Příběh s policií za dveřmi pokračuje

Hackerský incident, který jsem popisoval v minulém dílu Zápisníku manažera pro bezpečnost (Technologie v CW 37/2001)...


Hackerský incident, který jsem popisoval v minulém dílu Zápisníku manažera pro
bezpečnost (Technologie v CW 37/2001), nabral nové obrátky a nám jeho řešení
zabralo spoustu drahocenného času.
Jen pro letmé připomenutí: Naše firma se stala obětí incidentu, při které byl
ukradený laptop jednoho našeho prodejce neznámým hackerem zneužit k
neoprávněnému přístupu do sítě jisté finanční instituce. Hacker poté přenesl
informace o kreditních kartách do hacknutého počítačového systému jedné z
univerzit na americkém Středozápadě.
To ale není vše. Hacker se prostřednictvím dial-upu připojil k naší síti,
které poté využil jako startovacího bodu pro své hackerské útoky. Vstup do
sítě měl velmi usnadněn ukradený notebook byl totiž nastaven tak, aby se
připojoval k firemnímu modemovému poli, přičemž byla zaškrtnuta také volba
zajišťující, že si systém automaticky pamatoval příslušné heslo. V běžném
případě bychom pochopitelně okamžitě zablokovali uživatelský účet hned poté,
co bychom podobné vniknutí zjistili. Agenti úřadu s třípísmennou zkratkou
(ano, řeč je o FBI) ale měli zcela jiné záměry.
Rozhodli se využít dial-up účtu k tomu, aby si utřídili některé získané
informace o přístupech k síti, a chtěli vystopovat, odkud se útočník
připojuje. Na základě povolení k odposlechu připojili k naší síti počítač s
paketovým snifferem a nastavili jej tak, aby v případě, že by se hacker znovu
připojil, byl příslušný agent vyrozuměn zprávou na pager. Na jejím základě by
následně kontaktoval příslušnou telefonní společnost, která by měla vysledovat
hovor až k místu jeho původu.

Konec hry
Bohužel, hacker se znovu k danému účtu nepřipojil a po deseti dnech platnost
příkazu k odposlechu vypršela. Soudce odmítl stanovenou dobu prodloužit, a tak
agenti přišli do firmy, aby si odnesli svoje vybavení. Jeden z nich navrhoval,
abychom vytvořili pro hackera návnadu v podobě speciálního serveru, aby ho tak
mohli chytit. To jsem ale odmítl, protože by to jen dalo útočníkovi další
důvod zajímat se dále o naši firmu. Vyšetřovatelé odešli již před několika
týdny. Od té doby jsme o nich neslyšeli, a pochybuji, že od nich ještě kdy
nějakou zprávu dostaneme. Nyní musím sestavit zprávu o celé záležitosti a
předložit ji výkonnému vedení společnosti včetně doporučení, jaká opatření a
procedury bude třeba přijmout, aby se něco podobného neopakovalo. Když se na
celou věc dívám z odstupu, je zřejmé, že pokud by mě prodejce vyrozuměl o tom,
že mu byl jeho laptop odcizen, byl bych mohl příslušný účet zablokovat
okamžitě, a zabránit tak vniknutí do systému. Bohužel, takový postup není
součástí naší stávající bezpečnostní politiky. I přesto byla celá záležitost k
něčemu dobrá: Incident dostatečně ospravedlňuje mé snahy o implementaci
přístupu k dial-up účtům pomocí digitálního SecurID tokenu a zavedení dalších
kontrol přístupu k VPN.
Je zábavné, že až podobná příhoda otevře vedení firmy oči. Mnoho firem funguje
po celá léta, aniž by se jim něco takového přihodilo (nebo si toho alespoň
nejsou vědomy). A poté jedna jediná podobná příhoda znamená, že výsledky
letité práce přijdou vniveč.

Slovník pojmů a webové odkazy
Honey pot: Server sloužící jako návnada je nakonfigurován tak, aby přiměl
hackery k útoku na nesprávný systém. Takové systémy představují pro hackery
velké lákadlo, a mohou tak odvrátit jejich pozornost od vlastních
produktivních systémů, čímž dostanou příslušní zaměstnanci pracující v
oblasti zabezpečení více času k odpovědi na útok. Při správné implementaci
lze honey pot (hrnec medu) využít také jako efektivní nástroj pro sběr
informací a pro následné trestní stíhání.
Packet sniffing: Termín, který se užívá k popisu systému nebo metodiky
"tajného odposlouchávání" provozu na síti. Komerční hardwarové a softwarové
nástroje pro odposlouchávání paketů se také nazývají analyzátory síťových
protokolů (network protocol analyzers). Mezi nejznámější patří Sniffer od
firmy Network Associates.
Odkazy na Web
Pokud hledáte komerční nástroj sloužící jako návnada pro hackery, doporučuji,
abyste se podívali na Web firmy Recourse Technologies (www.recourse.com).
Jejich ManTrap nabízí unikátní přístup k této problematice a stojí za
prozkoumání.

Webová stránka věnované oblíbené linuxové utilitě TCPdump, používané pro
paketový sniffing, má adresu www.tcpdump.org.

Snoop je populární utilitou pro paketový sniffing používanou na platformě
Solaris. Na tomto Webu si ji můžete stáhnout:
www.squirrel.com/squirrel/sun-stuff.html.

Text Lance Spitznera na adrese www.enteract.com/~lspitz/snoop.html
představuje dobrý zdroj informací o snifferech a utilitě Snoop.
1 1561 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.