День 2-й: Тестирование систем

День 2-й: Тестирование систем

После моих первоначальных исследований я решила, что в этом аудите требуется тест на проникновение. Были три причины для такого тестирования. Во-первых, руководитель аудита не знал, какой риск имеется (и есть ли он вообще) в сети. Это говорило мне о том, что руководство ничего не знает о состоянии безопасности. Они, скорее всего, думают, что все в порядке, так как никто не говорил им другого. Было ясно, что это случай, когда я была должна доказать руководству возможность взлома их систем. Во-вторых, я считала, что из-за характера содержащейся в них информации эти системы будет просто интересно взламывать. Последней причиной было то, что я хотела поиграть с моими новыми игрушками. Брэд Пауэлл, давно известный в наших кругах эксперт по безопасности, только что передал мне несколько отличных новых инструментов взлома.

Как и хакеры, профессионалы по вопросам безопасности часто передают друг другу новые инструменты для взлома систем. Конечно, вы должны входить в наш закрытый круг, чтобы получить их. Это является частью нашего кодекса чести. В любом случае я уже попробовала эти инструменты в своей сети, и они работали чудесно. Теперь мне представилась возможность применить их в «реальном мире».

Я начала аудит с зондирования информации в административных системах, а затем запустила свои обычные тесты на дыры. (В общем, я делала то же, что делал бы хакер.) К удивлению, я обнаружила, что административная система довольно крепка. Хосе, очевидно, знал свое дело и потратил время на обеспечение защиты систем. Несомненно, он был хорошо обучен и знал точно, что ему делать для поддержки его административных машин. Разумеется, некоторые из экспертов по безопасности стали бы спорить и хвастаться, что они могут забраться в любую машину. Тем не менее во время моего теста на проникновение я проверила все уязвимые места. Если после проведения всех запланированных мной тестов я не смогла проникнуть в систему, то это значит, что система тест прошла. А системы Хосе прошли через мои тесты победным маршем.

Продолжая работать на административных системах, я попросила Хосе создать мне учетную запись. Я также дала ему понять, что он хорошо поработал. Системные администраторы редко слышат такое от аудиторов безопасности, и улыбка Хосе подтвердила, что он оценил мои слова.

Я вошла в одну из систем Хосе и поискала ошибки в базовой системе файлов и настройках. Такие ошибки не могут быть обнаружены вне сети — ими являются избыточность в разрешении доступа к файлам, наличие неактивных учетных записей и программы setuid (set user ID — установка идентификатора пользователя). В общем, система выглядела хорошо. Еще оставалась возможность кое-что усовершенствовать, но ничего такого, что я могла бы указать в отчете. После выхода из системы я сообщила Хосе, что ему можно было бы ужесточить разрешения на доступ к файлам в большинстве своих систем. Короче говоря, он проделал блестящую работу. И я собиралась сказать начальству: «Этот парень — звезда!»

Коллеги Хосе вовсе не заслуживали такой же оценки. Юридические системы были поразительно уязвимыми. Мне хватило нескольких минут, чтобы получить контроль над первой системой. Я без усилий прошлась по системам всех юристов компании. Очевидно, Дон имела совершенно другой подход к установке и обслуживанию систем. Выглядело так, как если бы Дон (или ее начальник) считали юридические системы не столь важными, чтобы их защищать или контролировать. Несомненно, юристы InterMint испугаются, это узнав.

Я обнаружила, что юридические системы открыты настежь. Либо Дон не имела времени или желания настроить безопасность, либо она не знала, как это делать. Контроль и наблюдение также не работали — никто не заметил, как я перепрыгивала из одной системы в другую, выискивая все их юридические секреты. Я уверена, что конкурентам очень бы хотелось взглянуть на некоторые отрывки из информации, по которой я прошлась. Я набрала достаточно свидетельств (по доступу к файлам ограниченного пользования и юридическим документам), чтобы обеспечить юридический отдел ночными кошмарами, и перешла на финансовые системы.

Системы Кендзи были защищены не лучше, чем системы Дон. Через несколько минут я имела доступ к первой системе в финансовой сети. Еще через несколько минут я получила контроль над всеми финансовыми системами. Может быть, в этой компании юридическая и финансовая информация считается не столь важной, чтобы ее защищать? Или Кендзи и Дон просто бестолковы? Моим предположением было то, что руководство не понимает вопросов безопасности и риск для своей информации. Оно никогда серьезно не смотрело на меры защиты информации в своей сети. Если бы руководство поняло, что вся их информация в сети доступна любому, то, я уверена, их бы расстроила мысль о том, что кроме штатных сотрудников во внутренней сети могут законно присутствовать и другие. Подрядчики, клиенты, консультанты, временные сотрудники, надомные работники — выбор большой. В зависимости от вида бизнеса и степени развития компании список может быть еще длиннее.

Состояние систем Смиты было еще хуже. Я смогла получить полный контроль и доступ к информации в ее системах так же, как и в двух ранее тестируемых сетях. Но действительно пугало то, что я смогла бы сменить пароль, хранящийся в PROM[31] аппаратной части, и обрушить систему. Смита лишилась бы доступа к ее системам до тех пор, пока я не сообщила бы ей новый пароль, иначе ей пришлось бы менять PROM в аппаратуре. С небольшими творческими способностями (и еще с меньшими моральными устоями) хакер мог бы захватить власть над всем операционным залом и перевести несколько миллионов долларов на оффшорный счет. Чтобы разориться за неделю, такой компании нужно потерять несколько миллиардов долларов, поэтому что для них значат несколько миллионов при таком богатстве?

Теперь меня стала беспокоить легкость, с какой можно было взломать системы фирмы. Конечно, последняя группа (системы отдела охраны компании) должна была опровергнуть мое мнение. Уж над этими-то системами должен осуществляться тщательный контроль. Не так ли?

А вот и нет! Тию, должно быть, учили «защищать» свою сеть Дон, Кендзи или Смита! Снова я, никем не замеченная, получила полный контроль над системами. Некоторая полученная мной информация была действительно аппетитной. Среди всего прочего я смогла добраться до файлов с подробной информацией по ведущимся расследованиям. Представьте себе, что вы мошенник, по которому ведется расследование в компании. Имея самый малый опыт взлома, вы сможете получить всю информацию по расследованию, проводящемуся против вас. Убрать немного информации здесь, изменить немного информации там, и вот — никаких вопросов к вам от отдела охраны! Расследование закрыто.

Я набрала достаточно фактов, чтобы закончить в аудите раздел тестирования. К тому же я чувствовала, что вволю начиталась конфиденциальной информации за этот день. Как большинство профессионалов в вопросах безопасности, меня беспокоила, главным образом, защищенность сетей. В данном случае очень беспокоила. Такая большая сеть и с таким чрезвычайным уровнем риска вызывала у меня подавленность. Так как эта корпоративная сеть существовала уже пять лет, то, скорее всего, такой уровень риска присутствовал все это время.

Многие думают, что аудиторы безопасности наслаждаются, обнаруживая неряшливое отношение к безопасности и риск в системах, и видят в этом смысл своего существования. По правде сказать, иногда меня захватывает возможность взламывать одну систему за другой. Как бы то ни было, в этот день у меня было более чем достаточно «прав на существование».

Я собрала материал и отправилась в суши-бар (Хигаши-Вест). Повара Ричард, Крейг и Гарт всегда встречали меня там с улыбкой в конце тяжелого дня, Наградой мне будет лучшее суши в Пало-Альто. Немного суши, немного участия и подбадривающая беседа позволят мне забыть о депрессивном состоянии безопасности в корпоративных сетях. Так и случилось.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

День рождения 365 раз в году

Из книги Блоги. Новая сфера влияния автора Попов Антон Валерьевич

День рождения 365 раз в году Метки: темы блога, вниманиеЕсли ваш блог читает не слишком много людей, то поздравить каждого из них с днем рождения вам будет нетрудно, зато вы сделаете им приятно. Если у блога аудитория большая, задача усложняется, особенно без специальных


$21 000 000 в день — все удовольствие

Из книги Журнал «Компьютерра» №35 от 28 сентября 2005 года автора Журнал «Компьютерра»

$21 000 000 в день — все удовольствие Даже если NASA будет ежедневно возить туристов в космос и зарабатывать на каждом из них 20 млн. долларов, это не поможет агентству свести концы с концами, реализуя распланированную до 2025 года программу полета человека к Марсу. Ее вехами станут


13-Я КОМНАТА: День ВТВ, или Кино о нас

Из книги Журнал «Компьютерра» № 44 от 28 ноября 2006 года автора Журнал «Компьютерра»

13-Я КОМНАТА: День ВТВ, или Кино о нас Автор: Леонид Левкович-МаслюкФильм «Великая тайна воды» (далее ВТВ) оказался триумфатором при оглашении результатов премии ТЭФИ этого года. Сразу три победы! — в номинации «Телевизионный документальный фильм», «Режиссер


7 Судный день

Из книги Компьютерное подполье. Истории о хакинге, безумии и одержимости автора Дрейфус Сьюлетт

7 Судный день Мир твоих снов подходит к концу. Песня «Мир Сна», альбом «Diesel and Dust» группы Midnight Oil[32] На другом конце земного шара британские хакеры Gandalf и Pad с ужасом читали о том, что австралийские власти арестовали трех хакеров Realm. Electron просто однажды исчез из поля зрения.


И был день пятый…

Из книги Google. Прорыв в духе времени автора Малсид Марк

И был день пятый… Из номера отеля в Новом Орлеане Кришна Бхарат с ужасом наблюдал за событиями в Нью-Йорке и Вашингтоне. Тридцати одного года от роду программист Google метался от телевизора к компьютеру, одновременно переключая каналы и просматривая сайты информагентств,


Каждый день

Из книги Scrum и XP: заметки с передовой автора Книберг Хенрик

Каждый день • Следить за тем, чтобы ежедневный Scrum начинался и заканчивался вовремя.• Следить за тем, чтобы в случае добавления или удаления истории из sprint backlog’а все было сделано, как положено, чтобы эти изменения не сорвали график работ.a) Следить за тем, чтобы product owner


Типичный день

Из книги Тайм-менеджмент для системных администраторов автора Лимончелли Томас


Стандарт – 21 день

Из книги Инфобизнес на полную мощность [Удвоение продаж] автора Парабеллум Андрей Алексеевич


День 1-й: Неавторизованный доступ

Из книги IT-безопасность: стоит ли рисковать корпорацией? автора Маккарти Линда

День 1-й: Неавторизованный доступ Дэйв обнаружил хакера в системе в 11. 45 ночи в понедельник, во время плановой проверки сети. Он заметил, что выполняются необычные процессы и загруженность ценфальпого процессора значительно выше нормальной загруженности для этого


День 1-й: Архитектура безопасности

Из книги Инфобизнес за один день автора Ушанов Азамат

День 1-й: Архитектура безопасности Фред и Дэйв вместе стали решать, как обеспечить работоспособный доступ. Так как у Фреда не было письменного документа о том, как подключать клиентов к сети JFC, то они вдвоем обсудили, как предоставить клиенту доступ к информации на Drug10


День 1-й: Сбор фактов

Из книги Как тестируют в Google автора Уиттакер Джеймс

День 1-й: Сбор фактов Я начала этот аудит, как и большинство других, с просмотра сетевой схемы, чтобы понять конфигурацию сети и возможные риски. Мне нравится проводить аудит корпоративных сетей, потому что это одно из мест, в которых хакер будет искать секреты компании. Мне


День 1-й: Тестирование безопасности

Из книги автора

День 1-й: Тестирование безопасности Когда Мэтт стал руководить сетью компьютеров больницы, то он начал искать пути улучшения производительности сети и ее технической поддержки. Ему было очень важно поддерживать систему в готовности к применению. Доступность системы


День 2-й: Сетевые соединения

Из книги автора

День 2-й: Сетевые соединения Приехав в S&B Systems, я начала снова думать о сетевой схеме и вспомнила, что они только что провели аудит безопасности соединений их клиентской сети. Заехав на стоянку, я пыталась понять, кто же у них делал аудит.Шелли уже ждала меня в холле. По


10. Запуск. День № 1

Из книги автора

10. Запуск. День № 1 В день запуска мы отправляем письмо, мол, двери открыты. Рассылаем по раннему списку – основной базе. Обязательно используем апселлы: можно купить «Стандарт-вариант», «Голд-вапмент» или «Платинум-вариант». После оплаты делаем


11. Запуск. День № 2

Из книги автора

11. Запуск. День № 2 Во второй день запуска мы говорим, что осталось 12 часов, 4 часа, бонусы убраны. Подстегиваем людей сделать заказ. Как правило, все откладывают на последний


Нагрузочное тестирование, продолжительное тестирование и тестирование стабильности

Из книги автора

Нагрузочное тестирование, продолжительное тестирование и тестирование стабильности Команда тестирования создает и выполняет продолжительные тесты на физическом оборудовании в лаборатории. Не забыть про внедрение неисправностей (fault