Xakep #305. Многошаговые SQL-инъекции
"На проходившей в среду в
Лос-Анджелесе конференции Giga Information Group,
посвященной электронному бизнесу, выступил с
докладом Кевин Митник, - сообщает газета USA Today.
Это первое значительное публичное выступление
знаменитого хакера после его выхода из тюрьмы в
январе этого года.
Митник описал образ мышления,
цели и методы хакеров, взламывающих
корпоративные компьютерные сети. Ключевыми
моментами безопасности он назвал обнаружение и
реакцию: каждый сотрудник компании от директора
до секретарши должен быть знаком с приемами
работы хакеров и вовремя отслеживать их атаки,
равно как и уметь правильно реагировать на такие
атаки. Пока персонал не будет обучен,
корпоративные сети и веб-сайты не будут в
безопасности.
Служащие должны уметь
правильно выбирать пароли и регулярно проводить
процедуры защиты от вирусов и троянских коней.
"Наивно думать, что простая установка защиты в
виде firewall защитит от любой потенциальной угрозы,
- говорит Митник. - Такая уверенность создает
ложное чувство безопасности, которое еще хуже,
чем отсутствие безопасности вообще".
В деле безопасности, по мнению
Митника, доверять нельзя никому. "Верить можно
только Богу, - заявил Митник. - Все остальные - под
подозрением".
Митник разъяснил физические
методы получения доступа в сети через уязвимые
точки. Он предупредил об опасности оставленных
без присмотра конференц-залов с розетками для
подключения коммуникационных устройств,
компьютерных классов, телефонных и кабельных
шкафов. Организациям Митник советует особо
следить за конфиденциальной информацией -
например, всегда стирать все данные с
выбрасываемых магнитных носителей. "Копание в
мусоре" - наиболее популярный метод хакеров
добывать списки паролей и другую корпоративную
информацию", - напомнил он.
Бизнесменам Митник
рекомендует анализировать доходы и расходы от
уменьшения риска, связанного с безопасностью, -
точно так же, как для прочих компонентов их
бизнеса. Сам Кевин Митник, "хакер номер 1", с
момента освобождения в течение еще трех лет не
может использовать какие бы то ни было
компьютеры, программы, а также любые виды
беспроводных коммуникаций. Также ему запрещено
устраиваться на работу в компании, где
используются компьютеры. "