LINEBURG


<< Пред. стр.

страница 2
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

туры, включая энергетику и транспорт, зависят от датчиков и исполнительных механиз­
мов, подключенных по сетевой схеме. Правоохранительные органы и вооруженные силы
опираются на информационные технологии при хранении своей информации и техниче­
ской поддержке выполнения своих задач. Документация учреждений здравоохранения,
медицинская справочная система, системы врачебной диагностики все больше обрастают
компьютерами. В онлайновую среду помещается также интеллектуальная собственность,

1. В2В, или B-to-B, - схема электронной коммерции, при которой предприятия и организации предоставляют
товары и оказывают услуги друг другу. - Примеч. пер.
2. Вторичной памятью называется долговременная память, расположенная вне материнской платы компьютера.
Например, жесткий магнитный диск или компакт-диск. - Прим. науч. ред.
Предисловие
12

которая приводит в движение огромные пласты нашей коммерции. Проекты чипов, новые
программы, лекарственные формулы, сведения о разработке нефтяных месторождений,
музыкальные и литературные произведения, кинофильмы и прочее - все это может быть
украдено, изменено и уничтожено. Бесспорно, каждый коммерческий сектор имеет свой
жизненно важный компонент в киберпространстве (или вскоре будет иметь).
Теперь вспомним изречение, приписываемое знаменитому грабителю банков Вилли Сат-
тону. Когда его спросили, зачем он грабит банки, он искренне ответил: «Потому что в них
есть деньги». Как вы думаете, на что будут нацеливаться знаменитые преступники буду­
щего? Террористы? Радикальные активисты, вандалы и анархисты? Смело посмотрим
в лицо действительности - самым привлекательным объектом всех видов атак станут ин­
формационные технологии. И это будущее уже наступило. Годовые потери от вирусов,
взломов и онлайновых фальсификаций уже оцениваются во многие десятки миллионов
долларов.
Широкое распространение такие потери получили вследствие хронической нехватки нуж­
ной информации, средств защиты и подготовленного персонала, которая усиливается пло­
хим знанием законов рынка массовой продукции. Типичные онлайновые системы соз­
даются на базе программного обеспечения, не предполагающего наличия средств защиты
и ориентированного на совместимость со старым, еще менее безопасным программным
обеспечением. Такие программы писались людьми, не имеющими представлений о защи­
те, их тестирование сводилось к минимуму, и это программное обеспечение выпускалось
к установленным срокам начала его продажи, невзирая на остающиеся в нем ошибки. Эти
же самые системы затем покупались людьми, не имеющими знаний в области безопасно­
сти, устанавливались как расширение незащищенной программной базы и использова­
лись в режиме обхода средств защиты, так как они мешали онлайновой деятельности.
Слишком часто руководители полагались на услуги и программы, написанные доморо­
щенными специалистами, чей опыт основывался на «скачивании» и запуске подготовлен­
ных другими инструментов взлома. Поэтому неудивительно, что происходит так много
компьютерных инцидентов. Удивительно другое - почему их так мало!
Еще не так давно, в 1980-х годах, информационная безопасность была диковинной и за­
крытой областью вычислительной техники, сравниваемой с такими новинками, как ком­
пьютерная графика, сетевые технологии и искусственный интеллект. Я помню, что в то
время было лишь несколько книг по информационной безопасности (не считая книг
по криптографии), доступных широкому кругу компьютерных пользователей. Идея безо­
пасности тогда еще не окрепла, так как широкий пользователь пока не сталкивался с каки­
ми-либо реальными угрозами в сфере информационных технологи!!. Интернет и ком­
пьютерное обслуживание торговли в корне изменили динамику этого процесса! И вот уже
выпущены сотни книг по вопросам безопасности. Но из всего этого обилия лишь неко­
торые книги заслуживают внимания, остальные же содержат переработку более глубоких
исследований, простое перечисление уязвимых мест (которое становится непригодным
через пару месяцев) и информацию о том, как наложить дополнительные «заплаты» на
прохудившуюся инфраструктуру.
На этом фоне выделяются немногие эксперты, действительно понимающие «общую
картину» информационной безопасности. Линда Маккарти является одним из таких экс­
пертов, и внимательное чтение данной книги покажет вам, почему ее первое издание на­
ходится на полках большинства преподавателей и практиков. Вместо того чтобы давать
готовые решения для временных «заплат», Линда использует свой опыт аудитора безопас­
ности, консультанта, менеджера, разработчика, преподавателя и руководителя для опреде­
ления и демонстрации скрытых структур и взаимоотношений, которые являются движу­
щими силами планирования и осуществления мер безопасности. Она знает, что ком-
13
Предисловие

пьютерная безопасность зависит главным образом не от самих компьютеров, а от людей,
которые покупают, устанавливают и эксплуатируют эти компьютеры. Необходимо знать
экономическую, психологическую, правовую и деловую стороны практики применения
компьютеров, которые определяют реальную обстановку безопасности, Дополняя заголо­
вок, придуманный Линдой для этой книги, можно сказать о том, что он подчеркивает глав­
ное в обеспечении безопасности; роль высших руководителей корпораций, С такого высо­
кого уровня обеспечение информационной безопасности видится как нечто большее, чем
борьба «системного администратора с хакером» - оно становится функцией по поддержа­
нию живучести всего предприятия. Как показывает текст книги, выполнение обязанно­
стей по обеспечению безопасности и выполнению политик должно начинаться с самого
верха и заключаться в предупреждении проблем, а не в реагировании на них. Руководство
должно проявлять постоянную заботу о безопасности, опираться на имеющиеся ресурсы,
и ему вовсе не обязательно знать, как работает сканер уязвимых мест в защите.
По мере того как мы продвигаемся по веку информации, в котором защита информации
становится все более важной, мы должны понять, почему в этих обоих терминах приме­
няется слово «информация», а не «компьютер». Это связано с тем, что мы расширяем на­
ши знания о защите наших информационных ресурсов независимо от их местонахожде­
ния. Главное место в нашем мышлении должны занимать не конкретный компьютер или
версия операционной системы, а структуры, образующие основу для их функционирова­
ния, -социальная, экономическая и правовая. Нам всем нужно понять, что информацион­
ная безопасность не представляла бы проблемы, если бы она не была ради людей, а тех­
нологии сами по себе не смогли бы решить вопросов, которые люди ставят перед безопас­
ностью. Технологии, несомненно, важны, но они не единственный и даже не самый глав­
ный компонент. Линда познавала эти главные истины годами и использовала их в своей
карьере. Почти каждый сможет извлечь для себя что-нибудь ценное из ее опыта, прекрас­
но обобщенного и иллюстрированного в последующих главах.
Первое издание этой книги не являлось единственным источником для моих рассуждении
о глубинах информационной безопасности. И все же его я часто рекомендовал студентам
и коллегам, желающим углубить свои знания о безопасности, и они находили эту книгу
поучительной. Это еще одно ее отличие от толстых книг, в которых перечисляются веб­
сайты с хакерскими инструментами и дается сомнительный совет: «Эта книга в корне из­
менит ваше представление о безопасности». Если вы ищете одну из таких книг по безо­
пасности, то мой совет будет заключаться в том, чтобы вы не откладывали эту книгу
в сторону... по крайней мере, пока ее не прочитаете.
Юджин X. Спаффорд.
Декабрь 2002 года
Благодарности

Я выражаю особую признательность моему редактору Денизе Уэлдон-Сиви. Мне никогда
бы не удалось закончить книгу без нее. Ее идеи, вдохновение и энтузиазм придали особую
окраску этой книге. Рэндалл Миллен воодушевил меня на написание первой страницы
и оказывал мне постоянную поддержку.
Я также глубоко благодарна моему издателю и его персоналу, включая Рэйчел Борден
из Sun Microsystems Press, Джона Бортнера из SunSoft marketing и редактора Грега Дунча
из Prentice Hall. Я благодарю их за поддержку и работу по координации деталей, остав­
шихся за сценой.
Дэн Дж. Лэнджин написал раздел «Юридические обязанности по защите информации
и сетей» для 11-й главы.
Конечно, я должна также поблагодарить моего прежнего работодателя Sun Microsystems.
Особую благодарность я испытываю к техническому директору Sun Эрику Шмидту,
за создание обстановки, в которой поощрялись творчество и тяга к знаниям. Среди его со­
трудников я особо хочу поблагодарить Хамфри Поланена.
Многие из экспертов по компьютерной безопасности отдавали мне свое время и делились
ценной информацией, чтобы научить меня хитростям своей профессии. Мне бы хотелось
сказать спасибо Мэтью Арчибальду, Касперу Дику, Дэну Фармеру, Алеку Маффетту,
Брэду Пауэллу и Маркусу Рануму.
Специалисты из других областей также нашли для меня время в своей занятой жизни, что­
бы сделать общие замечания, предложения и оказать поддержку. Этими щедрыми людьми,
в алфавитном порядке, являются: Диана Браунинг, доктор Том Хафкеншил, Сьюзен
Ларсен, Джон Маккарти, Тим Мерфи, Мишель Парри, Ричард Пауэр, Боб Шотвелл, Стив
Смаха, Джин Спаффорд, Кейт Уотсон и Дебора Ярборо.
Наконец, я хочу выразить признательность всем моим друзьям и семье за неиссякаемые
вдохновение и поддержку.
Спасибо!
Об авторе


Линда Энн Маккарти является признанным авторитетом в области технологий безопасности,
а также писателем и «глашатаем» данной отрасли. Кроме того, Маккарти - руководитель
службы консультантов по вопросам безопасности отдела технического директора в Symantec
Corporation. Совсем недавно Маккарти занимала пост вице-президента по системным разра­
боткам в Recourse Technologies, компании по разработке программ для обнаружения, поимки
и отслеживания хакеров.
До этого Маккарти была старшим вице-президентом в NETSEC, компании, предостав­
ляющей услуги по управляемому обнаружению вторжения и реагированию на него. Еще
раньше она работала менеджером по исследованиям и разработкам в области безопасно­
сти в Sun Microsystems и была основателем Network Defense Fund.
По просьбе руководителей компаний Маккарти взламывала системы в их корпоративных
сетях и показывала, как легко можно получить доступ к секретам компании, обрушить
промышленные системы и даже вызвать катастрофу в их глобальных операциях. Вместо
этого она направляла свои знания на обучение менеджеров тому, как избегать подобных
бедствий.
Линда вела несколько учебных курсов в Sun Microsystems по архитектуре аппаратных
средств, системному администрированию и безопасности UNIX.
Введение

Век массового подключения очень агрессивен. Поток свободно перемещающейся во всех
направлениях информации и электронная коммерция, вышибающая все новые двери,
больше не позволяют нам обходиться в сетевой защите одним только хорошим бранд­
мауэром при подключении к Интернету,
Я затратила много времени, проводя аудиты безопасности распределенных сетей. Во мно­
гих случаях я обнаруживала, что информация могла быть легко изменена, украдена или
уничтожена и при этом не оставалось бы следов произошедшего инцидента. Системные
администраторы и другие «полномочные представители» знали, что настройка защиты их
систем не была проведена. Но они не знали, каким высоким оставался при этом уровень
риска. Также не знали об этих рисках и руководители компаний.
Эта книга научит вас, как избежать их ошибок. Если вы являетесь руководителем высшего
уровня, менеджером, системным администратором или любым другим сотрудником, от­
вечающим за безопасность сети, то вы должны занять активную позицию в этом вопросе.
Не делайте тех же ошибок, что и эти люди. Это может вам стоить вашей компании.

Об этой книге
То, что вы собираетесь прочитать, не является плодом моего воображения. Здесь собраны
описания реальных аудитов. Каждая глава посвящена отдельному аудиту, который я проводи­
ла в реальной, живой, функционирующей компании. Если бы я использовала действительные
названия компаний, то вы, вероятно, узнали бы среди них своих партнеров по бизнесу.
Конечно, я не использовала действительных названий компаний, имен сотрудников или дру­
гих участников событий по очевидным юридическим и этическим причинам. Но я привела
здесь реальные факты, касающиеся риска и моего подхода к аудиту в каждом конкретном
случае.
Читайте внимательно, особенно если вы являетесь руководителем верхнего уровня, линей­
ным менеджером, системным администратором, юристом или профессиональным предста­
вителем правоохранительных органов. Описываемые риски являются рисками, которые вы
должны себе представлять.
В любом случае реальные риски кроются не только внутри операционных систем. Серьез­
ные риски скрываются в способах установки систем, проведения настройки, технической
поддержки и управления. Именно эти факторы главным образом определяют риск для ва­
шей компании.
Указывая на эти риски, я надеюсь, что люди, отвечающие за информацию в сетях, начнут
занимать активную и вдумчивую позицию в обеспечении безопасности.
17
Введение


Как устроена эта книга
Хотя все описываемые аудиты являются реальными, я начинаю каждую главу с выдуманной
истории, рассказанной от первого лица. Работая в различных компаниях, я начала понимать,
что большинство людей станут воспринимать безопасность серьезно только тогда, когда что-
либо произойдет с их системами, их информацией и их компанией, - это одна из причин,
по которой детское «Я» остается в людях на всю жизнь. Я ввожу читателя в каждую из этих
историй для передачи ощущения того, что это может случиться с вашей информацией и с ва­
шей компанией.
В следующем разделе каждой главы описываются действительные риски для безопасно­
сти, которые я обнаружила при проведении аудита. В этом разделе также объясняется про­
исхождение этих рисков. Это ведь не происходит так, что не успели вы проснуться утром,
как узнали, что защита вашей сети в самовольной отлучке. Бреши в защите обычно обра­
зуются по недосмотру или из-за плохого планирования в течение длительного времени.
В этом разделе объясняется, каким образом можно дойти до такого состояния.
В последнем разделе каждой главы «Мы пойдем другой дорогой... » вам будет, главным
образом, рассказано о том, как избежать подобных проблем. Я надеюсь, что вы прочитаете
эти разделы внимательно и близко к сердцу воспримете мои рекомендации.

О хакерах
На протяжении всей книги я использую термин «хакер», чтобы обозначить того, кто по­
лучает неавторизованный доступ к системам и информации. Некоторые специалисты ис­
пользуют для этого термин «кракер» (cracker), замечая при этом, что некоторым програм­
мистам нравится называть себя «хакерами», в то время как они являются в действительно­
сти составителями программ высшей квалификации и не склонны к преступной деятель­
ности. Я все же решила использовать термин «хакер», так как он более распространен
за пределами круга экспертов по безопасности, и любому выбравшему эту книгу он будет
понятен,
Я присвоила «хакеру» мужской пол, и, хотя им может быть и женщина, я не хотела надое­
дать, часто употребляя оборот «он или она».
Наконец, эта книга о хакерах, но не для них. Если вы являетесь начинающим хакером
(wanna-be), то вам не удастся в этой книге научиться взлому систем. Вам лучше поставить
книгу обратно на полку.
Глава 1
Отражение атак

Обнаружение, изоляция и устранение инцидентов во многом напоминают обез-
вреживание взрывных устройств — чем быстрее и лучше вы это проделаете,
тем меньший урон нанесет инцидент, связанный с безопасностью системы.

Джин Шульц, главный инженер


Наступил субботний вечер. Сеть вашей компании была прекрасно спроектирована, отлично
работала и еще лучше обслуживалась. Группа по обеспечению безопасности бьла хорошо
обучена, а политики и процедуры поддержания безопасности отражены в инструкциях.
Но, стремясь поскорее написать эти инструкции (с тем чтобы получить большую премию),
вы забыли внести в них процедуру реагирования на инциденты'. И пока вы поздравляли себя
с отлично проделанной работой, хакер проник в самое чувствительное место системы.
Что делать теперь? Судьба хранящейся в системе информации зависит от того, как быстро
вы сможете ответить на этот вопрос (если только на него есть ответ). Сотрудники компа­
нии ждут указаний, что им делать, как и когда. Им также нужно знать, к кому обращаться
при обнаружении взлома. Иначе ситуация может быстро выйти из-под контроля. Эскала­
ция ответных усилий особенно важна, если масштабы вторжения выходят за рамки зна­
ний, которые есть у группы обеспечения.
После обнаружения вторжения каждый ваш шаг будет означать движение либо к сохране­
нию, либо к утрате секретов вашей компании. Представьте себе, что случится, если вся
важная информация в вашей компьютерной системе будет похищена или уничтожена. Это
невозможно? Так утверждают все, пока их система не подверглась взлому!
Всегда помните о важности хранящейся в вашей системе информации! Будьте готовы ее
защитить! Убедитесь в том, что каждый (сверху донизу) сотрудник вашей компании знает,
что делать при взломе для защиты информации от похищения, модификации или уничто­
жения. Рассмотрим пример...

Кошмар реагирования на инцидент
Дэйв Армстронг являлся системным администратором корпоративной сети банка First
Fidelity Bank в округе Анаканст. В понедельник, поздно вечером, Дэйв обнаружил, что
какой-то хакер полностью контролирует все 200 с лишним систем2 банка и «бродит» по
ним, собирая пароли и тщательно просматривая данные.
К несчастью, Дэйв ничего не предпринял и просто стал наблюдать за хакером с целью вы­
яснить, кто же среди ночи влез в систему. Хотя в First Fidelity имелись инструкции с поли-
1. Инцидент- в данной книге: ситуация в системе, связанная с несанкционированным вторжением (атакой,
изломом). - Примеч. пер.
2. Системами в данном случае называются серверы и рабочие станции в сети банка. - Примеч. науч. ред.
тиками и процедурами безопасности для многих ситуаций, по каких-либо формальных
указаний на случай подобного инцидента в них не было. Поэтому, не имея конкретных
предписаний, Дэйв потратил целых три дня, безуспешно пытаясь установить личность ха-
кера, и только потом призвал па помощь группу обеспечения безопасности банка.
Теперь представим себе на мгновение, что хакер бесконтрольно «бродит» по сети вашего
банка в течение трех дней, собирает имена и номера счетов и, возможно, изменяет ин­
формацию, переводя денежные средства или уничтожая записи. Уже думаете о том, как
нам сменить банк? Я -тоже!
Как возникают подобные ситуации? В данном случае Дэйв установил конфигурацию про-
граммного сервера таким образом, чтобы ему доверяли все остальные системы. Доверие
здесь означает то, что все системы сети предоставили программному серверу удаленный
привилегированный доступ (remote root access) без требования пароля при входе (конфи-
гурация по типу «доверяемая сеть» - web-of-trust). Несколько сотен систем доверяли про*
граммному серверу.
Хотя такая конфигурация облегчает установку в системах нового программного обеспече­
нии, имеете с тем она подвержена риску, особенно в случае, когда о риске и уязвимости,
связанныхх с поддержкой доверительных отношений, не думают в первую очередь. Если
Конфигурация системы должна включать доверяемый сервер (и других вариантов нет),
по такой доверяемый сервер обязательно должен быть защищенным. Иначе любой
хакер, проникший в такой доверяемый сервер, получает прямой привилегированный дос-
туп (ведь пароль не требуется) к каждой системе, имеющей доверительные отношения
с сервером.
Это как раз и произошло в корпоративной сети банка First Fidelity. Сотни систем этой сети
померили программному серверу. В результате сервер стал привлекательным для хакера,
искавшим вход в сеть компьютеров банка. Дэйву не приходило в голову, что его система
Подвержена риску и не способна противостоять атаке. Ни он, ни его управляющий не зна-
ли случая, когда единственная незащищенная система может открыть дверь к остальной
сети.
Доверяемая сеть банка First Fidelity проникала далеко в глубины его интранета (более
200 систем). При наличии сотен систем, доверяющих программному серверу, сервер сле­
нге т защищать надлежащими мерами безопасности. Но сервер сети банка тем не менее не
обладал достаточной степенью защиты. Он был широко открыт и ждал, когда в него зай-
дет хакер.
Так и случилось. Когда хакер получил полный доступ к доверяемому серверу, то ему был
предоставлен удаленный привилегированный доступ ко всем системам сети. Нельзя ска­
­­­ь, что это удалось ему с большим трудом.
Давайте рассмотрим подробнее этот случай вторжения и то, что последовало за ним в по-
следующие дни.

День 1-й: Неавторизованный доступ
Дэйв обнаружил хакера в системе в 11. 45 ночи в понедельник, во время плановой про­
верки сети. Он заметил, что выполняются необычные процессы и загруженность цен-
фальпого процессора значительно выше нормальной загруженности для этого позднего
времени. Эта необычная активность разожгла любопытство в Дэйве, и он продолжил ис-
следование. Просмотрев регистрацию, он обнаружил, что в системе зарегистрировался
Майк Нельсон, сотрудник группы обеспечения безопасности банка. Майк являлся закон­
ным пользователем, но он должен был входить в систему, вначале предупредив об этом
кого-нибудь из группы Дэйва. Может быть это хакер маскирующийся под Майка? Или это
20 Кошмар реагирования на инцидент

сам Майк работает над проблемами безопасности? Но если это Майк, то он либо забыл
сделать предварительное уведомление, либо умышленно его не сделал. Дэйв запутался.
Хуже того, он не знал, кого позвать и что ему самому делать.
Затем произошло то, что случается с большинством людей, которые впервые обнаружили
вторжение хакера в их систему, Дэйв ощутил прилив адреналина, вызванный чувством
возбуждения, смешанного со страхом и отсутствием определенности необходимых в та­
ком случае действий. Он был в одиночестве посреди ночи. Если бы он не работал в столь
позднее время, то, может быть, никто бы и не узнал об этой атаке. И он решил, что раз он
отвечает за систему, то должен сделать что-то для восстановления контроля над ней.
Он удалил пользователя из системы, а затем отключил учетную запись, заблокировав
пароль пользователя. Дэйв восстановил контроль над системой и, думая, что выполнил
свою миссию, отправился домой.
К несчастью, Дэйв не предполагал, что подобные его действия являются лишь кратко­
срочным решением проблемы. Удаление неавторизованного пользователя из системы час­
то означает только то, что тот будет в таком качестве только один день и сможет вернуть­
ся. После первого вторжения в систему хакер часто оставляет «черный ход» (back doors),
через который он легко может проникнуть в следующий раз. Действия Дэйва создали лож­
ное чувство безопасности. Он считал, что проблема решена простым удалением хакера из
системы. Но это оказалось не так, и проблема защиты от хакера даже им не была затрону­
та. Дэйв выгнал грабителя из дома, но оставил дверь незапертой.

День 2-й: Проблема решена
Во вторник утром Дэйв сообщил о своем полночном приключении управляющему и двум
другим системным администраторам. Они немного поговорили об этом инциденте, но все
еще не пришли к единому мнению о том, вторгся ли в систему неизвестный хакер или же
это был Майк из группы безопасности. Во всяком случае, они посчитали проблему решен­
ной - подозрительная учетная запись недействительна, и в системе нет больше неавтори­
зованных пользователей. Они закрыли вопрос и вернулись к работе. За текущими делами
время прошло быстро.
В конце своей смены Дэйв просто из любопытства вошел в программный сервер. Он об­
наружил в нем только еще одну регистрацию - Эда Бегинза, системного администратора,
выполнявшего резервное копирование на серверах ночью. Это ему показалось нормаль­
ным и даже ожидаемым. Система работала прекрасно. Итак, отработав еще 12 часов, Дэйв
вышел из системы и пошел домой.

День 3-й: Защита взломана снова
Дэйв отсыпался. В конце концов, это только еще утро среды, а он уже проработал 24 часа
на этой неделе. Во второй половине дня он вернулся в офис и заметил, что Эд не выходил
из сервера с прошлой ночи. Это показалось странным. Эд работал в ночную смену
и обычно не оставался на день. Помня о необъяснимой регистрации в понедельник, Дэйв
связался с Эдом по пейджеру на предмет работы того в системе. Эд ответил тотчас же, что
не выполнял какого-либо копирования прошлой ночью и не работает в системе в настоя­
щее время. Похоже было на то, что хакер теперь маскируется под Эда.
При дальнейшем исследовании Дэйв обнаружил, что ложный «Эд» пришел с системы
Майка. Более того, этот пользователь не только проверял, кто еще находится в системе,
но и запускал анализатор паролей. Дэйв подумал, что это Майк проверяет систему, и во­
шел в нее, маскируясь под Эда. (Дэйв не допускал ситуации, в которой неизвестный хакер
находится в системе и крадет информацию.) Теперь Дэйву это стало действительно надое-
21
Отражение атак

дать. Он считал, что Майк заставляет его ходить по кругу и тратить время зря. Дэйв был
нетерпелив. Он удалил из системы «Эда», заблокировал его пароль и сообщил о новом по­
вороте событий управляющему.
Управляющий вызвал Майка и спросил, регистрировался ли тот в системе, запускал ли
анализатор паролей и работал ли ночью в понедельник. Майк настойчиво утверждал, что
не является этим таинственным пользователем. Майк также заявил, что на его системе не
мог зарегистрироваться какой-либо хакер, так как он уверен, что она не взломана. По мне­
нию Майка, хакер занимается имитацией (spoofing), то есть притворяется, что приходит из
системы Майка, хотя в действительности запрос формируется где-то в другом месте.
Ситуация выродилась в простое тыканье пальцем друг в друга. Системный администратор
продолжал верить, что Майк «лазит» по сети. Майк продолжал настаивать, что вторжение
имеет характер имитации и его ложно обвиняют. Все лишились сна и стали тратить боль­
ше времени на выяснение того, что же в действительности произошло.

Дни с 4-й по 7-й: Эскалация инцидента
В четверг начальник Дэйва привлек к решению проблемы руководителя службы безопас­
ности банка и отдел внутреннего аудита. Несколько дней все собранные силы - группа
обеспечения безопасности, отдел аудита и системные администраторы - ожидали нового
появления хакера.
Но хакер уже не появлялся. Руководитель внутреннего аудита продолжал сомневаться, что
главной причиной произошедшего был хакер. Достаточно ли было удаления того из сис­
темы, чтобы он отказался от дальнейших атак? Может быть, это Майк сам занимался взло­
мом ради забавы и затих, когда осознал, что все ополчились против него?

День 8-й: Слишком поздно собирать улики
Только спустя неделю после вторжения отдел внутреннего аудита связался с Дэйвом и за­
просил техническую информацию, полученную им во время инцидента, которая бы могла
-оказать действия хакера на сервере. Так как банк не имел штатного эксперта по безопас­
ности, то руководитель аудита нанял меня. Я должна была определить по этой техниче­
ской информации, кто же проник в сервер.

День 9-й: Кто был этим плохим парнем?
Приехав, я обсудила этот случай с руководителем аудита и просмотрела информацию.
С момента второго вторжения прошло несколько дней, и хакер больше не возвращался.
К сожалению, я не смогла дать ответ руководителю аудита на интересующий его вопрос,
так как было невозможно выследить хакера по собранной информации. Из нее было ясно,

<< Пред. стр.

страница 2
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign