Защититься поможет взломщик

19.02.2013

Тест на проникновение – один из методов оценки защищенности информационных систем

vasiliy_zadvornij.jpg

Василий Задворный,
начальник отдела ИТ-консалтинга компании “ИНКОМ”


Вы уверены, что ваши информационные системы надежно защищены? Что не по зубам они компьютерным хулиганам, промышленным шпионам и прочим злоумышленникам. Объективно оценить степень защищенности корпоративной ИТ-инфрастуктуры компании и устранить «прорехи» в защите можно, вызвав на себя огонь хакерских атак. 

На языке «айтишников» этот захватывающий, как хороший детектив, и эффективный метод называется тестом на проникновение (penetration testing) и оценкой защищенности информационных систем. По просьбе заказчика опытные взломщики, к счастью, не настоящие, имитируют действия хакеров и пытаются проникнуть сквозь бастионы ИТ-зашиты. Сделать это, как рассказали специалисты компании «Инком», можно несколькими путями. Снаружи - через Интернет, беспроводные сети или изнутри, имея определенные права доступа к ресурсам корпоративной системы, которыми обычно обладают сотрудники фирмы. В локальных сетях ограничений гораздо меньше, а значит изнутри можно собрать нужной для проникновения информации больше, чем снаружи.

Как это делается?

zaschita.jpgНачинается все со сбора разной полезной информации о компании-заказчике и ее людях. «ИТ-диверсанты» вникают в особенности бизнеса, изучают корпоративный сайт, разыскивают сотрудников и клиентов организации в социальных сетях, на сайтах по поиску работы, узнают, что их заботит, с кем они дружат, чем увлекаются, чему радуются и от чего негодуют... Исходя из таких доступных «разведданных», уже можно составлять словари для подбора потенциальных паролей. Подсказку о действующих в компании информационных системах можно найти в описании вакансий или резюме бывших сотрудников, официально размещенных на сайтах работы. Хорошее подспорье для аналитиков — форумы, на которых работники фирмы ищут ответы на проблемные вопросы и теоретически могут подсказать, как устроена схема сети.

На следующем этапе санкционированные «злоумышленники» задействуют программное обеспечение, которое прощупывает ИТинфраструктуру, помогает узнать, какие компьютерные системы, приложения, версии программ и операционных систем использует заказчик. Затем начинается самое интересное — поиск уязвимостей. Их разделяют на два типа. Первые — программные. К примеру, допустили погрешности разработчики сайта и, пожалуйста, немного смекалки и доступ к закрытой информации открыт. Особенно, если разработчики не позаботились об установке обновлений. А таких сайтов в украинских компаниях — примерно половина. Для работы с программными ошибками используют сканеры, а затем другие инструменты. Второй тип уязвимостей — банальные ошибки «айтишников». Скажем, установила компания дорогущее средство защиты, но администратор не запретил доступ к корпоративным информационным сетям по умолчанию. Работать здесь уже надо «вручную».

«Милости прошу к нашему вольному шалашу!»

Впрочем, такие «ляпы» — редкость. Намного чаще сотрудники служб ИТбезопасности допускают мелкие ошибки. Однако, цепочка таких маленьких недоработок позволяет нащупать слабые места в защите. Через лазейки в системе ИБ «взломщики в законе» находят целый спектр других уязвимостей.

Понятно, что больше всего заказчика интересует, насколько непрошибаемые конкретные системы, связанные с денежными потоками и особо ценной информацией. Их-то аналитики тестируют с особой тщательностью, используя весь доступный арсенал хакерских приемов. В ход идет даже старый добрый розыгрыш пользователей. Мол, «Здравствуйте, это IT-сотрудник Троянов. У вас что-то не в порядке с компьютером. Вышлите пароль, я его поменяю»… Иногда срабатывает. Хотя, даже такой наивный обман ни к чему, если используется пароль из 8 единиц. Подобрать его не составляет большого труда.

Да что там пароль. В процессе тестирования сотрудникам компании «Инком» и не с таким приходилось сталкиваться. У одной из организаций проверяющие обнаружили через сеть Интернет новый сервер. Посмотрели, а там — сплошное решето. Извлекли из него базу всех сотрудников компании, примерно к 10% пользователей подобрали пароли. И были сами потрясены таким невероятным уловом. «Как такое могла пропустить служба IT-безопасности? Не может быть, чтобы ей ничего не было известно о сервере!, - мучились догадками «хакеры». Выяснилось, что ответственные за безопасность специалисты, как и положено по процедуре, рвались проверить сервер. Но в силу, как говорится, не зависящих от них обстоятельств вопрос безопасности «завис». В общем повезло организации, что этот казус совпал с тестированием и уязвимость оперативно выявили.

Запомнился тестировщикам и такой интересный случай. Одна из фирм установила превосходное высокотехнологичное дорогое оборудование. Такое, что позволяет создать непробиваемую защиту информационной инфраструктуры. «Ох, и крепкий орешек», - наверное, так настраивали себя на кропотливый труд мастера «по вскрытию» этой защиты. Но опять же облегчили им задачу коллеги «айтишники». Настройки безопасности они оставили по умолчанию, недоработали с паролями. Раскодировать их было делом нескольких минут... Словом, если бы не санкционированная проверка со стороны, настоящие злоумышленники могли бы с легкостью наделать серьезных бед.

Составляя обязательный для каждого проекта отчет о тестировании, его авторы не раз с улыбкой вспоминали забавный и поучительный мультик «Мадагаскар». А именно сценку, в которой лев Алекс, отчаявшись вернуться с острова в родной зоопарк, где есть еда, возвращается к друзьям. Лучший друг, зебра Марти, открывает Алексу дверь удивительного сооружения, которое друзья построили на острове. Крепкая бамбуковая дверь снабжена смотровым окошком и массивной цепью. Отворяя дверь, Марти приглашает друга: «Милости прошу к нашему вольному шалашу!». Лев входит, идет общий план и вид строения сверху — подвесная крыша, дверь и полное отсутствие какихлибо стен. Превосходная иллюстрация мнимой защищенности.

Тест должен быть регулярным, как визит к стоматологу

Зачем владельцам компаний тесты на преодоление защиты? Ведь у каждой организации есть своя служба информационной безопасности, которая старается максимально защитить систему от внешних проникновений. Некоторые компании практикуют даже внутренние проверки IT-безопасности. Но если собственные спецы знают все-все про свою систему, то как им проверить самих себя? Объективно и беспристрастно оценить уровень текущей информационной защищенности можно только со стороны. А заодно проверить, насколько компетентно, профессионально и продуктивно трудится служба ИБ. Определиться с приоритетами, понять, во что стоит, прежде всего, вкладывать средства, а с чем можно и подождать.

Не случайно большинством стандартов компаниям, особенно большим, рекомендуется проводить проверку ИБ третьей стороной ежегодно. Для банков, к примеру, это предписывается специальным стандартом. Это так же нормально, как визит к стоматологу минимум раз в год. Ты можешь думать, что с зубами у тебя все в полном порядке, так как ничего не беспокоит, не болит, но насколько они здоровы и нет ли скрытых изъянов, которые завтра перерастут в большие проблемы, определить может только врач.

Полезно знать

Как не отдать «ключ от квартиры, где деньги лежат» Если за дверью у вас миллион, не станете же вы пользоваться дешевым замком с простеньким ключом. А ведь пароль — тот же ключик доступа к информации, которая нередко измеряется астрономическими суммами. Вот почему ИТ-специалисты советуют не использовать для создания паролей легко запоминающиеся и в тоже время наиболее уязвимые комбинации слов и цифр. К ним относятся число, месяц и год рождения, имя и фамилия, марка автомобиля и т.п. личная информация, которую легко подобрать и выудить на сайтах и форумах. Один из вариантов пароля, который разгадать под силу не каждому хакеру — какое-нибудь любимое словечко из лексикона друга, начальника. Для пущей уверенности разбейте его на части с помощью цифр. На таком пароле даже опытный взломщик споткнется.

Эксперты по тестированию ИТ-систем рекомендуют также в целях безопасности регулярно обновлять компьютерные программы. А еще — согласовывать все изменения в ИТ-инфраструктуре со службой ИБ. Такие простые превентивные меры на 70% уменьшают шансы взломщиков пробить защиту.

Только цифры

  • Что показали проведенные тесты?
  • В 8 случаях из 10 удалось выполнить проникновение в корпоративную сеть.
  • В 77% проектов удалось получить доступ к бизнес-приложениям.
  • В 30% проектов удалось взять в свои руки управление ИТ-инфраструктурой.
  • В 47% проектов, реализованных в промышленной отрасли, удалось получить доступ к системе «Клиент-банк» с возможностью осуществлять нелегитимные платежные операции.
  • В 65% проектов ИТ-администраторы не знали об успешно выполненном проникновении.
  • Более 40% паролей пользователей были подобраны в течение 24 часов!

 


Тематика:  Информационная безопасность
Автор:  F+S
Источник:  http://security-info.com.ua

Возврат к списку


Материалы по теме: