АНАЛИЗ

Каждый, кто задумывался об этических аспектах работы консультантов в области безопасности, чья работа связана с проникновением (в буквальном и переносном смысле) в места, куда им не следует заглядывать, сочтет деятельность Mudge и Дастина просветительской.

Тогда как Mudge использовал в основном технические методы в описанных им атаках, Дастин активно пользовался методами социальной инженерии. Правда, он не чувствовал себя в них экспертом. Он не испытывал никаких неудобств с техническими аспектами проверок и даже получал удовольствие от них. А вот когда ему приходилось обманывать людей, глядя им в глаза, он чувствовал некоторую неловкость.

«Я пытался осознать, почему так происходит. Почему одно меня раздражает, а другое н е т ? Вероятно, э т о связано с тем, что н а с учили не лгать людям, н о никто никогда н е у ч и л компьютерной этике. В с е с о г л а с я т с я с тем, что гораздо комфортнее дурачить компьютер, чем обманывать реального человека».

Тем не менее, несмотря на чувство неловкости, он регулярно ощущал выброс адреналина, когда совершал акции социальной инженерии.

Что касается Mudge, я думаю, главное то, что в области взлома паролей он был истинным экспертом и написал популярную программу для этого. Во всех других областях он использовал методы, доступные каждому хакеру.

КОНТРМЕРЫ

Mudge обнаружил правило работы межсетевого экрана, которое делало возможным соединение с любым TCP или UDP портом (с номерами выше 1024) любого пакета, исходящего из порта 53, который служит портом для DNS. Используя эту возможность, он смог вступить во взаимодействие с сервисом на компьютере-мишени, который случайно дал ему доступ к району загрузки, где он сумел удаленно загрузить файловую систему. Сделав это, он получил доступ к важной информации.

В качестве контрмеры необходимо тщательно проверить все правила межсетевого экрана, чтобы убедиться в том. что они соответствуют политике безопасности компании. Проводя проверку, надо всегда помнить, что любой человек может легко подделать номер порта-источника.

По этой причине межсетевой экран надо конфигурировать так, чтобы он разрешал соединяться только со специфическими сервисами на базе определенного набора портов.

Как не раз уже отмечалось в этой книге, очень важно убедиться, что все директории и файлы снабжены соответствующими разрешениями.

После того, как Mudge с коллегами благополучно проникли в систему, они установили программу-«вынюхиватель», чтобы захватывать имена пользователей и пароли. Эффективной контрмерой против этого может стать использование программ, основанных на криптографических протоколах, таких как ssh.

Во многих организациях есть специальные оборонные стратегии, касающиеся паролей или других способов авторизации для доступа к компьютерным системам, но о телефонных станциях или системах голосовой почты мало кто думает. Именно поэтому команда l0pht легко взломала несколько паролей на ящиках голосовой почты, принадлежащих руководителям компании, которые использовали совершенно банальные пароли типа 1111, 1234 или нечто подобное. Очевидная контрмера — это использование в системе голосовой почты разумных паролей. (Убедите сотрудников не использовать АТМ-соединение!).

Для компьютеров, содержащих важную информацию, очень рекомендуется метод конструирования паролей, описанный в главе, с использованием специальных непечатных символов, создаваемых с помощью Num Lock, ключа <Alt> и цифр.

Дастин смог свободно зайти в комнату переговоров компании Biotech, поскольку она была расположена в общедоступном месте. При этом в комнате был разъем для подключения, который соединял вас с внутренней сетью компании. Такие разъемы надо либо удалять, либо отделять внутреннюю сеть от таких общедоступных мест. Еще одна возможность — это внешняя система авторизации, которая требует для входа правильного имени пользователя и пароля перед тем. как разрешить доступ.

Один из способов снизить вероятность проникновения в помещения компании — это изменить то, что социальные психологи называют нормами вежливости. При помощи специальных тренировок надо научить сотрудников компании преодолевать психологический дискомфорт, который большинство из нас чувствует, спрашивая незнакомого человека без бейджа на территории компании, что он здесь делает и кто он такой. Сотрудников надо просто научить, как задавать подобные вопросы вежливо, особенно в тех случаях, когда ясно, что человек старается прорваться внутрь охраняемого помещения, Правило должно быть очень простым: если у человека нет бейджа, то отправляйте его к секьюрити, но никогда не позволяйте подобным типам проникнуть на территорию компании.

Изготовление фальшивых бейджей компании — очень простой способ для проникновения в помещение компании, которое считается защищенным. Даже охранники далеко не всегда рассматривают бейдж достаточно пристально, чтобы успеть разобраться — настоящий он или поддельный. Подделывать их станет труднее, если в компании будет введено правило (и будет отслеживаться его соблюдение!), что все сотрудники, работающие постоянно и по контракту, будут прятать свои бейджи, покидая помещение компании, лишая потенциальных злоумышленников возможности изучить их в подробностях.

Мы прекрасно знаем, что охранники никогда не будут изучать бейджи сотрудников слишком внимательно (что, кроме всего прочего, просто невозможно, когда в начале и в конце рабочего дня у проходной выстраивается вереница сотрудников). Поэтому нужны другие методы защиты от нежелательных пришельцев. Более высокую степень защиты обеспечивают электронные считыватели карточек. Но охранника надо научить задавать вежливые вопросы тем, чья карточка не распознается этим считывателем. Как произошло в только что рассказанной истории, проблемой может быть не ошибка считывателя, а попытка атакующего проникнуть в охраняемое помещение.

Тренировки сотрудников компании в области безопасности становятся все популярнее, но им не хватает последовательности. Даже в компаниях с очень обширными подобными программами недооценивается необходимость специальной подготовки менеджеров для контроля над всеми их подчиненными. Компании, где сотрудники не проходят специальных тренировок — это компании со слабой безопасностью.

ПОСЛЕСЛОВИЕ

Не так часто читателям предоставляется возможность заглянуть в «творческие лаборатории» тех, кто внес значительный вклад в арсенал хакерских средств. Имена Mudge и l0phtCrack начертаны на скрижалях истории.

С точки зрения Дастина Дюкса из Callisma компании, которые просят провести у них проверку безопасности, часто идут наперекор своим собственным интересам. Вы никогда не узнаете, насколько уязвима ваша компания, пока не разрешите провести у вас полномасштабную проверку безо всяких ограничений, включая методы социальной инженерии и физического проникновения в сочетании с техническими атаками.

Даже зная о том, что многие организации не предпринимают необходимых мер по обеспечению своей безопасности, чтобы закрыть все двери перед хакерами, мы склонны думать, что уж наши-то деньги находятся в безопасном месте, так что никто не может добраться до нашего банковского счета или даже (совсем уж жуткий бред!) перевести деньги с него себе в карман.

Плохая новость заключается в том, что безопасность во многих банках и других финансовых организациях не так хороша, как думают об этом люди, ответственные за нее. Следующие истории иллюстрируют это утверждение.