Жадность как способ проникновения в корпоративную сеть Одна из производственных американских компаний наняла специалиста «аудита по взлому» Терри Катлера, с тем чтобы выявить потенциальные «дыры в обороне» одного из критически важных объектов. Итоги его работы наглядно продемонстрировали, что ничто не обходится впоследствии так дорого, как человеческая глупость и жадность. Все предпринятые специалистом попытки проникнуть в сеть снаружи оказались напрасными: брандмауэры, веб-серверы, серверы электронной почты и доменных имен, точки доступа виртуальной частной сети – все было настолько в порядке, что хакер было отчаялся. Однако затем в голову Терри пришла нестандартная идея: по опыту работы с заказчиками он знал, что чем крепче реализована оборона в контуре ИТ, тем более вероятно, что защита от физического проникновения выполнена менее тщательно. И он решил... переодеться. Изучив план объекта с помощью сервиса Google Earth, Катлер облачился в потертые джинсы и рубашку навыпуск, сел в грузовичок и подъехал ко входу. Внешний вид его напоминал парня-простака, проживающего где-то по соседству. Попросив администратора на ресепшене воспользоваться туалетом («напрасно я выпил большой стакан этого пойла в Макдональдсе»), хакер оставил в двух кабинках две USB-флешки. И, вернувшись домой, принялся ждать. Ожидание было недолгим. В течение всего лишь нескольких часов вредоносный софт попал на две рабочие станции сети, комбинации паролей и логинов попали в руки хакера, а остальное уже было делом техники и фантазии. Однако хакер, к счастью для компании, был «белым», то есть принципиально действующим «на стороне сил добра». К тому же за этот аудит он получил достаточно приличный гонорар. Руководство компании пришло в ужас от того, насколько просто оказалось обойти все принятые меры защиты. Интересно, что на вопрос заказчика о том, что было бы, если бы администратор проявил жесткость и не пустил бы его в туалет, Катлер заявил, что запасным планом было незаметно уронить флешку в фойе, а потом заявить администратору: «Эй, что это у вас тут носители информации на полу валяются?» Раздел: физическая защита Дата: 16-05-2013 |
№8 - 2013
В октябрьском номере журнала "Безопасность: Информационное обозрение" мы рассмотрели такие важные вопросы, как правила построения кадровой и информационной безопасности компании, выявление рисков корпоративного мошенничества и подбор частного охранного предприятия.
|