Корпоративный почтовый сервер был скомпрометирован чтением чужих электронных писем сотрудником организации
Введение
В этой истории рассказывается о внутренней сетевой атаке с использованием знаний о ней, организованной сотрудником, которому доверяли, против почтового сервера, использовавшегося верхним звеном управления организацией. В ее ходе были прочитаны чужие письма, что вызвало проблемы у руководства организацией и привело к раскрытию важной персональной информации тем сотрудникам, которым она не должна была быть известна.
Предыстория атаки
Работа группы информационных служб в исследовательском учреждении была почти полностью парализована из-за того, что руководство организации назначило ее начальником неправильного человека. Наконец, после смены ряда руководителей организации на должность начальника этой группы был назначен опытный специалист, в задачи которого входило восстановить ее работоспособность.
В процессе перестановки кадров на протяжении нескольких месяцев один из сотрудников был назначен на должность системного администратора ряда критических NT серверов и двух основных почтовых серверов на базе CC:Mail, которые обслуживали верхнее звено руководства, ряд других важных лиц из технического персонала в организации и начальников ряда других отделов организации. Этот человек формально не обучался администрированию этих систем, но после назначения на эту должность серьезно занялся самообразованием и прочитал много литературы об используемых на серверах программах. Хотя он очень старался, он все же допустил ряд неизбежных ошибок в работе, которые вызвали сбои в работе сети и некоторый беспорядок, когда ряд писем были получены людьми, которым они не предназначались (в одном случае список новых сотрудников, которым был ограничен доступ к ресурсам, был случайно получен несколькими лицами из этого списка).
Когда новый НОА узнал об этих случаях, он решил, что данный человек недостаточно компетентен в администрировании, и передал часть его обязанностей более квалифицированным новым работникам. Он также решил, что провинившийся сотрудник должен пройти обучение на курсах по администрированию, после чего он вскоре снова сможет вернуться к выполнению всех своих обязанностей.
Но прошло шесть месяцев, но провинившегося сотрудника так и не отправили на курсы, а в его личной жизни возник ряд проблем. Это привело к тому, что он озлобился на НОА, и несколько раз между ними возникали конфликты. Один из конфликтов, как раз предшествующий описанным ниже событиям, возник из-за того, что НОА не был согласен с тем, как этот инженер решил одну поставленную перед ним задачу. Из-за того, что НОА посчитал такие действия сотрудника неповиновением ему, он лишил этого инженера зарплаты на неделю (то есть работник не приходит на работу и ему не платят деньги). Это крайне разозлило инженера и враждебно настроило против НОА.
Что произошло…
Инженера видели на его рабочем месте на следующий день после начала срока наказания, и он сказал, что пришел только забрать какие-то бумаги, нужные ему для написания большого отчета. Когда инженер был в офисе, он попросил дать ему возможность удаленного доступа к корпоративной сети из дома на время наказания, чтобы в случае аварии он мог помочь решить проблемы прямо из дома. Такой доступ ему был предоставлен. Для этого другой администратор создал аккаунт для подключения по модему в системе управления модемным пулом организации (блок Shiva) и назначил для него полномочия.
Двумя днями позже конфиденциальные письма об этом инженере НОА начальнику отдела кадров были получены всеми сотрудниками отдела автоматизации. Кроме этого, все они получили интимные письма между НОА и его подружкой. А ряд конфиденциальных писем отдела кадров был получен лицами, о которых шла речь в этих письмах, что вызвало панику среди сотрудников организации и посеяло сомнения в способности отдела автоматизации администрировать "такую простую вещь, как почтовый сервер".
Когда этого инженера спрашивали о причинах возникших проблем, он говорил всем, что его в это время не было в офисе, и он не имел в это время доступа к сети по модему. Журналы модемного пула показали, что в то время, когда произошло происшествие, от этого инженера не было входящих звонков и подключений по модему через модемный пул.
Расследование и его результаты
Расследование началось с анализа журналов и изменений в конфигурации почтовых серверов CC:Mail. Были обнаружены явные следы уничтожения части информации в журналах, а в то время, когда имели место случаи "случайного" получения писем не теми адресатами, в журналах не было информации вообще - обычно эти случаи имели место ранним утром. Расследование также показало, что дата-время создания файлов с полученными не теми людьми письмами попадают в периоды отсутствия информации в журналах, что доказывало, что на самом деле что-то происходило в это время.
Дальнейшее изучение журналов сервера доступа показало, что в то время, когда имела место подчистка журналов, удаленного доступа не было. Проверка модемного аккаунта почтового администратора показала, что для него не было никаких сеансов вообще. Аналогичные проверки журналов межсетевого экрана для Интернета также не выявили никаких попыток удаленного доступа к сети. Также было установлено, что никаких модификаций журналов межсетевого экрана не производилось.
Проверка физического доступа в здание, где находится почтовый сервер, позволила установить, что в серверную никто не входил, кроме операторов, которые должны были находиться в комнате во время дежурства и других лиц, кто должен был быть в серверной для выполнения каких-либо работ. В то время, когда была произведена модификация журналов, в здании не было никого, кто мог бы иметь причины получить доступ к почтовому серверу. В то время, когда кто-то изменил конфигурацию почтовых серверов, что и вызвало получение писем не теми людьми, не было обнаружено удаленного доступа к сети, ни физического доступа к серверам.
Опрос сотрудников отдела автоматизации позволил установить, что пользователи сети могли попросить установить с разрешения своего начальника отдела у себя на рабочем месте телефон в одном из зданий исследовательского центра, в котором была проложена корпоративная сеть. Дальнейший опрос обнаружил, что эти телефоны не контролировались отделом автоматизации, и что не имелось средств проверки того, где установлены телефоны и как они используются.
Отдел телекоммуникаций, который отвечал за АТС организации, дал необходимую информацию. Во-первых имелось около 2400 телефонных розеток для подключения цифровых телефонов. Во-вторых, было установлено около 900 линий для факсов, модемов и пейджеров. Проверка их использования показала, что сотрудниками использовалось свыше 500 переносных компьютеров, все они имели встроенные модемы и имелось много модемов, постоянно стоящих в тех или иных комнатах в зданиях. Самыми популярными вариантами использования модемов были исходящие звонки для подключения к различным информационным службам и отправка факсов. Некоторые пользователи также подключались с помощью модемов к станциям на их рабочих местах из дома для удаленного доступа к ним и сети.
Большое число пользователей установили у себя средства удаленного управления компьютером, такие как Rapid Remote, PC Anywhere и Carbon Copy. С помощью этих программ удаленный пользователь мог получить доступ к системе в корпоративной сети, как будто бы он сидел за своей рабочей станцией (правда несколько медленнее). Они также удаленно монтировали диски и получали доступ к другим сетевым службам во внутренней сети от имени своей машины на рабочем месте путем удаленного подключения к ней через модем. Быстрое сканирование блока телефонных номеров организации программой, называемой "боевым диалером", которая последовательно пытается позвонить по каждому номеру из указанного диапазона, выявляет номера, по которым отвечают модемы (в ответ слышны тональные сигналы), и сообщает об этом, выявило что к 50% из 900 линий были подключены модемы и к 200 из них были подключены компьютеры с установленным на них программным обеспечением для удаленного доступа. Это означало, что при правильной настройке программы любая из этих 200 систем могла быть использована для установления удаленного соединения с сетью в обход модемного пула и межсетевого экрана. Это подключение не было запротоколировано и не подпадало под контроль отдела автоматизации.
Так как имелось подозрение, что именно почтовый администратор в ответе за неполадки с почтой, было логичным проверить способы, которыми он мог воспользоваться для получения удаленного доступа к одной из этих 200 машин. Было также логично предположить, что этот доступ имел место как раз тогда, когда были очищены журналы на почтовых серверах.
АТС организации имела возможность, позволяющую определять номер внешнего телефона, с которого поступил звонок. Эта возможность известна как АОН (автоматическое определение номера). Изучение информации о номерах телефонов в часы, когда происходили несанкционированные изменения на почтовом сервере, позволило установить, что звонили только по номерам, на которых были установлены автоответчики или факсы - ни на один из номеров с установленными на них модемами не было звонка.
Странно.
Хорошо, модем может и сам позвонить. Дальнейшее исследование исходящих звонков в то же самое время выявило, что был исходящий звонок по домашнему номеру телефона почтового администратора, а также другому номеру, который также находился в доме, где живет почтовый администратор. По внутреннему номеру, с которого был произведен звонок, было установлено, что звонок был организован одним из персональных компьютеров в отделе автоматизации. Исследование этого компьютера показало, что в тот день, когда почтовый администратор был наказан, на этом компьютере была установлена программа PC AnyWhere фирмы Symantec. Более того, этот компьютер не использовался никем из отдела автоматизации, так как его хозяин находился в полугодовой командировке за границей. Углубленный анализ телефонных звонков с/на этот внутренний номер выявил, что в несколько предыдущих недель с него звонили только по домашнему номеру почтового администратора.
Программа для удаленного доступа вела журнал всех подключений к компьютеру. Никаких паролей для входа не устанавливалось, поэтому получить удаленный доступ мог любой, кто установил себе клиентскую часть программы. Была произведена проверка установить клиентскую часть программы удаленного доступа на машину консультанта и успешно проведен тестовый сеанс удаленного подключения к этой машине. Таким образом удаленный пользователь мог получить доступ ко всей сети организации.
Для сбора улик нужно было обследовать домашний компьютер почтового администратора, чтобы получить достоверную информацию о том, что именно он устанавливал соединение с сетью по телефону через компьютер уехавшего ученого, и что именно он модифицировал журналы почтового сервера и его конфигурацию. Нужно было получить ордер на обыск, так как в противном случае осмотр компьютера был бы незаконным.
Стало известно, что компьютер, установленный дома у почтового администратора, принадлежит отделу автоматизации. Но если попросить его вернуть компьютер официально, вся информация на нем окажется уничтоженной, и никаких улик не останется. Но если сказать почтовому администратору, что его машину будут обновлять, то есть шанс, что он сам принесет компьютер в учреждение. Так как периодически все компьютеры обновлялись, фамилия почтового администратора была внесена в список, и на следующей неделе он принес машину для обновления. Он скопировал содержимое диска со старой машины на новую и забрал ее домой. После этого была создана резервная копия старого диска на CD-ROM, чтобы гарантировать подлинность данных при представлении их в суде.
Содержимое диска было исследовано, и сразу стало ясно, что на компьютере была установлена клиентская часть программы удаленного доступа, и в его журналах имеются записи о сеансах как раз в то время, когда производились несанкционированные действия на почтовом сервере, а компьютеры, с которыми устанавливалось соединение, находятся во внутренней сети организации и являются как раз теми самыми почтовыми серверами. Была также обнаружена информация о том, что соединение было установлено в ответ на удаленный звонок от компьютера уехавшего ученого.
Вся эта информация была предоставлена почтовому администратору, который после этого сознался, что именно он совершил все это. По законам США он мог быть привлечен к уголовной ответственности за промышленный шпионаж и несанкционированное вмешательство в работу компьютеров, но потери учреждения не были настолько велики, чтобы правоохранительные органы стали заниматься этим делом. Но можно было возбудить гражданский иск - почтовый администратор мог быть обвинен в реальных нарушениях в работе сети учреждения и возможных последствиях этого, и на основании этого против него мог быть возбужден иск на большую сумму, которую он не смог бы заплатить. Чтобы избежать скандала, учреждение уволило его, и он подписал специальный договор, в котором он обязался не сообщать никому, что он совершил, и не пытаться повторить попытки несанкционированного доступа к сети организации, в противном случае против него был бы сразу же возбужден этот гражданский иск.
Решение проблемы
Следующие меры были приняты, чтобы избежать повторения подобных случаев в будущем:
- Было внесено стратегическое изменение в руководящие документы организации в отношении того, кто может запросить установку и телефона и причин, которые считаются достаточными. Основную массу пользователей заставили использовать для удаленных соединений способы, которые рекомендовал отдел автоматизации. Существующие телефонные линии стали постепенно отключаться, и поэтому со временем все пользователи будут подключаться только так, как это разрешил отдел автоматизации.
- Была усилена аутентификация на почтовых серверах, чтобы точно идентифицировать того, кто выполняет системное администрирование на них в то или иное время. Используя смарт-карты, можно точно установить, кто пришел в серверную и работает на том или ином сервере.
- Постепенно устанавливаются дополнительные меры защиты на всех серверах в сети, чтобы можно было фиксировать соединения пользователей с серверами и протоколировать работу пользователей с серверами для проведения ее аудита в дальнейшем.
- Был разработан принципиально новый проект удаленного доступа по телефонным линиям пользователей к сети, после чего он стал внедряться. Было решено использовать комбинацию технологий клиент-сервер на основе создания VPN и управления доступом таких удаленных пользователей с помощью межсетевых экранов, использующихся для работы с Интернетом. Таким образом будет обеспечено безопасное соединение с удаленными пользователями, фильтрация содержимого, аутентификация пользователей и централизованное протоколирование их сеансов - единая методология доступа, которая может использоваться во всей организации.
- Резервные копии журналов АТС стали храниться более 90 дней. Кроме того, был полностью изменен порядок контроля за аналоговыми линиями с целью выявления попыток обойти рекомендованные отделом автоматизации методы удаленного доступа.
- Были рекомендованы конкретные методы и программы для удаленного доступа пользователей, чтобы пользователи могли иметь те же самые возможности, что и раньше, но только через Интернет, только с помощью конкретных программ с возможностями аутентификации, только после обучения правилам безопасного удаленного доступа, и только при условии включения в этой программе функций протоколирования сеансов пользователя (для предоставления в дальнейшем возможности службе компьютерной безопасности провести аудит сеансов пользователя и проверить, не было ли попыток несанкционированного доступа к сети).
Со временем все эти работы значительно улучшили безопасность сети при удаленном доступе к ней.
Заключение
Необходимость доверять системным и сетевым администраторам никуда не исчезнет. Но при изменении тех или иных специфических факторов, доверие к тем или иным людям тоже будет меняться. В современном обществе, где деньги, наркотики, алкоголь и стрессы оказывают большое влияние на работу администраторов, руководство организацией должно учитывать влияние этих факторов в конечном счете на работу критических систем и программ. Только создав единую систему защиты, которая эксплуатируется компетентными специалистами, руководство, которое "ходит по лезвию бритвы", сможет минимизировать разрушения в случае внутренних атак на сеть.
Назад |
Начало |
Вперед