Jak dostać się do bazy danych FBI

Poleć znajomemu Wydrukuj Subskrybuj RSS A A A
2 czerwca 2008 07:23
Piotr Waszczuk

Tylko sześciu godzin potrzebował niezależny audytor systemów bezpieczeństwa informatycznego, aby uzyskać dostęp do głównej bazy danych kryminalnych FBI.

Chris Goggans jest tzw. etycznym hakerem od 1991 r. Od tego czasu włamuje się do systemów IT różnych organizacji. Jako niezależny audytor, w sposób praktyczny zweryfikował skuteczność setek systemów bezpieczeństwa IT, jednak jak sam mówi niespójność zabezpieczeń w jednak z amerykańskich agencji rządowych przerosła jego przypuszczenia. Złamanie zabezpieczeń, a właściwie wykorzystanie luk w oprogramowaniu i polityce bezpieczeństwa okazało się wyjątkowo proste. W efekcie uzyskanie dostępu do kryminalnej bazy danych FBI zajęło mu ok. sześć godzin.

Włam kontrolowany

Podczas rutynowego testu bezpieczeństwa zleconego przez jedną z cywilnych agencji rządowych okazało się, że administrator tamtejszej sieci od pewnego czasu nie aktualizował oprogramowania zainstalowanego na publicznie dostępnym serwerze. Wskutek tego zagrożeniem pozostawał nawet serwer aplikacyjny. Rzecz jasna Chris Goggans skorzystał z jednej z przypadkowo odkrytych luk, co pozwoliło mu na zdobycie kilku kompletów danych dostępowych do komputera. Haker podkreśla, że łaty usuwające znane opinii publicznej błędy były dostępne od dłuższego czasu, zaś zdobycie informacji pozwalających na dostęp do systemu wymagało jedynie znajomości podstaw funkcjonowania systemu operacyjnego.

Następnie okazało się, że część użytkowników wykorzystywała te same hasła na komputerach działających w sieci wewnętrznej. Wykorzystał je również Chris Goggans. Co ważne, jeden z użytkowników dysponował przywilejami administratora lokalnej domeny Windows. Haker również mógł z nich skorzystać i uzyskał niemal nieograniczony dostęp do większości komputerów rządowej organizacji, w tym również do maszyn wewnętrznych służb bezpieczeństwa. Jego uwagę zwrócił jednak fakt, że niektóre z nich były wyposażone w dodatkową kartę sieciową.

Po bliżej analizie skonfigurowanych połączeń sieciowych, okazało się, że do osobnej karty sieciowej przyporządkowane było bezpośrednie, wykorzystujące protokół SNA, połączenie z serwerem FBI. Na stwierdzeniu tego faktu Chris Goggans nie poprzestał. Przy pomocy prostej aplikacji udało mu się wyszukać oprogramowanie, które posiadało dostęp do połączenia z zawierającą informacje na temat spraw karnych, bazą danych National Crime Information Center. "W tej sytuacji wystarczyło skorzystać z prostego keyloggera i cała baza danych NCIC stanęłaby otworem" - twierdzi Chris Goggans.

Oceń artykuł

średnio:  liczba ocen:
12  dalej »

Komentarze

Redakcja Computerworld.pl nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

borderwar

  • ocena: 4
  • IP: 79.186.4.68
  • 02-06-2008, 08:01

Ciekawy art.

  • ocena: brak oceny
  • IP: 77.253.71.244
  • 02-06-2008, 10:30

Art napisalo zycie

fffatman

  • ocena: brak oceny
  • IP: 86.211.233.141
  • 02-06-2008, 12:13

Wyglada na to ze w fbi tez siecia rzadzi siostrzeniec(?), wnuczek(?) prezesa.
Zgroza jak firmy i agencje traktuja bezpieczenstwo.

Marcin

  • ocena: 5
  • IP: 80.48.240.29
  • 03-06-2008, 08:40

@fffatman: skoro wysnuwasz takie wnioski, to chyba mało znasz adminów i firm. Mnie ta sprawa dziwi tylko trochę. Widać, że nawet w miejscach, które powinny zwracać ekstremalną uwagę na kwestie bezpieczeństwa admini zawleni robotą i/lub niekompetentni i/lub nieprzestrzegający procedur, a kontrole wykonywane za rzadko lub wykonywane przez samych adminów... W większości "normalnych" firm to raczej standard.

AAaaaAA

  • ocena: 1
  • IP: 83.15.71.90
  • 03-06-2008, 09:04

a rok temu bodajże, jak testowano e-bankowość w polsce to co może lepiej było? stare biblioteki SSL, certyfikaty niezbyt skomplikowane do podrobienia...Taki sam syf jak w FBI, tutaj art jest też ogólnikowy i wyidealizowany, zaś odnośnie e-bankowosci był cały pełny raport, co i jak było źle;>

Linki sponsorowane

Tysiące ofert pracy z kraju i z zagranicy! Praca.idg.pl
Król netbooków w ekstracenie! Zobacz więcej »
Zamów kartę kredytową Banku Millennium, a otrzymasz prenumeratę PC Worlda Szczegóły »
Prenumerata PC Worlda z DVD za darmo! Sprawdź to! »

Whitepaper Connect

Strona główna | Wiadomości | TOP 200 | Konferencje | Prenumerata | Praca | Archiwum | Download | Lider Informatyki | Forum | Kalendarium | White Papers | Strefy reklamowe

Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME - Reklama - Licencjonowanie treści
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
 © Copyright 2009 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88