[an error occurred while processing this directive]

 

Внутренняя сетевая атака начальника отдела автоматизации его подчиненным

Введение

В этой истории рассказывается об внутренней сетевой атаке против начальника отдела автоматизации большого медицинского учреждения его озлобленным подчиненным.

Предыстория атаки

Начальник отдела автоматизации (НОА) был нанят на работу для замены его неквалифицированного предшественника и начал устранять проблемы, имевшиеся в работе (по сути "вычищать дом"). В ходе этого стало необходимым разработать и внедрить положения о системном и сетевом администрировании, чтобы создать нормальную среду работы для пользователей.

Один из прежних ведущих инженеров отдела автоматизации всячески не хотел проводить в жизнь эти изменения и поначалу пассивно сопротивлялся им. Со временем пассивное сопротивление переросло в невыполнение приказов начальника, за что этому инженеру было сделано замечание, а позднее он был оштрафован за то, что не выполнил конкретные указания начальника отдела автоматизации.

Дополнительной проблемой было то, что этот инженер хорошо разбирался во многих частях функционирования корпоративной информационной системы. Вначале он работал в сервис-центре, затем почтовым и сетевым администратором. Он имел глобальный доступ со всеми привилегиями почти ко всем компьютерным системам в учреждении, а также почти ко всей критической информации и файлам в информационной системе учреждения.

Еще одним важным обстоятельством этого случая было то, что этот человек имел большие проблемы во взаимоотношениях с родственниками и друзьями.

Что произошло…

После нескольких случаев неповиновения и бесед начальника с этим инженером НОА послал начальнику отдела кадров электронное письмо, детально описывающее проблемы с этим инженером, в котором он высказывал пожелание уволить этого подчиненного. На следующее утро после отправки письма этот инженер появился в отделе кадров вместе с письмом в руке и стал жаловаться, что он был оклеветан и т.д., и что НОА плохо относится к нему. Начальник отдела кадров после этого провел ряд совещаний с НОА и начальником службы безопасности, после чего стало понятно, что этот инженер читает конфиденциальные электронные письма НОА и других сотрудников организации.

Почтовый сервер учреждения работал на основе Lotus cc:Mail. Любой, кто имел соответствующий доступ к системе (знал пароль администратора), мог читать электронные письма в почтовых ящиках сервера - это была одна из штатных возможностей почтового администратора. Было вполне вероятно, что инженер читал не только письма НОА, но также письма других сотрудников, которые могли заинтересовать его.

В конце концов инженер сам уволился из компании и сообщил при этом сотрудникам отдела автоматизации и отдела кадров, что он больше не может работать при таком негативном отношении к нему.

В день увольнения он сказал различным сотрудникам отдела автоматизации следующее:

После того, как НОА услышал это, он связался с начальником службы безопасности, который в свою очередь пригласил экспертов (в том числе автора рассказа), чтобы они разобрались в том, что произошло и проверили истинность заявлений инженера.

Расследование и его результаты

Исследование рабочей станции НОА позволило установить следующее:

После исследования рабочей станции уволившегося сотрудника была обнаружена следующая информация:

Дальнейшее изучение журналов и информации из восстановленных файлов позволило установить, что файлы, содержащие порнографические материалы, были вначале загружены из Интернета на рабочую станцию инженера. Затем эти файлы были перенесены на машину НОА. Таким образом уволившийся инженер пытался оклеветать НОА с целью уволить его из учреждения.

Бывший сотрудник обнаружил, что можно легко скопировать эти файлы на машину НОА. Так как на машине НОА была установлена Windows NT, этот инженер незаметно вошел в комнату НОА и сделал его жесткий диск доступным из локальной сети учреждения.

Решение проблемы

Следующие изменения были сделаны для повышения сетевой безопасности:

Заключение

Число персональных атак на верхнее звено управления компаний растет с угрожающей скоростью. Как показано в этом случае, организовать такую атаку на систему начальника крайне легко, если только на ней не установлено специального оборудования и программ для защиты. Также могут потребоваться средства персональной безопасности, такие как персональные пакетные фильтры, аудирование рабочей станции, обучение пользователей и периодическое тестирование защищенности, чтобы можно было гарантировать целостность и защищенность систем, на которых работают люди, занимающие важные посты в организации.

Назад | Начало | Вперед

  [an error occurred while processing this directive]