В битве за безопасность системы немалая доля успеха зависит от знания современных разработок в данной области. Если система оказалась взломанной, это вряд ли стало следствием применения технологической новинки. Скорее всего, маленькая трещинка в броне системы широко обсуждалась в какой-нибудь группе новостей, и одному из неофитов захотелось ее заметно увеличить.

Организация CERT

В связи с бурной реакцией общественности на вторжение Internet-''червя" организация DARPA (Defense Advanced Research Projects Agency — Управление перспективных исследовательских программ Министерства обороны США) учредила новую структуру CERT (Computer Emergency Response Team — группа компьютерной "скорой помощи"). В ее обязанности входит сбор информации, касающейся компьютерной безопасности. CERT до сих пор остается наиболее известным консультативным органом, хотя со временем она стала весьма медлительной и бюрократичной. Более того, в самой организации сейчас настаивают на том, что ее название не означает ничего кроме "зарегистрированной служебной марки университета Карнеги-Меллона".

Ключ к отражению атаки прост: не паниковать. Весьма вероятно, что к моменту обнаружения факта вторжения большая часть ущерба уже нанесена. Возможно, хакер "гулял" по системе несколько недель или даже месяцев. Вероятность того, что вы поймали вора, прокравшегося в систему всего час назад, близка к нулю.

Мудрая сова в подобном случае посоветовала бы сделать глубокий вздох и начать тщательно продумывать стратегию устранения "взлома". Старайтесь не вспугнуть злоумышленника, во всеуслышание заявляя о происшествии или выполняя какие-то действия, которые покажутся ненормальными для того, кто, возможно, наблюдает за деятельностью организации на протяжении нескольких недель. (Подсказка: в данный момент неплохо было бы выполнить резервное копирование. Надеемся, это не удивит нарушителя?!)

Стоит также напомнить самому себе о том, что, согласно исследованиям, в 60% инцидентов, связанных с нарушением безопасности, присутствовал "внутренний враг". Не изучив всех фактов, старайтесь не посвящать в проблему лишних людей, кем бы они ни были.

Приведем короткий план, который, будем надеяться, поможет администратору пережить кризис.