szukaj

16.01.2013 | 12:01

avatar

Adam Haertle

Jak amerykański programista zastępcę w Chinach wynajął

Czasem incydenty z obszaru bezpieczeństwa znajdują bardzo proste wyjaśnienia. Czy zatem tajemnicze połączenia VPN z chińskich adresów IP zawsze oznaczają włamanie? Okazuje się, że mogą również oznaczać wyjątkowo leniwego pracownika.

Bardzo ciekawą analizę przypadku opublikowano na blogu firmy Verizon, oferującej usługi z obszaru bezpieczeństwa. Do firmy tej zgłosił się klient, który wykonał niecodzienną czynność – mianowicie przejrzał logi usługi VPN. Firma ta, odpowiedzialna za obsługę krytycznej infrastruktury rządowej, dwa lata wcześniej zaczęła promować wśród zatrudnianych przez siebie programistów pracę z domu przez jeden dzień w tygodniu. W tym celu umożliwiła pracownikom dostęp zdalny, zabezpieczony za pomocą tokenu RSA. Kiedy administratorzy firmy spojrzeli w logi usługi, zauważyli w nich aktywne połączenie z chińskiego adresu IP. W tym czasie użytkownik, którego login i hasło zostały użyte w tym połączeniu, siedział przy swoim biurku.

Informatycy firmy zaczęli podejrzewać, że ich sieć padła ofiarą włamywaczy, którzy na komputerze pracownika zainstalowali skomplikowane złośliwe oprogramowanie, nawiązujące połączenie do Chin i wykonujące następnie połączenie zwrotne. Jak jednak mogło być ono zrealizowane, jeśli nie było możliwe bez fizycznego dostępu do tokenu RSA? Nie mogąc odpowiedzieć na to pytanie, wezwali zespół ekspertów z Verizona.

Zespół analityków zaczął od analizy logów z ostatnich sześciu miesięcy (tylko takie były dostępne) i odkrył, że połączenia z Chin z wykorzystaniem loginu, hasła oraz tokenu tego pracownika odbywały się regularnie kilka razy w tygodniu i czasem trwały cały dzień. Sam pracownik, w wieku ok. czterdziestu kilku lat, nie wzbudzał żadnych podejrzeń. Przeciętny ojciec rodziny, zatrudniony od wielu lat, piszący w C, C++, perlu, javie, Ruby, php i pythonie, cichy i spokojny. Analitycy postanowili przyjrzeć się jego stacji roboczej. Kiedy już pozyskali jej obraz, próbowali odzyskać z niej wszystkie interesujące pliki w nadziei na odnalezienie śladu infekcji. Zamiast konia trojańskiego odnaleźli jednak setki faktur wystawionych przez chińską firmę programistyczną.

Jak się okazało, programista wynajął Chińczyków, by ci wykonywali całą jego pracę. Sam otrzymywał sowite wynagrodzenie, którego 20% przeznaczał na opłacanie swoich podwykonawców. Problem uwierzytelnienia rozwiązał, przesyłając swój token do Chin kurierem. Analiza historii przeglądarki wykazała, że w trakcie, kiedy Chińczycy wykonywali jego pracę, programista zajmował się innymi problemami:

  • 9:00 – przyjście do pracy, oglądanie Redditu i filmów z kotami
  • 11:30 – lunch
  • 13:00 – czas na Ebay
  • ok 14:00 – Facebook i LinkedIn
  • 16:30 – email do szefa z aktualizacją postępu prac
  • 17:00 – wyjście do domu.

Dowody wskazywały także, że prawdopodobnie nie była to jedyna firma, dla której w ten sposób „pracował”. Mógł w ten sposób zarabiać kilkaset tysięcy dolarów rocznie, oddając jedynie 20% podwykonawcom. Analiza jego ocen pracowniczych pokazała, że przez wiele lat był uznawany za najlepszego pracownika w swoim dziale – jego kod był wysokiej jakości i zawsze dostarczony na czas.

Czytajcie zatem logi, można znaleźć w nich ciekawe informacje.

Powrót

Komentarze

  • avatar
    2013.01.16 12:14 Mati

    hie hie jak z tymi niektórymi top graczami World Of Warcraft. W czasie gdy ich postacie ciachają na lewo i prawo, oni sami siedzą na grillu ;)

    Odpowiedz
  • avatar
    2013.01.16 13:30 Michał

    Hmm ;) Ale przecież praca w IT to sama radość

    Odpowiedz
  • avatar
    2013.01.16 13:40 Michał

    Fajnie też byłoby wiedzieć ile konkretnie wynosiło to 20%, a więc ile zarabiał :)

    Odpowiedz
  • avatar
    2013.01.16 17:00 Kwpolska

    > blogu firmy Verizon, oferującej usługi z obszaru bezpieczeństwa.

    huh? Verizon jest od telefonów. To jest blog Verizon Business: http://en.wikipedia.org/wiki/Verizon_Business .

    Odpowiedz
    • avatar
      2013.01.16 17:11 Adam

      Verizon (a konkretnie Verizon Communications) ma spółkę Verizon Wiresless, która świadczy usługi telefonii komórkowej, oraz Verizon Business, która między innymi świadczy usługi informatyki śledczej. Tak więc to ciągle ten sam Verizon „od telefonów” :)

      Odpowiedz
  • avatar
    2013.03.13 22:00 noname

    „kod był wysokiej jakości i zawsze dostarczony na czas”
    Wiec w czym problem? :)

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak amerykański programista zastępcę w Chinach wynajął

Komentarze