Плащ и кинжал

Учебник для промышленного шпиона

Предисловие для читателей "Jet Info"

В данной статье детально описан процесс кражи коммерческих секретов, стоящих миллиарды долларов. Статья, конечно, задумывалась не как учебник по воровству. Цель ее написания состояла в том, чтобы продемонстрировать важность базовых механизмов безопасности. Почти все упомянутые в статье действия можно предотвратить посредством очень простых контрмер. Например, элементарное наличие политики проверки обоснованности запросов критичной информации, политики, предписывающей связываться с руководителем запрашивающего, позволило бы обнаружить и остановить атаку. Надеюсь, что моя статья послужит своевременным предостережением.

Мне приходилось слышать возражения, что, мол, моя статья все же является учебным пособием по воровству. Думаю, что плохие парни и так знают, как обделывать подобные дела. Типичный пользователь – вот кто не осознает важности таких элементарных мер безопасности, как защита паролей. Он (пользователь) что – то слышал о промышленном шпионаже и других напастях, но считает, что зло обойдет его компьютер стороной, поэтому продолжает жить так, как жил раньше, то есть безалаберно. На самом деле, пользователи находятся на переднем крае обороны и могут легко остановить даже самые изощренные атаки.

Надеюсь также, что моя статья послужит встряской для профессионалов в области безопасности, которые норовят сосредоточиться на технических деталях типа длины ключа шифрования, игнорируя при этом основы. Помните, что даже лучшие криптографические средства и операционные системы не способны помешать пользователю передать кому – то информацию, к которой он имеет доступ.

Начало

Я положил перед сидевшим молча президентом полную инструкцию по изготовлению самого важного из продуктов, разрабатываемых его компанией. Президент продолжал молчать, когда на его стол лег развернутый план разработок компании. Президент откинулся на спинку кресла, когда к стопке добавились несколько документов, описывающих ход переговоров по поводу состояния многомиллионного судебного процесса. Наконец, президент промолвил: «Мы должны благодарить бога, что Вы не работаете на наших конкурентов».

Я украл все это и еще кое – что, будучи временным работником. Думаете, речь идет о компании с третьесортной службой безопасности? Едва ли. Внешняя защита организована превосходно, она включает в себя строгий контроль доступа и механизмы физической защиты. Однако руководитель службы безопасности подозревал, что компания может быть уязвима по отношению к хорошо скоординированным атакам с участием штатных работников. Он обратился ко мне, чтобы проверить, что может украсть целенаправленно действующий информационный вор.

На работу в компании мне отвели три дня. Я украл все!

Задание

На недавней конференции я встретил Генри, руководителя службы безопасности Zed Technologies (название компании, имена действующих лиц и некоторые технические детали изменены) – большой, высокотехнологичной компании с годовым оборотом более 5 миллиардов долларов. Генри знал о моих предыдущих «контрольных проникновениях» и попросил о последующей встрече с целью обсудить возможность тестирования безопасности его компании.

Генри был крайне озабочен открытостью рабочей обстановки в Zed Technologies – открытостью, типичной для исследовательских компаний. Подобно многим большим компаниям, Zed Technologies использовала труд многих временных служащих и контрактников, предоставляя им рабочие места в своем здании. Эти люди получали доступ к различным объемам информации, не подвергаясь всестороннему контролю. Генри волновал потенциальный ущерб, который эти люди могли нанести компании. Чтобы проверить обоснованность своих опасений, он попросил меня осуществить тестовое проникновение, при котором я буду включен в штат компании как временный работник, но на самом деле попытаюсь украсть как можно больше информации.

Мне разрешили делать все, что я сочту нужным, не нанося при этом вреда компании и людям. Во время моих незаконных действий поблизости все время должен был находиться сотрудник отдела информационной безопасности компании, чтобы уладить инцидент, если меня разоблачат. Я получил также разрешение на привлечение внешних сообщников.

Чтобы промоделировать реальную ситуацию, я решил осуществить полномасштабную попытку промышленного шпионажа против компании, используя как технические, так и нетехнические методы. Более конкретно, я остановился на пяти видах атак:

¯ поиск по открытым источникам;

¯ маскарад;

¯ превышение прав доступа;

¯ хакерство штатного сотрудника;

¯ внутренняя координация действий внешних сообщников.

Давайте познакомимся

До встречи с Генри я ничего не знал о Zed Technologies. Мне предстояло в первую очередь познакомиться с компанией, чтобы воровать полезную информацию. В библиотеках Интернет удалось найти невероятное количество сведений. Из баз новостей я узнал о наиболее успешной разработке компании, стоящей миллиарды долларов, если иметь в виду затраченные усилия и потенциальные продажи. Я узнал также имя ведущего специалиста, работающего над проектом, и прочитал несколько статей о текущих продуктах компании и о людях, участвовавших в их разработке.

Другие открытые источники позволили узнать имена руководителей компании, ее финансовое положение, а также получить большое количество общей информации о компании и ее корпоративной философии. Поиск названия компании в группах новостей Интернет выявил десятки ее сотрудников. Письма работников в компьютерные группы новостей рассказали мне об аппаратной и программной среде компании. Письма в прочие группы помогли узнать личные интересы авторов. Другие Интернет – ресурсы позволили выявить некоторых других сотрудников компании и их интересы.

Я запросил сервер имен области сетевого управления Zed Technologies на предмет получения списка всех компьютерных систем вместе с информацией об операционной среде. Данное действие выявило TCP/IP – адреса компании, типы используемых систем и примерное число компьютеров. Помог и информационный бюллетень компании, который я запросил и получил. В нем президент определил шесть наиболее важных разработок и упомянул имена многих сотрудников, работающих над соответствующими проектами. Имея на руках этот «список покупок», я принялся за выполнение следующих этапов моего плана.

Наглая ложь

Поскольку шнырять по компании я мог всего лишь три дня, я вынужден был действовать наглее, чем обычный промышленный шпион. Я попытался осуществить прямолинейный маскарад, решив выдать себя за контролера информационной безопасности. Прежде чем прибыть на работу, я запасся визитными карточками, которые выглядели точно так же, как карточки сотрудников Zed Technologies. На карточках было напечатано мое имя и должность – Контролер Информационной Безопасности. Их изготовили для меня в местной копировальной лавке меньше чем за день, используя в качестве образца подлинную визитную карточку.

По прибытии в здание компании я был обслужен наравне с другими временными служащими. Я заполнил несколько бланков ложной информацией, скрыв свой номер социального страхования, адрес и телефон. Работник отдела кадров выдал мне идентификационную карточку для прохода и провел на мое рабочее место. Я порадовался, обнаружив, что мое имя было заранее включено в телефонный справочник – таковы принятые в компании правила, действующие по отношению ко всем временным служащим.

Сомневаясь в реакции на мою уловку, я начал шпионскую деятельность с телефонного звонка исследователю, работавшему над важнейшим проектом компании. Я сказал ему, что меня только что приняли в штат и что моя основная задача – защита секретов компании. В этой связи мне необходимо выяснить, что в наибольшей степени нуждается в защите, и где хранится соответствующая информация. После обсуждения, длившегося несколько минут, исследователь посоветовал мне обратиться к Стенли – руководителю проекта. Я позвонил Стенли и договорился о встрече с ним.

Играть роль промышленного шпиона было, как говорят в театре, очень волнительно. Меня интересовало, что я буду говорить и делать, если меня поймают. Я почти желал, чтобы кто – нибудь поставил под сомнение мою легенду, и мне пришлось бы проверить свою способность выпутываться. Однако изворачиваться мне не пришлось. Ни один сотрудник не попытался оспорить мою честность.

Встретившись со Стенли, я вновь представился, как только что принятый на работу контролер информационной безопасности. Я вручил ему визитную карточку и заявил, что передо мной поставлена задача защиты корпоративной информации. Я попросил объяснить, какая информация является критичной, и как много людей имеют доступ к ней.

Стенли объяснил, что в длинном ряду важной информации наиболее критичными являются сведения об изготовлении продуктов. Я поинтересовался, существует ли единый источник этих сведений. В ответ он показал книгу с копиями протоколов заседаний проектной группы и с перечнем лиц, получающих эти протоколы. Я нагло попросил сделать мне копии. Стенли не только передал мне полную копию книги, но и добавил меня в список рассылки протоколов.

Стенли оказал мне еще одну услугу – он рассказал, что представитель правительства в компании и администратор проекта вместе собрали сводную информацию о проекте, и посоветовал поговорить с ними. Я так и сделал. Закончив разговор со Стенли, я вернулся к себе в кабинет и договорился о встрече с Марком – представителем правительства.

С Марком я снова использовал фальшивую визитную карточку и байку про работу в отделе информационной безопасности. Хотите верьте, хотите нет, мне начало надоедать играть роль администратора безопасности, расспрашивающего людей об обработке и хранении критичной информации. Тем не менее, я заставлял себя не выходить из образа и вести беседу о массе мелких деталей. Но, как говорится, терпение и труд все перетрут. Мы с Марком подробно обсудили упорядочение документации правительственного представительства, в том числе типы подготавливаемых документов, расположение соответствующих файлов в компьютерной сети компании, работу группы, отвечающей за резервное копирование этих файлов, и имя сотрудника, обеспечивающего сохранность информации. Марк даже упомянул об одном особенно интересном для меня документе, содержащем полную спецификацию процесса производства самого важного продукта компании.

Я вновь вернулся к себе в кабинет и потратил некоторое время на изучение протоколов заседаний исследовательской группы, переданных мне Стенли. Среди изобилия конфиденциальной информации я обнаружил настоящий подарок в виде записки от Марка, правительственного представителя. В этой записке Марк называл место, где расположен проект документа, представляемого американскому правительству. В следующем предложении сообщался пароль, используемый для доступа к документу.

Я не мог поверить своим глазам. Два предложения дали мне ключ к документу, содержащему всю технологическую информацию о проекте, являвшемся моей главной целью. Я сел за компьютер и без проблем добрался до документа и скопировал его. Тем самым я уже украл информации больше чем на миллиард долларов, если учитывать усилия, затраченные компанией, и потенциальные продажи.

Мое изумление еще возросло, когда в том же каталоге, где я только что нашел подлинный бриллиант, располагались и словно сами просили их украсть аналогичные документы, описывающие еще две важные разработки компании. К этому моменту, менее чем за день, я скомпрометировал три важнейшие разработки Zed Technologies. На основании добытой информации я мог сам начать производство уникальных продуктов. Воодушевленный успехом, я начал исследовать другие файловые системы, не защищенные паролями. Я пробовал только те каталоги, где, как я надеялся после встреч со Стенли и Марком, могла располагаться критически важная информация. Я не хотел, чтобы ненужные документы дезорганизовали мою работу. За несколько часов я получил более 125 мегабайт данных.

На следующий день я встретился со Стивом, администратором второго по важности проекта компании. К этому моменту все сомнения в успехе моей миссии улетучились. Пришло время заняться информацией, которую создавали и использовали управленцы.

Снова заявив, что мне нужно осмотреть все, за что я отвечаю как член группы информационной безопасности, я попросил Стива воспроизвести процесс доступа к его файлам. Я попытался подсмотреть вводимый им пароль, но с моего места клавиатуры не было видно. Стив подчеркнул важность квартальных управленческих отчетов, которые, по его словам, содержали такую крайне конфиденциальную информацию, как технологические детали. Пока Стив говорил, я заметил, что в двери его кабинета нет замка. Я не мог не заметить также лежавшей на столе коробки с дискетами с надписью "Управленческие отчеты".

Вернувшись в кабинет, я немедленно попытался войти в файловую систему Стива. Я попробовал несколько употребительных паролей и очень развеселился, когда один из них подошел и я получил желаемый доступ. Как оказалось, каждый управленец отвечает за несколько проектов, поэтому в файлах Стива содержались детали многих разработок.

Мое ликование достигло небывалых высот, когда я обнаружил, что все управленцы используют для хранения своих файлов одну файловую систему. Дискеты со стола Стива оказались не нужны. Передо мной лежали управленческие отчеты по всем проектам, значившимся в моем «списке покупок». Я выиграл джекпот.

Позже я узнал, что скомпрометировал все важнейшие разработки компании, кроме одной, а проработал я всего полтора дня. Никто не заметил ничего подозрительного. Никто не сорвал мой покров. Настоящий промышленный шпион улетел бы из города ближайшим рейсом.

Вечерние похождения

Маскарад был только одним из намеченных видов атаки. Как Вы, возможно, помните, компания выдала мне идентификационную карточку для прохода. Отработав первый день в Zed Technologies и превосходно поужинав, я вернулся в офис, воспользовавшись моей карточкой.

В здании работали несколько уборщиков, когда я принялся высматривать незапертые кабинеты, шкафы и ящики. Меня интересовали также компьютеры, не защищенные, вопреки требованиям политики безопасности компании, запирающей утилитой. Миновать уборщиков было невозможно, поэтому я решил и не пытаться скрывать свое присутствие. Это было рискованно, но зато уборщики могли сделать вывод, что я не делаю ничего такого, что стоило бы скрывать.

В первой предварительно намеченной мной области, где располагались юридический и лицензионный отделы, я раздобыл документы о продвинутой разработке, включая анализ достоинств и недостатков каждого из потенциальных лицензиатов. Я нашел также хороший материал по отложенным судебным делам, в том числе сведения о переговорах по поводу хода дел. Наконец, моей добычей стал полный, но еще не подшитый текст патента.

Я перешел во вторую из намеченных областей, которую занимали разработчики. Здесь, прямо на столах, мне попались отчеты о проблемах, присущих создаваемым продуктам, и другие конфиденциальные материалы. В незапертых шкафах я нашел технологическую информацию по двум дополнительным проектам, стоивших сотни миллионов долларов, если считать сделанные инвестиции и потенциальные продажи.

Один из кабинетов, которые я посетил, больше походил на свалку. Бумаги были разбросаны по всей площади, а два компьютера были оставлены без запирающей утилиты. Мониторы были выключены, но я просто включил один из них и увидел, что сотрудник не вышел из программы просмотра почты. К счастью для меня, этот человек предпочитал сохранять электронные письма. Я стал просматривать корреспонденцию, пока не наткнулся на основной график разработок – один из самых конфиденциальных документов компании.

Шнырянье в нерабочее время может показаться старомодным и примитивным, но эта деятельность позволила мне добыть огромное количество критичной информации. Шпионаж предполагает использование простых, но эффективных методов. В данном случае один вечер работы продемонстрировал выгоду от элементарного поиска незащищенной информации. Я не вскрывал ни один замок и не оставил никаких следов насильственного проникновения.

Хакерство штатного сотрудника

Я принес с собой в Zed Technologies переносной компьютер фирмы Sun, специально сконфигурированный для хакерских действий против компании. При конфигурировании я использовал информацию, почерпнутую мной из открытых источников. Я установил на компьютер Интернет – сканер компании Internet Security Systems Inc. и множество хакерских инструментов, помогающих «взламывать» системы, используя бреши, выявленные сканером. Придя в свой кабинет в Zed Technologies, я отключил от сети Ethernet офисный ПК, вместо которого присоединил переносной компьютер Sun.

В первую очередь я «напустил» Интернет – сканер на ключевые компьютерные системы компании, и, как и следовало ожидать, он выявил известные слабости в нескольких экспортируемых файловых системах, которые, как мне было известно, содержали критичную информацию. Затем, после сканирования стандартного набора входных имен, настал черед подбора паролей. Три входных имени были мгновенно скомпрометированы.

Я смонтировал экспортируемые файловые системы на свой компьютер и попытался скопировать себе критичные каталоги. Большую часть мне скопировать удалось, но меня задело, что доступ к части файлов был ограничен. Я вошел в одну из удаленных систем, используя одно из скомпрометированных входных имен, и скопировал туда заготовленную хакерскую программу. Я не особенно надеялся на успех этой акции, но все же запустил программу – вдруг сработает?

Я буквально подскочил на стуле, когда на экране появилось приглашение "#" – я получил права суперпользователя. Теперь единственное, что ограничивало меня, – это емкость дисков моего компьютера. Я скопировал все, что казалось важным. Воспользовавшись еще несколькими потайными ходами, я вошел и в другие системы. Таким манером мне удалось получить более 200 мегабайт информации, представлявшей чрезвычайную ценность. Слабость, которую я использовал, была выявлена недавно, однако заплата для ее устранения уже была доступна. Компания Zed Technologies немного задержалась с ее установкой. В следующий раз им придется поторопиться.

Хакерство с друзьями

Во время моих маскарадных действий, когда я выдавал себя за сотрудника службы информационной безопасности, я узнал, что в Zed Technologies для аутентификации при удаленном доступе используются интеллектуальные карты. Я раздобыл бланк для заказа таких карт, подделал подпись администратора безопасности и убедил секретаря обойти все необходимые инстанции. Тем же манером я запросил пейджер. Все это требовалось мне для заключительной атаки, которую я должен был вести во взаимодействии с внешними сообщниками.

Воспользовавшись услугами курьера, я отправил карту и сопутствующее программное обеспечение своим сообщникам, предоставив им тем самым удаленный доступ к Novell'овской сети компании. По телефону я сообщил им свое входное имя и пароль для сети компьютеров Sun, в которую я имел доступ как временный сотрудник. От меня сообщники узнали телефонный номер, обслуживаемый модемом; ранее этот номер сообщил мне один из системных администраторов. Теперь мои бойцы могли скомпрометировать и сеть компьютеров Sun.

Обращение к серверу имен, выполненное мной до начала работы в Zed Technologies, позволило узнать, что в компании используется большое количество Sun – совместимых и PC – совместимых компьютеров. Зная это, я запасся соответствующим хакерским инструментарием и снабдил им своих сообщников. Теперь пришла пора пустить его в ход.

Мои сообщники начали с того, что скачали файл паролей из сети Sun – компьютеров и «напустили» на него программу Crack подбора паролей. Таким образом удалось узнать примерно 10% паролей. Скомпрометированные входные имена и пароли сообщники передали мне по факсу, после чего я упорядочил полученный список по степени важности пользователей, воспользовавшись компьютерным справочником для определения отдела по входному имени сотрудника.

Содержимое ответного факса, направленного мной, составили упорядоченный список входных имен и ключевые слова, позволяющие выявить критичную информацию. Сообщники произвели поиск в каталогах важнейших пользователей и проникли в некоторые другие компьютерные системы компании, которые выбрали по своему усмотрению. Средства удаленного доступа по коммутируемым линиям, спроектированные для защиты от НСД, не могли остановить авторизованных пользователей.

Один из сообщников сосредоточился на компрометации PC – систем. Используя интеллектуальную карту, он получил доступ по телефонным линиям к внутренней сети. Затем он запустил программу выявления слабостей в нескольких зонах, которые я определил как наиболее ценные. Из атакуемых областей он скопировал большое количество информации.

Координация действий штатным сотрудником стала ключом к успеху нашей деятельности. Даже если обычный внешний злоумышленник сможет преодолеть первую линию обороны (что маловероятно), он не сможет узнать, где искать критичную информацию. Компьютеры компании хранят более терабайта данных, из которых только гигабайт можно считать конфиденциальным. Возможно, размер подлинно критичной информации с технологическими деталями производственных процессов не превышает мегабайта. Сам по себе компьютерный доступ мало что значит; важен доступ к конкретной информации.

Некоторые выводы

По прошествии трех дней, как и планировалось, я оставил временную работу в Zed Technologies. Я добыл более 300 мегабайт конфиденциальных данных. У меня в руках была детальная информация о технологии производства пяти наиболее важных продуктов компании с суммой потенциальных продаж в миллиарды долларов. Кроме того, я получил большое количество информации практически обо всех новых разработках. Попади она к конкурентам, доходы компании могли резко сократиться. Судя по объему добытой мной информации, весьма вероятно, что у меня в руках оказалась технология производства большинства продуктов компании, но с уверенностью заявить об этом можно было только после тщательного изучения наворованного.

Пока я действовал, никто не заметил ничего подозрительного. Несмотря на мои грубые методы, никто не обратил внимания на то, как я компрометирую важнейшие разработки компании.

Важно отметить, что я ни в коей мере не исчерпал арсенал настоящих промышленных шпионов. Мне это было попросту не нужно. Я не пытался устанавливать «жучки» или прослушивать телефонные линии. Я не вербовал других сотрудников и не копался в мусорных корзинах. Я потратил очень мало времени и денег; планирование и осуществление реальной атаки заняло бы несколько месяцев, а в «дело» вложили бы миллионы долларов.

Многие читатели могут подумать, что Zed Technologies – это компания разгильдяев, безопасность в которой находится на низком уровне. На самом деле, скорее верно обратное. Тот факт, что руководство решило провести описанный тест, доказывает заботу компании о надежной защите критичной информации. К сожалению, в Zed Technologies уделяли внимание только внешнему рубежу обороны. Как только злоумышленник становится штатным работником, внешняя защита перестает действовать, а корпоративная информация подвергается очень серьезному риску.

Контакты:

Эл. почта: genrih-lemke@mail.ru

КОММЕРЧЕСКАЯ РАЗВЕДКА

Ни шагу без разведки - закон войны