Читаем IT-безопасность: стоит ли рисковать корпорацией? полностью

IT-безопасность: стоит ли рисковать корпорацией?

Линда Маккарти

339 ericz ttyh 1 Mon Jan 18 08:30 — 08:32 (00:02)

340 ericz ttyh 1 Aug 30 14:25–14:25 (00:00)

341 ericz ttyhKC

342 # id344 # grep eric /etc/passwd

345 Uace: LEkQ/KdKGcyV2:4:4:ACE:/usr/spool/uucppublic: /usr/ lib/ uucp/uucico

346 Uaim:93uUCUdUU6zdl:4:4:AIM:/usr/spool/uucppublic: /usr/ lib/ uucp/uucico

347 ericz: vt0R/k7x2W1 kY:3063:50::/home/region3/ericz:/bin/csh

348 ericc:23JjW1a5hqUSQ:4094:10:&:/home/guest/eric:/bin/csh

349 # last ericc

350 ericc ttypl ptero Mon Aug 3 18:52–18:52 (00:00)

351 wtmp begins Wed Jul 1 18:46

352 # last richp

353 richp ttypO awe Sat Jan 16 19:33 — 19:34 (00:00)

354 richp ttyp4 vela Mon Jan 11 15:59 — 16:00 (00:00)

355 richp ttyp8 vela Wed Oct 7 13:28 13:58 (00:29)

356 richp ttyhl Mon Oct 5 15:39–15:41 (00:01)

357richpttyhl MonOct5 14:15–14:18(00:02)

358 richp ttyhl Mon Oct 5 13:54 — 13:58 (00:03)

359 richp ttyp3 vela Mon Oct 5 09:43 — 09:44 (00:00)

360 richp ttyhl Wed Sep 30 17:57 — 17:57 (00:00)

361 richp ttyp2 velaTue Sep 29 14:31–14:32 (00:00)

362 richp ttyhl Thu Sep 24 13:48 — 13:51 (00:02)

363 richp ttypl valley Wed Sep 23 19:47–19:48 (00:00)

364 richp ttyhl Wed Sep 23 13:28 — 13:48 (00:20)

365 richp ttyhl Mon Sep 21 11:27 — 11:29 (00:02)

366 richp ttyp6 vela Fri Sep 4 09:15 — 09:16 (00:01)

367 richp ttyp5 vela Thu Sep 3 12:31–13:00(00:28)

368 richp ttyp5 vela Thu Sep 3 12:11–12:11 (00:00)

369 richp ttyp5 vela Thu Sep 3 11:42–11:43 (00:00)

370 richp ttyp5 vela Thu Sep 3 10:01–10:04(00:02)

371 wtmp begins Wed Jul 1 18:46

372 # last Iwake

373 Iwake ttyp2 runcible Tue Dec 1 15:00 — 15:06 (00:06)

374 Iwake ttyp3 runcible Wed Sep 30 13:01 — 13:15(00:13)

375 Iwake ttyp2 runcible Tue Sep 22 09:12 — 09:14 (00:02)

376 Iwake ttyp2 runcible Fri Jul 24 14:40–14:40 (00:00)

377 Iwake ttyp4 runcible Fri Jul 17 09:13 — 09:14 (00:00)

378 Iwake ttyp4 runcible Fri Jul 17 09:12 — 09:13 (00:00)

379 Iwake ttyp2 runcible Mon Jul 13 16:56–17:02 (00:05)

380 wtmp begins Wed Jul 1 18:46

381 # last eggers

382 eggers ttypO sunkist Thu Jan 7 06:40 — 06:40 (00:00)

383 eggers ttyhl Mon Nov 16 16:41–16:42 (00:00)

384 eggers ttypl bike Mon Nov 16 16:37–16:41 (00:03)

385 eggers ttypl bike Thu Nov 12 18:35–18:39 (00:03)

386 eggers ftp bike Wed Oct 7 12:58–13:03 (00:05)

387 eggers ttyp8 bike Wed Oct 7 12:53–13:03 (00:10)

388 eggers ttypl bike Tue Oct 6 14:14–15:27(01:13)

389 eggers ttypl bike Wed Sep 23 16:25–16:30 (00:05)

390 eggers ttypl bike Tue Sep 15 20:34 — 20:36 (00:01)

391 eggersttyhl Fri Sep 11 18:39–18:39(00:00)

392eggersttyh1 Fri Sep 11 18:11 18:21 (00:10)

393 eggersttyhl Fri Sep 11 17:52–18:01 (00:08)

Строки с № 394 по № 426

В этом месте наш друг уже был готов уйти. Но перед этим он установил новые пароли в использованные им неактивные («спящие») учетные записи. Этот шаг сделает его следующий взлом более легким. (По этой причине вы должны всегда устанавливать новые пароли после взлома!)

Строки с № 427 по № 431

Для одного дня достаточно. Наш непрошеный гость замел свои следы (не показано из соображений безопасности) и закрыл сессию.

394 # passwd ericc

395 Changing password for ericc on suntzu.

396 New password:

397 Retype new password:

398 # grep lori /etc/passwd

399 lori: FAJEq1YKw4p7.,0:5734:50:Lori:/home/guest/lori:/bin/csh

400 # pwd

401 /tmp_mnt/home/se/wendy

402 # cd /home/guests

403 /home/guests: bad directory

404 # cd /home/guest

405 # Is — tal lori

406 total 10

407 drwxr-xr-x 52 root 1024 Sep 12 14:25..

408 drwxr-xr-x 3 lori 512 Aug 9 18:46.

409 — rw-r-r- 1 lori 1262 Aug 9 18:46.M23set,v1.1

410 drwxr-xr-x 2 lori 512 Aug 8 17:45.dist

411 — rw-r-r- 1 lori 1457Jun 7 1991.login

412 — rw-r-r- 1 lori 2687 Jun 7 1991.cshrc

413 # last lori

414 wtmp begins Wed Jul 1 18:46

415 # passwd ericc

416 Changing password for ericc on suntzu

417 New password:

418 Retype new password:

419 # passwd lori

42 °Changing password for lori on suntzu

421 New password:

422 Retype new password:

423 # passwd jeff

424 Changing password for jeff on suntzu

425 New password:

426 Retype new password:

427 #л D

428 $ л0

429valley%"D

430 There are stopped jobs

431 valley% logout

<p>Заключение</p>

Действительно, пугает в этом взломе то, что нарушитель никогда не будет пойман. Из моего большого опыта я знаю, что он, скорее всего, сейчас где-то неподалеку, «барабанит в двери» и устанавливает новые пароли в «спящие» (неактивные) учетные записи в других сетях.

Этот пример взлома дает нам многое для того, чтобы избежать вторжений. Из него можно извлечь следующие уроки:

• Каждая учетная запись должна иметь пароль (см. строку № 1).

• Следует избегать создания «гостевых» учетных записей (см. также строку № 1).

• Патчи, повышающие безопасность должны устанавливаться на каждую машину в сети (см. строки с № 6 по № 23).

• Нужно с осторожностью устанавливать доверие между системами (см. строки с № 105 по № 119, с № 264 по № 270 и с № 282 по № 287).

• Необходимо регулярно удалять «спящие» учетные записи. Хакеры часто ищут «спящие» учетные записи, так как никто, скорее всего, не заметит, как кто-то использует его учетную запись (см. строки с № 320 по № 393).

Перейти на страницу: