IT-безопасность: стоит ли рисковать корпорацией?

377 Iwake ttyp4 runcible Fri Jul 17 09:13 — 09:14 (00:00)

378 Iwake ttyp4 runcible Fri Jul 17 09:12 — 09:13 (00:00)

379 Iwake ttyp2 runcible Mon Jul 13 16:56–17:02 (00:05)

380 wtmp begins Wed Jul 1 18:46

381 # last eggers

382 eggers ttypO sunkist Thu Jan 7 06:40 — 06:40 (00:00)

383 eggers ttyhl Mon Nov 16 16:41–16:42 (00:00)

384 eggers ttypl bike Mon Nov 16 16:37–16:41 (00:03)

385 eggers ttypl bike Thu Nov 12 18:35–18:39 (00:03)

386 eggers ftp bike Wed Oct 7 12:58–13:03 (00:05)

387 eggers ttyp8 bike Wed Oct 7 12:53–13:03 (00:10)

388 eggers ttypl bike Tue Oct 6 14:14–15:27(01:13)

389 eggers ttypl bike Wed Sep 23 16:25–16:30 (00:05)

390 eggers ttypl bike Tue Sep 15 20:34 — 20:36 (00:01)

391 eggersttyhl Fri Sep 11 18:39–18:39(00:00)

392eggersttyh1 Fri Sep 11 18:11 18:21 (00:10)

393 eggersttyhl Fri Sep 11 17:52–18:01 (00:08)

Строки с № 394 по № 426

В этом месте наш друг уже был готов уйти. Но перед этим он установил новые пароли в использованные им неактивные («спящие») учетные записи. Этот шаг сделает его следующий взлом более легким. (По этой причине вы должны всегда устанавливать новые пароли после взлома!)

Строки с № 427 по № 431

Для одного дня достаточно. Наш непрошеный гость замел свои следы (не показано из соображений безопасности) и закрыл сессию.

394 # passwd ericc

395 Changing password for ericc on suntzu.

396 New password:

397 Retype new password:

398 # grep lori /etc/passwd

399 lori: FAJEq1YKw4p7.,0:5734:50:Lori:/home/guest/lori:/bin/csh

400 # pwd

401 /tmp_mnt/home/se/wendy

402 # cd /home/guests

403 /home/guests: bad directory

404 # cd /home/guest

405 # Is — tal lori

406 total 10

407 drwxr-xr-x 52 root 1024 Sep 12 14:25..

408 drwxr-xr-x 3 lori 512 Aug 9 18:46.

409 — rw-r-r- 1 lori 1262 Aug 9 18:46.M23set,v1.1

410 drwxr-xr-x 2 lori 512 Aug 8 17:45.dist

411 — rw-r-r- 1 lori 1457Jun 7 1991.login

412 — rw-r-r- 1 lori 2687 Jun 7 1991.cshrc

413 # last lori

414 wtmp begins Wed Jul 1 18:46

415 # passwd ericc

416 Changing password for ericc on suntzu

417 New password:

418 Retype new password:

419 # passwd lori

42 °Changing password for lori on suntzu

421 New password:

422 Retype new password:

423 # passwd jeff

424 Changing password for jeff on suntzu

425 New password:

426 Retype new password:

427 #л D

428 $ л0

429valley%"D

430 There are stopped jobs

431 valley% logout

Заключение

Действительно, пугает в этом взломе то, что нарушитель никогда не будет пойман. Из моего большого опыта я знаю, что он, скорее всего, сейчас где-то неподалеку, «барабанит в двери» и устанавливает новые пароли в «спящие» (неактивные) учетные записи в других сетях.

Этот пример взлома дает нам многое для того, чтобы избежать вторжений. Из него можно извлечь следующие уроки:

• Каждая учетная запись должна иметь пароль (см. строку № 1).

• Следует избегать создания «гостевых» учетных записей (см. также строку № 1).

• Патчи, повышающие безопасность должны устанавливаться на каждую машину в сети (см. строки с № 6 по № 23).

• Нужно с осторожностью устанавливать доверие между системами (см. строки с № 105 по № 119, с № 264 по № 270 и с № 282 по № 287).

• Необходимо регулярно удалять «спящие» учетные записи. Хакеры часто ищут «спящие» учетные записи, так как никто, скорее всего, не заметит, как кто-то использует его учетную запись (см. строки с № 320 по № 393).

• Всегда нужно устанавливать новые пароли после успешного взлома (см. строки с № 394 по № 426).

Приложение А

Люди и продукты, о которых следует знать

Создание и поддержка безопасной сетевой среды требуют определенных затрат времени. В этом приложении содержится информация об организациях и ресурсах, связанных с обеспечением безопасности, базах данных об уязвимых местах, о псевдонимах почтовой рассылки, получении правовой поддержки, бесплатных продуктах и поставщиках средств защиты. Поддерживать защиту сетей нелегко — вы должны знать, с какими людьми сотрудничать и какие продукты покупать.

Организации, связанные с обеспечением безопасности

American Society for Industrial Security (ASIS)

Американское общество по промышленной безопасности является профессиональной организацией для менеджеров, работающих в области безопасности. Она издает ежемесячный журнал, посвященный вопросам безопасности и управлению в страховых случаях. ASIS также является спонсором совещаний по вопросам безопасности и другой деятельности.

CERT

Группа реагирования на чрезвычайные ситуации (Computer Emergency Response Team) содействует получению знаний в области безопасности, обеспечивает круглосуточную техническую помощь при инцидентах, связанных с безопасностью компьютеров и сетей, и предлагает обучение по вопросам безопасности и другие услуги в данной области. CERT размещается в Software Engineering Institute, Carnegie Mellon University (CMU), в г. Питтсбург, шт. Пенсильвания (Pittsburgh, PA). Телефон круглосуточной горячей линии: 412-268-7090. www.cert.org

CERIAS

CERIAS (произносится как слово «serious» [73]) — это Центр по обучению и исследованиям в области обеспечения безопасности и защиты информации (Center for Education and Research in Information Assurance and Security) при Purdue University. Спонсорская программа обеспечивает ранний доступ к технологиям и содействует участию в решении проблем и установлению связей с исследователями в данной отрасли.

www.cerias.org

CIAC

Наблюдательный отдел по компьютерным инцидентам Министерства энергетики США (Computer Incident Advisory Capability — CIAC) размещается в Национальной лаборатории имени Лоуренса Ливермора (Lawrence Livermore National Laboratory). Он обеспечивает компьютерную безопасность МЭ и делится советами и инструментами в области безопасности с Интернет-сообществом.

www.ciac.org/ciac

Computer Security Institute (CSI)

Институт компьютерной безопасности является спонсором семинаров и конференций по вопросам безопасности. Он также выпускает ежемесячный информационный бюллетень и ежеквартальный журнал с результатами исследований по компьютерной безопасности.

www.gocsi.com

EFF

«Фонд электронного фронтира» (Electronic Frontier Foundation — EFF) является некоммерческой организацией, заботящейся о тайне личной информации, свободе ее выражения и доступности.

www.eff.org

FIRST [74]

FIRST является коалицией, объединяющей различные группы реагирования на компьютерные инциденты (Computer Security Incident Response Team — CSIRT) по всему миру. Большинство из этих организаций оказывают круглосуточную помощь по телефону без выходных дней. Если у вас произошел взлом или возникла проблема, связанная с безопасностью, то вы можете обратиться за помощью в одну из таких организаций. Членами FIRST являются все наиболее опытные группы, включая CERT, CIAC (Министерство энергетики США), AUS-CERT (Австралия) и DFN/CERT (Германия). Для получения текущего списка групп-участников FIRST введите адрес домашней страницы FIRST в ваш браузер.

www.first.org.

High Technology Crimes Investigation Association (HTCIA)

Ассоциация по расследованию преступлений в области высоких технологий объединяет лиц, занимающихся расследованием и рассмотрением в суде преступлений в данной области. В Соединенных Штатах имеются несколько отделений этой организации.