ПОСЛЕДСТВИЯ. Несмотря на совершенно неограниченный доступ к системе банка и огромные возможности, Габриэль не воспользовался всем этим

Несмотря на совершенно неограниченный доступ к системе банка и огромные возможности, Габриэль не воспользовался всем этим. В его планы не входило красть деньги или портить какую‑то банковскую информацию, хотя у него и была идея повысить кредитный рейтинг двух своих приятелей. Будучи всего‑навсего студентом, изучающим системы безопасности в местном колледже. Габриэль смог нащупать слабости в системе безопасности банка.

«На их сервере я нашел массу документов об их системе физической безопасности, но ни слова о хакерах. Я нашел сведения о том, что банк приглашает консультантов по безопасности каждый год, но этого явно недостаточно. Они делают неплохую работу по выявлению брешей в физической безопасности, но совершенно недостаточно –в сфере компьютерной безопасности».

АНАЛИЗ

Сайт эстонского банка – это легкая мишень. Юхан обнаружил бреши в защите, когда он просматривал коды программ Интернет‑сайта банка. Они использовали скрытые параметры, которые содержали имена файлов форм, которые загружались текстом CGI и показывались пользователям в их Интернет‑браузере. Он изменил эти параметры так, чтобы они указывали на файл паролей сервера, – «раз‑два», и у него на экране появился этот файл паролей. Удивительно, что это файл не был замаскирован, поэтому он получил доступ ко всем зашифрованным паролям, которые он впоследствии взломал.

Взлом банка «D i x i e» продемонстрировал еще один пример необходимости «глубокой зашиты». В данный момент сеть банка была гладкой; то есть, без серьезной защиты за пределами сервера Citrix. После того, как в одну из систем сети проникал атакующий, он мог соединиться с любой системой сети. Методика «глубокой защиты» могла бы помешать Габриэлю получить доступ к AS/400.

Служба безопасности банка испытывала абсолютно ложное ощущение безопасности, возникшее после внешних аудитов, которые неоправданно завысили оценку уровня их общей безопасности. Хотя проведение подобных проверок и аудитов – очень важный шаг при выяснении вашей способности противостоять атакам, еще более важным элементом является процесс правильного управления сетью и всеми работающими в ней системами.