Сотрудники компании, а отнюдь не хакеры-злоумышленники могут оказаться той самой миной, которая ждет своего часа

В компании Omega Engineering теперь хорошо знают, насколько может быть опасен недовольный сотрудник. Вирус замедленного действия, известный под названием "логическая бомба", в одночасье стер всю информацию компании, уничтожив даже резервные копии данных. Через десять дней после увольнения 31-летнего программиста Тимоти Ллойда, произошел взрыв "логической бомбы". В январе против него был возбужден иск. По словам сотрудника Omega Джима Фергюсона, убытки компании оцениваются в 10 млн. долл., а повторное внесение информации и перекодирование программ на долгое время станет "любимым" занятием ее инженеров и разработчиков.

Бомба с ногами

Обиженный сотрудник может натворить дел, однако и вполне "благонадежные" работники иногда представляют опасность для информационных систем, хранящих ценные корпоративные данные. Согласно документу, озаглавленному "Исследование компьютерных преступлений и мер безопасности", составленно Федеральным бюро расследований и Институтом компьютерной безопасности, по результатам опроса 520 специалистов, занимающихся защитой информации, в прошлом году 44% случаев взлома системы с целью несанкционированного доступа к данным было совершено самими же сотрудниками организаций. Консультанты оценивают активность "внутренних врагов" еще выше, называя цифру 70-80%.

"Организации абсолютно не защищены от так называемого 'информированного сотрудника'. Им может оказаться кто угодно, начиная от сторожа и заканчивая поставщиком или сотрудником, в том числе бывшим", - комментирует Стив Догерти, директор по информационной безопасности компании California Independent System Operator, унаследовавшей управление энергосистемой (которой пользуются 27 миллионов калифорнийцев) после отмены над ней государственного контроля.

Согласно материалам "Специального отчета по оценке убытков от краж интеллектуальной собственности" Американского общества безопасности в промышленности, 89% респондентов выразили беспокойство по поводу безопасности систем, так как опасаются возможной мести со стороны недовольных работников.

"Стратегия предприятия должна строиться с учетом 'внутренней опасности', - поясняет Догерти. - При малейшем подозрении на взлом все привилегии должны быть отменены, а системы немедленно заблокированы".

Тем не менее даже самая продуманная стратегия не панацея от возможных неприятностей. Фергюсон подчеркивает, что Omega предприняла все необходимые меры, чтобы не допустить Ллойда в систему после увольнения. Однако логическая бомба, заложенная в систему заранее, не была вовремя обнаружена...

Хакер (он же консультант по технической безопасности) Питер Шипли говорит, что сотрудники информационных отделов иногда оставляют специальные "черные ходы", чтобы в случае чего можно было тайно пробраться в систему. "В этом случае есть лишь один способ защиты: составление схемы сети и мониторинг трафика, однако в большинстве фирм, которые я консультировал, вообще не было установлено программ, позволяющих обнаружить вторжение", - подчеркивает он.

Есть еще одна проблема, которую менеджер отдела решений защиты корпоративных информационных систем компании Price Waterhouse Роб Радлофф именует "синдромом ключей от королевства". Передача одному администратору права полного и свободного доступа ко всей сети делает последнюю крайне уязвимой. Следует предоставлять каждому ровно столько прав, сколько необходимо для работы, и ни на йоту больше.

Чтобы насолить работодателю, не обязательно быть техническим гением. Весьма поучительную историю рассказали нам в корпорации Guidry. В прошлом году дорогостоящее оборудование одной из фирм-клиентов корпорации было залито водой, поскольку некий ее сотрудник, узнав об увольнении, поднес бутановую зажигалку к противопожарному детектору, находящемуся за пределами вычислительного центра. Технике был нанесен непоправимый ущерб. Дело передано на рассмотрение в суд.

Основатель корпорации Guidry Майкл Гюидри полагает, что многих неприятностей можно избежать при условии, что сотрудники отдела безопасности информационных систем будут заранее предупреждены об уходе с работы того или иного человека, дабы успеть внести необходимые изменения в права на доступ.

Поднять воротники, за нами следят!

Корпоративный шпионаж также представляет все более ощутимую угрозу для информации, хранящейся в информационных системах предприятий. В соответствии с последними данными Американского общества безопасности в промышленности, убытки американских компаний от краж интеллектуальной собственности ежегодно составляют порядка 300 млрд. долл. Для решения этой проблемы руководство предприятий прибегает, как правило, к услугам "благородных жуликов", которые выходят из подполья, чтобы протестировать и оценить защиту систем. Нью-йоркский Федеральный резервный банк, например, сотрудничает с тремя группировками, специализирующимися на решении этой задачи.

Компании, у которых нет соответствующих внутренних ресурсов, обращаются к консультантам или хакерам (в качестве примера можно привести бостонскую группу 10pht Питера Шипли), а также в значительно более крупные фирмы, такие как Ernst & Young, Guildry, Price Waterhouse, Cambrige Technology и многие другие.

В программу тестирования обычно входит имитация хакерских атак на системы клиентов без предварительного уведомления сотрудников.

Изобретательность, которую проявляют специалисты в ходе тестирования внешней системы защиты, поистине безгранична - наблюдение за пользователем, имеющим санкционированный доступ, проникновение в информационную систему компании через "розетку" Ethernet. Им ничего не стоит усыпить бдительность охраны и проникнуть в помещения с включенными серверами, ноутбуками или системами защиты, пролезть по вентиляционным люкам и разобрать подвесные потолки. Используя подобные ухищрения, персонал Guidry ежегодно успешно вторгается в систему каждого из 40 своих клиентов. Сотрудники Price Waterhouse празднуют успех более чем в 90% случаев.

"О чем это свидетельствует?" - задает риторический вопрос Гари Лавлэнд, консультант Price Waterhouse. И сам же на него отвечает: "О том, что стандартные средства безопасности не столь надежны, как думают наши клиенты".

Социальный инжиниринг

Все чаще "крэкеры" (то есть хакеры, руководствующиеся исключительно дурными намерениями), устроившись на временную работу, используют удобный случай для сбора секретных сведений. "Зачастую их приглашают для периодических 'профилактических' работ, а иногда в качестве 'разовых' программистов с доступом к системе", - рассказывает хакер из Техаса по прозвищу Simple Nomad ("Простак-бродяга"). С ним согласен и редактор совместного обзора Института компьютерной безопасности и ФБР Ричард Пауэр: "С контрактниками не все так просто - они получают доступ в систему, как и постоянные сотрудники; при этом, в отличие от остальных, они не проходят проверку, не подписывают бумаг о неразглашении и не получают стратегических директив".

Временная работа - лишь одна из возможностей проникнуть в здание, чтобы переписать данные на диск или поставить в сети свои программки. Чаще всего выбирается способ попроще: социальный инжиниринг.

По мнению Радлоффа, аналогичные уловки неплохо срабатывают и в отношении сотрудников отделов технической поддержки, которые готовы расшибиться в лепешку, чтобы помочь клиентам, "забывшим" пароли. Персонал страховой компании American Credit Indemnity обязан задавать владельцам полисов специальные вопросы с целью идентификации личности перед тем, как предоставить по телефону какую-либо информацию. Если звонивший оказывается не в состоянии правильно ответить на вопрос, то инцидент считается попыткой несанкционированного доступа.

Если попытка социального инжиниринга проваливается, хакеры пускают в ход план B: поиск незакрытого мусорного бака, в котором можно найти бумажку с паролем или информацией о конфигурации сети. Именно поэтому Шипли проникся настоящей страстью к уничтожителям бумаг. "Два года назад я подарил всем своим друзьям по портативной бумагорезке", - отмечает он.

Если перед хакером встала задача проникнуть в компанию, он сможет легко миновать охрану под видом курьера. Можно также совершить вторжение ночью. Остается лишь подключить ноутбук к локальной сети Ethernet и ждать, пока сервер не снабдит его без всяких вопросов IP-адресом. Подчиненные Шипли проделывали это множество раз. Впрочем, иногда коса находит на камень. Попытка пробраться таким образом в сеть отдела интерактивных игр Heat.net компании SegaSoft закончилась неудачей: внутренние серверы не дали компьютеру никаких прав доступа.

"Серверы должны пускать в сеть только определенные, знакомые им машины", - комментирует Шипли.

Подсчитываем убытки
В какую сумму в среднем компаниям обходятся компьютерные преступления и нарушения защиты*.
 19971998
Неавторизованный доступ сотрудников компании181 437 долл.2,81 млн. долл.
Кражи внутренней информации954 666 долл.1,67 млн. долл.
Диверсия в отношении данных или сети164 840 долл.86 тыс. долл.
Проникновение в систему со стороны132 250 долл.86 тыс. долл.
Злоупотребление доступом в Internet со стороны сотрудников компании18 304 долл.56 тыс. долл.
Вирусы75746 долл.55 тыс. долл.
* В том числе потеря интеллектуальной собственности, оплата работы сотрудников и затраты на расследование инцидента.
По результатам опроса 241 специалиста по защите.
Источник: FBI и Computer Security Institute

Один раз недостаточно

Большинства проблем можно было бы избежать, не делай сотрудники так много досадных промахов. Незащищенные серверы, недостаточно проработанная политика "раздачи" паролей, выход в Internet, о котором не поставлены в известность администраторы по безопасности... Этот список не имеет конца.

Тестирование защиты предоставляет обильный материал для выработки более совершенной стратегии. Поскольку сети часто меняются, данный процесс - эволюционный, а следовательно, тестирование должно проводиться вновь и вновь.

"В стоимость наших услуг входят периодические проверки, которые мои сотрудники могут произвести в любое время", - говорит Гюидри.

Вместе с тем услуги, о которых идет речь, недешевы. По этой причине многие руководители предпочитают отказаться от дальнейших испытаний. Шипли подчеркивает, что эта ошибка - следствие недальновидности руководства. "Клиентам кажется, что одна-единственная проверка обеспечит безопасность их системы на все времена. Но это не так", - предостерегает он.


Брешь в защите

Число нарушений компьютерной защиты в прошлом году увеличилось на 16% и от них пострадало 64% из 520 американских корпораций, государственных агентств, финансовых организаций и университетов. Общие убытки в размере 136 млн. долл. понесли 241 организация, что на 36% больше по сравнению с предыдущем годом.

Источник: Computer Security Institute