Искусство вторжения

ОглавлениеДобавить в закладки К обложке

В случае, произошедшем с Адрианом, Прокурор США проигнорировал тот факт, что именно от него компании узнавали о собственной уязвимости. Каждый р а з он з а щ и щ а л компании, указывая им на ту или иную прореху в их системе безопасности, и ожидал, пока они ликвидируют проблему, чтобы лишь потом опубликовать новость о своем удачном взломе. Да, он нарушал закон, но он действовал (во всяком случае, в ставших известными случаях) абсолютно этично.

КОНТРМЕРЫ

Подход, используемый атакующими, в том числе и Адрианом, заключается в запуске запроса «Кто это», что может помочь отыскать немало ценной информации, содержащейся в четырех NIC (Network Information Center — центр сетевой информации), покрывающих различные географические районы мира. Большинство информации в этих базах данных является общедоступными сведениями, которые может узнать любой пользователь приложения «Кто это» или посещающий Интернет-сайт, предлагающий подобные услуги, или заходящий на сайт nytimes.com.

Предоставляемая информация может содержать имя, адрес электронной почты, физический адрес и телефонный номер административных и технических контактов для этого домена. Эта информация вполне может использоваться для атак с использованием методов социальной инженерии (см. Главу 10, «Социальные инженеры — как они работают и как их остановить»). Кроме того, это может навести на мысль о структуре адресов электронной почты и имен пользователей в компании. Например, если адрес электронной почты одного из сотрудников Times выглядит, как , естественно предположить, что и многие другие сотрудники Times используют свое имя для адресов электронной почты, а также и для подписи.

Как видно из истории атаки Адрианом газеты The New York Times, он так же получил ценную информацию об IP-адресах и сетевых блоках газеты, что легло в основу успеха его атаки.

Чтобы ограничить утечку информации, любой компании было бы полезно хранить список телефонов компании только на ее телефонной станции, а не делать его доступным всем желающим. Сотрудники в приемной компании, отвечающие на телефонные звонки, должны проходить специальную подготовку, чтобы они могли быстро распознавать атаки социальных инженеров. Кроме того, в качестве адреса электронной почты следует приводить адрес издательства, а не список личных адресов сотрудников.

Более того: сегодня компаниям позволено не обнародовать свою контактную информацию и имя домена — они не должны теперь предоставляться любому желающему по первому требованию. По специальному запросу список адресов вашей компании может быть засекречен, что затруднит проникновение атакующих.

Еще одна полезная мысль высказана в приведенной истории: следует использовать горизонтально разделенные DNS. Это означает, что нужно организовать внутренний DNS-сервер. который определяет имена пользователей во внутренней сети, в то время как внешний DNS-сервер будет содержать имена для использования внешними пользователями.

В качестве другого метода разведки хакер запрашивает DNS, чтобы выяснить, на каких операционных системах работают компьютеры компании, а также чтобы получить информацию о структуре всего домена. Эта информация очень полезна при координации усилий в ходе дальнейшей атаки. База данных DNS может содержать сведения обо всех узлах сети (HINFO — Host Information). Сетевой администратор должен всячески избегать появления HINFO-записей на любом публично доступном DNS-сервере.

Еще один из хакерских приемов основан на использовании операции под названием «перенос зоны» (zone transfer). (Адриан рассказывал, что использовал этот метод в своих атаках на сайты The New York Times и excite@home, но оба раза неудачно). Для защиты данных первичный DNS обычно конфигурируется так, чтобы позволить другим авторизованным серверам копировать DNS-записи из конкретных доменов; этот процесс копирования называется переносом зоны. Если первичный сервер сконфигурирован неправильно, атакующий может запустить процесс переноса зоны на любой указанный им компьютер, и таким образом получить подробную информацию обо всех именах узлов и связанных с ними IP-адресов домена.

Для защиты от такого типа атак необходимо разрешить перенос зоны только между определенными компьютерами, это необходимо для нормального ведения бизнеса. Более подробно: первичный DNS-сервер должен быть сконфигурирован так, чтобы позволять перенос только на проверенные вторичные DNS-сервера.


-= 59 =-
Регистрация.
Забыли пароль?
Логин
Пароль
Запомнить меня