Logs verraden IT'er die werk door Chinezen liet doen
Een Amerikaanse programmeur die zijn werk naar China outsourcete zodat hij zelf de hele dag video's van katten kon bekijken is betrapt na het analyseren van de netwerklogs. Dat meldt beveiligingsbedrijf Verizon dat bij het incident werd ingeschakeld. Het bedrijf in kwestie, een Amerikaanse organisatie in de kritieke infrastructuur, was geschrokken na de eerste analyse die het zelf uitvoerde.
Er was een ongeautoriseerde VPN-verbinding uit China met het bedrijfsnetwerk ontdekt. Het bedrijf gebruikte twee-factor authenticatie voor de VPN-verbinding, waaronder een RSA-token. De verbinding duidde erop dat de aanvaller deze beveiligingsmaatregel had omzeild. Mede omdat de programmeur van wie de inloggegevens werden gebruikt, gewoon in zijn kantoor zat.
VPN
Uit de VPN-logs bleek dat de werknemer, die zich op Amerikaanse bodem bevond, vanaf een Chinees IP-adres inlogde. In eerste instantie dacht het bedrijf aan malware die het verkeer van een vertrouwde interne verbinding naar China doorstuurde en dan weer terug. Opmerkelijk genoeg bleek de verdachte VPN-verbinding al zes maanden te bestaan. Dit betekende dat de aanvallers niet alleen regelmatig inlogden, maar ook al een geruime tijd actief waren.
De IT-er in kwestie was een ervaren programmeur, halverwege de 40. Hij werkte al geruime tijd bij het bedrijf, was een gezinsman en erg ingetogen. Het bedrijf was er zeker van dat het om een soort nieuwe zero day-aanval ging die VPN-verbindingen van de man zijn desktop via een externe proxy naar China opzette, waarna de verbinding weer terug naar het kantoor ging.
Er werd een forensisch onderzoek naar de computer van de man ingesteld om te bepalen of er malware actief was. Tot verbazing van de onderzoekers werden op de machine honderden facturen van een Chinese aannemer en ontwikkelaar ontdekt. Uit dezelfde regio waarvandaan de VPN-verbindingen waren opgezet.
Outsourcing
De man bleek zijn werk aan een Chinees consultancybedrijf te hebben uitbesteed. De programmeur, die een salaris van zes cijfers verdiende, liet zijn werk voor minder dan een vijfde van zijn salaris door het Chinese bedrijf uitvoeren. De authenticatie was geen enkel probleem, aangezien de man zijn RSA token via FedEx naar China had gestuurd, zodat de aannemer met zijn inloggegevens op het systeem kon inloggen. Daardoor leek het alsof hij netjes van 9 tot 5 werkte.
Een analyse van zijn surfgedrag maakte meer duidelijk. Als de man om negen uur binnenkwam, was hij eerst 2,5 uur bezig met het lezen van Reddit en het bekijken van video's van katten. Om 11:30 uur ging hij lunchen, gevold door 'eBay time' om 13:00 uur. Rond 14:00 uur werden de LinkedIn- en Facebookprofielen bijgewerkt. Om half vijf volgde een e-mail naar het management waarna de man om 17:00 uur naar huis ging.
Tevreden
Verder onderzoek wees uit dat man dezelfde 'scam' bij meerdere bedrijven in het gebied toepaste. Zo verdiende hij een paar honderdduizend dollar per jaar, en was hij voor het Chinese consultancybedrijf slechts 50.000 dollar kwijt.
Opmerkelijk genoeg waren alle bedrijven zeer te spreken over zijn prestaties, zo bleek uit de beoordelingen die de man had ontvangen. Zijn code was netjes, goed geschreven en op tijd opgeleverd. Daardoor werd hij regelmatig tot beste programmeur van het bedrijf uitgeroepen. Inmiddels is hij als programmeur bij het ene bedrijf opgestapt.
Vooral ook omdat alle bedrijven waar de man voor in dienst was zeer te spreken waren over 'zijn' prestaties.
En dat de goede man naar video's van katten keek, dat pleit alleen maar voor 'm :-)
Projectleiding en meerdere mensen aansturen is hem in elk geval niet vreemd.
Zolang het werk gedaan is, moet de baas niet klagen.
Ik vind dit eerder een slimme zet van de IT'er. Dat het moreel gezien oneerlijk is, is te wijten aan de wereldeconomie.
Een manager verdient mss nog een veelvoud van die IT'er en die doen worden soms betaald om helemaal niets te doen of de boel naar de zooi te helpen. Niet te vergeten dat ze dan ook nog bij banken een oprotpremie krijgen van een paar miljoen.
Ikzelf heb ook zo'n situatie meegemaakt. Ik had een collega die de hele dagen bezig was met data uit tekstbestanden aan het ingeven was in een excell. Toen hij het bedrijf verliet liet ie me weten dat ik dat ook in de toekomst zou moeten doen voor de boekhouding. Ik als IT'er vond dit niet mijn taak. Achteraf gezien zei ik hem dat je dat werk beter met een script veel sneller kon doen omdat het op zijn manier quasi belachelijk was. Die collega was natuurlijk niet blij en weigerde mijn script.
Toen ik het dus zelf moest doen, heb ik een script gemaakt waarbij zijn werk op 5 min geklaard was.
Zijn mond viel open den dat van mijn baas ook. Dus.. Die IT'er is imo gewoon slim geweest.
Vooral dat ie regelmatig tot beste programmeur van de toko is uitgeroepen, geniaal toch.
Eigenlijk verdient deze man een lintje.
Als je vraagt waarom ze liever programmeurs op kantoor hebben in plaats van verweggistan gaan ze ook nog zeggen dat ze dan meer controle hebben :)
Zeker weten, ik kijk zelf liever naar poesjes *-)
Wat kan het de manager schelen hoe het werk wordt gedaan, zolang het (uitstekend) wordt gedaan ???
Werknemer blij
een aantal chinezen blij
Katjes en poesjes blij
Wat zeurt een bedrijf dan?
ze moeten hem ad hoc directeur maken
Dat valt mij ook op, dit is niet goed te praten.
De man heeft fraude gepleegd en wordt op een Security website geprezen?!?!
Uit alle reacties begrijp ik dat het normaal gevonden wordt om je RSA token naar iemand in China te sturen.
(Dit tevens als reactie op Anoniem 10:41 en 10:46 uur.)
Maar weer het pijnpunt security, hé :)
lol
De man heeft fraude gepleegd en wordt op een Security website geprezen?!?!
Natuurlijk zal ongeveer iedereen hier (horen te) weten dat het eigenlijk niet kan, en dan vooral omdat inlogtokens naar China sturen waarschijlijk tegen een paar bedrijfsregels ingaat (en het nieuwe communistische gevaar verbeeldt, ook dat) maar het is wel elegant wat'ie gedaan heeft.
Denk er eens over na. Snelle pakkendragers verzinnen dat ze mensen op grote schaal kunnen ontslaan en hun werk door arme sloebers ergens in een overzees armesloeberië kunnen laten doen voor een fractie van de prijs. Saillant detail: Programmeren, denkwerk bij uitstek, wordt als minderwaardig handwerk weggezet door kennelijk constant benevelde MBAs. Daar maak je vrienden mee.
Helaas pindakaas weten ze niet genoeg van de materie om ook te weten of waar ze voor betalen het geld waard is; deze truuk werkt dus niet goed genoeg, en dus zie je een tegengestelde beweging opkomen. IT moet weer binnenshuis.
Maar ondertussen is er een hele industrie opgekomen in lage-lonenlanden waar toch behoorlijk wat ITkennis vergaard is. En deze figuur is kennelijk goed genoeg dat'ie wat'ie inkoopt wel op qualiteit kan beoordelen. Waarmee hij dit model voor zich laat werken, in plaats van voor de briljante MBAs die het eerst probeerden.
Er is een term voor zoiets: "Poetic justice". Snap je de reacties hier nu een beetje?
Er is geen data gestolen en/of gelekt, over het uitgevoerde werk was men tevreden.
Dus wat is nou eigenlijk het probleem?
Grote ondernemingen doen niet anders, alleen noemen ze het anders... :-)
En ook mooi om aan te geven dat het niet gaat om het opvolgen van allerlei bedrijfsregels naar de letter.Je kunt nooit alles afdekken/dichttimmeren etc. De organisatiecultuur is veel belangrijker.Spreekt men elkaar over en weer aan. Wat doet de manager/prjectleider van zo'n man. Kent de projectleider de programmeur uberhaupt?
In het kader van Het Nieuwe Werken zal de controle op dit soort uitbesteding nog veel moeilijker worden. "Work in the cloud". Interessant. Niet verbieden, maar risico's afdekken en kijken naar kansen. En bij dat inschatten van risico's kunnen wij natuurlijk een goede rol spelen. Misschien kunnen we dat ook wel uitbesteden naar China. Excuus: India, in verband met functiescheiding. (PS)
http://nakedsecurity.sophos.com/2013/01/17/security-team-fails-to-check-logs-lets-man-outsource-own-job-for-years/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.