КОНТРМЕРЫ. Повторюсь: проникновение в банк Dixie дает еще один пример необходимости «глубокой защиты»

Повторюсь: проникновение в банк Dixie дает еще один пример необходимости «глубокой защиты». В этом случае сеть банка оказалась гладкой. После того, как в одну из систем сети проникал атакующий, он мог соединиться с любой системой сети. Методика «глубокой защиты» могла бы помешать Габриэлю получить доступ к AS/400.

Сайт онлайнового банка должен требовать, чтобы все разработчики Интернет‑приложений придерживались фундаментальных правил безопасности и чтобы у них проводился аудит всех кодов. Лучше всего ограничить число пользователей, имеющих доступ к текстам на сервере. Для этого надо использовать сложные имена файлов и засекреченных констант, что естественно повысит уровень безопасности приложения.

Недостаточный контроль сети и слишком простые пароли на сервере Citrix – главная ошибка в рассматриваемом случае, именно она позволила Габриэлю свободно путешествовать по сети, устанавливать программу для записи набираемых на клавиатуре текстов, следить за другими пользователями и внедрять программы – трояны. Хакер написал небольшую программу и поместил ее в стартовую папку администратора, поэтому, когда администратор входил в компьютер, он неосознанно записал программу pwdump3. Габриэль уже имел права администратора. Хакер должен был только дождаться, когда администратор домена войдет в компьютер, после чего он мог украсть его привилегии и автоматически извлечь пароли из первичного контроллера доменов. Спрятанная программа называется трояном или «черным ходом». Вот краткий список контрмер:

• проверьте, когда изменялись пароли во всех аккаунтах, в системных приложениях, не предназначенных для персонала, без административной авторизации, без групповой авторизации и времена таких смен. Такие проверки могут выявить вторжение хакера. Посмотрите на пароли, которые были изменены в нерабочие часы, поскольку хакер может не подумать о том, что таким образом он оставляет следы, подвластные аудиту.

• Ограничьте интерактивный вход в систему рабочими часами.

• Обеспечьте аудит всех входов и выходов во все системы, доступные через беспроводной доступ, dial‑up или Интернет.

• Устанавливайте такие программы как SpyCop (доступные на сайте http://www.spycop.com). которые помогают обнаружить неавторизованные программы для отслеживания работы клавиатуры.

• Тщательно устанавливайте все обновления систем безопасности. В некоторых случаях самые последние версии можно загрузить автоматически. Компания Microsoft настоятельно советует своим пользователям сконфигурировать свои компьютеры так, чтобы иметь возможность сделать это.

• Проверяйте системы, доступные извне, на наличие программ удаленного управления, таких, как WinVNC, TightVNC, Danware и т.п. Эти программы позволяют атакующему «мониторить» системы, работающие на компьютере и даже управлять ими.

• Тщательно проверяйте все входы с использованием Windows Terminal Services или Citrix MetaFrame. Большинство атакующих предпочитают использовать эти сервисы для удаленного управления программами, чтобы снизить риск быть обнаруженным.