Читаем IT-безопасность: стоит ли рисковать корпорацией? полностью

Не делайте этого! Разрешения на доступ к файлам, устанавливающие, кто может читать и изменять файл, — очень простое понятие. Главное заключается в том, что чем больше вы предоставляете доступа к файлам вашей системы, тем выше риск того, что эти файлы будут изменены, уничтожены или украдены. Если вы предоставляете возможность всему миру читать вашу информацию и иметь к ней доступ, то рано или поздно кто-нибудь сделает это таким способом, которого вы не желали, не предполагали и не представляли себе. Такую ошибку сделали парни из Trans World.

Я видела много прорех в безопасности, но эта заслуживает главного приза. Я впервые увидела, как кто-то экспортирует разрешения чтения/записи файловых систем (глобальные) через Интернет. И хотя это была чрезвычайная ситуация, я далее сталкивалась с избыточностью разрешений на доступ к файлам снова и снова. В чем причина? Системные администраторы часто не ограничивают разрешения на доступ к файлам. Иногда они просто не знают, как это делать. В других случаях они слишком заняты, чтобы об этом беспокоиться. Но беспокоиться нужно!

Обновляйте ваше системное хозяйство. Учетные записи неактивных пользователей, как, например, записи уволенных или долго отсутствующих сотрудников, представляют широко распространенный вид риска для безопасности. Как раз такой учетной записью воспользовался взломщик в TransWorld.

Хакеры могут легко воспользоваться неактивными учетными записями для хранения информации, как, например, взломанных паролей. Изменения в пользовательских файлах трудно обнаружить, так как владельцы их не просматривают. Во избежание такой проблемы убедитесь в том, что удаление или отключение неактивных учетных записей делается регулярно.

Надо отдать должное — люди из TransWorld хорошо позаботились о паролях. Из 1000 учетных записей пользователей я смогла взломать лишь четыре пароля. Правда, это на три пароля больше, чем мне было нужно! Не ждите, когда хакер пройдется по вашим паролям и взломает их. Запускайте программу-«взломщика паролей» (password cracker) в ваших файлах с паролями и учите ваших пользователей тому, как выбрать надежный пароль.

Пароли образуют первую линию обороны против неавторизованных пользователей, и их взлом является одной из самых популярных форм компьютерной атаки. Хороший пароль не может быть обычным словом. Его легко взломать, найдя это слово в словаре. Хороший пароль должен представлять собой выражение, не являющееся словом (nonword). Учите своих пользователей, как выбрать хороший пароль, не являющийся словом и удобный для запоминания.

Системным администраторам также нужно проверить, насколько надежно выбрали пароли их пользователи, при помощи программы, названной "Crack". Если вы — системный администратор и не имеете копии программы "Crack", то постарайтесь получить ее, так как хакеры уже ее имеют. Гарантирую!

Перед запуском "Crack" или другого «взломщика паролей» в сети вашей компании, убедитесь в том, что не нарушаете политики безопасности вашей компании. Использование "Crack" в системе, к которой у вас нет доступа, может стоить вам работы, большого штрафа или даже привести в тюрьму.

Нет идеальных систем. Во всех есть дыры, которые нужно залатать. При установке любой системы в сети нужно устанавливать и патчи безопасности в них (в операционные системы). Также необходимо установить патчи безопасности, предусмотренные для решения известных проблем в коммуникационных программах (таких, как Netscape Navigator, Java, HTML и т. п.). Если ваша сеть велика и вручную вам с этим не справиться, то подумайте об установке программного обеспечения, позволяющего ставить патчи в автоматическом режиме.

Как минимум, должны разрабатываться и совершенствоваться политики и процедуры для установки систем, обслуживания информации и обеспечения основной физической безопасности. Если у вашего системного администратора не будет системных политик и процедур, то системы после установки могут иметь рискованные настройки. Это случилось в сети TransWorld. У них не было ни политик, ни процедур настройки безопасности, и система после установки была подвержена риску.

Если вся ваша сеть после установки имеет настройки с высоким уровнем риска, то последующий перевод системы на требуемый уровень безопасности будет связан со значительными затратами времени и людских ресурсов. Для того чтобы этого избежать, убедитесь в том, что ваши системы не остались в состоянии стандартных настроек и без необходимых политик и процедур. Подробнее о политиках и процедурах см. главу 8, «Безопасность внутренних сетей».