[ Pobierz całość w formacie PDF ]
.W niektórych przypadkach program taki może potajemnie szpie-gować użytkownika lub umożliwiać napastnikowi przejęcie kontroli nadsystemem komputerowym poprzez zastosowanie zdalnego okna poleceń.10.5.Hasła i e-mailInstrukcja.Nie wolno przesyłać haseł poprzez e-mail w postaci niezaszyfro-wanej.Uwagi.Zalecenie to czasami jest lekceważone przez sklepy internetowew pewnych szczególnych okolicznościach, takich jak:" przesyłanie hasła klientom, którzy zarejestrowali się na stronie;" przesyłanie hasła klientom, którzy zgubili lub zapomnieli swojehasło.10.6.Oprogramowanie związane z bezpieczeństwemInstrukcja.Personel firmy nie może usuwać lub dezaktywować jakichkol-wiek programów antywirusowych, firewalli i innych programów strzegą-cych bezpieczeństwa systemu bez wcześniejszej zgody działu informatyki.Uwagi.Użytkownicy czasami dezaktywują oprogramowanie zabezpiecza-jące komputer z zamiarem przyśpieszenia jego pracy.336 Socjotechnik może być w stanie skłonić pracownika do dezaktywacji lubusunięcia programu, który jest konieczny do ochrony systemu firmy przedzagrożeniami bezpieczeństwa.10.7.Instalacja modemówInstrukcja.Nie można podłączać do komputera żadnych modemów bezuprzedniej zgody uzyskanej z działu informatyki.Uwagi.Ważne jest, aby zdawać sobie sprawę, że modem podłączony do in-dywidualnego komputera może stanowić poważne zagrożenie dla systemu,szczególnie jeżeli komputer ten jest podłączony do sieci firmowej.Dlatego teżinstrukcja ta reguluje procedury podłączania modemów.Hakerzy korzystają z techniki zwanej skanowaniem numerów (war dia-ling), aby odnalezć aktywne linie modemowe w danym zakresie numerówtelefonów.Ta sama technika może służyć do lokalizacji linii, do której są pod-łączone modemy na terenie firmy.Napastnik może się w prosty sposób wła-mać do sieci, jeżeli zidentyfikuje system komputerowy podłączony do mode-mu, na którym uruchamiane jest oprogramowanie zdalnego dostępu zabez-pieczone łatwym do odgadnięcia hasłem albo w ogóle pozbawione hasła10.8.Modemy i automatyczna odpowiedzInstrukcja.Wszelkie komputery na terenie firmy z podłączonymi modema-mi muszą mieć wyłączoną funkcję automatycznej odpowiedzi, aby zapobiecwdzwonieniu się niepowołanej osoby do systemu.Uwagi.Tam gdzie to tylko możliwe, dział informatyki powinien zastosowaćwspólny modem dla tych pracowników, którzy mają potrzebę wdzwanianiasię do zewnętrznych systemów komputerowych poprzez modem.10.9 Narzędzia hakerskieInstrukcja.Zabrania się pracownikom pobierania i używania jakichkolwieknarzędzi stworzonych w celu pokonywania zabezpieczeń systemowych.Uwagi.W Internecie znajdują się dziesiątki stron poświęconych oprogra-mowaniu stworzonemu do łamania zabezpieczeń produktów komercyjnychi programów typu shareware.Korzystanie z tych narzędzi nie tylko naruszaprawa autorskie właściciela programu, ale jest niezwykle niebezpieczne.Jakoże programy te pochodzą z nieznanych zródeł, mogą zawierać ukryty, nie-bezpieczny kod, który jest w stanie wyrządzić szkody w komputerze użyt-kownika lub wprowadzić konia trojańskiego, który umożliwi autorowi pro-gramu dostęp do komputera użytkownika.337 10.10.Umieszczanie informacji o firmie w sieciInstrukcja.Pracownicy nie powinni ujawniać żadnych szczegółów dotyczą-cych sprzętu i oprogramowania, z jakiego korzysta firma, na żadnych gru-pach dyskusyjnych, forach itp.ani nie powinni ujawniać informacji kontak-towych innych, niż wskazuje na to odpowiednia procedura.Uwagi.Każda wiadomość przesłana do usenetu, forów internetowych i listmailingowych może być odszukana w celu zebrania informacji na temat fir-my lub osoby będącej celem ataku.W tej fazie ataku napastnik może prze-szukiwać sieć w poszukiwaniu jakichkolwiek wiadomości zawierającychużyteczne informacje o firmie, produktach lub pracownikach.Niektóre wiadomości zawierają bardzo użyteczne informacje, które na-pastnik może wykorzystać w kolejnej fazie ataku.Na przykład administra-tor sieci może przesłać zapytanie dotyczące konfiguracji filtrów firewallaw określonym jego typie.Napastnik, który odkryje tę wiadomość, znajdziewartościową informację o konfiguracji firmowego firewalla, która umożliwimu jego obejście i dostęp do sieci przedsiębiorstwa.Problem ten może być zredukowany lub zlikwidowany poprzez instrukcjęnakazującą przesyłanie wiadomości na grupy dyskusyjne z kont anonimo-wych, których skojarzenie z firmą nie jest możliwie.Oczywiście instrukcja tamusi również zakazywać załączania w wiadomościach jakichkolwiek infor-macji kontaktowych, które mogą pomóc zidentyfikować firmę.10.11.Dyskietki i inne nośniki danychInstrukcja [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • lo2chrzanow.htw.pl