|
|
WIADOMOŚCI
Jak dostać się do bazy danych FBI
Piotr Waszczuk
|
(2008.06.02)
|
Tylko sześciu godzin potrzebował niezależny audytor systemów bezpieczeństwa informatycznego, aby uzyskać dostęp do głównej bazy danych kryminalnych FBI.
Chris Goggans jest tzw. etycznym hakerem od 1991 r. Od tego czasu włamuje się do systemów IT różnych organizacji. Jako niezależny audytor, w sposób praktyczny zweryfikował skuteczność setek systemów bezpieczeństwa IT, jednak jak sam mówi niespójność zabezpieczeń w jednak z amerykańskich agencji rządowych przerosła jego przypuszczenia. Złamanie zabezpieczeń, a właściwie wykorzystanie luk w oprogramowaniu i polityce bezpieczeństwa okazało się wyjątkowo proste. W efekcie uzyskanie dostępu do kryminalnej bazy danych FBI zajęło mu ok. sześć godzin.
Włam kontrolowany
Podczas rutynowego testu bezpieczeństwa zleconego przez jedną z cywilnych agencji rządowych okazało się, że administrator tamtejszej sieci od pewnego czasu nie aktualizował oprogramowania zainstalowanego na publicznie dostępnym serwerze. Wskutek tego zagrożeniem pozostawał nawet serwer aplikacyjny. Rzecz jasna Chris Goggans skorzystał z jednej z przypadkowo odkrytych luk, co pozwoliło mu na zdobycie kilku kompletów danych dostępowych do komputera. Haker podkreśla, że łaty usuwające znane opinii publicznej błędy były dostępne od dłuższego czasu, zaś zdobycie informacji pozwalających na dostęp do systemu wymagało jedynie znajomości podstaw funkcjonowania systemu operacyjnego.
Następnie okazało się, że część użytkowników wykorzystywała te same hasła na komputerach działających w sieci wewnętrznej. Wykorzystał je również Chris Goggans. Co ważne, jeden z użytkowników dysponował przywilejami administratora lokalnej domeny Windows. Haker również mógł z nich skorzystać i uzyskał niemal nieograniczony dostęp do większości komputerów rządowej organizacji, w tym również do maszyn wewnętrznych służb bezpieczeństwa. Jego uwagę zwrócił jednak fakt, że niektóre z nich były wyposażone w dodatkową kartę sieciową.
Po bliżej analizie skonfigurowanych połączeń sieciowych, okazało się, że do osobnej karty sieciowej przyporządkowane było bezpośrednie, wykorzystujące protokół SNA, połączenie z serwerem FBI. Na stwierdzeniu tego faktu Chris Goggans nie poprzestał. Przy pomocy prostej aplikacji udało mu się wyszukać oprogramowanie, które posiadało dostęp do połączenia z zawierającą informacje na temat spraw karnych, bazą danych National Crime Information Center. "W tej sytuacji wystarczyło skorzystać z prostego keyloggera i cała baza danych NCIC stanęłaby otworem" - twierdzi Chris Goggans.
Łataj dziurę póki gorąca
Ten łańcuch przyczynowo-skutkowy jest doskonałym przykładem dlaczego testowanie zabezpieczeń systemów IT staje się coraz istotniejszym aspektem pracy specjalistów IT. Przypadek ten nie jest odosobniony i obrazuje potrzebę regularnego badania spójności i skuteczności wykorzystywanych rozwiązań. Uzyskanie nieuprawnionego dostępu do systemu bazodanowego FBI było możliwe w efekcie szeregu nieprawidłowości, które mogłyby zostać usunięte w łatwy sposób gdyby zastosować odpowiednią politykę bezpieczeństwa.
Według Chrisa Goggansa przed potencjalnym włamaniem uchroniłaby m.in. regularna aktualizacja oprogramowania, wymuszenie stosowania odmiennych haseł na poszczególnych komputerach oraz podział sieci lokalnej na mniejsze, najlepiej niezależne, segmenty. Haker sugeruje również zastosowanie wewnętrznych zapór i całkowite oddzielenie komputerów posiadających dostęp do systemu FBI od reszty środowiska IT.
Podobne nieprawidłowości zauważa m.in. Chris Nickerson z Lares Consulting. Jak sam mówi, jest zadziwiony prostotą większości ataków hakerów. "Wielu z nich dałoby się w prosty sposób zapobiec, zwłaszcza w czasach, kiedy tyle mówi się o zgodności z przepisami i kontroli wewnętrznej. Zasadniczo wystarczyłoby tylko respektować zasady wynikające z ustawy Sarbanes-Oxley" - uważa Chris Nickerson. Według niego, w związku z narastającymi zagrożeniami związanymi z bezpieczeństwem IT, firmy powinny skupić się na: zapewnieniu aktualności oprogramowania i wzmocnieniu zabezpieczeń poszczególnych komputerów. "Służby IT powinny regularnie instalować najnowsze poprawki i aktualizacje. Powinny również przywiązywać szczególną wagę do wyłączania nieużywanych usług i zamykania zbędnych portów na wszystkich komputerach" - dodaje.
Zagrożeniem bywają również aplikacje sieciowe. Coraz popularniejsze programy obsługiwane za pośrednictwem przeglądarki internetowej mogą ułatwiać nieautoryzowany dostęp do poufnych informacji. Brad Johnson, specjalista ds. bezpieczeństwa IT firmy konsultingowej SystemExperts, uważa, że większość aplikacji internetowych jest tworzona w pośpiechu. "W związku z tym programiści nie przywiązują zbyt wielkiej wagi do bezpieczeństwa informacji wykorzystywanych przez aplikacje internetowe" - mówi. Według niego tylko nieliczne firmy decydują się na audyt bezpieczeństwa aplikacji internetowych. Jednocześnie ponad połowa z nich zawiera proste błędy, umożliwiające przechwycenie poufnych danych przez osoby niepowołane.
Eksperci zalecają również szersze wykorzystywanie gotowych narzędzi umożliwiających skontrolowanie bezpieczeństwa sieci. Ich zdaniem ułatwiają one uzmysłowienie sobie jak niewielką wiedzą trzeba dysponować, aby uzyskać niepowołany dostęp do środowiska IT.
Jutro przedstawimy zasady i aplikacje pozwalające na zabezpieczenie się przed takimi włamaniami.
|
| |  |
Zobacz też:
Aktualności Artykuły
|
|
|
|
| Google Gears z funkcjami lokalizacyjnymi | (2008.08.25) | | W miniony piątek (22 sierpnia) Google udostępnił nową wersję oprogramowania Gears. Wprowadza ona m.in. funkcje związane z lokalizacją użytkowników aplikacji internetowych działających w trybie offline. |
| 450 tys. pobrań MS SQL Server | (2008.08.21) | | Chris Sharp z Microsoftu poinformował w czasie konferencji TechEd w Kuala Lumpur, że udostępnione niedawno najnowsze wydanie SQL Servera - 2008 - zostało już pobrane przez ponad 450 tys. użytkowników. |
| Java Lightweight UI Toolkit jako open source | (2008.08.18) | | W czwartek (14 sierpnia) koncern Sun udostępnił kod źródłowy pakietu narzędziowego UI Toolkit na licencji GPLv2 z zastrzeżeniem Classpath Exception. W uproszczeniu zastrzeżenie to oznacza, że udostępnione oprogramowanie do tworzenia interfejsów graficznych może być wykorzystywane w produktach udostępnianych na zasadach innych niż GPL. |
| Kryptografia od Google | (2008.08.13) | Google poinformował o dostępności kryptograficznego pakietu narzędziowego open source. Przeznaczonego głównie dla aplikacji webowych. Jest to pierwszy zestaw narzędziowy tego typu stworzony przez firmę działającą w sektorze usług internetowych, poinformował serwis zdnet.com
|
| Jest Service Pack 1 dla Visual Studio 2008 i .Net 3.5 | (2008.08.12) | | W poniedziałek (11 sierpnia) Microsoft udostępnił pierwsze pakiety Service Pack dla środowiska programistycznego Visual Studio 2008 oraz platformy .Net 3.5. Oba zestawy zawierają poprawki znaczących błędów oraz dodatkowe usprawnienia. |
| Polak znajduje groźne błędy w Javie w Nokiach | (2008.08.12) | | Adam Gowdiak - polski specjalista ds. bezpieczeństwa - znalazł dwie groźne luki w Javie zaimplementowanej do telefonów Nokia z serii 40 (Nokia Series 40). Błędy te mogą zostać wykorzystane przez przestępców do nawiązywania połączeń bez wiedzy użytkownika, nagrywania konwersacji czy przechwytywania danych zapisanych w pamięci telefonu. |
|
|
|
Zasoby premium - nie masz uprawnień dostępu: zapłać SMSem, 
Zasoby premium - dostęp przyznany
