КОГО ‑ ТО ИНТЕРЕСУЕТ ИНФОРМАЦИЯ О ШВЕЙЦАРСКОМ БАНКЕ ?
Некоторые из находок Габриэля были столь впечатляющи, что на их фоне остальные казались ничтожными горошинами.
Он отыскал путь для проникновения в самые т а й н ы е недра банковских операций — процесс переводов. Он обнаружил меню для запуска этого процесса. Он также обнаружил онлайновую форму, которую заполняют авторизованные сотрудники для того, чтобы переводить деньги со счетов пользователей на другие счета (возможно даже в швейцарских банках).
Однако пустая форма не имеет смысла до тех пор, пока вы не умеете правильно заполнить ее. Оказалось, что и это — не проблема. В руководстве, которое он себе уже сгрузил, особенно интересной была одна из глав. Ему не пришлось углубляться в нее, он быстро нашел все, что требовалось.
20.1.2 Ввод/обновление передачи сведений по проводам
Меню: передача сведений (Wires)
Функция: ввести/обновить передачу сведений
Эта возможность используется для входа в неповторяемые линии и выбора повторяемых линий. Неповторяемые линии предназначены для тех пользователей, которые редко осуществляют переводы или для тех, кто не является пользователем, но хочет совершить перевод. С помощью этой функции, входящие линии также могут использоваться после разгрузки. Когда выбрана эта функция, появляется такой экран.
Wire transfers
Wire transfers 11:35:08
Outgoing
Type options, press Enter.
2=Change, 4=Delete, 5=Display Position to …
Opt From account To beneficiary Amount
F3=Exit F6=Add F9=Incoming F12=Previous
Когда эта функция используется впервые, линии еще не выбраны. Чтобы сделать это нажмите F6=Add и появится следующий экран.
Целая глава была посвящена подробному изложению — шаг за шагом — процедуры для установки линии связи, чтобы передать по ней средства из данного банка какому‑то человеку или другой финансовой организации. Теперь Габриэль знал все необходимое для того, чтобы осуществить такой перевод. Он получил в свои руки «ключи от замка».
ПОСЛЕДСТВИЯ
Несмотря на совершенно неограниченный доступ к системе банка и огромные возможности, Габриэль не воспользовался всем этим. В его планы не входило красть деньги или портить какую‑то банковскую информацию, хотя у него и была идея повысить кредитный рейтинг двух своих приятелей. Будучи всего‑навсего студентом, изучающим системы безопасности в местном колледже. Габриэль смог нащупать слабости в системе безопасности банка.
«На их сервере я нашел массу документов об их системе физической безопасности, но ни слова о хакерах. Я нашел сведения о том, что банк приглашает консультантов по безопасности каждый год, но этого явно недостаточно. Они делают неплохую работу по выявлению брешей в физической безопасности, но совершенно недостаточно —в сфере компьютерной безопасности».
АНАЛИЗ
Сайт эстонского банка — это легкая мишень. Юхан обнаружил бреши в защите, когда он просматривал коды программ Интернет‑сайта банка. Они использовали скрытые параметры, которые содержали имена файлов форм, которые загружались текстом CGI и показывались пользователям в их Интернет‑браузере. Он изменил эти параметры так, чтобы они указывали на файл паролей сервера, — «раз‑два», и у него на экране появился этот файл паролей. Удивительно, что это файл не был замаскирован, поэтому он получил доступ ко всем зашифрованным паролям, которые он впоследствии взломал.
Взлом банка « D i x i e » продемонстрировал еще один пример необходимости «глубокой зашиты». В данный момент сеть банка была гладкой; то есть, без серьезной защиты за пределами сервера Citrix. После того, как в одну из систем сети проникал атакующий, он мог соединиться с любой системой сети. Методика «глубокой защиты» могла бы помешать Габриэлю получить доступ к AS/400.
Служба безопасности банка испытывала абсолютно ложное ощущение безопасности, возникшее после внешних аудитов, которые неоправданно завысили оценку уровня их общей безопасности. Хотя проведение подобных проверок и аудитов — очень важный шаг при выяснении вашей способности противостоять атакам, еще более важным элементом является процесс правильного управления сетью и всеми работающими в ней системами.
КОНТРМЕРЫ
Повторюсь: проникновение в банк Dixie дает еще один пример необходимости «глубокой защиты». В этом случае сеть банка оказалась гладкой. После того, как в одну из систем сети проникал атакующий, он мог соединиться с любой системой сети. Методика «глубокой защиты» могла бы помешать Габриэлю получить доступ к AS/400.
Сайт онлайнового банка должен требовать, чтобы все разработчики Интернет‑приложений придерживались фундаментальных правил безопасности и чтобы у них проводился аудит всех кодов. Лучше всего ограничить число пользователей, имеющих доступ к текстам на сервере. Для этого надо использовать сложные имена файлов и засекреченных констант, что естественно повысит уровень безопасности приложения.
Недостаточный контроль сети и слишком простые пароли на сервере Citrix — главная ошибка в рассматриваемом случае, именно она позволила Габриэлю свободно путешествовать по сети, устанавливать программу для записи набираемых на клавиатуре текстов, следить за другими пользователями и внедрять программы — трояны. Хакер написал небольшую программу и поместил ее в стартовую папку администратора, поэтому, когда администратор входил в компьютер, он неосознанно записал программу pwdump3. Габриэль уже имел права администратора. Хакер должен был только дождаться, когда администратор домена войдет в компьютер, после чего он мог украсть его привилегии и автоматически извлечь пароли из первичного контроллера доменов. Спрятанная программа называется трояном или «черным ходом». Вот краткий список контрмер:
• проверьте, когда изменялись пароли во всех аккаунтах, в системных приложениях, не предназначенных для персонала, без административной авторизации, без групповой авторизации и времена таких смен. Такие проверки могут выявить вторжение хакера. Посмотрите на пароли, которые были изменены в нерабочие часы, поскольку хакер может не подумать о том, что таким образом он оставляет следы, подвластные аудиту.
• Ограничьте интерактивный вход в систему рабочими часами.
• Обеспечьте аудит всех входов и выходов во все системы, доступные через беспроводной доступ, dial‑up или Интернет.
• Устанавливайте такие программы как SpyCop (доступные на сайте http://www.spycop.com ). которые помогают обнаружить неавторизованные программы для отслеживания работы клавиатуры.
• Тщательно устанавливайте все обновления систем безопасности. В некоторых случаях самые последние версии можно загрузить автоматически. Компания Microsoft настоятельно советует своим пользователям сконфигурировать свои компьютеры так, чтобы иметь возможность сделать это.
• Проверяйте системы, доступные извне, на наличие программ удаленного управления, таких, как WinVNC, TightVNC, Danware и т.п. Эти программы позволяют атакующему «мониторить» системы, работающие на компьютере и даже управлять ими.
• Тщательно проверяйте все входы с использованием Windows Terminal Services или Citrix MetaFrame. Большинство атакующих предпочитают использовать эти сервисы для удаленного управления программами, чтобы снизить риск быть обнаруженным.
ПОСЛЕСЛОВИЕ
Хакерские попытки, описанные в этой главе, тривиальны, они основаны на слабых паролях и уязвимых CGI‑текстах. В то время как многие люди, даже осведомленные о компьютерной безопасности, думают о вторжении хакеров, как о какой‑то экзотике со стратегической подготовкой типа фильма «11 друзей Оушена», грустная правда заключается в том. что большинство атак не являются ни талантливыми, ни даже просто умными. Они успешны лишь потому, что большая часть корпоративных сетей не защищена адекватным образом.
Кроме того, люди, ответственные за разработку и развертывание таких систем, делают простые ошибки в их конфигурировании, что дает возможность тысячам хакерам проникать в них буквально с парадного входа каждый день.
Если бы оба финансовых учреждения, о которых идет речь в этой главе, были типичным примером того, как большинство банков в мире защищает сведения о клиентах и их счетах, тогда, скорее всего, все мы вернулись бы к хранению денег в обувных коробках под кроватями.
Глава 8.