Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Вы уверены, что не пользуетесь результатами работы аутсорсеров?

Вы уверены, что не пользуетесь результатами работы аутсорсеров?

Пристальное внимание к журналам системы безопасности может выявить весьма интересные факты об ИТ-инфраструктуре. Так, к примеру, одна американская компания в ходе подобного еженедельного аудита выяснила, что уже давно пользуется не плодами работы собственного «проверенного» программиста, а результатами деятельности неизвестных аутсорсеров из Китая, готовых трудиться за гораздо меньшие деньги. Сам программист, наладивший столь выгодное для него посредничество, рабочий день тратил на социальные сети, Ebay и видео с котами.

Достоянием общественности обычно становится информация о случаях крупномасштабного хищения персональных данных. А вот наиболее интересные ситуации, не вызвавшие таких серьезных финансовых потерь, чаще всего так и остаются неизвестными широкому кругу специалистов. Об одном из таких случаев на своем сайте рассказала компания Verizon, проводившая аудит безопасности у некой неназванной компании из США, занимающейся разработкой критически важного инфраструктурного программного обеспечения и допускающей для своих сотрудников удаленную работу через VPN.

Обратиться к Verizon руководство компании решило после того, как в журналах VPN-доступа была зафиксирована аномальная активность. Чуть ранее компания пересмотрела свою политику безопасности и начала еженедельно анализировать журналы доступа. Практически сразу эта новая практика дала свои результаты: во время очередного мониторинга было выявлено активное соединение с Китаем. Самое интересное, что разработчик, чьим именем «представился» системе незнакомец (для примера в своем кейсе Verizon назвали этого разработчика Боб), в этот момент спокойно сидел в офисе и занимался своими делами.

Стоит отметить, что, занимаясь критическим инфраструктурным ПО, компания осознавала масштабы ответственности, поэтому для VPN использовалась двухфакторная авторизация. Помимо пароля, сотрудникам выдавались RSA-брелки. Таким образом, появилось подозрение, что этот механизм был взломан, а последствия этого «прорыва периметра» уже сложно было переоценить.

Первым подозреваемым стало неизвестное ранее вредоносное программное обеспечение. Для его поиска и были приглашены специалисты Verizon. После тщательного анализа системы выяснилось, что «аномальная активность» проявлялась в течение последних 6 месяцев (оценить, когда именно она появилась, было невозможно, т.к. журналы доступа сохранились лишь за этот период). Соединение инициировалось почти ежедневно и было активно в течение всего рабочего дня, всегда работая с одной и той же учетной записью, что сделало рабочий компьютер Боба основной территорией расследования.

По первоначальному предположению, проблема заключалась в неком вредоносном ПО, установленном на рабочей станции. Таким образом, специалисты Verizon взялись за обследование компьютера Боба, а заодно – за анализ его активности на рабочем месте, дабы иметь возможность установить, что и откуда он мог случайно скачать. Но вместо вредоносного кода или следов собственной работы Боба, они обнаружили сотни PDF-счетов от юридического лица из Китая.

Как оказалось, Боб, специалист в области C, C++, perl, java, Ruby, php, python и т.п., работавший на компанию в течение нескольких лет и чуть ли не каждый отчетный период отмечавшийся, как лучший сотрудник всего подразделения, не писал на рабочем месте ни строчки кода. Тихий и неприметный специалист давным-давно всю свою работу он передал на аутсорсинг некой консалтинговой компании, расположенной в Китае, оплачивая их труд примерно одной пятой своего дохода. Освободившееся время «высококвалифицированный специалист» тратил на просмотр видео с котами, покупки на Ebay, общение в социальных сетях и электронной почте. А чистый и хорошо написанный код, так высоко оцененный начальством, регулярно поступал в офис от азиатских аутсорсеров. Более того, Боб достаточно серьезно организовал свою работу: расследование показало, что в работе над заданиями были задействованы несколько компаний, что давало возможность сдавать все вовремя, не задерживая проекты.

Единственная проблема, с которой столкнулся Боб при организации такой схемы работы, - это двухфакторная аунтификации VPN. Но и ее он решил достаточно просто: отослал RSA-брелок в Китай службой экспресс-доставки.

О том, как именно был наказан сотрудник, в кейсе не сообщается.

Дополнительные материалы:

Комментарии (20)

  • Аватар

    Бычков Валерий [vbychkov], 18 января 2013, 14:44

    2
    Да, за что его наказывать? Наоборот повышать до главы отдела аутсорсинговых разработок. Или Бобу самому стоит создать компанию, предлагающую услуги заказной разработки, нанять фрилансера продажника, а самому продолжать смотреть видео с котами.
  • Аватар

    Пустовит Андрей [apustovit], 19 января 2013, 20:02

    0
    Наверное остальные разработчики мысенно перекрестились, что спалился именно этот чудик, а они дальше могут продолжать мутить с китайцами, только уже надо не наглеть просто.
  • Аватар

    Sa Robert [robert.111], 21 января 2013, 12:55

    0

    "Более того, Боб достаточно серьезно организовал свою работу: расследование показало, что в работе над заданиями были задействованы несколько компаний, что давало возможность сдавать все вовремя, не задерживая проекты."

    Данная Басня Крылова показывает на очень важную штуку, кроме всего прочего и нарушений -  вы что верите что Инф безопасность компании под Бобом не копала или как? Если копали , то все там мурзики сидят что ли и один Боб программер и умница ? Поэтому это для меня Басня Крылова, ключик то светится из какого IP его заустили, вот и получается - руководство знало все и само все устроило а потом все свалило на Боба как только независимые эксперты безопасности прокололи "движения" Боба... Боб это прото последний "утюг" которого и наказали, а все остальные отмазались, ведь Боба то нашли:)

  • Аватар

    Sa Robert [robert.111], 21 января 2013, 13:11

    0

    К сказанному выше - аутсосрсеров надо видеть на объекте и не устраивать эти вирт игры и платить соответственно им, а не заниматься фигней под названием промывание бабок... Теперь  понимаю почему у европейцев и у пендосов такие крупные ЗП как 400-500К в год...

    Построил не один ЦОД, опыта просто до небес,все псотроенные ЦОД Tier 4 не падали в течении 8 лет и не упадут в ближайшие 7 лет при правильной эксплуатации,  а вот че то они мне не делают предложений, а почему уже можно догадаться по данной статье .Корумпированность таких руководителей там явная и везде, хорошо прикрытая только вот рты разинули на нашу мол корумпированность, в наших странах, мы им и в подметки не годимся в области промывания денег,и объемов падлы... вот вам и все планетный фин кризис...

  • Аватар

    Sa Robert [robert.111], 21 января 2013, 13:22

    0

    "Как оказалось, Боб, специалист в области C, C++, perl, java, Ruby, php, python и т.п.,"

    Смешно:) Только C уже говорит о том что мужик разбирался в железках, таких настоящих спецов маловато на планете, кому доверили ключик то?:))) Мужику который сам может сотню ключиков написать сам?:) И все это не знали руководители, ох не смешите меня, а то могу умереть от кислородной недостаточности:))))))

    Явная подстава хорошего спеца и все дела!

    • Аватар

      Перерва Станислав [paranoya], 21 января 2013, 16:22

      0
      В статье говорится о брелоке, то есть железке. И какие он ключи сможет написать? Брелок программируют в отделе безопасности, с помощью специализированного софта/железа, брелок выдают сотруднику. Сделать дубликат судя по всему сложно, либо технически, либо не засветившись.
      • Аватар

        Sa Robert [robert.111], 22 января 2013, 04:34

        0
        Станислав, поверьте  я отлично знаю что такое брелок, использовал, он для меня ключь, такие железки пишутся. Если Боб знал язык C  значит он мог перепрошить любой др. брелок под свои нужды спокойно и послать по почте так как он не мог лишаться своего доступа в сеть и отправлять с концами свой брелок в китай. В китай явно пошел дубликат...Найти железки для перепрошивки сейчас не сложно, а если он знал C  значит занимался этим в плотную и знал что где лежит и как делать + у него точно была поддержка руководства, а это значит у него было все пока его не слили...
        • Аватар

          Зенцов Антон Юрьевич [Tesonero], 22 января 2013, 15:01

          0
          Во-первых, тот факт, что человек знает Си еще не означает, что он умеет программировать микроконтроллеры. А во-вторых грамотно сделанный брелок авторизации скопировать невозможно в принципе. По-крайне мере разумными способами. 
          • Аватар

            Перерва Станислав [paranoya], 22 января 2013, 15:15

            0

            Не, всё просто, он знает С и он супер-хакер, который в одиночку взломал RSA-брелок ещё до того, как это сделала группа исследователей.

            PS. А я, вот, знаю ассемблер, но это мне мало помогает во взломе. Видимо у меня руки кривые.

          • Аватар

            Sa Robert [robert.111], 22 января 2013, 17:19

            0
            Антон, как вы считаете он отдал с концами свой брелок и сидел без связи дней 7 пока ему вернули все по DHL если не он взломал или вообще не взломал и не создал дубликат? Мы сейчас спорим о чем что неизвестный  Х брелок брелок не возможно "поломать" или аутсорсинг не контролируем по теме? Разве вы не согласны что спеца просто слили так как прокололись на верхах у него и сделали из мухи слона PR шумиху вокруг Бобика?
            • Аватар

              Зенцов Антон Юрьевич [Tesonero], 22 января 2013, 17:30

              0

              Я считаю, что какие-то выводы по данной статье сделать очень сложно - потому что единственное в чем я уверен - полноты информации в ней нет. Я лишь прокомментировал то, что я знаю - и что, на мой взгляд, ошибочно. А именно:

              - владение языком Си не означает автоматическое знание принципов программирования микроконтроллеров.

              - большинство мне известных брелков, использующихся для описанных в статье целей, скопировать невозможно исходя даже из самой логики их работы и, исходя из этого, вариант передачи брелка мне кажется не таким уж и невероятным событием, хотя, повторюсь, из данной статьи однозначные выводы делать невозможно.

  • Аватар

    Sa Robert [robert.111], 22 января 2013, 17:38

    0

    "Но вместо вредоносного кода или следов собственной работы Боба, они обнаружили сотни PDF-счетов от юридического лица из Китая."

    Убивает так же данное предложение выше - оказывается спец  знающий так много языков с жестко выстроенным логическим мышлением , хорошо разбирающийся во всех ИТ фенечках оказался логическим идиотом и все китайские счета хранил у себя на винте. Реально, коллеги это похоже уже на бред, вы так не считаете? Если нет тогда я пасс:)

    • Аватар

      Перерва Станислав [paranoya], 22 января 2013, 18:28

      1

      На каком компьютере обнаружили PDF счета - неизвестно. Вполне возможно, что человек хранил счета для налогов, чтобы получить какие-то вычеты или ещё что-нибудь.

      Кроме этого, ничего не сказано о том, где применялся брелок и VPN авторизация, может это нужно было для только удаленной работы, а при сидении на рабочем месте вполне хватало обычного логина/пароля. Вот он и отослал сам брелок китайцам.

  • Аватар

    Рубинштейн Кирилл [krubinshteyn], 22 января 2013, 19:39

    0
    Я вам больше скажу. Один из самых популярных в рунете сайтов для поиска фрилансеров начинался именно с того, что его основатели, работая наемными рабочими в веб-студии, искали, кому сбагрить работу в регионах, а на остаток "постить котиков".