Специалисты по тестовым взломам с удовольствием выполнят ваш заказ на проникновение в систему, но считают, что благоразумнее заранее позаботиться о ее безопасности
Клиенты Фреда Рика очень расстраиваются, когда ему удается справиться со своей задачей. Рика, главный консультант группы по вопросам информационной безопасности предприятий в консультационной фирме Price Waterhouse LLP (Морристаун, шт. Нью-Джерси), занимается проверкой компьютерной безопасности компаний, пытаясь проникнуть в их сети. Если ему это удается, значит, у клиента есть проблемы.
К сожалению, Рика и его сотрудники привыкли приносить плохие вести. Несмотря на повышенное внимание к вопросам безопасности и все большее распространение брандмауэров, Price Waterhouse, IBM Consulting Group, отделение по безопасности MIS Training Institute и другие компании, специализирующиеся на тестовых взломах, достигают исключительно высоких показателей.
С помощью общедоступных средств, извлеченных из Web, добропорядочные хакеры находят уязвимые места, образовавшиеся за счет некорректно работающего ПО, неправильной установки конфигурации ПК и брандмауэров, а также из-за плохо организованной службы безопасности.
Тревожный сигнал
Можно было бы ожидать, что взлом системы послужит предупреждением для большинства клиентов. Ничуть не бывало. Увидев, как наемные хакеры зачастую без всякого труда проникают в корпоративную сеть, руководители отделов информационных технологий часто бывают настолько ошеломлены, что оказываются неспособными на серьезные действия.
Рика, например, утверждает, что только 20% его клиентов действительно вносят изменения в свои защитные системы после того, как ему удается их взломать. "Они не всегда воспринимают взлом как реальность", - говорит он.
Реакция многих компаний на сообщение о плохой защищенности их сети ограничивается поиском козла отпущения или лихорадочным латанием на живую нитку выявленных в ходе тестирования "дыр". Очень редко компании находят время на фундаментальный пересмотр системы защиты, например, на разработку стратегии, которая обеспечит в будущем корректность внедрения и эксплуатации технологии защиты и отсутствие новых уязвимых мест.
ДОРОГОСТОЯЩИЕ КОНСУЛЬТАЦИИ
Получение качественной консультации по вопросам сетевой защищенности обходится недешево. Например, и IBM Consulting, и Price Waterhouse выставляют счет в размере 50 - 75 тыс. долл. за обнаружение точек незаконного входа в сеть. В эту сумму входит также осмотр конфигурации брандмауэра системы изучения правил безопасности предприятия и реальный вход в систему через Internet.
Забавно, что спрос на тестовые взломы растет. Недавно Главное бухгалтерское управление в Вашингтоне ввело тестовые взломы в качестве обязательного элемента регулярных проверок безопасности. Главное бухгалтерское управление выполняет проверки таких государственных исполнительных органов, как Министерство обороны, Министерство социальной защиты и Министерство здравоохранения и гуманитарного обслуживания.
Боб Дэйси, директор Главного бухгалтерского управления по гражданским проверкам, сказал, что управление начало проводить тестовые взломы два года назад. "Люди любят абстрактно порассуждать о хакерах, преодолевающих защиту брандмауэров или находящих другие лазейки к сетям, - утверждает Дэйси. - Тестовые взломы привлекают внимание к этим опасностям и демонстрируют, что они вполне реальные, а вовсе не гипотетические".
Стандартный тестовый взлом может потребовать от нескольких дней до нескольких недель. Клиент может нанять тестеров для выполнения реального проникновения в сеть, в ходе которого будут выявлены слабые места системы, но без реального ее взлома.
Кроме того, специалисты по безопасности обычно проводят тестирование по нескольким различным сценариям. Например, консультанты из Price Waterhouse будут пытаться проникнуть в систему как посторонние хакеры, которые ничего не знают о сети, потом как хакеры, владеющие ограниченной информацией (такой, как, например, тип сетевых адресов в Internet), а затем - как члены коллектива, обладающие определенной информацией о системе, включая некоторые пароли.
Секретный агент
Как бы азартно ни подходил Рика из Price Waterhouse к взлому защищенных систем, он и другие консультанты считают, что важнее увеличить затраты на заблаговременную организацию безопасности сети, а не уповать только на проведение тестовых взломов.
"Обилие уязвимых мест, которые мы находим, объясняется отсутствием продуманной архитектуры защитной системы. Это, в свою очередь, связано с недостаточными ресурсами, выделенными для ее разработки", - считает Рика. Чтобы повысить защищенность своих сетей, компаниям следует увеличить штат службы безопасности, пригласить администратора по защите данных и выделить дополнительные суммы на обучение сотрудников и конечных пользователей простейшим мерам безопасности.
Чаще всего тестеры-взломщики сталкиваются с "зияющими дырами" в защите сети, вызванными небрежностью и недосмотром. Например, в прошлом году Рика и Джордж Курц, еще один консультант из Price Waterhouse, обнаружили у одного клиента в сети машину, на которой работала программа удаленного доступа Norton pcAnywhere корпорации Symantec (Купертино, шт. Калифорния). Причем системный администратор установил конфигурацию таким образом, что удаленные пользователи могли загружаться в систему без пароля.
Рика и Курц воспользовались этой брешью для того, чтобы собрать сведения супервизора по 360 из 365 серверов сети клиента, включая Unix-компьютер, использовавшийся для управления огромными промышленными печами компании. Вся операция заняла менее пяти часов. В стандартный комплекс услуг команды Рика входит помощь клиентам в устранении уязвимых мест, обнаруженных в ходе тестового проникновения. Но основная ответственность за постоянный контроль защищенности и обеспечение защиты сети ресурсами ложится на клиента.
"Самое сложное - это привести все в порядок", - уверен Рика. К сожалению, большинство его клиентов считает, что главная трудность - суметь проникнуть в систему.
Эрин Коллуэй
ЕСЛИ ХОЧЕШЬ БЫТЬ В ЦЕЛОСТИ И СОХРАННОСТИ
Следуйте данным рекомендациям, и вы пройдете тест на безопасность.
1 Отключите все регистрационные записи и пароли, установленные изготовителем по умолчанию.
2 Не выдавайте на экран лозунги компании, оперативные справки и т. п. до того, как пользователь пройдет аутентификацию.
3 Отключите все сетевые службы, которые хакер может применить для использования системы.
4 Не разрешайте пользователям загружаться непосредственно на хост-машину в роли root.
5 В качестве пароля используйте алфавитно-цифровые цепочки длиной 6 - 8 символов.
6 Ограничивайте число неудачных попыток входа в систему.
7 Регистрируйте случаи нарушения безопасности и просматривайте регистрационные журналы.
8 Шифруйте важную информацию перед размещением ее в сети.
9 Прислушивайтесь к рекомендациям команды скорой компьютерной помощи и устанавливайте предлагаемые ими системные "заплаты".
10 Ограничьте использование файлов, которые открывают доступ к хост-машине без пароля.
Источник: Price Waterhouse LLP.
