Искусство вторжения, стр. 58

ЗАЩИТА ОТ АТАК MS SQL INJECTION

Роберт сознательно удалил все проверки входных команд из Интернет-приложений, которые должны были предотвращать атаки SQL-injection. Следующие шаги могут защитить вашу компанию от атаки, которую использовал Роберт:

• никогда не запускайте сервер Microsoft SQL в контексте работы системы — старайтесь запускать его иным способом;

• разрабатывая программы, создавайте коды так, чтобы не генерировать динамические SQL-запросы;

• используйте процедуры хранения, чтобы выполнять SQL-запро-сы, создайте аккаунт только для выполнения таких сохраненных процедур и определите систему защиты от проникновения в этот аккаунт.

ИСПОЛЬЗОВАНИЕ СЕРВИСОВ MICROSOFT VPN

В качестве средства авторизации Microsoft V P N применяет авторизацию Windows, что позволяет атакующему использовать недостаточно защищенные пароли для проникновения в VPN. В некоторых ситуациях можно потребовать для доступа к V P N авторизации при помощи смарт-карт. Иногда имеет смысл контролировать доступ к V P N при помощи проверки IP-адресов клиентов.

В атаке Роберта системный администратор должен был контролировать VPN-сервер на появление новых пользователей в группе VPN. Другие меры тоже очевидны, это: удаление «спящих» аккаунтов из системы (как уже не раз было отмечено), гарантированное удаление всех уволенных сотрудников, и ограничение времени доступа рабочими днями и рабочими часами.

УДАЛЕНИЕ УСТАНОВОЧНЫХ ФАЙЛОВ

Роберт смог получить список рассылки, который был ему интересен, не проникая в приложение для рассылки, а используя лазейку в изначальной установке приложения. После того, как приложение успешно установлено, установочные тексты должны быть удалены.

ПЕРЕИМЕНОВАНИЕ АККАУНТА АДМИНИСТРАТОРА

Любой человек, у кого есть доступ к Интернету, может запросить Google на предмет «листа паролей», чтобы найти сайты, где перечислены все начальные пароли, которые производители устанавливают на свои устройства. Именно поэтому надо по мере возможности переименовывать директории администратора и внешнего пользователя. Однако это не имеет смысла, когда имя аккаунта и пароль сохраняются где-нибудь в открытой форме, как это было в случае с атакой Эрика.

УЖЕСТОЧЕНИЕ УСТАНОВОК WINDOWS, ЧТОБЫ ПРЕДОТВРАТИТЬ СОХРАНЕНИЕ ОПРЕДЕЛЕННЫХ ДАННЫХ

Изначально установленная конфигурация Windows автоматически перемешивает «нарезку» паролей и сохраняет в виде текста те пароли, которые используются для входа в сеть через diap-up. После получения достаточных привилегий атакующий будет пытаться извлечь максимум информации, включая любые пароли, которые хранятся в регистре или других областях системы.

Сотрудник, пользующийся доверием своих коллег, может в принципе проникнуть в любое место домена, приложив минимальные усилия социальной инженерии, если его рабочая станция запоминает пароли. Один рассерженный сотрудник призвал к себе службу технической поддержки, жалуясь, что не может войти в свою рабочую станцию. Он потребовал от техников немедленно прийти к нему на помощь. Техник пришел, вошел в систему, используя свои привилегии. и устранил «проблему». Вскоре после этого упомянутый сотрудник извлек из директории техника все зашифрованные пароли и взломал их, получив такие же права в доступе к домену, как имел техник.

Такие программы, как Internet Explorer и Outlook хранят пароли в регистре. Чтобы узнать больше об отключении этих возможностей, используйте поиск Google по словам «disable password caching».

ГЛУБОКАЯ ЗАЩИТА

Истории, рассказанные в этой главе, показывают, может быть даже более наглядно, чем все остальные в этой книге, что защита компании по периметру — явно недостаточная мера. В современной ситуации периметр часто открывается, поскольку бизнес-цели предусматривают доступ пользователей в сеть. Поэтому межсетевой экран не может остановить каждую атаку. Хакер отыскивает малейшие бреши в защите, стараясь использовать те сервисы, которые разрешены правилами межсетевого экрана. Одна из возможных стратегий снижения этой угрозы заключается в том, чтобы поместить все системы публичного доступа в отдельный сегмент сети и тщательно фильтровать трафик в более важные сегменты.

Например, если SQL-сервер расположен в корпоративной сети, то можно установить второй межсетевой экран, позволяющий соединения только с портом, на котором расположена данная услуга.

Установка внутренних межсетевых экранов для защиты важной информации достаточно неприятная процедура, но ее надо использовать, если вы действительно хотите защитить свои данные от злонамеренных сотрудников и внешних хакеров, которым удастся прорваться через периметр.

ПОСЛЕСЛОВИЕ

Ничто не остановит опытного хакера на пути к его цели. Он пристально изучит систему, которую он атакует, и определит все ее звенья и общедоступные сервисы. Хакер может ждать недели, месяцы и даже годы, чтобы отыскать и использовать новую, еще никому не известную лазейку. В процессе моей хакерской карьеры я лично проводил долгие часы, атакуя ту или иную компьютерную сеть. И моя настойчивость всегда была вознаграждена, поскольку я находил бреши в стенах защиты.

Хакер Эрик пошел еще дальше в своей настойчивости и стремлении получить коды программы, на что он потратил около двух лет. А Роберт предпринял целую цепь сложных шагов для того, чтобы получить миллионы адресов электронной почты для своего друга спамера.

Вы понимаете, что два этих хакера не уникальны. Их настойчивость вполне обычна в хакерском сообществе. Люди, ответственные за обеспечение безопасности инфраструктуры организации, должны понимать, с кем им предстоит сражаться. В распоряжении хакеров практически неограниченное время для поисков брешей в защите, а перегруженный работой сетевой администратор может выделить лишь небольшое время для занятий безопасностью.

Как мудро писал китайский философ Сун Тзу (Sun Tzu) в своей книге «Искусство войны» (Oxford University press: New York , 1963): «Познайте себя и познайте вашего врага, тогда в сотне битв вы избежите поражения. Даже если вы хорошо знаете себя, но не знаете вашего врага, — ваши шансы на победу и поражение примерно равны…» Идея понятна: ваши соперники могут потратить любое время на проникновение туда, куда им нужно. Поэтому вам следует провести оценку различных рисков, чтобы четко понять степень угрозы для вашей компании, и все обнаруженные угрозы надо принимать во внимание при разработке стратегии безопасности. Если вы будете готовы к нападению, и постоянно будете продумывать, внедрять и совершенствовать ваши методы защиты безопасности, то вам удастся сдерживать атаки хакеров.

Как мы уже отмечали, любой серьезный хакер может проникнуть куда угодно, но ваша цель — сделать его жизнь настолько сложной и утомительной, чтобы «овчинка не стоила выделки».

Глава 9.

На континенте

В начале предыдущей главы мы предостерегали читателей, что людям без технического образования будет трудно воспринять некоторые ее части. Это еще более справедливо для этой главы. Но советую вам все же прочитать ее. поскольку история просто удивительная. И суть ее вполне можно понять, опуская сложные технические детали.