Politiet anholder 51-årig mand i YouSee-sagen

Jeg tror mest på en netop fyret medarbejder som vil hævne sig, enten via en aktiv handling

Det tror jeg er rimeligt usandsynligt.

I branchen er det mig bekendt meget brugt at man lukker for folks adgang til alle systemer lige inden man kalder dem ind og fritstiller dem.

Man skal have gode nerver hvis man vil have en medarbejder som man lige har afskediget til at gå i 6 måneder og blive rasende og planlægge en hævn.

Dette vil efterlade 'ægte' spor som ikke vil afsløre hvem der i virkeligheden står bag. Måske er den anholdte sådan en syndebuk?

Jeg har set batchjobs som kørte mange år efter de pågældende medarbejdere som lavede disse ofte udokumenterede baggrundsjobs havde forladt virksomheden.

Mange gange vidste de de nye medarbejdere ikke hvad det var som kørte men vidste at hvis disse jobs blev stoppet, så blev "der for alvor ballade".

Men vurderet fra min stol, er TDC og politiet ude i et Olsenbanden drama. Det giver ingen mening at fare ud og anholde manden og så slippe ham løs igen så hurtigt igen.

Personligt tror jeg ikke på den historie med nye oplysninger. Sandheden er nærmere at end ikke politiets egne jurister troede på at manden ville blive varetægtsfængslet og dermed ville undgå den offentlige ydmygelse når dommeren satte manden på fri fod.

Hans forsvarsadvokat har formentlig allerede indgivet klage over anholdelsen med tilhørende erstatning. I det lys er det måske meget klogt at TDC er tavse, for når alt kommer til alt, så er TDC årsag til mandens forudlempelse.

Så nu venter vi spændt på næste nytårskalenderafsnit af "TDC-banden" :-)

Måske

Men som tidligere antydet kan det jo også være et tidsudløst script, der er anbragt som en "intern bombe" i et af de sikkert mange systemer og maskiner, der har adgang.

Så kan "bomben" jo være anbragt længe før den blev udløst

Medmindre YouSee har skræmmende ringe sikkerhed så vil jeg anse det for udelukket at en udefra vil kunne skaffe sig tilstrækkelig viden og adgang til at kunne påvirke udstyr på 33 diskrete lokationer.

Der er derfor nødt til at være en nuværende eller forhenværende medarbejder med en meget central placering og tilhørende privilegier. Jeg tror mest på en netop fyret medarbejder som vil hævne sig, enten via en aktiv handling eller via en logisk bombe som går af hvis han pludselig bliver frataget en central adgang.

Når man laver sådan noget så tror man ofte at man er god nok til ikke at efterlade spor, men det gør man alligevel. Der kan være logs i switches, routers, gateways... Bedste mulighed er oftest at benytte en syndebuk, altså at få det til at se ud som om det er en anden som står bag, hvilket simplest gøres ved at skaffe sig adgang til vedkommendes maskine og arbejde derfra. Dette vil efterlade 'ægte' spor som ikke vil afsløre hvem der i virkeligheden står bag. Måske er den anholdte sådan en syndebuk?

En anden vej til at finde den ansvarlige er at gå efter et motiv - hvem kunne have grund til at lave ulykker? Er der en central person man fornylig har fyret og bortvist? Det er ofte set at en uvidende ledelse fyrer meget dygtige personer uden reel grund og det tager de meget hårdt, og det udløser nogle gange en lyst til hævn.

Vi får se. Det er en spændende sag på mange måder.

Så beviserne var altså ikke klare.

Det her bliver en lang historie

http://nyheder.tv2.dk/krimi/2017-01-06-51-aarig-loesladt-efter-yousee-nedbrud-nye-oplysninger-er-dukket-op

Hvordan undgår med så detektion ? Man hacker en hacker....

Mmjaa....Dén holder nok ikke når inkvisitionen forhører dig. EDIT: Forkert. Den holder netop pga :

CSC-sagen viser jo at man er 101% sikker på at den slags ikke kan forekomme....

K

TDC siger jo indirekte, at det er en person der kender password til dere systemer.
I så fald er det den typiske med delte passwords der ikke rettes når medarbejdere der kender det smides på porten.

Ikke for at forsvare TDC, men de systemer der blev lagt ned (head-end) har typisk ikke det mest avanceret system til brugerstyring. Udstyret har en webgui til konfiguration og du kan måske oprette et par brugere lokalt på det.... Chancen for at en sådan brugerdatabase bliver vedligeholdt er som regel meget lille. Ofte bruger teknikerne det samme brugernavn+password...

Hvis det er en med admin adgang til infrastrukturen så giver det også god mening om hvorfor man har skullet haft folk ud til hver station.</p>
<p>Man kan jo gætte på at manden har ændret passwords til boksene og så ellers fyret et script af som "slukkede" for alle kanalerne med det password som han havde ændret til.</p>
<p>På den måde vil man nok være nødt til at "fabriksnulstille" udstyret for igen at få adgang og så bagefter skulle indlæse config fra en medbragt laptop for at få dem online igen.

Og det er sandsynligvis nok det der er sket....

Det vil nemlig kræve fysisk besøg på de adresser enhederne står, samt eventuelt en factory reset og derefter indlæsning af config filer...

Og med den udviste indsigt er det også mærkeligt, at det har kunnet spores.

Det er min erfaring at folk der gør den slags ofte tror de er bedre end de er. Det er ikke usandsynligt at han har overset noget. Eller at han nærmest har afsløret sig selv ved at sige op umiddelbart før og gå offline samtidig med at det system, han selv tror han er den eneste der mestre, crasher.

Den slags opførsel kan også skyldes en psykiatrisk lidelse eksempelvis mani.

Der findes en masse software[ref1] der kan logge og detekter aktiviteter på nette Hvordan undgår med så detektion ? Man hacker en hacker....

ref1 :: https://www.google.dk/#q=linux%20snmp%20intrusion%20detection

Præcis. Det er for tidligt at dømme, for kan man effektivt ligge alle distro-servere ned kan man sandsynligvis også klare et simpelt identitetstyveri, hvilket ikke er overvældende svært i storrumskontorer (der jo fordrer vidensdeling af alle slags).

Og I mellemtiden kan man jo spekulere.

Der er en vis grad af vanvid i at lægge alle enheder ned med mindre det er afviklet via et script.

Og med den udviste indsigt er det også mærkeligt, at det har kunnet spores.

Så måske er det den 51-åriges identitet og ikke nødvendigvis den 51-årige selv, der står bag.

Vi får se.

I mange år havde vi problemer med en autist. Han kunne huske alle telefonnumre han havde mødt, og han var fantastisk til at bryde ind i telefonsystemer fra en almindelig telefon.

F.eks. morede han sig med at lave alarmopkald til alarmcentralerne, som kom fra alarmcentralerne selv.

Kommer det bag på dig? De logger jo på grænsen af dansk lovgivning! :)

For at være fair så ordner TDC/YouSee selv det med badwill den kan de ikke tørre af på ham manden

Jamen vi er helt enige om at TDC er et forfærdeligt firma.

Men det ændrer ikke på at det manden (muligvis) har gjort altså ikke har hjulpet på deres sag.

For at være fair så ordner TDC/YouSee selv det med badwill den kan de ikke tørre af på ham manden

Citat fra Ekstra Bladet:

TV-signalet blev genskabt til hele landet i løbet af søndagen. Men ikke alle steder gik det lige hurtigt. Nogle af de sidste, der fik signal, var tv-seere ved Faxe Ladeplads. Men her var det ikke alene softwareangrebet, der havde ramt flere tusinde tv-seere.

• Nogen havde tabt en krysantemumbombe ned i en fiberbrønd (en kabelbrønd med samling af fibre - red.).

Kilde: http://ekstrabladet.dk/nyheder/samfund/driftstekniker-hos-tdc-derfor-er-angrebet-paa-yousee-saa-avanceret/6479633

Hvis den hændelse har forbindelse til resten af balladen, ser det vist pludselig lidt mere alvorligt ud hvad angår strafferammen. Men der kan selvfølgelig være tale om et tilfældig sammentræf i tid.

TDC siger jo indirekte, at det er en person der kender password til dere systemer.
I så fald er det den typiske med delte passwords der ikke rettes når medarbejdere der kender det smides på porten.

Du har ret, med mindre der er tale om en person som (på det tidspunkt) var ansat.

Som de fleste i branchen ved, sidder IT folk ofte med en ret stor magt i forhold til at "lægge firmaet ned" i hvert fald i kortere eller længere perioder.

Mit bud er at det viser sig at være "Disgruntled worker syndrome" som har ramt dem.

Altså at det er en utilfreds medarbejder der har villet vise sin utilfredshed med firmaet/chefen/lønforhandlingen/etc. og har gjort dette på en ret ekstrem måde.

Hvis det er en med admin adgang til infrastrukturen så giver det også god mening om hvorfor man har skullet haft folk ud til hver station.

Man kan jo gætte på at manden har ændret passwords til boksene og så ellers fyret et script af som "slukkede" for alle kanalerne med det password som han havde ændret til.

På den måde vil man nok være nødt til at "fabriksnulstille" udstyret for igen at få adgang og så bagefter skulle indlæse config fra en medbragt laptop for at få dem online igen.

Hvis jeg har ret, så håber jeg da at manden får en passende lang straf. udover den paragraf han indtil videre er sigtet for, vil han vel også kunne sagsøges for det (sikkert ret store) millionbeløb han har kostet firmaet i badwill, tabte kunder og så prisen for det de har måtte give i kompensation.

TDC siger jo indirekte, at det er en person der kender password til dere systemer. I så fald er det den typiske med delte passwords der ikke rettes når medarbejdere der kender det smides på porten.

Vi ved jo ikke om politiet er enige i TDC's vurdering, om hvorvidt de kan overbevise en dommer.

Men det er selvfølgelig en nærliggende tanke at de er tale om en utilfreds nuværende eller tidligere medarbejder. Den menneskelige faktor som motiv er jo ofte dybt undervurderet selv om den nok har stået bag mindst 2 af de sidste tre højtprofilerede "hacker"sager.

Ihvertfald næppe fremtidig medarbejder... :-)

31/12 kl. 15:30: Chef: Du behøver ikke møde ind d. 2. Januar! Ansat 51årig: Fedt, fridag! Chef: Nej.

En tidligere medarbejder?

Ihvertfald næppe fremtidig medarbejder... :-)

En tidligere medarbejder?

Lader til der har været nogen gode logs.