Сообщение от отца
Я попросил его отключить устройство, положить в безопасное место, сфотографировать со всех сторон и сделать образ SD-карты (потому что в основном я работаю удалённо). Я работал над многими проектами с Raspberry Pi и был уверен, что разберусь в назначении этого устройства.
В тот момент ещё никто не думал, что оно может быть зловредным, скорее, все думали, что это экспериментирует кто-то из сотрудников клиента.
Детали
Устройство состояло из трёх частей:
- Raspberry Pi B первого поколения
- Загадочный USB-донгл
- SD-карта на 16 ГБ (с высокой скоростью)
USB-донгл и SD-карта
В первую очередь: опросить всех, кто имеет доступ к шкафу с сетевым оборудованием
Доступ к этому небольшому шкафу имеет очень ограниченный круг людей. Ключ от этой двери был только у четырёх человек:
- У менеджера
- У завхоза
- У моего коллеги
- У меня
Никто из них ничего не знал, поэтому я спросил своих коллег из отдела ИТ, но они тоже были в недоумении. Я слышал, что некоторым людям платят за то, чтобы они устанавливали такие устройства в места, где их быть не должно, и поэтому мне стало очень интересно выяснить, чем же оно на самом деле занимается.
Что это за USB-донгл?
В помощь для решения этой загадки я призвал Reddit и пользователи сайта почти сразу идентифицировали донгл как устройство с микропроцессором, сравнимым по возможностям с самой Rasberry Pi: nRF52832-MDK. Очень мощное устройство для чтения WiFi, Bluetooth и RFID.
USB-донгл nRF52832-MDK
Без всяких сомнений, он обеспечивал старому Raspberry Pi подключение к WiFi и Bluetooth. Отлично, так значит, у этой штуки теперь и WiFi есть…
Пришло время разобраться с образом SD-карты
SD-карта содержала несколько разделов. Большинство имело формат ext4 (linux) и один fat16 (загрузочный).
Так образ выглядит в GParted
Отлично, примонтируем его.
Мой debian box указал мне на первую серьёзную улику: это установка resin.
Разделы Resin на SD-карте
Что такое Resin?
Resin (теперь переименованный в Balena) — это платный веб-сервис IOT, в котором можно генерировать образы для устройств IOT, развёртывать эти устройства и обмениваться обновлениями и данными с resin.
Также Resin устанавливает на устройство VPN, чтобы собранные данные передавались защищённо. Очевидно, устройство должны были забрать, потому что оно оставляет след — сервис-то платный.
Присмотримся к разделам внимательнее
Первый раздел называется "resin-boot".
Что-нибудь бросается в глаза? Здесь есть
config.json. Сразу джекпот?
config.json в разделе resin-boot
Что можно извлечь из этого файла:
- Приложение, развёрнутое на этом resin-устройстве, называется "logger". Плохой знак.
- У нас есть username. Похоже, это имя пользователя аккаунта resin, связанного с этим устройством.
- Подтверждение того, что устройство использовало VPN через порт 443
- Дата регистрации. Оно было зарегистрировано (или впервые развёрнуто/настроено?) 13 мая 2018 года.
К слову об имени пользователя...
Загуглив имя пользователя, найденное в файле config.json, я обнаружил человека в том же городе, где было найдено Pi. Компания проверила свои записи об этом человеке, но ничего не нашла.
Достаточно странно, что я нашёл веб-сайт 2001 года, на котором родители «одарённых детей» писали статьи о них и по какой-то причине подписывали свои статьи домашними адресами и телефонами. Итак, у меня есть фамилия и адрес всей этой семьи.
Не тот сайт, но похожий
Это может быть ложным следом, ведь одинаковые имена пользователей обычно используются множеством людей, но давайте просто запомним это имя.
resin-data
В папке data не хранилось никаких данных (читай: собираемых данных), но в ней лежало сильно обфусцированное приложение на nodejs, и я до сих пор не знаю точно, что оно делает. Похоже, оно общается через последовательное соединение с донглом, но я не могу разобраться, какие данные оно собирает. Могу только предположить, что приложение собирало профили движения устройств Bluetooth и WiFi по соседству (рядом с офисом менеджеров) и, возможно, сырые WiFi-пакеты.
Однако я обнаружил нечто гораздо более интересное: файл
LICENSE.md.
Скриншот файла LICENSE.md
Странно… Зачем это приложение на nodejs хранит конфиденциальное ПО? Я загуглил компанию из заголовка Copyright, и угадайте, что я нашёл?
Человек с именем пользователя, найденным в файле config, является её совладельцем
Моему пониманию не поддаётся, почему сооснователь компании мог бы распространять эти устройства по городу, но…
Получаем домашний адрес нападавшего
Ещё одну очень интересную деталь я нашёл в третьем разделе (
resin-state), это был файл по пути /root-overlay/etc/NetworkManager/system-connections/. Файл называется resin-wifi-01 и угадайте, что в нём находится?
Внутри содержались параметры и пароль сети WiFi, которую использовали для настройки устройства (или для его тестирования). Это точно не была сеть WiFi компании. И что же делать, если нужно найти место, соответствующее имени WiFi? Заходим на wigle.net, вводим SSID (=имя WiFi), и сайт сообщает, в каком месте мира он находится.
Место и имя изменены
Помните адрес с сайта родителей одарённых детей? По данным Wigle.net, именно по нему настраивали наше устройство Pi.
Возмездие
Как и когда Pi попало в шкаф?
Я проверил логи DNS и обнаружил конкретные дату и время, когда устройство Pi впервые было замечено в сети. Я проверил логи RADIUS, чтобы понять, кто из сотрудников был на территории в это время, и увидел множество сообщений об ошибках, что к WiFi пытался подключиться деактивированный аккаунт.
Этот деактивированный аккаунт принадлежал бывшему сотруднику, который (по какой-то причине) договорился с руководством о том, что ему оставят на несколько месяцев ключ, прежде чем он не вынесет все свои вещи из здания (не спрашивайте меня, почему так случилось...).
Что было дальше
Потом этим вопросом занялся юридический отдел, я выполнил свою роль, остальное не относилось к моим должностным обязанностям.
Для меня это была очень интересная головоломка, и я хотел бы поблагодарить всех пользователей Reddit, которые помогли мне собрать все её фрагменты.
Комментарии (44)
askharitonov
29.06.2022 20:08+4Выражение «рояль в кустах» идёт от старой, ещё советских времён, пародии на явно постановочные передачи, там главный герой показывает свои таланты, и в частности готов сыграть на фортепиано, тем более, что «Здесь как раз в кустах случайно стоит рояль». То, что злоумышленник указал своё имя, не сделал для тестирования отдельную временную сеть — уже странно, но вот то, что адрес удалось узнать потому, что по какой-то причине люди подписывались своими адресами и телефонами — это наверное более редкая ситуация, чем рояль в кустах. Я скорее поверю в рояль, чем в это, тем более, что у нас в городе на набережной в ротонде уже давно поставлено пианино — если недалеко от кустов стоит пианино, почему бы и в кустах не стоять концертному роялю?.. А вот видеть, чтобы кто-то в Интернет подписывался своим домашним адресом, мне ни разу не приходилось.
Может часть информации автор исходной статьи собрал способами, которые не хотел бы разглашать?
SergeyMax
29.06.2022 20:54+17Возможно, всё было проще: вифи сеть постоянно глючила, и чувак по-быстрому накостылил какой-то мониторинг, взяв за основу какой-то готовый сервис, вместе со всеми его учётками, копирайтами и лицензионными соглашениями, потом уволился, соответственно после блокировки учётки полезли ошибки подключения к вифи, а тут и автор проснулся.
F0iL
29.06.2022 21:09+4Вполне возможно, что человек, который задумал гадость (а может и не гадость), и человек, который придумал решение/зарегал учётки/etc. - это два совершенно разных человека, и об истинных намерениях первого второй мог быть вообще не в курсе (а просто продал/подарил тому готовое решение).
dizatorr
30.06.2022 11:30«рояль в кустах»
Немного офтопик, память мне подсказывает, что это было музыкальная передача, с А. Ширвитом в качестве ведущего. И он обсуждал, в каком-то парке, с Р Паульсом его новую композицию, после чего попросил её сыграть. Ну и рядом, как раз, находится рояль.
spqr_voldi
30.06.2022 12:00Однажды я так турецкого хакера нашёл. То есть вот такая цепочка примерно, специфический ник, местные форумы и т.д.
Javian
29.06.2022 20:50+6Так что эта система делала? Логи какие-то есть? Пока ясно что человек особо не собирался что-то прятать и выглядит это действительно как некое устройство для решения рабочих задач.
askharitonov
29.06.2022 21:00+5Вроде в статье не показана связь между создателем устройства и тем, кто его установил? То есть, может просто некое нормальное устройство использовалось в нелегальных целях, и та часть рассказа, где ищется создатель устройства, на самом деле ничего не говорит об инциденте, может всё сводится к последней части, где посмотрели логи, увидели, когда устройство появилось в сети и сопоставили с тем, кто был в офисе в это время?
Javian
29.06.2022 21:25+2Тут еще не понятное "множество сообщений об ошибках, что к WiFi пытался подключиться деактивированный аккаунт.". Насколько я представляю ситуацию это мог быть телефон этого сотрудника, который пытался подсоединиться к сети, оказавшись в её зоне покрытия.
eimrine
29.06.2022 21:46+2Из статьи мне непонятно что делалось через ethernet. Но если назначение устройства — халявный vpn с возможностью бонусного канала через wi-fi то у решения есть проблема: 2 порта usb, карта памяти и ethernet делят между собой одну шину usb и из 4х пингов по этому проводу один всегда будет больше секунды. Вся остальная сетевая инфраструктура вместе взятая будет тормозить меньше чем один этот сервер.
upagge
29.06.2022 23:09+3Ммм, 2019 год, свежачок
hullaballoo
30.06.2022 09:08+1При этом, в 2019 году была публикация и про более интересный случай в NASA, случившийся в 2018 (https://threatpost.com/feds-hackers-mission-control-data-nasa-jpl/145842/). В 2019 осенью подобная же штука найдена в переговорке у бывшего работодателя - кто-то прочитал, научился и повторил. В целом не выглядит как что-то супер-редкое и сложное, особенно если нет задачи очень долго держать RasPi в сети и расчёт на отсутствие сегментации оправдался.
HOMPAIN
29.06.2022 23:42+9>>В помощь для решения этой загадки я призвал Reddit
qr код сложно было отсканировать?)
bbs12
30.06.2022 06:29+2Можно определить даже без QR - с помощью приложения Гугл Объектив. Очень удобно ищет всякие непонятные штуки.
edo1h
30.06.2022 10:48+3qr код сложно было отсканировать?)
вот-вот.
даже возникают подозрения, что всё это (речь про англоязычный первоисточник) — просто рекламная акция )чень мощное устройство для чтения WiFi, Bluetooth и RFID.
btw, сходил по ссылке, ничего про wifi не нашёл.
Whitech
30.06.2022 08:58+5>>"nRF52832-MDK. Очень мощное устройство для чтения WiFi, Bluetooth и RFID.
>>...
>>Отлично, так значит, у этой штуки теперь и WiFi есть… "
Как-то плохо автор проконсультировался или не там. Нет в nRF52832 никакого WiFi.
lmxrm
30.06.2022 10:15+5nRF52832 не умеет в WiFi, и то что он по мощности сопоставим с raspberry, это как бы не очень профессионально сказано
askharitonov
30.06.2022 10:20+4А знаете, что это могло бы быть? Когда удалённо администрируешь сеть, хочется обеспечить возможность подключения к ней по альтернативному каналу (чтобы, в случае возникновения проблем, не диктовать по телефону команды ping и т.д.). Я когда-то рассматривал вариант с USB-модемом, включенным в старый компьютер, хотя и не хотелось оставлять без присмотра личную SIM-карту (вряд ли конечно кто-то с неё что отправит, но, если что, потом доказывай...). Но можно ведь заранее настроиться на телефоны выбранных сотрудников (с нормальным тарифом на доступ в Интернет), и потом просить кого-то из них прийти в серверную и включить Bluetooth на телефоне, чтобы получить возможность попасть в сеть удалённо и посмотреть, что именно сломалось, почему нет доступа в Интернет и т.д.
Понятно, что не всё в истории соответствует этой версии, но можно предположить, что, например, тот сотрудник помогал одному из бывших коллег неофициально, или что устройство давно в сети, просто логи не сохранились, и т.д.
slimper
30.06.2022 10:21+55-7 лет назад читал почти 1 в 1 историю, только дело было в каком-то крупном университете зарубежном. Закончилось тем, что это был какой-то университетский же стартап, который собирал обезличенную(?) статистику использования сети.
nicusor
30.06.2022 10:48Да, было такое на реддите. К сожалению сейчас тот пост удален.
liveoverflow на youtube проводил исследование образа той флешки из raspberry.
www.youtube.com/watch?v=UeAKTjx_eKA
В комментах к видео liveoverflow стартап даже ответил
www.youtube.com/watch?v=ioU5G_IuGuw
Cheater
30.06.2022 12:38+6Хакеры, которых мы заслужили. Без node.js и платных серверов с деанонимизацией шагу не могут ступить.
Одноплатник с линуксом и шифрованным root-разделом под LUKS, делающий ssh -R во внешний мир, и удачи искать злоумышленника.
stepmex
Как-то история оборвалась на полуслове и выглядит незаконченной.????
Хотелось бы продолжения с допросом виновного...
holy_slav
Оригинальный пост с Reddit.com
Final Update
It really was the ex employee who said he put it there almost a year ago to "help us identifying wifi problems and tracking users in the area around the Managers office". He didn't answer as to why he never told us, as his main argument was to help us with his data and he has still not sent us the data he collected. We handed the case over to the authorities.
Vsevo10d
Гениальный ответ. На уровне "я люблю сесть с утра на рынке и накрывать шарик стаканчиками, это успокаивает и разминает запястья, а люди сами мимо ходили, деньги мне клали".
Я вот не согласен с комментариями ниже, не верю в невиновность чувака, который что-то мутит под замком, от которого ключи у полутора человек в компании, да еще ничего им не говоря. Как могло кому-то помочь устройство, о котором он никому не сказал и сам при этом тоже уволился?
TimsTims
Вы допускаете несколько логических ошибок. Виновность человека нужно доказать. Недостаточно сказать, что вы ему не верите. Нужно доказать, что:
1. Был злой умысел.
2. Причинил вред.
3. Действовал незаконно (не имея таких прав).
Умысел - он сообщил, что действовал во благо компании, чтобы собирать всех проходимцев. Доказать обратное - нужно перечитать что делал этот код. Учитывая, что он не сильно то и скрывался и оставил в коде кучу следов на себя, то вряд-ли он хотел вывести из строя ДЦ своей штучкой. Никто в компании не мог подтвердить, что давали ему такое задание, но и опровергнуть не смогли. Может у него и правда была такая задача - провести анализ нарушителей.
Вред - либо не причинил, либо причинить "не успел". Доказать второе - можно только разобрав код. Если действовать без доказательств, то даже уборщицу можно считать виновной в потенциальной поломке ДЦ.
Действовал ли он незаконно? Этот пункт самый важный. Если объект имеет пропускной режим, а он пробрался скрытно, то это нарушение. Но они его туда сами впустили, да ещё и явно дали (оставили) ему ключ, то ответственность переходит к тем, кто дал ему такие права. Здесь за уши можно притянуть злоупотребление доверием, но нужно доказать вред и умысел.
ПС: интересно, что ваш комментарий набрал +10, значит примерно столько человек считают также, что надо наказать. С другой стороны в этом топике считают, что не стоит наказывать за ИТ-преступление (которое по-настоящему причинило ущерб, а не как здесь - косвенно-непонятно): https://habr.com/ru/news/t/673878/comments/#comment_24480494
Newbilius
Конкретно по этому пункту в отрыве от остальных: доказывается наличие чего-то, а не отсутствие. Немного утрированный пример: работник отформатировал все боевые сервера, и говорит, что ему это приказал директор. Или его поймали за руку, когда собирался отформатировать. Директор должен доказывать «отсутствие приказа», или работник — «наличие»?
Про «P.S.» — я тоже лайкнул комментарий выше, но не за «надо наказать», а потому что тоже не верю в невинность намерений. Но и не считаю, что доказывать нужно бездоказательно. Предполагаю, что большинство присоединяются к этому же посылу.
TimsTims
Работнику вполне может прийти такая задача, и он вполне может её выполнить, почему нет? На секунду забудем, что это принесет убытки, но может фирма закрывается и ей надо продать железки, предварительно отформатировав их. Точно нужно сажать админа за такое?
Я это к тому, что даже "он отформатировал диски сервера" - ничто в отрыве от контекста, намерений и ситуации. Опять-же есть такая статья "халатность", это если ему сказали отформатировать один сервер, а он сделал это со всеми, чем причинил убытки компании.
А как вы докажете, что он собирался, или не собирался? Он набрал в консоли rm rf, но директор краем глаза проходил мимо, увидел эти слова, и скрутил злобного админа до того, как тот нажал enter? Или как по вашему это должно было произойти "он собирался" ?
Ну то есть вы не верите в невинность, значит считаете что он виновен, так? Но разве виновность не влечет ответственности? То есть он виновен, но наказывать не надо?
Newbilius
Да, это нормально. Но если ему правда такую задачку давал — работник может это легко доказать. Показать письмо, запись в тасктрекере, разговор с коллегой, который подтвердит, что тот удивился странной задачке и решил предварительно обсудить её т.п. Если же никаких доказательств нет, но он говорит «доказывайте отсутствие» — это вызывает серьёзные подозрения.
По аналогии с ситуацией в посте: в кроне стоит задачка на форматировании, созданная от его имени. И работник сам подтвердил, что задачку ему такую дали и он это сделал. Но доказать, что её давали, не может или не хочет, «доказывайте сами отсутствие».
TimsTims
А как работнику доказать, что ему давали такую задачу, ведь он там уже не работает, вся переписка осталась у компании на компах компании, куда у него уже как минимум нет доступа, как максимум - его рабочую переписку уже стерли.
Плюс не все компании работают через таск трекеры и почту. Вполне могут быть и на словах проекты. А учитывая, какая там безответственность с ключами и пропусками в машинное отделение, то я вообще молчу про такие трекеры...
TimsTims
Тут дополню. Работники не должны нести полную материальную ответственность за какой-либо убыток, понесённой компанией (если это не закреплено в договоре конечно). Это может быть трейдер, который потерял миллионы, это может быть товаровед, у которого испортился товар (это естественный процесс кстати говоря), это может быть водитель грузовика, у которого лопнуло колесо, или машина попала в аварию. Это может быть и админ, уронивший сервер (случайно/специально/по незнанию). Все эти риски несёт и должна нести организация. Максимум - можно лишить его премии сотрудника, или попытаться уволить (с выплатой пособия, конечно).
Точно также как организация получает львиную долю дохода за всё, что делают его сотрудники (а не сотрудники получают столько, сколько заработала организация), так и организация терпит убытки за любые упущения.
Если хотите, чтобы сотрудник возмещал любые убытки, то и делитесь с ним любыми доходами, им произведёнными. Всё очень просто. А если не хотите платить миллионы сотруднику, но в случае чего - поставить его на деньги, то тогда желаю удачи искать таких дураков.
baldr
Ну, можно сколько угодно рассуждать с дивана.
А теперь практический эксперимент - внезапно вы лично находите напротив своей кровати видеокамеру, которая шлет круглосуточно поток куда-то в интернет. Каким-то образом вы вычисляете что это ваш сосед, приходите к нему, а он вам заявляет что ваша личная жизнь с женой его не интересует, а он просто заботится о вашей безопасности и следит чтобы воры не проникли. Кстати, он сам зашел совершенно законно - вы ему сами давали ключи год назад - покормить кота пока в командировку уезжали.
Вот теперь возьмите свой комментарий выше и докажите что он невиновен. Не забудьте еще в ванной камеру поискать, кстати.
TimsTims
Сравнение с соседом некорректно, потому что здесь идёт вторжение в частную жизнь, что должно задевать людей за живое. А здесь все же речь про компанию, которая платит деньги такому "соседу", который взамен должен производить какие-то действия, например устанавливать камеры в коридорах, или следить за безопасностью, это его должностная обязанность. И наверное корректным пример был бы, если бы он поставил такую камеру в кабинете директора, но опять же сложно сказать - директор ли это просил его поставить, чтобы следил за своим сейфом в кабинете, или это самодеятельность.
Учитывая, что он там работал, и выполнял какие-то действия, очень трудно доказать, что он на работе преследовал свои интересы, а не интересы компании.
Сюда добавьте то, что все в компании такие забывчивые и безответственные, что разрешают бывшим сотрудникам оставлять себе ключи от серверных стоек, так что им я меньше всего доверяю, ведь они точно так же могли забыть, что это они его просили поставить оборудование в шкаф.
Newbilius
В контексте обсуждаемого вопроса — не важно. Сосед сказал, что поставил камеру по вашей просьбе. А то, что вы не помните — так вы наверное забыли, он то точно помнит, что просили. И теперь на вас ложится бремя доказательства, что вы его на самом деле не просили. Именно это вы в начале дискуссии указали :)
TimsTims
Да, вот это уже ближе к истине. И наверное правда была бы на моей стороне, если бы не одно но: этот же сосед по моему заказу устанавливал мне умный дом, и я ему платил за работу деньги. Работали без ТЗ, я просто говорил куда мне нужен датчик или камера - он ставил. Теперь мне кажется что какой-то датчик следит за моими перемещениями по квартире, и я боюсь, что сосед следит за мной.
Как из этого вывода следует, что:
1) сосед поставил оборудование со злого умысла
2) сосед за мной следит
3) сосед виновен
Вот именно, я не смогу доказать, как и оригинальный автор не может этого сделать, а потому намеренно написал статью без имени.
Вообще, почему это я за этого анонимного парня впрягаюсь? Потому что похожая история как то произошла со мной, где казалось бы правда была на моей стороне, но доказать её не мог, и все косвенно выглядело, как будто я виноват, но ни у кого доказательств не было. А обвинявшие меня во всем люди хотели замазать свою вину. Правда не помогла, никто просто не хотел слушать, у людей просто отключался логический аппарат (в стиле: раз человек опаздывает на работу - он нарушитель, раз нарушитель, значит он может злодеянить, значит он мог сделать ту пакость. Вывод - это точно он) .
Здесь разыгрывается похожая история - обвинение парня в чем-то, когда мы не знаем всей правды, не слышали его точки зрения, и не знаем, как устроены дела в этой странной конторке.
Newbilius
Опять же, неверная аналогия. В контексте статьи: вы нашли явно неучтённый датчик, а сосед утверждает, что поставил его по вашей просьбе, и он собирает данные для вашего блага. Но сами данные передать вам отказывается. (Это есть в посте) Ни капли не подозрительно?
Плюс вы упорно приписываете собеседникам в этой дискуссии, что они «уверены в вине», хотя речь идёт исключительно о сомнениях и уместной в контексте ситуации подозрениях. Подмена тезиса — это нехорошо.
TimsTims
Это подозрительно, согласен. И заставит меня беспокоиться, не спорю. Но это не значит, что он в чем-то виновен, пока не доказано обратное.
Как тогда интерпретировать: "не верю в невиновность чувака" ? Человек либо виновен, либо невиновен. Не верит в невиновность = верит в виновность, разве не так?
upd: хотя всё-же я ошибаюсь. Комментирующий может не верить в невиновность, и не верить в виновность, т.е. никому не верить. Но текст его комментария явно намекал, что он считает его виновным.
Да, я полностью согласен, но даже подозревать и делать какие-то выводы из этой статьи - не хватает аргументов и всех остальных знаний. Я про это и пытаюсь донести свою мысль :) .
Ведь может быть ещё 100500 вариантов, почему это произошло, и почему это не могло быть преступлений, мозайка не сходится:
Почему он оставил о себе инфу в конфиге(значит не скрывал) ? Зачем засовывал эту устройство (он сказал, что его попросили) ? Почему не придумал чехол для этого устройства, если хотел сделать его осознанным? Почему не спрятал его лучше (а оно, похоже, было на виду, судя по проводам)? Почему авторизовывался на своей старой работе (хз, может хотел проверить, что ещё есть доступ, а может хотел завести устройство, а может правда хотел взломать бывшего работодателя)? И в конце концов - почему ему дали ключ!?
Его попросили "отдать" данные, которые "он собирал"? Но может и не собирал. Вроде какой-то платный сервис это делал, а у него уже не осталось доступа к устройству (или никогда не было), и он уже не мог ничего собирать, а сидеть и вспоминать какие-то ключи-пароль и как заходить на это устройство, которое он установил 1 год назад - ну такое, я бы послал, пусть сами разбираются.
На это нет ответа в статье, нет ответа в комментариях, и его ответ никто не приводит. Поэтому слишком мало аргументов, но много вопросов, и много вариантов, почему это могло быть правдой, чем неправдой.
baldr
Вы правы были в том, что указали на презумпцию невиновности - безусловно, об этом забывать не надо.
Но, давайте еще раз посмотрим на следующие факты:
Уволившийся сотрудник в последние месяцы своей работы получил доступ к серверному шкафу
В это время он подключил девайс с логгером в шкаф и никому об этом не сказал (последнее спорно, по его словам)
Девайс с логирующим софтом его компании (немного непонятно об этом из статьи) слал данные на его личный сервер за пределами компании
Уже после увольнения были попытки подключиться его бывшей учеткой к внутренней сети через этот девайс
Поправьте меня если я упустил какие-то детали. Конечно, мы все знаем только со слов автора статьи, но тем не менее, по фактам выше лично я не могу сделать вывод о невиновности. Налицо как минимум нарушение периметра безопасности сети.
TimsTims
Спасибо за понимание. Да, я топлю за презумпцию невиновности.
По согласованию с руководством.
Подозрительно, но по его словам - это попросило его руководство. Автор не сказал нигде, что "он врёт, никто его не просил". Так-что оставляем в заправду.
До конца не ясно, что делал этот девайс, и куда именно слал данные это устройство. Домой этому сотруднику ли, или на один из серверов компании. Никто так этого и не понял.
Только в момент нахождения там. Как-бы неочень, согласен. Можно считать за инцидент, и попытку вторжения. Но сейчас понимая какой там творится беспорядок, он вполне мог хотеть проверить "а заблокировали ли его учётку", или может он хотел зайти на один из серверов и донастроить приём данных.
Опять-же, если бы он хотел сломать сервера, то зачем ему это устройство? Он бы так попытался зайти со своей учеткой, и поставить троян на один из серваков. Но он притащил левое устройство вместо этого, которое точно не рассчитано на подбор паролей (а по wifi сервер не взломать).
Так-что история супер-мутная и странная, как с одной стороны, так и с другой.
askharitonov
Но в устройстве вроде нет WiFi. Про USB-донгл писали, что там он отсутствует, на фотографии какого-нибудь USB-адаптера тоже не видно. Подключался, как, опять же, уже написали, скорее всего телефон бывшего сотрудника (обычно мы не удаляем из смартфонов старые сети, просто забываем про них, при этом смартфон будет пытаться к ним подключиться как только их обнаружит). Само устройство и так в сети (через кабель), ему не только нечем, но и незачем пытаться подключиться к WiFi-сети предприятия.
Vsevo10d
Я сказал, что не верю в невиновность, а не предъявляю официальные обвинения. Вот вам пример практически из жизни: человек стоит и выдергивает фару у припаркованной запертой машины. Мимо едет экипаж ППС и интересуется: а вы чего это делаете? Вариант ответа 1): да лампочку меняю, не напрягайтесь, вот ключи, вот СТСка. Вариант 2): явамничепоказыватьнебуду вашеудостоверение ягражданинроссийскойфедерации поповодумашинывызывайтегибдд статья51конституцииотвечатьнеобязан. В каких случаях прав гражданин? В обоих. А в каком случае ППС должны отнестись с большим подозрением к человеку - к спокойно объяснившему все, или к морозящемуся на ровном месте?
У вас, на минуточку, в запертом шкафу несанкционированное устройство; специально собранное из разных компонентов, а не купленное; его код обфусцирован; имеется возможность удаленного доступа к нему - этого недостаточно для обоснования умысла? А раз есть умысел + человек на вопрос "WTF?" немедленно не объяснил, что эта штука измеряла температуру в шкафу, чтобы пожар не случился, или там что он следил по вайфаю, когда в радиусе появляется планшет бухгалтерши с девятым размером из соседнего отдела - есть все основания полагать, что умысел был не в интересах компании.
TimsTims
Никто не помнит, что давал такую команду, но и не отрицает. Так что это "возможно несанкционированное устройство". Точно также как "ключ был только 4х человек".
Вообще не имеет отношения к истории. Там простые платы с WiFi.
У меня ко всем компам в доме есть удаленный доступ. А в ДЦ вообще к каждой железке есть такой доступ. Вообще странно, что в ДЦ может быть железка без удаленного доступа к ней.
Увы, недостаточно. Представьте на секунду, что он заметил, что вокруг ДЦ ходит какой то подозрительный тип с антеннами. И ему (гг) стало интересно знать, кто же это может быть сотрудник ли это. Он предложил поставить следилку в ДЦ, чтобы отслеживать таких нарушителей, пробравшихся в машинный зал, его руководитель понял только "нарушитель с антенной", и согласовал проект. Главный герой пошел, и поставил такую следилку. Всё, конец истории.
Проходит пару месяцев, к тебе приезжает ФБР и арестовывает. Что он сделал не так, и где здесь был умысел???