Про  инсайдеров

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Защита информации в бизнесе »   Про инсайдеров
RSS

Про инсайдеров

<<Назад  Вперед>>Страницы: 1 2 3 4 5 ... ... 8 9 10 11 12 13
Печать
 
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://eldarmurtazin.livejournal.com/491914.html

[q]

...

Позвольте, перед тем как перейти к конкретике, рассказать вам историю становления полупроводникового бизнеса Samsung. В 80-е годы прошлого века, Samsung не имел технологий по производству чипов памяти, разработка чипа 256К была под угрозой. Для Samsung Electronics подобное положение дел было недопустимым, а конкуренты не хотели передавать технологии, объяснять, как они работают, как устроено производство. Путь был обнаружен после бесполезных попыток договориться с другими компаниями официально. Так, был найден корейский инженер, доктор Yim-sang Lee, работавший на Sharp, GE, IBM. Ему не предложили перейти на работу в Samsung, всего лишь попросили проконсультировать компанию. В свою очередь он привел в Samsung доктора Sang-joon Lee, отвечавшего в то время за разработку технологий производства полупроводников в Control data and Honeywell. Доктор Il-bok Lee, участвовавший в разработке 64K DRAM в Intel, а также National Semiconductor. Доктора Jong-gil Lee, эксперта Intersil, а также Synertek по увеличению производительности при производстве полупроводников. Из Western Digital и Intel, был привлечен доктор Yong-eui Park, дизайнер микросхем памяти. Этих инженеров привлекли к работе официально, предложив им зарплату в 4-5 раз большую, чем получал президент компании. В рамках предыдущих контрактов, эти инженеры могли работать на Samsung, чем и воспользовалась компания. Используя одного соотечественника, компания выстроила цепочку, с помощью которой собрала людей, которые и поделились своими знаниями, технологиями, создали в итоге продукт. Это было начало пути полупроводникового бизнеса от Samsung. Ранее компания привлекала для неофициальных консультаций выходного дня инженеров японских компаний, они работали неофициально и прилетали в Корею на выходные.

Приведенная история важна нам для того, чтобы понять, что ценность представляет не только информация о конкретных технологиях, продуктах, услугах, но и носителях этой информации. Для решения своей задачи, Samsung нашел соотечественника и использовал его как интерфейс для поиска других инженеров, в рамках диаспоры работающей вне родной страны, имеющей внутри дружеские и деловые контакты. В те годы, представить, что инженер западной компании, с опытом работы, хорошими знаниями, отправится на работу в Корею, было невозможно. Поэтому в Samsung использовали единственный доступный для них способ.

Теперь давайте представим на минутку, что мне понадобился список людей, работающих над проектом Maemo для Nokia и связанных с ним. Представляет ли такой список для меня как журналиста/аналитика интерес? Безусловно. Зная, имена людей, можно найти информацию об их предыдущих местах работы, опыте, образовании и так далее. То есть очертить круг интересов Nokia в области Maemo и основные направления разработки. Ключевые, публичные фигуры в мире Maemo известны, их презентации легко найти в сети. Но что делать с теми, кто и двигает эту махину, кто составляет основную движущую силу. Попросить такой список в Nokia? Думаю, что эта просьба вызовет смех.

Поэтому одновременно с публикацией первого взгляда на Nokia N900, я впервые стал писать в своем твиттере на английском языке, это были новости о Maemo. Первые записи стали появляться до материала, и они интриговали, мне понадобилась программа для снятия скриншотов. Признаюсь честно, что это была наживка для привлечения внимания и только. Как получать скриншоты на этом устройстве мне было известно задолго до этого. Ловля на живца.

Мои читатели порекомендовали мне различные способы, несколько человек меня добавили в свой список для чтения. Но пока основная задача не была решена, люди, которые интересовали меня не пришли. Потом был анонс материала в твитере, публикация ссылок на него и небольшие кусочки информации, которые могли заинтересовать моих коллег по рынку, сотрудников Nokia (Maemo, PR, безопасность, маркетинг). В течение дня, после публикации, у меня прибавилось число follower’ов, оно выросло примерно на 500 человек.

В течение нескольких дней, нам удалось идентифицировать около 144 сотрудников Nokia, в том числе тех, кто занимается Maemo и имеет собственные аккаунты в твитере. Технически это было реализовано крайне просто. Во-первых, были всплески чтения твитера и добавления в список для чтения. Они прекрасно прослеживаются и относятся к двум письмам, которые циркулировали внутри Nokia (PR, Maemo). Фактически, эти письма стали своего рода спусковыми крючками, когда сотрудники компании пришли, чтобы прочитать, что же такое написано и одновременно с этим ставили для себя закладку на будущее. В том сервисе, который их устраивал, которым они уже пользовались. Твитер пропагандировала сама компания, поощряла его использование. Работала с черным ящиком, действие которого не понимала. Создав задачу общаться для своих сотрудников, если хотите, сделав твитер модным внутри Nokia, не предусмотрела возможные изъяны этого подхода. Но пойдем дальше.

Во-вторых, не имея доступа к IP-адресам обращений к твитеру, наша головоломка немного усложнилась. На сервере, где были размещены статьи, мы видим каждое обращение, адрес и параметры устройства. Специально для данного случая, мы анализировали весь поток информации. В реальном режиме времени, мы могли видеть, как много людей пришло из Nokia. Мой вывод о нескольких письмах и зиждется на той активности, что проявили сотрудники Nokia. Это было две волны посещений, каждая основана на неком событии, письме содержащем ссылку на наш ресурс. Учитывая, что технические средства защиты у компании отличны, мы видели только адреса шлюзов, а не конкретные машины. Но и этого было достаточно. Не буду вдаваться в подробности, раскрывать все небольшие трюки, для описываемой ситуации они не так важны. Главное, что наложив потом таблицу с посещениями статьи, на подписку на мой твитер, мы получили ровно те же две группы людей. Определить, кто из них относится к каким подразделениям компании, оставалось делом техники. Было достаточно прочитать их записи в твитере, чтобы понять, кто и за что отвечает.

Нашу работу крайне облегчили люди, которые указывали свои реальные данные, имя и фамилию. Даже не применяя перекрестный анализ, только по финским именам можно было бы догадаться, откуда пришли все эти люди. В последующие несколько недель, наш партнер в одной из стран с весьма мягким законодательством, точнее отсутствующим вовсе в области защиты персональных данных, обрабатывал все результаты. В итоге мы получили базу данных, по сотрудникам компании участвующим в проектах, все значимые отзывы, которые они делали в сети, наработали огромный объем различной информации.

Используя исключительно открытые источники, публично доступные инструменты, нам удалось получить информацию, которую невозможно достать каким-либо образом. Какую ценность представляет данная информация? Огромную. Зная отрасль, тенденции в ней, не представляет никакого труда, построить прогноз на последующие полтора года о происходящем в мире Maemo. Для получения аналогичного объема информации по старинке, нам пришлось бы найти инсайдеров в компании, каким-то образом вынудить их поделиться информацией, что представляет собой наказуемое деяние, нарушает закон, а также просто некрасиво. При наличии публичных, доступных, бесплатных инструментов, надобность в краже со взломом просто отпадает. Информация лежит в свободном доступе, нам остается только собрать эти золотые крупинки, просеять через сито и получить золотое руно.

Как вы считаете, сработала политика безопасности Nokia в этой ситуации или нет? Ответ очевиден, компания не понимала степени угрозы, возможности данной угрозы и не была к ней готова. Думаю, что до публикации этого эссе, компания даже не задумывалась о потенциальной возможности таких «утечек». Какой вывод компания может сделать из этого урока? Можно повально запретить использование данной услуги, что принесет также дополнительную информацию. Неактивность множества аккаунтов с определенного времени, либо неактивность в определенные рабочие часы и так далее. Пора понять, что в цифровом, информационном мире, любое действие оставляет свой след, не всегда воздействует на среду напрямую, зачастую косвенно. Методики сбора такой косвенной информации были разработаны еще в 30-е годы прошлого века и состоят на вооружение разведок большинства крупных стран. В цифровой среде, надо было только адаптировать давно известные, существующие методики. И, безусловно, приложить знания тематики, тенденций, чтобы суметь связать воедино информацию. Без этого завершающего штриха, вся информация так и остается сырой, необработанной породой и не представляет ценности.


[/q]
CI-KP
Администратор

Откуда: Екатеринбург
Всего сообщений: 5730
Рейтинг пользователя: 24


Ссылка


Дата регистрации на форуме:
15 мая 2009
Vinni, спасибо! :good:

---
Ющук Евгений Леонидович, профессор УрГЭУ. www.razvedka-internet.ru; www.ci-razvedka.ru
Не всегда нужно стремиться совершать кражу со взломом там, где можно войти через дверь.
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.anti-malware.ru/forum/index.php?showtopic=16212&st=0&p=119872&#entry119872

[q]

На днях состоялся суд над бывшей сотрудницей Sprint-Nextel,. Эми Куснел, 29 лет, обвиненной в краже персональных данных. Девушка направляла информацию, изъятую из журналов звонков агентов управления по борьбе с наркотиками, главе преступной группировки Майклу Олсену, занимающейся продажей наркотиков. Используя данную информацию, Олсен «убирал» свидетелей.
...
По данному делу проходило 20 подозреваемых, руководителем которых был Майкл Олсен, 36 лет, уроженец г Милтон. Он управлял группировкой, которая продавала кокаин в северозападной части Вермонта. Как заявлено в обвинении, Олсен держал небольшой магазн автозапчастей Rizzo Bros, расположенный на Комерс авеню в южной части Берлингтона. Магазин был открыт в 2005 году и делал небольшую выручку, однако он оказался лишь прикрытием для действий организации, которая занималась поставкой огромных партий кокаина.
...
Что касается Куснел, сотруднице (теперь уже бывшей) Sprint-Nextel, под руководством Олсена она периодически (20 раз) заглядывала в журнал звонков агентов управления по борьбе с наркотиками и переправляла данную информацию Олсену. А он, как утверждается в иске, использовал данную информацию для уничтожения свидетелей, которые пытались связаться с управлением. С одним из них Олсен успел расправиться, а второго запугал. Однако отмечается, что Куснел не знала, как наркодиллер использует предоставленную информацию.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
сотрудники VodaFone "сливают" за деньги информацию о клиентах

[q]

--Vodafone Data Security Breach
(January 9 & 10, 2011)
The Australian Privacy Commissioner is investigating reports that Vodafone customers' personal information was compromised. Vodafone retail and dealer staff members were allegedly provided with login credentials that allowed them to access the company's customer database, which contains names, driver's license and credit card numbers and call records. A journalist has reported that criminals were paying for information contained in the database and that some people were using their access to snoop on spouses' communications. The breach reportedly affects as many as four million Vodafone customers.
www.securecomputing.net.au/News/243761 ,privacy-commissioner-investigates-alleged-vodafone-breach.aspx
www.thetechherald.com/article.php/201102/6668/Vodafone-investigated-by-Australian-Privacy-Commissioner
www.smh.com.au/technology/security/vodafone-mobile-records-leaked-20110108-19jgm.html
computerworld.co.nz/news.nsf/news/australian-privacy-commissioner-to-investigate-vodafone-breach
www.smh.com.au/technology/security/mobile-security-outrage-private-details-accessible-on-net-20110108-19j9j.html
www.smh.com.au/national/vodafone-probes-its-security-20110109-19jv5.html

[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.anti-malware.ru/news/2011-01-13/3515
[q]

На этой неделе суд приговорил бывшего сотрудника управления по транспортной безопасности (УТБ) к двум годам лишения свободы за попытку внедрения вредоносного кода в систему проверки пассажиров.

Сорокашестилетний Дуглас Джеймс Дучак, житель города Колорадо Спрингс, США, в течение пяти лет трудился в УТБ в качестве аналитика департамента информационных технологий. Помимо этого, за его плечами 25 лет опыта работы на аналогичных позициях.

Согласно сообщению, 23 октября 2009 года руководство управления решило освободить его от занимаемой должности, попросив освободить место к концу месяца. Перед тем как уйти со службы, рассерженный аналитик решил отомстить работодателю, внедрив в систему вредоносный код. Вредонос мог отключить полностью систему проверки пассажиров, таким образом помешав агентам по безопасности предотвратить проникновение террористов на борт самолета.

Но, к счастью, попытка не удалась: код не был активирован. Спустя несколько часов подозреваемый был пойман «с поличным». Дело в том, что камерами наблюдения, установленными в секретной зоне, было зафиксировано, что Дучаг воспользовавшись компьютером коллеги, скопировал вредонос в систему. По всей видимости, таким образом он пытался замести следы своих деяний.

В суде, Дучак принес извинения компании и объяснил свои действия тем, что сообщение руководства ввергло его в шок. Однако, он признал себя виновным по предявленному обвинению.

Судья же, учитывая безупречную службу подсудимого, отнеся к нему благосклонно. Помимо 2х лет лишения свободы, Дучак будет должен возместить убытки компании в размере $60587, которые были потрачены на расследование и восстановление системы, а также пройти курс терапии в психиатрической клинике.

Напомним, что по этой статье предполагается наказание в виде 10 лет лишения свободы и штрафа в размере 250000 долларов.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

[q]

--Bank Employee Sold Customer Data
(January 13, 2011)
A Singaporean bank executive sold customer information to a number of people, including an illegal money lender. Sazaly Selamat was experiencing financial difficulties, including repossession of his car.
One of the people repossessing the vehicle discovered that Sazaly could access his employer's customer database and paid him for customer data.
An illegal bookmaker also became one of Sazaly's clients and paid Sazaly for information on people who owed him money. Sazaly pleaded guilty to charges of corruption and accessing the bank's customer information system without authorization.
admpreview.straitstimes.com:90/vgn-ext-templating/v/index.jsp?vgnextoid=91444c23faa7d210VgnVCM100000430a0a0aRCRD&vgnextchannel=cf70758920e39010VgnVCM1000000a35010aRCRD
www.channelnewsasia.com/stories/singaporelocalnews/view/1104257/1/.html
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.anti-malware.ru/news/2011-01-29/3573
[q]

В настоящее время публикация конфиденциальных данных в сети становится обычным делом. Однако в зависимости от информации, которая стала доступна общественности, может зависеть дальнейшее состояние компании.

Как стало известно, конфиденциальные документы, в которых содержались результаты торгов по Kinect и Office 2010 появились в сети раньше времени. Ошибка произошла по вине одного сотрудника компании Microsoft, опубликовавшего квартальный отчет за час до закрытия биржи. Там содержались данные о котировках и ценах на продукты, которые устанавливаются по результатам торгов, а также данные о прибыли предприятия за прошедший квартал.

К моменту обнаружения утечки, информацию успели прочитать не многие, однако она была проиндексирована поисковой машиной Selerity и помещена в новостной раздел по биржевым сводкам StockTwits. Как сообщили представители Selerity, аналитики проверили отчет и, поскольку он не был помечен как проектный, они опубликовали его на сайте.

Однако данные уже попали к трейдерам. Стоит отметить, что подобные документы являются коммерческой тайной до того, как прозвучит сигнал о закрытии биржи. В случае раскрытия такой информации торги могут привести в лучшем случае к снижению котировок, а в худшем - к потере бизнеса.

К счастью, данный инцидент лишь вынудил компанию досрочно опубликовать документы о финансовом состоянии, которые планировалось раскрыть через официальные источники по завершению торгов.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

_ttp://secinsight.blogspot.com/2011/01/1.html
[q]

Этот пост представляет собой мой перевод статьи, описывающей случаи нарушения информационной безопасности привилегированными пользователями. Оригинальный текст расположен здесь.


Итак сама статья (часть 1):


Это худший ночной кошмар CIO: вам звонят из Business Software Alliance (BSA) и сообщают, что часть программного обеспечения Microsoft, которое вы используете, может быть пиратским.


Вы проводите расследование и находите, что мало того, что ваше программное обеспечение незаконно, так оно еще и было продано вам компанией, которой тайно владеет и управляет никто иной как ваш ИТ-администратор, которому вы доверяете свою ИТ-инфраструктуру уже более 7 лет. Дальше больше, начав разбираться в деятельности этого администратора, вы обнаруживаете платный порно-сайт, развернутый на одном из корпоративных серверов. Также вы обнаруживаете, что он загрузил не менее 400 номеров кредитных карт ваших клиентов с сервера онлайн-коммерции вашей организации.


И самое страшное: это единственный человек, владеющий административными паролями к большинству систем.
Думаете такого не может быть ? На самом деле это произошло с крупной (годовой оборот 250 млн.$) ритейл-компанией из Пенсильвании. Компания держит информацию об этом инциденте в секрете, данные удалось получить от консалтинговой компании, нанятой для расследования данного инцидента.
Несмотря на то, что в прессе периодически появляются сообщения об ИТ-специалистах, организовавших саботаж (например, история с Terry Childs, администратором сети города Сан-Франциско) большинство компаний стараются сохранить подобные случаи в секрете от широкой общественности.
Ежегодный отчет журнала CSO, секретной службы США (U.S. Secret Service) и CERT (проект Software Engineering Institute at Carnegie Mellon University) показывает, что три четверти компаний, которые становятся жертвами инсайдеров, решают вопрос внутри и не «выносят сор из избы». Так что то, что становится известным, это лишь вершина айсберга.


Однако, сохраняя все в тайне, такие компании лишают других возможности извлечь уроки из произошедшего. CERT в свою очередь пытается заполнить эту брешь. Эта организация занимается изучением инсайдерских угроз с 2001 г, за это время удалось собрать данные по более чем 400 случаям. В своем последнем отчете 2009 года Common Sense Guide to Prevention and Detection of Insider Threats" (PDF), содержащем анализ более чем 250 случаев, CERT определяет некоторые наиболее типовые ошибки, которые совершают компании, к которым относятся: недостаточные проверки при приеме на работу, недостаточный мониторинг и контроль привилегий доступа, игнорирование типичных настораживающих индикаторов в поведении персонала.
Угрозы, исходящие от привилегированных ИТ-пользователей, наиболее сложные в обнаружении, т.к. часто их преступная активность выглядит также как и рядовые операции, выполняемые ими каждый день в рамках своих служебных обязанностей. Они постоянно редактируют или создают какие-то скрипты, правят код и пишут программы, это не является какой-либо аномалией. Они очень точно знают слабые места в безопасности организации и знают как замести следы. Нельзя полагаться только на технологии или какую-то одну превентивную меру, для того чтобы защититься от злоумышленника в лице ИТ-специалиста. Здесь необходимо взглянуть на всю картину шире.
Следует не только следить за тем, что они делают в Интернет, но за тем, что происходит на их рабочем месте (их поведение, общение с коллегами, высказывания и пр.)
В этой статье Computerworld публикует некоторые из историй, которые никогда не были широко освещены в прессе.


Пиратское программное обеспечение и не только


История с компанией-ритейлерем из Пенсильвании произошла в начале 2008 г. Все началось с пришедшего в компанию уведомления от BSA о том, что производитель программного обеспечения, компания Microsoft, обнаружила нарушения лицензионных соглашений.
Microsoft отследила сделку по продаже подозрительного программного обеспечения и вышла на системного администратора этой компании (назовем его Эд). Компания-консультант, которая была тайно нанята, для того чтобы расследовать инцидент, обнаружила, что Эд продал через свою компанию своему же работодателю пиратское программное обеспечение от таких производителей, как Microsoft, Adobe и SAP на сумму более чем 500 тыс. долларов.
Расследование также выявило стабильно высокий уровень сетевого трафика, что скорее было бы характерно для продолжительной сетевой атаки. Источником сетевой активности как оказалось был один из серверов компании, на котором было обнаружено более чем 50 тыс. порнографических фотографий и более 2,5 тыс. видео-роликов.
Вдобавок, в результате изучения рабочей станции Эда был обнаружен excel-файл, содержащий сотни номеров кредитных карт, полученных с сайта, используемого компанией для осуществления онлайн-коммерции. Несмотря на то, что ничто не указывало на то, что эти номера были как-то использованы, сам факт нахождения этой информации на рабочей станции Эда указывал на его желание либо воспользоваться ей в личных целях либо перепродать заинтересованным лицам.
Финансовый директор, получивший телефонный звонок из BSA, и другие представители высшего менеджмента стали опасаться того, что Эд может что-то предпринять в случае возможной конфронтации. Он был единственным человеком, который владел административными паролями, включая пароли для роутеров/маршрутизаторов сетевого ядра, сетевых свитчей, корпоративного VPN, HR-системы, почтового сервера, Windows Active Directory, рабочих станций Windows.
Это означало, что Эд «держал в заложниках» практически все ключевые бизнес-процессы компании, включая корпоративный веб-сервер, электронную почту, систему финансовой отчетности и бухгалтерию, он что называется владел «ключами от королевства».
В итоге руководство компании и нанятые консультанты смогли придумать производственную задачу, которая потребовала от Эда совершить многочасовой ночной перелет в Калифорнию. Длительный перелет дал команде консультантов временнOе окно приблизительно в 5 часов, в течение которого Эд фактически не мог получить доступ к системе.
Работая как можно быстрее, команда «прошерстила» всю сеть и полностью сбросила все пароли. Когда Эд приземлился в Калифорнии его уже ждал операционный директор компании, который вручил ему уведомление о немедленном увольнении.


Последствия для компании


По приблизительным оценкам инцидент стоил компании порядка 250 - 300 тыс.$, в которые включены стоимость работы привлеченных консультантов, стоимость авиабилетов для Эда, расходы на судебный процесс против бывшего ИТ-администратора, стоимость найма временного сетевого администратора и нового CIO, а также стоимость легализации приобретенного пиратского программного обеспечения.


Превентивные меры


Что могло бы предотвратить этот инцидент ?


Во-первых, конечно же, как минимум еще один человек должен был знать все пароли. Хотя в данном случае куда более определяющим фактором стало отсутствие системы разделения полномочий. У ритейлера была небольшая ИТ-команда из 6 человек и Эду были доверены как обязанности по администрированию, так и по обеспечению безопасности, что означало, что он фактически должен был контролировать сам себя.
Разделение полномочий как правило представляет собой довольно сложную задачу в компаниях с небольшим количеством ИТ-персонала. В данном случае рекомендуется вести мониторинг всего, включая анализ логов, сетевого трафика, изменений в конфигурации систем, и поручать этот мониторинг кому-то другому кроме системного администратора или его руководителя. Также очень важно, чтобы ИТ-персонал понимал, что за ним «наблюдают».


Во-вторых, компания не проводила досконального изучения анкетных данных Эда (background check). По данным исследования CERT, порядка 30% инсайдеров, совершивших саботаж, имели в прошлом (до принятия на работу) проблемы с законом. На самом деле любые несоответствия (фальсификации) анкетных данных, даже самые безобидные, должны сразу вызывать настороженность. Несмотря на то, что компания провела проверку Эда на предмет возможных прошлых конфликтов с законом (он был чист), не была проведена необходимая проверка других сведений из его резюме, некоторые из которых как позже выяснилось были фальшивыми (например, у него не было степени MBA как он утверждал в своем резюме).


Ну и в-третьих поведение Эда также должно было вызвать настороженность. С окружающими он вел себя так, будто бы он всегда был умнее всех остальных. Он был самоуверен, дерзок и крайне пренебрежительно относился к другим людям.
В CERT выяснили, что злоумышленники часто оказываются довольно асоциальными личностями. Практически нет ни одного случая, в котором после обнаружения преступления окружающие бы говорили: «Не могу поверить — он был таким милым парнем».
...

[/q]

Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://secinsight.blogspot.com/2011/01/2.html

[q]

Аутсорсинг и месть недовольных сотрудников


Салли — системный администратор и менеджер баз данных, проработавшая более 10 лет на компанию-производитель потребительских товаров, входящую в список 500 крупнейших компаний (Fortune 500). Она была одним из наиболее доверенных и компетентных ИТ-сотрудников, тем кто мог решить практически любую проблему. По этой причине за время работы уровень ее привилегий доступа к сетевой инфраструктуре значительно превысил тот, который был ей необходим для выполнения ее функциональных обязанностей. Это довольно стандартная ситуация во многих компаниях, ведь никогда нельзя быть уверенным в том, что дополнительные привилегии не понадобятся для решения срочных проблем. Салли довольно часто работала из дома, используя для этого корпоративный ноутбук, настроенный для выполнения задач с использованием повышенных привилегий.


Корпоративная культура предполагала, что к таким сотрудникам как Салли было особенное отношение, такие сотрудники имели возможность обходить некоторые правила и политики, они, например, могли сами решать какое дополнительное программное обеспечение будет установлено на их системах. Но когда компания решила перевести большую часть ИТ-сервисов на аутсорсинг в Индию, Салли восприняла это как предательство. Хотя компания еще не уведомила ИТ-персонал, для большинства из них было понятно, что им недолго осталось работать в компании.


Салли решила отомстить. Перед своим увольнением она заложила «логическую бомбу», которая вызвала сбой всей серверной инфраструктуры сразу после ее ухода.


Поначалу в компании никто не мог понять причину сбоя, было произведено переключение на резервные сервера, но Салли заложила бомбу и там. Устранить сбой оказалось не так просто, т.к. поначалу не удавалось определить причины, которые лежали в основе сбоя, ведь разозленный ИТ-сотрудник может нанести очень большой ущерб таким способом, который очень трудно определить и устранить.


В конечном счете все же удалось установить и доказать, что за произошедшим сбоем стояли действия Салли и в отношении нее было возбуждено судебное дело. В обмен на согласие Салли помочь в устранении последствий сбоя дело в отношении нее было закрыто. Салли также обязалась хранить молчание о произошедшем инциденте, потому как у менеджмента не было никакого желания увидеть Салли на ток-шоу Опры Уинфли с рассказом о том, как она устроила сбой в работе компании из списка Fortune 500.


Стоимость для компании


Оценочная стоимость для компании: 7 млн.$, в которую входит 5 млн.$ операционных потерь (сбой в работе бизнес-процессов и потенциально упущенные клиенты) и 2 млн.$ расходов на привлечение консультантов для проведения расследования инцидента.


Превентивные меры


В чем был просчет компании ? Во-первых, этот инцидент — это классический пример «превышения полномочий», который случается когда работнику даются дополнительные привилегии для выполнения определенной частной задачи, а в последствии не отзываются, хотя больше уже не нужны работнику.
Во-вторых существующая в компании культура привела к отсутствию разделения полномочий и слабому контролю за ИТ в результате чего были упущены индикаторы, свидетельствующие об определенных проблемах. Во время расследования инцидента было установлено, что за последние 3 года Салли «потеряла» 11 ноутбуков. Служба технической поддержки компании знала об этом, но не придавала этому значения, из-за высокого доверенного статуса Салли. Никто не знал, что она делала с этими ноутбуками, возможно она была просто рассеяна, что само по себе тоже плохо, при том уровне полномочий, которыми она обладала и теми задачами, которые она выполняла с использованием своего ноутбука.
В-третьих, с учетом напряженной атмосферы, вызванной решением об аутсорсинге, компании следовало быть более осторожной по части отслеживания потенциального недовольства сотрудников.
Даже если и не было официального объявления, глупо думать, что подчиненные не догадываются о том, что происходит, не стоит недооценивать возможности «сарафанного радио».
Наиболее выгодной тактикой в данной ситуации было бы, пожалуй, публичное объявление о планах компании, а также о том, что в связи с этим вводится система мониторинга действий персонала.
По данным CERT, многочисленные случаи саботажа являются результатом действий, вызванных желанием мести обиженных работников. И это может происходить со скоростью одного клика (яркий тому пример будет представлен в следующей статье).

[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://secinsight.blogspot.com/2011/02/blog-post_06.html

[q]

Крайне неудачное увольнение


После модернизации системы информационной безопасности в компании, входящей в список Fortune 100, было выявлено, что одним из ключевых системных администраторов, проработавшем на тот момент в компании уже более 8 лет (назовем его «Фил»), были проведены изменения на сервере, на котором размещается веб-сайт компании. Изменения заключались в том, что по определенной ссылке, состоявшей из имени веб-сайта и определенной буквенной комбинации можно было перейти на страницу, на которой администратором была организована бойкая торговля контрабандным оборудованием для спутникового ТВ, произведенным в Китае.
Хорошая новость - модернизация системы безопасности позволила поймать злоумышленника. Плохая новость заключается в том, что плохо организованная процедура увольнения дала ему возможность нанести ответный удар.
Так как компания, о которой идет речь, также занималась продажей высокотехнологичного оборудования, у руководства было огромное желание как можно скорее избавится от Фила и его веб-сайта с контрабандными товарами, опасаясь возможных исков со стороны производителей оборудования для спутникового ТВ. Но пока менеджер Фила и персонал службы безопасности были на пути к офису, где работал Фил, сотрудник службы кадров позвонил ему и попросил оставаться на месте и никуда не уходить. Что именно и как этот сотрудник сказал Филу неизвестно, но тот понял, что за ним «уже идут».
Воспользовавшись своим уровнем полномочий системного администратора, Фил немедленно удалил цепочку корпоративных ключей шифрования. Менеджер Фила и сотрудники службы безопасности вошли в его комнату как раз в тот момент, когда он нажал на клавишу Delete. От него потребовали прекратить любые дальнейшие действия и отойти от терминала, но было уже слишком поздно.
Удаленные файлы содержали все ключи шифрования для компании, включая специализированный мастер-ключ (escrow key), который позволял расшифровать любой файл любого сотрудника. Большинство сотрудников хранили свои личные ключи шифрования на своих рабочих станциях, но удаленная цепочка ключей содержала уникальные ключи для минимум 25 сотрудников, работавших в юридическом и контрактном отделах. Это означало, что все, что было зашифровано этими сотрудниками за последние 3 года работы (с момента запуска общей системы шифрования), было фактически потеряно.


Стоимость для компании


Точная стоимость от инцидента не оценивалась, но предварительно потеря файла цепочки ключей шифрования стоила компании 18 человеко-лет потерянной работы, включающей в себя работу по воссозданию зашифрованной информации из черновиков, архивов электронной почты и других не зашифрованных документов.


Превентивные меры


В данной ситуации компания совершила две критические ошибки. Во-первых стоило немедленно отключить любой доступ для Фила, чтобы исключить возможность любых ответных действий. Кроме того стоило безусловно создавать резервные копии наиболее критичной информации (как минимум). По злой иронии судьбы, файлы цепочки ключей шифрования считались настолько чувствительной информацией, что создание копий этих файлов было исключено.


Лучшая защита - многоуровневая


Основной урок из всех описанных историй это то, что ни одна защитная мера сама по себе не сможет защитить вас от злоумышленников из среды ИТ-персонала. У вас может быть отличная система информационной безопасности, как та, что помогла обнаружить несанкционированный веб-сайт Фила, однако простая ошибка со стороны отдела кадров может привести к катастрофе. Или это могут быть оставшиеся без внимания изменения в характере и поведении, как в случае с Салли.
Необходима комбинация технических и организационных решений, но руководство компаний очень сложно убедить в реализации обоих направлений. Руководство как правило возлагает большие надежны на ту или иную техническую систему, призванную решить проблему, особенно в условиях когда сами разработчики этих систем обещают это в своих презентационных материалах.
Это непросто признать. Ведь даже с появлением все большего числа страшных историй, связанных с злонамеренной деятельностью ИТ-персонала, большинство директоров компаний по-прежнему думают, что это никогда не случится с ними, до тех пор пока это в какой-то момент не произойдет.

[/q]
<<Назад  Вперед>>Страницы: 1 2 3 4 5 ... ... 8 9 10 11 12 13
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Защита информации в бизнесе »   Про инсайдеров
RSS

Последние RSS
Open Source Intelligence (OSINT) Tools and Resources Handbook
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
Безопасность данных в MS Access
Слово как улика
20 Recon and Intel Gathering Tools used by InfoSec Professionals
What’s Changed?
10 альтернативных поисковиков
Ситуационный центр главы Республики Коми
Развёртывание ситуационных центров на базе технологии Avalanche
Как принимать сложные решения. Советы бывшего оперативника ЦРУ.
Открытая информация о "Новичке" из сети интернет.
Ген. директор "ОЗХО" Ахмет Узюмдж о "Новичке" и хим. атаке в Сирии
Онлайн-сервисы для Twitter
Коллекция для Twitter
Приложение Opera VPN закрывается
О работе разведки
Deep web и 11 поисковиков по нему
Об изначальной "лживости" любых документов
Обновление на блоге HRазведка

Самые активные 20 тем RSS
Стандартные источники информации в СайтСпутнике
Слово как улика
Open Source Intelligence (OSINT) Tools and Resources Handbook
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
WebSite Watcher
Безопасность данных в MS Access