ВЗЛОМ БАНКОВСКИХ СИСТЕМ

ВЗЛОМ БАНКОВСКИХ СИСТЕМ




Экзамены никогда не кончаются


Когда нанятым хакерам удалось взломать систему, ваша работа только начинается. Ни в коем случае не следует считать, что сам факт тестирования уже обеспечивает информационную безопасность. Оценка системы безопасности (вроде той, что мы предприняли по заказу BABank) дает только представление о состоянии сети на момент проведения операции. Cистема информационной безопасности претерпевает постоянные изменения и требует к себе постоянного внимания.
Первый всеобъемлющий тест должен рассматриваться вами как отправная точка. Не забывайте время от времени выделять деньги на повторные обследования. Не менее важно и то, чтобы исследования проводились до запуска онлайновых услуг, а не после того, как "дыры" в защите дадут себя знать.
Не забывайте девиз "Взломай свою систему сам, пока кто-то не сделает этого без твоего ведома". А пока - удачной охоты!



Десять советов по защите серверов для Web-коммерции


1. Следует ограничить число людей, имеющих удаленный доступ к управлению вашим Web-сервером, и тщательно следить за этим доступом. Дистанционное администрирование (как и доступ к корневому каталогу) - отличная лазейка для хакера.
2. Проверьте, правильно ли сконфигурированы списки доступа и вносятся ли в них каждодневные изменения, отражающие состояние деловой жизни компании (такие, например, как добавление новых пользователей и клиентов, удаление старых ).
3. Насколько возможно, отделите ваш коммерческий сервер от прочих услуг. Можно дополнительно укрепить сервер, отменив все необязательные функции приложений и операционных систем. Если вы не в состоянии этого сделать, следует всерьез подумать об использовании сторонних услуг (outsourcing).
4. Установите систему обнаружения вторжений, которая немедленно будет ставить в известность администратора сети обо всех проблемах, требующих устранения. Помните, что обнаружить хакера - это полдела; главная задача состоит в пресечении его деятельности.
5. Система должна реагировать на любые необычные события, происходящие на серверах. Невозможно остановить злоумышленника, не зная, что он делает.
6. Неправильно написанные, сконфигурированные и установленные скрипты Perl и CGI (Common Gateway Interface) могут стать причиной возникновения "дыр" в системе защиты. Этими средствами надо пользоваться осторожно; все скрипты должны проверяться опытными специалистами.
7. Для обеспечения безопасности некоторых коммерческих серверов использования паролей недостаточно. Стоит обдумать возможность раздачи клиентам физических и электронных жетонов (они стоят примерно 50 дол. за штуку).
8. Следует обеспечивать и аутентификацию администраторов. Все большее распространение получают различные биометрические средства идентификации по голосу, отпечаткам пальцев и узору сетчатки (они стоят примерно по 300 дол. в расчете на одного пользователя).
9. При переводе денежных сумм (с использованием кредитных карточек или путем обращения к мэйнфрейму, где поддерживаются полномасштабные банковские операции) ваш узел обращается к другим сетям. При взаимодействии с критически важными системами следует применять такие средства обеспечения безопасности, как Secure Socket Layer, Secure Hypertext Transfer Protocol или Kerberos.
10. Подумайте, не стоит ли снабдить критически важные данные и соответствующие им системные файлы оболочками для обеспечения их целостности. Криптографические оболочки вокруг этих файлов позволят не допустить их модификации или внесения вредоносного кода.



Как работать с группой, оценивающей надежность системы информационной безопасности


Выберите себе консультанта с хорошей репутацией Потребуйте, чтобы в группе велись подробные контрольные журналы в течение всего срока работ Необходимо, чтобы группа оценки могла приостановить свою деятельность за несколько минут, если начнет происходить нечто нежелательное Группа должна выдать несколько различных отчетов, рассчитанных на технических специалистов, руководителей среднего звена и высшее руководство компаний Ознакомьтесь с результатами проверки и используйте их как руководство к действию



Десять недорогих способов укрепления системы обеспечения внутренней безопасности


1. Стоит выяснить о нанимаемых на работу людях несколько больше, чем можно узнать из их резюме; особенно это касается таких критически важных должностей, как системный администратор. Подумайте, не надо ли ввести систему психотестов, которые позволят выявить этические принципы кандидатов, их особенности.
2. Рассмотрите вопрос о снятии дисководов с пользовательских ПК. Это затруднит сотрудникам установку своего собственного программного обеспечения и компьютерных игр, помешает им заражать систему вирусами и "выносить" из компании закрытую информацию. Такая мера позволит избежать и еще одной угрозы для информационной безопасности - диски, разбросанные на столе сотрудника, легко могут пропасть.
3. Не допускайте, чтобы на одну сетевую станцию приходилось более одного идентификатора пользователя. Установите безопасные экранные заставки - это поможет решить административные проблемы.
4. Предоставляйте корневые привилегии только тем администраторам, которым они реально нужны. Помните, что каждый раз, когда вы даете такие привилегии, в системе защиты появляется еще одна потенциальная "дырка".
5. Уничтожайте или сжигайте важную закрытую информацию: списки персонала, идентификационные имена сотрудников, сводки отдела кадров, папки с данными о клиентах, памятки, руководства, схемы сетей и вообще все, что может представлять интерес для злоумышленников.
6. Мусорные контейнеры должны находиться на территории организации; в противном случае злоумышленник не устоит перед соблазном в них порыться.
7. Постарайтесь, чтобы сотрудники компании стали вашими союзниками в борьбе за корпоративную безопасность. Попробуйте реализовать программы партнерства: пообещайте вознаграждение тому, кто обнаружит недочеты в системе безопасности или уличит кого-либо в недобросовестности.
8. Внимательно изучайте все продукты, обеспечивающие информационную безопасность. Убедитесь, что они работают именно так, как было обещано производителем. Подумайте, можно ли укрепить систему защиты, не устанавливая новый продукт, который потребует от вас определенных усилий.
9. Уполномочьте кого-либо из сотрудников принимать оперативные меры в случае угрозы информационной безопасности - от аварийной остановки Web-сервера до вызова охраны для удаления проштрафившегося сотрудника за пределы организации.
10. Оповестите сотрудников, что вы используете самые современные средства мониторинга сети и контроля за действиями работников компании. Объясните, что вы не собираетесь устанавливать тоталитарный режим, а просто боретесь со злоумышленниками. В результате, сотрудники будут с меньшей легкостью нарушать правила пользования информационной системой и обеспечения защиты данных.



Пять основных условий обеспечения информационной безопасности


1. Главное, что нужно сделать для защиты информационной системы от внешних и внутренних угроз, - выработать корпоративную политику. Обдумайте, чего вы хотите добиться и как можно достичь поставленной цели; составьте ясный документ, посвященный политике защиты.
2. Регулярно проводите занятия с сотрудниками, повышая их образовательный уровень и степень информированности обо всех аспектах информационной безопасности компании. Объясняйте сотрудникам, в чем могло бы состоять их участие в обеспечении информационной безопасности компании.
3. Периодически проводите тестирование и оценку системы защиты, чтобы проверить, насколько внешняя и внутренняя защита соответствует корпоративной политике. Работайте только с теми консультантами, которые придерживаются структурированного подхода и не заинтересованы напрямую в результатах тестирования.
4. Не забывайте о простых способах физической защиты. Следите за доступом к распределительным шкафам, серверам, комнатам телефонной связи и кроссам точно так же, как вы следите за доступом к вычислительным центрам.
5. Рассмотрите вопрос об использовании услуг сторонних компаний, специализирующихся в области защиты данных; они должны работать в контакте с отделом автоматизации. Эти компании могут оказаться лучше подготовленными к тому, чтобы следить за защитой ваших данных 24 часа в сутки без выходных. Однако тогда вам придется передать в чужие руки управление определенной частью своего бизнеса.



Десять способов поддержки работоспособности системы защиты


1. Время от времени проводите тестирование систем защиты - это позволит отслеживать все изменения в самих системах, сетях и поведении пользователей. Точечные проверки системы защиты данных предприятия стоит проводить ежемесячно, а полную проверку информационной безопасности предприятия - раз в год. Возможное влияние новых приложений на информационную безопасность следует оценивать перед их установкой.
2. Постоянно проверяйте надежность парольной защиты, даже если ничто не внушает беспокойства. Длинные пароли лучше коротких, поскольку их труднее подобрать, однако их и труднее запомнить, не записывая. Вот примеры хороших паролей: PaSsWoRd (чередующиеся прописные и строчные буквы), ford6632 (распространенное слово и легко запоминающееся число), 3lite, wr1t3m3, w1nn13 (так пишут хакеры).
3. Следите за тем, как ваши пользователи работают с Internet, и регулируйте этот процесс.
4. В рамках программы непрерывного образования предложите сотрудникам ознакомиться со специальными играми и моделирующими программами, которые позволят им осознать, какие последствия может иметь пренебрежение правилами защиты данных.
5. За счет использования механизмов управления доступом и технологий для интрасетей разделите вашу организацию на логические части. Секционирование ресурсов и информации повышает степень защищенности. Подумайте также об использовании закрытой почтовой системы, ограничивающей возможность обмена информацией между сотрудниками.
6. Немедленно устанавливайте все новые версии операционных систем, "заплаты" к прикладным программам и комплекты сервисов, выпускаемые производителем программного обеспечения. Тщательно проверяйте, не окажет ли новая программа негативного воздействия на другие системы. 7. Создайте из сотрудников вашей компании оперативную группу компьютерной безопасности (Computer Emergency Response Team, CERT). CERT - это общепринятый термин для обозначения группы экспертов по компьютерным технологиям, которые призваны бороться с компьютерными и сетевыми катастрофами. Установите контакты с группами CERT из родственных организаций, что позволит поддерживать устойчивость системы защиты в более глобальном масштабе.
8. Просматривайте списки прав доступа пользователей и следите за их актуальностью. Ограничивайте пользователям возможности доступа; максимально закручивайте все гайки в системе безопасности.
9. Рассматривайте защиту данных как процесс. Не следует думать, что установив систему защиты данных, можно поставить галочку в списке необходимых дел и на этом успокоиться. Разработайте политику поддержания корпоративной информационной безопасности, которая соответствовала бы потребностям вашего бизнеса.



Сигнал тревоги


В настоящее время ФБР расследует более 700 случаев крупных вмешательств со стороны иностранных разведок. Среди применяемых агентами методов - подключение к кабельным линиям связи, установка подслушивающих устройств в офисах, перехват разговоров по сотовому телефону, проникновение в компьютерные сети и воровство закрытой информации с дисков и компакт-дисков.
По данным Национальной ассоциации компьютерной безопасности, за период с 1996 г. по ноябрь 1997 г. количество макровирусов возросло с 40 до 1300. Gartner Group предсказывает, что в 1998 г. 60% нарушений системы защиты произойдет из-за вирусов.
Иностранные агенты минимум из 23 стран пытались осуществить разведывательные действия против американских корпораций. По данным ФБР, только в 1997 г. потери американских компаний, связанные с интеллектуальной собственностью, составили свыше 300 млрд дол.
По данным министерства обороны США, 88% из более чем 20 000 попыток проникновения в информационные системы государственных организаций, выполненных для оценки надежности защиты, завершились успешно. Из этих успешных нападений обнаружены были только 5%; официальные же доклады о проникновении представлялись только в 5% от общего числа случаев выявления атак. Таким образом, широкой общественности становится известно лишь об одной из 400 успешных атак.
Как показало исследование, проведенное компанией Warroom Research совместно с американским Сенатом, 58% компаний обнаруживали случаи несанкционированного доступа к своим сетям. Более чем в 69% случаев успешных вторжений убытки компаний составили свыше 50 тыс. дол., а более чем в 27% случаев - свыше 500 тыс. дол.
Исследование, проведенное компанией Warroom Research, показало, что каждая из более чем 51% компаний уличала не менее шести своих сотрудников в злоупотреблениях, связанных с информационными сетями. Более чем в 75% случаев единственным наказанием стало устное или письменное порицание.