Jak dostać się do bazy danych FBI

Tylko sześciu godzin potrzebował niezależny audytor systemów bezpieczeństwa informatycznego, aby uzyskać dostęp do głównej bazy danych kryminalnych FBI.

Łataj dziurę póki gorąca

Ten łańcuch przyczynowo-skutkowy jest doskonałym przykładem dlaczego testowanie zabezpieczeń systemów IT staje się coraz istotniejszym aspektem pracy specjalistów IT. Przypadek ten nie jest odosobniony i obrazuje potrzebę regularnego badania spójności i skuteczności wykorzystywanych rozwiązań. Uzyskanie nieuprawnionego dostępu do systemu bazodanowego FBI było możliwe w efekcie szeregu nieprawidłowości, które mogłyby zostać usunięte w łatwy sposób gdyby zastosować odpowiednią politykę bezpieczeństwa.

Według Chrisa Goggansa przed potencjalnym włamaniem uchroniłaby m.in. regularna aktualizacja oprogramowania, wymuszenie stosowania odmiennych haseł na poszczególnych komputerach oraz podział sieci lokalnej na mniejsze, najlepiej niezależne, segmenty. Haker sugeruje również zastosowanie wewnętrznych zapór i całkowite oddzielenie komputerów posiadających dostęp do systemu FBI od reszty środowiska IT.

Podobne nieprawidłowości zauważa m.in. Chris Nickerson z Lares Consulting. Jak sam mówi, jest zadziwiony prostotą większości ataków hakerów. "Wielu z nich dałoby się w prosty sposób zapobiec, zwłaszcza w czasach, kiedy tyle mówi się o zgodności z przepisami i kontroli wewnętrznej. Zasadniczo wystarczyłoby tylko respektować zasady wynikające z ustawy Sarbanes-Oxley" - uważa Chris Nickerson. Według niego, w związku z narastającymi zagrożeniami związanymi z bezpieczeństwem IT, firmy powinny skupić się na: zapewnieniu aktualności oprogramowania i wzmocnieniu zabezpieczeń poszczególnych komputerów. "Służby IT powinny regularnie instalować najnowsze poprawki i aktualizacje. Powinny również przywiązywać szczególną wagę do wyłączania nieużywanych usług i zamykania zbędnych portów na wszystkich komputerach" - dodaje.

Zagrożeniem bywają również aplikacje sieciowe. Coraz popularniejsze programy obsługiwane za pośrednictwem przeglądarki internetowej mogą ułatwiać nieautoryzowany dostęp do poufnych informacji. Brad Johnson, specjalista ds. bezpieczeństwa IT firmy konsultingowej SystemExperts, uważa, że większość aplikacji internetowych jest tworzona w pośpiechu. "W związku z tym programiści nie przywiązują zbyt wielkiej wagi do bezpieczeństwa informacji wykorzystywanych przez aplikacje internetowe" - mówi. Według niego tylko nieliczne firmy decydują się na audyt bezpieczeństwa aplikacji internetowych. Jednocześnie ponad połowa z nich zawiera proste błędy, umożliwiające przechwycenie poufnych danych przez osoby niepowołane.

Eksperci zalecają również szersze wykorzystywanie gotowych narzędzi umożliwiających skontrolowanie bezpieczeństwa sieci. Ich zdaniem ułatwiają one uzmysłowienie sobie jak niewielką wiedzą trzeba dysponować, aby uzyskać niepowołany dostęp do środowiska IT.

Jutro przedstawimy zasady i aplikacje pozwalające na zabezpieczenie się przed takimi włamaniami.