image

It'er saboteert core switches Canadese spoorwegmaatschappij na ontslag

zaterdag 14 oktober 2017, 09:26 door Redactie, 3 reacties

In de Verenigde Staten is een voormalige werknemer van de Canadian Pacific Railway (CPR) schuldig bevonden aan het saboteren van zijn ex-werkgever. De man was twee jaar werkzaam als it'er bij de CPR en zou eind 2015, na een schorsing van twaalf dagen, wegens insubordinatie ontslagen worden. De CPR ging echter akkoord met het verzoek van de man dat hij zelf ontslag zou nemen.

In zijn ontslagbrief verklaarde hij alle eigendommen van het bedrijf terug te geven, waaronder zijn laptop en het apparaat om op afstand in te loggen. Voordat hij zijn laptop teruggaf logde hij in op de core switches van de Canadian Pacific Railway. Deze apparaten spelen een zeer belangrijke rol in het netwerk en zijn onder andere verantwoordelijk voor het verwerken van grote hoeveelheden verkeer.

Eenmaal ingelogd op de core switches verwijderde de ex-medewerker bestanden, beheerderaccounts en veranderde de wachtwoorden van de resterende beheerderaccounts, zo laat het Amerikaanse ministerie van Justitie weten. Daardoor had de CRP geen toegang meer tot deze switches. Vervolgens besloot de man zijn sporen te verbergen door de harde schijf van zijn laptop te wissen.

Twee weken later tijdens het oplossen van netwerkproblemen ontdekten CPR-werknemers dat ze niet meer op de core switches konden inloggen. Via een "riskante herstartprocedure" wist het bedrijf weer toegang te krijgen, aldus de verklaring van het ministerie. In de logbestanden werden vervolgens de activiteiten van de ex-werknemer ontdekt. Ook werd er een extern securitybedrijf ingeschakeld om onderzoek uit te voeren. De uiteindelijke schade voor de CPR bedroeg zo'n 30.000 dollar. De Canadian Pacific Railway is een Canadese goederenspoorlijn die van Canada tot de Verenigde Staten loopt. De ex-werknemer was werkzaam op het Amerikaanse hoofdkantoor. Wanneer de rechter vonnis wijst is nog niet bekend.

Reacties (3)
14-10-2017, 13:35 door Anoniem
Natuurlijk erg dat deze man dit gedaan heeft maar ik vind het nog kwalijker dat het bedrijf dit pas na 2 weken ziet. Het komt bij mij over dat CRP de zaken niet goed op orde heeft met wie waar op in mag loggen en dat dit ook geborgd blijft d.m.v. logging en monitoring van het netwerk. Mag hopen dat hier nog een onderzoek naar komt met hoe dit heeft kunnen gebeuren.
14-10-2017, 18:25 door Anoniem
Door Anoniem: Natuurlijk erg dat deze man dit gedaan heeft maar ik vind het nog kwalijker dat het bedrijf dit pas na 2 weken ziet. Het komt bij mij over dat CRP de zaken niet goed op orde heeft met wie waar op in mag loggen en dat dit ook geborgd blijft d.m.v. logging en monitoring van het netwerk. Mag hopen dat hier nog een onderzoek naar komt met hoe dit heeft kunnen gebeuren.

Een geauthoriseerde gebruiker doet een change , en er is geen direct merkbare impact .
Dan is het niet zo heel gek dat je pas later ontdekt dat de change eigenlijk ongewenst was .

Logging en authenticatie laten dan _achteraf_ prima zien wie wat op welk moment deed, maar dan is het wel gedaan .

Als ze een goede setup hebben staan de configs en opeenvolgende delta's ook mooi in een repository (cvs, git, etc) .

(Hij deed het met z'n op dat moment nog werkende account , alleen wat hij gedaan had bleek pas een tijd later ).
Op basis van de omschrijving kan dat prima.

Op netwerk apparatuur in een wat grotere setting wordt de login en authorisatie van commando's normaal gesproken gedaan door een centrale AAA server [Tacacs+, evt Radius] . Alleen staan op het apparaat _ook_ een paar lokale accounts waar het apparaat op terugvalt wanneeer de AAA server onbereikbaar is - tijdens een storing dus.

Met de omschrijving 'bij het oplossen van een netwerk storing twee weken later ontdekten ze dat de login niet meer werkte' zal de ontslagen idioot dus die lokale accounts gewist/gewijzigd hebben.
De 'riskante herstart procedure' zal dan een gewone password recovery zijn (echt niet zo riskant) , maar dat kost inderdaad een reboot , en dat is natuurlijk impacting als het een belangrijk device is. En heel vervelend om tegen aan te lopen als je bezig met een storing.

Beetje als het reservewiel van je lease auto laten leeglopen bij inleveren - lullig, en een heel grote kans dat de volgende eigenaar het pas merkt als het nodig is.

Het enige wat je zou kunnen zeggen is dat ze eerst z'n accounts hadden moeten dichtzetten en hem daarna pas ontslag aanzeggen, maar op grond van deze beschrijving is nou niet te zeggen dat het beheer echt slecht gedaan wordt.
19-10-2017, 03:13 door Anoniem
Ik heb ook ooit iets dergelijks gedaan omdat mn afdelingsbaas me als oud vuil wou dumpen net nadat ik zijn hete kolen uit het vuur had gehaald. Er zal vast wel meer aan de hand geweest zijn want je bijt echt niet zomaar in de hand die je voedt. Kan goed mogelijk zijn dat ie net zo aan de kant geschoven is als ik destijds. Maar goed bij mij ging het om kleine instellingen die ongemak veroorzaakten, meer niet. en bij die gast was er wel 30k schade. Tja waar rook is is vuur. Koekje van eigen deeg misschien ? Goed gedaan jongen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.