| |
Компьютерные преступления (кто и как их совершает)
(истории из опыта Билла Хэнкока, эксперта по компьютерной безопасности)
Как корпоративная система электронной почты была использована для распространения троянского коня
Введение
В этой истории рассказывается, как бывшим сотрудником организации (специалистом сервис-центра, желающим отомстить за свое увольнение) была организована атака на сеть, основанная на знании структуры и функций сети и порядка ее использования. Перед тем, как это сделать, этот сотрудник осуществил проникновение в бухгалтерскую систему и без чьего-либо разрешения увеличил свою заработную плату.
Предыстория атаки
Сотрудник сервис-центра в другой фирме, работающей в области шоу-бизнеса, постоянно предпринимал попытки получить должность в этой компании. Он несколько раз пытался устроиться на работу в данной компании и для этого даже встречался с руководителями компании, несмотря на то, что это мешало их работе, чтобы произвести на них впечатление и показать, как он хочет работать в их компании.
После нескольких попыток он был назначен на должность сотрудника сервис-центра. Согласно его сослуживцам, он был великолепным исполнителем и очень компетентным специалистом. Расследование установило, что он в ходе своей работы старался получить доступ ко всем рабочим станциям и серверам, использующимся в компании, включая информационные системы отдела кадров, бухгалтерии и другие критические системы. Специфика его работы привела к тому, что пользователи сами предоставили ему информацию о всех именах и паролях, необходимую для доступа ко всем системам, к которым они сами имели доступ, чтобы помочь ему оказать пользователям помощь в работах, выполняемых на их компьютерах. Вскоре этот сотрудник имел доступ практически ко всем аккаунтам пользователей и ко всем системам в организации.
Одним из средств организации взаимодействия между сотрудниками в компании был специальный почтовый адрес на почтовом сервере, который позволял тому, кто знал его, сразу послать сообщение большому числу пользователей во всей организации. Это было сделано путем разрешения пользователям доступа к адресному справочнику, встроенному в почтовую систему, и предоставления им возможности обновлять его без каких-либо ограничений, а также использованием специального идентификатора пользователя в этом адресном справочнике как широковещательного адреса. Если пользователь мог загрузить к себе на машину адресный справочник с почтового сервера, то он мог послать письмо любому пользователю, адрес которого был указан в этом справочнике, а также широковещательное письмо всем пользователям сразу. При этом ему не нужно было обладать какими-то особенными техническими знаниями.
Что произошло…
При обычной бухгалтерской проверке ведомости сотрудник бухгалтерии заметил сообщение об изменении заработной платы сотрудника сервис-центра в системном журнале. Что было странно, так это то, что модификация заработной платы была произведена главным бухгалтером, который никогда сам не занимался этим. Это всегда делалось тем сотрудником бухгалтерии, который проверял системный журнал.
Когда сотруднику сервис-центра, чья заработная плата была увеличена, задали вопрос об этом, он сказал, что не имел доступа к бухгалтерской системе. Но дальнейшее расследование установило, что он его все-таки имел. Информация из журналов систем управления доступом в помещения показала его присутствие в здании в той части, откуда он мог иметь доступ к бухгалтерской системе, во то время, когда было произведено увеличение заработной платы. Видеозаписи системы наблюдения подтвердили его присутствие в это время в здании. После этого он был сразу же уволен.
Когда его увольняли, этот человек выкрикивал угрозы в адрес компании за его увольнение. Когда его спросили, что он имеет в виду, он оказался настолько глуп, что сказал, что он выведет из строя все компьютеры компании. Тогда его предупредили, что компания свяжется с правоохранительными органами и вывели из здания под конвоем.
Неделей позже все сотрудники компании получили письмо из Интернета от адреса, который вроде бы принадлежал промышленной группе, в которую входила компания, и с которой шло активное взаимодействие по электронной почте. Если говорить конкретно, то казалось, что письмо послано президентом этой промышленной группы и было предназначено всем сотрудниками компании. В письме сообщалось, что документ, находящийся в приложении к письму, - это презентация на PowerPoint президента компании, и что сотрудники должны распаковать этот файл и запустить эту программу, чтобы посмотреть презентацию президента.
На самом деле никакой презентации в этом файле не было. Вместо этого приложение содержало небольшую программу, которая при запуске удаляла все содержимое жесткого диска на машине пользователя. Это письмо было послано на тот описанный ранее малоизвестный внутренний широковещательный адрес электронной почты. 1200 пользователей получили это письмо. Более 450 пользователей запустили программу и очистили свои диски, прежде чем поняли, что происходит на самом деле. Нечего и говорить, что почти нигде данные на жестких дисках не имели резервных копий.
Расследование и его результаты
Изучение программы из приложения к письму (так называемого "троянского коня") показало, что это была программа на C, которую можно легко найти в Интернете на хакерских веб-сайтах. Она ничего не делала, кроме уничтожения содержимого всего жесткого диска. Ее исходный текст имел не более 100 строк и был использован в нескольких вирусах.
Для того, чтобы проверить правильность гипотезы о том, что злоумышленником был тот самый уволенный сотрудник, требовалось провести ряд оперативных действий:
* Следователь связался с интернет-провайдером, который предоставил почтовый аккаунт, с которого было послано письмо, чтобы узнать, кто является владельцем этого аккаунта и когда он использовался. Оказалось, что это был временный (бесплатный первые 3 дня), не требующий оплаты по кредитной карте аккаунт. Поэтому не удалось напрямую установить, когда он использовался и кто его владелец. Но доступ в эти первые 3 дня должен был производиться, используя телефонный номер модемного пула провайдера, начинающийся с 800, а при доступе по этому номеру протоколировался номер телефона, с которого звонил пользователь. Информация из этого журнала показала, что многие звонки в эти три дня делались с домашнего номера телефона подозреваемого уволенного сотрудника. Мало кто знает, что для номеров, начинающихся с 800 и 888 ведется журнал, в котором фиксируются номера звонящего и того, кому звонят, который может быть предоставлен по запросу телефонной компанией (в США).
* Изучение журналов почтового сервера у интернет-провайдера показало, что дата-время отправки письма, вызвавшего уничтожение данных на жестком диске, совпадает по времени со звонками подозреваемого на 800-номер у провайдера.
* Изучение архивов отправленных писем у провайдера показало наличие в них того самого сообщения вместе с приложением, содержащим троянского коня.
* Анализ журналов почтового сервера компании показал, что в интересуюшее время получались письма от почтового сервера провайдера, а проверка промежуточных почтовых серверов предоставила доказательства того, что письмо с троянским конем действительно передавалось между почтовым сервером провайдера и почтовым сервером компании.
* С помощью журналов межсетевого экрана компании удалось установить точные времена доставки писем и адреса их отправителей. Эта информация согласовывалась с информацией от провайдера и информацией от внутреннего почтового сервера.
* Анализ журналов телефонных звонков в компанию с помощью средств протоколирования, встроенных в офисную АТС, показал, что подозреваемый регулярно звонил в компанию нескольким сотрудникам. Было установлено, что почти сразу же после отправки троянского коня подозреваемый звонил нескольким людям и разговаривал с ними от 1 до 15 минут. Собеседование с этими людьми установило, что звонивший задавал им конкретные вопросы о троянском коне, как будто бы он уже слышал о случившемся с ними несчастье, но не мог понять, как этот троянский конь мог попасть к ним в компанию.
Так как в результате этой атаки пострадали сотрудники компании как в конкретном штате США, так и за его пределами (из-за того, что сеть компании была глобальной и имела возможность удаленного доступа к ней), расследованием занялись сотрудники федеральных правоохранительных органов США и завели уголовное дело. Позднее их расследование установило наличие исходного текста этой программы и отправленного письма на домашнем компьютере подозреваемого. Этот человек был обвинен по нескольким статьям и получил в наказание несколько месяцев федеральной тюрьмы.
Решение проблемы
Для предотвращения подобных атак в будущем были предприняты следующие меры:
* Был обновлен межсетевой экран, и в нем была установлена последняя версия программного обеспечения, позволяющего сканировать приложения к письмам на вирусы и известных троянских коней. Кроме того, любые приложения, имеющие размер больше определенного, удалялись, а вместо них в письмо включалось сообщение об этом.
* Был разработан ряд политик безопасности и инструкций, которые были доведены до пользователей, чтобы они знали, как себя вести в случае повторения подобных ситуаций.
* Стали регулярно проверяться журналы телефонных звонков на специфические виды звонков и разговоры сотрудников с уволенными сотрудниками, которых уволили не по их собственному желанию, вскоре после их увольнения.
* При увольнении сотрудников с ними стали проводиться собеседования с целью определения списка машин, к которым они имели доступ, и уровня этого доступа, чтобы системные администраторы сразу же узнали об увольнении сотрудников и тут же удалили их аккаунты со всех этих машин.
* Были обновлены программы на почтовом сервере компании. В новой версии добавлена возможность сканирования писем на определенные слова, чтобы своевременно выявить потенциально опасные письма до того, как они будут получены пользователями.
* Во всех критических системах компании (в том числе и в бухгалтерской системе) стало проводиться регулярное аудирование их использования, и в них были добавлены программы, которые отслеживают все изменения в контролируемых ими базах данных.
* Стало обращаться должное внимание на создание архивных копий данных пользователей, и было предложено пользователям хранить свои критические файлы на серверах, которые стали регулярно архивироваться системными администраторами.
Хотя все эти меры и не являются совершенными, тем не менее они обеспечивают уровень безопасности в три раза выше прежнего уровня, и являются достаточными для противодействия соответствующим угрозам.
Заключение
Даже так называемые внешние атаки могут быть организованы при помощи информации о внутреннем устройстве сети. Описанная выше атака не могла быть осуществлена без знания специфической внутренней информации, которая позволила атакующему максимально распространить троянского коня, вызвавшего разрушения. Хотя с технической точки зрения эта атака является внешней, на самом деле она была организована извне на основе внутренней информации.
Внутренняя сетевая атака начальника отдела автоматизации его подчиненным
Введение
В этой истории рассказывается об внутренней сетевой атаке против начальника отдела автоматизации большого медицинского учреждения его озлобленным подчиненным.
Предыстория атаки
Начальник отдела автоматизации (НОА) был нанят на работу для замены его неквалифицированного предшественника и начал устранять проблемы, имевшиеся в работе (по сути "вычищать дом"). В ходе этого стало необходимым разработать и внедрить положения о системном и сетевом администрировании, чтобы создать нормальную среду работы для пользователей.
Один из прежних ведущих инженеров отдела автоматизации всячески не хотел проводить в жизнь эти изменения и поначалу пассивно сопротивлялся им. Со временем пассивное сопротивление переросло в невыполнение приказов начальника, за что этому инженеру было сделано замечание, а позднее он был оштрафован за то, что не выполнил конкретные указания начальника отдела автоматизации.
Дополнительной проблемой было то, что этот инженер хорошо разбирался во многих частях функционирования корпоративной информационной системы. Вначале он работал в сервис-центре, затем почтовым и сетевым администратором. Он имел глобальный доступ со всеми привилегиями почти ко всем компьютерным системам в учреждении, а также почти ко всей критической информации и файлам в информационной системе учреждения.
Еще одним важным обстоятельством этого случая было то, что этот человек имел большие проблемы во взаимоотношениях с родственниками и друзьями.
Что произошло…
После нескольких случаев неповиновения и бесед начальника с этим инженером НОА послал начальнику отдела кадров электронное письмо, детально описывающее проблемы с этим инженером, в котором он высказывал пожелание уволить этого подчиненного. На следующее утро после отправки письма этот инженер появился в отделе кадров вместе с письмом в руке и стал жаловаться, что он был оклеветан и т.д., и что НОА плохо относится к нему. Начальник отдела кадров после этого провел ряд совещаний с НОА и начальником службы безопасности, после чего стало понятно, что этот инженер читает конфиденциальные электронные письма НОА и других сотрудников организации.
Почтовый сервер учреждения работал на основе Lotus cc:Mail. Любой, кто имел соответствующий доступ к системе (знал пароль администратора), мог читать электронные письма в почтовых ящиках сервера - это была одна из штатных возможностей почтового администратора. Было вполне вероятно, что инженер читал не только письма НОА, но также письма других сотрудников, которые могли заинтересовать его.
В конце концов инженер сам уволился из компании и сообщил при этом сотрудникам отдела автоматизации и отдела кадров, что он больше не может работать при таком негативном отношении к нему.
В день увольнения он сказал различным сотрудникам отдела автоматизации следующее:
* НОА тратит все свое рабочее время на доступ в WWW к различным порнографическим сайтам.
* Большая часть этих сайтов содержит гомосексуальные картинки.
* Загруженные НОА порнографические картинки он держит на своей рабочей станции.
* Этот инженер, увольняясь из компании, сделал полную копию всех файлов на рабочей станции НОА, чтобы защитить себя в случае преследования со стороны НОА и юристов организации.
После того, как НОА услышал это, он связался с начальником службы безопасности, который в свою очередь пригласил экспертов (в том числе автора рассказа), чтобы они разобрались в том, что произошло и проверили истинность заявлений инженера.
Расследование и его результаты
Исследование рабочей станции НОА позволило установить следующее:
* НОА использовал Netscape Communicator как браузер по умолчанию, что было важным фактом, так как НОА регулярно очищал его кэши и не сохранял их после сеанса работы в WWW.
* В директории, где хранились файлы для Internet Explorer, было обнаружено несколько поддиректорий с кэш-файлами, содержащими сотни мужских порнографических картинок. Также было обнаружено, что все эти директории имеют одинаковое время-дату создания , и что все файлы в этих директориях были созданы почти в одно и то же время утром в субботу.
* Изучение формата хранения информации в директории позволило сделать вывод, что этот формат хранения не является тем форматом, в котором Internet Explorer автоматически сохраняет кэш-файлы при работе в WWW.
После исследования рабочей станции уволившегося сотрудника была обнаружена следующая информация:
* В системе были удалены все файлы, которые не входили в состав установленных приложений.
* Был обнаружен файл закладок Internet Explorer НОА.
* При восстановлении файлов на диске были обнаружены файлы с теми же самыми именами и содержимым, что и файлы, находящиеся на рабочей станции НОА.
* В некоторых восстановленных журналах со станции инженера была обнаружена информация о доступе к рабочей станции НОА приблизительно в то же время, в какое были созданы директории на рабочей станции НОА.
Дальнейшее изучение журналов и информации из восстановленных файлов позволило установить, что файлы, содержащие порнографические материалы, были вначале загружены из Интернета на рабочую станцию инженера. Затем эти файлы были перенесены на машину НОА. Таким образом уволившийся инженер пытался оклеветать НОА с целью уволить его из учреждения.
Бывший сотрудник обнаружил, что можно легко скопировать эти файлы на машину НОА. Так как на машине НОА была установлена Windows NT, этот инженер незаметно вошел в комнату НОА и сделал его жесткий диск доступным из локальной сети учреждения.
Решение проблемы
Следующие изменения были сделаны для повышения сетевой безопасности:
* Было установлено программное обеспечение для повышения безопасности рабочей станции НОА, а также ряд других систем, содержащих критическую информацию. В состав его входит программа шифрования файлов, средства аудирования работы в сети, средства создания персональной виртуальной сети и персональный пакетный фильтр.
* Коммутаторы и маршрутизаторы стали фильтровать трафик в сети для дополнения межсетевых экранов, чтобы быть уверенным, что только разрешенные системы могут получить доступ к наиболее важным системам в сети.
* Стал проводиться периодический аудит безопасности наиболее важных систем отделом аудита.
* Были удалены все ненужные программы из рабочей станции НОА, чтобы они не могли быть использованы для атак на систему.
* Было минимизировано число пользователей, имеющих возможность удаленного доступа к наиболее важным системам.
* Были внедрены и обновлены политики безопасности и инструкции пользователям в отношении вопросов безопасности персональных данных.
* На межсетевом экране было установлено программное обеспечение, которое может блокировать доступ к определенным URL, чтобы минимизировать возможность доступа к порнографическим сайтам из корпоративной сети.
* На все ключевые системы были установлены системы аутентификации на базе смарт-карт, чтобы быть уверенным, что только авторизованные пользователи могут иметь доступ к этим системам.
* Резервные копии данных с ключевых систем и другие важные данные стали храниться в защищенном месте, чтобы исключить неавторизованный доступ людей к ним.
* Были разработаны политики безопасности и инструкции сотрудникам, чтобы быть уверенным, что все сотрудники знают о том, какие действия можно совершать при просмотре персональной информации, а какие повлекут за собой наказания.
* Стали проводиться периодические скрытые проверки службой безопасности лиц, занимающих наиболее важные посты в организации.
* Все сотрудники теперь должны расписываться за то, что они знают корпоративные политики в отношении работы с критической информацией и будут соблюдать их, а также должны подтвердить, что знают, какие действия они должны предпринимать в случае обнаружения дыры в системе безопасности.
* Стало проводиться периодическое тестирование системы безопасности, чтобы быть уверенным, что не произошло изменений в уровне защиты, и что нет новых уязвимых мест в системе НОА и установленных на ней программах, которые нужно заделать.
Заключение
Число персональных атак на верхнее звено управления компаний растет с угрожающей скоростью. Как показано в этом случае, организовать такую атаку на систему начальника крайне легко, если только на ней не установлено специального оборудования и программ для защиты. Также могут потребоваться средства персональной безопасности, такие как персональные пакетные фильтры, аудирование рабочей станции, обучение пользователей и периодическое тестирование защищенности, чтобы можно было гарантировать целостность и защищенность систем, на которых работают люди, занимающие важные посты в организации.
Корпоративный почтовый сервер был скомпрометирован чтением чужих электронных писем сотрудником организации
Введение
В этой истории рассказывается о внутренней сетевой атаке с использованием знаний о ней, организованной сотрудником, которому доверяли, против почтового сервера, использовавшегося верхним звеном управления организацией. В ее ходе были прочитаны чужие письма, что вызвало проблемы у руководства организацией и привело к раскрытию важной персональной информации тем сотрудникам, которым она не должна была быть известна.
Предыстория атаки
Работа группы информационных служб в исследовательском учреждении была почти полностью парализована из-за того, что руководство организации назначило ее начальником неправильного человека. Наконец, после смены ряда руководителей организации на должность начальника этой группы был назначен опытный специалист, в задачи которого входило восстановить ее работоспособность.
В процессе перестановки кадров на протяжении нескольких месяцев один из сотрудников был назначен на должность системного администратора ряда критических NT серверов и двух основных почтовых серверов на базе CC:Mail, которые обслуживали верхнее звено руководства, ряд других важных лиц из технического персонала в организации и начальников ряда других отделов организации. Этот человек формально не обучался администрированию этих систем, но после назначения на эту должность серьезно занялся самообразованием и прочитал много литературы об используемых на серверах программах. Хотя он очень старался, он все же допустил ряд неизбежных ошибок в работе, которые вызвали сбои в работе сети и некоторый беспорядок, когда ряд писем были получены людьми, которым они не предназначались (в одном случае список новых сотрудников, которым был ограничен доступ к ресурсам, был случайно получен несколькими лицами из этого списка).
Когда новый НОА узнал об этих случаях, он решил, что данный человек недостаточно компетентен в администрировании, и передал часть его обязанностей более квалифицированным новым работникам. Он также решил, что провинившийся сотрудник должен пройти обучение на курсах по администрированию, после чего он вскоре снова сможет вернуться к выполнению всех своих обязанностей.
Но прошло шесть месяцев, но провинившегося сотрудника так и не отправили на курсы, а в его личной жизни возник ряд проблем. Это привело к тому, что он озлобился на НОА, и несколько раз между ними возникали конфликты. Один из конфликтов, как раз предшествующий описанным ниже событиям, возник из-за того, что НОА не был согласен с тем, как этот инженер решил одну поставленную перед ним задачу. Из-за того, что НОА посчитал такие действия сотрудника неповиновением ему, он лишил этого инженера зарплаты на неделю (то есть работник не приходит на работу и ему не платят деньги). Это крайне разозлило инженера и враждебно настроило против НОА.
Что произошло…
Инженера видели на его рабочем месте на следующий день после начала срока наказания, и он сказал, что пришел только забрать какие-то бумаги, нужные ему для написания большого отчета. Когда инженер был в офисе, он попросил дать ему возможность удаленного доступа к корпоративной сети из дома на время наказания, чтобы в случае аварии он мог помочь решить проблемы прямо из дома. Такой доступ ему был предоставлен. Для этого другой администратор создал аккаунт для подключения по модему в системе управления модемным пулом организации (блок Shiva) и назначил для него полномочия.
Двумя днями позже конфиденциальные письма об этом инженере НОА начальнику отдела кадров были получены всеми сотрудниками отдела автоматизации. Кроме этого, все они получили интимные письма между НОА и его подружкой. А ряд конфиденциальных писем отдела кадров был получен лицами, о которых шла речь в этих письмах, что вызвало панику среди сотрудников организации и посеяло сомнения в способности отдела автоматизации администрировать "такую простую вещь, как почтовый сервер".
Когда этого инженера спрашивали о причинах возникших проблем, он говорил всем, что его в это время не было в офисе, и он не имел в это время доступа к сети по модему. Журналы модемного пула показали, что в то время, когда произошло происшествие, от этого инженера не было входящих звонков и подключений по модему через модемный пул.
Расследование и его результаты
Расследование началось с анализа журналов и изменений в конфигурации почтовых серверов CC:Mail. Были обнаружены явные следы уничтожения части информации в журналах, а в то время, когда имели место случаи "случайного" получения писем не теми адресатами, в журналах не было информации вообще - обычно эти случаи имели место ранним утром. Расследование также показало, что дата-время создания файлов с полученными не теми людьми письмами попадают в периоды отсутствия информации в журналах, что доказывало, что на самом деле что-то происходило в это время.
Дальнейшее изучение журналов сервера доступа показало, что в то время, когда имела место подчистка журналов, удаленного доступа не было. Проверка модемного аккаунта почтового администратора показала, что для него не было никаких сеансов вообще. Аналогичные проверки журналов межсетевого экрана для Интернета также не выявили никаких попыток удаленного доступа к сети. Также было установлено, что никаких модификаций журналов межсетевого экрана не производилось.
Проверка физического доступа в здание, где находится почтовый сервер, позволила установить, что в серверную никто не входил, кроме операторов, которые должны были находиться в комнате во время дежурства и других лиц, кто должен был быть в серверной для выполнения каких-либо работ. В то время, когда была произведена модификация журналов, в здании не было никого, кто мог бы иметь причины получить доступ к почтовому серверу. В то время, когда кто-то изменил конфигурацию почтовых серверов, что и вызвало получение писем не теми людьми, не было обнаружено удаленного доступа к сети, ни физического доступа к серверам.
Опрос сотрудников отдела автоматизации позволил установить, что пользователи сети могли попросить установить с разрешения своего начальника отдела у себя на рабочем месте телефон в одном из зданий исследовательского центра, в котором была проложена корпоративная сеть. Дальнейший опрос обнаружил, что эти телефоны не контролировались отделом автоматизации, и что не имелось средств проверки того, где установлены телефоны и как они используются.
Отдел телекоммуникаций, который отвечал за АТС организации, дал необходимую информацию. Во-первых имелось около 2400 телефонных розеток для подключения цифровых телефонов. Во-вторых, было установлено около 900 линий для факсов, модемов и пейджеров. Проверка их использования показала, что сотрудниками использовалось свыше 500 переносных компьютеров, все они имели встроенные модемы и имелось много модемов, постоянно стоящих в тех или иных комнатах в зданиях. Самыми популярными вариантами использования модемов были исходящие звонки для подключения к различным информационным службам и отправка факсов. Некоторые пользователи также подключались с помощью модемов к станциям на их рабочих местах из дома для удаленного доступа к ним и сети.
Большое число пользователей установили у себя средства удаленного управления компьютером, такие как Rapid Remote, PC Anywhere и Carbon Copy. С помощью этих программ удаленный пользователь мог получить доступ к системе в корпоративной сети, как будто бы он сидел за своей рабочей станцией (правда несколько медленнее). Они также удаленно монтировали диски и получали доступ к другим сетевым службам во внутренней сети от имени своей машины на рабочем месте путем удаленного подключения к ней через модем. Быстрое сканирование блока телефонных номеров организации программой, называемой "боевым диалером", которая последовательно пытается позвонить по каждому номеру из указанного диапазона, выявляет номера, по которым отвечают модемы (в ответ слышны тональные сигналы), и сообщает об этом, выявило что к 50% из 900 линий были подключены модемы и к 200 из них были подключены компьютеры с установленным на них программным обеспечением для удаленного доступа. Это означало, что при правильной настройке программы любая из этих 200 систем могла быть использована для установления удаленного соединения с сетью в обход модемного пула и межсетевого экрана. Это подключение не было запротоколировано и не подпадало под контроль отдела автоматизации.
Так как имелось подозрение, что именно почтовый администратор в ответе за неполадки с почтой, было логичным проверить способы, которыми он мог воспользоваться для получения удаленного доступа к одной из этих 200 машин. Было также логично предположить, что этот доступ имел место как раз тогда, когда были очищены журналы на почтовых серверах.
АТС организации имела возможность, позволяющую определять номер внешнего телефона, с которого поступил звонок. Эта возможность известна как АОН (автоматическое определение номера). Изучение информации о номерах телефонов в часы, когда происходили несанкционированные изменения на почтовом сервере, позволило установить, что звонили только по номерам, на которых были установлены автоответчики или факсы - ни на один из номеров с установленными на них модемами не было звонка.
Странно.
Хорошо, модем может и сам позвонить. Дальнейшее исследование исходящих звонков в то же самое время выявило, что был исходящий звонок по домашнему номеру телефона почтового администратора, а также другому номеру, который также находился в доме, где живет почтовый администратор. По внутреннему номеру, с которого был произведен звонок, было установлено, что звонок был организован одним из персональных компьютеров в отделе автоматизации. Исследование этого компьютера показало, что в тот день, когда почтовый администратор был наказан, на этом компьютере была установлена программа PC AnyWhere фирмы Symantec. Более того, этот компьютер не использовался никем из отдела автоматизации, так как его хозяин находился в полугодовой командировке за границей. Углубленный анализ телефонных звонков с/на этот внутренний номер выявил, что в несколько предыдущих недель с него звонили только по домашнему номеру почтового администратора.
Программа для удаленного доступа вела журнал всех подключений к компьютеру. Никаких паролей для входа не устанавливалось, поэтому получить удаленный доступ мог любой, кто установил себе клиентскую часть программы. Была произведена проверка установить клиентскую часть программы удаленного доступа на машину консультанта и успешно проведен тестовый сеанс удаленного подключения к этой машине. Таким образом удаленный пользователь мог получить доступ ко всей сети организации.
Для сбора улик нужно было обследовать домашний компьютер почтового администратора, чтобы получить достоверную информацию о том, что именно он устанавливал соединение с сетью по телефону через компьютер уехавшего ученого, и что именно он модифицировал журналы почтового сервера и его конфигурацию. Нужно было получить ордер на обыск, так как в противном случае осмотр компьютера был бы незаконным.
Стало известно, что компьютер, установленный дома у почтового администратора, принадлежит отделу автоматизации. Но если попросить его вернуть компьютер официально, вся информация на нем окажется уничтоженной, и никаких улик не останется. Но если сказать почтовому администратору, что его машину будут обновлять, то есть шанс, что он сам принесет компьютер в учреждение. Так как периодически все компьютеры обновлялись, фамилия почтового администратора была внесена в список, и на следующей неделе он принес машину для обновления. Он скопировал содержимое диска со старой машины на новую и забрал ее домой. После этого была создана резервная копия старого диска на CD-ROM, чтобы гарантировать подлинность данных при представлении их в суде.
Содержимое диска было исследовано, и сразу стало ясно, что на компьютере была установлена клиентская часть программы удаленного доступа, и в его журналах имеются записи о сеансах как раз в то время, когда производились несанкционированные действия на почтовом сервере, а компьютеры, с которыми устанавливалось соединение, находятся во внутренней сети организации и являются как раз теми самыми почтовыми серверами. Была также обнаружена информация о том, что соединение было установлено в ответ на удаленный звонок от компьютера уехавшего ученого.
Вся эта информация была предоставлена почтовому администратору, который после этого сознался, что именно он совершил все это. По законам США он мог быть привлечен к уголовной ответственности за промышленный шпионаж и несанкционированное вмешательство в работу компьютеров, но потери учреждения не были настолько велики, чтобы правоохранительные органы стали заниматься этим делом. Но можно было возбудить гражданский иск - почтовый администратор мог быть обвинен в реальных нарушениях в работе сети учреждения и возможных последствиях этого, и на основании этого против него мог быть возбужден иск на большую сумму, которую он не смог бы заплатить. Чтобы избежать скандала, учреждение уволило его, и он подписал специальный договор, в котором он обязался не сообщать никому, что он совершил, и не пытаться повторить попытки несанкционированного доступа к сети организации, в противном случае против него был бы сразу же возбужден этот гражданский иск.
Решение проблемы
Следующие меры были приняты, чтобы избежать повторения подобных случаев в будущем:
* Было внесено стратегическое изменение в руководящие документы организации в отношении того, кто может запросить установку и телефона и причин, которые считаются достаточными. Основную массу пользователей заставили использовать для удаленных соединений способы, которые рекомендовал отдел автоматизации. Существующие телефонные линии стали постепенно отключаться, и поэтому со временем все пользователи будут подключаться только так, как это разрешил отдел автоматизации.
* Была усилена аутентификация на почтовых серверах, чтобы точно идентифицировать того, кто выполняет системное администрирование на них в то или иное время. Используя смарт-карты, можно точно установить, кто пришел в серверную и работает на том или ином сервере.
* Постепенно устанавливаются дополнительные меры защиты на всех серверах в сети, чтобы можно было фиксировать соединения пользователей с серверами и протоколировать работу пользователей с серверами для проведения ее аудита в дальнейшем.
* Был разработан принципиально новый проект удаленного доступа по телефонным линиям пользователей к сети, после чего он стал внедряться. Было решено использовать комбинацию технологий клиент-сервер на основе создания VPN и управления доступом таких удаленных пользователей с помощью межсетевых экранов, использующихся для работы с Интернетом. Таким образом будет обеспечено безопасное соединение с удаленными пользователями, фильтрация содержимого, аутентификация пользователей и централизованное протоколирование их сеансов - единая методология доступа, которая может использоваться во всей организации.
* Резервные копии журналов АТС стали храниться более 90 дней. Кроме того, был полностью изменен порядок контроля за аналоговыми линиями с целью выявления попыток обойти рекомендованные отделом автоматизации методы удаленного доступа.
* Были рекомендованы конкретные методы и программы для удаленного доступа пользователей, чтобы пользователи могли иметь те же самые возможности, что и раньше, но только через Интернет, только с помощью конкретных программ с возможностями аутентификации, только после обучения правилам безопасного удаленного доступа, и только при условии включения в этой программе функций протоколирования сеансов пользователя (для предоставления в дальнейшем возможности службе компьютерной безопасности провести аудит сеансов пользователя и проверить, не было ли попыток несанкционированного доступа к сети).
Со временем все эти работы значительно улучшили безопасность сети при удаленном доступе к ней.
Заключение
Необходимость доверять системным и сетевым администраторам никуда не исчезнет. Но при изменении тех или иных специфических факторов, доверие к тем или иным людям тоже будет меняться. В современном обществе, где деньги, наркотики, алкоголь и стрессы оказывают большое влияние на работу администраторов, руководство организацией должно учитывать влияние этих факторов в конечном счете на работу критических систем и программ. Только создав единую систему защиты, которая эксплуатируется компетентными специалистами, руководство, которое "ходит по лезвию бритвы", сможет минимизировать разрушения в случае внутренних атак на сеть.
Вывод из строя внутренней сети недовольным сетевым администратором
Введение
Эта история описывает, как уволенный сетевой администратор подарил на прощание "подарок" своей организации, выведя из строя ее сеть.
Предыстория атаки
Однажды сетевой администратор большой страховой компании был вызван на беседу со своим начальником, на которой ему был задан ряд вопросов, включая:
* Где пропавшие сетевые концентраторы и другое сетевое оборудование?
* Где дистрибутивы ряда программ?
* Где два пропавших компьютера?
Этот сетевой администратор отрицал, что у него есть что-либо из пропавшего, но ряд других сотрудников перед этим разговором сказали начальнику, что имеют подозрения в отношении именно этого администратора. Кража всего перечисленного выше была нужна ему для организации своего собственного бизнеса в области интернет-провайдерства.
В ходе беседы, когда ему были предъявлены обвинения, сетевой администратор повел себя так, что начальник решил тут же уволить его. Ему было позволено только забрать вещи из своего стола и он под присмотром сопровождающего был выведен из компании.
К сожалению, компания ничего не сделала для того, чтобы изменить пароли, которые он знал и не внесла нужные изменения в средства защиты для удаленного доступа. Это означало, что этот сетевой администратор по-прежнему имел полный доступ ко всем ресурсам сети, даже не находясь физически в здании.
Через неделю, пользователи начали жаловаться, что они не могут получить доступ к системам и службам в сети компании и системам во внешних сетях, хотя могли делать на прошлой неделе. Эти происшествия казались индивидуальными для каждого пользователя ПЭВМ, но наблюдались у всех пользователей. Дальнейшее расследование показало, что проблема возникает после перезагрузки ПЭВМ. До перезагрузки ПЭВМ может получить доступ куда-либо, куда это нужно ее пользователю. Но после перезагрузки ПЭВМ не могла установить соединения со многими машинами в сети. Важным фактором было то, что все пострадавшие системы были полностью работоспособны, и не имелось никаких проблем в работе сети, кроме … увольнения сетевого администратора.
Проблема по сути была похожа на то, как будто бы собаку посадили на привязь в саду, хотя раньше этой собаке разрешалось свободно гулять по саду. Но в сети за последнюю неделю не делалось никаких изменений в конфигурации, и не вносились никакие изменения в программное обеспечение.
Результатом этой проблемы стало то, что многие пользователи не могли получить доступа к веб-серверам интранета, многие не могли получить доступ к ресурсам Интернета, а ряд систем во внутренней сети и во внешних сетях оказались недоступными всем пользователям.
По словам одного пользователя "сеть усохла". Но никакого оборудования не было удалено из сети, а наоборот планировалось добавить новые компоненты в сеть для ее расширения.
Расследование и его результаты
Расследование началось с изучения концентраторов и маршрутизаторов во внутренней сети и ее соединений с внешней сетью. Никаких модификаций обнаружено не было. Фактически, последние модификации в программы, обеспечивающие работу сети, вносились за три недели до увольнения сетевого администратора.
Изучение ПЭВМ было гораздо более трудным, так как нет никаких средств протоколирования в таких операционных системах, как Windows'95, Windows for Workgroups, Windows V3.11 и OS/2. Кстати, пострадали компьютеры именно с этими операционными системами, и не было замечено никаких проблем у компьютеров под управлением UNIX, Macintosh, у старых компьютеров IBM и DEC.
Анализ дат и времен модифицированных файлов оказался бесполезным, так как все системы администрировались удаленно группой системных администраторов каждый день, и наиболее критические файлы на большинстве систем обновлялись ежедневно.
Единственным способом понять, что происходит, было более детальное изучение проблем, возникающих у пользователей, и попытка установить причины происходящих конкретных проблем. Компания не хотела обратно нанимать уволенного сетевого администратор по политическим и кадровым соображениям, поэтому экспертам пришлось действовать самостоятельно.
При попытке установить соединения с другими системами стало ясно, что системы, которые не перезагружались, вообще не имеют проблем. Это означало, что следовало определить, какие различия имеются между системой, которая перезагрузилась, и той, которая не делала этого. Это оказалось очень сложным и дало небольшие результаты. Имелись естественные системные различия, но большинство из них могли быть вызваны различиями в администрировании их и различиями в их конфигурации. Но эта работа не была полностью бесполезной, так как позволила глубже изучить эксплуатируемые операционные среды сотрудникам отдела автоматизации.
Изучение систем, которые стали плохо работать, не выявило никаких необычных установок в панели средств управления сетью. Фактически, за исключением адреса, большинство установок во всех системах были идентичны и совпадали с тем, которые стояли на нормально работавших системах.
Следующим шагом был запуск сетевого анализатора в этом сегментеЛВС для выявления различий в трафике между нормально работающими системами и тем, которые работали плохо. Первичный анализ пакетов протоколов TCP/IP, используемых всеми рабочими станциями, не показал никаких различий в формате пакетов. Но после анализа большого числа пакетов и побитного их сравнения было выявлено небольшое различие между правильно работающими системами и теми, которые не могли получить доступ к Интернету.
В пакете IP есть поле, называемое "ВРЕМЯ ЖИЗНИ", которое используется для предотвращения переполнения сети ошибочными пакетами. Как правило, значение, стоящее в этом поле, декрементируется каждый раз, когда пакет проходит через маршрутизатор. Когда это значение становится равным нулю, пакет уничтожается маршрутизатором. С помощью такого удаления ошибочные пакеты удаляются из сети.
Это поле также часто используется для установки максимально допустимого числа маршрутизаторов между отправителем пакетов и их получателем. Его функция очень похожа на поводок собаки: оно ограничивает величину расстояния, на которое кто-то может отойти от своей системы. По умолчанию на большинстве систем его значение равно 255. Это означает. Что на пути между отправителем и получателем может быть не более 255 маршрутизаторов, при попытке пройти большее их число пакет будет уничтожен.
Изучение пакетов выявило, что правильно функционирующие системы посылали пакет с полем "ВРЕМЯ ЖИЗНИ", имеющим значение 255, а в пакетах, отправляемых плохо работающими системами он было равно 1. Это означало, что первый же маршрутизатор, на который попадал пакет, уничтожал его. По сути это лишало пользователя неправильно работающих систем возможности использовать сеть за маршрутизатором. Ему были доступны только те системы, пакеты к которым передавались через коммутаторы и концентраторы. Естественно для объединения сетей в организации использовались маршрутизаторы, и пользователи не могли добраться до удаленных машин.
Исследование параметров протокола на плохо работающих системах выявило, что это поле устанавливалось в 1 в одном из файлов, использовавшихся для конфигурирования протокола после перезагрузки. Другие системы не пострадали сразу же из-за того, что после перезагрузки они не считывали конфигурационные файлы и не меняли значение поля "ВРЕМЯ ЖИЗНИ".
Дата последнего изменения файлов соответствовала следующему дню после увольнения сетевого администратора. Дальнейшее расследование показало, что для распространения измененных файлов по системам пользователей были использованы средства системного администрирования. Журналы модемного пула показали наличие сеансов этого сетевого администратора в ночь после увольнения и на следующий день. Сразу же после этих сеансов начались проблемы у пользователей.
К сожалению в данной ситуации не было абсолютно никакого способа доказать, что именно сетевой администратор был причиной всех бед, хотя было ясно, что только он единственный из тех, кто имел доступ к системе администрирования, обладал необходимой квалификацией для совершения таких действий. Недостаточно для возбуждения судебного иска, но достаточно для установления причин произошедшего.
Средства системного администрирования были сконфигурированы так, что на всех пользовательских системах было установлено новое значение "ВРЕМЯ ЖИЗНИ" и они были обязательно перегружены на следующий день. После этого все заработало. В то же самое время были изучены все установки сетевых программ на предмет выявления аналогичных вредных установок. Было обнаружено, что на нескольких компьютерах ряд параметров также были изменены, что со временем также привело бы к их неработоспособности - они были исправлены. Изучение установок маршрутизаторов, концентраторов и других сетевых компонент также выявило факты модификации загрузочных модулей операционной системы и других файлов - эти файлы также были восстановлены.
Фактически, не зная никаких паролей на компьютерах, а имея только один аккаунт , сетевой администратор скомпрометировал всю сеть и модифицировал ее для вывода из строя сетевых компонентов.
Решение проблемы
Следующие действия были предприняты для предотвращения повторения подобных проблем в будущем:
* Был разработана автоматизированная процедура еженедельного аудирования всех систем и ежедневного аудирвоания всех сетевых компонент. О любых изменениях в сетевых компонентах теперь становится известно после следующего запуска программ аудирования ночью.
* Для всех увольняющихся сотрудников организации (и особенно для технических специалистов) отделом кадров и отделом автоматизации был разработан новый, очень строгий порядок увольнения. Как только отдел кадров узнает о том, что нужно уволить кого-то из организации, его сотрудники предпринимают действия, гарантирующие, что увольняющиеся технические работники уведомлены о том, что доступ к компьютерам организации после увольнения является незаконен, и что их аккаунты будут корректно отключены после их увольнения.
* Была произведена замена ряда сетевых компонент на аналогичные, но поддерживающие аутентификацию с использованием криптографии. Это позволило защититься от любых атак, связанных с паролями.
* Был заново составлен контракт для всех новых работников, чтобы можно было законно наказать их в случае попыток несанкционированного доступа к системам организации.
Драйвера для всех протоколов должны иметь конфигурационные файлы, которые должны изменяться крайне редко. Лучший способ гарантировать, что конфигурационные файлы не были изменены неавторизованным образом - контроль за этими файлами и использование специальных программ для их модификации.
Заключение
Эта история стала возможной из-за плохого управления конфигурацией сети, которое было использовано для ее вывода из строя, из-за отсутствия мер безопасности при увольнении технических специалистов, из-за того, что не был блокирован доступ уволенного технического специалиста к системам организации, и из-за того, что не было принято юридических мер защиты от попыток неавторизованного доступа к системам организации уволенного сотрудника. Описанные ошибки на самом деле являются распространенными, но о случаях их использования не сообщается из-за боязни потерять репутацию. При наличии правильного управления конфигурацией сети в большинстве случаев последствия попыток неавторизованного доступа были бы минимизированы.
|
