IT Audit Abszurdisztánban

Az alábbiakban két-három mozzanatát vázolom egy IT auditnak kicsiny abszurdisztánban

1. Bevezetés

Egyszer volt, hol nem volt egy cég, aminek tulajdonosai különböző meg nem nevezett okok miatt úgy határoztak, hogy auditálni kellene a cég informatikai infrastruktúráját mégpedig a hálózat biztonságának irányából.
Tehát egy szép napon nyakkendős öltönyös úriemberek jelentek meg a cég fő-fő telephején és mindenféle témában kérdezgették az útjukba kerülő embereket s ennyivel nem érték be, megígérték, hogy többször visszatérnek és még mindenféle egyéb dolgot is kérdeznek majd...

2. Tárgyalás

S valóban, rövid időn belül többször visszatértek és többek között az alábbiak történtek:

2.1. Első szín
Kis társaság a cég informatikáján, zárt ajtók mögött roppant érdekes dolgokról cserélnek eszmét. Jelen van az audittal megbízott cég néhány tagja, közöttük egy magát 'Etikus Hackernek' (E.H.) nevező személy, kinek elmondása szerint feladata, hogy az 'Etikus Hackelés' módszerével kívülrő és belülről kihasználható biztonsági 'réseket' keressen.

Etikus Hacker: ...mondjatok pár szót a hálózatotok felépítéséről
Helyi Informatikus: A birodalom területén több telephelye is van cégünknek, azok bérelt vonalon állnak összeköttetésben, míg minden telephelyen 100M/1000M ethernet hálózat üzemel. A telephelyek közötti komunikáció telephelyenként egy-egy router segítségével történik, amely a bérelt vonalat szolgáltató cég tulajdona és ő is üzemelteti, tartja karban...
E.H.: Az internet irányába mindenki kommunikálhat?
H.I.: Internet elérésünk a fő-fő telephelyre van bekötve, es mindenki az itt lévő routeren és tűzfalon keresztül éri el. Valamint itt a fő-fő telephelyen található a DMZ is, amiben mail szerver, web szerver lakik.
E.H.: Hogy osztjátok az IP címeket belső hálózaton?
H.I.: fix IP címek vannak, és különböző IP cím tartományokban vannak az egyes telephelyek... a fő-fő telephely a 10.1.0.0/16, az első altelephely 10.10.1.0/24, a DMZ a 192.168.1.0/24 tartományt használja, és van egy 172.30.15.0/24 tartományunk amit a fő-fő szakmai rendszer szerverei használnak.
E.H.: Ezt a szakmai rendszert minden telephely használja?
H.I.: Igen, mindenhonnan.
E.H.: Hogy érik el?
H.I.: ?? A rendszert egy JAVA kliens hálózaton keresztül éri el.
E.H.: De a szerverek nem a 10-es alhálózatban vannak...
H.I.: Nem...
E.H.: Akkor nem értem, honnan tudja a kliens, hogy merre kell menni?
H.I.: ??? Van egy router. Nem a kliens tudja, hanem a router...
E.H.: Nem értem...
H.I.: ??? (huhh...) Ha a kliens olyan IP cimre akar csatlakozni ami nem az ő alhálózatában van, akkor az adott router felé fordul...
E.H.: ... Nem értem, honnan tudja, hogy merre menjen?
H.I.:............ Hmmm... Akkor egy példa.. mondjuk a kliens a 172.30.15.1-es IP cimre akar csatlakozni...
E.H.: Ja, azt nem modtad, hogy a kliens tudja az IP címet!
H.I.: ????..... (nyelés)..... hmm... akkor félreértettük egymást... természetesen tudja...
E.H.: Akkor rendben, így már értem...
...

2.2. Második szín
Kis társaság sétál az udvaron közben kedélyesen csevegnek. Jelen van az audittal megbízott cég egyik tagja is, aki 'Etikus Hacker'.

Etikus Hacker: Kívülről már befejeztük a tesztelést...
Helyi Informatikus: És mik a tapasztalatok?
E.H.: Nem is olyan rossz.
H.I.: Ühüm.
E.H.: Viszont nagyon érdekes dolgokat lehetett megtudni a DMZ-ről..
H.I.: Aha. (?? Amit pár napja elmondtunk róla mi? - gondolja)
...

2.3. Harmadik szín
Kis társaság a cég szervertermében, zárt ajtók mögött nagyon érdekes dolgokról cserélnek eszmét. Jelen van az audittal megbízott cég egyik tagja is, aki 'Biztonsági Szakember'.

...
Biztonsági Szakember: Itt milyen szerverek találhatók?
Helyi Informatikus: Webszerver, levelező szerver, pénzügyi rendszer...
B.SZ.: A pénzügyi rendszer milyen nyelven van írva?
H.I.: ??? Ez egy vásárolt szoftver... annyit tudok róla, hogy Win2000 szerveren, MS-SQL adatbáziskezelő felett megy, de tud Oracle-t is. Lehet hogy MySQL felett is elfut, de abban nem vagyok biztos...
B.SZ.: És nem tudjátok, hogy milyen nyelven van írva.
H.I.: ... Nem.
B.SZ.: Az adatbázisban 'clear text' ben vannak az adatok?
H.I.: Nem tudom... Az adatbázishoz nem nyúlunk direktbe, nem ismerjük a struktúráját, a programon keresztül használjuk...
B.SZ.: Megnézhetném?
H.I.: ??? Hogyan?
B.SZ.: Semmi különös, van a gépen egy Totál Commander?
H.I.: Van... Tessék...
B.SZ. odalép a géphez, elindítja a TC-t majd kérdõen néz a H.I.-ra.
B.SZ.: Hol vannak az adatbázisok?
H.I.: ??? Hmm... Nem tudom pontosan, hol tartja az adatbázisokat az MS-SQL... Talán a Program Files-ben valahol...
B.SZ. vadul csattogtatja az egeret... de nem jut semmire.. kérdően néz a H.I.-re
H.I. Átveszi az egeret, belép 'Program Files'-be... tovább, majd megtalálja az adatbázis file-okat... Érdeklődéssel néz B.SZ.-re, mi lesz most?
B.SZ. Átveszi az egeret, rááll az egyik file-ra, majd F3... Win2k közli: Hozzáférés megtagadva.
B.SZ.: Na, ez nem olyan egyszerű. Úgy látszik védi magát.

3. Befejezés
Hát sok hozzáfűznivalóm nincs, eddig volt, mese volt, tán igaz sem volt. Aki nem hiszi járjon utána...

( kikke | 2008. 06. 05., cs – 13:18 )

Sikítófrász
--
the tide is turning

( BaT | 2008. 06. 05., cs – 13:19 )

"Aki nem hiszi járjon utána..."

De ne úgy, ahogy az EH vagy a BSZ. :)

( trey | 2008. 06. 05., cs – 13:28 )

Nálunk minden éven van ISO audit, amelynek része ugye az IT is. Itt is megjelent a kis delegáció. Egy-két napig tettek-vettek, majd sorra került az IT is. Bepróbálkoztak a népszerű kérdéssel:

- Informatikai kézikönyv van-e.
- Van.
- Megnézhetjük?
- Meg. Mindjárt kinyomtatom.

Elmentem, kinyomtattam. Cirka 50 oldal a hálózati rajztól kezdve az utolsó szögig leírva minden. Nézegették, lapozgatták. Sokat belekötni nem tudtak. Majd felcsillant az utolsó reményük:

- Nem rossz. Naprakészre kellene hozni.

Hogy mi volt benne, arról nem sok fogalmuk lehetett, de annyi legalább megvolt bennük, hogy nem kérdeztek hülyeségeket.

--
trey @ gépház

( helmet | 2008. 06. 05., cs – 13:30 )

Biztos, hogy ilyenekkel akartok auditáltatni?

Egyébként szerintem ez az "úgy látszik védi magát" akár szállóigévé is válhatna nálatok, annyira jó! ;-)

"Az életben a legszomorúbb dolog az elpocsékolt tehetség! Amit választasz, az az egész életedet meghatározza!"

Calogero

( mn3monic v | 2008. 06. 05., cs – 13:34 )

Nálunk is volt úgy egy hete, szerinted? :))) Annyi hogy mi már megszoktuk, évente egyszer ki lehet bírni.

( snq- | 2008. 06. 05., cs – 13:45 )

a tc direkt nekik volt a 'szerverre' bekészítve? :)

A TC azt állítja magáról, hogy regisztrált...
Amugy ez IT biztonság szempontjából azért valamelyest marginális... :)

Amúgy szerinted az OEP milyen 'csomagolásban' várja a kórházaktól pl. a járóbeteg jelentést? És mit gondolsz mi található a jelentést elkészíteni tudó program installjában? (http://www.gyogyinfok.hu/magyar/jaro/program/install/WA_install2.zip)
Igen eltaláltad: ARJ.EXE és ARJ32.EXE... igen, és azzal kezdi:

"ARJ32 3.11 Copyright (c) 1990-2003 ARJ Software, Inc. Oct 31 2003

*** This software program is NOT LICENSED for business, commercial, government,
*** or institutional use except for a 30 day evaluation period. This program
*** MAY NOT be used UNLICENSED for government mandated activities.

*** Thank you for using our evaluation software.
"

Kiemelés tölem :)

Zsiráf

( Hunger | 2008. 06. 05., cs – 17:38 )

Biztos azt is tesztelték, hogy mennyire lehet hülyének nézni a helyi informatikust... :P

Egyébként igazán elárulhatnád, hogy melyik cég ez (akár privátban ;), mert marha kiváncsi vagyok. :)