Информационная безопасность


Расследование и его результаты - часть 3


Исследование параметров протокола на плохо работающих системах выявило, что это поле устанавливалось в 1 в одном из файлов, использовавшихся для конфигурирования протокола после перезагрузки. Другие системы не пострадали сразу же из-за того, что после перезагрузки они не считывали конфигурационные файлы и не меняли значение поля "ВРЕМЯ ЖИЗНИ".

Дата последнего изменения файлов соответствовала следующему дню после увольнения сетевого администратора. Дальнейшее расследование показало, что для распространения измененных файлов по системам пользователей были использованы средства системного администрирования. Журналы модемного пула показали наличие сеансов этого сетевого администратора в ночь после увольнения и на следующий день. Сразу же после этих сеансов начались проблемы у пользователей.

К сожалению в данной ситуации не было абсолютно никакого способа доказать, что именно сетевой администратор был причиной всех бед, хотя было ясно, что только он единственный из тех, кто имел доступ к системе администрирования, обладал необходимой квалификацией для совершения таких действий. Недостаточно для возбуждения судебного иска, но достаточно для установления причин произошедшего.

Средства системного администрирования были сконфигурированы так, что на всех пользовательских системах было установлено новое значение "ВРЕМЯ ЖИЗНИ" и они были обязательно перегружены на следующий день. После этого все заработало. В то же самое время были изучены все установки сетевых программ на предмет выявления аналогичных вредных установок. Было обнаружено, что на нескольких компьютерах ряд параметров также были изменены, что со временем также привело бы к их неработоспособности - они были исправлены. Изучение установок маршрутизаторов, концентраторов и других сетевых компонент также выявило факты модификации загрузочных модулей операционной системы и других файлов - эти файлы также были восстановлены.

Фактически, не зная никаких паролей на компьютерах, а имея только один аккаунт , сетевой администратор скомпрометировал всю сеть и модифицировал ее для вывода из строя сетевых компонентов.




- Начало -  - Назад -  - Вперед -