День 1-й: Незащищенные системы
День 1-й: Незащищенные системы
По требованию Чарльза для проведения аудита безопасности был немедленно вызван Мартин Паттерсон, собственный эксперт ISD по безопасности. Мартин был одним из пяти сотрудников группы безопасности в ISD и, бесспорно, лучшим гуру по вопросам безопасности в компании. Он относился со всей серьезностью к любому пробелу в безопасности и всегда ставил реагирование на инциденты выше остальных своих задач. Обычно Мартин оставлял все свои дела и набрасывался на каждый инцидент, касающийся безопасности, со свирепостью питбуля.
Мартин начал аудит с зондирования информации финансовых систем и тестирования сети на наличие дыр. Менее чем за полчаса Мартин обнаружил потрясающие факты. Для компании, в которой так много говорилось о приверженности к безопасности, действительное состояние дел оказалось ужасающим.
Мартин обнаружил, что системы компании были установлены стандартным способом, без настройки безопасности. Наиболее ответственные системы были обезличены и плохо защищены, что превращало всю сеть в зону повышенного риска. Более того, в защите сети было так много дыр, что под конец рабочего дня к ней можно было подобраться «на расстояние выстрела». И такие системы хранили самую секретную финансовую информацию компании!
Далее Мартин узнал, что системы были широко открыты и не имели контрольных или отслеживающих механизмов. Это облегчало доступ и сводило к нулю шансы быть пойманным. Любой с самыми небольшими знаниями в области безопасности мог приятно провести целый день в этой сети.
Чарльз также попросил Мартина найти источник посылки электронного письма с прогнозами доходов. Поэтому после тестирования систем Мартин попытался отследить путь электронного письма. Он предполагал, что его попытки будут бесплодными. Так и оказалось. Мартин зашел в тупик, пытаясь установить «дом» хакера.
Хотя финансовый директор не мог поверить в то, что путь электронного письма нельзя отследить, для меня в этом не было ничего удивительного. Довольно легко можно обмануть Sendmail и создать иллюзию, что электронное письмо послано от кого-то другого. С таким заданием легко могла бы справиться моя 13-летняя сестра Лаура.
В любом случае имитация адреса отправки почты почти всегда заводит преследователя хакера в тупик. Когда вы сталкиваетесь с этим, то лишь оцениваете умение хакера изобретать доменные имена и идете дальше. То же сделал и Мартин.
Мартин завершил аудит и объединил полученные результаты в конфиденциальном отчете для руководства. Теперь нужно было подготовиться к самому трудному - как представить отчет руководству. К счастью, прошли те времена, когда гонцу за плохие вести отрубали голову. Но еще остались топоры в переносном смысле. При докладе о высоком риске безопасности вас может ждать неприязнь начальства или понижение с такой же вероятностью, как и похлопывание по плечу. Мартину повезло — Чарльз похлопал его по плечу.
Оценив тщательность работы, проделанной Мартином, Чарльз вместе с тем был абсолютно поражен ее результатами. Чарльз был крайне уверен в том, что все системы сети были защищены. Так же считали и все другие руководители. И все же аудит показывал, как легко информация могла быть изменена, украдена или уничтожена без оставления хотя бы одного следа для поимки взломщика. Чарльз поблагодарил Мартина за предоставленные факты (Майк даже стал как бы героем!) и немедленно отдал распоряжение подчиненным ему менеджерам исправить положение.