image

IT'er schuldig aan gijzelen glasvezelnetwerk

woensdag 28 april 2010, 10:41 door Redactie, 14 reacties

Een voormalige systeembeheerder uit San Francisco is schuldig bevonden aan het gijzelen van het glasvezelnetwerk van de stad. De inmiddels 45-jarige Terry Childs werd in 2008 gearresteerd wegens het gijzelen van het FiberWAN. Het netwerk bevat e-mails van ambtenaren, salarisgegevens, vertrouwelijke justitiële documenten en veroordelingen van criminelen. Childs was verantwoordelijk voor de ontwikkeling en bouw van het netwerk.

Uit woede over een mogelijk ontslag sloot hij iedereen buiten, zodat hij de enige was die toegang tot het netwerk had. In eerste instantie gaf hij de politie na zijn arrestatie een verkeerd wachtwoord en was er een geheim bezoek van de burgemeester nodig om de juiste inloggegevens te krijgen.

Gevangenisstraf
De borgtocht van Childs bedroeg vijf miljoen dollar, vijf keer hoger dan bij de meeste moordverdachten. De autoriteiten waren bang dat de systeembeheerder het systeem permanent zou afsluiten en mogelijk ook gegevens zou verwijderen. Volgens de jury kostte het incident de stad meer dan 200.000 dollar, waardoor Childs de maximale gevangenisstraf van vijf jaar kan krijgen. De kans is echter groot dat de rechter hem een paar maanden geeft, aangezien Childs al sinds zijn arrestatie vastzit.

Reacties (14)
28-04-2010, 11:40 door ej__
Het verhaal is stukken genuanceerder dan hierboven staat. Hij wilde onder andere niet de wachtwoorden afgeven aan n00bs. Mijns insziens volkomen terecht. Hij wilde _wel_ de wachtwoorden afgeven aan ter zake kundigen die _geautoriseerd_ waren om deze wachtwoorden te ontvangen en gebruiken op het netwerk. Dat valt weg in bijna alle verhalen. Daarnaast werd in allerijl een beroep gedaan op (ondeskundige?) derden, die ook niet zo maar toegang kregen. Dat is een fors stuk van die kosten van 200.000 dollar.

Kortom: hij deed wat ieder verantwoordelijke systeembeheerder hoort te doen: wachtwoorden niet afgeven aan niet geautoriseerde personen. Ook een burgemeester is geen geautoriseerde netwerkbeheerder. Die heeft geen flauw idee wat hij met wachtwoorden moet doen.

Leidinggevenden zijn niet perse (en vaak zelfs perse niet) de juiste personen om wachtwoorden aan over te dragen. Dat mist in dit verhaal. Dat is ook de denkfout van de kromme juryrechtspraak in de VS.
28-04-2010, 12:21 door Anoniem
Door ej__: Leidinggevenden zijn niet perse (en vaak zelfs perse niet) de juiste personen om wachtwoorden aan over te dragen. Dat mist in dit verhaal. Dat is ook de denkfout van de kromme juryrechtspraak in de VS.

Als leidinggevende zorg ik er expliciet voor dat ik een aantal inlog- en alarmcodes niet (meer) heb. Ondanks dat ik die gegevens voor de vorige wijziging nog wel had, omdat ik ook de betreffende werkzaamheden uit moest kunnen voeren. Nu is dat niet meer nodig en ben ik van mening dat ik ook niet meer hoef te weten hoe ik toegang kan krijgen.

Ik kan ze nu in ieder geval niet meer verliezen.

Peter
28-04-2010, 12:30 door Anoniem
Niet helemaal mee eens.
De netwerkbeheerder is niet de eigenaar van het netwerk, hij is "slechts" de beheerder.
Het is niet aan hem om te bepalen wie wel/niet geautoriseerd is om de wachtwoorden te bezitten, dat is aan de verantwoordelijke en dat is meestal de directie.

Hij had dan bijvoorbeeld kunnen vragen om een schriftelijke bevestiging dat bij het afgeven van de wachtwoorden niet verantwoordelijk kan worden gehouden voor eventuele gevolgen.

Vooral het buitensluiten van anderen is hem absoluut aan te rekenen, omdat dit een wijziging is waarvoor geen autorisatie is verleend door zijn leidggevende.

De gemeente had de problemen zichzelf kunnen besparen door de wachtwoorden op een veilige locatie op te slaan bij wijze van Escrow-key.
28-04-2010, 14:08 door Silver
Bovenstaand verhaal klopt van geen kant, zoals ook wel is aangegeven door ej. Anoniem hierboven zit er mijns inziens naast, om de volgende redenen:

* Een schriftelijke bevestiging van een niet-geauthoriseerde persoon is net zo goed waardeloos in een rechtzaak.

* Terry heeft niemand actief buitengesloten, hij was echter op het moment van dit probleem eenvoudigweg de enige persoon die uberhaupt toegang had tot het netwerk. We hebben het over netwerkapparatuur, waarbij geen useraccounts gedefineerd zijn maar slechts 2 wachtwoorden. Een om binnen te komen, en het enable wachtwoord.

Terry Childs heeft gedaan wat hij moest doen. In zijn contract stond heel duidelijk aangegeven dat hij de wachtwoorden niet mocht verstrekken aan niet-geauthoriseerde personen, en indien hij de gegevens wel zou verstrekken dat hij dit in een 'secure environment' moest doen. Dit is ook de reden dat hij de eerste keer weigerde de wachtwoorden te verstrekken aan de burgemeester, omdat dit tijdens een telefoonconferentie was waarbij diverse onbevoegde personen meeluisterden. Pas toen hij alleen in een kantoor was met de burgemeester heeft hij de wachtwoorden afgegeven.

Overigens klopt het ook niet dat Childs de gegevens niet wilde afgeven NADAT hij ontslagen was, hij is ontslagen OMDAT hij ze niet zomaar wilde afgeven. Get your facts right.

Mijns inziens is deze rechtzaak absoluut belachelijk en hebben zijn leidinggevenden de boel op typisch Amerikaanse manier zwaar overdreven. Terry hield zich slechts aan zijn contract. Had hij ze WEL gelijk gegeven dan had hij bloot komen te staan aan een ANDERE mogelijke rechtzaak wegens contractbreuk. Hij mag wellicht als persoon vervelend zijn, maar dat maakt hem nog niet schuldig aan deze zaak. Alle Amerikaanse IT-ers zijn de dupe van deze gerechtelijke dwaling en ik hoop dan ook dat hij in hoger beroep gaat.

Saillant detail: Het glasvezelnetwerk heeft overigens maandenlang na Terry's ontslag nog goed gefunctioneerd. Pas toen men er eindelijk bij kon komen begonnen de storingen.
28-04-2010, 14:52 door Anoniem
(dezelfde anoniem)

* De directie is altijd de eindverantwoordelijke en daarmee geautoriseerd om iemand van zijn verantwoordelijkheid te ontslaan (eventueel door middel van een contractswijziging mocht dat nodig zijn).

* Ook netwerkapparatuur kan verschillende gebruikersnamen en wachtwoorden hebben. Een beetje omgeving regelt dit met TACACS+ of met RADIUS.

* In het bericht staat duidelijk dat hij anderen de toegang had ontnomen door hen buiten te sluiten.

Terry Childs heeft niet gedaan wat hij moest doen, namelijk doen wat zijn meerdere hem opdraagt. Wat ik eerder al zei, hij kan de verantwoordelijkheid schriftelijk afschuiven mocht dit tot een rechtzaak leiden.
Daarnaast heeft hij een ongeautoriseerde wijziging doorgevoerd, namelijk de rechten gewijzigd waardoor anderen er niet meer bij konden komen.

Ik denk dat dit een flinke waarschuwing is voor alle IT-beheerders, namelijk dat jij niet de baas bent en bepaalt wat het bedrijf moet doen, maar dat het andersom is. Je kan hoogstens een ander advies geven, maar je bent nog altijd ondergeschikt aan het bedrijfsbelang.
En het bedrijfsbelang kan nooit zijn dat 1 beheerder alle rechten toeëigend, om welke reden dan ook.
28-04-2010, 15:19 door Anoniem
Hmmm rare jongens die Amerikanen...zo gaat dat altijd met Amerikanen, wie zwak van zich afzet is altijd het zwarte schaap cq. de L*L. Constant jezelf indekken en anderen naaien.

Tijdje mee gewerkt, wordt alleen maar droevig van die gasten....zucht.
28-04-2010, 16:02 door Silver
Anoniem, je gaat hierbij blijkbaar uit van DIT artikel. Ik heb de hele zaak op Slashdot gevolgd en daar was echt veel meer informatie bekend. Dit artikel op security.nl deugt van geen kant, om eerlijk te zijn.

Daarbuiten, je maakt assumpties die hierop niet van toepassing zijn.

* De directie (in dit geval de burgemeester, Terry Childs werkte voor de STAD) kan inderdaad iemand authoriseren. Dat hebben zij echter niet gedaan, en daarom is dit geen relevant punt.

* Jij spreekt over TACACS+ of RADIUS maar dit is software voor externe toegang. Het betreft hier toegang tot de netwerkapparatuur voor collega's, die dus al rechtstreeks connecten naar de apparatuur. Daar kan je geen TACACS tussenhangen. Hoe dan ook, dit was hier niet het geval en dus is het wederom geen relevant punt.

Conclusie:

Terry Childs heeft WEL gedaan wat hij moest doen, namelijk *doen wat zijn meerdere hem opdroeg door middel van een ondertekend contract*. Duidelijker kan je het echt niet maken. Een dergelijke verantwoordelijkheid is NIET schriftelijk af te schuiven door iemand die NIET BEVOEGD IS DIT TE DOEN.

De waarschuwing aan dit verhaal is dat zelfs wanneer je doet wat je hoort te doen, je nog genaaid kunt worden door overijverige bureaucraten die hun zin niet snel genoeg krijgen.
28-04-2010, 17:19 door ej__
@Silver: Precies mijn punt. Het verhaal hierboven is dusdanig onvolledig dat daar geen enkele conclusie voor wat betreft (on)schuld van Terry Childs kan worden verbonden. Slashdot, hoewel in het algemeen vreselijk slecht, is in dit geval stukken beter geinformeerd en geeft stukken betrouwbaarder informatie.

Het verhaal hierboven is gewoon slechte journalistiek en uitermate tendentieus. Ik hoop niet dat dit het niveau van security.nl wordt. De redactie bewijst zichzelf hiermee een uitermate slechte dienst, ze hebben duidelijk nagelaten een bronnenonderzoek te doen en hebben wat andere journalisten nagepraat.

EJ
29-04-2010, 12:06 door Anoniem
@ Silver
* Jij spreekt over TACACS+ of RADIUS maar dit is software voor externe toegang. Het betreft hier toegang tot de netwerkapparatuur voor collega's, die dus al rechtstreeks connecten naar de apparatuur. Daar kan je geen TACACS tussenhangen. Hoe dan ook, dit was hier niet het geval en dus is het wederom geen relevant punt.

Sorry, maar je praat poep.
TACACS+ en RADIUS kunnen wel degelijk gebruikt worden voor toegang tot netwerk apparatuur.
En een beetje (grotere) omgeving heeft dit ook, want ook op netwerk apparatuur wil je gebruikers kunnen achterhalen of rechten toekennen aan bepaalde gebruikers (of bijvoorbeeld iemand wel de configuratie mag zien, maar niet bewerken).
Gebruiker is in dit geval een netwerk beheerder.

Laat je ook al je gebruikers inloggen met administrator of root op hun systemen ?

Netwerk of systeembeheerders zijn geen goden, helaas denken en menen velen dit wel.
Je wordt niet betaald om zelfstandig een beslissing te nemen wie er wel of niet toegang krijgt tot het netwerk.
Je bent in dienst van een bedrijf (in dit geval de stad), dat is dus je opdrachtgever. Als op een gegeven moment je wordt gevraagd door een meerdere om bepaalde gegevens te geven, dan hoor je dat te doen.
Je kan hooguit een advies af geven en als er dan stront aan de knikker is, dan is dat de verantwoordelijkheid van degene (meestal een directie) die de beslissing heeft genomen. Immers worden die er dik voor betaald.
Als je het inderdaad niet vertrouwd dat je advies serieus wordt genomen, dan laat je dat schriftelijk vast leggen, zoals hierboven al aangegeven.

Mijn leidinggevende is ook niet bekwaam om het netwerk te beheren, maar als hij vraagt om (de hoogste) inlog gegevens dan zal hij die krijgen. Wel natuurlijk met motivatie, vastgelegd en goed geregeld.
Het netwerk is van en voor het bedrijf !

Ik vind de man een schande voor systeem en netwerkbeheerders !
Hij heeft zijn eigen belang voor dat van de stad/gebruikers gesteld.
29-04-2010, 23:45 door ej__
@anoniem:12:06

Jammer dat je je oordeel baseert op foute aannames en foute gegevens. Ook jammer dat je uitspraken doet zonder het betreffende contract te kennen.

Contractueel MOCHT deze meneer zijn inloggegevens uitsluitend afgeven aan geautoriseerde personen. Daar hoorden derden niet bij. Ook zijn leidinggevenden stonden met zekerheid NIET op die lijst. Nu is hij gedwongen om contract breuk te plegen, en een maffe jury veroordeelt hem ook nog eens voor het niet snel genoeg breken van zijn contract. Dat is de kern van de zaak. Niet het slappe kletsverhaal dat is opgehangen door de redactie.

Ook jouw verhaal doet volkomen niet ter zake want was op volledig andere manier afgedekt in contract.

EJ
30-04-2010, 08:26 door Anoniem
Als je leidinggevende je contract wilt aanpassen, dan is dat mogelijk.
Dus contractbreuk is niet iets wat hier aan de orde is, mijnheer de beheerder had even moeten nadenken in plaats van te reageren alsof hij de beschermengel van het bedrijf is.

Zijn koppige en niet-professionele houding komt hem hiermee duur te staan.
30-04-2010, 11:20 door ej__
Door Anoniem: Als je leidinggevende je contract wilt aanpassen, dan is dat mogelijk.
Dus contractbreuk is niet iets wat hier aan de orde is, mijnheer de beheerder had even moeten nadenken in plaats van te reageren alsof hij de beschermengel van het bedrijf is.

Zijn koppige en niet-professionele houding komt hem hiermee duur te staan.

Je schijnt niet te willen begrijpen dat niet het contract is aangepast maar dat hem simpelweg, IN STRIJD MET ZIJN CONTRACT, gesommeerd is wachtwoorden te overhandigen.

Verdiep je eerst eens in zaken voordat je je ongenuanceerde, op drijfzand gebaseerde en opgeblazen mening spuit.

EJ
30-04-2010, 17:30 door [Account Verwijderd]
[Verwijderd]
01-05-2010, 11:34 door Anoniem
Door ej__:
Door Anoniem: Als je leidinggevende je contract wilt aanpassen, dan is dat mogelijk.
Dus contractbreuk is niet iets wat hier aan de orde is, mijnheer de beheerder had even moeten nadenken in plaats van te reageren alsof hij de beschermengel van het bedrijf is.

Zijn koppige en niet-professionele houding komt hem hiermee duur te staan.

Je schijnt niet te willen begrijpen dat niet het contract is aangepast maar dat hem simpelweg, IN STRIJD MET ZIJN CONTRACT, gesommeerd is wachtwoorden te overhandigen.

Verdiep je eerst eens in zaken voordat je je ongenuanceerde, op drijfzand gebaseerde en opgeblazen mening spuit.

EJ
De medewerker had dit ook kunnen schriftelijk kunnen voorstellen, in plaats van zijn hakken in het zand te zetten.
Dan had hij nu ook een heel stuk sterker gestaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.