Безопасность в Internet- Intranet

Что произошло…


При обычной бухгалтерской проверке ведомости сотрудник бухгалтерии заметил сообщение об изменении заработной платы сотрудника сервис-центра в системном журнале. Что было странно, так это то, что модификация заработной платы была произведена главным бухгалтером, который никогда сам не занимался этим. Это всегда делалось тем сотрудником бухгалтерии, который проверял системный журнал.

Когда сотруднику сервис-центра, чья заработная плата была увеличена, задали вопрос об этом, он сказал, что не имел доступа к бухгалтерской системе. Но дальнейшее расследование установило, что он его все-таки имел. Информация из журналов систем управления доступом в помещения показала его присутствие в здании в той части, откуда он мог иметь доступ к бухгалтерской системе, во то время, когда было произведено увеличение заработной платы. Видеозаписи системы наблюдения подтвердили его присутствие в это время в здании. После этого он был сразу же уволен.

Когда его увольняли, этот человек выкрикивал угрозы в адрес компании за его увольнение. Когда его спросили, что он имеет в виду, он оказался настолько глуп, что сказал, что он выведет из строя все компьютеры компании. Тогда его предупредили, что компания свяжется с правоохранительными органами и вывели из здания под конвоем.

Неделей позже все сотрудники компании получили письмо из Интернета от адреса, который вроде бы принадлежал промышленной группе, в которую входила компания, и с которой шло активное взаимодействие по электронной почте. Если говорить конкретно, то казалось, что письмо послано президентом этой промышленной группы и было предназначено всем сотрудниками компании. В письме сообщалось, что документ, находящийся в приложении к письму, - это презентация на PowerPoint президента компании, и что сотрудники должны распаковать этот файл и запустить эту программу, чтобы посмотреть презентацию президента.

На самом деле никакой презентации в этом файле не было. Вместо этого приложение содержало небольшую программу, которая при запуске удаляла все содержимое жесткого диска на машине пользователя. Это письмо было послано на тот описанный ранее малоизвестный внутренний широковещательный адрес электронной почты. 1200 пользователей получили это письмо. Более 450 пользователей запустили программу и очистили свои диски, прежде чем поняли, что происходит на самом деле. Нечего и говорить, что почти нигде данные на жестких дисках не имели резервных копий.


После нескольких случаев неповиновения и бесед начальника с этим инженером НОА послал начальнику отдела кадров электронное письмо, детально описывающее проблемы с этим инженером, в котором он высказывал пожелание уволить этого подчиненного. На следующее утро после отправки письма этот инженер появился в отделе кадров вместе с письмом в руке и стал жаловаться, что он был оклеветан и т.д., и что НОА плохо относится к нему. Начальник отдела кадров после этого провел ряд совещаний с НОА и начальником службы безопасности, после чего стало понятно, что этот инженер читает конфиденциальные электронные письма НОА и других сотрудников организации.

Почтовый сервер учреждения работал на основе Lotus cc:Mail. Любой, кто имел соответствующий доступ к системе (знал пароль администратора), мог читать электронные письма в почтовых ящиках сервера - это была одна из штатных возможностей почтового администратора. Было вполне вероятно, что инженер читал не только письма НОА, но также письма других сотрудников, которые могли заинтересовать его.

В конце концов инженер сам уволился из компании и сообщил при этом сотрудникам отдела автоматизации и отдела кадров, что он больше не может работать при таком негативном отношении к нему.

В день увольнения он сказал различным сотрудникам отдела автоматизации следующее:

  • НОА тратит все свое рабочее время на доступ в WWW к различным порнографическим сайтам.
  • Большая часть этих сайтов содержит гомосексуальные картинки.
  • Загруженные НОА порнографические картинки он держит на своей рабочей станции.
  • Этот инженер, увольняясь из компании, сделал полную копию всех файлов на рабочей станции НОА, чтобы защитить себя в случае преследования со стороны НОА и юристов организации.

    • После того, как НОА услышал это, он связался с начальником службы безопасности, который в свою очередь пригласил экспертов (в том числе автора рассказа), чтобы они разобрались в том, что произошло и проверили истинность заявлений инженера.




    Инженера видели на его рабочем месте на следующий день после начала срока наказания, и он сказал, что пришел только забрать какие-то бумаги, нужные ему для написания большого отчета. Когда инженер был в офисе, он попросил дать ему возможность удаленного доступа к корпоративной сети из дома на время наказания, чтобы в случае аварии он мог помочь решить проблемы прямо из дома. Такой доступ ему был предоставлен. Для этого другой администратор создал аккаунт для подключения по модему в системе управления модемным пулом организации (блок Shiva) и назначил для него полномочия.

    Двумя днями позже конфиденциальные письма об этом инженере НОА начальнику отдела кадров были получены всеми сотрудниками отдела автоматизации. Кроме этого, все они получили интимные письма между НОА и его подружкой. А ряд конфиденциальных писем отдела кадров был получен лицами, о которых шла речь в этих письмах, что вызвало панику среди сотрудников организации и посеяло сомнения в способности отдела автоматизации администрировать "такую простую вещь, как почтовый сервер".

    Когда этого инженера спрашивали о причинах возникших проблем, он говорил всем, что его в это время не было в офисе, и он не имел в это время доступа к сети по модему. Журналы модемного пула показали, что в то время, когда произошло происшествие, от этого инженера не было входящих звонков и подключений по модему через модемный пул.



    Содержание раздела