23:12
21/4/2013

Kiedy umożliwia się własnemu pracownikowi “rozwój w innej firmie“, warto liczyć się z chęcią zemsty. Opisywany przez Ars Technikę przypadek firmy Hostgator to potwierdza –nzwolniony administrator przed odejściem zainstalował backdoora na firmowych serwerach.

Backdoor polisą ubezpieczeniową przed zwolnieniem?

Erica zwolniono 15 lutego 2012. Dzień później firma Hostgator (świadcząca usługi hostingowe) odkryła backdoora, który pozwalał Ericowi logować się na firmowe serwery spoza sieci wewnętrznej.

Hostgator

Hostgator

Eric zainfekował nim 2723 serwery — backdoor figurował w systemie pod nazwą pcre i umożliwiał Ericowi dostęp na prawach roota. Eric mógł wykraść przy jego pomocy dane klientów, ale przedstawiciele firmy twierdzą, że na szczęście ich nie skopiował. Udało mu się natomiast zmodyfikować binarki ps i netstat, w które wbudował “dodatkowe” funkcje.

Czy pracownik to też wróg?

Incydent w Hostgatorze przypomina, że ochrona sieci od “zewnatrz” nie wystarczy — należy także rozważyć wdrożenie zabezpieczeń przed incydentami ze strony pracowników — na pewno pomoże w tym dobry monitoring (bo o ile ryzyka “wewnętrznego incydentu” nie można całkowicie wyeliminować, to warto chociaż wiedzieć, kto, co i kiedy). Hostgator np. co minutę robił screenshot ekranów wszystkich komputerów należących do pracowników.

Patrząc na to co wydarzyło się w Hostgatorze, warto także przypomnieć badanie, w którym pracowników firm IT pytano, czy zaczęliby oni wykradać dane klientów swojej firmy, gdyby wiedzieli, że niebawem czeka ich zwolnienie — aż 88% odpowiedziało że tak (żartuje się, że pozostałe 12% już te dane i tak ma skopiowane…). To daje do myślenia — czy aby na pewno wystarczająco dużo płacicie swoim administratorom? :-)

Nota bene, na programistów też warto uważać — lubią zostawiać tzw. bomby czasowe w kodzie


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

27 komentarzy

Dodaj komentarz
  1. hehe ;) gdzies napisali ze ten koles juz byl karany ;), podobno nie wiedzial ze co minute robiony jest screen wszystkich stacji roboczych ;p

  2. Eric był już karany za przestepstwo komputerowe (kradzież danych instytucji rządowej)

  3. To ten Eric od googla?

  4. to bardzo dziwne, że informatyk nie skumał się, że coś robi mu print screeny…

  5. Jakby mi ktoś robił zrzut ekranu co minutę, to bym zmienił firmę.

  6. Modyfikował binarki? Zamiast skompilować sobie “poprawione” źródła?

    • therminus…. o Boże… czytaj pomiędzy wierszami człowieku :)

  7. Używając trochę mózgownicy, nie wzięliście pod uwagę, że administrator był wzywany do byle pierdoły bo coś się zespuło to ze względu na politykę bezpieczeństwa firmy nie miał udostępnionego zdalnego połączenia, tylko musiał zawlec tyłek osobiście, żeby wpisać dwie komendy – i dając sobie odciąć obydwie dwie dowolne kończyny, zapewne nie miał płacone od wezwania.

    • Kogut leci pierwszy.
      Administrator?! chyba mylisz pojecie z serwisantem. 2,7k komputerów to nie pierdoła i na pewno administrator nie jest wzywany co chwilę do np. naprawy drukarki, no chyba ze sobie sam naprawia i na pewno był dograny zdalny dostęp wewnątrz sieci – to firma hostingowa.

  8. Widać jak ludzie kochają swoją pracę i firmę. Dlaczego tak musi być.

  9. Jaki sens ma kontrolowanie szeregowych pracowników w sposób rodem z SS, kiedy 1) największe zagrożenie stanowią takie przypadki, jak ten z artykułu; 2) tylko wkurza to pracowników i motywuje to “łamania systemu” (wyzwanie, złośliwość, etc.); 3) ktoś to i tak musi kontrolować – kto będzie więc kontrolował kontrolujących, skoro nie można nikomu ufać?

    • Taki sam, jak zabezpieczenie okien, kiedy są w domu też drzwi.

  10. bo tak samo firmy kochają swoich pracowników….

  11. Binarka ps… to było pierwsze co “zmodyfikowaliśmy” z kolegą w czasach “wojen rdzeniowych” na starych Unixach na polibudzie. Ech, łezka się w oku kręci… Nasza wersja ps’a sprawdzała istnienie specjalnie nazwanego pliku w $HOME a następnie czekała sekundę na wpisanie hasła (wyłączając echo oczywiście) – jeśli warunki nie były spełnione, uruchamiana była oryginalna binarka skopiowana w “głębokim ukryciu”.

    Ale to było w czasach, kiedy ps musiał mieć ustawiony bit setuid i właściciela root, bo grzebał wprost po struct’ach w /dev/kmem – dzisiaj, w dobie /proc’a ps nie ma suida… więc po co ta modyfikacja, nie mam pojęcia.

    • “dzisiaj, w dobie /proc’a ps nie ma suida… więc po co ta modyfikacja, nie mam pojęcia.”

      Najwidoczniej miał tylko ukryć wpis pidu tego procesu:

      “backdoor figurował w systemie pod nazwą pcre”

      anologicznie z netstat.

      P.S. ” Dzień później firma Hostgator (świadcząca usługi hostingowe) odkryła backdoora ” – koleś chyba też użył “glębokiego ukrycia” skoro w jeden dzień dał się wykryć^^

    • @uname: racja, nie pomyślałem o tym.

  12. hmm.. na rzucone spotkaniowe haslo o pewność zatrudnienia .. odpowiedzialem ze nigdy nie mozna byc tego pewnym .. w efekcie, ta osoba przeszla sciezke od developera do managera wlasnie .. i mam wrazenie ze ten ktos powinien byc mi wdzieczny dozgonnie :-)

  13. heh, a daleko to szukać takich “informatyków” za dychę? Wystarczy przyjrzeć się tym, którzy robią na zlecenia dla Inei. Ich usługa dostępu oparta na wi-fi jest ootb kompletnie niezabezpieczona. Dane użytkowników lecą sobie ot tak w eter bez żadnego szyfrowania, stacje abonenckie są identyfikowane po imieniu i nazwisku abonenta. Masakra. Ktoś (giodo) powinien się bliżej przyjrzeć tej firmie.

  14. ten admin był bardzo kiepski zapewne musiał umieć programować administrować tańczyć na linie i destylować alkohol, umiał wszystko niestety nic z tych rzeczy nie robił dobrze

  15. “nzwolniony” – literówka się wkradła.

    • -n

    • Ja na początku przeczytałem to jak “rozwolniony”.

  16. Eric nie dostanie w tym roku nic na gwiazdkę.

    • płacze xD

  17. Ahh Ci admini :)

  18. Wystarczy dobrze płacić adminowi (u nas to rzadkość), a jeśli zajdzie potrzeba żeby odszedł z firmy to należy się upewnić, że absolutnie nie żywi z tego powodu urazy (dać premię, odprawę itp itd dodatkową kasę). W przeciwnym razie po każdym zwolnieniu admina trzeba zaorać całą sieć i postawić na nowo, bo zawsze zostaje szansa że gdzieś jakaś niespodzianka czeka… :-]

  19. No a niby po co powstal cron:>?

Odpowiadasz na komentarz interio

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: