| ||||||||||||||||
 | ||||||||||||||||
| ||||||||||||||||
 | ||||||||||||||||
| ||||||||||||||||
|
|
"Спрут" Не секрет, что в настоящее время уровень автоматизации российских компаний оставляет желать лучшего. Построение надежной, приносящей прибыль компьютерной инфраструктуры требует немалых финансовых вложений; кроме того, необходимо обеспечить должный уровень ее безопасности. Это требует затрат как на подготовку и/или переподготовку специалистов, так и на обеспечение достойного уровня заработной платы таких сотрудников. Наличие у организации корпоративной сети с серверами для хранения данных значительно повышает вероятность несанкционированного доступа, порчи и кражи информации конфиденциального характера. Здесь, конечно, важнее наличие ценной информации, а не корпоративной сети, но зачастую тот, кто преодолевает защиту не знает, какая информация его "ждет". Казалось бы, за столько лет существования локальных сетей можно было разработать достаточно действенные меры по предотвращению несанкционированного доступа к информационным ресурсам. Но не следует забывать, что уровень защищенности определяется не только стоимостью установленной системы защиты. Здесь дело даже не в надежности оборудования и ПО, а скорее в политике безопасности и в том, как разработчики сетей и их администраторы относятся к выполнению своих обязанностей. Те, кто читал мою статью "Изучение корпоративной сети компании X", помнят, что речь шла о корпоративных сетях американских компаний, построенных на базе глобальных X.25-сетей типа Global One Network, Alyaska Net, SITA и др. Там было сказано, что эти корпоративные сети, в большинстве своем, имеют неплохую защиту от проникновения в них из сети Internet. Можно спорить о степени их защищенности, но дело в том, что очень многие из корпоративных сетей имеют очень слабую защиту со стороны X.25. Я, будучи человеком, любознательным J постарался как-то осмыслить этот факт. Вот что из этого получилось... Существует очень большая и очень уважающая себя компания UUNETR MCI WorldCom Сompany (www.uunet.com), которая является лидером в области Internet-технологий, web-хостинга и т.д. Короче говоря, они не скупятся на похвалы в свой адрес. Вот только часть услуг, которые они предоставляют:
UUNET предлагает ресурсы своей глобальной сети, в том числе ресурсы X25-систем для построения корпоративных сетей коммерческих компаний по всему миру. Эта компания, а точнее группа компаний очень хвалится качеством предоставляемых услуг, защищенностью виртуальных частных сетей от несанкционированного доступа и т.д. Они повсеместно твердят о том, что их операторы постоянно следят за работоспособностью и защищенностью всей глобальной сети в целом и каждой из частных сетей в отдельности. Это они называют системой 24x7, т.е 24 часа в сутки, 7 дней в неделю и 365 дней в году. На рисунке № 1 показана карта глобальной сети компании UUNET. 
Рисунок #1 На первый взгляд впечатляет, не правда ли? Конечно! Ведь щупальца этого "спрута" раскинулась на 144 страны мира, через их сети работают свыше 70 млн. бизнесменов, операторов в тысячах городах по всему миру. Их сеть использует такие технологии как High Capacity Fiber Optic Network, Undersea Cable System, Planned Undersea Cable System и д.р. В своих рекламных проспектах эта компания предлагает организациям построить свои виртуальные частные сети на основе их глобальной сети, разработать систему безопасности и защиту от несанкционированного доступа. Действительно, все корпоративные сети имеют в своем составе довольно "продвинутые" FireWall'ы. Такие как Ascent Secure Access FireWall, Check Point FireWall, Axent Raptor FireWall. Все это достаточно дорогое оборудование и программное обеспечение призвано оградить сеть от вторжения извне. Но почему-то компания UUNET и те, кто пользуется ее услугами, ожидают "врага" только из Internet и считают, что из самой сети UUNET к ним попасть совершенно невозможно. Я даже могу понять работников отделов автоматизации тех компаний, которые заплатили огромные деньги организации UUNET за предоставление транспортной системы, защиту, программное обеспечение. Ведь эта компания гарантирует им безопасность, и вроде как нет особой нужды думать о том, что кто-нибудь, воспользовавшись той же самой UUNET-сетью, может добраться до информации в корпоративной сети. Я видел эти счета, видел те деньги, которые уходят в безразмерный карман корпорации UUNET и ее партнеров. Приведу схему, по которой строится большинство подобных корпоративных сетей. Здесь следует сказать, что сеть, отмеченная на схеме как "UUNET DialUP Network", на самом деле принадлежит не компании UUNETR MCI WorldCom Сompany, а одному из ее давних партнеров. Эта компания очень известна и в нашей стране. Я решил не называть ее, чтобы избежать массовых атак на ее ресурсы из России и во избежание повторения истории, имевшей место с America On-line. На счет последней, кстати, тоже можно было бы рассказать много интересного... Так что в этой статье для удобства изложения будем считать, что средства DialUp-доступа к сети так же предоставляются компанией UUNETR. Так вот. Как-то в очередной раз, изучая структуру и работу сети американской компании, занимающейся электронной коммерцией, я натолкнулся на интересное программное обеспечение на одной из рабочих станций. Точнее сказать, я обнаружил в одном из каталогов несколько файлов скриптов (макросов), которые используются при подключении к сети по телефонной линии. При детальном ознакомлении оказалось, что эти файлы являются частью программного обеспечения Phone Access Lookup (PAL), распространяемого компанией UUNET Technology Inc. Используя эту программу, пользователь, где бы он не находился, может, практически, из любой UUNET-сети войти в сеть своей компании либо в Интернет (зависит от настройки ПО). Для этого ему достаточно иметь доступ к какой-нибудь из UUNET-сетей. Каждой сети соответствует свой скрипт. Таких сетей достаточно много и их узлы есть во многих городах по всему миру. Для ясности приведу названия некоторых из них:
и т.д. Всего я насчитал порядка 30-ти различных сетей. Сначала меня заинтересовали именно файлы скриптов. Там указаны некоторые адреса, NUI, пароли... Затем, посетив web-сервер компании UUNET, я "скачал" оттуда программное обеспечение PAL (его можно получить совершенно свободно) и попытался установить. Инсталляция прошла успешно, но при попытке запуска программа сообщила, что моя компания не зарегистрирована в UUNET-сети. Я "пошел" обратно к тому пользователю, откуда "скачал" файлы скриптов и скопировал оттуда все файлы с расширением INI, относящиеся к программе PAL. Сравнив полученные файлы с теми, которые появились у меня после инсталляции пакета, я увидел, что они немного отличаются друг от друга из-за различий версий (я был обладателем последней версии этого ПО). Однако некоторые блоки файлов были идентичны. Например, информация о названии компании, адрес корпоративной сети в UUNET, пароль, регистрационный номер - все это хранилось одинаково. Причем адрес хоста был записан обычным текстом, а пароль зашифрован. Не долго думая, я скопировал всю эту информацию из чужого файла pal.ini в свой. Запустив программу, я был приятно удивлен тем, что теперь программа не "ругается" и все работает нормально. После настройки номера телефона на наш местный узел x.25-сети я позволил программе произвести дозвон. Программа добросовестно дозвонилась, установила соединение с хостом корпоративной сети и ... ну и, собственно, осуществила вход в сеть! Я считаю, что пусть лучше пользователь каждый раз вводит адрес хоста и пароль при входе в сеть заново, чем хранить все это в файлах настройки, рискуя тем, что в один прекрасный день их могут выкрасть. Сама компания UUNET, как я понял, очень гордится своим детищем и тем, что это очень простая программа и требует от пользователя минимум усилий. Цитирую: "PAL saves time and effort by providing users a "single-click" connection to the UUNET network". Конец цитаты. Как было сказано выше, пароль для подключения к хосту хранился в зашифрованном виде, но анализ работы программного обеспечения и файлов скриптов показал, что при регистрации в сети используется ряд переменных, в том числе переменные, хранящие адрес хоста и пароль в расшифрованном виде. После этого узнать пароль было делом техники. Теперь, когда я располагаю адресом и паролем, мне совершенно не требуется программа PAL, для того, чтобы войти в сеть. Хочу отметить, что некоторые рабочие станции сотрудников компаний, имеющих корпоративные сети на базе UUNET-сети доступны и через Internet. Возможно, что они пользуются DialUp-соединением для входа в сеть своей компании, но в тоже время очень часто работают в Internet, используя, возможно, более скоростное соединение. Это предположение получило подтверждение немного позже, когда я получил доступ к корпоративному Web-серверу компании, спрятанному глубоко внутри локальной сети. Кроме информации конфиденциального характера, помеченной как "INTERNAL USE ONLY" и "COMPANY CONFIDETIAL", туда регулярно помещались последние новости, сообщения, адресованные всем сотрудникам компании и т.д. Внимательно ознакомившись с опубликованными материалами, я наткнулся на любопытное сообщение от администрации UUNETR. В нем, хоть и в рекомендательной форме, но достаточно жестко говорилось, что пользователи, которые используют программное обеспечение PAL и низкоскоростное DialUp соединение с корпоративной сетью, должны прекратить пользоваться возможностью выхода в Internet через шлюзы своей сети для выкачивания больших объемов информации. Им предлагалось использовать для этих целей более скоростные соединения своих провайдеров. Дело в том, что если сотрудник компании находится в другом городе или даже в другой стране и использует, например, местный узел X.25-сети для доступа к ресурсам корпоративной сети своей компании, то этот узел получает немалые денежные средства за предоставленные услуги. Все тарифы ведутся в долларах США. Если взять российские узлы X.25 и постоянно повышающийся курс доллара, то можно сделать вывод о том, что работа легальных пользователей и, так сказать, не легальных исследователей очень выгодна компаниям, поддерживающим подобные узлы. Соответственно, увеличение трафика через иногородние узлы, возможно, совсем не выгодно для компаний, к сетям которых осуществляется доступ. Но, делая такое предложение пользователям и преследуя, как я понял, чисто экономические интересы, не разъяснив при этом необходимость принятия дополнительных мер безопасности в отношении к удаленным рабочим станциям, компания UUNET делает роковую ошибку. Ведь наличие общих ресурсов на рабочих станциях локальных сетей - это достаточно распространенное явление и коль скоро для доступа в Internet рекомендуется использовать обычных провайдеров, то следовало бы посоветовать отказаться от наличия таких ресурсов на компьютерах. Имея информацию подобную той, что представлена на рисунке № 3 и сделав одно умозаключение, можно осуществить следующую операцию: 
Рисунок #3 Для примера взята территория Северной Америки. Схема глобальной сети компании UUNET, транспортную систему которой использует огромное количество всевозможных организаций для своих корпоративных сетей без труда можно найти на Web-сервере компании (www.uunet.com). Воспользовавшись поисковым сервером, также без труда можно получить список организаций расположенных в городах, которые отмечены на схеме как "Multi Hubs City" или "Hub City". Вероятность того, что эти организации пользуются услугами компании UUNET, достаточно велика. Далее выбираем "жертву", определив IP-адрес web-сервера компании, просматриваем соответствующую подсеть на предмет наличия серверов или рабочих станций с доступными общими ресурсами. Если повезет, то, действуем по описанной выше схеме. Если нам удалось получить доступ к файлам программы Phone Access Lookup (достаточно права Read Only), то почти в 99% случаев мы сможем беспрепятственно войти во внутреннюю сеть компании через x.25 и получить доступ к информации, не доступной из Internet. Здесь также отмечу, что, как правило, на внутренних корпоративных серверах можно найти телефонные номера для доступа к сети минуя UUNET-сеть. Так что если Вам повезет и Вы находитесь в городе где есть узел корпоративной сети с Dial-Up доступом, то, воспользовавшись полученной информацией, Вы сможете войти в сеть и без услуг UUNET. В принципе, можно звонить и по межгороду... гмммм В моей практике был такой случай. После ознакомления с работой корпоративной сети одной из американских компаний через x.25-сеть был получен, практически, полный контроль над всеми доменами. Когда данная сеть уже перестала представлять для меня интерес, ее администраторы, видимо, что-то заподозрив, сменили адрес хоста. Но это им мало помогло, так как у меня уже были доменные имена их серверов и рабочих станций. Некоторые из них оказались доступны из Internet. Немного усилий и везения и я, воспользовавшись описанным приемом, овладел новым адресом хоста и паролем для входа в корпоративную сеть из x.25-сети через узел в Лондоне (Hub node for European gateways). Стоит также добавить, что в ходе этого исследования я руководствовался исключительно принципом "не навреди". В любом случае, на мой взгляд, подобного рода исследования очень полезны для понимания того, как дорого могут стоить попытки некоторых сущностей скрыть реальное положение дел в той или иной области. Так же не стоит принимать данные материалы как руководство к действию. Эта работа проводилась и проводится исключительно в познавательных целях и призвана помочь российским компаниям, внедряющим автоматизированные системы, избежать элементарных ошибок.
|
|
|
| ||||||||||||||||
| ||||||||||||||||
| ||||||||||||||||
|