image

Logs verraden IT'er die werk door Chinezen liet doen

woensdag 16 januari 2013, 17:40 door Redactie, 31 reacties

Een Amerikaanse programmeur die zijn werk naar China outsourcete zodat hij zelf de hele dag video's van katten kon bekijken is betrapt na het analyseren van de netwerklogs. Dat meldt beveiligingsbedrijf Verizon dat bij het incident werd ingeschakeld. Het bedrijf in kwestie, een Amerikaanse organisatie in de kritieke infrastructuur, was geschrokken na de eerste analyse die het zelf uitvoerde.

Er was een ongeautoriseerde VPN-verbinding uit China met het bedrijfsnetwerk ontdekt. Het bedrijf gebruikte twee-factor authenticatie voor de VPN-verbinding, waaronder een RSA-token. De verbinding duidde erop dat de aanvaller deze beveiligingsmaatregel had omzeild. Mede omdat de programmeur van wie de inloggegevens werden gebruikt, gewoon in zijn kantoor zat.

VPN
Uit de VPN-logs bleek dat de werknemer, die zich op Amerikaanse bodem bevond, vanaf een Chinees IP-adres inlogde. In eerste instantie dacht het bedrijf aan malware die het verkeer van een vertrouwde interne verbinding naar China doorstuurde en dan weer terug. Opmerkelijk genoeg bleek de verdachte VPN-verbinding al zes maanden te bestaan. Dit betekende dat de aanvallers niet alleen regelmatig inlogden, maar ook al een geruime tijd actief waren.

De IT-er in kwestie was een ervaren programmeur, halverwege de 40. Hij werkte al geruime tijd bij het bedrijf, was een gezinsman en erg ingetogen. Het bedrijf was er zeker van dat het om een soort nieuwe zero day-aanval ging die VPN-verbindingen van de man zijn desktop via een externe proxy naar China opzette, waarna de verbinding weer terug naar het kantoor ging.

Er werd een forensisch onderzoek naar de computer van de man ingesteld om te bepalen of er malware actief was. Tot verbazing van de onderzoekers werden op de machine honderden facturen van een Chinese aannemer en ontwikkelaar ontdekt. Uit dezelfde regio waarvandaan de VPN-verbindingen waren opgezet.

Outsourcing
De man bleek zijn werk aan een Chinees consultancybedrijf te hebben uitbesteed. De programmeur, die een salaris van zes cijfers verdiende, liet zijn werk voor minder dan een vijfde van zijn salaris door het Chinese bedrijf uitvoeren. De authenticatie was geen enkel probleem, aangezien de man zijn RSA token via FedEx naar China had gestuurd, zodat de aannemer met zijn inloggegevens op het systeem kon inloggen. Daardoor leek het alsof hij netjes van 9 tot 5 werkte.

Een analyse van zijn surfgedrag maakte meer duidelijk. Als de man om negen uur binnenkwam, was hij eerst 2,5 uur bezig met het lezen van Reddit en het bekijken van video's van katten. Om 11:30 uur ging hij lunchen, gevold door 'eBay time' om 13:00 uur. Rond 14:00 uur werden de LinkedIn- en Facebookprofielen bijgewerkt. Om half vijf volgde een e-mail naar het management waarna de man om 17:00 uur naar huis ging.

Tevreden
Verder onderzoek wees uit dat man dezelfde 'scam' bij meerdere bedrijven in het gebied toepaste. Zo verdiende hij een paar honderdduizend dollar per jaar, en was hij voor het Chinese consultancybedrijf slechts 50.000 dollar kwijt.

Opmerkelijk genoeg waren alle bedrijven zeer te spreken over zijn prestaties, zo bleek uit de beoordelingen die de man had ontvangen. Zijn code was netjes, goed geschreven en op tijd opgeleverd. Daardoor werd hij regelmatig tot beste programmeur van het bedrijf uitgeroepen. Inmiddels is hij als programmeur bij het ene bedrijf opgestapt.

Reacties (31)
16-01-2013, 17:56 door Anoniem
Erg slim!
16-01-2013, 18:51 door Anoniem
Fantastisch fotootje erbij uit de film Office space :)
16-01-2013, 18:57 door Spiff has left the building
Geweldig verhaal!
Vooral ook omdat alle bedrijven waar de man voor in dienst was zeer te spreken waren over 'zijn' prestaties.
En dat de goede man naar video's van katten keek, dat pleit alleen maar voor 'm :-)
16-01-2013, 19:11 door Anoniem
Ik zou 'm een functie in het management aanbieden. De capaciteiten heeft hij.
Projectleiding en meerdere mensen aansturen is hem in elk geval niet vreemd.
16-01-2013, 19:12 door Anoniem
Geniaal, tenzij in zijn arbeidscontract is opgenomen dat hij het werk zelf in persoon moest verrichten of hij geheimhoudingsclausules heeft geschonden.
16-01-2013, 19:34 door Anoniem
Toen ik las dat hij naar video's van katten keek, moest ik gelijk denken aan Reddit.
16-01-2013, 19:53 door Anoniem
En waarom ook niet? Voor je het weet wordt heel je afdeling naar india verplaatst. Two can play that game.
16-01-2013, 20:14 door Anoniem
Die man heeft overduidelijk management skills !
16-01-2013, 20:15 door Anoniem
Sjah, wie heeft er nu geen hekel dat je baas op je vingers ligt te zien?
Zolang het werk gedaan is, moet de baas niet klagen.

Ik vind dit eerder een slimme zet van de IT'er. Dat het moreel gezien oneerlijk is, is te wijten aan de wereldeconomie.
Een manager verdient mss nog een veelvoud van die IT'er en die doen worden soms betaald om helemaal niets te doen of de boel naar de zooi te helpen. Niet te vergeten dat ze dan ook nog bij banken een oprotpremie krijgen van een paar miljoen.

Ikzelf heb ook zo'n situatie meegemaakt. Ik had een collega die de hele dagen bezig was met data uit tekstbestanden aan het ingeven was in een excell. Toen hij het bedrijf verliet liet ie me weten dat ik dat ook in de toekomst zou moeten doen voor de boekhouding. Ik als IT'er vond dit niet mijn taak. Achteraf gezien zei ik hem dat je dat werk beter met een script veel sneller kon doen omdat het op zijn manier quasi belachelijk was. Die collega was natuurlijk niet blij en weigerde mijn script.
Toen ik het dus zelf moest doen, heb ik een script gemaakt waarbij zijn werk op 5 min geklaard was.

Zijn mond viel open den dat van mijn baas ook. Dus.. Die IT'er is imo gewoon slim geweest.
16-01-2013, 20:33 door AapNootMies
Dit is toch werkelijk geniaal van de beste man.
Vooral dat ie regelmatig tot beste programmeur van de toko is uitgeroepen, geniaal toch.

Eigenlijk verdient deze man een lintje.
16-01-2013, 20:52 door Anoniem
Zijn klanten c.q. werkgevers zeer tevreden, alles binnen budget, wat is er mis aan?
16-01-2013, 21:00 door Anoniem
"Four-hour workweek" pro forma!
16-01-2013, 21:30 door Anoniem
Wat heeft deze man eigenlijk fout gedaan? Er is gewoon geleverd waarvoor is betaald. Dat een bedrijf ergens 6 cijfers voor betaald als ze het ook voor 5 kunnen krijgen is hun probleem.
Als je vraagt waarom ze liever programmeurs op kantoor hebben in plaats van verweggistan gaan ze ook nog zeggen dat ze dan meer controle hebben :)
16-01-2013, 23:48 door Anoniem
Volgens mij waren de desbetreffende opdrachtgevers gewoon zwaar beschaamd dat ze het werk voor een 10e van de prijs hadden kunnen laten uitvoeren..
17-01-2013, 01:56 door Anoniem
Ik wou net zeggen, er moest geprogrammeerd worden en daar heeft deze beste man prima voor gezorgd.

En dat de goede man naar video's van katten keek, dat pleit alleen maar voor 'm :-)

Zeker weten, ik kijk zelf liever naar poesjes *-)
17-01-2013, 08:27 door Anoniem
Programmer turned manager en dan nog eentje die presteert (-:
17-01-2013, 08:27 door Anoniem
Hij heeft het boek van Tim Ferriss, 'The 4-hour work week' goed gelezen en toegepast. :)
17-01-2013, 09:21 door Anoniem
Waren het echt video's van katten of waren het poesjes?
17-01-2013, 09:31 door Anoniem
Deze man is baas!
Wat kan het de manager schelen hoe het werk wordt gedaan, zolang het (uitstekend) wordt gedaan ???
17-01-2013, 09:48 door Anoniem
Bedrijf blij
Werknemer blij
een aantal chinezen blij
Katjes en poesjes blij

Wat zeurt een bedrijf dan?
ze moeten hem ad hoc directeur maken
17-01-2013, 10:15 door Anoniem
Uit alle reacties begrijp ik dat het normaal gevonden wordt om je RSA token naar iemand in China te sturen.
17-01-2013, 10:41 door Anoniem
"Uit alle reacties begrijp ik dat het normaal gevonden wordt om je RSA token naar iemand in China te sturen"
Dat valt mij ook op, dit is niet goed te praten.
17-01-2013, 10:46 door Anoniem
Ben ik nu de enige die hier iets verkeerds in ziet?

De man heeft fraude gepleegd en wordt op een Security website geprezen?!?!
17-01-2013, 11:17 door Spiff has left the building
Door Anoniem, 10:15 uur:
Uit alle reacties begrijp ik dat het normaal gevonden wordt om je RSA token naar iemand in China te sturen.
Uiteraard deugt dat niet, ik denk dat niemand serieus zal beweren dat dat wél zou mogen, maar het verhaal is desondanks geweldig, ik denk dat je dát leest in al die reacties.

(Dit tevens als reactie op Anoniem 10:41 en 10:46 uur.)
17-01-2013, 12:11 door Anoniem
Zou zomaar een exprogrammeur van KPN kunnen zijn die na de jaarlijkse reorganisatie zijn efficiency probeert te verhogen, in het kader van goed voorbeeld doet volgen.


Maar weer het pijnpunt security, hé :)

lol
17-01-2013, 12:16 door [Account Verwijderd]
[Verwijderd]
17-01-2013, 12:18 door Anoniem
Door Anoniem: Ben ik nu de enige die hier iets verkeerds in ziet?

De man heeft fraude gepleegd en wordt op een Security website geprezen?!?!
Hoezo fraude? Hij leverde toch waar hij voor ingehuurd werd? Stond er ergens in het contract dat'ie het zelf moest doen dan?

Natuurlijk zal ongeveer iedereen hier (horen te) weten dat het eigenlijk niet kan, en dan vooral omdat inlogtokens naar China sturen waarschijlijk tegen een paar bedrijfsregels ingaat (en het nieuwe communistische gevaar verbeeldt, ook dat) maar het is wel elegant wat'ie gedaan heeft.

Denk er eens over na. Snelle pakkendragers verzinnen dat ze mensen op grote schaal kunnen ontslaan en hun werk door arme sloebers ergens in een overzees armesloeberië kunnen laten doen voor een fractie van de prijs. Saillant detail: Programmeren, denkwerk bij uitstek, wordt als minderwaardig handwerk weggezet door kennelijk constant benevelde MBAs. Daar maak je vrienden mee.

Helaas pindakaas weten ze niet genoeg van de materie om ook te weten of waar ze voor betalen het geld waard is; deze truuk werkt dus niet goed genoeg, en dus zie je een tegengestelde beweging opkomen. IT moet weer binnenshuis.

Maar ondertussen is er een hele industrie opgekomen in lage-lonenlanden waar toch behoorlijk wat ITkennis vergaard is. En deze figuur is kennelijk goed genoeg dat'ie wat'ie inkoopt wel op qualiteit kan beoordelen. Waarmee hij dit model voor zich laat werken, in plaats van voor de briljante MBAs die het eerst probeerden.

Er is een term voor zoiets: "Poetic justice". Snap je de reacties hier nu een beetje?
17-01-2013, 13:36 door Anoniem
Ehh, volgens mij is dit gewoon het ultieme voorbeeld van outsourcen!
Er is geen data gestolen en/of gelekt, over het uitgevoerde werk was men tevreden.
Dus wat is nou eigenlijk het probleem?

Grote ondernemingen doen niet anders, alleen noemen ze het anders... :-)
17-01-2013, 23:22 door Anoniem
Ja zo gaat dat, eigenlijk zit daar het management gewoon te slapen. Net als het gros in Nederland, outsourcen dat soort werk. (En het liefst bij mijn bedrijf in Polen)
18-01-2013, 08:10 door Anoniem
Een prachtig voorbeeld van "persoonlijke outsourcing". Een totlae afdeling outsourcen kan natuurlijk wel. Hoe zit het dan met regie? Kun je dit wel aan. In dit geval werd er eigenlijk 1 op 1 geoutsourced. Dat zou je ook als stap in een komen tot kunnen gebruiken.
En ook mooi om aan te geven dat het niet gaat om het opvolgen van allerlei bedrijfsregels naar de letter.Je kunt nooit alles afdekken/dichttimmeren etc. De organisatiecultuur is veel belangrijker.Spreekt men elkaar over en weer aan. Wat doet de manager/prjectleider van zo'n man. Kent de projectleider de programmeur uberhaupt?
In het kader van Het Nieuwe Werken zal de controle op dit soort uitbesteding nog veel moeilijker worden. "Work in the cloud". Interessant. Niet verbieden, maar risico's afdekken en kijken naar kansen. En bij dat inschatten van risico's kunnen wij natuurlijk een goede rol spelen. Misschien kunnen we dat ook wel uitbesteden naar China. Excuus: India, in verband met functiescheiding. (PS)
18-01-2013, 11:55 door varttaanen
De vraag is of dit waar is, of een broodje aap verhaal. De heren van Sophos leggen de vinger op de gevoelige plek:

http://nakedsecurity.sophos.com/2013/01/17/security-team-fails-to-check-logs-lets-man-outsource-own-job-for-years/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.