Искусство вторжения
Шрифт:
Дело продвигалось не быстро. Несмотря на то, что он находился в приложении с привилегиями администратора, это ни на шаг не приблизило его к кодам программы. Следующей целью Роберта стала попытка получить доступ к их внутренней сети через настройки VPN.
В качестве проверки, через меню helpdesk он попытался изменить пароль одного из «спящих» аккаунтов (в этом случае его активность было труднее заметить сразу) и добавить его в группу администратора. Он выяснил, как устроена V P N и «попробовал команду VPNin. Все было хорошо, но работало медленно».
«Я проник внутрь примерно в час ночи. Поскольку я находился в Австралии, разница
Роберт считает, что он понимает, как работают люди, занимающиеся безопасностью информационных технологий, поскольку они не слишком отличаются от остальных людей, «Единственный способ заметить меня для них были регулярные проверки записей о всей активности в сети». Его мнение о людях, занимающихся ИТ и безопасностью, как минимум, не восторженное. «Поверьте, люди не просматривают подобные записи каждое утро. Когда они садятся за свой компьютер, они берут чашечку кофе и читают последние новости в Интернете. Это гораздо интереснее, чем бросаться проверять, не изменил ли кто-нибудь вчера их пароли».
За время своих хакерских попыток Роберт понял: «когда вы меняете что-то на сайте, люди либо замечают это сразу, либо не замечают никогда. Изменения, сделанные мной, можно было заметить только в том случае, если запускать специальную программу типа Tripware». Роберт имеет в виду приложение, которое проверяет целостность системы и ее приложений, производя вычисление криптографических проверочных сумм и сравнение их с таблицей известных значений. «Тогда они заметили бы, что программа была изменена».
В этом он был абсолютно убежден и употреблял специальный термин «М&М-безопасность» — жесткая на вид и мягкая на самом деле. «В обычных условиях никто не беспокоится о наличии хакера в их сети, потому что они находятся внутри системы. После того, как вам удалось проникнуть внутрь тщательно охраняемого периметра, вы можете чувствовать себя практически, как у себя дома». (Эта фраза означает, что после проникновения хакера в систему и использования им внутренних ресурсов от имени какого-то авторизованного пользователя, очень трудно понять, что это чужеродная активность).
Он обнаружил, что аккаунт пользователя, в который он проник (изменив пароль) через приложение helpdesk, позволил ему проникнуть в сеть через сервис Microsoft VPN. После этого его компьютер соединился с внутренней сетью компании так, как если бы он использовал компьютер, физически включенный в сеть в помещениях компании.
Итак, он прилагал все усилия для того, чтобы не оставить следов, которые внимательный системный администратор мог бы заметить, и уйти «без шума и пыли».
После соединения с внутренней сетью Роберт определил имена компьютеров, работающих под Windows и их IP-адреса, находя компьютеры с именами FINANCE, BACKUP2, WEB и HELPDESK. Он обнаружил и другие — с именами людей, это были компьютеры отдельных пользователей. Он шел по пути уже не раз описанному другими людьми на этих страницах.
По поводу имен серверов можно сказать, что у кого-то в компании было специфическое чувство юмора, достаточно распространенное на рынке высоких технологий. Все началось еще во времена расцвета компании Apple Computer. Стив Джобс,
Но его привлек сервер с достаточно обычным названием — Backup2. Именно на нем он обнаружил жемчужное зерно: сетевую директорию под именем Johny, где один из сотрудников хранил копии своих файлов. Похоже, что этот сотрудник чувствовал себя достаточно свободно и мало заботился о безопасности. Среди файлов этой директории была и копия его почтовой директории, где находились все его письма. (Под сетевой директорией здесь подразумевается жесткий диск или часть диска, которая специально сконфигурирована так, что позволяет обеспечить доступ к своим файлам различным пользователям).
ОПАСНОСТЬ КОПИРОВАНИЯ ДАННЫХ
Общий для всех нас знаменатель заключается в том, что когда мы хотим скопировать для длительного хранения свои файлы, мы хотим сделать это максимально просто. Если на диске есть достаточно места, то мы копируем все. После чего очень быстро забываем о сделанном. Число подобных копий, лежащих повсюду, огромно. Люди просто делают их, а об их удалении задумываются только тогда, когда на сервере заканчивается свободное место.
«Часто, — комментирует Роберт. — подобные копии действительно содержат важную, существенную, удивительную информацию, о которой никто и не вспоминает, потому что она лежит в архиве. Причем с очень невысокой степенью защиты». (Кстати, в мои молодые годы я пришел к такому же выводу. Компания может прилагать немалые усилия для того, чтобы защитить те или иные данные, но вот к архивным копиям тех же самых данных отношение совсем наплевательское. Когда я был «в бегах», то работал в одной юридической фирме, которая хранила ленты со своими копиями в ящике, стоявшем за пределами охраняемой компьютерной комнаты, чтобы их могли забрать представители компании, занимающейся хранением таких лент. Любой мог украсть эти ленты без малейшего опасения быть пойманным). На сервере Backup2 он обнаружил директорию общего доступа, в которую один из сотрудников скопировал все свои файлы. Он постарался представить себе, как это могло получиться:
«Однажды этот парень очень спешил. Он подумал: „мне надо сделать резервную копию“, и он ее сделал, И после трех или четырех месяцев она все еще лежала на прежнем месте.
Я подумал, что этим парнем вполне мог быть системный администратор, поскольку это явно не был обычный разработчик или кто-то еще без соответствующих п р а в доступа. Это был один из тех, кто мог создавать директории общего доступа, но он мало заботился о безопасности».
Роберт продолжает:
«Если бы он разбирался в безопасности, как я, например, то он бы защитил эту сетевую директорию специальным паролем и назвал бы ее как-нибудь неприметно. А п о с л е какого-то времени у д а л и л бы е е » .