Jak dostać się do bazy danych FBI
Tylko sześciu godzin potrzebował niezależny audytor systemów bezpieczeństwa informatycznego, aby uzyskać dostęp do głównej bazy danych kryminalnych FBI.
Chris Goggans jest tzw. etycznym hakerem od 1991 r. Od tego czasu włamuje się do systemów IT różnych organizacji. Jako niezależny audytor, w sposób praktyczny zweryfikował skuteczność setek systemów bezpieczeństwa IT, jednak jak sam mówi niespójność zabezpieczeń w jednak z amerykańskich agencji rządowych przerosła jego przypuszczenia. Złamanie zabezpieczeń, a właściwie wykorzystanie luk w oprogramowaniu i polityce bezpieczeństwa okazało się wyjątkowo proste. W efekcie uzyskanie dostępu do kryminalnej bazy danych FBI zajęło mu ok. sześć godzin.
Włam kontrolowany
Podczas rutynowego testu bezpieczeństwa zleconego przez jedną z cywilnych agencji rządowych okazało się, że administrator tamtejszej sieci od pewnego czasu nie aktualizował oprogramowania zainstalowanego na publicznie dostępnym serwerze. Wskutek tego zagrożeniem pozostawał nawet serwer aplikacyjny. Rzecz jasna Chris Goggans skorzystał z jednej z przypadkowo odkrytych luk, co pozwoliło mu na zdobycie kilku kompletów danych dostępowych do komputera. Haker podkreśla, że łaty usuwające znane opinii publicznej błędy były dostępne od dłuższego czasu, zaś zdobycie informacji pozwalających na dostęp do systemu wymagało jedynie znajomości podstaw funkcjonowania systemu operacyjnego.
Następnie okazało się, że część użytkowników wykorzystywała te same hasła na komputerach działających w sieci wewnętrznej. Wykorzystał je również Chris Goggans. Co ważne, jeden z użytkowników dysponował przywilejami administratora lokalnej domeny Windows. Haker również mógł z nich skorzystać i uzyskał niemal nieograniczony dostęp do większości komputerów rządowej organizacji, w tym również do maszyn wewnętrznych służb bezpieczeństwa. Jego uwagę zwrócił jednak fakt, że niektóre z nich były wyposażone w dodatkową kartę sieciową.
Po bliżej analizie skonfigurowanych połączeń sieciowych, okazało się, że do osobnej karty sieciowej przyporządkowane było bezpośrednie, wykorzystujące protokół SNA, połączenie z serwerem FBI. Na stwierdzeniu tego faktu Chris Goggans nie poprzestał. Przy pomocy prostej aplikacji udało mu się wyszukać oprogramowanie, które posiadało dostęp do połączenia z zawierającą informacje na temat spraw karnych, bazą danych National Crime Information Center. "W tej sytuacji wystarczyło skorzystać z prostego keyloggera i cała baza danych NCIC stanęłaby otworem" - twierdzi Chris Goggans.
Oceń artykuł
Komentarze (5)
a rok temu bodajże, jak testowano e-bankowość w polsce to co może lepiej było? stare biblioteki SSL, certyfikaty niezbyt skomplikowane do podrobienia...Taki sam syf jak w FBI, tutaj art jest też ogólnikowy i wyidealizowany, zaś odnośnie e-bankowosci był cały pełny raport, co i jak było źle;>
@fffatman: skoro wysnuwasz takie wnioski, to chyba mało znasz adminów i firm. Mnie ta sprawa dziwi tylko trochę. Widać, że nawet w miejscach, które powinny zwracać ekstremalną uwagę na kwestie bezpieczeństwa admini są zawleni robotą i/lub niekompetentni i/lub nieprzestrzegający procedur, a kontrole są wykonywane za rzadko lub wykonywane przez samych adminów... W większości "normalnych" firm to raczej standard.
Wyglada na to ze w fbi tez siecia rzadzi siostrzeniec(?), wnuczek(?) prezesa. Zgroza jak firmy i agencje traktuja bezpieczenstwo.
Najpopularniejsze
- Ministerstwo Cyfryzacji ma już swoją...
- Microsoft: Kinect dla Windows jeszcze w tym...
- 5 zmian, które mogą zaważyć na...
- Jakie skutki będzie miało wprowadzenie ACTA
- Boni powołał członków Rady Informatyzacji
- Koniec ery nieograniczonego dostępu do...
- Kolejne aresztowania w związku z aferą w...
- ATCA zostało wdrożone w sieci 3G Polkomtela...
- Rejestr Usług Medycznych, czyli największa...
- Nokia w trzy miesiące straciła miliard euro
Rekomendacje
Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
© Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88





