, то, возможно, в системе остался «черный ход». В деловом мире неде­ ля может показаться не таким большим сроком. Но при расследовании места ком­ пьютерного преступления (а взлом систем является преступлением!) - это вечность. Когда так много времени проходит между взломом и расследованием, ценная информация изме­ няется, теряется и иногда невозможно найти какие-либо следы.

Мной был сделан вывод о том, что вторжение стало возможным из-за недостаточной за­ щиты доверяемого программного сервера и что эта уязвимость должна быть устранена.

Более того, не представлялось возможности узнать, каким образом хакер проник в сервер, из-за того, что имелось несколько уязвимых сторон, которые он мог использовать для по­ лучения привилегированного доступа. Не были стерты старые учетные записи с пароля­ ми, разрешения на доступ к файлам были слишком широкими, исправления программ (патчи), повышающие безопасность, не были установлены и т. д. У хакера был широкий выбор подходов.

Я сообщила руководителю аудита обо всех этих фактах, которые очевидны любому. Один незащищенный сервер открывает доступ ко всей сети. Так как система может быть взло­ мана реальным хакером, то Дэйву нужно переустановить сервер, добавить соответст­ вующие средства защиты сервера и подумать о других технических решениях по обновле­ нию программного обеспечения своей корпоративной сети.

Я также обсудила с руководителем отдела аудита важный вопрос подбора в группу обес­ печения сотрудников, которым можно было бы доверять, подчеркнув необходимость тща­ тельной проверки персонала обеспечения безопасности перед их приемом на работу.

Я объяснила, что необходимо наличие правильных инструкций для группы обеспечения безопасности. То, что они являются самыми квалифицированными специалистами, вовсе не означает, что им позволено «бродить» по любой из систем без должного уведомления.

Так как в нашем случае подозревается их сотрудник, то было бы полезным выработать процедуру передачи расследований в отношении группы безопасности вышестоящему ру­ ководству. Такую непредвиденную ситуацию нужно отразить в разделе конфликтов ин­ тересов инструкции по реагированию на инцидент.

Резюме: Атаки изнутри Эти два вторжения заставили нескольких сотрудников банка потратить много рабочего времени на расследование проблемы хакера, вместо того чтобы заниматься своей работой.

Дэйв взял решение проблемы на себя и принял ряд решений, которые поставили под угро­ зу сеть с ее системами и информацией. Он также решил, что имеет дело с Майком из груп­ пы безопасности, не имея для такого обвинения должных оснований.

И хотя мы никогда не узнаем, прав Дэйв или нет, обвиняя Майка, все же он правильно ду­ мал, что хакеры могут прийти в сеть изнутри так же, как и снаружи. Как ясно видно на рисунке 1.1, внутренние хакеры представляют собой серьезную угрозу. Но одно дело знать, что внутренние хакеры являются угрозой, и совсем другое - делать с этим что-то.

Для защиты ваших данных нужны политика безопасности, процедуры и обучение. Для многих руководителей идея защиты информации от своих же сотрудников выглядит неле­ пой. Им следовало бы взглянуть на единицы и нули, составляющие эту информацию, как на реальные деньги. У банков не возникает сомнений о надлежащем контроле над денеж­ ными хранилищами. Например, никто не оставит сейф широко открытым, так чтобы любой работник банка или зашедший посетитель мог забраться в него и взять деньги.

Когда информация будет считаться столь же ценной, как и деньги, контроль над ее безо­ пасностью станет требованием, а не поводом к раздумьям.

Отражение атак На этот раз банку First Fidelity повезло. С неограниченным доступом к сети в течение трех дней хакер мог бы уничтожить информацию, вывести из строя системы или даже изме­ нить настройки аппаратуры. В негодность пришла бы вся сеть или часть ее. Системные администраторы работали бы днями и неделями, запуская вновь системы, при условии, что сохранились текущие резервные копии.

Хакер способен очень быстро заметать свои следы, делая очень трудным и слишком часто невозможным отслеживание пути к исходным точкам атаки. Если не принять незамедли­ тельных мер, то можно даже не узнать, была ли информация украдена, изменена или уничтожена. Только по этой причине каждый, кто владеет компьютерной сетью и обслу­ живает ее, должен разработать ясные и конкретные процедуры по реагированию на подоб­ ные инциденты.

Мы пойдем другой дорогой...

Сохранив свою конфиденциальную информацию, в First Fidelity вздохнули с облегчени­ ем. Но, разумеется, полагаться на счастливый случай в деле защиты информации не при­ нято. И вот что они должны были бы сделать вместо этого.

Сосредоточиться на упреждающих мерах Зная теперь об альтернативных решениях, вы, возможно, удивляетесь, почему в First Fidelity использовалась столь уязвимая конфигурация. Так зачем подвергать и вашу информацию та­ кому риску? Возможен уверенный ответ: «А почему бы и нет?» В конце концов, ведь хакер вторгся не в вашу систему. Поразительно, но во многих компаниях думают именно так.

Не думать, что такое не может случиться с ними Во многих компаниях взлом компьютеров считают игрой в лотерею. Они уверены в своем иммунитете от вторжения хакера и пренебрегают даже основными мерами предосторож­ ности. Это никогда не может с ними произойти, поэтому они не тратятся на безопасность.

Они не предусматривают процедур реагирования на инцидент, и их сотрудники не имеют навыков такого реагирования.

Как это ни просто звучит, но самое главное в предотвращении взлома - это осознать, что он может случиться у вас! Для его предотвращения используйте самый эффективный инструмент защиты - обучение. Обучайте каждого! От руководителя самого высокого уровня до самого последнего оператора по вводу данных - все должны знать, как защи­ щать информацию от кражи, изменения и уничтожения неавторизованными пользователя­ ми. Ведь хакер-злоумышленник, получивший слишком широкий доступ, может всех ли­ шить работы!

J Мы пойдем другой дорогой...

Рисунок 1. Строго говоря, неавторизованным использованием является любое использование ком­ пьютерной системы без разрешения на это системного администратора. Поэтому неав­ торизованным пользователем нужно считать и хакера-злоумышленника, и безвредного путешественника по киберпространству, и даже сотрудника компании, не имеющего разрешения на работу в конкретной системе в определенное время или с определенной целью. В инциденте, произошедшем с First Fidelity, таким неавторизованным пользовате­ лем мог быть любой из трех его типов, описанных выше.

Как видно из недавнего обзора CSI (Института защиты информации в компьютерных сис­ темах), результаты которого показаны на рисунке 1.2, слишком многие из руководителей компаний не представляют себе, как широко распространен неавторизованный доступ и незаконное использование.

Отражение атак Инциденты на Веб-сайте: какой вид неавторизованного доступа или незаконного использования наиболее распространен?

Рисунок 1. Знать, что началась атака Главным при отражении вторжения является способность распознать, что ваша система взламывается! Вам нужно точно знать, что наблюдаемое вами явление действительно взлом, а не аппаратный или программный сбой или причуда пользователя. Определить, подвергается ли ваша система атаке, помогут вам в первую очередь программы-детекторы вторжения. Поэтому установка программ-детекторов до того, как вы подвергнетесь атаке, абсолютно оправдана. Вспомним недавнее вторжение вируса Code Red. 19 июля 2001 года Code Red «заразил» 359 104 хост-компьютера, которые были взломаны всего лишь за 13 часов. На пике своих действий вирус поражал около 2000 новых сайтов в минуту, даже тех, на которых были установлены программы обнаружения вторжения.

Большинство IDS (Intrusion-Detection Systems - систем обнаружения вторжения) могут опре­ делить атаку, только если имеется сигнатура атаки. Если подумать, то это выглядит глупо.

Это похоже на то, что вы думаете, что грабитель не заберется в дом, но забыли купить замок на дверь. Более того, после установки у себя такой сигнатуры у вас не будет уверенности в том, что противник не запустит новый вариант атаки и будет пропущен IDS.

Убедитесь в том, что ваша IDS может обнаруживать атаки «дня Зеро» (zero-day attacks), или атаки «первого удара» (first-strike attacks), или «неизвестные атаки» (unknown attacks), названные так потому, что о них еще не сообщалось, о них ничего пока не знают и их сиг­ натур не существует. Если ваша IDS не может определять атаки «дня Зеро», то нужно усо­ вершенствовать вашу архитектуру. Это поможет защититься от атак, нацеленных на про­ токолы и осуществляемых вирусами Code Red, Nimda и их разновидностями.

Я не предлагаю вам устанавливать программы-детекторы на каждую систему вашей сети.

Но стратегическое размещение их в ключевых местах (в сетях и наиболее важных для работы системах) даст вам несомненное преимущество.

3. Сигнатура - в данном случае описание внешних признаков атаки. Например, большое число ТСР-соединений с различными портами указывает на то, что кто-то занимается сканированием TCP-портов. - Примеч науч. ред.

Мы пойдем другой дорогой...

Готовиться к худшему Хотя предупредительные меры составляют 80% всех средств, остаются еще целых 20%.

В действительности, как бы тщательно вы ни планировали, всегда остаются непредвиден­ ные проблемы. Способность их решать часто сводится к подготовке к неожиданностям.

Поэтому, чтобы избежать ситуации, в которой оказался First Fidelity, нужно проделать сле­ дующее.

Разработать политику действий при вторжении в письменном виде Если в вашей компании нет политики действий при вторжении в письменном виде, то вы не одиноки. Хотя мы сосредоточились на больших компаниях США, но ослабленное вни­ мание к безопасности простирается далеко за национальные границы. Опрос, проведен­ ный KPMG в 2001 году среди канадских фирм, показал, что только у половины респон­ дентов имелись стандартные процедуры на случай взлома систем безопасности электрон­ ной торговли.

Примет ли ваша организация бывшего хакера на работу в качестве консультанта?

Рисунок 1. При необходимости нанять эксперта Создание группы реагирования на инциденты (IRT - Incident-Response Team), разработка политик и процедур и поддержание общей обстановки на современном уровне является объемной задачей. Это требует времени, знаний и координации сотрудников и ресурсов.

Если у вас нет процедур и у компании нет опыта по их разработке, то наймите эксперта.

«Эксперт» не надо переводить как «хакер». Будьте внимательны к тому, кого нанимаете.

Как показывает рисунок 1.3, большинство компаний не хочет принимать на работу быв­ ших хакеров в качестве консультантов.

Есть ряд компаний, серьезно относящихся к этому вопросу и могущих оказать ценные услуги. (Подробнее см. Приложение А, «Люди и продукты, о которых следует знать».) При разработке процедур реагирования на инциденты для одной из компаний я беседова­ ла с ответственным сотрудником консультационной компании, занимающейся вопросами 4. KPMG - фирма, предоставляющая консультационные услуги в области аудита, страхования, налогообложения и финансов. - Примеч. пер. * Отражение атак безопасности, о том, какую поддержку они могут предоставлять. Я спросила, как скоро может их эксперт прибыть на место происшествия. «У нас глобальный охват, - ответил тот, - и мы можем прислать команду сотрудников на требуемое место в любой точке земли в течение минут или часов, в зависимости от вашего местонахождения». Компании, зани­ мающиеся вопросами безопасности и предлагающие такой вид услуг, готовы и стремятся вам помочь. Они пришлют немедленно своих экспертов, как только возникнет проблема.

Они повидали много бедствий и знают, как трудно наводить порядок после серьезного взлома. Важно установить с ними контакт до того, как взлом произойдет. При этом у вас появится уверенность в том, что кто-то способен откликнуться на ваш зов, когда вы ока­ жетесь в зоне бедствия.

Обучиться самому (или обеспечить обучение сотрудников) Даже когда процедуры реагирования на инцидент имеются, системные администраторы и пользователи могут быть не обучены их применению. Политики и процедуры, которые не были ясно усвоены, не принесут много пользы. При этом создается ложное чувство безопасности. Нужно не только хорошо отразить в документах и раздать всем процедуры для чрезвычайных ситуаций, но и добиться того, чтобы каждый пользователь компьютера компании (от генерального директора до оператора по вводу информации) знал, как их применять. Ответственность за компьютерную безопасность должна ложиться на плечи каждого сотрудника.

Хорошей идеей является проверка ваших политик и процедур до возникновения инцидента.

Можно провести имитационный прогон. Вы можете захотеть привлечь группу проникнове­ ния к тестированию безопасности вашего сайта. Скажем, «Группа тигров» попытается взло­ мать ваш сайт и в то же время проверить действия вашей группы при взломе. Было бы неверным заставлять людей гадать о том, реальный ли это взлом или нет. Другими словами, не кричите «Волк!». Если вы привлекли консультанта по безопасности для тестирования защиты вашего сайта и реагирования на взлом, то предупредите об этом обслуживающий персонал. Пусть они знают, что это имитационный прогон, а не реальное событие.

Установить точку контакта Во время вторжения часы продолжают тикать. Пока вы будете раздумывать о том, кому позвонить или что вам делать, вы упустите драгоценное время. В процедурах нужно ука­ зать, кого оповещать при взломе. В компании должен быть определен контактный теле­ фон, наподобие линии службы спасения 911, по которому пользователи смогли бы по­ звонить в случае взлома.

Понять цели и установить их приоритеты Цели и приоритеты вашей компании и соседних организаций могут взаимно отличаться.

Главным при этом будет то, что при сложных инцидентах не будет времени оценивать приоритеты. Поэтому ваши цели при обнаружении взлома должны быть отражены в доку­ ментах и понятны вам еще до того, как взлом произойдет.

Знание своих целей важно при составлении соответствующего плана действий. Цели дей­ ствий в условиях вашей сети могут включать в себя некоторые или все из нижеперечис­ ленных.

Защитить информацию клиента. Возможно, ваша сеть хранит важную для клиентов информацию. Если хакер похитит, изменит, уничтожит или даже выставит такую ин­ формацию в Интернете, то вы можете предстать перед судом.

5. Point of Contact (РОС). - Примеч. пер.

Мы пойдем другой дорогой...

Изолировать атаку. Предотвратите использование ваших систем для запуска атаки про­ тив других компаний. В некоторых случаях вам будет нужно отключить систему от сети, чтобы предотвратить дальнейший ущерб и ограничить масштабы атаки. Например, если у вас имеется внешняя клиентская сеть (extranet), подключенная к вашей сети, а хакер пы­ тается получить доступ к системе, которая соединяет вас с клиентской сетью, то вы долж­ ны защитить сеть вашего клиента. Если вы осознали это, то будьте готовы (и знайте как) перекусить провод.

Оповестить вышестоящее руководство. Руководство отвечает за соответствие, точность и надежность информации. Если системы в вашей компании взламываются, то руководитель информационной службы (СЮ ) должен знать об этом и быть в курсе событий.

Обеспечить документирование события. Запись всех подробностей может помочь ру­ ководству в получении информации по оценке взлома и при проведении расследований в отношении конкретных лиц.

Сделать «моментальный снимок» системы. «Моментальный снимок» представляет собой содержимое памяти компьютера (ОЗУ, регистров и т. д.) в определенный момент времени. (Иногда «моментальный снимок» называют «разгрузка памяти» или «дамп».) В «моментальном снимке» может сохраниться информация, которую хакер не успел стереть до завершения или отражения атаки и которая может помочь поймать взломщика.

Для расследования такая информация может оказаться крайне важной.

Соединитесь с группой реагирования на инциденты, связанные с компьютерной безо­ пасностью (CSIRT- Computer Security Incident Response Team). Важно связаться с од­ ной из CSIRT (например, CERT ) на ранней стадии вторжения, так как, возможно, у них имеется информация, которая может помочь вам прервать вторжение. Например, они мо­ гут знать, как устранить «дыру» в программе или аппаратуре изготовителя, через которую взломщик способен проникнуть в вашу сеть. Они также накапливают статистику по обще­ му количеству взломов и способов, применяемых хакерами для получения доступа. Если вы добились контроля над ситуацией и устранили проблему доступа хакера в сеть, вам все равно следует обратиться к CSIRT для пополнения их статистики. Они не будут предавать огласке название вашей компании и тот факт, что она подверглась взлому. В мире сущест­ вует множество CSIRT. Подробнее о них можно узнать в Приложении А, «Люди и продук­ ты, о которых следует знать».

Установить взломщика. Данный пункт кажется очевидным, но не все помнят о его важ­ ности. Конечно, проще оставить все как есть. Но лучше его поймать. Не сдавайтесь в сво­ их попытках установить взломщика, который нанес вред вашей информации. Если вам не удается сразу отследить путь атаки на вашу сеть, не оставляйте мысли о том, как важно иметь возможность для этого. Ряд изготовителей предлагают программное обеспечение, способное легко отследить путь атаки (если оно установлено на коммутирующем узле).

Такая мера должна быть предусмотрена в стратегии вашего руководства.

Знать, кто и за что отвечает. Четко очерченные обязанности устраняют возникнове­ ние неопределенности. Знание того, кто и за что отвечает, ускоряет расследование и помо­ гает установить виновного.

Знать, кому вы можете доверять. Сам по себе взлом оказался лишь частью реальной проблемы в First Fidelity. Другой ее частью явилось отсутствие доверия между главными игроками. Если предположить, что Майк виновен, то вопрос доверия превратится в про 6. Chief Information Officer. - Примеч. пер.

7. Computer Emergency Response Team - группа реагирования на чрезвычайные ситуации. - Прим. науч. ред.

Отражение атак блему подбора сотрудников. Проводились ли соответствующие проверки персонала? Хотя это может показаться вторжением в чью-то личную жизнь, все же нужно проверять каж­ дого, кто будет отвечать за компьютерную безопасность.

Если считать, что Майк невиновен, то вопрос доверия переходит в плоскость проблем обще­ ния. Почему Майку никто не сообщил сразу же о случившемся? Может быть, Дэйву помеша­ ло то, что Майк был из службы безопасности? Телефонный звонок мог бы положить начало конструктивному диалогу, и не пришлось бы тыкать друг в друга пальцами и «темнить» при расследовании. Может быть, существует молчаливое недоверие между системными админи­ страторами и группой безопасности? Обида или недоверие сотрудников компании в отноше­ нии группы безопасности представляют серьезную проблему, которой надо уделять внима­ ние. Ее игнорирование ставит компанию в рискованное положение. Процедура, в которой отражены действия при конфликте интересов, могла бы помочь и Дэйву. Он мог бы обойти группу безопасности, передав расследование вышестоящему руководству.

Реагировать быстро и решительно Как красноречиво говорят нам надписи на футболках, в жизни чего только не бывает.

Поэтому, если хакер вторгся в вашу систему, несмотря на все принятые вами меры защи­ ты, выполните хотя бы следующее.

Действуйте быстро!

Бесспорной истиной безопасности является то, что чем медленнее вы реагируете, тем больше вероятность ухода взломщика от наказания вместе с вашей информацией, причем неопознанного и готового нанести повторный удар.

Придерживайтесь плана действий Главная цель заблаговременного написания процедур реагирования на инцидент состоит в том, что вы (или ваши сотрудники) можете реагировать немедленно и не раздумывая.

Не пытайтесь как-либо истолковывать план - просто выполняйте его!

Записывайте все!

Как только возникнут подозрения, что система подвергается атаке, крайне важно получать об этом информацию. Сделайте «моментальный снимок» системы. Любая собранная вами информация имеет ценность для расследования и может оказаться решающей для уста­ новления источника атаки и привлечения взломщика к ответственности.

При необходимости прибегайте к эскалации проблемы Эскалация - это привлечение к решению проблемы вышестоящего руководства (или до­ полнительных сил. - Примеч. пер). В процедуре реагирования на инцидент должно быть указано, при каких обстоятельствах нужно прибегать к эскалации - как внутренней, так и внешней.

Внутренняя эскалация - это передача проблемы на более высокий уровень руководства внутри компании. Она требуется, когда масштаб взлома выходит за пределы знаний, имеющихся у группы обслуживания. Внешняя эскалация заключается в вызове эксперта со стороны, и к ней прибегают, когда инцидент слишком сложен для сотрудников компании.

Также важно иметь в плане способ эскалации в условиях конфликта интересов. Он необ­ ходим, если под подозрение попадает кто-нибудь из группы обслуживания. (В случае с First Fidelity главный подозреваемый входил в группу безопасности. Эскалация при кон­ фликте интересов могла бы разрядить стрессовую ситуацию и последующие проблемы с персоналом.) 30 Мы пойдем другой дорогой...

Создайте надежную систему отчетов Разумным будет создание механизма составления отчета обо всех вторжениях, даже тех, которые не причинили системе какого-либо очевидного вреда. Отчеты о взломах дают об­ щую картину состояния безопасности сети. Они также помогают обнаружить участки в вашей сети, представляющие угрозу ее безопасности.

Завершающие действия После взлома вы должны провести оценку случившегося. Следовал ли ваш персонал на­ меченным целям и приоритетам? Какие уроки вы извлекли? Что бы вы хотели в дальней­ шем сделать по-другому? Возвращены ли ваши системы в безопасное состояние и не ос­ талось ли «черного хода»?

После любого инцидента, связанного с безопасностью, проделайте следующее.

Просмотрите ваши политики и процедуры Тщательно изучите надежность работы ваших процедур и примите решение, нужно ли их изменить на будущее.

Представьте отчет по инциденту (и как вы действовали в нем) руководству Если вы сами являетесь руководителем, то потребуйте, чтобы обо всех инцидентах вам были представлены отчеты. Стандартная процедура составления отчета по любому и каж­ дому взлому заключается в создании всеохватывающей картины состояния безопасности сети. Если из отчетов будет видно, что взломы приобретают хронический характер или их частота увеличивается, то, очевидно, нужно совершенствовать или усиливать меры безо­ пасности. По протоколам отчетов также можно установить участки вашей сети, на ко­ торые нацеливаются взломщики для получения информации (например, стараются получить исходный код проектируемого вами нового чипа).

По-новому взгляните на ваш бюджет На бумаге все любят безопасность. Но когда речь заходит о вложении средств, то расходы на планирование и осуществление мер безопасности часто урезаются. «Так как с бюдже­ том в этом квартале имеются трудности, то руководство говорит, что нужно подождать с расходами на реагирование на инциденты». За этим последует конец года, и процедуры все еще останутся ненаписанными.

Важность безопасности легко забывается. Лишь на некоторое время после самых значи­ тельных из взломов какая-нибудь несчастная компания оказывается в фокусе передач «60 минут» или CNN. Все вдруг сразу беспокоятся о мерах безопасности и о том, чтобы такое не произошло с ними. Затем в телестудиях гаснет свет, шум в прессе затихает, а хакер отправляется за решетку или исчезает в киберпространстве. Интерес к безопасно­ сти пропадает, и руководство снова не хочет включать ее в бюджет.

Маркус Ранум (Marcus Ranum), часто упоминающийся как отец брандмауэров, однажды сказал: «Когда дело доходит до безопасности, то нужно, чтобы парень, стоящий рядом с вами, получил пулю в голову прежде, чем руководство обратит внимание на безопас­ ность». Если вы руководитель, отвечающий за безопасность, то не занимайте позицию «ожидания пули» в этих вопросах. Ведь на самом деле стоимость восстановления после серьезного взлома значительно превосходит расходы на установку защиты. Для уменьше­ ния этой стоимости до минимума в будущем убедитесь, что в бюджет включено финан­ сирование требуемой безопасности.

Отражение атак Контрольный список Используйте этот список для определения готовности вашей компании реагировать на взлом. Можете ли вы поставить «Да» напротив каждого пункта?

_ Есть ли у вас процедуры реагирования на инцидент?

_ Понятны ли эти процедуры и отвечают ли они современным требованиям?

_ Обучены ли все ответственные сотрудники использованию этих процедур?

_ Есть ли в процедурах инструкции по контакту с экспертами по безопасности 24 часа в сутки и 7 дней в неделю?

_ Предусмотрена ли процедура эскалации проблемы на вышестоящий уровень, если не удается связаться с экспертом по безопасности?

_ Есть ли процедура, определяющая, когда обращаться за внешней помощью и к кому?

_ Предусмотрено ли в процедурах немедленное уведомление руководителя информа­ ционной службы при возникновении вторжения и после его отражения?

_ Выделено ли достаточно средств на разработку и поддержание реагирования на ин­ циденты, связанные со взломом?

_ Действительно ли ответственные сотрудники посещают все требуемые занятия?

_ Проводятся ли личные проверки ответственного персонала?

_ Все ли гладко во взаимоотношениях между системными администраторами и груп­ пами обеспечения безопасности?

_ Имеются ли планы восстановления системы после инцидента?

_ Надлежащим ли образом контролируются меры безопасности в системах? («Надле­ жащим» здесь означает, что такая оценка дана реальной аудиторской проверкой.) _ Включены ли контрольные журналы8 систем?

_ Просматриваются ли периодически журналы регистрации в системах?

_ Установлены и работают ли необходимые инструменты по обнаружению вторже­ ния?

_ Установлены ли в вашей сети программы-детекторы, обнаруживающие «неизвест­ ные» атаки?

_ Можете ли вы обнаружить и предотвратить атаки как на сеть, так и на хост-ком­ пьютер (многоуровневый подход к обнаружению)?

_ Легко ли отслеживается путь атаки в вашей сети?

Заключительные слова Статистика, которую ведет CERT, показывает, что количество нарушений безопасности более чем удваивается каждый год. По данной статистике, число инцидентов возросло с 3934 в 1998 году до 9859 в 1999 году, а затем до 211 7569 в 2000 году и до 52 658 в году. Только за первый квартал 2002 года было зарегистрировано еще 26 829 инцидентов.

Пугает то, что о многих нарушениях не было сообщений, так как их не удалось обнару­ жить. В то время как 38% респондентов, участвующих в опросе CSI 2002 года, сообщили о неавторизованном использовании своих веб-сайтов в прошедшем году, 21% других рес­ пондентов честно признались, что не знают, были ли взломаны их сайты или нет.

8. Audit logs - файлы регистрации выполняемых действий. - Примеч. пер.

9. Скорее всего, это пятизначное число. - Примеч. пер.

Заключительные слова Легко видеть, что даже если у вас нет причин поверить в существование факта взлома сис­ тем вашей компании, вы все равно можете быть жертвой незамеченной атаки. В одном из своих действительно показательных исследований Министерство обороны США провело тестирование, которое продемонстрировало, как редко взломы обнаруживаются и реги­ стрируются (рисунок 1.4). В данном тесте было атаковано 8932 компьютера. В результате атаки было взломано 7860 систем - около 88%. И только о 19 атаках были сделаны сооб­ щения - менее 0,003%!

Тест Министерства обороны, показывающий, как редко регистрируются атаки Источник: Defense Information Systems Agency.

Рисунок 1. Дэн Фармер (Dan Farmer), хорошо известный исследователь компьютерной безопасности, провел тестирование высокопрофессиональных коммерческих веб-сайтов. Результаты тестирования показали серьезную уязвимость Интернета. Из 1700 веб-серверов, подверг­ шихся тестированию в данном исследовании, более 60% могли бы быть взломаны или вы­ ведены из строя, и только на трех сайтах было замечено, что их тестируют.

В стремлении подключиться к Интернету вы можете забыть о безопасности, и ваша сис­ тема легко может оказаться среди этих уязвимых 60%. Если вы не уверены в том, что кон­ тролируете безопасность вашего веб-сервера (или любой другой системы), то проведите проверку на безопасность сами или вызовите эксперта по безопасности, который проведет оценку вашего сайта.

Тесты Министерства обороны и Дэна проводились несколько лет назад. Сегодня трудно сказать, сколько компаний смогли бы обнаружить подобные атаки. На многих сайтах ус­ тановлены программы-детекторы вторжений, отслеживающие атаки. Если в вашей компа­ нии их еще не установили, то нужно это сделать. Не ждите, пока название вашей компании появится в выпуске новостей CNN.

Глава Безопасность в стандартной поставке Подсистемы должны находиться в выключенном состоянии по умолчанию, и пользователь будет знать (по возможности), что он действительно включа­ ет, перед тем, как это включит. Это не столь очевидно для одной или двух под­ систем, но если их сотни... не надо дожидаться того времени, когда целое поко­ ление системных инженеров будет проводить половину своей рабочей жизни, выключая одно и то же на каждой машине.

Тео де Раадт, исследователь проблем безопасности.

проект OpenBSD Уже год, как вы занимаетесь бизнесом в Интернете, и вы только начали получать прибыль.

Наконец-то на взлете! Вы счастливы, став одним из первых, поставивших свой бизнес в Сети, который движется и приносит вам прибыль. Вы забрались на новую территорию, которая неизвестна большинству, - в Интернет. Это напоминает вам приключения перво­ проходцев, захотевших попытать счастья и пересечь всю страну после того, как они услы­ шали о богатейших просторах Калифорнии. Они нашли золото. И вы тоже стали одним из первопроходцев в Интернете и скоро тоже найдете свое золото!

Вы так загружены работой, что отпуск кажется вам несбыточной мечтой. Вы довольны ва­ шим провайдером Интернет-услуг (ISP - Internet Service Provider). Ведь провайдер открыл дверь вашему бизнесу в Интернет. Более того, провайдер помогает хранить и обслуживать всю информацию по вашему бизнесу, включая вашу домашнюю веб-страницу. Вам не нужно тратить время на обслуживание систем или на раздумья, как построить веб-страни­ цу и подключиться к Интернету. Честно говоря, вы не очень задумываетесь о том, как ра­ ботают компьютеры, да это и не нужно - ведь вы же платите за это провайдеру!

Забыв об отдыхе, вы налегаете на работу. Время поднимать цены. Теперь можно больше запросить за ваши консультационные услуги, так как на них возрос рыночный спрос. Уже почти полночь, но вы решаете войти в систему и до утра внести свои изменения. Вы пы­ таетесь зайти на вашу веб-страницу, но это не удается. Вы пытаетесь снова и снова. Безус­ пешно! Что же случилось? Может быть, трафик в Сети так плох, что не дает получить дос­ туп к вашей веб-странице? Вы пытаетесь позвонить вашему провайдеру, но его номер за­ нят. Вы не можете получить доступ к вашей веб-странице, и линия провайдера постоянно занята. Вы ворочаетесь и мечетесь всю ночь, гадая о том, что же происходит.

К несчастью, беды на этом не закончились. Следующим утром вы узнаете, что хакер взло­ мал системы вашего провайдера. Он обрушил их и уничтожил всю информацию. Подож 1. OpenBSD - проект по созданию UNIX-подобной ОС, отвечающей современным требованиям многополь­ зовательской работы в Интернете. В проекте уделяется большое внимание безопасности. - Примеч пер.

34 Безопасностью займемся позднее дите! Так это же ваша информация! Хуже того, вы обнаруживаете, что жизненно важная для вашего бизнеса информация и домашняя страница не могут быть восстановлены, так как ваш провайдер никогда не делал резервных копий диска, на котором хранилась ваша информация.

Как теперь быть? Вся информация по вашим клиентам безвозвратно утеряна! Вы думаете, что такое невозможно? Подумайте получше.

Храните ли вы ваши драгоценные цифры в изолированной от внешнего мира корпоратив­ ной сети или же храбро выставили их в неопределенность Интернета, вы в любом случае должны иметь возможность доверять целостности вашей информации и способности про­ вайдера защитить ваши ресурсы. Провайдер должен знать, как устанавливать системы и защищать вашу информацию. Ведь так же? Это часть его услуг, за которые вы платите.

Но, к сожалению, быстрый рост информационных технологий и необходимость развития новых видов бизнеса, требующих новых технологий, не вызвали такого же повышения уровня квалификации в вопросах безопасности у профессионалов.

В современной информационной среде большинство людей знает, что подключение сис­ темы к Интернету без мер безопасности во многом похоже на «русскую рулетку» - только вопрос времени, когда на кого-то придется выстрел. Если это так, то почему профессио­ нальные провайдеры устанавливают стандартные системы, не проводя их дополнитель­ ных настроек, и играют в «русскую рулетку» с информацией своих клиентов? Им нет дела до сохранности информации клиентов?

Если вы все еще верите в то, что большинство информационных брокеров, системных администраторов и провайдеров Интернет-услуг являются специалистами по безопасно­ сти, то давайте посмотрим...

Безопасностью займемся позднее Три года назад Джордж Марковиц и Натан Лински были лучшими инженерами в своем бизнесе. Они стремились как можно дольше работать на своем месте, продвигаться по служебной лестнице и разбогатеть, работая в крупной компании. Как и многие другие, они двигались к своим целям, полагаясь только на себя.

Джордж и Натан назвали свою новую компанию «TransWorld Internet Services». Занятая ими ниша предоставляла их клиентам дешевый и высококачественный доступ в Интернет и хранение их информации. Обычно TransWorld обеспечивала простым домашним поль­ зователям соединение с Интернетом и легкодоступное хранение их информации, не бес­ покоясь о резервном копировании информации.

К несчастью, они не смогли всего предусмотреть - как, например, настройку безопасно­ сти. Они подключили свои системы к Интернету стандартным способом, без настройки безопасности, и оставили широко открытыми для атаки свои системы и информацию кли­ ентов.

День 1-й: Ложное чувство безопасности Способности Джорджа и Натана по работе на рынке услуг были почти на той же высоте, как и их техническая подготовка. Через шесть месяцев TransWorld обслуживала личные каталоги и веб-страницы более чем 1000 клиентов.

2. Out-of-the-box systems - системы в стандартном исполнении, не требующие доводки на месте установки и потому не учитывающие всех местных особенностей и изменений современной обстановки. - Примеч. пер.

Безопасность в стандартной поставке Как и любые другие начинающие предприниматели, Джордж и Натан были озабочены на­ кладными расходами. К счастью, их технический опыт позволял им выполнять большую часть работы самостоятельно. Например, они без проблем сами устанавливали системы и программное обеспечение.

Но, к сожалению, Джордж и Натан оставили конфигурацию всех своих систем стандарт­ ной, не принимая при этом дополнительных мер безопасности. Скорее всего, они еще раз не подумали о безопасности (а может быть, и первого раза не было). В этом нет ничего не­ обычного, так как большинство инженеров не любят безопасность. Они стремятся по­ скорее добраться до информации и считают меры безопасности препятствием. Но для компаний, отвечающих за поддержание надежности и целостности информации клиентов, это вопрос их пребывания в высшей лиге.

Два года спустя: Замечена атака Джордж и Натан проработали около двух лет, пока на их сайт из Интернета не «забрел» хакер. Натан обнаружил хакера благодаря написанной им программе для отслеживания времени доступа клиентов (программа была довольно хорошей). На выходе она выдавала Натану сообщение, какой счет выставлять клиентам за использованное ими время досту­ па. Натан заметил, что однажды в корпоративной сети TransWorld какой-то хакер создал каталог, установил инструменты для взлома безопасности (для сбора паролей, отслежива­ ния путей и т. д.), а затем начал взламывать системные пароли и искать информацию и доступ к другим системам. (Как изнутри выглядит такая атака, см. главу 12, «Прогулка хакера по сети».) В конце концов, Натан выяснил, что хакер проник с использованием учетной записи, оставшейся от старой коммерческой демонстрации. Он отключил учетную запись и по­ считал проблему решенной.

+Две недели: Хакер возвращается Двумя неделями позднее хакер вновь всплыл в сети TransWorld. На этот раз хакер перепи­ сал на их сервер программу, которая при исполнении могла пересылать по почте файл с паролями на другую систему в Интернете. Вначале Натан не мог понять, как хакер во­ шел в его сеть. При дальнейшем исследовании Натан обнаружил, что установленная им система позволяла переписывать на его сервер и исполнять файлы из Интернета. Хакер просто переписал программу на сервер TransWorld и запустил ее на исполнение.

При исполнении эта программа скопировала файл TransWorld с паролями и переслала его по почте на неизвестную систему в Интернете. Затем хакер взломал пароль. Удача! И вот хакер внутри. Программа Натана по отслеживанию использования системы была хоро­ шей, но она не могла заменить собой контрольные журналы.

Так как контроль за действиями не был установлен, то сотрудники TransWorld не могли даже сказать, заменил ли хакер какие-либо системные файлы, или им был оставлен «черный ход» в систему. Натан заткнул дыры так крепко, как он смог, и ограничил разре­ шения на доступ к файлам в системе.

+Три недели: Усиление защиты Взломы продолжались. Время от времени хакер (или хакеры!) запросто заходил из Интерне­ та. Каждый раз, когда Натан затыкал одну дыру в защите, хакер быстро находил другую.

36 Безопасностью займемся позднее К этому времени сотрудники TransWorld работали в режиме реагирования. Они тратили так много времени, реагируя на непрекращающиеся взломы, что начали терять сон от страха перед настоящим бедствием.

В этот момент Джордж позвал меня на помощь. Так как Джордж и Натан были моими старыми друзьями, то я согласилась проверить их системы в обмен на приятную беседу и пару банок холодного пива.

Так как эти парни знали очень много о системах, то я полагала, что мне предстоит устра­ нить проблему относительно быстро. В конце концов, у них обоих за плечами был боль­ шой опыт в управлении и поддержке систем, и они обслуживали реальную провай­ дерскую сеть. Я знала, что опытность не всегда является показателем осведомленности в вопросах безопасности, но хотела убедиться в осознанности их действий. Так как имен­ но провайдер отвечает за информацию своих клиентов, то мне хотелось знать, предприня­ ли ли они необходимые меры предосторожности.

Оглядываясь назад, я убеждаюсь, что, возможно, фантазировала насчет практических спо­ собностей этих парней в области безопасности. Раз так, то я обещаю больше не фанта­ зировать.

Я надеялась на быстрое решение проблемы и сказала Натану, что загляну к ним по дороге на свою работу. Натан сообщил мне, что последний взлом был в его домашней сети, и я ре­ шила начать отсюда. Сначала я спросила Натана, почему его домашняя сеть подключена к TransWorld. Натан объяснил, что он хранит разрабатываемые программы на этой систе­ ме и ему нужен легкий доступ к ним при работе в главном офисе.

Из ответа я поняла, что решение проблемы не будет быстрым. Часто «легкий доступ» оз­ начает «риск». При работе с электронной информацией вам всегда придется взвешивать риск и нужды бизнеса. Если меры безопасности слишком строги, то это может препятст­ вовать возможности клиентов вести свои дела. Очевидно, никому этого не хочется.

В любом бизнесе необходима некоторая гибкость. Тем не менее некоторые компании не подсчитывают, как такая гибкость влияет на величину риска. Вместо этого они устанавли­ вают облегченный доступ, надеясь, что их информация достаточно защищена. По дороге к дому Натана я не могла понять, почему Натан так ценит свой легкий доступ.

Утром в 6.30 я подъехала к дому Натана. Натан предложил мне чашку кофе. Но я уже и так была взвинчена - адреналин уже начал выделяться. «Нет, спасибо, - сказала я. - Где сис­ тема?» Он подвел меня к клавиатуре.

В течение пяти минут после входа в систему я обнаружила, в чем заключается проблема безопасности. Безопасности не было вообще! Системы были установлены «как есть», стандартным способом, и подключены к Интернету.

Один из самых больших рисков при стандартных установках состоит в том, что вставки, по­ вышающие безопасность (security patches), в стандартную поставку не входят. Все операци­ онные системы имеют уязвимые места с точки зрения безопасности. К ним необходимо до­ бавлять вставки безопасности для решения подобных проблем, иначе системы могут остаться широко открытыми (в зависимости от уязвимости).

По мере того как я просматривала настройки системы, я удивлялась своим находкам. Они экс­ портировали личные каталоги через Интернет с разрешениями чтения/записи (с глобальным доступом). Я не верила своим глазам! Экспортирование файловых систем через Интернет с разрешениями чтения/записи позволяло каждому в Интернете читать, красть или уничто­ жать информацию. О чем эти парни думали? Я проверяла снова и снова, надеясь, что резуль­ таты будут как-то меняться, так как не хотела верить в то, что увидела.

Безопасность в стандартной поставке Такого со мной еще не случалось. Два парня, которые намного умнее меня в программиро­ вании и которые берут деньги с клиентов за доступ в Интернет и хранение информации, создали сеть без установки каких-либо средств обеспечения безопасности.

В то время как я пыталась продолжать мое исследование, Натан не переставал задавать мне вопросы. Я не могла сосредоточиться. Я «зациклилась», и все в моей голове переме­ шалось. Я вынуждена была прервать проверку и сказала Натану, что мне надо ехать.

Он подвергался серьезному риску, а я не могла быстро устранить проблему. В действи­ тельности, он хотел только быстрого решения. К сожалению, он не собирался получить решение проблемы от меня (или от кого-либо еще на планете). Вместо решения я дала Натану список неотложных мер (опасно -устранить немедленно!) и сказала, что еще вернусь.

Как только у меня появилась возможность обдумать его вопрос, я ему позвонила и сказа­ ла, что проблем безопасности в его домашней сети так много, что я не могу даже сказать, с чего ему начать. Лучше всего провести полномасштабный аудит безопасности его сети.

Я сказала, что очень занята работой в Sun, помогая клиентам защищать свои сети от Интернета, и что смогу вернуться к нему только через несколько недель. Кроме того, я не собиралась тратить время на помощь ему в установке защиты, я могла только сообщить ему о результатах моих исследований. Я полагала, что он наймет кого-то для проведения аудита и принятия мер безопасности в своей сети.

Натан сказал, что подождет. Несколько недель для него не много значили. Хотя Натан яв­ но был озабочен безопасностью, но он еще не был так напуган, чтобы нанять кого-то для решения проблемы. Я продолжала удивляться, каково же его клиентам при такой угрозе надежности и целостности их информации.

Продолжение саги: Сеть остается под угрозой Через несколько недель я отправилась в главный офис TransWorld для проверки состояния дел. Первой проблемой, обнаруженной мной при полномасштабном аудите, была физиче­ ская безопасность. Сеть располагалась в здании, офисное пространство которого было по­ делено между несколькими компаниями. Сетевые серверы, компьютеры, брандмауэры и коммутационную аппаратуру отделяли от остальных компаний лишь внутрикомнатные стенки высотой пять футов (около полутора метров. -Примеч. пер.). Системы даже не бы­ ли заперты в стойках.

Более того, все адреса и учетная информация клиентов были в персональных ком­ пьютерах (ПК). ПК имели резервное копирование, но устройства для этого находились прямо рядом с ними. Любой, кто бы ни пожелал, мог перепрыгнуть через невысокие стен­ ки,' взять систему и устройство резервного копирования и просто уйти. Разве это не бес­ порядок? Представьте себе, что ваш провайдер вызывает вас, чтобы поискать, заплатили ли вы ему за прошедший месяц!

Безопасность информации не выглядела лучше. Я уже это предполагала, но всегда нужны твердые факты. Я села за клавиатуру и начала аудит. Через несколько секунд я взломала корневой каталог и получила полный контроль над их главным сервером. При этом я не «выкладывалась», а просто использовала незащищенное место в операционной системе, о котором широко известно много лет.

Я обычно выискиваю подобные программные ошибки, когда пытаюсь взломать корневой каталог в системе. Если мне удается взломать корневой каталог за считанные секунды, то я точно знаю, перед чем я оказалась. И обычно за этим стоит серьезный риск.

Продолжая проверку, нашла подтверждение моим ожиданиям. Настроек безопасности здесь тоже не было. Эти системы были установлены «как есть», без настройки их безопас 38 Мы пойдем другой дорогой...

ности и без добавления дополнительных средств защиты. В основном, проблемы были те­ ми же, что и с домашней сетью Натана (и неудивительно).

И снова масса уязвимых мест в безопасности. Список разновидностей риска, которым подвергалась TransWorld, возглавляли следующие пункты:

• Существовала избыточность разрешений на доступ к файлам.

• Не были стерты старые учетные записи пользователей.

• В программы не были внесены исправления (патчи), повышающие безопасность.

• Не была обеспечена надлежащая физическая безопасность.

Уже только в этом скрывался огромный потенциал для бедствия. В TransWorld нужно бы­ ло поработать экспертам по вопросам безопасности не менее двух недель и с полным ра­ бочим днем, с тем чтобы защитить их сеть. Как и во многих других начинающих компани­ ях, им не хотелось тратить деньги на сотрудника, занимающегося безопасностью. Я ду­ маю, что они хотели вместо этого купить побольше оборудования, а может быть, они ожи­ дали предъявления им какого-то счета к оплате в этом месяце.

Как бы то ни было, я передала свою информацию Джорджу в обмен на обещанное пиво.

А что касается безопасности их сети - то я не питала особых надежд. У Джорджа не было времени поговорить со мной за его пивом. Он был так занят работой сети, обслуживанием клиентов, написанием программ и общественной жизнью. Иногда мне казалось, что серь­ езное отношение к безопасности мне никогда не встретится.

Резюме: Будете ли вы подключаться через такого провайдера?

Как бы плохо ситуация ни выглядела, Джордж и Натан все же действительно хорошие люди. Они знают, как устанавливать и обслуживать системы. Им известны все тонкости подключения к Интернету. Но их проблема заключается в том, что они не знают, как защи­ тить свои системы, и не обращаются за посторонней помощью. Они не думают о возмож­ ном вторжении хакера в их сеть. Так как они не считают безопасность приоритетной, то тратят свои финансы на любые другие цели. И конечно, получат то, за что платили.

У Джорджа и Натана могут возникнуть реальные причины для беспокойства в будущем.

Взаимоотношения «провайдер/клиент» подразумевают ответственность провайдера, хра­ нящего вашу веб-страницу и личный каталог, за безопасность, надежность и целостность вашей информации. Но до настоящего времени через суд не прошло ни одного дела в от­ ношении безответственного провайдера, потерявшего информацию клиента. Довольно трудно сказать, чем должны руководствоваться судьи. Я считаю (и большинство клиентов думает так же), что суд должен принимать во внимание то, что если вы оплатили данную услугу, то ваша информация попадает в руки к специалистам, которые должны обеспечить ее защиту и безопасность. В конце концов, разве не за это вы платите?

Так или иначе, клиентам TransWorld пока везет. Забавно, но они даже не знают о том, что их информация находится на краю пропасти. И она может безвозвратно в ней исчезнуть.

Джорджу и Натану пока тоже везет. Насколько мне известно, на них не подавали в суд и их не подкарауливали их клиенты. Но я бы не захотела выбрать их в качестве своего Интернет провайдера.

Мы пойдем другой дорогой...

В большинстве своем мы знаем ничтожно мало о людях и/или компаниях, подключающих нас и нашу информацию к внешнему миру. Имеете ли вы дело с Интернет-провайдером со стороны или же работаете со своим отделом по обеспечению связи, в любом случае вы должны искать ответы на прямо поставленные вопросы.

Безопасность в стандартной поставке Имеется ли у вас договор с вашим Интернет-провайдером? Если договор есть, то не ука­ зано ли в нем, что провайдер не отвечает за вашу информацию, то есть за информацию, о которой он должен заботиться? У вас может не быть провайдера, обслуживающего вашу информацию. Но если вся ваша информация содержится внутри вашей интранет, то вы можете также не заметить рисков, которые были обнаружены в TransWorld. Ваш систем­ ный администратор может провести установку всей сети, используя системы только со стандартными настройками. В таком случае каждая из систем вашей интранет будет подвержена риску.

Вам нужно выяснить, когда в вашей компании делался последний аудит безопасности. Это единственный способ убедиться в том, что ваши системы защищены. Иначе вы играете в «русскую рулетку» вашей информацией, не говоря о том, что ваши акционеры могут ли­ шиться твердых доходов.

Помните, что руководители отвечают за надежность и целостность информации.

Знать, каким рискам вы подвергаетесь Знаете ли вы, какому риску подвергается информация в сети вашей компании? Большин­ ство хакеров ищут информацию, которую можно продать: финансовую информацию, ин­ формацию о клиентах, номера кредитных карточек. В «Обзоре компьютерных преступле­ ний и вопросов безопасности» CSI 2002 года указывается, что инциденты, о которых со­ общили только 26 респондентов, причинили убытки в 170 827 000 долларов от кражи ин­ формации о собственности.

И если вы еще думаете, что «стандартный» хакер является рано развившимся тинейджером, без присмотра и с плохой социальной ориентацией, то зря. Все в большем количестве «ха керские» кражи совершаются намеренно и хорошо организованно. Есть случаи, когда участие в них переходит на правительственный уровень. В марте 2002 года официальные представи­ тели ФБР сообщили о непрекращающихся взломах компьютеров со стороны организованных преступных группировок из России и Украины, в результате которых было украдено более миллиона номеров кредитных карточек. Пятнадцатилетний мальчик, о котором думает боль­ шинство людей, может вполне оказаться пятидесятилетним бюрократом, собирающим ком­ промат по заданию своего правительства. Помните это, думая о том, какие части и стороны вашей корпоративной информации вам необходимо защищать. Постарайтесь убедиться в том, что все люди, имеющие доступ к вашей информации, понимают, что и от кого им сле­ дует защищать.

Очевидно, одна информация более важна, чем другая. По этой причине нужно делать анализ действительного риска, которому подвергается ваша сеть. Проведена ли экспертами в вашей компании классификация информации? Приняла ли ваша компания повышенные меры безо­ пасности в отношении информации повышенного риска? Может быть, да. Может быть, нет.

Избегать стандартных установок систем Стандартная установка систем без проведения настроек безопасности может проводиться только при отсутствии риска для информации в сети. Ваша сеть установлена стандартно?

Правильно ли это? А может быть, в вашей компании забыли простые истины?

Так же как и оценка риска, политики и процедуры настройки систем должны отражать конкретные нужды компании. В защите вашей сети могут оставаться многочисленные дыры в случае, если вы не приняли нужных мер предосторожности при установке и под­ держке систем сети. Если интранет вашей компании состоит из одних стандартно установ­ ленных систем, то будьте уверены - ваша информация под угрозой.

40 Мы пойдем другой дорогой...

В условиях роста компьютерной преступности изготовители вынуждены предлагать стан­ дартные системы с легко осуществимыми настройками. Не ждите от них чудес - требуйте от вашего поставщика более высоких уровней защиты в их продуктах. Если этого потре­ буют все, то изготовителям придется удовлетворить эти требования, чтобы выжить.

Протестировать вашу сеть Если вы не проверили вашу сеть на наличие дыр, то это может сделать кто-нибудь другой.

Есть шансы, что этот другой будет не на вашей стороне и будет вовсе не борцом за мир во всем мире и за свободу слова в Интернете. Скорее всего, он или она окажется хакером, выис­ кивающим секреты компаний. И хотя вы недавно провели свой аудит и убедились, что ваша сеть безопасна, ваша информация с большой вероятностью может подвергаться риску.

Из своего опыта я могу почти гарантировать то, что если ваши служащие не знают, как проводить аудит безопасности, и никогда его не проводили, то ваша информация в опас­ ности. Привлеките эксперта к проведению аудита вашей сети или приобретите правиль­ ный инструмент и обучитесь пользованию им.

Доступен широкий выбор инструментов проведения аудита безопасности. (Подробнее см.

в Приложении А, «Люди и продукты, о которых следует знать».) Не надейтесь и не притворяйтесь, что ваша сеть в безопасности. Полную уверенность можно получить только после аудита!

Изучить людей, которые знают вашу информацию Не считайте системных специалистов, обслуживающих вашу сеть, специалистами по безопасности. Великие программисты, инженеры и системные администраторы не всегда являются хорошими защитниками информации. Различие их предпочтений и запасов зна­ ний может давать удивительные результаты.

В особенности будьте подозрительны в отношении новых Интернет-провайдеров. Быстрый рост числа служб, обеспечивающих доступ в Интернет, оказывает воздействие на безопас­ ность двумя путями. Во-первых, большое количество предпринимателей, имеющих благие намерения, но без опыта в вопросах безопасности (а также с малым опытом общего примене­ ния компьютеров), устремилось в провайдерский бизнес. Они строят большие планы в по­ лучении огромных прибылей при малых затратах, а то и при отсутствии таковых. И в то же время увеличение численности новых провайдеров создало бескрайнее поле новых привлека­ тельных целей для предприимчивых хакеров.

И они их «окучивают». В феврале 2000 года какой-то тинейджер, используя уже готовые и широко доступные инструменты, запустил атаки по типу «отказа от обслуживания», ко­ торые заблокировали доступ законным пользователям на сайты Amazon, eBay и Buy.com.

Хотя доступ на сайты не был полностью блокирован, все же доступ к наиболее важным страницам был закрыт. Так, участники аукциона на сайте eBay обнаружили, что не могут видеть описание выставленных предметов. Доходы продавцов соответственно упали, что отразилось и на прибыли eBay, которому пришлось любезно продлять время проведения всех аукционов, пострадавших от атаки. Подобная атака на Yahoo в том же месяце была столь интенсивной, что почти на три часа заблокировала его пользователей.

Для компаний, существующих главным образом в киберпространстве, атаки по типу «от­ каза от обслуживания» могут стать фатальными. Британский Интернет-провайдер Cloud Nine Communications в конце концов закрылся в начале 2002 года после того, как подверг­ ся широкой кампании атак по типу «отказ от обслуживания». Как сказал Бернгард Уорнер Безопасность в стандартной поставке (Bernhard Warner) из агентства «Рейтер», промышленные эксперты описывали это закры­ тие как «первый пример компании, прекратившей свое существование из-за хакеров».

Может быть и первый, но определенно - не последний.

Как широко распространены подобные атаки? В 2001 году исследователи из University of California в Сан-Диего зафиксировали 12 800 атак по типу «отказ от обслуживания» в течение одного трехнедельного интервала.

Предусмотреть или потребовать необходимое финансирование безопасности Безопасность всегда зависит от ее финансирования. Очевидно, что вы не захотите потра­ тить на защиту какого-либо объекта больше того, чем он стоит. Поэтому вам нужно знать, какую информацию вам нужно защитить и сколько она стоит. Думайте об информации как о деньгах. Допустим, вам нужно защитить 10 миллиардов долларов. Сколько вы собирае­ тесь потратить для их защиты? Возможно, вам следует начать с крепкого, безопасного сейфа, сигнализации и круглосуточной камеры наблюдения. Возможно, вы захотите доба­ вить вооруженную охрану. И снова это будет зависеть от степени риска.

Степень риска может определяться местоположением. В какой вы стране? В каком горо­ де? Что по соседству? В любом случае анализ риска означает определение различных его уровней. К примеру, ваш сейф расположен в Соединенных Штатах, одном из самых безо­ пасных государств на планете. Никаких проблем. Но подождите. Определяем конкретное место внутри Соединенных Штатов: южный район центра Лос-Анджелеса, первый этаж, общественное здание, в зале, напротив ломбарда. Уже проблема?

Подобным же подходом нужно пользоваться при оценке риска для вашей информации.

Детальная и методическая оценка покажет вам, что нужно защитить и какой уровень за­ щиты вам потребуется. Первым шагом, конечно, является определение риска. Люди в TransWorld никогда не проводили оценку риска, так как считали, что риску ничто не под­ вергается. Они полагали, что хакер никогда не заберется в их сеть. Не думайте так же. Это приведет вас к тому, что вы окажетесь неподготовленными и уязвимыми к моменту атаки.

Иммунитета нет даже у экспертов. Спросите об этом в координационном центре CERT, глав­ ный офис которого размещен в Carnegie Mellon University (CMU). Это - одна из ведущих орга­ низаций, ответственных за предупреждение общества о новых вирусах и других угрозах безо­ пасности в киберпространстве. В мае 2001 года CERT сама подверглась атаке по типу «отказ от обслуживания». Оценка риска, знание того, как вы должны реагировать, и стремление защи­ тить свою сеть являются главными составляющими отражения атаки, подобной этой.

Анализируя стоимость вашей информации при оценке риска, берите в расчет реальную цену потери этой информации. Приведу результаты состязания Forensic Challenge, прове­ денного в марте 2001 года некоммерческой группой профессионалов в области безопасно­ сти Honey Project. Участники состязания должны были проанализировать реальный ком­ пьютерный взлом, кропотливо установить, к чему был доступ, и определить, какой ущерб (если таковой имелся) был нанесен.

Какие были показаны результаты? Взломщик менее чем за минуту вторгся в университетский компьютер через Интернет и находился в нем менее получаса. Но поиск того, что он наделал за это время, занял в среднем у каждого участника состязания более 34 часов. В реальной си­ туации пострадавшие компании выплатили бы специалистам по 2000 долларов.

Подобное неравенство, выявленное в проведенном состязании Forensic Challenge, еще раз подчеркивает большую стоимость «чистки» после того, как взломщик скомпрометировал сеть, говорит Дэвид Диттрич (David Dittrich), старший инженер по безопасности в Uni 3. Компрометация - здесь: нарушение взломщиком безопасности системы, которое может приводить к изменению, уничтожению или краже информации, - Примеч. пер.

Мы пойдем другой дорогой...

versity of Washington и главный судья состязания. По его оценке, если бы у штатных со­ трудников не хватило опыта и был бы приглашен консультант со стороны, то эти 34 часа обошлись бы компании примерно в 22 000 долларов.

Не экспортировать глобальные разрешения чтения/записи Не делайте этого! Разрешения на доступ к файлам, устанавливающие, кто может читать и изменять файл, - очень простое понятие. Главное заключается в том, что чем больше вы предоставляете доступа к файлам вашей системы, тем выше риск того, что эти файлы бу­ дут изменены, уничтожены или украдены. Если вы предоставляете возможность всему миру читать вашу информацию и иметь к ней доступ, то рано или поздно кто-нибудь сде­ лает это таким способом, которого вы не желали, не предполагали и не представляли себе.

Такую ошибку сделали парни из Trans World.

Я видела много прорех в безопасности, но эта заслуживает главного приза. Я впервые уви­ дела, как кто-то экспортирует разрешения чтения/записи файловых систем (глобальные) через Интернет. И хотя это была чрезвычайная ситуация, я далее сталкивалась с избы­ точностью разрешений на доступ к файлам снова и снова. В чем причина? Системные ад­ министраторы часто не ограничивают разрешения на доступ к файлам. Иногда они просто не знают, как это делать. В других случаях они слишком заняты, чтобы об этом беспоко­ иться. Но беспокоиться нужно!

Стереть старые учетные записи Обновляйте ваше системное хозяйство. Учетные записи неактивных пользователей, как, например, записи уволенных или долго отсутствующих сотрудников, представляют широ­ ко распространенный вид риска для безопасности. Как раз такой учетной записью вос­ пользовался взломщик в TransWorld.

Хакеры могут легко воспользоваться неактивными учетными записями для хранения ин­ формации, как, например, взломанных паролей. Изменения в пользовательских файлах трудно обнаружить, так как владельцы их не просматривают. Во избежание такой пробле­ мы убедитесь в том, что удаление или отключение неактивных учетных записей делается регулярно.

Тестировать пароли Надо отдать должное -люди из TransWorld хорошо позаботились о паролях. Из 1000 учет­ ных записей пользователей я смогла взломать лишь четыре пароля. Правда, это на три пароля больше, чем мне было нужно! Не ждите, когда хакер пройдется по вашим паролям и взломает их. Запускайте программу-«взломщика паролей» (password cracker) в ваших файлах с паролями и учите ваших пользователей тому, как выбрать надежный пароль.

Пароли образуют первую линию обороны против неавторизованных пользователей, и их взлом является одной из самых популярных форм компьютерной атаки. Хороший пароль не может быть обычным словом. Его легко взломать, найдя это слово в словаре. Хороший пароль должен представлять собой выражение, не являющееся словом (nonword). Учите своих пользователей, как выбрать хороший пароль, не являющийся словом и удобный для запоминания.

Системным администраторам также нужно проверить, насколько надежно выбрали паро­ ли их пользователи, при помощи программы, названной "Crack". Если вы - системный ад­ министратор и не имеете копии программы "Crack", то постарайтесь получить ее, так как хакеры уже ее имеют. Гарантирую!

Безопасность в стандартной поставке Перед запуском "Crack" или другого «взломщика паролей» в сети вашей компании, убеди­ тесь в том, что не нарушаете политики безопасности вашей компании. Использование "Crack" в системе, к которой у вас нет доступа, может стоить вам работы, большого штра­ фа или даже привести в тюрьму.

Сделать исправления программ (патчи), повышающие безопасность Нет идеальных систем. Во всех есть дыры, которые нужно залатать. При установке любой системы в сети нужно устанавливать и патчи безопасности в них (в операционные систе­ мы). Также необходимо установить патчи безопасности, предусмотренные для решения известных проблем в коммуникационных программах (таких, как Netscape Navigator, Java, HTML и т. п.). Если ваша сеть велика и вручную вам с этим не справиться, то подумайте об установке программного обеспечения, позволяющего ставить патчи в автоматическом режиме.

Выполнять политики и процедуры Как минимум, должны разрабатываться и совершенствоваться политики и процедуры для установки систем, обслуживания информации и обеспечения основной физической безо­ пасности. Если у вашего системного администратора не будет системных политик и про­ цедур, то системы после установки могут иметь рискованные настройки. Это случилось в сети TransWorld. У них не было ни политик, ни процедур настройки безопасности, и сис­ тема после установки была подвержена риску.

Если вся ваша сеть после установки имеет настройки с высоким уровнем риска, то после­ дующий перевод системы на требуемый уровень безопасности будет связан со значитель­ ными затратами времени и людских ресурсов. Для того чтобы этого избежать, убедитесь в том, что ваши системы не остались в состоянии стандартных настроек и без необходи­ мых политик и процедур. Подробнее о политиках и процедурах см. главу 8, «Безопасность внутренних сетей».

Использовать экспертов Привлечение экспертов со стороны не является признаком слабости вашей группы.

Напротив, это признак здравомыслия! Пока ваша компания невелика, вам, возможно, не требуется штатный эксперт по безопасности на полный рабочий день. Поэтому имеет смысл, чтобы не раздувать штат и сберечь ресурсы, при необходимости привлекать экс­ перта на временную работу. Но не ждите, когда вся сеть выйдет из-под контроля.

Не так давно я беседовала с руководителем информационной службы компании, входя­ щей в список Fortune 500. Я сообщила ему, что от инженеров и руководящих работников его компании я узнала о нескольких рискованных настройках систем в их сети. Им следо­ вало бы нанять аудитора безопасности и протестировать их сеть. Я сказала, что аудит не обойдется им дорого и позволит точно узнать, какому риску они подвергаются. Ответ ру­ ководителя информационной службы был необычным. Он сказал: «Линда, это как если бы из моего самого дорогого костюма вытащили одну нитку. Ничего не стоит это сделать, но последствия будут дорогими». Я поняла его так, что по-настоящему дорогим будет не аудит, а «чистка» выявленных во время него зон риска. Проблемой при таком подходе бу­ дет то, что рано или поздно кто-то будет готов выдернуть эту нитку. Вопросами будут (кроме «Когда?»): «Кто?» и «С какой целью?». Надеюсь, что на вопрос «Кто?» будет ответ - аудитор, а не хакер, а на вопрос «С какой целью?» - анализ риска, а не выискива­ ние возможной добычи.

44 Мы пойдем другой дорогой...

Обучать использованию Безопасность не является предметом, на который обращают внимание большинство тех­ нических специалистов или системных администраторов в учебных заведениях или при практической подготовке. Обеспечьте, чтобы ваши сотрудники имели хотя бы базовую подготовку. Помните, что проблемы безопасности не стоят на месте. Поэтому занятия по безопасности многолетней давности - не в счет.

Одной из проблем в TransWorld было то, что Джордж и Натан занимались (предположи­ тельно) защитой информации клиентов, не обучившись этому предмету в течение хотя бы одного часа. Это сумасшествие! Добейтесь, чтобы ваши сотрудники были обучены тому, как обеспечивать безопасность обслуживаемых ими систем.

Контрольный список Используйте этот контрольный список для определения того, рискует ли ваша компания из-за стандартных установок систем. Можете ли вы поставить «Да» напротив каждого пункта?

- Знаете ли вы, что пытаетесь защитить в вашей сети?

- Участвует ли руководство в оценке риска?

- Имеются ли политики и процедуры для настройки систем?

- Охватывают ли эти политики и процедуры разрешение доступа к файлам, пароли и установку патчей?

- Имеется ли политика, охватывающая физическую безопасность?

- Все ли учетные записи пользователей имеют пароли?

- Были ли изменены учетные записи, по умолчанию установленные во время уста­ новки системы?

- Входит ли в политику запрещение гостевых учетных записей, установленных по умолчанию?

- Регулярно ли отключаются неактивные учетные записи?

- Устанавливаются ли патчи безопасности совместно с установкой всех новых сис­ тем?

- Пытались ли вы взломать пароли системы (систем), которую вы обслуживаете, с целью тестирования ненадежных паролей?

- Проводите ли вы периодический аудит для проверки состояния имеющихся средств безопасности?

- Отслеживаете ли вы неавторизованные изменения файлов?

- Уверены ли вы в том, что все сотрудники, устанавливающие ваши системы, обуче­ ны политикам и процедурам безопасности вашей компании?

- Проверяете ли вы дважды, что все известные проблемы безопасности решены, перед тем, как подключить к сети новое оборудование или программы?

- Достаточно ли у вас финансируется безопасность?

- Первоочередными ли являются нужды оценки риска, обучения, проведения аудита и разработки политик и процедур?

- Настраиваете и просматриваете ли вы контрольные журналы?

- Принимаете ли вы меры предосторожности при экспорте файловых систем?

- Отключаете ли вы ненужные службы?

Безопасность в стандартной поставке Заключительные слова Во многих компаниях компьютерная безопасность сводится к наличию брандмауэра.

Ну ладно, вам так понравилась эта интернетовская штучка, и вам не терпится под­ ключиться к сети. Вы направляете всю свою энергию на выбор правильного брандмауэра и на защиту одного вашего соединения.

Проблема такого подхода состоит в том, что брандмауэр является лишь очень небольшой частью безопасности систем. Вы выбрали один из них и наняли кого-то для его установки.

Такая стандартная установка на самом деле увеличивает количество проблем безопасно­ сти в интранет. Я это говорю, не просто познакомившись со статистикой. Я это все на­ блюдаю изнутри сетей - «из окопов».

Это вижу не я одна. По оценке координационного центра CERT, размещенного в CMU, 99% всех зарегистрированных компьютерных атак явились результатом знания уязвимых мест, на которые уже можно было бы поставить патчи.

Проблемы безопасности интранет реальны - так реальны, что ваши сотрудники должны знать, как настраивать безопасность ваших систем. Иначе каждый бит вашей системы будет подвержен такому же риску, как и информация серверов Trans World.

Глава •.. • Поддержка со стороны руководства Руководители высшего звена, в том числе и директор по информационным техноло­ гиям, больше не могут, откинувшись на спинку кресла, думать, что проблемы ком­ пьютерной безопасности в полной мере решаются кем-то другим в их компаниях.

Они должны играть активную роль в обеспечении безопасности их систем и организаций и давать логическое направление решения таких проблем.

Майк Хейгер, вице-президент по вопросам безопасности инвестиционной группы Oppenheimer Funds Шесть месяцев назад вы добились успеха и стали директором по информационным техно­ логиям крупной корпорации. Как хороший директор по информационным технологиям, вы неустанно напоминаете о важности вопросов безопасности руководителям высшего звена. Вы прямо даете знать о том, что ваша сеть должна быть безопасной. Точка. Все ска­ зано. Вопросов никто не задает.

Представьте ваше удивление, когда однажды в понедельник утром вы открываете Mercury News и обнаруживаете название своей компании в заголовках - и не по причине порази­ тельных успехов за квартал. В газете подробно рассказывается об атаке хакера на сеть ва­ шей компании. Хакер украл конфиденциальную информацию и выставил ее в Интернете на обозрение всему миру. Это - новость первой полосы, и вы пытаетесь угадать, попадете ли вы в выпуск новостей CNN. Вы также пытаетесь догадаться, что будет с ценой ваших акций и что скажут акционеры.

Всю неделю ваш обслуживающий персонал пытается взять ситуацию под контроль. К не­ счастью, обнаруживается так много рисков для безопасности вашей сети, что задача ка­ жется непреодолимой. Хакерское подполье ясно знает об этих рисках и, кажется, выбрало вашу сеть в качестве мишени для своих упражнений. Атаки не прекращаются - одна, две и все больше и больше.

Как же такое могло случиться? Вы говорили высшим руководителям компании, что безо­ пасность является главной идеей, и ожидали, что ей будет отдан приоритет. Разве они вас не слушали? Как же они допустили, что электронные взломщики крадут секреты компа­ нии? Хуже того, продолжающиеся атаки понижают репутацию вашей компании, ради соз­ дания которой вы неустанно трудились. Вместе с репутацией компании не совсем хорошо выглядит и ваша. Это - ваша сеть, и в центре внимания оказываетесь вы.

Кажется невозможным? Невероятным? Может быть, ситуация и сфабрикована, но в ней может оказаться любой начинающий директор по информационным технологиям. Быстро продвигающиеся наверх руководители редко имеют полные знания о настройках сети и ее состоянии. Перед тем как занять этот пост, лишь немногие из кандидатов спрашивают о том, когда сеть подвергалась аудиту безопасности (и прошла ли его). Еще меньшее число из них знакомится с представленным им итоговым отчетом, отражающим уровень риска, или представляет себе, как выглядит на практике борьба за безопасность.

Поддержка со стороны руководства В крупных компаниях многослойная структура управления часто способствует отделению руководящих сотрудников высшего уровня от руководителей более низких звеньев.

В результате этого нарушаются связи. Информация, движущаяся сверху вниз, может не дойти до исполнителей. Таким же образом сообщения, посылаемые наверх, легко могут попасть не по адресу или исказиться.

Очевидно, что управляющий, менеджер или директор никогда не задумываются о том, что их сеть может стать зоной действий хакеров и попасть на следующей неделе в выпуск 60 Minutes или в Hard Copy. Но пока вы не будете знать, что в действительности проис­ ходит «в окопах», ваша компания будет подвергаться риску. Добейтесь того, чтобы руко­ водители в вашей компании оставили диктаторский стиль и спустились из заоблачной вы­ си на землю. Налаживание каналов общения, открытых в сторону руководства, является одним из важных шагов в достижении реальной безопасности вашей сети. Рассмотрим пример...

Участие руководителей Миссис Смит, генеральный директор и основатель Internet Software Design (ISD), превра­ тила идею, набросанную на салфетке, в процветающую компанию. Ее компания из Сили­ коновой долины вошла в список преуспевающих компаний Fortune 500, осваивала новые области передовых технологий и добивалась превосходства над своими конкурентами.

Работая в сфере программного обеспечения для Интернета, компания присвоила ком­ пьютерной безопасности наивысший приоритет. Миссис Смит постоянно подчеркивала свою приверженность компьютерной безопасности своему руководящему персоналу. Все хорошо знали ее прямолинейный стиль работы, и она всегда добивалась того, чего хотела.

Ну, почти всегда.

Как многие руководители, отдающие распоряжения и следящие за их исполнением, мис­ сис Смит считала, что глобальная сеть ее компании безопасна. Так было до того, пока од­ нажды хакер не взломал финансовую сеть компании. Не замеченный обслуживающим персоналом, хакер переслал всю финансовую информацию компании на другую систему в Интернете. Когда пересылка закончилась, хакер послал по электронной почте финансовое положение миссис Смит (включая прогноз доходов) фирме Fishman & McDonald Investors.

К счастью для миссис Смит и ее компании, управляющий этой финансовой фирмы немед­ ленно сообщил содержание электронного письма Чарльзу Уинифреду, финансовому директору миссис Смит. Это сообщение явилось первым сигналом Чарльзу о том, что безопасность сети нарушена, и у него возникло много вопросов. Чарльз хотел знать, как удалось взломать систему. Он хотел знать, почему его обслуживающий персонал не об­ наружил неавторизованного доступа к информации. И конечно, он хотел выяснить, кто должен отвечать за кражу и раскрытие информации. В общем, он хотел получить ответы, и немедленно.

Чарльз считал свою финансовую сеть безопасной. В конце концов, разве не за это платят системным администраторам? Как они могли проявить такую безответственность?

И почему они не заметили брешь в защите до того, как информация не была раскрыта через Интернет?

Но Чарльз забыл главный принцип распределения ответственности. В конечном счете именно руководитель его уровня несет ответственность за надежность и целостность ин­ формации в корпоративных сетях, а не системные администраторы. Финансовые ауди 1. Программа новостей телекомпании CBS. -Примеч. пер.

2. Телевизионное шоу о скандальных происшествиях. - Примеч. пер.

Участие руководителей торы и акционеры, в частности, привлекают к ответственности именно руководящих ра­ ботников. Если прогнозы доходов выставлены на общее обозрение в Интернете, то финан­ совые аудиторы, акционеры и репортеры служб новостей преследуют высшее руковод­ ство, а не системных администраторов.

Для лучшей иллюстрации роли руководителей в компьютерной безопасности давайте взглянем поближе на события, происходящие до и после того, как была раскрыта финан­ совая информация ISD.

День 1-й: Незащищенные системы По требованию Чарльза для проведения аудита безопасности был немедленно вызван Мартин Паттерсон, собственный эксперт ISD по безопасности. Мартин был одним из пяти сотрудников группы безопасности в ISD и, бесспорно, лучшим гуру по вопросам безопас­ ности в компании. Он относился со всей серьезностью к любому пробелу в безопасности и всегда ставил реагирование на инциденты выше остальных своих задач. Обычно Мартин оставлял все свои дела и набрасывался на каждый инцидент, касающийся безо­ пасности, со свирепостью питбуля.

Мартин начал аудит с зондирования информации финансовых систем и тестирования сети на наличие дыр. Менее чем за полчаса Мартин обнаружил потрясающие факты. Для ком­ пании, в которой так много говорилось о приверженности к безопасности, действительное состояние дел оказалось ужасающим.

Мартин обнаружил, что системы компании были установлены стандартным способом, без настройки безопасности. Наиболее ответственные системы были обезличены и плохо за­ щищены, что превращало всю сеть в зону повышенного риска. Более того, в защите сети было так много дыр, что под конец рабочего дня к ней можно было подобраться «на рас­ стояние выстрела». И такие системы хранили самую секретную финансовую информа­ цию компании!

Далее Мартин узнал, что системы были широко открыты и не имели контрольных или от­ слеживающих механизмов. Это облегчало доступ и сводило к нулю шансы быть пойман­ ным. Любой с самыми небольшими знаниями в области безопасности мог приятно про­ вести целый день в этой сети.

Чарльз также попросил Мартина найти источник посылки электронного письма с прогно­ зами доходов. Поэтому после тестирования систем Мартин попытался отследить путь электронного письма. Он предполагал, что его попытки будут бесплодными. Так и оказа­ лось. Мартин зашел в тупик, пытаясь установить «дом» хакера.

Хотя финансовый директор не мог поверить в то, что путь электронного письма нельзя от­ следить, для меня в этом не было ничего удивительного. Довольно легко можно обмануть Sendmail и создать иллюзию, что электронное письмо послано от кого-то другого. С таким заданием легко могла бы справиться моя 13-летняя сестра Лаура.

В любом случае имитация адреса отправки почты почти всегда заводит преследователя хакера в тупик. Когда вы сталкиваетесь с этим, то лишь оцениваете умение хакера изобре­ тать доменные имена и идете дальше. То же сделал и Мартин.

Мартин завершил аудит и объединил полученные результаты в конфиденциальном отчете для руководства. Теперь нужно было подготовиться к самому трудному ~ как представить отчет руководству. К счастью, прошли те времена, когда гонцу за плохие вести отрубали голову. Но еще остались топоры в переносном смысле. При докладе о высоком риске безо­ пасности вас может ждать неприязнь начальства или понижение с такой же вероятностью, как и похлопывание по плечу. Мартину повезло - Чарльз похлопал его по плечу.

Поддержка со стороны руководства Оценив тщательность работы, проделанной Мартином, Чарльз вместе с тем был абсолют­ но поражен ее результатами. Чарльз был крайне уверен в том, что все системы сети были защищены. Так же считали и все другие руководители. И все же аудит показывал, как лег­ ко информация могла быть изменена, украдена или уничтожена без оставления хотя бы одного следа для поимки взломщика. Чарльз поблагодарил Мартина за предоставленные факты (Майк даже стал как бы героем!) и немедленно отдал распоряжение подчиненным ему менеджерам исправить положение.

Год спустя: Неавторизованный доступ продолжается В течение следующего года произошло несколько успешных взломов интранет ISD (успеш­ ных для хакера, разумеется). Единственной положительной стороной в них было то, что Чарльз получил сообщения о взломах от руководителя внутреннего аудита ISD, а не от CNN.

Не допустить, чтобы факты взломов попали в заголовки газет, является главной целью фи­ нансовых директоров. Осуществление этой цели значительно труднее, чем кажется. Мно­ гие хакеры сегодня считают высшим шиком передать отчет о своем взломе непосредст­ венно агентствам новостей. Хакерам известно, что сопутствующий вред от плохой рекла­ мы может быть больше, чем ущерб, причиненный самой атакой. Поэтому в некоторых случаях вызвать затруднения, связанные с опубликованием факта атаки, является истин­ ной целью атаки. Чарльзу удалось относительно без шума решить эту проблему.

Несмотря на такую удачу, Чарльз оставался в плохом положении. Он был разъярен и не переставал удивляться, что в его сети оставались дыры. Разве он не приказал своим со­ трудникам устранить проблему еще в прошлом году? Может быть, кто-то не выполнил его указаний? Теперь Чарльз стал искать головы. И я не думаю, что они ему нужны были для расширения штата сотрудников. Он хотел положить их на плаху.

В это время Чарльз встретился с директором по информационным технологиям и руково­ дителем внутреннего аудита компании для обсуждения имеющихся рисков для безопасно­ сти. Они решили, что пришло время нанять независимого аудитора безопасности. И здесь на сцене появляюсь я.

Рисуя общую картину, я опиралась на опыт ранее проведенных аудитов. Это - большое пре­ имущество! Обычно аудитор тратит много времени на интервьюирование сотрудников, про смотр схем сети и зондирование информации для определения незащищенных систем.

Я знала, какие системы были уязвимыми, из прошлогодних проверок, поэтому они каза­ лись мне местом, с которого я должна была начать тестирование. Первой и главной причи­ ной такого подхода была возможность показать статистику, опираясь на твердые факты.

Руководители любят статистику. Все, что я могла поместить в график или круговую диа­ грамму, было мне на руку, и я знала, что подача информации руководителям в таком виде прибавляла мне вес.

Большинство руководителей, с кем я работала, были очень сообразительными. Но перед ними проходил очень большой поток информации, и им была нужна точная и понятная информация, суть которой умещалась на одной странице. Итоговый отчет для руководства должен передавать мысль с первого взгляда. Добавлю, что многие отчеты об аудите безо­ пасности, которые я видела, вызывали во мне бурю негодования. Плохо написанный и оформленный отчет, представленный на быстрый просмотр руководителю высшего уровня, не только не имеет смысла, но и перечеркивает всю пользу от проделанного ауди­ та. Так как необходимость устранения риска и получение на это денег очень часто идут бок о бок, то важно, чтобы высшее руководство поняло степень риска и его возможные по­ следствия. Отчеты, представляемые вышестоящему руководству, должны быть короткими (в идеале - в одну страницу и никогда больше двух), легко читаемыми и легко понятными, Участие руководителей Результаты моего аудита позволяли легко передать их смысл руководству. Я уже представ­ ляла, как будет выглядеть график, еще до начала проведения аудита. Я решила показать процентное отношение незащищенных мест, найденных в прошлом году, к найденным сейчас. Это было бы замечательно! Я запомнила эту мысль и начала аудит.

Знакомясь с отчетом по аудиту, составленным Мартином в прошлом году, я обнаружила, что его трудно читать. В нем сообщалось обо всех рисках, но техническим языком и без каких-либо логических связей. Если бы руководство получило этот отчет, то оно бы не знало с чего начать. Я потратила больше времени, чем планировала, чтобы докопаться до полезной информации в отчете.

Разобравшись с отчетом Мартина, я поняла, с какими системами финансовой сети связан наибольший риск. Я прозондировала вначале информацию этих систем. Затем сняла ко­ пию таблицы паролей и запустила программу Crack. Мне нравится начинать аудит с взло­ ма паролей, потому что я хочу увидеть, как много можно их взломать с первого захода.

В таблице содержалось 520 паролей пользователей - это довольно много. Поэтому мне, возможно, удастся взломать некоторые из них. И мне удалось. Просмотр файла crack.out показал, что 10 паролей были угаданы с первого раза. Я столько и ожидала. Оставив про­ смотр дальнейших результатов программы Crack на более позднее время, я сосредоточи­ лась на аудите систем повышенного риска.

Pages:     || 2 | 3 | 4 | 5 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.