IT-безопасность: стоит ли рисковать корпорацией?
Шрифт:
390 eggers ttypl bike Tue Sep 15 20:34 — 20:36 (00:01)
391 eggersttyhl Fri Sep 11 18:39–18:39(00:00)
392eggersttyh1 Fri Sep 11 18:11 18:21 (00:10)
393 eggersttyhl Fri Sep 11 17:52–18:01 (00:08)
Строки с № 394 по № 426
В этом месте наш друг уже был готов уйти. Но перед этим он установил новые пароли в использованные им неактивные («спящие») учетные записи. Этот шаг сделает его следующий взлом более легким. (По этой причине вы должны всегда устанавливать новые пароли после взлома!)
Строки с № 427
Для одного дня достаточно. Наш непрошеный гость замел свои следы (не показано из соображений безопасности) и закрыл сессию.
394 # passwd ericc
395 Changing password for ericc on suntzu.
396 New password:
397 Retype new password:
398 # grep lori /etc/passwd
399 lori: FAJEq1YKw4p7.,0:5734:50:Lori:/home/guest/lori:/bin/csh
400 # pwd
401 /tmp_mnt/home/se/wendy
402 # cd /home/guests
403 /home/guests: bad directory
404 # cd /home/guest
405 # Is — tal lori
406 total 10
407 drwxr-xr-x 52 root 1024 Sep 12 14:25..
408 drwxr-xr-x 3 lori 512 Aug 9 18:46.
409 — rw-r-r- 1 lori 1262 Aug 9 18:46.M23set,v1.1
410 drwxr-xr-x 2 lori 512 Aug 8 17:45.dist
411 — rw-r-r- 1 lori 1457Jun 7 1991.login
412 — rw-r-r- 1 lori 2687 Jun 7 1991.cshrc
413 # last lori
414 wtmp begins Wed Jul 1 18:46
415 # passwd ericc
416 Changing password for ericc on suntzu
417 New password:
418 Retype new password:
419 # passwd lori
42 °Changing password for lori on suntzu
421 New password:
422 Retype new password:
423 # passwd jeff
424 Changing password for jeff on suntzu
425 New password:
426 Retype new password:
427 #л D
428 $ л0
429valley%"D
430 There are stopped jobs
431 valley% logout
Заключение
Действительно, пугает в этом взломе то, что нарушитель никогда не будет пойман. Из моего большого опыта я знаю, что он, скорее всего, сейчас где-то неподалеку, «барабанит в двери» и устанавливает новые пароли в «спящие» (неактивные) учетные записи в других сетях.
Этот пример взлома дает нам многое для того, чтобы избежать вторжений. Из него можно извлечь следующие уроки:
• Каждая учетная запись должна иметь пароль (см. строку № 1).
• Следует избегать создания «гостевых» учетных записей (см. также строку № 1).
• Патчи, повышающие безопасность должны устанавливаться на каждую машину в сети (см. строки с № 6 по № 23).
• Нужно с осторожностью устанавливать доверие между системами (см. строки с № 105 по № 119, с № 264 по № 270 и с № 282 по № 287).
• Необходимо регулярно удалять «спящие» учетные записи. Хакеры часто ищут «спящие» учетные записи, так как никто, скорее всего, не заметит, как кто-то использует его учетную запись (см. строки с № 320 по № 393).
• Всегда нужно устанавливать новые пароли после успешного взлома (см. строки с № 394 по № 426).
Приложение
Люди и продукты, о которых следует знать
Создание и поддержка безопасной сетевой среды требуют определенных затрат времени. В этом приложении содержится информация об организациях и ресурсах, связанных с обеспечением безопасности, базах данных об уязвимых местах, о псевдонимах почтовой рассылки, получении правовой поддержки, бесплатных продуктах и поставщиках средств защиты. Поддерживать защиту сетей нелегко — вы должны знать, с какими людьми сотрудничать и какие продукты покупать.
Организации, связанные с обеспечением безопасности
American Society for Industrial Security (ASIS)
Американское общество по промышленной безопасности является профессиональной организацией для менеджеров, работающих в области безопасности. Она издает ежемесячный журнал, посвященный вопросам безопасности и управлению в страховых случаях. ASIS также является спонсором совещаний по вопросам безопасности и другой деятельности.
CERT
Группа реагирования на чрезвычайные ситуации (Computer Emergency Response Team) содействует получению знаний в области безопасности, обеспечивает круглосуточную техническую помощь при инцидентах, связанных с безопасностью компьютеров и сетей, и предлагает обучение по вопросам безопасности и другие услуги в данной области. CERT размещается в Software Engineering Institute, Carnegie Mellon University (CMU), в г. Питтсбург, шт. Пенсильвания (Pittsburgh, PA). Телефон круглосуточной горячей линии: 412-268-7090. www.cert.org
CERIAS
CERIAS (произносится как слово «serious» [73] ) — это Центр по обучению и исследованиям в области обеспечения безопасности и защиты информации (Center for Education and Research in Information Assurance and Security) при Purdue University. Спонсорская программа обеспечивает ранний доступ к технологиям и содействует участию в решении проблем и установлению связей с исследователями в данной отрасли.
www.cerias.org
73
«Сириэс». — Примеч. пер.
CIAC
Наблюдательный отдел по компьютерным инцидентам Министерства энергетики США (Computer Incident Advisory Capability — CIAC) размещается в Национальной лаборатории имени Лоуренса Ливермора (Lawrence Livermore National Laboratory). Он обеспечивает компьютерную безопасность МЭ и делится советами и инструментами в области безопасности с Интернет-сообществом.
www.ciac.org/ciac
Computer Security Institute (CSI)