Fem opsigtsvækkende sager om vrede systemadministratorer der gik amok

Systemadministratorer kan forvolde stor skade, fordi de har ubegrænset adgang. Her er fem sager, hvor det gik rigtig galt.

Systemadministratoren sidder med adgangskoderne til vitale systemer og har kendskab til alle de svage punkter. Derfor kan det gå rigtig galt, når systemadministratoren beslutter sig for at vende sig mod sin arbejdsgiver og saboterer systemerne.

Der har været flere opsigtsvækkende sager gennem årene, hvor systemadministratorer af den ene eller anden grund har angrebet it-systemerne med deres insiderviden.

1996: 'Logisk bombe' mod ingeniørfirma

En af de første store sager involverede en 'logisk bombe' mod det amerikanske ingeniørfirma Omega. En logisk bombe er en betegnelse for et script, der udløses på et bestemt tidspunkt eller under bestemte omstændigheder.

Bomben består i udførelsen af en serie af kommandoer til systemet, som i denne sag indebar sletning af tekniske tegninger og en del af den software, Omega benyttede sig af. Firmaet mente, at angrebet havde kostet et tab på mere end 10 millioner dollars, skrev New York Times.

Scriptet var angiveligt blot seks kodelinjer, som systemadministratoren plantede på systemet, da han blev fyret efter 11 år hos firmaet. Scriptet blev udløst, da en medarbejder tændte for en terminal.

2010: Lagde virtuelle servere ned fra en McDonald's

Et medicinalfirma havde afskediget en systemadministrator på grund af samarbejdsvanskeligheder. Han forsatte dog med at arbejde for firmaet som ekstern konsulent på grund af sit indgående kendskab til virksomhedens systemer.

Det skete på opfordring fra en anden systemadministrator, som dog selv endte med at blive fyret, da han ikke ville udlevere sine kodeord i forbindelse med en fyringsrunde.

Denne fyring betød ifølge eWeek, at den første systemadministrator mistede sin konsulentkontrakt. Efterfølgende forsøgte han gentagne gange at få adgang til virksomhedens systemer, og det lykkedes ham til sidst at få adgang til administrationsværktøjet til VMware-miljøet.

Fra et åbent wifi på en McDonald's tilgik han værktøjet og slettede 88 virtuelle servere. Det fældende bevis var, at han havde betalt for sit måltid på McDonald's med sit kreditkort, og dermed kunne han knyttes til det trådløse netværk på det pågældende tidspunkt.

2003: Åbnede mailservere på vid gab for spammere

Knap et halvt år efter, han blev fyret, lykkedes det en tidligere systemadministrator hos Blue Falcon Networks at få adgang til systemerne ved hjælp af et kodeord, som ikke var blevet skiftet siden hans fyring, skrev PC World.

Han udnyttede adgangen til at slette hele Exchange-databasen på firmaets mailserver, og han åbnede samtidig serveren, så den kunne misbruges af spammere, ved at sætte den op som en åbent mail relay. Det vil sige, at alle kan bede mailserveren om at sende en mail, så den kommer fra mailserveren.

Det fik placeret selskabets mailserver på flere antispam-sortlister.

2002: Lammede 2.000 servere - og scorede aktiegevinst

Endnu en gang var det en logisk bombe, som denne gang gik ud over storbanken UBS' datacenter og især ramte de systemer, der blev brugt til aktiehandel.

En systemadministrator havde få uger tidligere sagt op - angiveligt i vrede over ikke at modtage en årlig bonus, han havde forventet, skrev InformationWeek.

I forbindelse med opsigelsen havde han også investeret sin opsparing i et værdipapir, der ville udløse en stor gevinst, hvis bankens aktiekurs faldt under et vist niveau inden for en kort periode.

Han havde fra sin hjemmecomputer plantet et script, som 11 dage senere lukkede 2.000 servere i bankens Unix-miljø. Banken hævdede, at den fortsat oplevede eftervirkninger fire år efter nedbruddet.

2008: Holdt San Franciscos netværk som gidsel

Det måske mest spektakulære tilfælde var den ansvarlige for opbygningen af San Franciscos kommunale fibernetværk, som i flere uger sad i en fængselscelle og nægtede at udlevere de kodeord, der var nødvendige for at vedligeholde netværket.

Den netværksansvarlige var ifølge PC World kommet på kant med kommunen over en uanmeldt revision af netværkssikkerheden. Han havde været den eneste ansvarlige og var i praksis på tilkaldevagt alle ugens dage.

Konfrontationen førte til, at netværksadministratoren efterfølgende nægtede at udlevere kodeordene til netværket. Han havde angiveligt konfigureret netværket på en måde, så en stor del af systemernes konfiguration lå i RAM på udstyret. Hvis der var en strømafbrydelse, så ville det være nødvendigt med kodeordene for at genoprette netværket, lød det fra anklagemyndigheden ifølge Wired.

Konflikten blev først løst, da daværende borgmester Gavin Newsom selv talte med netværksadministratoren i fængslet og til sidst fik udleveret det korrekte kodeord til at administrere netværket. Sagen kostede i sidste ende netværksadministratoren en fængselsdom på fire år.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (18)

Anne-Marie Krogsbøll

...som da jeg for mange år siden blev præsenteret for BOFH - men ud fra ovenstående historier var det måske i virkeligheden ikke en joke, men en autentisk dagbog? ( :-))

Spøg til side: Kan man gardere sig mod historier som ovenstående? Er de udtryk for sjusk med sikkerheden, eller vil systemadministratorer altid være store faremomenter (selvfølgeligt afhængigt af personlighed)?

Brian Hansen

Spøg til side: Kan man gardere sig mod historier som ovenstående?


Det er ret normalt at man brat og uden varsel fritstilles, hvis man har virkelig har meget adgang.
Problemerne kommer først hvis der har været konflikteskalering over længere tid, så har tosserne haft god tid til at sabotere systemerne :)
Men jeg har set eksempler hvor medarbejdere med adgang til samtlige servere havde 8mdrs opsigelse, og stemningen bare var rigtig ækel. Lidt af et sats for arbejdsgiver.

Anne-Marie Krogsbøll

Det er vel den største historie i denne kategori


Snowden sagde fra overfor ulovligheder, efter at han (så vidt jeg har forstået) havde forsøgt at få dem stoppet på legal vis. Det kunne man ønske, at flere systemadministratorer (er Snowden det?) også ville gøre. Eks. Volkswagens og andres fusk med bilernes grønne profil - tænk hvis nogen - eks. en systemadministrator - i tide havde sagt fra der. Det er for mig at se noget helt andet end hævntogter o.l. skumle motiver, som artiklen handler om.

Christian Nobel

"Det fældende bevis var, at han havde betalt for sit måltid på McDonald's med sit kreditkort, og dermed kunne han knyttes til det trådløse netværk på det pågældende tidspunkt."

Der må vel forhåbentlig være et lidt mere fældende bevis - eller er det sådan at manden indrømmede, da han blev konfronteret med at hans kreditkort havde været benyttet på en McD?

Henrik Jacobsen

Den ærværdige journalist - tydeligvis af yngre årgang :) - henvises til Politiken 22. november 1986 side 2: "Seks mdr.s fængsel for elektronisk hærværk - edb-mand tog hævn efter fyring".

Kort resume: En "forbitret" edb-leverandør placerede en logisk bombe i Sammenslutningen af FirmaFunktionærers (SFF) edb-anlæg (en PRIME maskine, i øvrigt). "Bomben" blev opdaget før den blev udløst.

Sagen var meget omtalt dengang.

Henrik Kramshøj Blogger

Spøg til side: Kan man gardere sig mod historier som ovenstående? Er de udtryk for sjusk med sikkerheden, eller vil systemadministratorer altid være store faremomenter (selvfølgeligt afhængigt af personlighed)?

Systemadministratorer har altid en priviligeret adgang til systemerne, og derfor en betroet stilling.

De primære og klassiske måder at sikre sig bedst muligt er blandt andet.

  • Funktionsadskillelse, så samme sysadm ikke kan slette prod OG prod backup
  • Tvungen ferie / tvungen rotation, således at det sikres flere har adgang og kendskab til at udføre diverse opgaver
  • Konfigurationsstyring - eksempelvis backup af netværksconfig i RANCID. Så kan man genvinde kontrollen med systemerne ved at resette og loade config
  • Check på rettigheder, så man ikke efter 10 år i virksomheden efterhånden har alle rettigheder til alle systemer. altså rollestyring, så man får frataget rettigheder ved jobskifte internt.

Desværre er mange danske virksomheder for "små" til at funktionsadskillelse kan indføres effektivt. Mit bedste bud er at fritstille medarbejdere hvis der er risiko for dårlig stemning, som kan medføre ovenstående.

Povl H. Pedersen

Jeg går ud fra der at der kommer nyere eksempler, og at det er en indledning til den store historie om YouSee nedbruddet 31-12.

Det vil være helt perfekt hvis det er en fyret sysadm der på sin sidste arbejdsdag har fået lortevagten indtild midnat. Men så spændende er det næppe. Det er nok et delt password som aldrig er ændret da man jo stoler på sine fyrede ansatte.

Martin Bøgelund

Der må vel forhåbentlig være et lidt mere fældende bevis - eller er det sådan at manden indrømmede, da han blev konfronteret med at hans kreditkort havde været benyttet på en McD?

Han havde et motiv, den krævede viden til at gennemføre angrebet, og kunne kædes sammen med gerningsstedet på gerningstidspunktet via sin kortbetaling.

Så selvfølgelig var det en 14-årig knægt der sad 2 borde længere henne på den pågældende McD.

Han var bare enormt god til at køre "I didn't do it, nobody saw me do it, you can't prove anything!"-rutinen.

Jens Jönsson

Konfigurationsstyring - eksempelvis backup af netværksconfig i RANCID. Så kan man genvinde kontrollen med systemerne ved at resette og loade config


Det var så nok det youSee måtte tage i brug da de skulle rundt til samtlige 33 centraler for at nulstille udstyret til fabriks indstillinger for at få adgang....

Udstyret har tydeligvis været tilgængeligt udefra. Sådan går det, når folk der normalt arbejder med HF, pludselig skal til at arbejde med IP og ikke ved hvad det indebærer. Men nemt at sidde hjemme og konfigurere...

http://i64.tinypic.com/qxm9mp.jpg

Havde været smartere at have bag firewall og så tilgå med VPN....

Peter Hansen

Kan også være udefra kommende, da udstyret har været tilgængeligt eksternt fra...


Det kan vel teknisk set være udefra kommende hvad enten udstyret har været tilgængeligt eksternt eller ej. GCHQ fik eksempelvis adgang til BelgaComs servere uagtet, at disse ikke var tilgængelige eksternt..

I øvrigt er dine Shodan-søgeresultater mig bekendt blevet kommenteret af YouSee med udsagnet om, at det er nogle hotel-servere...

Simon Gatke

@Anne Marie Krogsbøll og andre.
Ja, det er rent faktisk muligt at beskytte sig mod den type 'angreb'.
Det kræver kontrol over virksomhedens privilegerede accounts og der findes værktøjer som håndterer netop den slags.
Et eksempel er Secret Server fra Thycotic som er en rollebaseret password database.
I tilfældet med virksomheden der var blevet lagt ned fra McDonalds' netværk, kunne man i forbindelse med afskedigelsen af medarbejderen med få klik i Secret Server ændre alle passwords som den pågældende systemadministrator havde haft adgang til.

For interesserede kan jeg anbefale at se denne video-demo. Den starter med en lille smule PowerPoint men går hurtigt over i ren 'live-demo' af løsningen.
https://thycotic.com/resources/secret-server-15-minute-demo/

DISCLAIMER: Jeg arbejder for en virksomhed som sælger ovenstående løsning!

Log ind eller opret en konto for at skrive kommentarer