мне, как консультанту по информационной безопасности, пришлось на практике столкнуться с этой дилеммой, когда я получила срочный вызов от одного из клиентов. Из службы поддержки поступило сообщение о подозрительных изменениях в конфигурации ноутбука удаленного сотрудника. Меня попросили помочь специалистам ИТ-отдела установить возможные причины происходящего. Обстоятельства дела давали все основания для тревоги.
Мобильный пользователь обратился в службу поддержки, запросив установку специализированной программы. Сотрудники данной компании имеют ограниченные полномочия и не могут сами устанавливать на своих компьютерах программное обеспечение, а должны обратиться за помощью в службу поддержки. Техник службы поддержки инициировал сеанс дистанционной связи с ноутбуком и готовился удаленно установить затребованную программу, но заметил нечто подозрительное: локальная учетная запись Guest была активизирована и располагала административными полномочиями с бессрочным паролем. В данной компании в стандартном образе ноутбука учетная запись Guest заблокирована, и активизировать ее может только администратор с соответствующими полномочиями. Но такие действия администратора противоречат политике компании, а удаленный сотрудник не мог сделать это самостоятельно. Ситуация усугублялась тем, что на ноутбуке была установлена нестандартная программа (утилита FTP) и нестандартный почтовый клиент. Техник сообщил об этом в отдел ИТ-безопасности, сотрудники которого обратились ко мне.
Скрытый портал
Специалисты отдела безопасности получили образ ноутбука и составили отчет о нарушении требований безопасности (Security Incident Report). Моей задачей было выяснить, кто, где и когда осуществлял незаконные действия. Сотрудники службы поддержки потребовали, чтобы удаленный сотрудник немедленно выслал ноутбук в штаб-квартиру компании для дальнейшего исследования. Получив ноутбук, я проанализировала системные журналы, файлы протоколирования SQL и FTP. Хакер был не очень опытным и не пытался замести следы.
На ноутбуке была установлена немодернизированная операционная система Windows 2000, развернутая в начале 2004 г. Сотрудник, работавший удаленно, не устанавливал брандмауэр/маршрутизатор, предоставленный ИТ-подразделением. Он работал с персональным программным брандмауэром, но причиной взлома было не отсутствие или ошибки в конфигурации брандмауэра, а неустановленные исправления операционной системы. Windows Update не была настроена на автоматический запуск, так как для установки исправлений требовались административные полномочия, которых у пользователя не было. Подобная политика — серьезная ошибка ИТ-подразделения. Его специалисты обосновали такой подход тем, что им пришлось выдать ноутбуки агентам по продажам, прежде чем компания развернула систему управления программным обеспечением. Единственным выходом было ежемесячное обновление вручную более чем 700 ноутбуков, находящихся у сотрудников. Агенты по продажам постоянно находятся в разъездах и не всегда подключаются к корпоративной сети для установки исправлений. К сожалению, это весьма распространенная проблема.
Пытаясь выяснить, как произошел взлом компьютера, я обнаружила, что в ноутбуках членов группы продаж размещена локальная копия базы данных продаж. Сделано это по очень простой причине — агентам нужен доступ к информации в командировках, когда они отключены от корпоративной сети. Члены группы должны периодически запускать репликацию при подключении к корпоративной сети через VPN для обновления локальной и корпоративной копий. Для выполнения такой процедуры необходимо иметь в ноутбуках экземпляр Microsoft SQL Server Desktop Engine (MSDE).
Взломщик успешно получил доступ к административным полномочиям на портативном компьютере. Он воспользовался хорошо известным уязвимым местом SQL, исправления для которого были выпущены за несколько месяцев до этого. Для взлома компьютера достаточно выполнить команду:
osql.exe ???S -U sa -P
Попытка взлома считается успешной в том случае, если пароль sa (system administrator) пуст.
Взломщик использовал ноутбук для загрузки и хранения файлов кинофильмов, которые мог извлечь через учетную запись Guest каждый, кому взломщик давал IP-адрес. Некоторые файлы содержали предварительные варианты еще не выпущенных в прокат фильмов на различных языках. Корпоративный сервер SQL Server, похоже, не был взломан, а в журналах FTP не было сообщений о том, что взломщик похитил конфиденциальные файлы компании или ее клиентов. Однако вероятность, что такая кража все же имела место, была высока. У меня не было никаких свидетельств, чтобы подтвердить или опровергнуть подозрение в краже.
Специалистам по ИТ-безопасности хорошо известно о существовании черного рынка предварительных копий фильмов. Особенно остро ощущается эта проблема в сфере звукозаписи и киноиндустрии. Удаленный ноутбук был недостаточно защищен и подключен к Internet через домашнее DSL-соединение, так что пиратам было удобно использовать его в качестве точки дистрибуции. Любой подключенный к Internet компьютер с немодернизированной версией MSDE или SQL Server представляет собой потенциальную мишень для подобного взлома.
Принятые меры
Что дальше? У компании были сотни ноутбуков удаленных сотрудников с такой же конфигурацией, что и у пораженного компьютера. Прежде всего, следовало документировать результаты обследования и представить их руководителям высокого ранга. Затем я собрала группы ИТ и безопасности, чтобы рассмотреть возможные способы применения исправлений на удаленных компьютерах. Наконец, самым трудным оказалось инициировать более широкую дискуссию о методах защиты удаленных машин в «полевых условиях».
На собрании члены ИТ-группы заявили, что они послали удаленным сотрудникам маршрутизаторы Linksys с указанием развернуть устройства для защиты кабельных и DSL-соединений. Я возразила, что маршрутизаторы лишь обеспечивают трансляцию сетевых адресов (Network Address Translation, NAT) и не защищают действующие порты от прослушивания. Таким образом, существует опасность их обнаружения. Действительно, на каждом ноутбуке компании имеются персональные программы защиты от вирусов и брандмауэр (в частности, корпоративная версия антивирусного продукта Trend Micro и Integrity Desktop фирмы Check Point). Однако компьютер был взломан через действительный, «законный» порт, соединение через который разрешается любым брандмауэром, при нейтралитете антивирусной программы. Пользователи останутся в полном неведении относительно происходящего.
Есть ли выход из данной ситуации? Как я объяснила своему клиенту, самое консервативное и надежное решение — запретить удаленным сотрудникам подключать оборудование компании к домашней сети. Одна известная мне телекоммуникационная компания разрешает подключаться к своей частной сети только агентам по продажам. Удаленные пользователи должны пройти аутентификацию с использованием разового маркера, а их ноутбуки и сети до такой степени защищены, что сотрудники едва могут выполнять свои производственные функции.
Работа на дому не поощряется, а локальным офисам продаж предоставляются средства связи. В системе отсутствует гибкость, зато решена проблема безопасности.
Для решения конкретной проблемы мой клиент информировал группу продаж о том, что каждый удаленный сотрудник должен подключаться к корпоративной сети в определенные дни для развертывания исправлений на всех компьютерах. Кроме того, была проведена репликация базы данных, в ходе которой в локальные экземпляры MSDE были записаны надежные административные пароли.
Будьте бдительны
Если сотрудникам разрешено работать дома, поддерживая связь с предприятием через Internet, и имеется группа удаленных пользователей, то защита удаленных компьютеров становится сложной проблемой, которую нельзя оставлять без внимания. Основной проблемой в ситуации, сложившейся у моего клиента, было отсутствие системы управления для регулярной модернизации удаленных машин. Специалисты ИТ-подразделения утверждали, что руководители компании требовали немедленной компьютеризации отдела продаж, не выделив средств на систему управления. Однако, если бы в результате описанного взлома пострадала корпоративная сеть, последствия были бы гораздо более серьезными, чем служебный провал излишне экономного руководителя.
Консультант по защите информации. Имеет сертификаты CISSP и CISM. marcia@wilsonsecure.com