Загрузка...
Энциклопедия Технологий и Методик

оооооооооооооооооооооооо

Загрузка...
Энциклопедия Технологий и Методик
 
Мини-АТС
 

Как защитить корпоративную АТС

Не забудьте выяснить, насколько надежно защищена ваша корпоративная АТС. У нее вполне могут обнаружиться недокументированные каналы связи с сетью передачи данных, что откроет путь потенциальным злоумышленникам. К счастью для BABank, здесь нам далеко продвинуться не удалось.

Проникновение в PBX или системы голосового ответа дает массу ценной информации о портах доступа, прямого администрирования извне и технического обслуживания, о внутренних прикладных системах с распознаванием голоса, а также о службе передачи голосовой почты в PBX. Таким образом, хакер может получить доступ к банковским счетам и системам управления.

Чтобы уберечь PBX от проникновения хакера, нужно поменять все пароли по умолчанию и изучить все контрольные журналы, составив представление о нормальном режиме работы АТС. Проверяйте все модификации программного обеспечения и системные "заплаты" на предмет того, не способствуют ли они возникновению новых слабых мест. Необходимо также убедиться, что в вашей системе нет каких-нибудь неизвестных вам модемов. Помните: система, в которой случайно окажутся модем и ПК под Remote Server Mode, будет полностью открыта для вторжения извне.

Воспользовавшись программой автоматического подбора номера, мы обнаружили некоторое число модемов в телефонном пространстве банка. Мы попытались "влезть" в эти модемы и проверить их защиту. Часть модемных входов была закрыта паролем. Запустив программу подбора пароля, чтобы проверить, насколько сильна эта защита, мы ничего не добились. Зато нам удалось вручную(!) подобрать пароль к порту технической поддержки маршрутизатора. Бабах!

Через этот порт мы попали в сеть, а потом, зайдя на AS/400, перевели небольшую сумму на наш тысячедолларовый счет с чужого счета. Если мы сумели это сделать, то что помешает хакеру перевести миллион долларов? Или миллиард? Однако теперь, ориентируясь на результаты наших изысканий в области психологических приемов, BABank установил некую предельную сумму сделки, при превышении которой вступают в действие механизмы обнаружения финансового мошенничества.

Проникнув на AS/400, мы получили доступ к мэйнфреймам и начали атаку на систему защиты Resource Access Control Facility. Но тут сотрудники BABank, уже убедившиеся в наличии "дыр" в Web-системе, решили прекратить эксперименты.

Как обычно, мы победили. Однако на этом наша деятельность не закончилась. Был выработан ряд стратегических рекомендаций и даны советы по использованию конкретных процедур, методов и технологий, которые помогут решить проблемы с защитой данных.

Так, банку были даны рекомендации по выработке политики в области Web-безопасности и реализации метода поиска слабых мест. Кроме того, мы указали, как можно связать между собой различные схемы парольной защиты и добиться оптимального выбора паролей. Мы посоветовали сотрудникам отдела автоматизации установить новые версии некоторых операционных систем и перевести определенные системы с Unix на Windows NT, поскольку ряд приложений лучше работает под NT.

Главное изменение состояло в том, чтобы вывести часть услуг на отдельные серверы, повысив тем самым степень защиты. Если услуги типа FTP и размещения Web-серверов сосредоточены на одной машине, это снижает уровень информационной безопасности.

Фоллсворт, впрочем, оказался достаточно разумным, чтобы осознать: одних этих мер недостаточно для обеспечения неуязвимости информационной системы банка. Мы проверили, как защищена конфиденциальность информации, насколько хорошо обеспечивается целостность данных и как устроена система управления доступом, однако из нашего рассмотрения выпал такой важнейший аспект информационной безопасности, как готовность системы.

BABank намеревался предоставлять Internet-услуги для получения дополнительного дохода и укрепления доверия клиентов. Для этого сервер должен работать без перерывов и выходных. Если в результате атаки хакера обслуживание прервется, то, несомненно, пострадают как финансовые дела BABank, так и его отношения с клиентами. Мало того, следы Web-хулиганства на сервере способны "подпортить" имидж самой компании, ее продуктов и услуг, в особенности если на деловых страничках появятся порнографические картинки.

Наша группа решила выяснить, насколько легко хакер сумеет вызвать на Web-сервере BABank перебои в обслуживании. Для этого мы воспользовались разнообразными самодельными средствами (ничего другого как-то не нашлось). Некоторые разработанные хакерами программы, вызывающие сбои обслуживания, можно загрузить по Internet, однако чтобы заставить их работать, с ними приходится долго возиться.

Мы применяли почтовые бомбы для переполнения сети, затопление сети пакетами синхронизации (SYN flooding), а также "пинг смерти", т. е. нападение с использованием пинг-пакетов, иногда приводящее к зависанию серверов. Обязательно попросите группы оценки информационной безопасности исследовать устойчивость к искусственным перебоям в обслуживании; такие атаки могут полностью вывести сервер из строя. Необходимо также выяснить, сколько времени занимает восстановление работоспособности системы.

Автор неизвестен
http://patlah.ru

© "Энциклопедия Технологий и Методик" Патлах В.В. 1993-2007 гг.

Loading...

..

оооооооооооооооооооооооо

Загрузка...