Как стать автором
Обновить

Tesla обвинила Алекса Хатилова в краже данных

Время на прочтение 3 мин
Количество просмотров 32K
Всего голосов 22: ↑20 и ↓2 +18
Комментарии 132

Комментарии 132

НЛО прилетело и опубликовало эту надпись здесь
Как работать удаленно, не имея копии кода на локальной машине? Через SSH терминал?
НЛО прилетело и опубликовало эту надпись здесь

Говорят, что таки по ssh через vpn, если у компании такие правила.
Монтируется нужная часть и всё работает(правда медленнее).
Или компания выдаёт ноутбук, который контролирует.
Или с BYOD прописывают полиси что и куда копировать можно.
У меня сомнения, что приватные облака разрешали, но это всё, конечно, домыслы.

Монтировать нужную часть не вариант — современные IDE почти поголовно умеют в полнотекстовый поиск, поэтому первым делом индексируют все файлы проекта, т.е. по факту — скачивают себе вообще всё для индексации.


По крупному счётк есть только два варианта:


  • у разработчика/тестировщика на локальном компьютере хранится копия исходников и он работает с ними локально
  • вся работа идёт через RDP на VDI. Начиная с Win10 RDP стал работать настолько хорошо, что по удобству работы стал мало отличаться от работы непосредственно в консоли и сложности возникают только с видео.
НЛО прилетело и опубликовало эту надпись здесь

А вы можете вывести RDP окно на два монитора из четырёх? Стандартный RDP клиент до сих пор может только или все монитора или один монитор. Если я не прав, то пожалуйста дайте мне ссылку на сайт MS =)

А вы можете вывести RDP окно на два монитора из четырёх? Стандартный RDP клиент до сих пор может только или все монитора или один монитор. Если я не прав, то пожалуйста дайте мне ссылку на сайт MS =)

Ну как минимум можно несколько раз подключиться и получить 4 независимых окна.

Если вам нужно именно общий рабочий стол, то на два из двух точно можно.

Ну а 4 монитора за рабочим столом я видел только научно-фантастических фильмах.

Допускаю, что вы такой человек, но тут уж как вам удастся договориться с корпорацией: или вам дадут файлы скачать локально. Или вам придется отключать 2 монитора.
НЛО прилетело и опубликовало эту надпись здесь

Ну я хочу попробовать 27/32 4к/5к в качестве двух боковых мониторов портретном режиме и один в стандартном по центру =) Ну или к тому моменту появятся аля Samsung Odyssey 55 c 8, тогда мне наверное хватит и одного =)

мне кажется > 24" в портретном режиме будет некомфортно. У меня по центру 2x27" 4k и сбоку был 24" — при центровки 27 под глаза, даже 24" слишком возвышался над ними. Ловил себя на мысли, что не удобно смотреть.
НЛО прилетело и опубликовало эту надпись здесь

Соглашусь. Мне бы хотелось видеть на центральном экране окно тестового стенд, слева IDE, а справа логи =)

Я много у кого видел 4.
При стоимости нормального мониторая в 5 часов работы программиста это вообще не дорого.
У меня три, к примеру. И то потому, что 4 не подключается физически.
Я много у кого видел 4.
При стоимости нормального мониторая в 5 часов работы программиста это вообще не дорого.
У меня три, к примеру. И то потому, что 4 не подключается физически.


Дело не в деньгах.
Считаю, что для оборудования своего основного рабочего места, где ты проводишь 1/3 жизни можно и потратиться. Это разумно.

Но что там можно выводить на 4 монитора?

На 2 представляю: отладчик/IDE и отлаживаемую систему.
На 3 представляю: отладчик/IDE, отлаживаемую систему и документацию.
На 4? Да можно ЮТубчик, но это будет отвлекать от работы.

Мониторинг продакшн системы, например.

Мониторинг продакшн системы, например.

А почему этот мониторинг нельзя смотреть через RDP и т.п.?

Вы спросили про 4 монитора, а не про рдп )

Вы спросили про 4 монитора, а не про рдп )


Меня давно интересует вопрос:

Кто вы, gecube — Вы человек или нейросетка?

Все Ваши комментарии выглядят как комментарий одного-двух предложений, вырванных из контекста.

Нейросетки на сегодня вполне способны генерировать текст, поддерживая иллюзию беседы.

Кроме одного «но»:

Нейросетки на сегодня еще не способны анализировать большие объемы для генерации осмысленных соответствующих этим большим объемам текстов. Их предел — один-два предложения.

А вот для человека это не составило бы никакого труда.

Разговор всегда ведется в контексте. Но цитировать в каждом комментарии весь контекст — просто невозможно.

Впрочем, для живого человека, не составило бы никакого труда проследить ветвь дискуссии — для этого на Хабре сделано специальное оформление веток, с отступами. Мысли и контекст прекрасно прослеживаются.

Нейросетки, повторюсь, на это пока не способны.
Осмысленно (насколько это понятие можно применить к нейросеткам) комментировать одно-два предложения — их предел.
В норме для IDE используется один 4к.
Но иногда надо смотреть лог, несколько окон документации, загрузку процессора и выполнение скриптом на 3-4х машинах. Плюс что-то ушло в перегрузку и надо отследить, когда поднимется.
В таких случаях их еще и не хватает, приходится на каком-то делать несколько окон.
  1. IDE
  2. 1/2 документация | 1/4 логер | 1/4 логер
  3. Экран 1 тестового стенда + таймеры
  4. Экран 2 тестового стенда + таймеры
    а еще иногда приходиться в чате переписываться при этом =)
НЛО прилетело и опубликовало эту надпись здесь
При стоимости нормального мониторая в 5 часов работы программиста это вообще не дорого.

Смотря, что считать нормальным. У меня 4К моник с Power Delivery через Type-C, чтобы сразу и ноут заряжался, около 600$ вышел. Если вы столько за 5 часов зарабатываете, могу вам только пожать руку :)
Это не особо важно. Да, у меня час дорогой. Но самый дешевый монитор у меня в рабочем столе стоит порядка 100баксов. Самый дорогой — 400. Power delivery мне не нужен.
В любом случае хороший монитор 24-26 стоит порядка 200.

Для этого нужно 4 пользователя. Мне ни кто столько пользователей делать не будет. Да и тестовый стенд не поддерживает мульти подключение RPD.


Что касается на "двух из двух", то я уже говорил RDP клиент умеет ра, отать только в двух режимах:
1 — один монитор
2 — все доступные
Других режимов я не наблюдал. Да и у сторонних клиентов тоже самое (

Отключить два монитора, подключиться по RDP на два из двух, подключить обратно два монитора?
Да, можете, если руками отредактировать .rdp файл.
Это текстовый файл, в нём есть (если нет — можно добавить) строка такого вида:
selectedmonitors:s:1,4
Цифрами обозначены номера мониторов, список с номерами можно получить, выполнив команду mstsc /l
У меня ноутбук с двумя внешними мониторами, открываю RDP для удалённой работы на 2 внешних мониторах, а на встроенном экране оставляю управление плеером, личную переписку в мессендерах и подобные штуки.

Windows 10 Version 1809 (17763.1577) не работает.

У вас изначально файл был сохранён из RDP с проставленной галкой «использовать все мониторы»/„Use all my monitors“? Попробуйте с ней. У меня работало на всех версиях, включая текущую Win10 20H2 (19042.746).
Вообще, рецепт, если что, взят отсюда, там можете посмотреть пример содержимого работающего .rdp-файла.

Вот по тому рецепту работает, он как то криво. Номера мониторов совсем не совпадают (
Спасибо. Буду теперь экспериментировать с параметрами.

К сожалению, нет. Прямо сейчас работаю на проекте, который по некоторым причинам нужно разрабатывать через RDP. Пинг 200+,IDE очень сильно тормозит по сравнению с локальной работой на ноутбуке
К сожалению, нет. Прямо сейчас работаю на проекте, который по некоторым причинам нужно разрабатывать через RDP. Пинг 200+,IDE очень сильно тормозит по сравнению с локальной работой на ноутбуке


Ну это особенность вашего подключения.
У меня даже с мобильного пинг до Европы из Сибири около 100-120.

Возможно, вы с Америкой работаете из Европы?
С Америкой из Сибири.
RDP, VDI

При работе удаленно спокойно можно сделать Git clone на свою рабочий лаптоп. Это никто не запрещает. Никакой Dropbox для переноса кода не нужен.

любой (нормальный) работодатель заботится о сохранности своих данных. и любой доступ к чувствительной информации (я включаю в него доступ к исходникам) должен быть а) регламентирован б) защищен.
под а) подразумевается «по умолчанию доступа нету, либо он сильно ограничен — тем, что нужно всем сотрудникам». а еще запрет на пересылку work-related информации через дропбоксы-соцсети-файлохранилки-незащищенные_соединения.
под б) подразумевается работа через впн, защита девайса (с которого осуществляется доступ) паролем и шифрование диска.

в данном случае сама тесла забила на а). сотрудник при этом забил на б).
Как работать удаленно, не имея копии кода на локальной машине? Через SSH терминал?

зависит от выполняемых вами задач и правил компании.

скажем, при использовании какого-то платного ПО в работе — вообще непонятно как вы будете делать что-либо локально…

есть куча инструментов навроде SSH, remote desktop и т.п.
для этого даже сверхжирный канал связи не нужен.
я даже на 4G через мобильный телефон в качестве модема работал по некоторым из этих технологий довольно комфортно.

о чем говорить, если даже игры с их высокими требованиями к воспроизводству видео — уже можно удаленно играть.

ситуации когда прямо-таки некомфортно удаленно, конечно, имеют место быть.
и в каких то случаях локальная копия действительно нужно.

но далеко не всегда.

Да. Именно так я и работаю. VPN, ssh, а в нем tmux и emacs. Бинарники для тестирования и некоторые разрешенные скрипты забираю по sftp через отдельный сервер, который мониторится.

MS Remote Desktop. Неудобств особых нет. Поддерживает 2 монитора. В моём случае задержки отклика не ощущаю.

Tesla отправила ему файлы с информацией для новых сотрудников, а также архив с рабочими файлами, которые новый разработчик должен изучить. Хатилов, который работал удаленно, сделал резервную копию папки, содержащей файлы Tesla на его компьютере

Но почему это классифицируется как кража? При чем умышленная?
Хотел бы умышленно и украсть — скопировал бы со своего личного ноутбука на свою личную флэшку предоставленные ему лично файлы.
Раздолбайство или нарушение протоколов — окей, учитывая что дропбокс это 3рд парти сервис.
Ну это он так говорит, а юристы Теслы описывают ситуацию несколько по-другому.
Да здесь вообще всё выглядит туманно и смутно. Очевидно, что обе стороны многое не договаривают:
Хатилов пояснил, что у него двадцатилетний опыт работы в IT-индустрии и он знает, как обращаться с закрытыми данными.
Окей, каждый сотрудник знает, что нельзя копировать куда-то в интернет в какие-то 3rd-party закрытые данные. Тут вопрос немного в другом — возможно эти файлы не были обозначены, как закрытые. И тогда:
Tesla отправила ему файлы с информацией для новых сотрудников
Здесь попахивает подставой, ведь не мог новый сотрудник за один день сразу получить доступ к тонне закрытой информации. Ему как-минимум её дали. Поэтому надо разбираться, кто дал.
а также архив с рабочими файлами, которые новый разработчик должен изучить… сделал это непреднамеренно и не знал, что там в архиве 26 тыс. файлов
Опять-же, количество файлов ни о чем не говорит, если это код, то там может быть просто зависимостей файлов на 25.5 тысяч, а остальное — уже внутренний код.
там в архиве
А это уже раскрывает то, что он якобы «соврал», что не качал кучу файлов — он действительно мог закинуть всего пару файлов с инструкциями для нового сотрудника, чтобы спокойно их почитать с телефона.

Но опять-же, 20-летний опыт в крупных компаниях, значит он знал, что за каждым его действием следят, значит как минимум он должен сам проверять, что он выносит за периметр, и уж тем более не должен закидывать данные (да даже код разработчиков) в DropBox, который является вообще сторонней компанией, и может читать твои файлы (т.е. файлы тесла).
Но почему это классифицируется как кража? При чем умышленная?

суд решит.

адвокаты Хитилова конечно приведут аргументы, что не так было дело.
юристы Теслы — приведут аргументы за.

суд решит.

вы же не считаете, что все материалы наверняка многодневного судебного заседания нам тут прямо расскажут со всеми нюансами?
>Но почему это классифицируется как кража? При чем умышленная?
если ты сотрудник банка и тебе доверили деньги.
а ты доверенные деньги положил на лавочке в криминогенном районе, то можно ли рассматривать это как в конечно итоге как кражу денег и кем?)) добрые люди нашли деньги без знания прав овнера на эти деньги. а вот ты знал, ЧЬИ это деньги и КУДА ты их тащишь.

А в Dropbox можно посмотреть, какие файлы лежат в личном хранилище любого пользователя? Как ИБ Теслы это обнаружила?

Мне кажется, работа происходила через RDP, и для копирования файлов на локальный компьютер ему пришлось задействовать Dropbox.

RDP уже давно позволяет маунтить локальные ресурсы к удаленным. Нет необходимости использовать 3rd party для перекидывания файлов

Это легко и непринужденно запрещается групповой политикой.
И вместо того, чтобы задастся вопросом «Почему это запрещено? Ааа, наверное нельзя хранить конфиденциальные данные на локальном компьютере», начать перекачивать гигабайты информации через Dropbox. И также не заметить, что большой объем данных заливается на личный Dropbox, в котором было куплено дополнительное место.

А должен был задать вопрос своему руководителю, что делать в такой ситуации.
Вы ошиблись комментарием для ответа.
Я лишь указал на техническую возможность заблокировать передачу данных через RDP
НЛО прилетело и опубликовало эту надпись здесь
В таком случае обвинение звучало бы «Служба безопасности Tesla обнаружила, что в течение недели работы Хатилов переслал через электронную почту на свой аккаунт… » и далее по тексту.
В rdp штатно работает CTRL-C CTRL-V между удаленной и локальной машиной

… которые легко отключаются административно.

«After being prompted, he gave Tesla investigators access to view his Dropbox account, where they discovered Defendant’s claims were outright lies: the Tesla investigators found thousands and thousands of Tesla’s confidential computer scripts in his Dropbox»
Он сам предоставил СБ доступ к своему дропбокс для проверки
Юристы Tesla пояснили в иске, что ИБ-специалисты компании обнаружили тысячи конфиденциальных файлов в личном хранилище Хатилова на Dropbox

Интересно, каким образом, это ведь личное хранилище. Пока что в голову приходит только один вариант — он работал на ноутбуке, выданном компанией, ну а там изначально установлен какой-то следящий софт. Или компания принуждает устанавливать такой софт на личное железо, если сотрудник хочет работать на нем.
Обнаружили факт копирования, а затем потребовали показать Dropbox.
НЛО прилетело и опубликовало эту надпись здесь
Похоже, ИБ-специалисты в Tesla тоже не против срубить палок.
огромная компания, всегда есть вероятность недоразумения, а тут ещё и русская фамилия
НЛО прилетело и опубликовало эту надпись здесь

Вы говорите о корне слова. КМК, для западного уха, всё, что заканчивается на "-ов" (a-la, Иван-ов, Петр-ов, Сидор-ов), всё звучит по-русски. Хоть Алекс Джонов, хоть Яков Смитов — тру рашн ласт нэйм.

Вы говорите о корне слова. КМК, для западного уха, всё, что заканчивается на "-ов" (a-la, Иван-ов, Петр-ов, Сидор-ов), всё звучит по-русски. Хоть Алекс Джонов, хоть Яков Смитов — тру рашн ласт нэйм.

Рилли?
Вы так думаете или вы спрашивали у самих носителей западных языков?

Так то есть к примеру чехи и болгары с такой же традицией фамилий.
Думаю, что в США хватает true-американцев с любыми фамилиями. Страна эммигрантов всё же.

Чехи и болгары для американца наверняка те же русские. Тем более, если вспомнить, что оба народа были в сфере влияния СССР буквально недавно

Болгарский близок к русскому. Они тоже используют кириллицу. Я читал болгарский текст без затруднений. А вот чешский это уже совсем другое дело.

Српски језик такође користи ћирилицу.
Лично я сталкивался с несколькими людьми, уверенными, что Косово — это где-то в России.
Кемерово, Иваново, Домодедово — значит, и Косово где-то рядом.
Рилли?
Вы так думаете или вы спрашивали у самих носителей западных языков?

Не стОит так резко реагировать на мои слова. Я же сказал, КМК (= как мне кажется). Т.е., выразил своё личное субъективное мнение. :)

НЛО прилетело и опубликовало эту надпись здесь
Вряд ли татарская или кавказская: погуглите её, сплошные чехи и немного югославов.
НЛО прилетело и опубликовало эту надпись здесь
И не просто русская, а ещё и говорящая: хитил!
Тут вопрос к Тесле, на самом деле. Доступы должны быть настроены так, чтобы разраб не мог получить доступ к файлам, с которыми он не работает.
Как я понял из новости Тесла ищет того кто передал ему эти файлы.
Tesla заявила, что к похищенным файлам имели доступ, помимо Хатилова, еще около 40 человек из примерно 50 тыс. сотрудников компании. Их сейчас также проверяет служба безопасности компании.

Новость написана неграмотными журналюгами. Надо читать иск. Там написано, что Хатилов сам всё скачал. Т.е. у него был доступ. Он сам QA Engineer, и скачал он питоновские скрипты для тестирования. Никакого криминала в скачивании я не вижу. Вполне возможно, что ответственные лица в Тесле дали ему доступ к не тем файлам, и следовательно, виноваты они а не Хатилов. Теперь-же он хотят из Хатилова сделать козла отпущения, чтобы самим не быть уволенным. В общем, типичная история.

Моего комментария это никак не отменяет. То что Тесла проверяет всех остальных указывает, что у Хатилова не могло быть доступа по внутренним инструкциям, но появился. Тем самым безопасники Теслы считают что кто то через Хатилова выводил данные из Теслы.
Т.е кто то из тех 50, договорился с Хатиловым, чтобы тот вывел данные. Ну типо случайно. И всё списать как ошибку.

НЛО прилетело и опубликовало эту надпись здесь

Сразу указывают, что хотят компенсирую, а сумма будет потом уже отдельными судом установиться с учётом решения первого мужа, устанавливающего сам факт нарушения. В РФ тоже так часто делают — подают отдельный иск о компенсации.

НЛО прилетело и опубликовало эту надпись здесь

Блог точно не его, интервью, возможно, с ним.

Судя по всему Алекс не «прочувствовал» специфику работы в большой американской корпорации. Тут надо принять априори, что «большой брат» постоянно за тобой следит — любая сетевая операция с файлами логгируется и всё на виду и там явно настроены триггеры на подозрительные операции. Компания выдаёт ноут (ясное дело, что адрес любого сайта, открытого на нём, становится достоянием админа и сидит в логах корпоративного прокси). Облачные хранилища как правило предоставлены работодателем, при этом не только сотрудник имеет туда доступ. Значит — открывать сайты, не относящиеся к работе, использовать своё облако, лазить куда не следует, и т.д. — это всё табу. В маленьком стартапе всё проще, но в большой корпорации гайки закручены почти до отказа. «Плюсы» работы в большой корпорации тоже есть, но если «минусов» не понимать и не принимать навязываемые правила игры, то идти туда не стоит — подойдёт далеко не всем.
«Все что можно — разрешено, остальное — запрещено.»
Когда я, в бытность свою проводил собеседование с новыми сотрудниками, то в обязательном виде доводил, что можно, а что нельзя. А тут Тесла! И работодатель не провел инструктаж и ввод сотрудника в инфраструктуру? Ситуация смахивает на подставу или инфа желтая.
«Все что можно — разрешено, остальное — запрещено.»… в обязательном виде доводил, что можно, а что нельзя

Как объясняете, что «нельзя лазить куда не следует» и «разрешение на чтение не означает разрешение на копирование». Просто интересно. Всех же ситуаций не предусмотришь.
любая сетевая операция с файлами логгируется и всё на виду и там явно настроены триггеры на подозрительные операции.

Ну-ну. Террабайты (я не преувеличиваю!) утечек как бы говорят нам, как там все настроено

Террабайты (я не преувеличиваю!)
Преувеличиваете, там всего одна «р».</irony>
Судя по всему Алекс не «прочувствовал» специфику работы в большой американской корпорации.
Если это его блог, то согласно блогу:
Имеет 12-летний опыт работы в качестве QA/QE-менеджера в Compaq, IBM, Gap, eBay, Kohls, Williams Sonoma, а также 4-летний опыт разработки в AMD.
Имеет 12-летний опыт работы в качестве QA/QE-менеджера в Compaq, IBM, Gap, eBay, Kohls, Williams Sonoma, а также 4-летний опыт разработки в AMD.
Значит, у него в одном DropBox собраны все внутренние документы AMD, IBM, Gap, Ebay, Kohls? Вот это дааа)
НЛО прилетело и опубликовало эту надпись здесь
Служба безопасности Tesla обнаружила, что в течение недели работы Хатилов скопировал на свой аккаунт в облачном хранилие Dropbox

Я не понял. У дропбокса что, есть услуга "кто загрузил файлы такие же как <образец>"?

Скорее всего он это делал на рабочей станции/сервере в компании, к которой удалённо имел доступ (если бы он мог это скопировать на свой личный комп то в Dropbox не было бы необходимости).


Доступ к файлам на сервере компании отследить легко, высокий исходящий траффик в направлении Dropbox — тоже, так то ИБ оставалось только сопоставить наблюдения, без заглядывания в сам Dropbox.


ИБ очень редко заморачиваются мониторингом доступа к конкретным файлам, но в данном случае вероятно не поленились (если к ним имели доступ всего 40 человек — вполне объяснимо), хотя сам факт аплоада чего-то в большом объеме на сервис типа Dropbox от нового сотрудника — уже тревожащий сам по себе.

Он это делал с рабочего лаптопа. Там тоже стоит софт которые следит за копированием файлов.

Там что, нет системы распределения прав доступа к файлам?

Нет, разработчики работают на выданных им лаптопах и имеют доступ ко всему репозитории.

Тогда скачивание на свой Dropbox = воровству (так как такой необходимости для просто работы нет).

Для меня из новости загадка — кто ему вообще дал Дропбокс установить на корп железку. У нас политиками зарезана установка любого «левого» софта. DLP система — да, хорошо. Короче, чтобы понять кто реально виноват — надо читать оригинал иска и аргументацию обеих сторон, причём тщательно. Любая мелочь может перевесить чашу весов в любую сторону. Я скорее склонен думать, что сотрудник не идиот и не пытался сделать целенаправленную утечку данных


Но вообще это событие явно в тренде «русских хакеров» ( помните недавние наезды на джетбрейнс?). Я уж не говорю, что российская агитпропаганда тоже может использовать это событие для очернения США и иллюстрации того, как «притесняют русских»

Архив можно загрузить в дропбокс через веб интерфейс

Можно, но это не наш случай.
Ниже пишут:


nce by hurriedly deleting the Dropbox client a

В Тесле, код хранится в нескольких моно репозиториях в Git. Разработчики могут спокойно клонировать его на свои лаптопы и работать с ним.
Чего нельзя делать это копировать этот код на флешки, личные облачные сервисы или отправлять на email. Об этом предупреждают и специальный софт следит.
Человек из статьи врёт что не знал об этом.

А это всегда так, несколько деталей и история выглядит уже совсем по-другому. Вспоминаю историю про одного нашего соотечественника который загремел под суд в Шри-Ланке за сбор насекомых. С его слов все выглядело так, что он бедный биолог собрал на дороге несколько мертвых жуков, положил их в карман и забыл об этом. А со слов властей, все выглядело как контрабанда, потому что они заявили, что нашли у него в номере сотни жуков, в том числе и живых, а также ящериц и игуан. В общем надо разбираться всегда, а то в уши воды нальют так, что утонешь, каждая сторона тянет одеяло на себя, а где правда — черт его знает.
Персонал службы информационной безопасности Tesla обнаружил несанкционированную загрузку Ответчика 6 января 2021 года и в тот же день встретился с Ответчиком и допросил его. Во время этого интервью он неоднократно заявлял, что передал только пару личных административных документов. После запроса он предоставил следователям Tesla доступ к своей учетной записи Dropbox, где они обнаружили, что утверждения Ответчика были откровенной ложью: следователи Tesla обнаружили тысячи и тысячи конфиденциальных компьютерных скриптов Tesla в его Dropbox.
Если рабочий ноут на руках, что мешало ему отключить диск и слить инфу локально или разделы зашифрованы? Слишком мутная ситуация, тот кто сливает данные находится на хорошем счету и не отсвечивает, данные потихоньку сливаются, счёт в банке наполняется. А тут больше похоже, что по привычки включил dropbox и туда попал рабочий проект.
Когда мне выдавали MacBook то я видел что диски шифровались. Насчет Win лаптома скорее всего так же, но лично я процесс не видел.
Dropbox на рабочем ноуте быть не должно, насколько я помню, об этом предупреждают.
Для винды есть битлокер, у нас так рабочий ноутбук зашифрован.

Почти наверняка зашифрованы, иначе потеря/кража ноута может обойтись очень дорого. Извлечение накопителя при грамотно настроенном шифровании ничего не даст, даже, если это сделает сам владелец ноута, т.к. ключ шифрования защищен нет только паролем пользователя, но и доверенным платформенным модулем (на другой машине накопитель не расшифруется, даже, если ввести правильный пароль).

Разве "не только", а не "или"?


Переставлял загрузочный винт между эмбеддед-системами, тот был закрыт битлокером, но при вводе пароля из кучи цифр на загрузочном экране — вполне себе монтировался и загружался. Потом через manage-bdi привязываем к новой системе и вуаля.

Это recovery password, который можно увидеть при активации шифрования (но ноутбук вам выдадут уже с включённым шифрованием), после чего он улетает в Active Directory Domain Services. Также его можно увидеть в любой момент с помощью команды manage-bde -protectors -get (но она требует прав администратора, которых у вас не будет).

Кстати, recovery password может не существовать вовсе, вместо него может быть recovery key, представляющий собой ключевой файл.

Bitlocker можно настроить по-разному. Самый распространённый вариант, когда накопитель расшифровывается перед запуском Windows без участия пользователя, а пользователь лишь знает пароль от своей учётки Windows. Даже, если загрузиться с LiveCD (чтобы обойти авторизацию в Windows) или вставить накопитель в другую машину, он уже не расшифруется. В этом сценарии ключ шифрования защищается только доверенным модулем.

Но можно защищать ключ шифрования одновременно и доверенным модулем, и PIN-кодом (он ограничен 20 символами, не имеет ничего общего с паролем от учётки Windows, по умолчанию состоит из цифр, но есть политика, разрешающая использование букв).

Также, можно не использовать доверенный модуль, а использовать только PIN.
Чаще всего применяется первый сценарий, потому что он не доставляет лишних неудобств пользователю (иначе пользователю придётся запомнить не только пароль от учёки Windows, но и PIN BitLocker), но эффективно защищает данные в случае кражи устройства (вор не сможет ни залогиниться в Windows, ни обойти авторизацию Windows с помощью LiveCD или подключив накопитель к другому ПК).
Как отключить? Про "tamper switch" что-нибудь слышали? И такая штука имеется у ноутбуков ориентированных на бизнес — после следующего включения сразу в IT отдел прилетит уведомление, что ноут вскрывался.

Знаю его. Он один из первых русскоязычных преподавателей QA в долине. Ничего плохого не слышал о нем.

Знаю его. Он один из первых русскоязычных преподавателей QA в долине. Ничего плохого не слышал о нем.


Нелогично:

«Один из первых» — как бы положительно характеризует, но по факту не является никакой оценкой. Так сложилось. Лишняя информация.

«Ничего плохого не слышал» — ну а как вы считаете, за человеком должен быть шлейф негатива, что он постоянно ворует информацию работодателей? Ну и кто бы его взял тогда на работу. И как бы он тогда мог бы украсть? Разумеется, ничего плохого никто и не должен был слышать о нем.

Не скажу, что он виновен. Или невиновен. Это уж судебные решения…

Но вот ваши слова-характеристики — лишены смысла в контексте обсуждаемой кражи данных.

«А покупал ты ее по советским законам?» (с)
Драма тут состоит не столько в потере работы, сколько в квалификации деяния по уголовной направленности. Налицо разница в жизненной позиции и ментальности. «Все разрешено, что не запрещено» — это скорее из области принципов юриспуденции, чем строгой производственной дисциплины. Опять-таки, вспоминается, что там, где у нас стоят малоприглядные металлические двери, у них стоят террасные двери с большим стеклом, в вместо заборов из профлиста — ограждение не выше колена. В Англии и Голландии люди часто не зашторивают окна в гостинных, просто не принято подглядывать. Помнится в парке в Калифорнии читал правила стояния в очереди на аттракцион — отойти ни на мгновение нельзя, подойти к знакомым тоже. В Лондоне на табличке про газон сразу написана сумма штрафа за его топтание. Кроме того, как гласит предание, там триста лет отрубали кисть за кражу носового платка. Тем более, что в связи с текущей ситуацией, установлен режим zero tolerance к тому, за что можно было бы просто погрозить пальчиком. Так что, если не хочешь стать мишенью по для применения репрессивных мероприятий, строгие производственные правила нужно внимательно читать, выполнять, при нечаянном нарушении сразу бежать каяться и точно выполнять указания по устранению нарушений. В чем, вообще, полезность сотрудника в глазах начальства, если он пренебрегает правилами конфиденциальности. Тем более, в обществе, где доносительство относится к добродетелям. Менее распространенное мнение про презумпцию невиновности, распространенное в реальной жизни, гласит, что доверять можно только тому, кто доказал, что заслуживает такого отношения. Алекса, которому желаю отстоять свое честное имя, конечно, по-человечески исключительно жаль, что и подвигло на написание комментария.
Проблему усугубляется тем, что СБ Тесла считают, что сотрудник на допросе намеренно солгал, когда утверждал, что скопировал только пару личных файлов:

“Tesla’s information security personnel detected Defendant’s unauthorized download on January 6, 2021 and confronted Defendant that day and interviewed him. During this interview he repeatedly claimed that he had only transferred a couple personal administrative documents. After being prompted, he gave Tesla investigators access to view his Dropbox account, where they discovered Defendant’s claims were outright lies: the Tesla investigators found thousands and thousands of Tesla’s confidential computer scripts in his Dropbox. Defendant then claimed he somehow “forgot” about the thousands of other files he stole (almost certainly another lie). Even worse, it became apparent that Defendant had brazenly attempted to destroy the evidence by hurriedly deleting the Dropbox client and other files during the beginning of the interview when investigators were attempting to remotely access his computer.”

Во время допроса он неоднократно заявлял, что передал только пару личных административных документов. После запроса он предоставил следователям Tesla доступ к своей учетной записи Dropbox, где они обнаружили, что утверждения Ответчика были откровенной ложью: следователи Tesla обнаружили тысячи и тысячи конфиденциальных компьютерных скриптов Tesla в его Dropbox.
Скопировал по незнанию или по ошибке — это одно, а откровенная ложь — это уже совсем другое дело(((

Вряд ли человек идиот. Если он знает, что у него на дропбоксе 100500 конф файлов — зачем передавать реквизиты учетки?


Even worse, it became apparent that Defendant had brazenly attempted to destroy the evidence by hurriedly deleting the Dropbox client and other files during the beginning of the interview when investigators were attempting to remotely access his computer.”

А это можно обьяснить аффектом или нежеланием увеличивать проблематику (Дропбокс клиент может в этот момент и дальше синхронизировать Файлы, создавая утечку ещё большего масштаба).
Короче, чего-то аргументы не очень аргументные

СБ могла потребовать от него передать реквизиты учетки дропбокса немедленно, прямо на допросе, чтобы он не успел удалить данные. Отказ это сделать подтверждал бы умышленность кражи

Ну, все равно что-то не сходится. Представьте себе, что Вас вызывает СБ. И у Вас есть подозрения почему это так (а они будут, если преступление имело место). Почему тогда сразу в момент вызова не удалить весь Дропбокс и учётку, и данные в нем?
Да, я наивный чукотский вьюнош...

СБ не дураки.
Приходит чувак, говорит, что тимлид зовет. А там уже СБ.
Стандартная процедура

Так он удалённо работал, вряд ли его вызывали в офисе в кабинет СБ… но опять же — надо смотреть детали дела, чтобы не быть голословным

СБ пишет, что во время допроса удалённо зашли на его компьютер, и увидели, как он что-то там удаляет. Значит, СБ и герой физически не встречались: не мог же он прямо сидя в кабинете СБ что-то удалять?
Что он удаляет клиент ДропБокс и файлы (которые от него потребовали удалить, если верить ему), когда удалённо подключались к его ПК:
“Even worse, it became apparent that Defendant had brazenly attempted to destroy the evidence by hurriedly deleting the Dropbox client and other files during the beginning of the interview when investigators were attempting to remotely access his computer.”

But Khatilov said he deleted the files from the Dropbox at Tesla’s request. He also uninstalled the Dropbox software he had on his computer, which no one told him he wasn’t supposed to have, he said.
Да, и всё это осуществлялось during the beginning of the interview.
Нечто похожее уже было в 2019 — Tesla инициировала судебный процесс против Гуанчжи Цао, бывшего инженера автопилота, который уволился, чтобы присоединиться к команде разработки автопилотов Xpeng.

В иске автопроизводитель утверждает, что Цао загрузил исходный код автопилота на свое личное устройство через Airdrop, прежде чем уволиться и продал его Xpeng при присоединении к компании.
electrek.co/2019/03/21/tesla-chinese-startup-xpeng-stole-autopilot-source-code-former-employee

«После того, как Tesla подала иск, Цао признал, что загружал часть исходного кода Tesla Autopilot, но утверждает, что удалил его перед тем, как покинуть Tesla, и никогда не передавал его Xpeng»
… в последнее утверждение господина Цао что-то не очень верится)))

Это вообще не имеет значения. Представляю себе следующий этап.


Новостная лента 2021:
«Г-н Цао просмотрел конфиденциальные материалы компании Тесла и произвёл несанкционированную загрузку защищённых патентами алгоритмов к себе в мозг. Перед этим, siloviki предъявили доказательства, что г-н Цао тренировал свою память, чтобы обеспечить запоминание максимального количества данных. К тому же, г-н Цао отказался проходить от процедуры обнуления сотрудника после увольнения. Таким образом, г-н Цао гарантированно мог передать конфиденциальные алгоритмы своему новому работодателю, в чем у нас нет сомнений, т.к. компания Xpeng занимается разработками схожей технологии»


Какая-то прям антиутопия

То, что ты унес в своей голове — это одно. А если ты скопировал чертежи, схемы, код и т.п. на флешку — это маленько другое)

От способа уноса информации преступление преступлением быть не перестаёт ) Просто в случае «унёс в голове» остаётся меньше материальных артефактов преступления. Ну, и вообще на этот счёт есть же non compete agreements

Которые ничтожны в штате Калифорния.
Хатилов пояснил, что у него двадцатилетний опыт работы в IT-индустрии и он знает, как обращаться с закрытыми данными. В Tesla ему не запрещали при приеме на работу использовать Dropbox.

Да-да. Не знал. Если это сказал джун без опыта работы — я бы поверил. Но работая в США, тем более так долго (30 лет!) — да даже если бы четно не запретили, рисковать я бы не стать. Но скорей всего, все запреты были. Только человек вместо изучение onboarding документов, увлекся копированием файлов.

p.s. пробежался по его интервью, как-то на сказку смахивает. Чего только стоит момент с GC — может старожилы (заставшие 90е) меня поправят, но как-то нереально таким образом получить GC как мне кажется. Основания-то какие?

Стою в углу, он там что-то подписывает, а адвокат на меня смотрит и говорит: «Молодой человек, а вы что, не интересуетесь грин-картой?» В то время я даже не знал, что это такое. Она говорит: «Вы получите право приезжать в Америку, не стоя в очереди в посольство». Я ответил, что не собираюсь приезжать сюда, мне это вряд ли понадобится. Она спрашивает: «У вас деньги есть?» У меня в кармане было сорок долларов. Она сказала: «Это лучшее вложение, которое вы можете сделать». И как-то меня уболтала. Я отдал ей сорок долларов, заполнил и подписал бумаги, меня тут же сфотографировали. Через неделю я получил номер социального страхования и разрешение на работу, а через четыре месяца, в декабре, мне пришла по почте грин-карта. После этого я решил уехать домой, а перед отъездом заехать в Нью-Йорк.
Только человек вместо изучение onboarding документов, увлекся копированием файлов.

Как легко человека обвинить, тем более, с которым не знаком. Ну, ок. Может быть ситуация была немного другая — он не мог ознакомиться с онбординг документами, пока не скопировал бы файлы?


Да-да. Не знал.

Я думал написать, что должна быть четкая классификация типов документов («открытые», «закрытые», «ДСП» и пр.). А потом подумал, что надо попросту исходить из наиболее худшего сценария, что корп ноут только для разработки и все то, что есть на нем — только ДСП, без возможности загрузки в облако.

Дочитал интервью — чуваку 52-53 года. В США с 1989 года. Опыт работы во многих крупных компаниях.
он не мог ознакомиться с онбординг документами, пока не скопировал бы файлы?

Мой опыт работы во множестве компаний (включая первую сотню из F500) исключает эту возможность.

Я работал в разных компаниях. Были и компании которые классифицировали документы. Но большинство сразу просто говорят — запрещено устанавливать сторонние облака, подключать флешки и т.п… Все мониторится. А блокировать все и вся — это путь в никуда. Во-первых, при удаленной работе способы блокировки ограничены (он мог и с экрана фотоаппаратом сфотографировать), во-вторых, вы неизбежно ухудшаете работу честных сотрудников.

Он также добавил, что у него не было доступа к какой-либо конфиденциальной информации компании.

Любой код это конфиденциальная информация если об этом не сказано обратное.
… файлы систем EHS и WARP Drive...

Ага, вот он — главный секрет теслы! Понятно теперь на чем полетим к марсу.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Другие новости

Истории