рисков шаг за шагом: «Если хакеры проникли в первый компьютер, что они могли сделать дальше?» и так далее. Они опять посчитали себя в безопасности, закрыв несколько лазеек, на которые указал им Луис. Они считали, что кроме тех, которые нашли Луис и Брок, других просто не существует.
Луис считает, что подобная надменность и самоуверенность типичны для крупного бизнеса. Еще бы — какие-то пришельцы дают им рекомендации по поводу их безопасности. Их раздражает, когда им дают рекомендации, что они должны делать, и особенно те, кто дает им эти рекомендации. Они уверены, что все уже знают. Когда появляется брешь, они заделывают ее и считают, что она была единственной.
КОНТРМЕРЫ
Также как и в других историях, рассказанных в этой книге, атакующие не нашли большого количества лазеек в атакуемой компании, но даже тех немногих, что они нашли, было вполне достаточно, чтобы завладеть всем доменом компьютерной системы компании, который имеет огромное значение для бизнеса. О некоторых полезных уроках стоит сказать отдельно.
ВРЕМЕННЫЕ МЕРЫ
Не так давно устройства компании 3Com соединялись с последовательным портом маршрутизатора Cisco.
Под давлением необходимости быстрого реагирования на ситуацию компании требуется предпринимать «временные» меры, но их ни в коем случае нельзя сделать «постоянными». Надо сразу же установить режим физической и логической проверки всех шлюзов, использовать те средства безопасности, которые постоянно контролируют открытые порты, в узлах или устройствах в соответствии с политикой безопасности компании.
ИСПОЛЬЗОВАНИЕ ВЫСОКИХ ПОРТОВ
Компания сконфигурировала маршрутизатор Cisco так, чтобы разрешить удаленные соединения на порту с большими номерами, предполагая, что эти порты достаточно неопределенные области и они не могут привлечь внимания атакующих — это еще один пример «безопасности через неясность».
Мы уже не один раз обсуждали эту тему на страницах книги, когда решения по обеспечению безопасности основываются на таком подходе. Истории в этой книге снова и снова демонстрируют, что если у вас есть хотя бы одна-единственная щель в системе безопасности, кто-то из атакующих рано или поздно отыщет ее. Самая лучшая стратегия при обеспечении безопасности — убедиться в том, что все точки доступа и устройства (прозрачные или нет) проходят фильтрацию, если доступ к ним происходит извне.
ПАРОЛИ
В тысячный раз повторяем: все изначально установленные пароли должны быть изменены перед тем, как допускать устройство или систему к эксплуатации. Даже если технический персонал знает об этой проблеме, и знает, как ее устранять. Не забывайте о том, что в Интернете есть такие сайты, как http://www.phenoelit.de/dpl/dpl.html например, где приведены все изначальные имена пользователей и пароли.
БЕЗОПАСНОСТЬ ЛИЧНЫХ НОУТБУКОВ
Ситуация, когда устройство, которое используют удаленные работники компании, соединяется с корпоративной сетью с недостаточным уровнем безопасности или же совсем без нее, очень распространена. У одного из пользователей стояло приложение PC Anywhere, позволяющее устанавливать удаленное соединение даже безо всякого пароля. Хотя компьютер и был соединен с Интернетом через dial- up, причем только на очень короткие периоды времени, каждое из таких соединений открывало окно для возможных проникновений. Атакующие смогли удаленным образом управлять компьютером, соединяясь с ноутбуком, на котором работало приложение PC Anywhere. И поскольку оно было сконфигурировано так, что даже не требовало пароля, атакующие могли проникнуть в компьютер пользователя, просто зная его IP- адрес.
ИТ-политики компании должны устанавливать такие требования к системам клиентов, чтобы у них был определенный уровень безопасности перед тем, как им будет позволено соединиться с корпоративной сетью. Есть специальные программы, которые устанавливаются на компьютеры клиентов и обеспечивают контроль их безопасности и их соответствие политике компании: в ином случае компьютеру клиента не разрешается доступ к корпоративным компьютерным ресурсам. «Плохие парни» обычно анализируют свою мишень, изучая ситуацию в целом. Они проверяют, соединен ли какой-нибудь пользователь удаленно, и если да, то где источник этого соединения. Атакующий знает, что если ему удастся проникнуть в один из таких «надежных» компьютеров, используемых для доступа в корпоративную сеть, очень вероятно, что ему удастся и дальше получать доступ к корпоративным информационным ресурсам.
Даже когда в компании о безопасности думают вполне серьезно, очень часто проблема защиты ноутбуков и домашних компьютеров, используемых сотрудниками для доступа к корпоративной сети, недооценивается, они остаются открытыми для атаки, и атакующие могут использовать этот недосмотр, как и произошло в этой истории. Ноутбуки и домашние компьютеры, которые соединяются с внутренней сетью, должны быть полностью безопасны — иначе компьютер сотрудника может стать слабым звеном, которое как раз и используют «плохие парни».
АВТОРИЗАЦИЯ
Атакующие в этом случае смогли извлечь информацию для авторизации из компьютера клиента, не будучи обнаруженными. Как уже не раз отмечалось в предыдущих главах, более продуманная система авторизации может остановить большинство атакующих, и компании должны использовать динамические пароли, смарт-карты, токены или цифровые сертификаты, как средства авторизации для удаленного доступа в VPN или другие важные системы.
ФИЛЬТРАЦИЯ НЕ ПЕРВОСТЕПЕННЫХ С Е Р В
