Admin po złej stronie mocy

Jeden nieuczciwy pracownik może sprawić większe szkody niż cała armia włamywaczy komputerowych. Przedstawiamy trzy przykłady najgorszych scenariuszy.

Jednym z koszmarów głównego informatyka jest wizyta pracowników organizacji Business Software Alliance powiadamiających, że część zakupionego oprogramowania mogą stanowić nielegalne kopie. Po sprawdzeniu okazuje się, że oprogramowanie Microsoftu, Adobe i SAP rzeczywiście jest pirackie i zostało sprzedane przez firmę jednego z pracowników IT, który cieszył się zaufaniem przez 7 lat. Dalsze poszukiwania udowadniają, że na jednej z maszyn pracuje serwer sprzedający pornografię (razem 50 tys. zdjęć i 2500 filmów), a z systemu zostały skradzione wrażliwe informacje klientów, m.in. 400 numerów kart kredytowych. Tymczasem tylko ta osoba ma dostęp do haseł dających uprawnienia systemowe, wliczając hasła do routerów sieciowych, zapór i przełączników, koncentratorów VPN, systemu HR, poczty elektronicznej oraz domeny Windows. Zdarzenie wydaje się nieprawdopodobne, ale faktycznie wystąpiło w firmie handlowej z Pensylwanii w 2008 r. Sprawę zatuszowano. Jeśli tylko wiadomość nie trafi na okładki gazet, zazwyczaj jest utrzymywana w sekrecie.

Uprzywilejowanego pracownika trudno zwolnić

Tablica niesławy

Zagrożenie atakiem od wewnątrz jest jak najbardziej realne. Pracownicy IT byli niejednokrotnie związani z hackingiem, planowaniem bomb logicznych, kradzieżą pieniędzy lub kodu.

2011:

- Inżynierowi IT w British Airways udowodniono planowanie ataku terrorystycznego na jemeńskiego radykalnego kleryka.

2010:

- Pracownik działu IT w Bank of America został uznany winnym modyfikacji bankomatu, by niezauważenie móc wypłacać pieniądze.

- Najemny programista został zwolniony z Fannie Mae i oskarżony o umieszczenie bomby logicznej, która miała za zadanie zniszczyć dane z blisko 5 tys. serwerów firmy.

- Programiście Goldmanowi Sachsowi udowodniono kradzież kodu związanego z obsługą szybkich transakcji giełdowych.

- Pracownik IT został uznany winnym kradzieży około 2 mln USD z czterech firm kredytowych, którym świadczył usługi.

2008:

- Administrator systemów w Medco Health Solutions, zagrożony zwolnieniem, zainstalował bombę logiczną w sieci, by zniszczyła dane.

2006:

- Administrator systemów w UBS PaineWebber został uznany winnym umieszczenia bomby logicznej, która objęła około 1 tys. komputerów w firmie, straty sięgały 3 mln USD.

Zwolnienie pracownika, który jako jedyny ma uprawnienia systemowe, może nie być proste ze względu na sprawowanie przez niego kontroli nad wszystkimi procesami IT odpowiedzialnymi za utrzymywanie ciągłości pracy w firmie. Aby to wykonać w przedstawionym wyżej przypadku zlecono podejrzanemu udanie się do Kalifornii, co wymagało kilkugodzinnego lotu i uniemożliwiało mu dostęp do firmowej sieci. W tym czasie specjaliści zdołali opracować mapę sieci i wszystkich zasobów, resetując wszystkie hasła. Po udanej operacji nieuczciwego pracownika zwolniono. Cały incydent kosztował firmę 250-300 tys. USD.

Bomba w ramach zemsty

Jedna z firm znajdujących się na liście Fortune 500 zdecydowała się na pełny outsourcing, przenosząc wsparcie i obsługę IT do Indii. Administrator, który pracował w tej firmie od 10 lat i cieszył się opinią złotej rączki, był niezadowolony z przenoszenia obsługi na zewnątrz i postanowił utrudnić to zadanie. Ponieważ przez lata rozwiązywał coraz poważniejsze problemy, miał znacznie wyższe uprawnienia, niż były niezbędne do wykonania zadań, ponadto bardzo często pracował z domu na specjalnie skonfigurowanym laptopie. W firmie przez lata panowała niepisana zasada, że "gwiazdy" IT posiadały specjalne zasady, w tym znacznie wyższe uprawnienia. Uprawnienia te zostały wykorzystane do umieszczenia bomb logicznych, które miały za zadanie zatrzymanie obsługi procesów biznesowych po odejściu pracownika. Ponieważ firma nie miała pojęcia o przyczynie przerwy w pracy, gdyż awarie następowały w całkiem losowy sposób, przełączono się na rezerwowe serwery, niemniej bomba została umieszczona także tam. Ostatecznie udało się znaleźć prawdziwą przyczynę awarii i dokonano konfrontacji - w zamian za odstąpienie od kroków prawnych były pracownik zgodził się naprawić poczynione szkody w systemach i zachować wszystko w tajemnicy. Szacowany koszt tego incydentu wyniósł około 7 mln USD, z czego 5 mln objęły koszty dodatkowe, takie jak straty związane z przerwami w pracy, a 2 mln USD - wynagrodzenia firm doradczych, prawników i specjalistów do spraw informatyki śledczej.

Zdarzenie to klasyczny przykład eskalacji uprawnień, co może się zdarzyć wtedy, gdy uprawnienia są nadawane, by osoba mogła wykonać żądane zadanie, ale po jego zrealizowaniu nie odwołuje się niepotrzebnych już przywilejów. W tym przypadku nałożył się jeszcze niski nadzór nad pracownikami - wspomniany administrator "zagubił" aż 11 laptopów w ciągu ostatnich 3 lat pracy. Chociaż pracownicy help desku wiedzieli o tym, nie zgłaszali sprawy przełożonym, ze względu na wyjątkowy status "złotej rączki".

Przy podejmowaniu decyzji związanych z zatrudnieniem pracowników utajnianie wszystkiego jest błędem, gdyż ludzie i tak tę wiedzę pozyskają. Zatem jeśli nie monitoruje się przy tym pracowników IT, jest to dobry moment, by zacząć to robić. Najlepiej ogłosić to publicznie.

Szybki odwet złego admina

Według CERT, większość aktów sabotażu jest wywołanych przez zwolnionych pracowników, którzy chcą się zemścić na byłym pracodawcy. Operacje te mogą odbyć się bardzo szybko, niekiedy w ciągu zaledwie sekund.

Przypadek, o którym mowa, zdarzył się w firmie z listy Fortune 100. Gdy w organizacji wdrożono nowe reguły polityki bezpieczeństwa, odkryto, że jeden z administratorów, od ponad 8 lat był obdarzony zaufaniem, do korporacyjnego serwera dodał stronę, która reklamowała sprzedawane pirackie odbiorniki TV-SAT, głównie importowane z Chin. Dobrą wiadomością było wykrycie tego nadużycia przy audycie, złą - partacko wykonana procedura zwolnienia pracownika, dająca mu szansę na dokonanie sabotażu.

Gdy przełożeni poszli przygotować właściwe dokumenty, dział HR zadzwonił do podejrzanego i nakazał mu stawienie się. To wystarczyło, by zrozumiał przyczynę wezwania, zatem podjął bardzo szybkie działanie - nie wylogowując się z sieci, skasował korporacyjny zestaw kluczy szyfrujących, dosłownie na oczach przełożonego i menedżera ds. bezpieczeństwa, którzy się właśnie stawili w jego pokoju. Zestaw ten obejmował wszystkie klucze szyfrujące wykorzystywane w organizacji, włącznie z kluczem escrow, który umożliwiał odzyskanie dokumentów każdego z pracowników. Chociaż większość pracowników przechowywała klucze szyfrujące na stacjach roboczych, w skasowanych zasobach nadal były jedyne kopie kluczy 25 pracowników, głównie z działu prawnego i kontraktów, a także jedyna kopia firmowego klucza umożliwiająca odtworzenie tej zawartości. W ten sposób utracono wszystkie dokumenty zgromadzone w ciągu trzech lat od czasu wdrożenia szyfrowania, gdyż stały się nieczytelne. Firma, obawiając się ryzyka związanego z utratą danych, nie posiadała kopii klucza escrow. Skutki utraty kluczy były poważne, gdyż koszt odzyskania danych odpowiadał pracy osiemnastu ludzi przez rok.

Firma popełniła błąd, gdyż prawidłowe działanie powinno polegać na natychmiastowym zablokowaniu dostępu dla wszystkich zasobów, do których miał dostęp podejrzany, a dopiero w drugiej kolejności powiadamianie działu HR o niezwłocznym zwolnieniu pracownika mającego tak wysokie uprawnienia.

Obrona za pomocą wielu czynników

Najważniejszy wniosek, jaki można wyciągnąć z powyższych przykładów: pojedynczy środek zaradczy nie zapewni ochrony przed pracownikami, którzy chcą wyrządzić firmie szkody. Nawet jeśli wprowadzi się zaawansowane rozwiązania techniczne, pojedynczy błąd (taki jak wspomniany błąd związany z działem HR) może prowadzić do katastrofy. Podobnie problemy mogą dotyczyć istotnych wskazówek, których nie wolno było wcześniej przeoczyć.

Wierzchołek góry lodowej

Coroczna ankieta przeprowadzana przez magazyn CSO, amerykańską agencję Secret Service oraz CERT (program na uniwersytecie Carnegie Mellon) dowodzi, że trzy czwarte firm, które padły ofiarą ataku własnego pracownika, stara się sama poradzić sobie z tym problemem. Oznacza to, że informacje o samym zdarzeniu oraz sposobach zaradzenia w przyszłości są niedostępne dla innych przedsiębiorstw - aby udostępnić dane firmom, CERT badał takie ataki od 2001 r., zbierając informacje o ponad 400 przypadkach. Najczęstszymi błędami były: niedostateczne sprawdzenia pracowników, brak kontroli nad nadawaniem uprawnień, niewłaściwe ich odwoływanie oraz przeoczenie niektórych sygnałów ostrzegawczych.

Szczególnie trudno rozpoznać zagrożenia związane z uprawnieniami - działania pracowników mogą sprawiać wrażenie zupełnie niewinnych, gdyż wykonują oni to, co zwykle - piszą skrypty i kod różnych aplikacji, zarządzają systemami, transferują dane.

Na podstawie: When trusted IT pros go bad by Tam Harbert, amerykańska edycja Computerworld z 18 kwietnia 2011

Lepiej zapobiegać, niż leczyć

Aby zapobiegać takim zdarzeniom, w dziale IT musi występować separacja obowiązków i muszą być przynajmniej dwie osoby, które mają uprawnienia systemowe z możliwością resetu wszystkich haseł. Dodatkowo należy monitorować aktywność wszystkich systemów, także sieciowych oraz wszelkie zmiany, a logi powinny być sprawdzane przez zewnętrzną firmę. W niewielkich firmach jest to trudne zadanie, ale należy to robić, gdyż od audytów zależy bezpieczeństwo.

Po drugie, należy sprawdzić przeszłość osób zatrudnianych na stanowiskach, które mają uprzywilejowany dostęp. Badania amerykańskiego CERT-u dowodzą, że 30% nieuczciwych pracowników popełniło już podobne wykroczenia i było za nie karanych. Należy także sprawdzać CV, by wykryć fałszerstwa.

Ostatnim krokiem jest przyjrzenie się charakterowi osoby - jeśli kandydat sprawia wrażenie najsprytniejszej osoby w pokoju i traktuje wszystkich z wyższością, powinno to być rodzajem flagi ostrzegawczej. Raport CERT udowadnia, że osoba taka może również sprawiać niemiłe wrażenie, chociaż to nie jest reguła.

Bardzo często firmy popełniają poważny błąd, który przejawia się nadawaniem nowych uprawnień bez odwoływania starych. Prowadzi to do eskalacji przywilejów, a następnie umożliwia wiele ataków, w tym także te realizowane z zemsty lub dla korzyści materialnych. Kolejnym błędem jest niedostateczne monitorowanie pracy działu IT przez podmioty zewnętrzne.

Ostatnim z błędów jest brak lub źle opracowana procedura zwalniania pracownika, który ma wysokie uprawnienia do systemów IT. Uprawnienia należy zawiesić lub odwołać natychmiast, dopiero w drugiej kolejności podejmować dalsze postępowanie rozwiązania umowy o pracę.