Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 68
Очень мало кто из управляющего звена, да и сами DevOps сами, осознают простую истину — it-отдел в организации в большинстве своем имеет наивысшие права к работе организации, ну может еще только что бухгалтерия и юристы, а уж навредить и подавно могут.
Админы и программисты — царь и бог в вашей организации, помните об этом.
К сожалению качественное решение лежит примерно там же, где находится эта опасность, т.е. защитить организацию от злонамеренного 'компьютерщика' может только другой 'компьютерщик'. Разделение полномочий, децентрализация… все это хорошо но сильно замедляет и усложняет работу, а сильная забюрократизированность даже отпугивает специалистов… не каждому хочется неделями ждать решение о выдачи пропуска в туалет, при смене офиса ;)
Админы и программисты — царь и бог в вашей организации, помните об этом.
К сожалению качественное решение лежит примерно там же, где находится эта опасность, т.е. защитить организацию от злонамеренного 'компьютерщика' может только другой 'компьютерщик'. Разделение полномочий, децентрализация… все это хорошо но сильно замедляет и усложняет работу, а сильная забюрократизированность даже отпугивает специалистов… не каждому хочется неделями ждать решение о выдачи пропуска в туалет, при смене офиса ;)
В этом и заключается проблема.
Решение — в децентрализации и размазывания полномочий, введение усложнений и бюрократических заграждений. Не должно быть незаменимых людей, на любого человека в любой момент времени в компании должна быть возможна замена, это как минимум защитит компанию от его болезни или внезапных отпусков.
Ну и самое главное, обычно, на практике, работники не желают зла компании, а значит если компания собирается сделать что то нехорошее работнику, за что этот работник изменит к ней отношение (а осознает управляющий персонал это заранее), то прежде чем сделать это, необходимо 'подложить соломку' и проверить, не создаст ли это проблем.
Ну и конечно же, помнить о главном правиле:
Решение — в децентрализации и размазывания полномочий, введение усложнений и бюрократических заграждений. Не должно быть незаменимых людей, на любого человека в любой момент времени в компании должна быть возможна замена, это как минимум защитит компанию от его болезни или внезапных отпусков.
Ну и самое главное, обычно, на практике, работники не желают зла компании, а значит если компания собирается сделать что то нехорошее работнику, за что этот работник изменит к ней отношение (а осознает управляющий персонал это заранее), то прежде чем сделать это, необходимо 'подложить соломку' и проверить, не создаст ли это проблем.
Ну и конечно же, помнить о главном правиле:
Админы и программисты — царь и бог в вашей организации, помните об этом.при принятии решений и не злить лихо. Просто некоторые считают айтишников этакими уборщиками, бегает мальчик на побегушках, ведет себя наивно и не солидно, значит мелкая сошка, а то что у него в руках фактически сердце жизни компании, даже не задумываются.
Не должно быть незаменимых людей, на любого человека в любой момент времени в компании должна быть возможна замена, это как минимум защитит компанию от его болезни или внезапных отпусков.
Каждый человек хочет стать сверхценным, незаменимым, уникальным.
А бизнесу нужны люди-утилиты, эффективные, послушные, и желательно дешевые.
При этом сам владелец бизнеса конечно же хочет быть незаменимым в своей сфере.
Кто тут прав? Тут нет правды, только вечный конфликт :)
Решение — в децентрализации и размазывания полномочий, введение усложнений и бюрократических заграждений.
Я знаю несколько компаний с такой политикой, когда для такой банальной вещи как сделать изменение на сайте в виде коррекции синтаксической ошибки в тексте футера (один символ) требуется две недели — на создание задачи, согласования и отлов людей которые должны всё это обсудить, проверить, разрешить и сделать, причём как заявка так и разрешение должны быть в бумажном виде (печать из трекера), с живыми подписями, со скриншотами «до» и «после». Если же речь идёт про то чтобы разрешить банальный icmp echo для мониторинга, то время увеличивается до 4 недель, так как к делу подключают службу безопасности (которая всячески сопротивляется, грозя потенциальными уязвимостями).
Но всё это, увы, не спасёт от обиженного сотрудника который имеет непосредственный доступ к системе — если только за ним не наблюдать постоянно.
В вашем случае виноват не подход а его реализация.
Если делать все правильно, от начала и до конца на бюрократию уйдут минуты.
Главная проблема, участники процесса сами затягивают, потому что выжидают отведенный им лимит времени (вспомните как госчиновники на местах выдерживают положенные 29 из 30 суток и в последний день начинают собственно работу по вашему делу), причины разные но все они от неправильной организации процесса, потому что всем участникам почему то вдруг не очень выгодно делать все максимально оперативно.
Если делать все правильно, от начала и до конца на бюрократию уйдут минуты.
Главная проблема, участники процесса сами затягивают, потому что выжидают отведенный им лимит времени (вспомните как госчиновники на местах выдерживают положенные 29 из 30 суток и в последний день начинают собственно работу по вашему делу), причины разные но все они от неправильной организации процесса, потому что всем участникам почему то вдруг не очень выгодно делать все максимально оперативно.
Но получается, что на одного незаменимого нужно 2, а лучше 3 подменяющих его человека. Причём, им придётся осваивать не только свой отрезок работы, но 2-3 других, чтобы подменять выбывших. Не дороговато-ли будет?
бухгалтерия и юристы, а уж навредить и подавно могут.
Кажется мишенями социального хакинга в большинстве случаев являются не бухгалтеры, юристы или админы а напротив персонал нижнего звена. Специалисты высокой квалификации с высокими уровнями допуска слишком дорожат своей репутацией и будущей карьерой и их преданность компании хорошо оплачивается.
Айтишники, как впрочем и все остальные, очень любят размышлять о своей значимости. Это тешит самолюбие, но это не так. Любой сотрудник от уборщицы, сторожа, повара также делится с коллегами своими соображениями о собственной важности и так же имеет достаточно способов нагадить.
Ну все же у айтишников это подтверждается доступами к реальным данным. И возможностью влиять на эти данные. Плюс, чаще всего it люди имеют стек знаний выходящих за пределы свой работы.
А у менеджера наверняка есть знакомства среди конкурентов и знания, какую информацию им нужно передать чтобы нанести максумальный урон. У уборищицы есть доступ к большинству помещений и возможность вылить ведро с водой на любой сервер или распределительный щиток. У повара есть доступ к испорченным продуктам и возможность отправить 90% работников на больничный. И т.д. и т.п.
То есть на мой взгляд количество «пользы», которую человек приносит фирме, горздо теснее коррелирует с его должностью и зарплатой, чем количество «вреда», который он может нанести :)
Хм, а где и как вы проводите границу между «корпоративной угрозой» и «обыкновенным вредительством».
И описываемый в статье случай по вашему к какой категории относится?
И описываемый в статье случай по вашему к какой категории относится?
Задним умом все умные. Прекрасно себе представляю молодую ИТ-компанию на 100-150 человек, где бизнес-процессы не отлажены, болезни роста, всё сложилось стихийно, все друг другу доверяют, админ Вася на всём хозяйстве и всё делает по просьбе «Вась» и вообще традиционное «здоровое» айтишное раздолбайство. Все очень креативные и очень не любят дисциплину и регламенты. Эджайл, смузи, кресла-мешки и всё такое :-)
Хотелось бы услышать чуть побольше информацию. Как увёл 4 миллиона? Кем он там был?
Мне кажется, пора внедрять на ответственные операции двойное-тройное подтверждение, когда требуется действие от 2 или 3 человек соответственно. Плюс безусловные бакапы, которые нельзя удалить.
Если оставить в стороне этичность и смысл поступка… Но так лажануться оставив следы...
Обстоятельства конфликта непонятны. А так любой сотрудник может очень сильно навредить компании, если поставит себе такую цель.
авторизовался в системе Amazon Web Services (AWS) и удалил 23 инстанса бывшего работодателя
… инстанса чего? У AWS куча сервисов. В заголовке вообще «23 удалённых инстанса AWS».
По оригинальной ссылке AWS не упоминается, зато говорится об удалении серверов с данными:
a former employer and deleted 23 servers of data, which related to clients of the company… The company was never able to retrieve the deleted data.
Тоже без конкретики, но видимо речь об RDS, DynamoDB или собственных серверах с постоянным хранилищем.
А ведь у некоторых нет ни ролей, ни разделения прав доступа и все заходят на сервер под одной учёткой с рутовым доступом с паролем записанным на листок бумаги и пароль этот никогда не меняется.
Сюжет из ночного кошмара безопасников.
Например, реализовать двухфакторную аутентификацию (2FA), что значительно затруднило бы для Нидхэму вход в аккаунт на AWS.
Если логин пользователя не удалили из системы после увольнения, то и 2FA бы не отозвали.
Главное это выделить бэкапы в отдельный аккаунт AWS, и изолировать доступ к нему (в идеале одни люди не должны одновременно иметь доступ к оригиналу и бэкапу). Это защитит и от ошибки, и от злоумышленников.
воспользовался учётными данными своего коллеги
Похоже он вообще работал на подрядчика, а не непосредственно на Voova.
www.theregister.co.uk/2019/03/20/steffan_needham_aws_rampage_prison_sentence_voova
«One of their customers is Valtech, and the defendant was employed by Valtech in Manchester and was dismissed… at the time of the attack,» Moss said.
In January the court heard how Needham's May 2016 rampage hinged on his having acquired the login credentials of fellow Voova worker Andy «Speedy» Gonzalez and set about shutting down the firm's Amazon Web Services instances
www.theregister.co.uk/2019/03/20/steffan_needham_aws_rampage_prison_sentence_voova
Или иметь DR-аккаунт. Ну и хотя бы разобраться в IAM политиках, благо там настраивается каждый чих.
MFA можно обойти, если есть доступ на инстанс ЕС2 с подходящей IAM ролью — тогда никакие креды не нужны, aws cli с треском, но может работать через STS. Но вероятность такого варианта крайне мала.
MFA можно обойти, если есть доступ на инстанс ЕС2 с подходящей IAM ролью — тогда никакие креды не нужны, aws cli с треском, но может работать через STS. Но вероятность такого варианта крайне мала.
А в чем заключается некорректность работодателя и была ли она вообще?
да, как-то странно, если его кинули, то понятно, что он там им все удалил, любой бы так же поступил, но вот так глупо попасться, это вызывает вопросы о его квалификации и вообще был ли мальчик, может сами там накосячили, а не пацана свалили, пишут, данные не смогли вернуть, бэкапов что ли не было, как назло, я не верю в общем.
Как в песне поется: «Никого не жалко, никого ...»
А что, в Англии можно легко кинуть сотрудника на деньги?
Меня неприятно удивляет, что альтернативно одаренные проповедники с ютуба советуют заранее готовить возможность подложить свинью своему работодателю и это мнение не вызывает отторжения у людей.
Меня неприятно удивляет, что альтернативно одаренные проповедники с ютуба советуют заранее готовить возможность подложить свинью своему работодателю и это мнение не вызывает отторжения у людей.
Там не сказано, что кинули на деньги. Скорее просто не прошел испыталку, из-за характера или некомпетентности.
А почему же оно должно вызывать отторжение? Это нормальная практика, если работодатель вызывает подозрения в своей чистоплотности и потому если он решится кинуть, то надо что бы на всю жизнь это запомнил и другим еще рассказал.
Например, потому что можно решить вопрос через суд. Если компания нарушила трудовое законодательство, то кроме компенсации уволенному работнику будет еще и немаленький штраф. А так он поставил крест на своей дальнейшей карьере и еще неизвестно заставят ли его после отсидки оплачивать нанесенный фирме ущерб.
да, я не про этого конкретно чувака, там вообще дело темное, возможно он просто обычный псих. а суд дело затратное и вести дела так что бы потом судиться пришлось, не стоит, работа на этапы бьется, которые не сильно напряжны для кармана и в случае каких то проблем, обычно проще привести свою работу в непригодный для дальнейшего использования вид, через закладку, чем терять время на суды, хотя конечно если по приколу можно и судиться
и даже выиграть, процесс, что ни в коем случае не гарантирует возврат денег.
Я смотрю много минусов, интересно платить не любят люди или что то ещё?
и даже выиграть, процесс, что ни в коем случае не гарантирует возврат денег.
Я смотрю много минусов, интересно платить не любят люди или что то ещё?
Просто если вы считаете нормальной практикой просто взять и кинуть нечистоплотного с вашей точки зрения работодателя, то тогда работодатели могут например начать считать нормальной практикой нанять братков, чтобы они переломали ноги нечистоплотному с их точки зрения работнику. Или изнасиловали его жену. Или похитили его детей. Или…
Ну чтобы работник на всю жизнь запомнил и другим еще рассказал.
Ну чтобы работник на всю жизнь запомнил и другим еще рассказал.
Да пускай себе пробует, разве кто против? Нам доступны такие же опции, если даже не больше.Тут личный выбор каждого, молчать или разбираться до конца, разве не так?
Любой вопрос можно решить, при наличии сильного желания, его решить. и конечно, для цивилизованного общества, такое поведение нормальным не считается, но к сожалению в жизни бывает всякое, будем верить, что такой экстрим будет обходить нас всех стороной. Война весьма накладное и сложное занятие и конечно оно не для всех.
А вообще-то разговор шёл, об изъятии неоплаченной работы, а если заказчик настолько без башни, что готов рисковать многим, ради такой малости, то он попросту социально опасен и слёт его крыши слабо прогнозируем в любом случае.
А вообще-то разговор шёл, об изъятии неоплаченной работы, а если заказчик настолько без башни, что готов рисковать многим, ради такой малости, то он попросту социально опасен и слёт его крыши слабо прогнозируем в любом случае.
За границей очень дорого судиться в случае проигрыша. Если человек подал в суд на крупную компанию, которая наняла крутых дорогих юристов, и проиграл — то суд присудит полную компенсацию расходов на юристов. Т.е. в случае проигрыша в суде простой человек — банкрот. В России же суды присуждают копеечные компенсации судебных расходов в «разумных пределах». Российский суд не волнует дороговизна и крутость адвокатов выигрывавшей стороны.
Это только в сложных случаях, когда неочевидно, кто кому что должен. А если у человека есть контракт на руках и ему банально не оплатили накопленный отпуск или последний месяц — то скорее всего и никакого суда не будет. Работодателю просто позвонят из Министерства Труда и поинтересуются — вот у нас на вас жалоба лежит, не хотите ли оплатить несколько тысяч сотруднику по-хорошему или предпочитаете, чтобы мы открыли кейс и выслали инспекторов с паяльными лампами? А часто и это не требуется — мне однажды все выплатили просто после формального письма владельцу конторы (бухгалтер там был гордый — пока не пнули, не хотел лететь) с описанием по пунктам, чего недоплатили и в какой срок согласно контракту.
Я смотрю некоторые люди сильно волнуются, прямо столько минусов, аж приятно, думаю Ваши волнения не напрасны.
Тоже не понял — у кинутого сотрудника в развитой стране, обычно, есть большое количество законных мер восстановить справедливость (а заодно нанести фирме многократно превышающий урон в виде штрафов и негативного пиара), не прибегая к уголовке.
Навредить на несколько лямов баксов в каких-то обстоятельствах может даже уборщица. Например, продать конкурентам ценные документы из мусорного ведра, или залить водой оборудование, если нет продуманного бэкапирования. Или воткнуть жучок в кабинете гендира. Или придти с карабином и перестрелять всех.
Короче, ломать всегда проще, чем строить.
Короче, ломать всегда проще, чем строить.
а как же бакапы куда-нибудь еще?
Это большая проблема, кстати: довольно низкий порог входа на AWS, потом тяп-ляп и в продакшин. Многие конторы потом оглядываются назад, офигевают от кривизны настройки и заказывают нормальную установку AWS Landing Zone с настройкой организации, ролей, разных аккаунтов и прочего. Это не так дорого, если подумать о возможных последствиях компрометации или утери данных для бизнеса.
Если работодатель не соблюдает ранее установленные договорённости, то сотрудник также имеет право их не соблюдать.
Была история в конце 90-х. Попросили оборудовать один цех одного большого завода по очистке и откачке промстоков АСУ ТП. Договорились на одну цену. Систему сделали быстро запустили, но заказчик закозлил и заплатил только половину. Тогда в системе чуть-чуть изменили логику работы и в один прекрасный момент при определённых условиях сгорели все насосы. А у заказчика осталась только черновая документация, которая к реальной системе никакого отношения не имела. В итоге всё похерилось. Ибо нефиг кидать разработчиков.
Была история в конце 90-х. Попросили оборудовать один цех одного большого завода по очистке и откачке промстоков АСУ ТП. Договорились на одну цену. Систему сделали быстро запустили, но заказчик закозлил и заплатил только половину. Тогда в системе чуть-чуть изменили логику работы и в один прекрасный момент при определённых условиях сгорели все насосы. А у заказчика осталась только черновая документация, которая к реальной системе никакого отношения не имела. В итоге всё похерилось. Ибо нефиг кидать разработчиков.
Если работодатель не соблюдает ранее установленные договорённости, то сотрудник также имеет право их не соблюдать.
Нет, нет и ещё раз нет. Если работодатель не соблюдает договорённости, то для этого есть суды.
P.S. Естественно если мы говорим о цивилизовaнныннх странах, к котоpым лично я Англию всё ещё отношу.
Так а есть какие-то данные, что сотрудника уволили некорректно или ещё как обидели, или он просто некомпетентный и неуравновешенный типчик, который так обиду выплеснул? Я вот статью прочитал и не понял кто виноват то?
Теперь этого девопса явно не возьмут ни в одну IT-компанию. Так что он не только навредил работодателю, он на своей карьере крест поставил. Видимо, ему сильно насолили…
Интересно каким образом доказали его причастность? Знал учетные данные коллеги и этого оказалось достаточно? Больше похоже что нашли козла и повесили на него чью-то некомпетентность.
Как-то вот так
'Experts agree that the user login accessed AWS Voova and the user login Speedy terminated servers. What they disagree on is whether the evidence shows it was the defendant — there are three key areas of dispute between experts.
'One, whether the termination of the servers was deliberate… two, whether the same person carried out the action described on May 17 to 18 2016… and three, IP address 252. The prosecution say there is evidence this defendant was using this ID address.
'The full IP address is registered to a company called Metronet. One of their customers is Valtech, and the defendant was employed by Valtech in Manchester and was dismissed… at the time of the attack.
'One, whether the termination of the servers was deliberate… two, whether the same person carried out the action described on May 17 to 18 2016… and three, IP address 252. The prosecution say there is evidence this defendant was using this ID address.
'The full IP address is registered to a company called Metronet. One of their customers is Valtech, and the defendant was employed by Valtech in Manchester and was dismissed… at the time of the attack.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Месть девопса: 23 удалённых инстанса AWS