Безопасность в Internet- Intranet



         

Расследование и его результаты


Расследование началось с анализа журналов и изменений в конфигурации почтовых серверов CC:Mail. Были обнаружены явные следы уничтожения части информации в журналах, а в то время, когда имели место случаи "случайного" получения писем не теми адресатами, в журналах не было информации вообще - обычно эти случаи имели место ранним утром. Расследование также показало, что дата-время создания файлов с полученными не теми людьми письмами попадают в периоды отсутствия информации в журналах, что доказывало, что на самом деле что-то происходило в это время.

Дальнейшее изучение журналов сервера доступа показало, что в то время, когда имела место подчистка журналов, удаленного доступа не было. Проверка модемного аккаунта почтового администратора показала, что для него не было никаких сеансов вообще. Аналогичные проверки журналов межсетевого экрана для Интернета также не выявили никаких попыток удаленного доступа к сети. Также было установлено, что никаких модификаций журналов межсетевого экрана не производилось.

Проверка физического доступа в здание, где находится почтовый сервер, позволила установить, что в серверную никто не входил, кроме операторов, которые должны были находиться в комнате во время дежурства и других лиц, кто должен был быть в серверной для выполнения каких-либо работ. В то время, когда была произведена модификация журналов, в здании не было никого, кто мог бы иметь причины получить доступ к почтовому серверу. В то время, когда кто-то изменил конфигурацию почтовых серверов, что и вызвало получение писем не теми людьми, не было обнаружено удаленного доступа к сети, ни физического доступа к серверам.

Опрос сотрудников отдела автоматизации позволил установить, что пользователи сети могли попросить установить с разрешения своего начальника отдела у себя на рабочем месте телефон в одном из зданий исследовательского центра, в котором была проложена корпоративная сеть. Дальнейший опрос обнаружил, что эти телефоны не контролировались отделом автоматизации, и что не имелось средств проверки того, где установлены телефоны и как они используются.

Отдел телекоммуникаций, который отвечал за АТС организации, дал необходимую информацию. Во-первых имелось около 2400 телефонных розеток для подключения цифровых телефонов. Во-вторых, было установлено около 900 линий для факсов, модемов и пейджеров. Проверка их использования показала, что сотрудниками использовалось свыше 500 переносных компьютеров, все они имели встроенные модемы и имелось много модемов, постоянно стоящих в тех или иных комнатах в зданиях. Самыми популярными вариантами использования модемов были исходящие звонки для подключения к различным информационным службам и отправка факсов. Некоторые пользователи также подключались с помощью модемов к станциям на их рабочих местах из дома для удаленного доступа к ним и сети.

Большое число пользователей установили у себя средства удаленного управления компьютером, такие как Rapid Remote, PC Anywhere и Carbon Copy. С помощью этих программ удаленный пользователь мог получить доступ к системе в корпоративной сети, как будто бы он сидел за своей рабочей станцией (правда несколько медленнее). Они также удаленно монтировали диски и получали доступ к другим сетевым службам во внутренней сети от имени своей машины на рабочем месте путем удаленного подключения к ней через модем. Быстрое сканирование блока телефонных номеров организации программой, называемой "боевым диалером", которая последовательно пытается позвонить по каждому номеру из указанного диапазона, выявляет номера, по которым отвечают модемы (в ответ слышны тональные сигналы), и сообщает об этом, выявило что к 50% из 900 линий были подключены модемы и к 200 из них были подключены компьютеры с установленным на них программным обеспечением для удаленного доступа. Это означало, что при правильной настройке программы любая из этих 200 систем могла быть использована для установления удаленного соединения с сетью в обход модемного пула и межсетевого экрана. Это подключение не было запротоколировано и не подпадало под контроль отдела автоматизации.

Так как имелось подозрение, что именно почтовый администратор в ответе за неполадки с почтой, было логичным проверить способы, которыми он мог воспользоваться для получения удаленного доступа к одной из этих 200 машин. Было также логично предположить, что этот доступ имел место как раз тогда, когда были очищены журналы на почтовых серверах.

АТС организации имела возможность, позволяющую определять номер внешнего телефона, с которого поступил звонок. Эта возможность известна как АОН (автоматическое определение номера). Изучение информации о номерах телефонов в часы, когда происходили несанкционированные изменения на почтовом сервере, позволило установить, что звонили только по номерам, на которых были установлены автоответчики или факсы - ни на один из номеров с установленными на них модемами не было звонка.

Странно.

Хорошо, модем может и сам позвонить. Дальнейшее исследование исходящих звонков в то же самое время выявило, что был исходящий звонок по домашнему номеру телефона почтового администратора, а также другому номеру, который также находился в доме, где живет почтовый администратор. По внутреннему номеру, с которого был произведен звонок, было установлено, что звонок был организован одним из персональных компьютеров в отделе автоматизации. Исследование этого компьютера показало, что в тот день, когда почтовый администратор был наказан, на этом компьютере была установлена программа PC AnyWhere фирмы Symantec. Более того, этот компьютер не использовался никем из отдела автоматизации, так как его хозяин находился в полугодовой командировке за границей. Углубленный анализ телефонных звонков с/на этот внутренний номер выявил, что в несколько предыдущих недель с него звонили только по домашнему номеру почтового администратора.

Программа для удаленного доступа вела журнал всех подключений к компьютеру. Никаких паролей для входа не устанавливалось, поэтому получить удаленный доступ мог любой, кто установил себе клиентскую часть программы. Была произведена проверка установить клиентскую часть программы удаленного доступа на машину консультанта и успешно проведен тестовый сеанс удаленного подключения к этой машине. Таким образом удаленный пользователь мог получить доступ ко всей сети организации.

Для сбора улик нужно было обследовать домашний компьютер почтового администратора, чтобы получить достоверную информацию о том, что именно он устанавливал соединение с сетью по телефону через компьютер уехавшего ученого, и что именно он модифицировал журналы почтового сервера и его конфигурацию. Нужно было получить ордер на обыск, так как в противном случае осмотр компьютера был бы незаконным.

Стало известно, что компьютер, установленный дома у почтового администратора, принадлежит отделу автоматизации. Но если попросить его вернуть компьютер официально, вся информация на нем окажется уничтоженной, и никаких улик не останется. Но если сказать почтовому администратору, что его машину будут обновлять, то есть шанс, что он сам принесет компьютер в учреждение. Так как периодически все компьютеры обновлялись, фамилия почтового администратора была внесена в список, и на следующей неделе он принес машину для обновления. Он скопировал содержимое диска со старой машины на новую и забрал ее домой. После этого была создана резервная копия старого диска на CD-ROM, чтобы гарантировать подлинность данных при представлении их в суде.

Содержимое диска было исследовано, и сразу стало ясно, что на компьютере была установлена клиентская часть программы удаленного доступа, и в его журналах имеются записи о сеансах как раз в то время, когда производились несанкционированные действия на почтовом сервере, а компьютеры, с которыми устанавливалось соединение, находятся во внутренней сети организации и являются как раз теми самыми почтовыми серверами. Была также обнаружена информация о том, что соединение было установлено в ответ на удаленный звонок от компьютера уехавшего ученого.

Вся эта информация была предоставлена почтовому администратору, который после этого сознался, что именно он совершил все это. По законам США он мог быть привлечен к уголовной ответственности за промышленный шпионаж и несанкционированное вмешательство в работу компьютеров, но потери учреждения не были настолько велики, чтобы правоохранительные органы стали заниматься этим делом. Но можно было возбудить гражданский иск - почтовый администратор мог быть обвинен в реальных нарушениях в работе сети учреждения и возможных последствиях этого, и на основании этого против него мог быть возбужден иск на большую сумму, которую он не смог бы заплатить. Чтобы избежать скандала, учреждение уволило его, и он подписал специальный договор, в котором он обязался не сообщать никому, что он совершил, и не пытаться повторить попытки несанкционированного доступа к сети организации, в противном случае против него был бы сразу же возбужден этот гражданский иск.




Содержание  Назад  Вперед