<<< Certificate Authority Security CouncilChocolatey >>>

Kínai munka2013-03-02

Különösen aranyos security történetre akadtam a minap:

Egy kicsi, de az amerikai kritikus infrastruktúrában dolgozó cégél esett meg a következő. A vállalat néhány éve propagálni kezdte, hogy a dolgozói otthonról végezzék munkájuk egy részét, és kiépítették az ehhez szükséges infrastruktúrát. A dolgozók VPN-en keresztül tudtak bejelentkezni, a VPN felépítéséhez egy RSA token által generált egyszer használatos jelszóra is szükség volt. Pár évvel később - tovább erősítve a biztonságot - nekiláttak, hogy rendszeresen elemezzék a naplófájljaikat. Azt találták, hogy valaki rendszeresen belép hozzájuk Kínából e VPN-en keresztül. A kapcsolat épp akkor is élt, amikor észrevették, a kínaiak az egyik szoftverfejlesztőjük nevében léptek be, aki ott csücsült az asztalánál.

Alaposan megijedtek. Arra gondoltak, hogy a kínai hackerek átjuthattak a védelmi rendszereiken, megfertőzhették a szoftverfejlesztő gépét, és az RSA tokent is megkerülték valahogy. Szakembereket hívtak segítségül, akik átvizsgálták a rendszert, beleértve a dolgozó gépét is, amin találtak egy csomó számlát egy kínai cégtől.

Senki sem tört be, a dolgozó volt a ludas. Hősünk egész egyszerűen outsource-olta a munkáját Kínába. Talált egy kínai céget, és akik elvállalták, hogy elvégzik az ő munkáját a fizetésének egy ötöd (!!!) részéért. Hősünk elküldte az RSA tokenjét a kínai cégnek, majd vígan elélt a fizetése maradék négy ötöd részéből, és csak a látszat kedvéért járt be a munkahelyére, ahol elsősorban facebookozott és Youtube-ot nézett. A munkájával mindenki nagyon elégedett volt.

Sok cég outsource-olja a tevékenységének egy részét olyan országokba, ahol alacsonyabbak a fizetések. Ez a legtöbb esetben teljesen rendben van. Hősünk viszont - feltehetően - megsértette a titoktartási kötelezettségét, hiszen belső információt adott át külső félnek, és az RSA tokenjét is kiadta a kezéből. A munkahelye feltehetően sok erőforrást fordított arra, hogy igazolja, csak megbízható emberekkel dolgozik, és a rábízott információt bizalmasan kezeli. Hősünk mindezt megkerülte, és így - feltehetően - igen komoly kárt is okozott a munkahelyének.

 

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.