Доступ с привилегиями супервизора

Ошибка № 5: Деловой партнер должен указывать, какие системы из сети General Conglomerate вправе входить в контакт с его FTP-сервером. Как минимум им следует иметь определенные пакетные фильтры с конкретными IP-адресами источника, которым дозволен доступ к этому FTP-серверу. Строгий контроль сеансов между границами деловых партнеров играет критическую роль.

Какую команду нужно выполнить Красной королеве на FTP-сервере мишени? Для полного контроля над FTP-сервером на UNIX ей лучше вернуть сеанс X-Window на ее собственную рабочую станцию. Красная королева запустила версию сервера X-Window для своей Windows NT, которой пользовалась как системный администратор. Она привела в действие эксплойт на FTP-сервере таким образом, чтобы он вернул окно Х-терминала с FTP-сервера на ее рабочую станцию, а затем осторожно нажала клавишу Enter на своей рабочей станции, чтобы выполнить этот эксплойт.

Внезапно на Х-дисплее Красной королевы выскочило маленькое окно командной строки. Она получила доступ с привилегиями супервизора из командной строки к своей мишени! Она быстро просмотрела файловую систему ее последней жертвы - FTP-сервера в сети делового партнера в поиске файла, содержащего информацию о зарплате.

Любите азарт? Играйте в joycasino мобильная версия и выигрывайте.

Красная королева нашла запись Мэлори Айшис в файле и отредактировала ее, чтобы удвоить свою зарплату. «Удастся это или нет, - подумала она, - но попытка не пытка!» Чтобы снизить риск обнаружения, она также изменила сведения о зарплате для шести различных людей и проверила, что итоговые суммы в конце файла учли новые значения, которые она ввела в систему. Ее отвлекающий маневр с DDoS-атакой сработал отлично, поскольку группа компьютерной безопасности не заметила ее действий во внутренней сети.

Ошибка № 6: Данные о зарплате передавались между деловыми партнерами при помощи FTP - протокола, который использует текстовые пароли и не обеспечивает шифрования данных, когда они перемещаются через сеть. Атакующий способен перехватывать эти данные в пути или даже изменять их. Компании General Conglomerate и ее деловому партнеру следует договориться о более безопасном протоколе, например протоколе защищенной оболочки (SSH), для передачи информации такого рода. В качестве альтернативного варианта они могли зашифровать файл платежной ведомости перед передачей при помощи FTP.