14.1.2. Защищайте только то, что нужно

14.1.2. Защищайте только то, что нужно

Многие специалисты по безопасности рекомендуют защищать только то, что нужно. Действительно, зачем охранять мусорную корзину, когда в ней находятся одни только отходы, которые никому не нужны. Тут же вспоминается знаменитый фильм "Хакеры", в котором главные герои залезали в мусорный бак. Что они там искали? Различные документы или бумажки. Нередко пользователи записывают пароль на листочках, или им раздают параметры доступа в виде распечаток, именно это искали хакеры.

То же самое и с файловой системой. Некоторые безобидные папки могут оказаться хорошим материалом для хакера. Однажды я тестировал на безопасность систему, в которой была открыта только одна директория с файлами, содержащими тексты песен группы "Dune". Вроде бы невинная вещь, и что можно сделать через текстовые файлы?

Я запустил подбор пароля для пользователя root и в качестве словаря указал эти файлы, Каково же было мое удивление, когда я увидел, что установленный пароль root — название группы "Dune". Взлом занял всего несколько секунд!!!

Очень часто в открытые папки администраторы выкладывают информацию, связанную с их интересами, и если параметры доступа тоже заданы исходя из этих пристрастий, то и на подбор пароля потребуется не более 5 минут.

С другой стороны, получив хоть какой-то доступ к системе (особенно на запись данных), у хакера появляется возможность повысить свои привилегии аж до администратора. В Интернете все чаще появляются сплоиты, которые позволяют это сделать. Если злоумышленник вообще не имеет доступа к системе, то и взломать ее сложнее.

На данный момент известно не так уж много способов для удаленного взлома, зато, имея локальный доступ к системе, вероятность повысить свои права увеличивается в несколько раз. Защищать компьютер от проникновения по сети проще, и основным способом в этом случае является использование сетевого экрана. Если хакеру все же удалось пробраться, то тут уже все зависит от правильной политики регламентации доступа. Если хоть где-то есть ошибка, то хакер сможет получить права администратора.

Когда злоумышленник пытается удаленно пробиться в систему, защищенную сетевым экраном, то его возможности сильно ограничены еще из-за того, что он слишком мало знает об атакуемой системе. Проникнув внутрь, объем информации сразу увеличивается в несколько раз.

Основными целями, которые подвергаются атакам хакеров, являются:

уязвимые программы ОС. Если посмотреть отчеты по безопасности, то вы увидите, что дыры в различных утилитах появляются почти каждую неделю, и программисты с администраторами только и успевают их затыкать;

программы сторонних разработчиков. Все программное обеспечение, которое включается в дистрибутив производителем, тщательно тестируется. Сторонние же разработчики осуществляют проверку только на своем дистрибутиве, и нет гарантии, что программа будет также безопасно и стабильно работать со всеми вариантами ОС Linux. К тому же профессионализм некоторых "чужих" разработок оставляет желать лучшего, и мы об этом уже говорили, когда рассматривали безопасность открытого программного обеспечения (см. разд. 1.3);

? сценарии и программы, написанные администратором системы или программистами вашей организации. Очень часто для расширения возможностей ОС пишутся собственные сценарии (чаще всего используется интерпретатор Perl), и нередко именно они становятся причиной взлома. Только профессионал, хорошо знакомый с принципами безопасности и правилами создания кода, сможет создать защищенный сценарий или программу. Любители и простые администраторы слишком мало внимания уделяют различным проверкам параметров, чем незамедлительно воспользуется хакер.

Итак, разделение на "важно" и "неважно" должно быть. Значимые данные должны защищаться лучше, их надо шифровать и устанавливать за ними более тщательное наблюдение. Но при этом необходимо думать о системе в целом.

Были случаи, когда администраторы один сервер с закрытой информацией защищали и любили, а другой — открывали для всеобщего обозрения и использования. Это правильное решение, но между этими серверами не должно быть доверительных отношений, и имена пользователей и пароли следует делать разными. Но т.к. мы ленивые, то пароль root для всех серверов, чаще всего, один и тот же или отличается незначительно, чтобы легко было запомнить. Если не совершать этой ошибки, то решение с физически разделенными для разных задач серверами является верным решением.

Данный текст является ознакомительным фрагментом.



Поделитесь на страничке

Похожие главы из других книг:

13.3.4.2. Только GLIBC:

Из книги автора

13.3.4.2. Только GLIBC: <libintl.h> Для программ, которые будут использоваться лишь на системах с GLIBC, использование заголовочных файлов и макросов похоже, но проще:#include <stdio.h>#include <libintl.h>#define _(msgid) gettext(msgid)#define N_(msgid) msgid/* ... все остальное то же ... */Как мы видели ранее, заголовочный


8.4.2. Только отправка почты

Из книги автора

8.4.2. Только отправка почты Очень часто почтовые сервисы используют только для отправки почты. Например, на Web-серверах sendmail может стоять для того, чтобы прямо из сценариев на Perl или PHP можно было отсылать письмо. Если ваш сервер не будет принимать писем, то необходимо


О протоколе TCP/IP и не только

Из книги автора

О протоколе TCP/IP и не только Протокол TCP/IP был создан фактически по заданию Министерства обороны США, которое поставило задачу создать такие надежные системы связи, которые продолжали бы спокойно функционировать при уничтожении (противником) как некоторых узлов сети, так


Не только достоинства VoIP

Из книги автора

Не только достоинства VoIP Недостатки VoIP-телефонии – это продолжение достоинств. Поскольку телефонная связь осуществляется через Интернет, то ее надежность напрямую зависит от качества и надежности интернет-соединения. А оно, прямо скажем, не всегда бывает на высшем


Свойства, доступные только для чтения, и свойства, доступные только для записи

Из книги автора

Свойства, доступные только для чтения, и свойства, доступные только для записи При создании типов класса можно создавать свойства, доступные только для чтения. Для этого просто создайте свойство без соответствующего блока set. Точно так же, если вы хотите иметь свойство,


Просмотры только для чтения

Из книги автора

Просмотры только для чтения Просмотр будет просмотром только для чтения, если его оператор SELECT имеет любую из следующих характеристик:* указывает квантификатор строк, отличный от ALL (т. е. DISTINCT, FIRST, SKIP);* содержит поля, определенные через подзапросы или другие выражения;*


Методики: Не только для зануд

Из книги автора

Методики: Не только для зануд Управление проектами далеко не всегда имеет отношение к методам разработки программного обеспечения, но ты можешь оказаться первым в своей компании, кто решил изучить данную тему. Многочисленные методики управления проектами широко


Не только фотоаппарат

Из книги автора

Не только фотоаппарат Автор: Олег ВолошинЕжедневно пользуясь всевозможными универсальными электронными устройствами, постепенно забываешь о том, что раньше многие вещи были "однозадачными": если телефон - то звонит, если фотоаппарат - то снимает. И все!Сегодня же каждый


НОВОСТИ: Подумать только…

Из книги автора

НОВОСТИ: Подумать только… Авторы: Денис Коновальчик, Сергей БорисовПохоже, мы живем в эпоху великих «географических» открытий. Благодаря замечательному методу магнитно-резонансной томографии, на функциональной карте мозга остается все меньше белых пятен. Тернист путь


Тот же нетбук, только сбоку

Из книги автора

Тот же нетбук, только сбоку Нетбук оборудован несколькими портами для подключения внешних устройств. Набор разъемов почти стандартен, однако в некоторых моделях нет кардридера, а в некоторых имеется дополнительный, третий, порт USB. Два порта USB: много или мало? Первый из


2.2.5. Только DVD-RW!

Из книги автора

2.2.5. Только DVD-RW! Нужно покупать только привод DVD-RW, который умеет читать и записывать оба типа оптических дисков, CD и DVD. Фирму-производителя выберите на свое


Жизнь – это не только работа

Из книги автора

Жизнь – это не только работа Историю развития человечества можно рассматривать как постоянное увеличение времени и расходов на развлечения. Изначально развлечения были коллективными: пение, танцы, карнавалы, театр, кино. В дальнейшем они приобрели индивидуальные черты


Волк и Чёрная Шапочка: нужно ли спасать Науку, и если нужно, то как? Василий Щепетнёв

Из книги автора

Волк и Чёрная Шапочка: нужно ли спасать Науку, и если нужно, то как? Василий Щепетнёв Опубликовано 06 октября 2013 Найдя на дне реки Москвы глиняный кувшин, запечатанный таинственной печатью, пионер Костыльков размечтался. Вот сдаст он сегодня этот


1. Компьютерное «железо» и не только

Из книги автора

1. Компьютерное «железо» и не только При покупке компьютера следует помнить, что от того, из каких компонентов он будет состоять, зависит не только комфорт, но и здоровье пользователя.Компьютерная мебель – также немаловажная деталь, особенно если на рабочем месте