Внутренняя сетевая атака начальника отдела автоматизации его подчиненным

Введение

В этой истории рассказывается об внутренней сетевой атаке против начальника отдела автоматизации большого медицинского учреждения его озлобленным подчиненным.

Предыстория атаки

Начальник отдела автоматизации (НОА) был нанят на работу для замены его неквалифицированного предшественника и начал устранять проблемы, имевшиеся в работе (по сути "вычищать дом"). В ходе этого стало необходимым разработать и внедрить положения о системном и сетевом администрировании, чтобы создать нормальную среду работы для пользователей.

Один из прежних ведущих инженеров отдела автоматизации всячески не хотел проводить в жизнь эти изменения и поначалу пассивно сопротивлялся им. Со временем пассивное сопротивление переросло в невыполнение приказов начальника, за что этому инженеру было сделано замечание, а позднее он был оштрафован за то, что не выполнил конкретные указания начальника отдела автоматизации.

Дополнительной проблемой было то, что этот инженер хорошо разбирался во многих частях функционирования корпоративной информационной системы. Вначале он работал в сервис-центре, затем почтовым и сетевым администратором. Он имел глобальный доступ со всеми привилегиями почти ко всем компьютерным системам в учреждении, а также почти ко всей критической информации и файлам в информационной системе учреждения.

Еще одним важным обстоятельством этого случая было то, что этот человек имел большие проблемы во взаимоотношениях с родственниками и друзьями.

Что произошло…

После нескольких случаев неповиновения и бесед начальника с этим инженером НОА послал начальнику отдела кадров электронное письмо, детально описывающее проблемы с этим инженером, в котором он высказывал пожелание уволить этого подчиненного. На следующее утро после отправки письма этот инженер появился в отделе кадров вместе с письмом в руке и стал жаловаться, что он был оклеветан и т.д., и что НОА плохо относится к нему. Начальник отдела кадров после этого провел ряд совещаний с НОА и начальником службы безопасности, после чего стало понятно, что этот инженер читает конфиденциальные электронные письма НОА и других сотрудников организации.

Почтовый сервер учреждения работал на основе Lotus cc:Mail. Любой, кто имел соответствующий доступ к системе (знал пароль администратора), мог читать электронные письма в почтовых ящиках сервера - это была одна из штатных возможностей почтового администратора. Было вполне вероятно, что инженер читал не только письма НОА, но также письма других сотрудников, которые могли заинтересовать его.

В конце концов инженер сам уволился из компании и сообщил при этом сотрудникам отдела автоматизации и отдела кадров, что он больше не может работать при таком негативном отношении к нему.

В день увольнения он сказал различным сотрудникам отдела автоматизации следующее:

• НОА тратит все свое рабочее время на доступ в WWW к различным порнографическим сайтам.
• Большая часть этих сайтов содержит гомосексуальные картинки.
• Загруженные НОА порнографические картинки он держит на своей рабочей станции.
• Этот инженер, увольняясь из компании, сделал полную копию всех файлов на рабочей станции НОА, чтобы защитить себя в случае преследования со стороны НОА и юристов организации.

После того, как НОА услышал это, он связался с начальником службы безопасности, который в свою очередь пригласил экспертов (в том числе автора рассказа), чтобы они разобрались в том, что произошло и проверили истинность заявлений инженера.

Расследование и его результаты

Исследование рабочей станции НОА позволило установить следующее:

• НОА использовал Netscape Communicator как браузер по умолчанию, что было важным фактом, так как НОА регулярно очищал его кэши и не сохранял их после сеанса работы в WWW.
• В директории, где хранились файлы для Internet Explorer, было обнаружено несколько поддиректорий с кэш-файлами, содержащими сотни мужских порнографических картинок. Также было обнаружено, что все эти директории имеют одинаковое время-дату создания , и что все файлы в этих директориях были созданы почти в одно и то же время утром в субботу.
• Изучение формата хранения информации в директории позволило сделать вывод, что этот формат хранения не является тем форматом, в котором Internet Explorer автоматически сохраняет кэш-файлы при работе в WWW.

После исследования рабочей станции уволившегося сотрудника была обнаружена следующая информация:

• В системе были удалены все файлы, которые не входили в состав установленных приложений.
• Был обнаружен файл закладок Internet Explorer НОА.
• При восстановлении файлов на диске были обнаружены файлы с теми же самыми именами и содержимым, что и файлы, находящиеся на рабочей станции НОА.
• В некоторых восстановленных журналах со станции инженера была обнаружена информация о доступе к рабочей станции НОА приблизительно в то же время, в какое были созданы директории на рабочей станции НОА.

Дальнейшее изучение журналов и информации из восстановленных файлов позволило установить, что файлы, содержащие порнографические материалы, были вначале загружены из Интернета на рабочую станцию инженера. Затем эти файлы были перенесены на машину НОА. Таким образом уволившийся инженер пытался оклеветать НОА с целью уволить его из учреждения.

Бывший сотрудник обнаружил, что можно легко скопировать эти файлы на машину НОА. Так как на машине НОА была установлена Windows NT, этот инженер незаметно вошел в комнату НОА и сделал его жесткий диск доступным из локальной сети учреждения.

Решение проблемы

Следующие изменения были сделаны для повышения сетевой безопасности:

• Было установлено программное обеспечение для повышения безопасности рабочей станции НОА, а также ряд других систем, содержащих критическую информацию. В состав его входит программа шифрования файлов, средства аудирования работы в сети, средства создания персональной виртуальной сети и персональный пакетный фильтр.
• Коммутаторы и маршрутизаторы стали фильтровать трафик в сети для дополнения межсетевых экранов, чтобы быть уверенным, что только разрешенные системы могут получить доступ к наиболее важным системам в сети.
• Стал проводиться периодический аудит безопасности наиболее важных систем отделом аудита.
• Были удалены все ненужные программы из рабочей станции НОА, чтобы они не могли быть использованы для атак на систему.
• Было минимизировано число пользователей, имеющих возможность удаленного доступа к наиболее важным системам.
• Были внедрены и обновлены политики безопасности и инструкции пользователям в отношении вопросов безопасности персональных данных.
• На межсетевом экране было установлено программное обеспечение, которое может блокировать доступ к определенным URL, чтобы минимизировать возможность доступа к порнографическим сайтам из корпоративной сети.
• На все ключевые системы были установлены системы аутентификации на базе смарт-карт, чтобы быть уверенным, что только авторизованные пользователи могут иметь доступ к этим системам.
• Резервные копии данных с ключевых систем и другие важные данные стали храниться в защищенном месте, чтобы исключить неавторизованный доступ людей к ним.
• Были разработаны политики безопасности и инструкции сотрудникам, чтобы быть уверенным, что все сотрудники знают о том, какие действия можно совершать при просмотре персональной информации, а какие повлекут за собой наказания.
• Стали проводиться периодические скрытые проверки службой безопасности лиц, занимающих наиболее важные посты в организации.
• Все сотрудники теперь должны расписываться за то, что они знают корпоративные политики в отношении работы с критической информацией и будут соблюдать их, а также должны подтвердить, что знают, какие действия они должны предпринимать в случае обнаружения дыры в системе безопасности.
• Стало проводиться периодическое тестирование системы безопасности, чтобы быть уверенным, что не произошло изменений в уровне защиты, и что нет новых уязвимых мест в системе НОА и установленных на ней программах, которые нужно заделать.

Заключение

Число персональных атак на верхнее звено управления компаний растет с угрожающей скоростью. Как показано в этом случае, организовать такую атаку на систему начальника крайне легко, если только на ней не установлено специального оборудования и программ для защиты. Также могут потребоваться средства персональной безопасности, такие как персональные пакетные фильтры, аудирование рабочей станции, обучение пользователей и периодическое тестирование защищенности, чтобы можно было гарантировать целостность и защищенность систем, на которых работают люди, занимающие важные посты в организации.

  [an error occurred while processing this directive]