Поразительные ошибки в защите
Поразительные ошибки в защите
Я попросила Шелли подтвердить мои назначенные встречи и убедиться в том, что в этот список включены люди, проводившие аудит систем DBS и других клиентских сетевых соединений. Я также попросила дать мне копии отчетов по проведенным аудитам.
Шелли продолжала говорить, но я уже полностью настроилась на другую тему. Я могла думать только о том, что мне нужно будет искать в системе DBS 10. Я начала думать о подходе к своему аудиту. Проведение аудита самой сети — это превосходно, но из него всего понять невозможно. Например, вы не сможете сказать, каким образом устанавливаются разрешения на доступ к файловой системе или какие скрипты определения ID пользователя (setuid) используются.
При проведении аудитов я использую различные подходы и иногда различные инструменты, Но набор вопросов, на которые я пытаюсь получить ответ, остается постоянным независимо от используемых подходов и инструментов. Если я пропущу хотя бы один важный шаг аудита, то, уходя, оставлю всю систему открытой. Как профессиональный аудитор, я не могу позволить себе такой ошибки.
Я задумала сейчас просто войти в сеть, попытаться получить доступ в DBS 10 и оценить риски. После этого я проведу все остальные обязательные тесты.
Сначала я проверила таблицу паролей сетевой информационной службы (NIS-Network Information Service). S&B использовала файл сетевых паролей с зашифрованными паролями. В таблице было около 100 паролей. Я вынула мою «дорожную» дискету из портфеля и переписала один из моих любимых инструментов для проверки защиты — программу взлома паролей под названием Crack. (Подробнее см. Приложение А, «Люди и продукты, о которых следует знать».) Я немедленно запустила Crack на работу с файлом паролей. Уже через 60 секунд Crack взломал 10 паролей. Один из них был для учетной записи, названной dbadmin, как я предположила — для администрирования базы данных!
Моя догадка, что для всех серверов базы данных используется учетная запись dbadmin, оказалась верной. Теперь я имела доступ ко всем серверам перевозок. Мне даже не надо было регистрироваться с помощью учетной записи, которую создала для меня Шелли.
Сейчас, когда я была в сети, я открыла сессию на DBS 10 и проверила свое предположение. Оно оказалось правильным! DBS 10 был подключен к сети Express Time, и у него не было настроек безопасности вообще — даже патчей. После получения полного доступа к DBS 10 я легко добилась полного контроля (прав суперпользователя[49]) над системой. Я могла, как мне заблагорассудится, перескакивать из одной системы в другую на правах суперпользователя.
Это было ужасно. Я легко бы смогла обрушить эти системы, не оставляя следов моего визита. То же мог сделать каждый имевший доступ в любую из сетей! Для любого плохого парня, желающего украсть информацию, внедрить «Троянского коня», спустить с поводка вирус или установить бомбу с часовым механизмом, S&B была настоящей находкой.
Я продолжала тестировать другие системы сети и обнаружила те же проблемы с защитой, повторяющиеся снова и снова. Уровень безопасности этих систем был типичным для стандартной установки. И к этому изначальному риску системные администраторы добавили еще больший риск, установив доверительную конфигурацию.
Теперь я выявила главные проблемы. Разумеется, в этом месте книги вы почти все из них уже знаете наизусть.
• Никто не писал каких-либо политик и процедур аудита.
• Точно так же никто не писал каких-либо политик и процедур по поддержке клиентских сетей.
• Персонал технической поддержки не получал должного обучения по вопросам безопасности.
• Безопасность сети для клиентских подключений была недостаточной.
• Слишком легко мог быть получен доступ к корневому каталогу.
• Не были установлены патчи, повышающие безопасность.
• Разрешения на доступ к файлам раздавались направо и налево.
• Были включены ненужные сетевые службы.
• И любой восьмилетний ребенок мог бы легко отгадать многие используемые пароли.
В этот момент появилась Шелли, чтобы сопроводить меня на беседу с сотрудниками. Сбор информации придется закончить позднее.