Читаем Искусство вторжения полностью

Искусство вторжения

Вильям Л Саймон , Вильям Саймон , Кевин Митник

• Тщательно проводить инвентаризацию всех компьютеров, компьютерной периферии и деталей компьютеров. Разработать систему отслеживания их перемещений, проще всего это сделать, написав на каждом из них уникальный номер. Убедиться в том, что заключенные не могут самостоятельно приобретать компьютеры, их детали или другое оборудование (особенно модемы), за исключением специальных разрешений и при надлежащем контроле.

• Допускать заключенных до выполнения вспомогательных работ в администрации тюрьмы с использованием компьютеров только в случае квалифицированного контроля всех действий со стороны знающего детали работы сотрудника тюрьмы.

• Вменить в обязанности технического персонала тюрьмы проведение регулярных проверок компьютеров, на которых работают заключенные, чтобы убедиться, что в них ничего не изменено. В первую очередь проверяющие должны следить за тем. что бы у компьютеров не было выхода в Интернет через проводное или беспроводное соединение и не было установлено никакое дополнительное программное обеспечение. Сотрудники тюрьмы, проводящие такие проверки, должны быть хорошо знакомы с методами выявления подобного ПО, которое может быть спрятано или работать в скрытом режиме. Необходимо также регулярно проводить поиск работающих беспроводных устройств (недавно появившаяся и растущая угроза в современных сетях WiFi).

• Использовать ПО, которое позволяет запускать на компьютерах только определенный набор задач и приложений. Федеральное агентство по тюрьмам обычно использовало и, возможно, продолжает использовать для этой цели специальную программу под названием Watchdog.

• Содержать все компьютеры, особо помеченные «ТОЛЬКО ДЛЯ ПЕРСОНАЛА» в специальных охраняемых комнатах.

• Разработать политику управления паролями и требовать обязательного использования пароля для «скринсейвера» и других программ для электронного блокирования компьютеров от несанкционированного использования.

• Разработать специальную методику для регулярного обновления операционных систем и приложений, использования всех последних «заплаток» для систем безопасности. Необходимо использовать не только антивирусное ПО, но также и специальные программы для выявления любых форм шпионского ПО, а также программ, которые скрытно могут реализовывать удаленный доступ.

ПОСЛЕСЛОВИЕ

На первый взгляд здравый смысл подсказывает, что сложные меры безопасности — не более, чем бесполезная трата времени и сил. В военной школе, к примеру, вы вряд ли обнаружите большое число студентов, стремящихся постоянно нарушать правила или обманывать. И в обычной школе вряд ли отыщется десятилетний ученик, разбирающийся в системах компьютерной безопасности лучше специалистов.

И в тюрьме едва ли можно было ожидать, что заключенные, за которыми пристально наблюдают, которые живут по строгому расписанию, не только найдут способ выходить в Интернет, но и станут проводить там долгие часы, ежедневно наслаждаясь музыкой, кинофильмами, общением с женщинами и углублением своих компьютерных знаний.

Мораль: если вы отвечаете за компьютерную безопасность любой школы, рабочей группы, компании, в общем, любого сообщества, — будьте всегда уверены, что его безопасность недостаточна. Постоянно думайте о том, что вы упустили. На ум приходят слова «постоянная бдительность».

Глава 4.
Полицейские и воры

Я подумал: «О, Господи!», бросился в комнату, где сидели полицейские офицеры, и сказал: «Ребята, вам знакомы эти имена?» Я прочел список имен. Один из полицейских сказал: «Это судьи США в районе Сиэтла». Я сказал: «Так вот у меня есть список из двадцати шести взломанных паролей». Полицейские просто позеленели от ярости.

Дон Боэлинг, компания BoeingAircraft

Мэтт и Коста не планировали атаковать Boeing Aircraft.

Но так уж получилось. Но последствия этого случая в сочетании с другими хакерскими попытками стали серьезным предупреждением для всего бизнеса. Эти двое могли бы стать героями постеров в кампании, предостерегающих молодых хакеров от подобных действий.

Коста Катсаниотис начал знакомиться с компьютерами в одиннадцать лет, когда ему подарили Commodore Vic 20, и он начал писать программы для того, чтобы улучшить его работу. Уже в том младенческом возрасте он написал программу, которая позволяла его друзьям соединяться с его компьютером по телефону и видеть список того, что находится на его жестком диске. «Именно тогда я начал работать с компьютерами и полюбил все конкретные мелочи этой работы». Он имеет в виду не только программирование: он не менее активно работал и с оборудованием, не боясь, как он выражается, «потерять отвертку», потому что «начал развинчивать что-то еще года в три».

Перейти на страницу: