День 1-й: Сбор доказательств
День 1-й: Сбор доказательств
Джеральд передал мне всю информацию о месте действий. Он посвятил меня в детали продолжающейся междоусобицы между системными администраторами и группой безопасности. Я поговорила с Кирстен, и она сообщила мне, что вся информация в сети подвергается риску.
Узнав это, я поняла, что впереди у меня тяжелая работа. Во-первых, я должна была установить, действительно ли системы не защищены. И если так, то затем я должна буду определить причину этого.
Руководство в лице Джеральда чувствовало, что системы сети не защищены. Однако это было лишь голословным заявлением. Каких-либо ощутимых доказательств этого не было, но они должны быть найдены в моем аудите.
Так как главной задачей аудита была проверка предположения Джеральда, то я решила провести аудиты систем, интервьюирование персонала и тестирование на проникновение.
В данном случае удача Джеральда заключалась в том, что Кирстен обеспечила его большим количеством информации. Такое происходит не всегда. Иногда вся сеть подвергается риску, а персонал технической поддержки не говорит об этом ни слова. Зная это, я не питала особых надежд на то, что остальные сотрудники технической поддержки сообщат мне такие же подробности, как Кирстен.
В некоторых аудитах полезно собрать как можно больше фактов перед проведением бесед с персоналом. Тогда вы сможете их использовать как рычаг воздействия на сотрудников, не испытывающих желания делиться с вами информацией или своим знанием существующей проблемы. Так как мне казалось, что этот аудит будет именно таким, то я решила собрать информацию до проведения бесед.
Кирстен создала мне учетную запись в сети и дала сетевую схему, по которой можно было бы определить системы повышенного риска. Сетевая схема выглядела вполне логично. Так как я обычно начинаю тестирование безопасности с систем с самым высоким уровнем риска, то именно их я ищу в схеме. Однако я не смогла точно определить по схеме, какие из систем попадают в эту категорию.
Я обратилась снова к Кирстен. Она показала мне группу систем, которые она считала представлявшими наибольший риск. Мы немного поговорили об этом, чтобы убедиться, что я ничего не пропустила. Со списком особо критичных целей я была готова начать аудит.
Я всегда удивляюсь, когда мне удается войти в первую намеченную для аудита систему даже без ввода пароля. Это похоже на то, как если бы вы подошли к банкомату и он выдал бы вам деньги до того, как вы достали свою карточку из бумажника. Я попала в такую же ситуацию.
Первая же выбранная мной система доверяла системе, в которой у меня была учетная запись. Как только я открыла сессию на главном сервере базы данных, я смогла получить доступ ко всем другим особо критичным системам. Мне даже не пришлось вытирать пот. Доверительные отношения между этими системами были поразительными. Все они доверяли первой взломанной мной системе, поэтому я входила в одну систему за другой.
Очевидно, кто-то не обратил на это внимания при установке систем. А может быть, они просто доверяли каждому, кто имел доступ к сети музея, В современном мире такой уровень наивности может привести к большой беде! По словам Майкла Андерсона, эксперта по компьютерному праву и бывшего агента Министерства финансов США, в 85 процентах случаев промышленный шпионаж ведется изнутри компании-объекта.
Положительным являлось то, что технический персонал музея осуществлял регулярное резервное копирование и хранил ленты вне помещений сети. И все же предоставление свободного доступа к информации каждому в сети не было хорошей идеей. Как раз о таком риске я и должна была сообщить руководству музея.
Основную часть дня у меня занял взлом важных систем и сбор доказательств, необходимых для составления моего итогового отчета. Этап аудита, состоящий из взломов, был очень прост. Сортировка всей полученной информации не заняла много времени.
Когда все было рассказано и сделано, мой список рисков выглядел следующим образом:
• Настройки безопасности особо критичных систем были недостаточными.
• Сами системы не были классифицированы (некритичные, особо критичные и т. д.).
• Легко можно было получить права суперпользователя.
• Пароли легко угадывались.
• Не были установлены патчи, повышающие безопасность.
• Не было механизмов обнаружения вторжения, позволяющих предотвратить, обнаружить неавторизованный доступ к конфиденциальной информации или получить сведения о нем.
• Контрольных журналов просто не было.
• Имелась избыточность разрешений на доступ к файлам.
• Выполнялись ненужные сетевые службы.
Короче, Кирстен была права. Системы были широко открыты. Ни один из серверов базы данных, подвергавшихся высокому риску, не имел серьезной защиты, Почему? Для завершения аудита я должна была получить ответ на этот вопрос.
Мнение Кирстен на этот счет мне было уже известно. Нужны были факты. Так как была вторая половина пятницы, то мне придется ждать следующей недели. Довольно странно начинать аудит в конце недели, но так уж составлен график.
Я уже собирала вещи, когда вспомнила, что мне нужно лететь домой и встретиться в субботу с моей сестрой. Мы поедем с ней в Сан-Франциско на уикенд, где я буду ее баловать. Она гораздо младше меня — ей. 13 лет, поэтому я по возможности выкраиваю для нее время по выходным: она удовлетворяет свои капризы, а я трачу на это деньги. Я похожа на бабушку, которая не успела состариться. В этот уикенд мы должны посетить в Сан-Франциско столько музеев, сколько сможем. Среди всего прочего, девочка занимается изобразительным искусством (и у нее это получается) и любит ходить в музеи и картинные галереи. Было бы хорошо провести с ней выходные и посмотреть на музеи с другой точки зрения — не как на объекты с высокой степенью риска и летучестью информации из-за незащищенности систем, но как на само искусство ради искусства.
Кирстен проводила меня в холл и сказала, что встретит меня в понедельник в 9.00.