Czasem incydenty z obszaru bezpieczeństwa znajdują bardzo proste wyjaśnienia. Czy zatem tajemnicze połączenia VPN z chińskich adresów IP zawsze oznaczają włamanie? Okazuje się, że mogą również oznaczać wyjątkowo leniwego pracownika.
Bardzo ciekawą analizę przypadku opublikowano na blogu firmy Verizon, oferującej usługi z obszaru bezpieczeństwa. Do firmy tej zgłosił się klient, który wykonał niecodzienną czynność – mianowicie przejrzał logi usługi VPN. Firma ta, odpowiedzialna za obsługę krytycznej infrastruktury rządowej, dwa lata wcześniej zaczęła promować wśród zatrudnianych przez siebie programistów pracę z domu przez jeden dzień w tygodniu. W tym celu umożliwiła pracownikom dostęp zdalny, zabezpieczony za pomocą tokenu RSA. Kiedy administratorzy firmy spojrzeli w logi usługi, zauważyli w nich aktywne połączenie z chińskiego adresu IP. W tym czasie użytkownik, którego login i hasło zostały użyte w tym połączeniu, siedział przy swoim biurku.
Informatycy firmy zaczęli podejrzewać, że ich sieć padła ofiarą włamywaczy, którzy na komputerze pracownika zainstalowali skomplikowane złośliwe oprogramowanie, nawiązujące połączenie do Chin i wykonujące następnie połączenie zwrotne. Jak jednak mogło być ono zrealizowane, jeśli nie było możliwe bez fizycznego dostępu do tokenu RSA? Nie mogąc odpowiedzieć na to pytanie, wezwali zespół ekspertów z Verizona.
Zespół analityków zaczął od analizy logów z ostatnich sześciu miesięcy (tylko takie były dostępne) i odkrył, że połączenia z Chin z wykorzystaniem loginu, hasła oraz tokenu tego pracownika odbywały się regularnie kilka razy w tygodniu i czasem trwały cały dzień. Sam pracownik, w wieku ok. czterdziestu kilku lat, nie wzbudzał żadnych podejrzeń. Przeciętny ojciec rodziny, zatrudniony od wielu lat, piszący w C, C++, perlu, javie, Ruby, php i pythonie, cichy i spokojny. Analitycy postanowili przyjrzeć się jego stacji roboczej. Kiedy już pozyskali jej obraz, próbowali odzyskać z niej wszystkie interesujące pliki w nadziei na odnalezienie śladu infekcji. Zamiast konia trojańskiego odnaleźli jednak setki faktur wystawionych przez chińską firmę programistyczną.
Jak się okazało, programista wynajął Chińczyków, by ci wykonywali całą jego pracę. Sam otrzymywał sowite wynagrodzenie, którego 20% przeznaczał na opłacanie swoich podwykonawców. Problem uwierzytelnienia rozwiązał, przesyłając swój token do Chin kurierem. Analiza historii przeglądarki wykazała, że w trakcie, kiedy Chińczycy wykonywali jego pracę, programista zajmował się innymi problemami:
- 9:00 – przyjście do pracy, oglądanie Redditu i filmów z kotami
- 11:30 – lunch
- 13:00 – czas na Ebay
- ok 14:00 – Facebook i LinkedIn
- 16:30 – email do szefa z aktualizacją postępu prac
- 17:00 – wyjście do domu.
Dowody wskazywały także, że prawdopodobnie nie była to jedyna firma, dla której w ten sposób „pracował”. Mógł w ten sposób zarabiać kilkaset tysięcy dolarów rocznie, oddając jedynie 20% podwykonawcom. Analiza jego ocen pracowniczych pokazała, że przez wiele lat był uznawany za najlepszego pracownika w swoim dziale – jego kod był wysokiej jakości i zawsze dostarczony na czas.
Czytajcie zatem logi, można znaleźć w nich ciekawe informacje.
Komentarze
hie hie jak z tymi niektórymi top graczami World Of Warcraft. W czasie gdy ich postacie ciachają na lewo i prawo, oni sami siedzą na grillu ;)
Hmm ;) Ale przecież praca w IT to sama radość
Fajnie też byłoby wiedzieć ile konkretnie wynosiło to 20%, a więc ile zarabiał :)
> blogu firmy Verizon, oferującej usługi z obszaru bezpieczeństwa.
huh? Verizon jest od telefonów. To jest blog Verizon Business: http://en.wikipedia.org/wiki/Verizon_Business .
Verizon (a konkretnie Verizon Communications) ma spółkę Verizon Wiresless, która świadczy usługi telefonii komórkowej, oraz Verizon Business, która między innymi świadczy usługi informatyki śledczej. Tak więc to ciągle ten sam Verizon „od telefonów” :)
„kod był wysokiej jakości i zawsze dostarczony na czas”
Wiec w czym problem? :)