Когда-то Кевин Митник делал невыносимой жизнь корпоративных менеджеров по информационным технологиям, взламывая компьютерные системы. Сегодня у него другая профессия - он помогает защищать сети от хакеров.
Митник, который в прошлом году вышел из тюрьмы после почти пятилетнего заключения, предложил свои рекомендации по защите данных специалистам по ИТ на конференции Giga Information Group Infrastructures for E-Business, посвященной информационной инфраструктуре И-бизнеса.
"Даже если вы купили лучшие продукты защиты, кто-то все равно может взломать сеть, - говорит Митник, на визитной карточке которого значится "консультант по информационной безопасности". - Непреодолимой защиты не существует. Необходимо научиться правильно оценивать риск. Исключить его невозможно".
Митник предложил свой взгляд на психологию хакера, и этот взгляд не внушает оптимизма: "Чем надежнее защищена система, тем больше соблазн". По его мнению, хакерами движет страсть к исследованию сети и "запретным знаниям".
Как утверждает 37-летний Митник, для взлома не обязательно обладать глубокими техническими знаниями. Кто-то может обманом выведать у сотрудника компании пароль или побудить его произвести некие операции с компьютером. Этот метод называется социальной инженерией.
Чем крупнее компания, тем выше ее уязвимость с точки зрения социальной инженерии. Митник замечает, что взломщику легче принять чужую личину в фирме, где не все сотрудники знают друг друга лично.
Он рассказывает, что взломщики, использующие метод социальной инженерии, пытаются наладить контакты с работником компании, завоевать его симпатию или запугать его. Митник рекомендует информировать сотрудников об опасностях социальной инженерии. Записанное на магнитофонную ленту предупреждение, что входящие телефонные звонки прослушиваются, также поможет отпугнуть хакеров.
Как считает Митник, работники не только могут нечаянно разгласить необходимые злоумышленнику сведения, часто они выбирают слишком слабые пароли. Короткие пароли легко разгадываются, а кроме того, служащие часто пишут пароли на бумажках, приклеиваемых к компьютерам.
Митник предлагает компаниям принять следующие меры для снижения риска: использовать программы управления паролями, чтобы помочь работникам выбирать надежные пароли; ограничить срок действия паролей; усовершенствовать процедуру аутентификации, сочетая пароли с биометрической проверкой.
По словам Митника, компаниям необходимо предпринять меры защиты и от другого метода, используемого взломщиками для получения конфиденциальной информации: поиска в мусоре. Измельчение документов, просмотр выбрасываемых бумаг, стирание и уничтожение магнитных носителей - вот способы свести риск к минимуму.
Митник убежден, что в целом для успешной защиты И-бизнеса необходимо убедить сотрудников в важности защиты информации.
Некоторые специалисты по ИТ подозрительно относятся к советам бывшего взломщика, но на Брета Гринстайна, который управляет Web-инфраструктурой крупной корпорации, выступление Митника произвело большое впечатление.
КОММЕНТАРИЙ CRN/REКевин Митник - не исключение. Многие бывшие хакеры стали консультантами по безопасности. Как отмечает Джефф Джонсон, президент и главный управляющий фирмы Metases, специализирующейся в области защиты информации, во многих компаниях "работают любители взлома, которые сменили черные хакерские косынки на белые респектабельные шляпы".
Специалисты российских фирм подчеркивают, что для эффективной защиты недостаточно только технических средств. Необходим комплекс организационно-технических мероприятий (подробнее см. CRN/RE № 18/2000). Как известно, отечественные специалисты, выходцы из так называемых "ящиков", имеют в этой области уникальный опыт.
"Не зная противника, нельзя найти противодействие", - сказал Гринстайн.
Стив Хант, аналитик компании Giga, отмечает, что его компанию много критиковали за приглашение Митника выступить на конференции. "Кевин просто помог открыть нам глаза на реальные опасности", - заявил он.
В свое время Митника обвинили в причинении миллионных убытков технологическим компаниям США, в том числе фирме Motorola. ФБР охотилось за ним три года и арестовало его в 1995 г. В итоге Митник был осужден и признал себя виновным в компьютерном и сетевом мошенничестве, но добавил, что обвинения преувеличены и суд не был справедливым. Он подчеркнул, что ФБР хотело устроить над ним показательный процесс.
Митник сообщил, что получает множество приглашений на работу, но он ограничен в своей деятельности - в связи с освобождением под надзор полиции ему запрещено использовать компьютеры, давать советы любым лицам, использующим компьютер, и выезжать из центральной Калифорнии. Чтобы выполнить любую работу, связанную с компьютерами, Митник должен получить разрешение надзирающего сотрудника полиции, который и позволил ему выступить на конференции Giga.
Сегодня его цель - использовать свой опыт, чтобы защитить компьютеры. Митник говорит, что готов помочь компаниям, не требуя от них "ключей к королевству".