Искусство вторжения
Шрифт:
После установки и конфигурации прокси-сервера его необходимо проверить на наличие лазеек. Никогда нельзя быть уверенным в собственной неуязвимости, пока не будет проведена тщательная проверка. Прокси-серверы могут быть бесплатно перегружены из Интернета.
Еще один момент: поскольку, устанавливая пакет того или иного программного обеспечения, пользователь может в какой-то момент неосознанно установить и ПО для прокси-сервера, компания должна взять себе за правило тщательно проверять все свои компьютеры на неавторизованную установку прокси-серверов, которые могут быть установлены неосознанно. С этой целью вы можете использовать любимое средство Адриана — Proxy Hunter — для проверки собственной
Подавляющее большинство хакерских атак может быть остановлено при помощи обычных мер безопасности и стандартных проверок. Опасность случайной установки открытого прокси-сервера слишком часто недооценивается и представляет собой главную уязвимость в большинстве организаций.
По-моему, сказано более, чем достаточно, не правда ли?
ПОСЛЕСЛОВИЕ
Люди с оригинальным мышлением, глубокие философы, какой бы деятельностью они ни занимались, видят мир (или, по крайней мере, его часть) более ясно, чем остальные, и они заслуживают поддержки.
С такими, как Адриан Ламо. имеет смысл сотрудничать конструктивно. Он может сделать много хорошего. Я буду следить за его развитием с удовольствием.
Глава 6.
Мудрость и глупость проверок безопасности
Системы безопасности должны побеждать каждый раз, а атакующему достаточно и одной победы.
Дастин Дюкс
Начальник тюрьмы приглашает экспертов для того, чтобы проверить процедуры безопасности в его учреждении, заботясь о наличии любой бреши, которая позволит заключенному ускользнуть. Все компании думают в том же направлении, что и приводит их в фирмы, занимающиеся обеспечением безопасности, с просьбой проверить защищенность их Интернет-сайта и компьютерных сетей от вторжения хакеров, которые будут пытаться найти путь к важной информации, или местам ограниченного доступа, или же брешей в системах безопасности, которые могли бы поставить компанию на грань риска.
Для людей, занимающихся безопасностью, это носит специальное название «тесты проникновения», или, на профессиональном жаргоне «pen tests». Фирмы, занимающиеся безопасностью, которые проводят эти тесты, часто берут к себе на работу (вот уж сюрприз!) бывших хакеров. И основатели этих фирм часто являются людьми с таким хакерским прошлым, что предпочитают держать его в тайне от своих клиентов. В том, что профессионалы в области безопасности приходят из хакерской среды, есть глубокий смысл, поскольку настоящий хакер хорошо знает, как все традиционные, так и нетрадиционные ходы, которые компании непреднамеренно оставляют открытыми в свои внутренние «святая святых». Многие из этих бывших хакеров знают «с младых ногтей», что термин «безопасность» в большинстве случаев употребляется неправильно.
Любую компанию, которая заказывает «pen test» и ожидает результатов, чтобы убедиться в том, что их система нетронута и не имеет брешей, ожидает сильное разочарование. Профессионалы в бизнесе проведения проверок безопасности часто отыскивают одни и те же старые ошибки: компании просто не прилагают достаточно усилий к тому, чтобы достойно защитить свою ценную информацию и компьютерные системы.
Причина, по которой компании и государственные агентства проводят проверку безопасности, заключается в стремлении узнать истинное положение вещей в данный момент времени. Более того, они могут ощутить прогресс после устранения найденных уязвимостей. Тест проникновения в некотором смысле
Поэтому проверять безопасность в надежде, что она подтвердит правильность действий компании по защите ценной информации, просто глупо. Результат скорее всего докажет обратное, что и демонстрируют следующие истории — одна о консалтинговой компании, другая — о биотехнической фирме.
ОДНОЙ ХОЛОДНОЙ ЗИМОЙ
Не так давно несколько менеджеров и руководителей большой И Т —компании в Новой Англии собрались в своей комнате для переговоров, чтобы пообщаться с двумя консультантами. Могу себе представить, как технологические эксперты компании удивились, увидев рядом с собой за столом консультанта Питера Затко. в недалеком хакерском прошлом хорошо известного под именем Mudge.
В начале девяностых годов Mudge с приятелями собрал единомышленников, чтобы работать вместе в небольшой комнатке на складе в Бостоне; эта группа стала уважаемым игроком на рынке компьютерной безопасности и стала называться l0pht. или, говоря более точно, l0pht Heavy Industries. (Имя пишется с маленьким 1, нулем вместо буквы «о», затем в хакерском стиле «ph» вместо звука «ф» и произносится «лофт»). После того, как операции становились все более успешными, и репутация фирмы укреплялась. Mudge стали приглашать для того, чтобы он мог поделиться своими знаниями. Он читал лекции в таких местах, как школа военной стратегии в Монте-рее на тему «Информационное оружие» — как проникнуть во вражеский компьютер и нарушить его работу, не будучи замеченным, а также о технологиях разрушения информации и т.п.
Одно из самых популярных средств для компьютерных хакеров (а иногда и для сотрудников безопасности) — это пакет программ под названием l0phtCrack. Волшебные свойства этой программы воспринимаются теми, кто ее использует, как должное, но я подозреваю, что многие другие люди ее люто ненавидят. Группа l0pht привлекла внимание СМИ, поскольку именно ее члены написали эту программу, которая быстро взламывает множество закодированных паролей. Mudge был соавтором в создании l0phtCrack и одним из основателей Интернет-сайта, который сделал эту программу доступной для хакеров и любого заинтересованного человека, сначала бесплатно. а потом — за деньги.
ПЕРВАЯ ВСТРЕЧА
Запрос, который получила компания Lopht от консалтинговой компании (мы будем называть ее «Newton»), возник после того, как компания решила расширить спектр услуг, который она предлагала своим клиентам, добавив в него тесты безопасности. Вместо того, чтобы нанимать новых людей и постепенно строить соответствующий отдел, они решили обратиться к существующим организациям за теми решениями, которые они могли бы купить и использовать в своих целях. В начале встречи один из сотрудников компании изложил эту идею: «Мы хотим купить вас и сделать частью нашей компании». Mudge вспоминает реакцию:
«Наша реакция была типа: „Хорошо, но… вы нас совсем не знаете“. Мыто знали, что они были глубоко заинтересованы в нас благодаря тому шуму, который СМИ подняли по поводу l0pht».
Отчасти, чтобы выиграть время, необходимое для того, чтобы привыкнуть к мысли о продаже компании, отчасти из-за того, что он не хотел форсировать сделку, Mudge решил выбрать тактику выжидания.
«Я сказал: „ В ы просто не знаете, что покупаете. Что вы скажете о пятнадцати тысячах долларов в качестве нашего гонорара, ведь нам придется серьезно поработать с этими тестами“.