Информационная безопасность


Расследование и его результаты - часть 2


Отдел телекоммуникаций, который отвечал за АТС организации, дал необходимую информацию. Во-первых имелось около 2400 телефонных розеток для подключения цифровых телефонов. Во-вторых, было установлено около 900 линий для факсов, модемов и пейджеров. Проверка их использования показала, что сотрудниками использовалось свыше 500 переносных компьютеров, все они имели встроенные модемы и имелось много модемов, постоянно стоящих в тех или иных комнатах в зданиях. Самыми популярными вариантами использования модемов были исходящие звонки для подключения к различным информационным службам и отправка факсов. Некоторые пользователи также подключались с помощью модемов к станциям на их рабочих местах из дома для удаленного доступа к ним и сети.

Большое число пользователей установили у себя средства удаленного управления компьютером, такие как Rapid Remote, PC Anywhere и Carbon Copy. С помощью этих программ удаленный пользователь мог получить доступ к системе в корпоративной сети, как будто бы он сидел за своей рабочей станцией (правда несколько медленнее). Они также удаленно монтировали диски и получали доступ к другим сетевым службам во внутренней сети от имени своей машины на рабочем месте путем удаленного подключения к ней через модем. Быстрое сканирование блока телефонных номеров организации программой, называемой "боевым диалером", которая последовательно пытается позвонить по каждому номеру из указанного диапазона, выявляет номера, по которым отвечают модемы (в ответ слышны тональные сигналы), и сообщает об этом, выявило что к 50% из 900 линий были подключены модемы и к 200 из них были подключены компьютеры с установленным на них программным обеспечением для удаленного доступа. Это означало, что при правильной настройке программы любая из этих 200 систем могла быть использована для установления удаленного соединения с сетью в обход модемного пула и межсетевого экрана. Это подключение не было запротоколировано и не подпадало под контроль отдела автоматизации.

Так как имелось подозрение, что именно почтовый администратор в ответе за неполадки с почтой, было логичным проверить способы, которыми он мог воспользоваться для получения удаленного доступа к одной из этих 200 машин.


- Начало -  - Назад -  - Вперед -