Minut irtisanottiin eilen mutta unohdettiin poistaa SSH-avaimet yhtiön yhdeltä palvelimelta

Jos sinut irtisanottiin eilen, niin sinun pitää tehdä töitä vielä irtisanomisaika eli vähintään kaksi viikkoa. Eri asia, jos sinulla ei olisi työssäolovelvoitetta. Silloin olisit jättänyt heti avaimet ja kävellyt ulos.

Vierailija kirjoitti:

Jos sinut irtisanottiin eilen, niin sinun pitää tehdä töitä vielä irtisanomisaika eli vähintään kaksi viikkoa. Eri asia, jos sinulla ei olisi työssäolovelvoitetta. Silloin olisit jättänyt heti avaimet ja kävellyt ulos.

Ainakaan it-firmoissa ei yleensä anneta irtisanomisen jälkeen olla hetkeäkään töissä, syystä ettei pääse tekemään tuhojaan. Meillä jos on irtisanottu, on turvamies ollut odottamassa jo kun irtisanottava tulee pomon huoneesta missä kuulee irtisanomisestaan. Sitten on turvamiehen läsnäollessa täytynyt kerätä tavaransa ja häipyä firmasta lopullisesti samantien.

Kieltämättä aikas huonoa mainosta organisaation tietoturvalle; jotain "helppoa" ja protokollan mukaista suljetaan kun fyysisesti on poistunut talosta.

Tuosta on tapana yrittää selitellä ja laittaa jälkitekoset kaverin - jolla root access - niskaan; huono organisaation tietoturva policy, tulee tekijä sitten talon sisältä tai ulkoa; joka tapauksessa kun on käytettävissä riittävästi oikeuksia eikä niitä laiskuuttaan poisteta/ rajoiteta kun vasta joskus. Vaikka jälkitapahtumat eivät olisikaan mitenkään laillisia.

Jos organisaatio toimisi vielä tietoturva puolella... Ei hyvää päivää.

Toki mahdollisten tekosien rajaaminen on helpompaa mutta osoittettavuus ei. Toivottavasti miettii organisaatiossa ennen neuroosia.

Mutta kovasti ei kannata mainostaa itseään.

Wanha datakääpä kirjoitti:

Vierailija kirjoitti:

Wanha datakääpä kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Olen ollut talossa hyvän aikaa ja käytännöt tuolloin oli nykyistä huonommat. Minulla oli SSH:n kautta pääkäyttäjän oikeudet. Kaikesta päätellen ne vain poisti käyttäjätililtäni salasana-autentikoinnin mutta sillä ei ole mitään vaikutusta pääkäyttäjän SSH-avaimiin.

Kymmentä vaille puolenyön kirjauduin sisään, tein pariin tietokantaan vähän "muutoksia", siistin lokeja ja poistin omat avaimet sieltä. Puolelta öin minun versio tietokannasta varmuuskopioitiin ja vanha varmuuskopio hävitettiin :D

Että kannattaako siihen tietoturvaan kiinnittää enemmän huomiota?

No kohta pääset tutustumaan KRP:n toimintaan käytännössä. Ihanan kallista :D

Nääh, tietokone, prepaid-liittymä ja VPN oli tarkoitukseen varta vasten hankittuja. Tuskin ne saa minua kiinni.

Hämmästelen edelleen miten retuperällä tietoturva voi olla. Pääkäyttäjän oikeuksia ei anneta SSH:n kautta, piste. Lisäksi avaimeni oli tunnistamaton, eli se ei ollut missään suoraan kytköksissä minuun. Muilla on kommenttikentässä firman henkilönumero mutta minulla ei.

Palomuurissa näkyy tuo ottamasi yhteys ja kellonaika sille. Sen lokeja et noilla tunnareilla ole voinut pyyhkiä.

Sitten on tietenkin tuo sinun tunnarisi. Servun logit käydään nyt läpi hienolla kammalla. Toivottavasti olit riittävän tarkka... MUTTA tähän päälle tietenkin dokumentaatio. Jos MISSÄÄN on jälki sinulle annetusta tunnuksesta, mutta ei sen poistosta, poliisi tulee soittamaan ovikelloa. Se on jännä mikä hybris kaltaisillasi mulgeroilla on aina päällä siihen asti kun pissa lirahtaa kiinni jäädessä housuun.

Kyse on pääkäyttäjästä, eli rootista. Tilanne olisi ollut toinen jos olisin kirjautunut omalle tilille SSH:lla.

Lokeissta näkee kaikki kellonajat enkä yrittänyt tehdä sille mitään, sillä ymmärtäekseni tekoa ei voida suoraan yhdistää eikä jäljittää minuun henkilökohtaisesti.

"Kymmentä vaille puolenyön kirjauduin sisään, tein pariin tietokantaan vähän "muutoksia", siistin lokeja ja poistin omat avaimet sieltä. Puolelta öin minun versio tietokannasta varmuuskopioitiin ja vanha varmuuskopio hävitettiin :D"

Niin... siis teit, mutta et tehnyt....

Luuletko, että asiaa tutkivat henkilöt on lapsia? Ekana mietitään kellä on motiivi ja listan kärjessä firmasta äskettäin lähteneet ja niistä ne joilla taitoa tehdä näitä juttuja.

Esimerkki: "371t3 +33t hax0r" vähän hyytyi irtisanomisestaan. Meni yhtä järjestelmää hallinnoivalle työasemalle ja teki sieltä vahinkoa palvelimelle. Pyyhki logit ja ja ajoi vielä CCleanerin. Pari päivää jäljitin idioottia (josta heti tiesin kuka hän on) kunnes tajusin, että kaveri on pelkurina taatusti tullut etätyökalulla tälle työasemalle omaltaan sen sijaan, että olisi käynyt fyysisesti paikalla. Avasin etäyhteyden hänen henkilökohtaiselle työasemalleen. Puhdasta oli. PAITSI sieltä näkyi etäyhteys tälle hallintakoneelle samaan aikaan kun temput oli tehty......

Siis palomuurilokin jätin rauhaan mutta auth-lokista muutin ssh-avainta vähän ja jätin sen kanssa täsmäävän, väärennetyn avaimen rootin authorized_keys-tiedostoon.

Ja ei, nämä ihmiset ei ole idiootteja eikä lapsia mutta ymmärtäekseni turvasin kuitenkin selustani tarpeeksi hyvin. VPN+prepaid+käteisellä hankittu tietokone joka ei ole jäljitettävissä on tässä tapauksessa varsin hyvä suoja. VPN vasikoi oikean ipparin ja KRP pääsee mokkulan paikkatietoihin käsiksi niin ne näkee sijainnin joka on yli 8 kilometrin päässä omasta kodista. Kaupungissa se on paljon.

No katotaan miten sun käy. Toivo ettei siellä ole toisella puolella ketään mun kaltaista. Mä en olisi lopettanut ikinä koska tiesin tekijän päättelemällä heti ja asiasta tuli periaatekysymys.

Joka tapauksessa ne saa tiedon, että homma on tehty omilla laillisilla tunnareilla ja ne on rajallisen

ihmismäärän tiedossa.

Joka tapauksessa sinä olet pääepäilty kun juttua tutkitaan.

Tottakai olen pääepäilty mutta ne ei tule löytämään mitään minun henkilökohtaisilta koneilta. Ainoa keino on jäljittää prepaid-liittymä VPN:n kautta, ja yrittää yhdistää se tietokone minuun.

Tai ainahan ne voisi yrittää fyysisesti tutkia kovalevyä jollain forensic-työkalulla. COW-tiedostojärjestelmää siellä ei ole (varmistin) eikä ne varmuuskopioi root-kansion sisältöä.

Tästä tuleekin jännää. Sinä sanot ettet ikinä lopettaisi ja minä sanon että ymmärtäekseni pyyhin kaikki jäljet tarpeeksi hyvin.

Kuten sanoin. Kaltaisillasi mulgeroilla on aina hirveä hybris päällä ja kaikki aina otettu huomioo siihen asti kun nalli napsahtaa. Mutta kuten mikään järjestelmä ei ole aukoton niin ei myöskään mikään järjestelmän vahingoittaminen ole jäljetön. Kyse on vain siitä paljonko asiaan on valmis laittamaan panostusta. Voihan olla, että siellä vaan nuollaan haavat ja jatketaan eteenpäin. Itse olen tuollaisessa tilanteessa kuin paha karma.

PS

Ton takia pitää aina olla sellainen auditointi päälle ettei sitä voi ilman jälkiä tohtoroida kukaan. Kaikki on silloin helpompaa.

Kuten sanoin, firmassa on ollut tietoturva retuperällä jo kauan vaikka se onkin parantunut ajan saatossa. Kaikkea aina "pitäisi" mutta harvemmin annetaan lupa tehdä järjestelmästä muuta kun juuri niin hyvä että se toimii ja pahimmassa tapauksessa jätetään se siihen tilaan vuosiksi. Liian usein lopputulos on suorastaan raakile.

Auditointi ei tässä tapauksessa olisi auttanut, sillä root-oikeudet on koneen sisällä rajattomat. Tässä tapauksessa root-kirjautuminen SSH:lla olisi pitänyt estää kokonaan, nimettömät ssh-avaimet olisi pitänyt vaihtaa ja tavallisilla rividuunareilla ei olisi pitänyt olla niin paljon tietoa palvelimesta ja sen järjestelmistä. Minäkin tunsin sen aikalailla läpikotaisin.

Minä tarkoitan oikealla järjestelmän jatkuvalla auditoinnilla "vähän" jotain muuta ja se on myös prosessi...

Täytyy kysyä että mitä ohjelmistoja käytät? Tripwire? Entä miten olet rajoittanut root-käyttöä omalta osalta? SELinuxillako? Entä miten seuraat sitä, muuten kun historytiedostosta?