Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?
День 1-й: Тестирование безопасности
Когда Мэтт стал руководить сетью компьютеров больницы, то он начал искать пути улучшения производительности сети и ее технической поддержки. Ему было очень важно поддерживать систему в готовности к применению. Доступность системы была одной из целей Мэтта.
Доступность — это важная цель. Если вы не можете получить доступ к информации о пациентах из-за того, что системы постоянно не работают, то у вас появятся проблемы (и вполне осязаемые). Мэтт постарался обеспечить надежный механизм отчетов о доступности систем. Один из системных администраторов даже отвечал за отправку таких ежедневных и ежемесячных отчетов Мэтту. Таким образом, Мэтт проявлял живой интерес к производительности и доступности сети.
В это же время аудиторы больницы решили провести неплановый аудит безопасности. Аудит был задуман без оповещения кого-либо из персонала, обслуживающего компьютеры, — даже Мэтта.
Довольно занятно работать в компании десятки лет и не знать ее собственных аудиторов. Но. они действительно существуют. И появляются по малейшему сигналу. То есть как только почуют риск на вашем участке работы. Аудиторы — это особая порода людей. Они высматривают риск, докладывают о плохом состоянии дел и стараются риск уменьшить.
Менеджер аудита Rockland General Мария Планк наняла меня для проведения аудита их компьютерного зала. Как и большинство больничных аудиторов, Мария не разбиралась в системах своего заведения. Но это не представляло для нее проблем. Она чуяла риск за милю. Это было в ее крови. До нее дошли разговоры о высоком риске в компьютерном зале, и она решила нанять кого-то для проведения аудита. Ей не нужно было выяснять, каким являлся (если он только был) риск: для нее было достаточно получить результаты от эксперта. В этом месте на сцену вышла я.
Выяснение риска
Из разговора с Марией я не получила много информации. Она говорила лишь о подозрении на риск. Я попросила у нее сетевую схему компьютерного зала и список систем, подозреваемых на риск.
Мария предоставила мне временный офис с телефоном и системой. Она также создала мне в системе учетную запись — на случай, если я захочу здесь писать мой отчет. Это было прекрасно. Я взглянула на сетевую схему. Ого, да здесь тонны серверов баз данных. Меня это не удивило — так бывает после основательной оптимизации. Удивительным было другое: ни одному из этих серверов не был присвоен класс риска. Иначе говоря, ни один из них не был обозначен как критичный, особо критичный или некритичный.
Так как Мария не знала, какие серверы подвергаются большему риску, то я решила определить это сама. Есть два способа получить эту информацию. Вы можете открыть сессию на каждом сервере и осмотреть хранящуюся в них информацию. (Этот способ отнимает много времени при наличии большого количества серверов.) Вы также можете опросить системных администраторов. Я не могла этого сделать, так как их не предполагалось уведомлять об аудите. Оставался первый способ. Теперь я вступала в игру. Ее целью было раскрыть как можно больше информации и рисков прежде, чем меня обнаружат.
Первая фаза: Физическая безопасность
Чтобы начать игру, я должна была надеть костюм и исполнить свою роль. Моей целью было проникнуть в компьютерный зал без получения официального разрешения. Надев костюм, я попала в точку — я выглядела как своя.
Мария предложила мне пропуск в компьютерный зал, но я отказалась. Важной стороной моего аудита будет определение возможности, не вызвав подозрений, проникнуть в зал. Для этого я и принарядилась.
Вторая фаза: Прохождение через систему физического контроля
Я попросила Марию побыть в моем офисе и ждать моего звонка, если меня не пропустят. Легко было видеть, что мой подход ей понравился. (Ей самой, наверное, хотелось пойти со мной и посмотреть, что будет. Но она понимала, что у меня ничего не получится в ее присутствии.) Если я пройду, то одно это будет говорить многое о состоянии безопасности. Ведь положение дел, при котором любой сможет пройти в компьютерный зал, не имея на то полномочий, означало бы высокую степень риска. В случае моей удачи Мария уже бы окупила свои расходы. Все другие риски, какие я бы нашла, были бы лишь глазурью на пироге.
С такими мыслями я начала спускаться в компьютерный зал, расположенный в подвале. Согласно документам, я должна была иметь нагрудный знак с разрешением на вход. Но я просто сняла трубку телефона у входа и подождала, когда парень в компьютерном зале мне ответит. Я сказала ему, что прислана внутренним аудитором для проверки некоторых систем. Он немедленно открыл первую дверь и впустил меня. На входе в компьютерный зал было два комплекта дверей и, следовательно, два уровня безопасности. Но когда я прошла и вторые двери, то поняла, что ни один из этих уровней не действовал. Назвав себя, сотрудник вернулся к телефону, по которому он продолжил прерванную мной беседу. Задание выполнено. Он обманут. Я выглядела официально. Я пробралась.
Серверы были расположены аккуратными небольшими рядами, и место выглядело чистым. Не было видно ни клочка бумаги. В принтерах тоже ничего не оставалось. Даже на полу не было ни пятнышка. С потолка не свисало кабелей, должно быть, их спрятали под пол. Можно было сказать, что эти парни здорово потрудились над внешним видом компьютерного зала.
Я прошлась вдоль рядов серверов, высматривая монитор, на котором бы не закрыли сессию. Бесполезно. Мне придется забираться в сеть другим способом. Я поблагодарила впустившего меня парня, одарила его улыбкой и вышла.
Даже если я не смогла легко получить доступ к информации, пробравшись в компьютерный зал, я могла бы оставить бомбу и разрушить всю систему управления. Как знать. Вот поэтому и нужна надежная физическая защита.
Хотя их физическая безопасность оставляла желать лучшего, Rockland Genera! имела очень чистый компьютерный зал. По крайней мере, на день моего прихода. Через неделю я обнаружила, что он замусорен файлами пациентов. Но сегодня они прошли мои тесты наполовину.
Третья фаза: Неавторизованный доступ
Возвращаясь в свой офис, я размышляла над тем, как получить доступ к системам компьютерного зала. Оказавшись в офисе, я вошла в систему. Посмотрев на сетевую схему, я попыталась найти систему, в которой бы содержалась пикантная информация.
Иногда люди дают своим системам открытые имена (как в платежной ведомости), и по ним можно определить, какая информация в них хранится, даже не входя в них. Но не здесь. Все системы были обозначены буквенно-цифровой комбинацией (PR1, PR2 и т. д.). Никаких подсказок.
Я начала зондировать информацию систем наугад. Вы не знаете, как это делается? Я умела получать доступ в системы. Я достала из портфеля мою «походную» дискету и загрузила в систему несколько моих любимых инструментов. Инструменты облегчают нам жизнь. Набор хороших инструментов делает мир совершенно другим. В мой план входило попытаться войти в систему в качестве обычного пользователя, взломать корневой каталог и получить контроль над системой.
Я начала тестировать, доверяет ли мне какая-либо система компьютерного зала. В данном случае доверие означало, что системы были настроены доверять моей системе. Доверяемая система позволяет вам осуществлять легкий доступ без пароля. (Доверительные отношения в сетях могут быть опасными, так как если хакер взломает одну из систем, которой доверяют 50 других систем, то затем он сможет войти в эти 50 систем без пароля.) После того как скрипт был выполнен, оказалось, что мне доверяют десять систем. Не так плохо для меня. Но, определенно, плохо для больницы, для информации и для пациентов.
Я была в системе. Так как я имела учетную запись в машине, то мне представилась хорошая возможность получить информацию. Как только я вошла в первую машину (PR1), в мой офис зашла Мария. Я рассказала ей, что смогла без проблем пройти в компьютерный зал, но не сумела получить оттуда доступ к какой-либо информации. Она не поверила, что кто-нибудь смог бы зайти туда. Мне пришлось объяснять ей, почему я надела костюм.
Продолжая работать, я объяснила Марии мой способ входа в системы компьютерного зала. Я дала ей понять, что проведу остаток дня, собирая информацию. Я попросила ее организовать мне встречу с одним из системных администраторов и менеджером технической поддержки на следующий день. Она согласилась и довольная ушла от меня.
За небольшое время, около минуты, я получила полный контроль над системой. Если вы знакомы с приемами взлома, то это, возможно, покажется вам довольно долго. Как бы то ни было, десять систем, в которые я легко проникла, имели старую версию операционной системы. (Старые версии операционных систем могут сделать систему уязвимой, так как в них, скорее всего, остались старые программные ошибки, используемые хакерами для взлома.) Было похоже, что в этих системах выполнялись приложения, которые не были перенесены на новую версию операционной системы. По крайней мере, это была моя догадка.
