На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Когда хакеры — лучшие друзья банка...

Верить можно только Богу.
Все остальные — под подозрением.
Кевин Митник


Во времена, когда сыскное дело только зарождалось, первыми и наилучшими полицейскими сыщикам и были прежние воры, которые порвали с вольной жизнью и вступили на светлый путь исправления. Таким в России был Ванька Каин, а во Франции — Видок. Ныне, ког­да компьютерные преступники используют против банков новейшие компьютерные технологии, вновь приходит на выручку прежняя мето­дика. Тому, кто хочет узнать, насколько хорошо защищен его Web-сер-вер, можно посоветовать весьма надежное средство: нанять хакера и попросить его взломать защиту. Этот способ сослужил отличную
службу одной финансовой организации, собиравшейся проводить
банковские операции с помощью Web-технологий. Компания наняла специальную группу хакеров, которая нашла «дыры» в системе защи­ты прежде, чем услуга была предоставлена публике в уже исправлен­ном виде, недоступном обычному хакеру. Тем самым удалось умень­шить риск проникновения электронного воришки в систему, где хра­нятся чужие деньги.
Расскажем о реальном случае, произошедшем в банковской сфе­ре. Названия, имена и прочие детали изменены таким образом, чтобы организацию нельзя было «вычислить». Во всем остальном история правдива.
Состояние вице-президента по безопасности Super Grand World
Bank, назовем его Билли Розуотером, было близко к паническому. Он
только что выяснил, что его банк собирается внедрять систему услуг для удаленных клиентов на базе Web-технологий; услугой предпола­галось охватить несколько миллионов человек по всему миру. Банк
должен был предоставить удаленным клиентам возможность знако­миться с состоянием счетов по Интернету, и точно так же по Интерне­ту выполнять переводы и платежи и управлять движением своих средств.
Розуотер не понимал, почему его никто не предупредил о разра­ботке проекта, который ставил колоссальное количество проблем пе­ред службой безопасности. Уже началось бета-тестирование програм­мы; до внедрения новой он-лайновой услуги оставалось не больше двух месяцев. Президент банка решил, что его главного «секыоритн» просто «заклинило», и предложил ему как можно скорее найти выход из ситуации.
Необходимо было срочно оценить, насколько безопасна система банковской сети. Ведь достаточно даже не злоумышленного «взлома» системы, а просто Web-хулиганства, чтобы клиент потерял доверие к услуге, а банк лишился части дохода. Последовало решение: нанять людей, которые попытаются проникнуть в систему извне и тем самым определят слабые места в ее защите.
Розуотер заключил контракт с одной командой хакеров и та на­чала работать. Он постарался заранее объяснить, в чем состоит задача экспериментального проникновения, или, если можно так выразиться, «дружественного» взлома. Предстояло оценить целостность новой ус­луги и определить, как эта услуга соотносится с прочими банковскими операциями; выявить слабые места; предложить решения по улучше­нию защиты; продемонстрировать возможные последствия взлома. Разработка планов вторжения
При моделировании атаки на банк извне необходимо было вна­чале определить, кто является потенциальным злоумышленником. Большинство компаний представляют себе в этом качестве какого-ни­будь профессионального преступника, иностранную державу, шпиона, конкурента-террориста или просто 16-летнего подростка, развлекаю­щегося с клавиатурой. Директор сказал, что более всего боится между­народных преступников, действующих из корыстных побуждений.
После этого хакеры смогли решить, как надо проводить «дружествен­ный» взлом сетей и Web-узлов банка.
Бесспорно, многое зависит от того, насколько далеко готов зайти
потенциальный хакер. Для получения информации, которая может
оказаться полезной при взломе, часто используются разнообразные психологические приемы. Например, преступник звонит в офис и ми­ло расспрашивает сотрудников о преимуществах нового пакета услуг, попутно задавая вопросы относительно системы безопасности.
Другой, часто встречающийся прием, — разгребание мусора. Очень часто сотрудники компаний довольно легкомысленно выбра­сывают внутренние телефонные справочники, техническую докумен­тацию, диски и многое другое. Это же настоящая золотая жила для злоумышленника!
Хакеры пытались войти в систему разными способами. Доступ можно получить через телефонную систему, порты для технической поддержки и прочие электронные «форточки». Они не брезговали и психологическими штучками, прикидываясь по телефону то сотруд­никами компании, то поставщиками. В корпоративном мусоре они то­же покопались, но занимались этим только за пределами организации.
Хакеры вначале строго очертили для себя запретные зоны. Запрещенными считались: психологические приемы с использовани­ем электронной почты, разгребание мусора на территории организа­ции, себя за сотрудника банка при личном контакте, а так­же попытки проникновения в системы бизнес-партнеров банка. Ис­ключались и более грубые методы, вроде вымогательства, силового давления, шантажа и копания в биографиях сотрудников банка. Часть из этих «методов» была отклонена по соображениям законности, на
другие не согласилась служба безопасности банка. Все эти ограниче­ния помешали команде полностью смоделировать действия альных злоумышленников.
Тем, кто надумает пойти по пути мистера Розуотера, стоит учесть, что и само хакерство — деяние противозаконное; иногда оно даже преследуется в уголовном порядке. Поэтому не забудьте выдать нанимаемой вами команде письменное разрешение на все предприни­маемые действия. Если какие-то действия группы, оценивающей сис­тему безопасности, будут выявлены (правда, вероятность этого мала), неверно поняты и зарегистрированы как правонарушение, эта бумага поможет приглашенным хакерам избежать неприятностей. Ясно, впрочем, что ни одна компания не разрешит сторонней организации вторгнуться в свою вычислительную сеть.
Разумный хакер собирает информацию любыми доступными
средствами — в ход идут, например, открытые документы, финансовые отчеты, техническая документация. Хакеры собирают данные об ис­пользуемых операционных системах, продуктах, являющихся основой
информационной системы, телефонных станциях, а также физические
адреса центров хранения данных и телефонных узлов. Чтобы сэконо­мить время и деньги, Розуотер сам передал всю эту информацию наня­той рабочей группе.
Бесспорно, добросовестный хакер сделает все возможное, чтобы максимально приблизиться к объекту атаки. Розуотер открыл на имя руководителя группы легальный банковский счет на сумму 1000 долларов. С этим счетом группа могла работать по телефону или через пилотный Web-узел, к которому имело доступ ограниченное число ра­ботников банка.
Найти ахиллесову пяту
Покончив с предварительными изысканиями, группа злоумыш­ленников начинает составлять схему сети. Указываются IP-адреса,
физическое размещение устройств, порты для управления устройства­ми и связи через коммутируемую сеть, телефонные модули го­лосового ответа, сети под SNA, серверы, поддерживающие услуги Routing and Remote Access Service от Microsoft, маршрутизаторы и прочие точки, где происходит аутентификация удаленных абонентов.
В составлении такой карты значительную помощь могут оказать некоторые широко распространенные методы и средства анализа. Например, порывшись как следует на Web-узле InterNIC, можно по­лучить массу информации о структуре IP-сети компании. Существу­ют специальные программы — «демоны», которые автоматически пе­ребирают десятки тысяч телефонных номеров, реагируя только на то­новые сигналы от модемов, — таким образом можно что трубку на противоположном конце «снял» компьютер. протоколов позволяет ознакомиться с трафиком, передаваемым по об­наруженным IP-каналам организации. Проникнув в сеть, хакер спосо­бен применить анализаторы протоколов для слежения за трафиком и
перехвата паролей.
Группа оценки системы защиты обязательно должна вести учет всех своих действий. Если выяснится, что на систему оказывается
вредное воздействие, контрольный журнал поможет разобраться в
произошедшем и устранить последствия такого вмешательства.
Следующий шаг состоит в том, чтобы проанализировать масштаб IP-области, связанной с компанией (т. е. узнать, имеет она IP-адрес класса В или С); это можно сделать       помощи InterNIC или
любого другого средства. Например, воспользовавшись командой
nslookup, мы выяснили, какие IP-адреса можно атаковать. Затем хаке­ры зашли по telnet на Unix-машину, на которой была установлена программа Sendmail 5. х, в чьей системе защиты имеется ряд дыр; че­рез них можно попытаться проникнуть на почтовый сервер.
Обнаружилось, что системный оператор не входил в систему
уже 19 дней; испытатели расценили это как недостаток системы защи­ты. Выяснилось также, что в настоящий момент в системе работают
два человека; испытатели решили дождаться, пока они выйдут, и толь­ко тогда начать атаку. Кроме того, хакеры запустили специальную про­грамму, которая помогла им скрыть свои настоящие IP-адреса и име­на.
Для поиска других слабых мест в системе защиты хакеры вос­пользовались средствами оценки надежности защиты данных Internet Scanner от Internet Security Systems и бесплатной программой Satan. Сгодятся и другие программы, например, Netective от Netect, Ballista от Secure Networks и NetSonar от Wheel Group. Многие из этих |рограмм можно бесплатно загрузить через Internet.
У каждого из продуктов есть свои достоинства и недостатки, по-ому, чтобы прикрыть все «дыры», хакеры запасаются несколькими
ограммами. Эти средства помогут найти плохо сконфигурированные
ерверы, маршрутизаторы с «дырами», проблемы в системной базе
(registry) Windows NT, неправильно сконфигурированные операцион­ные системы, неустановленные протоколы, слабые пароли, неправиль­ные версии программного обеспечения и устаревшие «заплаты».
Хакеры опробовали и парочку психологических приемов. При­кинувшись инженером из компании-производителя, один из них пару
раз позвонил в группу разработки информационных систем банка и
получил данные о структуре сети банка. Кроме того, хакерам удалось раздобыть довольно подробные данные о пеком работнике банка; по­том один из них притворился этим работником, получив в свое распо­ряжение дополнительные средства доступа к электронным ресурсам.
Вооружившись результатами сканирования, информацией из
открытых источников и данными, полученными с помощью психоло­гических приемов, группа полностью подготовилась к штурму инфор­мационной системы банка. Бесспорно, самым серьезным моментом операции была именно попытка взлома. Нужно быть очень внима­тельными, чтобы не нанести серьезного ущерба системе защиты дан­ных. В таких делах следует избегать легковесных подходов: аккуратно проникнуть в систему куда труднее, чем запустить средство сканиро­вания сети и составить отчет.
Взлом
Группа взломала банковский компьютер, воспользовавшись сла­бостью парольной защиты, обнаруженными старыми версиями почто-
программ (чьи хорошо известные «дыры» в системе защиты так и не были залатаны), telnet-доступом к незащищенным портам. Кроме они загружали по FTP файлы с паролями и меняли их. Может быть, кому-то покажется, что все это чересчур просто, однако боль­шинство «дыр» защиты связано именно с тем, что в организации от­сутствует практика каждодневного выполнения неких
операций.
В корпоративную сеть можно войти через сервисы TCP/IP, пор­ты управления на включенных в сеть компьютерах и офисных АТС, принимающих участие в передаче данных. Можно также воспользо­ваться дополнительными средствами, выявленными на этапе исследо­вания сети.
Что касается сети банка, то были выявлены две его слабые точ­ки. Во-первых, порт технического обслуживания AS/400 был закрыт паролем, установленным производителем по умолчанию; в результате, взломщики получили возможность делать с этой системой все, что угодно. Во-вторых, на почтовом сервере имелась устаревшая версия Unix, на которую не установили заплаты. Там обнаружи-
лось несколько дыр; в частности, можно было отправлять почту и за­писывать файлы в корневой уровень каталога. Таким образом, взлом­щики получили контроль над этим сервером, после чего смогли взаи­модействовать с серверами на уровне.
Далее потребовалось составить себе представление о внутренней
инфраструктуре сети. Чтобы обнаружить слабые места, взломщики
воспользовались средствами автоматического взлома паролей. Выяс­нилось, что недостаточно надежно защищены система управления приложениями, средства системного управления, системные утилиты, а также средства управления операционными системами на корневом уровне.
Вот пример того, почему система оказывается недостаточно на­дежной. Предположим, что внешний канал TCP/IP приходит на Сер­вер 1, работающий под Windows NT. Остальные семь серверов (со вто­рого по восьмой) могут взаимодействовать с внешним миром только
через Сервер 1; следовательно, этот сервер «перекрывает» единствен­ный путь проникновения в систему извне. Администраторы часто ду­мают, что для обеспечения безопасности системы нужно лишь закрыть к ней доступ снаружи. На защиту внутренних каналов передачи
информации обращают куда меньше внимания, что значительно об­легчает жизнь хакеру.

Телефонное хулиганство
Руководитель банковской службы безопасности обязан выяс­нить, насколько надежно защищена ваша корпоративная АТС. У нее вполне могут обнаружиться недокументированные каналы связи с сетью передачи данных, что откроет путь потенциальным злоумыш­ленникам. К счастью для банка, о коем идет речь, здесь взломщикам далеко продвинуться не удалось.
Проникновение в РВХ или системы голосового ответа дает мас­су ценной информации о портах доступа, прямого администрирования извне и технического обслуживания, о внутренних прикладных систе­мах с распознаванием голоса, а также о службе голосовой почты в РВХ. Таким образом, хакер может получить доступ к банковским счетам и системам управления.
Чтобы уберечь РВХ от проникновения хакера, нужно поменять все пароли по умолчанию и изучить все контрольные журналы, соста­вив представление о нормальном режиме работы АТС. Проверяйте все
модификации программного обеспечения и системные «заплаты» на
предмет того, не способствуют ли они возникновению новых слабых мест. Необходимо также убедиться, что в вашей системе нет каких-ни­будь неизвестных вам модемов. Помните: система, в которой случайно окажутся модем и ПК под Remote Server Mode, будет полностью открыта для вторжения извне.
Воспользовавшись программой автоматического подбора номе­ра, было обнаружено некоторое число модемов в телефонном прост­ранстве банка. Через них хакеры попытались «влезть» в эти модемы и проверить их защиту. Часть модемных входов была закрыта паролем. Запустив программу подбора пароля, чтобы проверить, насколько сильна эта защита, они ничего не добились. Зато им удалось вруч­ную (!) подобрать пароль к порту технической поддержки маршрути­затора!
Попав через этот порт в сеть, а потом зайдя на AS/400, перевели
небольшую сумму на контрольный тысячедолларовый счет с чужого
счета. Если хакеры сумели это сделать, то что помешает хакеру пере­вести миллион долларов? Или миллиард? Однако теперь, ориентиру­ясь на результаты изысканий в области психологических приемов, банк установил некую предельную сумму сделки, при превышении ко­торой вступают в действие механизмы обнаружения финансового мо­шенничества.
Проникнув на AS/400 и получив доступ к мэйнфреймам, хакеры начали атаку на систему защиты Resource Access Control Facility. Но тут сотрудники банка, уже убедившиеся в наличии «дыр» в Web-сис-теме, решили прекратить эксперименты.

Резюме
По результатам псевдо-взлома был выработан ряд стратегичес­ких рекомендаций и даны советы по использованию конкретных про­цедур, методов и технологий, которые помогут проблемы с за­щитой данных. Так, банку были даны рекомендации по выработке по­литики в области Web-безопасности и реализации метода поиска сла­бых мест. Кроме        хакеры указали, как можно связать между собой
различные схемы парольной защиты и добиться оптимального выбора
паролей. Сотрудникам отдела автоматизации посоветовали устано­вить новые версии некоторых операционных систем и перевести опре­деленные системы с Unix на Windows NT, поскольку ряд приложений
лучше работает под NT.
Главное изменение состояло в том, чтобы вывести часть услуг на отдельные серверы, повысив тем самым степень защиты. Если услуги типа FTP и размещения Web-серверов сосредоточены на одной маши­не, это снижает уровень информационной безопасности.
Розуотер, впрочем, оказался достаточно разумным, чтобы осознать: одних этих мер недостаточно для обеспечения неуязвимости
информационной системы банка. Было выяснено, как защищена кон­фиденциальность информации, насколько хорошо обеспечивается це­лостность данных и как устроена система управления доступом, одна­ко из рассмотрения выпал такой важнейший аспект информационной
безопасности, как готовность системы.
Банк намеревался предоставлять Internet-услуги для получения дополнительного дохода и укрепления доверия клиентов. Для этого сервер должен работать без перерывов и выходных. Если в результате атаки хакера обслуживание прервется, то, несомненно, пострадают как финансовые дела банка, так и его отношения с клиентами. Мало того, следы Web-хулиганства на сервере способны «подпортить» имидж са­мой компании, ее продуктов и услуг, в особенности, если на деловых страничках появятся порнографические картинки.
Хакерская группа решила выяснить, насколько легко хакер су­меет вызвать на Web-сервере банка перебои в обслуживании. Для это­го взломщики воспользовались разнообразными программами. Неко­торые разработанные хакерами программы, вызывающие сбои обслу­живания, можно загрузить по Internet, однако чтобы заставить их ра­ботать, с ними приходится долго возиться.
Применялись почтовые бомбы для переполнения сети, затопле-
сети пакетами синхронизации (SYN flooding), а также смер­ти», т. е. нападение с использованием шшг-пакетов, иногда приводя­щее к зависанию серверов. Обязательно попросите группы оценки ин­формационной безопасности исследовать устойчивость к искусствен­ным перебоям в обслуживании; такие атаки могут полностью вывести сервер из строя. Необходимо также выяснить, сколько времени зани­мает восстановление работоспособности системы.
Экзамены никогда не кончаются
Когда нанятым хакерам удалось взломать систему, ваша работа только начинается. Ни в коем случае не следует считать, что сам факт
тестирования уже обеспечивает информационную безопасность.
Оценка системы безопасности (вроде той, что была предпринята по за­казу банка) дает только о состоянии сети на момент
проведения операции. Система информационной безопасности пре­терпевает постоянные и требует к себе постоянного внима­ния.
Первый всеобъемлющий тест должен рассматриваться вами как отправная точка. Не забывайте время от времени выделять деньги на повторные обследования. Не менее важно и то, чтобы исследования проводились до запуска онлайновых услуг, а не после того, как «ды­ры» в защите дадут о себе знать.
Не забывайте девиз: «Взломай свою систему сам, пока кто-то не сделает этого без твоего ведома». А пока — удачной охоты!
Вместо заключения
На проходившей в среду в Лос-Анджелесе конференции «Giga Information Group» известный хакер Кевин Митник выступил с об­ширным докладом, посвященным компьютерной безопасности.
Митник призвал бизнесменов не доверять всем без исключения, прибавив, что до тех пор, пока абсолютно все сотрудники фирмы, от менеджеров до секретарш, не будут знать, каким образом и с какими целями хакеры совершают свои атаки, корпоративные и веб-сай­ты не будут защищены от взлома.
Бывший хакер подробно описал образ мышления, цели и методы хакеров, взламывающих корпоративные компьютерные сети, а также
подробно разъяснил, каким образом каждый сотрудник должен бо­роться с возможным проникновением взломщиков в систему.

Служащие должны уметь правильно выбирать пароли и исполь­зовать процедуры защиты от вирусов и «троянских коней». «Наивно думать, что простая установка защиты типа firewall защитит от потен­циальной угрозы», — говорит Mi mm к, «Такая уверенность создает ложное чувство безопасности, которое еще хуже, чем отсутствие безо­пасности вообще».
Митник разъяснил физические методы получения доступа и указал самые уязвимые точки стандартной сети. К ним он, в частнос­ти, отнес оставленные без присмотра конференц-залы с розетками для подключения коммуникационных устройств, компьютерные классы, телефонные и кабельные шкафы.
Он посоветовал также строго учи­тывать всю важную конфиденциальную
информацию и стирать.данные с выбра­сываемых магнитных носителей. «Копа­ние в мусоре, — заявил он, — наиболее по­пулярный метод хакеров добывать спис­ки паролей и другую корпоративную ин­формацию».
«В современном мире, -- сказал в заключение Митник, невозможно пол­ностью исключить угрозу, связанную с компьютерной безопасностью, поскольку
всегда найдутся люди, способные найти
уязвимые места в системе и воспользо-ватьсяэтим. Однако самое слабое место-
это люди. Заставьте их понять, что безо-  Супер-хакер Кевин Митник пасность - - это динамический процесс, это постоянно развивающаяся, живущая по своим законам система».
Сейчас Кевин Митник находится на трехлетнем испыта­тельном сроке, в течение которого ему запрещено пользо­ваться компьютером без специального разрешения суда.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика