Кошмар реагирования на инцидент[2]
Кошмар реагирования на инцидент[2]
Дэйв Армстронг являлся системным администратором корпоративной сети банка First Fidelity Bank в округе Анаканст. В понедельник, поздно вечером, Дэйв обнаружил, что какой-то хакер полностью контролирует все 200 с лишним систем[3] банка и «бродит» по ним, собирая пароли и тщательно просматривая данные.
К несчастью, Дэйв ничего не предпринял и просто стал наблюдать за хакером с целью выяснить, кто же среди ночи влез в систему. Хотя в First Fidelity имелись инструкции с политиками и процедурами безопасности для многих ситуаций, по каких-либо формальных указаний на случай подобного инцидента в них не было. Поэтому, не имея конкретных предписаний, Дэйв потратил целых три дня, безуспешно пытаясь установить личность хакера, и только потом призвал на помощь группу обеспечения безопасности банка.
Теперь представим себе на мгновение, что хакер бесконтрольно «бродит» по сети вашего банка в течение трех дней, собирает имена и номера счетов и, возможно, изменяет информацию, переводя денежные средства или уничтожая записи. Уже думаете о том, как нам сменить банк? Я — тоже!
Как возникают подобные ситуации? В данном случае Дэйв установил конфигурацию программного сервера таким образом, чтобы ему доверяли все остальные системы. Доверие здесь означает то, что все системы сети предоставили программному серверу удаленный привилегированный доступ (remote root access) без требования пароля при входе (конфигурация по типу «доверяемая сеть» — web-of-trust). Несколько сотен систем доверяли программному серверу.
Хотя такая конфигурация облегчает установку в системах нового программного обеспечении, имеете с тем она подвержена риску, особенно в случае, когда о риске и уязвимости, связанных с поддержкой доверительных отношений, не думают в первую очередь. Если конфигурация системы должна включать доверяемый сервер (и других вариантов нет), то такой доверяемый сервер обязательно должен быть защищенным. Иначе любой хакер, проникший в такой доверяемый сервер, получает прямой привилегированный доступ (ведь пароль не требуется) к каждой системе, имеющей доверительные отношения с сервером.
Это как раз и произошло в корпоративной сети банка First Fidelity. Сотни систем этой сети поверили программному серверу. В результате сервер стал привлекательным для хакера, искавшего вход в сеть компьютеров банка. Дэйву не приходило в голову, что его система подвержена риску и не способна противостоять атаке. Ни он, ни его управляющий не знали случая, когда единственная незащищенная система может открыть дверь к остальной сети. Доверяемая сеть банка First Fidelity проникала далеко в глубины его интранета (более 200 систем). При наличии сотен систем, доверяющих программному серверу, сервер следует защищать надлежащими мерами безопасности. Но сервер сети банка тем не менее не обладал достаточной степенью защиты. Он был широко открыт и ждал, когда в него зайдет хакер.
Так и случилось. Когда хакер получил полный доступ к доверяемому серверу, то ему был предоставлен удаленный привилегированный доступ ко всем системам сети. Нельзя сказать, что это удалось ему с большим трудом.
Давайте рассмотрим подробнее этот случай вторжения и то, что последовало за ним в последующие дни.