Comments 51
Как-то история оборвалась на полуслове и выглядит незаконченной.?
Хотелось бы продолжения с допросом виновного...
Оригинальный пост с Reddit.com
Final Update
It really was the ex employee who said he put it there almost a year ago to "help us identifying wifi problems and tracking users in the area around the Managers office". He didn't answer as to why he never told us, as his main argument was to help us with his data and he has still not sent us the data he collected. We handed the case over to the authorities.
Гениальный ответ. На уровне "я люблю сесть с утра на рынке и накрывать шарик стаканчиками, это успокаивает и разминает запястья, а люди сами мимо ходили, деньги мне клали".
Я вот не согласен с комментариями ниже, не верю в невиновность чувака, который что-то мутит под замком, от которого ключи у полутора человек в компании, да еще ничего им не говоря. Как могло кому-то помочь устройство, о котором он никому не сказал и сам при этом тоже уволился?
Я .. не верю в невиновность чувака, который что-то мутит под замком
Вы допускаете несколько логических ошибок. Виновность человека нужно доказать. Недостаточно сказать, что вы ему не верите. Нужно доказать, что:
1. Был злой умысел.
2. Причинил вред.
3. Действовал незаконно (не имея таких прав).
Умысел - он сообщил, что действовал во благо компании, чтобы собирать всех проходимцев. Доказать обратное - нужно перечитать что делал этот код. Учитывая, что он не сильно то и скрывался и оставил в коде кучу следов на себя, то вряд-ли он хотел вывести из строя ДЦ своей штучкой. Никто в компании не мог подтвердить, что давали ему такое задание, но и опровергнуть не смогли. Может у него и правда была такая задача - провести анализ нарушителей.
Вред - либо не причинил, либо причинить "не успел". Доказать второе - можно только разобрав код. Если действовать без доказательств, то даже уборщицу можно считать виновной в потенциальной поломке ДЦ.
Действовал ли он незаконно? Этот пункт самый важный. Если объект имеет пропускной режим, а он пробрался скрытно, то это нарушение. Но они его туда сами впустили, да ещё и явно дали (оставили) ему ключ, то ответственность переходит к тем, кто дал ему такие права. Здесь за уши можно притянуть злоупотребление доверием, но нужно доказать вред и умысел.
ПС: интересно, что ваш комментарий набрал +10, значит примерно столько человек считают также, что надо наказать. С другой стороны в этом топике считают, что не стоит наказывать за ИТ-преступление (которое по-настоящему причинило ущерб, а не как здесь - косвенно-непонятно): https://habr.com/ru/news/t/673878/comments/#comment_24480494
Никто в компании не мог подтвердить, что давали ему такое задание, но и опровергнуть не смогли.
Конкретно по этому пункту в отрыве от остальных: доказывается наличие чего-то, а не отсутствие. Немного утрированный пример: работник отформатировал все боевые сервера, и говорит, что ему это приказал директор. Или его поймали за руку, когда собирался отформатировать. Директор должен доказывать «отсутствие приказа», или работник — «наличие»?
Про «P.S.» — я тоже лайкнул комментарий выше, но не за «надо наказать», а потому что тоже не верю в невинность намерений. Но и не считаю, что доказывать нужно бездоказательно. Предполагаю, что большинство присоединяются к этому же посылу.
работник отформатировал все боевые сервера
Работнику вполне может прийти такая задача, и он вполне может её выполнить, почему нет? На секунду забудем, что это принесет убытки, но может фирма закрывается и ей надо продать железки, предварительно отформатировав их. Точно нужно сажать админа за такое?
Я это к тому, что даже "он отформатировал диски сервера" - ничто в отрыве от контекста, намерений и ситуации. Опять-же есть такая статья "халатность", это если ему сказали отформатировать один сервер, а он сделал это со всеми, чем причинил убытки компании.
его поймали за руку, когда собирался отформатировать
А как вы докажете, что он собирался, или не собирался? Он набрал в консоли rm rf, но директор краем глаза проходил мимо, увидел эти слова, и скрутил злобного админа до того, как тот нажал enter? Или как по вашему это должно было произойти "он собирался" ?
Лайкнул не за «надо наказать», а потому что тоже не верю в неневинностьн
Ну то есть вы не верите в невинность, значит считаете что он виновен, так? Но разве виновность не влечет ответственности? То есть он виновен, но наказывать не надо?
Работнику вполне может прийти такая задача, и он вполне может её выполнить, почему нет?
Да, это нормально. Но если ему правда такую задачку давал — работник может это легко доказать. Показать письмо, запись в тасктрекере, разговор с коллегой, который подтвердит, что тот удивился странной задачке и решил предварительно обсудить её т.п. Если же никаких доказательств нет, но он говорит «доказывайте отсутствие» — это вызывает серьёзные подозрения.
А как вы докажете, что он собирался, или не собирался?
По аналогии с ситуацией в посте: в кроне стоит задачка на форматировании, созданная от его имени. И работник сам подтвердил, что задачку ему такую дали и он это сделал. Но доказать, что её давали, не может или не хочет, «доказывайте сами отсутствие».
А как работнику доказать, что ему давали такую задачу, ведь он там уже не работает, вся переписка осталась у компании на компах компании, куда у него уже как минимум нет доступа, как максимум - его рабочую переписку уже стерли.
Плюс не все компании работают через таск трекеры и почту. Вполне могут быть и на словах проекты. А учитывая, какая там безответственность с ключами и пропусками в машинное отделение, то я вообще молчу про такие трекеры...
Немного утрированный пример: работник отформатировал все боевые сервера, и говорит, что ему это приказал директор. Или его поймали за руку, когда собирался отформатировать. Директор должен доказывать «отсутствие приказа», или работник — «наличие»
Тут дополню. Работники не должны нести полную материальную ответственность за какой-либо убыток, понесённой компанией (если это не закреплено в договоре конечно). Это может быть трейдер, который потерял миллионы, это может быть товаровед, у которого испортился товар (это естественный процесс кстати говоря), это может быть водитель грузовика, у которого лопнуло колесо, или машина попала в аварию. Это может быть и админ, уронивший сервер (случайно/специально/по незнанию). Все эти риски несёт и должна нести организация. Максимум - можно лишить его премии сотрудника, или попытаться уволить (с выплатой пособия, конечно).
Точно также как организация получает львиную долю дохода за всё, что делают его сотрудники (а не сотрудники получают столько, сколько заработала организация), так и организация терпит убытки за любые упущения.
Если хотите, чтобы сотрудник возмещал любые убытки, то и делитесь с ним любыми доходами, им произведёнными. Всё очень просто. А если не хотите платить миллионы сотруднику, но в случае чего - поставить его на деньги, то тогда желаю удачи искать таких дураков.
Виновность человека нужно доказать. Недостаточно сказать, что вы ему не верите.
Ну, можно сколько угодно рассуждать с дивана.
А теперь практический эксперимент - внезапно вы лично находите напротив своей кровати видеокамеру, которая шлет круглосуточно поток куда-то в интернет. Каким-то образом вы вычисляете что это ваш сосед, приходите к нему, а он вам заявляет что ваша личная жизнь с женой его не интересует, а он просто заботится о вашей безопасности и следит чтобы воры не проникли. Кстати, он сам зашел совершенно законно - вы ему сами давали ключи год назад - покормить кота пока в командировку уезжали.
Вот теперь возьмите свой комментарий выше и докажите что он невиновен. Не забудьте еще в ванной камеру поискать, кстати.
Сравнение с соседом некорректно, потому что здесь идёт вторжение в частную жизнь, что должно задевать людей за живое. А здесь все же речь про компанию, которая платит деньги такому "соседу", который взамен должен производить какие-то действия, например устанавливать камеры в коридорах, или следить за безопасностью, это его должностная обязанность. И наверное корректным пример был бы, если бы он поставил такую камеру в кабинете директора, но опять же сложно сказать - директор ли это просил его поставить, чтобы следил за своим сейфом в кабинете, или это самодеятельность.
Учитывая, что он там работал, и выполнял какие-то действия, очень трудно доказать, что он на работе преследовал свои интересы, а не интересы компании.
Сюда добавьте то, что все в компании такие забывчивые и безответственные, что разрешают бывшим сотрудникам оставлять себе ключи от серверных стоек, так что им я меньше всего доверяю, ведь они точно так же могли забыть, что это они его просили поставить оборудование в шкаф.
Сравнение с соседом некорректно, потому что здесь идёт вторжение в частную жизнь, что должно задевать людей за живое.
В контексте обсуждаемого вопроса — не важно. Сосед сказал, что поставил камеру по вашей просьбе. А то, что вы не помните — так вы наверное забыли, он то точно помнит, что просили. И теперь на вас ложится бремя доказательства, что вы его на самом деле не просили. Именно это вы в начале дискуссии указали :)
Да, вот это уже ближе к истине. И наверное правда была бы на моей стороне, если бы не одно но: этот же сосед по моему заказу устанавливал мне умный дом, и я ему платил за работу деньги. Работали без ТЗ, я просто говорил куда мне нужен датчик или камера - он ставил. Теперь мне кажется что какой-то датчик следит за моими перемещениями по квартире, и я боюсь, что сосед следит за мной.
Как из этого вывода следует, что:
1) сосед поставил оборудование со злого умысла
2) сосед за мной следит
3) сосед виновен
И теперь на вас ложится бремя доказательства, что вы его на самом деле не просили
Вот именно, я не смогу доказать, как и оригинальный автор не может этого сделать, а потому намеренно написал статью без имени.
Вообще, почему это я за этого анонимного парня впрягаюсь? Потому что похожая история как то произошла со мной, где казалось бы правда была на моей стороне, но доказать её не мог, и все косвенно выглядело, как будто я виноват, но ни у кого доказательств не было. А обвинявшие меня во всем люди хотели замазать свою вину. Правда не помогла, никто просто не хотел слушать, у людей просто отключался логический аппарат (в стиле: раз человек опаздывает на работу - он нарушитель, раз нарушитель, значит он может злодеянить, значит он мог сделать ту пакость. Вывод - это точно он) .
Здесь разыгрывается похожая история - обвинение парня в чем-то, когда мы не знаем всей правды, не слышали его точки зрения, и не знаем, как устроены дела в этой странной конторке.
Плюс вы упорно приписываете собеседникам в этой дискуссии, что они «уверены в вине», хотя речь идёт исключительно о сомнениях и уместной в контексте ситуации подозрениях. Подмена тезиса — это нехорошо.
Ни капли не подозрительно?
Это подозрительно, согласен. И заставит меня беспокоиться, не спорю. Но это не значит, что он в чем-то виновен, пока не доказано обратное.
речь идёт исключительно о сомнениях и уместной в контексте ситуации подозрениях
Как тогда интерпретировать: "не верю в невиновность чувака" ? Человек либо виновен, либо невиновен. Не верит в невиновность = верит в виновность, разве не так?
upd: хотя всё-же я ошибаюсь. Комментирующий может не верить в невиновность, и не верить в виновность, т.е. никому не верить. Но текст его комментария явно намекал, что он считает его виновным.
уместной в контексте ситуации подозрениях
Да, я полностью согласен, но даже подозревать и делать какие-то выводы из этой статьи - не хватает аргументов и всех остальных знаний. Я про это и пытаюсь донести свою мысль :) .
Ведь может быть ещё 100500 вариантов, почему это произошло, и почему это не могло быть преступлений, мозайка не сходится:
Почему он оставил о себе инфу в конфиге(значит не скрывал) ? Зачем засовывал эту устройство (он сказал, что его попросили) ? Почему не придумал чехол для этого устройства, если хотел сделать его осознанным? Почему не спрятал его лучше (а оно, похоже, было на виду, судя по проводам)? Почему авторизовывался на своей старой работе (хз, может хотел проверить, что ещё есть доступ, а может хотел завести устройство, а может правда хотел взломать бывшего работодателя)? И в конце концов - почему ему дали ключ!?
Его попросили "отдать" данные, которые "он собирал"? Но может и не собирал. Вроде какой-то платный сервис это делал, а у него уже не осталось доступа к устройству (или никогда не было), и он уже не мог ничего собирать, а сидеть и вспоминать какие-то ключи-пароль и как заходить на это устройство, которое он установил 1 год назад - ну такое, я бы послал, пусть сами разбираются.
На это нет ответа в статье, нет ответа в комментариях, и его ответ никто не приводит. Поэтому слишком мало аргументов, но много вопросов, и много вариантов, почему это могло быть правдой, чем неправдой.
Вы правы были в том, что указали на презумпцию невиновности - безусловно, об этом забывать не надо.
Но, давайте еще раз посмотрим на следующие факты:
Уволившийся сотрудник в последние месяцы своей работы получил доступ к серверному шкафу
В это время он подключил девайс с логгером в шкаф и никому об этом не сказал (последнее спорно, по его словам)
Девайс с логирующим софтом его компании (немного непонятно об этом из статьи) слал данные на его личный сервер за пределами компании
Уже после увольнения были попытки подключиться его бывшей учеткой к внутренней сети через этот девайс
Поправьте меня если я упустил какие-то детали. Конечно, мы все знаем только со слов автора статьи, но тем не менее, по фактам выше лично я не могу сделать вывод о невиновности. Налицо как минимум нарушение периметра безопасности сети.
Спасибо за понимание. Да, я топлю за презумпцию невиновности.
Уволившийся сотрудник в последние месяцы своей работы получил доступ к серверному шкафу
По согласованию с руководством.
В это время он подключил девайс с логгером в шкаф и никому об этом не сказал (последнее спорно, по его словам)
Подозрительно, но по его словам - это попросило его руководство. Автор не сказал нигде, что "он врёт, никто его не просил". Так-что оставляем в заправду.
Девайс с логирующим софтом его компании (немного непонятно об этом из статьи) слал данные на его личный сервер за пределами компании
До конца не ясно, что делал этот девайс, и куда именно слал данные это устройство. Домой этому сотруднику ли, или на один из серверов компании. Никто так этого и не понял.
Уже после увольнения были попытки подключиться его бывшей учеткой к внутренней сети через этот девайс
Только в момент нахождения там. Как-бы неочень, согласен. Можно считать за инцидент, и попытку вторжения. Но сейчас понимая какой там творится беспорядок, он вполне мог хотеть проверить "а заблокировали ли его учётку", или может он хотел зайти на один из серверов и донастроить приём данных.
Опять-же, если бы он хотел сломать сервера, то зачем ему это устройство? Он бы так попытался зайти со своей учеткой, и поставить троян на один из серваков. Но он притащил левое устройство вместо этого, которое точно не рассчитано на подбор паролей (а по wifi сервер не взломать).
Так-что история супер-мутная и странная, как с одной стороны, так и с другой.
Уже после увольнения были попытки подключиться его бывшей учеткой к внутренней сети через этот девайс
Но в устройстве вроде нет WiFi. Про USB-донгл писали, что там он отсутствует, на фотографии какого-нибудь USB-адаптера тоже не видно. Подключался, как, опять же, уже написали, скорее всего телефон бывшего сотрудника (обычно мы не удаляем из смартфонов старые сети, просто забываем про них, при этом смартфон будет пытаться к ним подключиться как только их обнаружит). Само устройство и так в сети (через кабель), ему не только нечем, но и незачем пытаться подключиться к WiFi-сети предприятия.
Вы допускаете несколько логических ошибок. Виновность человека нужно доказать.
Я сказал, что не верю в невиновность, а не предъявляю официальные обвинения. Вот вам пример практически из жизни: человек стоит и выдергивает фару у припаркованной запертой машины. Мимо едет экипаж ППС и интересуется: а вы чего это делаете? Вариант ответа 1): да лампочку меняю, не напрягайтесь, вот ключи, вот СТСка. Вариант 2): явамничепоказыватьнебуду вашеудостоверение ягражданинроссийскойфедерации поповодумашинывызывайтегибдд статья51конституцииотвечатьнеобязан. В каких случаях прав гражданин? В обоих. А в каком случае ППС должны отнестись с большим подозрением к человеку - к спокойно объяснившему все, или к морозящемуся на ровном месте?
У вас, на минуточку, в запертом шкафу несанкционированное устройство; специально собранное из разных компонентов, а не купленное; его код обфусцирован; имеется возможность удаленного доступа к нему - этого недостаточно для обоснования умысла? А раз есть умысел + человек на вопрос "WTF?" немедленно не объяснил, что эта штука измеряла температуру в шкафу, чтобы пожар не случился, или там что он следил по вайфаю, когда в радиусе появляется планшет бухгалтерши с девятым размером из соседнего отдела - есть все основания полагать, что умысел был не в интересах компании.
У вас, на минуточку, в запертом шкафу несанкционированное устройство
Никто не помнит, что давал такую команду, но и не отрицает. Так что это "возможно несанкционированное устройство". Точно также как "ключ был только 4х человек".
специально собранное из разныкомпонентов
Вообще не имеет отношения к истории. Там простые платы с WiFi.
имеется возможность удаленного доступа к нему
У меня ко всем компам в доме есть удаленный доступ. А в ДЦ вообще к каждой железке есть такой доступ. Вообще странно, что в ДЦ может быть железка без удаленного доступа к ней.
этого недостаточно для обоснования умысла?
Увы, недостаточно. Представьте на секунду, что он заметил, что вокруг ДЦ ходит какой то подозрительный тип с антеннами. И ему (гг) стало интересно знать, кто же это может быть сотрудник ли это. Он предложил поставить следилку в ДЦ, чтобы отслеживать таких нарушителей, пробравшихся в машинный зал, его руководитель понял только "нарушитель с антенной", и согласовал проект. Главный герой пошел, и поставил такую следилку. Всё, конец истории.
Проходит пару месяцев, к тебе приезжает ФБР и арестовывает. Что он сделал не так, и где здесь был умысел???
Выражение «рояль в кустах» идёт от старой, ещё советских времён, пародии на явно постановочные передачи, там главный герой показывает свои таланты, и в частности готов сыграть на фортепиано, тем более, что «Здесь как раз в кустах случайно стоит рояль». То, что злоумышленник указал своё имя, не сделал для тестирования отдельную временную сеть — уже странно, но вот то, что адрес удалось узнать потому, что по какой-то причине люди подписывались своими адресами и телефонами — это наверное более редкая ситуация, чем рояль в кустах. Я скорее поверю в рояль, чем в это, тем более, что у нас в городе на набережной в ротонде уже давно поставлено пианино — если недалеко от кустов стоит пианино, почему бы и в кустах не стоять концертному роялю?.. А вот видеть, чтобы кто-то в Интернет подписывался своим домашним адресом, мне ни разу не приходилось.
Может часть информации автор исходной статьи собрал способами, которые не хотел бы разглашать?
Возможно, всё было проще: вифи сеть постоянно глючила, и чувак по-быстрому накостылил какой-то мониторинг, взяв за основу какой-то готовый сервис, вместе со всеми его учётками, копирайтами и лицензионными соглашениями, потом уволился, соответственно после блокировки учётки полезли ошибки подключения к вифи, а тут и автор проснулся.
«рояль в кустах»
Немного офтопик, память мне подсказывает, что это было музыкальная передача, с А. Ширвитом в качестве ведущего. И он обсуждал, в каком-то парке, с Р Паульсом его новую композицию, после чего попросил её сыграть. Ну и рядом, как раз, находится рояль.
Однажды я так турецкого хакера нашёл. То есть вот такая цепочка примерно, специфический ник, местные форумы и т.д.
по какой-то причине люди подписывались своими адресами и телефонами
На самом деле - вполне правдоподобно. Естественно, с учётом года публикации - на заре интернетов народ ни о какой информационной гигиене не задумывался особо... да даже я в 2010 не стеснялся выкладывать фотки с геотэгами...
За 20 с лишним лет осознание приватной информации сильно изменилось, даже телефонные справочники (ФИО, адрес, телефон) стали незаконными, а раньше распространялись повсеместно - у меня дома сохранился телефонный справочник Москвы конца 80-х - весьма занимательная книженция...
Так что эта система делала? Логи какие-то есть? Пока ясно что человек особо не собирался что-то прятать и выглядит это действительно как некое устройство для решения рабочих задач.
Вроде в статье не показана связь между создателем устройства и тем, кто его установил? То есть, может просто некое нормальное устройство использовалось в нелегальных целях, и та часть рассказа, где ищется создатель устройства, на самом деле ничего не говорит об инциденте, может всё сводится к последней части, где посмотрели логи, увидели, когда устройство появилось в сети и сопоставили с тем, кто был в офисе в это время?
Ммм, 2019 год, свежачок
При этом, в 2019 году была публикация и про более интересный случай в NASA, случившийся в 2018 (https://threatpost.com/feds-hackers-mission-control-data-nasa-jpl/145842/). В 2019 осенью подобная же штука найдена в переговорке у бывшего работодателя - кто-то прочитал, научился и повторил. В целом не выглядит как что-то супер-редкое и сложное, особенно если нет задачи очень долго держать RasPi в сети и расчёт на отсутствие сегментации оправдался.
>>В помощь для решения этой загадки я призвал Reddit
qr код сложно было отсканировать?)
Можно определить даже без QR - с помощью приложения Гугл Объектив. Очень удобно ищет всякие непонятные штуки.
qr код сложно было отсканировать?)
вот-вот.
даже возникают подозрения, что всё это (речь про англоязычный первоисточник) — просто рекламная акция )
чень мощное устройство для чтения WiFi, Bluetooth и RFID.
btw, сходил по ссылке, ничего про wifi не нашёл.
>>"nRF52832-MDK. Очень мощное устройство для чтения WiFi, Bluetooth и RFID.
>>...
>>Отлично, так значит, у этой штуки теперь и WiFi есть… "
Как-то плохо автор проконсультировался или не там. Нет в nRF52832 никакого WiFi.
Записки сумасшедшего...
nRF52832 не умеет в WiFi, и то что он по мощности сопоставим с raspberry, это как бы не очень профессионально сказано
А знаете, что это могло бы быть? Когда удалённо администрируешь сеть, хочется обеспечить возможность подключения к ней по альтернативному каналу (чтобы, в случае возникновения проблем, не диктовать по телефону команды ping и т.д.). Я когда-то рассматривал вариант с USB-модемом, включенным в старый компьютер, хотя и не хотелось оставлять без присмотра личную SIM-карту (вряд ли конечно кто-то с неё что отправит, но, если что, потом доказывай...). Но можно ведь заранее настроиться на телефоны выбранных сотрудников (с нормальным тарифом на доступ в Интернет), и потом просить кого-то из них прийти в серверную и включить Bluetooth на телефоне, чтобы получить возможность попасть в сеть удалённо и посмотреть, что именно сломалось, почему нет доступа в Интернет и т.д.
Понятно, что не всё в истории соответствует этой версии, но можно предположить, что, например, тот сотрудник помогал одному из бывших коллег неофициально, или что устройство давно в сети, просто логи не сохранились, и т.д.
Кто-то пересмотрел Mr Robot)
5-7 лет назад читал почти 1 в 1 историю, только дело было в каком-то крупном университете зарубежном. Закончилось тем, что это был какой-то университетский же стартап, который собирал обезличенную(?) статистику использования сети.
liveoverflow на youtube проводил исследование образа той флешки из raspberry.
www.youtube.com/watch?v=UeAKTjx_eKA
В комментах к видео liveoverflow стартап даже ответил
www.youtube.com/watch?v=ioU5G_IuGuw
Хакеры, которых мы заслужили. Без node.js и платных серверов с деанонимизацией шагу не могут ступить.
Одноплатник с линуксом и шифрованным root-разделом под LUKS, делающий ssh -R во внешний мир, и удачи искать злоумышленника.
А объясните, в двух словах, как это работает: если раздел зашифрован, то его, при загрузке, надо расшифровать, но для расшифровки же нужен ключ. Как его хранить?
В простейшем случае никак, запускаем железку в последний день перед увольнением, вводим вживую пароль, и бросаем на произвол судьбы.
Также если одноплатник доступен из внешнего мира, то на нём можно держать обычную rootfs без приватных данных, но с файлом-криптоконтейнером, затем подключаемся по сети, вводим пароль и монтируем криптоконтейнер (cryptsetup) как файловую систему. При выключении или потере сети кроме шифрованного файла ничего секретного в одноплатнике физически не остаётся.
Только меня насторожило, что автор с отцом переписываются на английском, но все скриншоты (GParted, карта) - на немецком?
Всё проще:
I am a tech geek from Austin TX (USA), living on the country side in Austria
https://blog.haschek.at/about/
Люди, живущие в иной языковой среде, часто устанавливают местный языковой интерфейс для поддержания привычки.
Комментарии выше просто пролистал, но мне одному кажется, что перевод этой статьи или ОЧЕНЬ похожей уже был на Хабре, да и вообще тогда много где попадался?
Действительно записки сумашедшего. Куча народу, а про CCTV на стойку вообще ни разу не задумались.
Загадочное дело о Raspberry Pi в шкафу для сетевого оборудования