Индийская мстя

Вот по этому ссориться с it-шниками не желательно. Или например с 1С-программистами, у нас все ваши серые базы данных :-) Вот вам поучительные истории из Индии.

Бывший сотрудник ИТ-консалтинговой компании Дипаншу Кхер (Deepanshu Kher) решил отомстить за свое увольнение удалением аккаунтов сотрудников одной из компании-клиента, расположенной в Карлсбаде (Калифорния, США) в сервисе Microsoft 365. На нем, согласно обвинительному заключению окружным судом Калифорнии, были завязаны все основные бизнес-процессы, и диверсия Кхера остановила работу компании более чем на два дня.


Названия обеих компаний в документах суда не раскрываются.Кхер удалил 1200 аккаунтов из 1500 имеющихся. Пользователи потеряли доступ к документам, календарям встреч, корпоративным каталогам, видео- и аудиоконференциям, а также к контактам – они не могли связаться с клиентами, а те в свою очередь не имели возможности выяснить, что происходит, и почему сотрудники этой компании вдруг резко перестали выходить на связь.Согласно судебным документам, Дипаншу Кхер, гражданин Индии, работал на ИТ-консалтинговую компанию в период с 2017 г. по май 2018 г.

В 2017 г. компания из Карлсбада обратилась за консалтинговыми услугами в эту фирму – ей нужна была помощь в переводе сотрудников на Microsoft 365. Выполнить эту работу руководство поручило Кхеру, но Carlsbad Company осталась недовольна им, и в январе 2018 г. Кхера отстранили от проекта. 4 мая 2018 г. Кхер был уволен, а в июне 2018 г. он вернулся в Дели (Индия), затаив обиду на компанию из Карлсбада.

Спустя около трех месяцев после своего увольнения, в начале августа 2018 г., Кхер, находясь в Индии, взломал сервер калифорнийской компании и удалил учетные записи сотрудников. Как именно ему удалось проникнуть на сервер, следствие не раскрывает.


Последствия взлома

Атакованная Кхером компания частично восстановила работу лишь спустя двое суток после взлома. Тем не менее, на тот момент удалось вернуть не все данные, и сотрудники по-прежнему испытывали немало трудностей с получением доступа к необходимым им корпоративным материалам. На полное восстановление потребовалось три месяца и почти $600 тыс., и под конец вице-президент компании по вопросам ИТ заявил: «За свои 30 с лишним лет работы в сфере ИТ я никогда не попадал в более трудную рабочую ситуацию».

На арест Дипаншу Кхера был выдан ордер, и его смогли задержать 11 января 2021 г., когда он вылетал из Индии в США. Расследование вело ФБР, и Кхер до последнего не знал, что американским властям удалось получить разрешение на его арест.

Вынося приговор, судья окружного суда США Мэрилин Хафф (Marilyn Huff) отметила, что Кхер совершил серьезное и изощренное нападение на компанию, нападение, которое было спланировано и явно было местью. Хафф приговорила его к двум годам тюремного заключения, трем годам под надзором полиции (после освобождения) и штрафу в размере около $567,1 тыс. (43,05 млн руб. по курсу ЦБ на 24 марта 2021 г.) – в эту сумму пострадавшей компании обошлись мероприятия по устранению последствий хакерской атаки Кхера.





ИТ-диверсии индусов в тренде

Месть при помощи информационных технологий за несправедливое (по мнению уволенных) лишение работы в XXI веке стала весьма распространенным явлением. Одним из ярких примеров является ситуация, в которой оказалась компания Cisco.

В конце сентября 2018 г. экс-сотрудник Cisco Судхиш Касаба Рамеш (Sudhish Kasaba Ramesh) с индийскими корнями в отместку за увольнение взломал облако компании в Amazon WebServices и запустил туда некий код, который хранился в его аккаунте Google Cloud Project. Это привело к удалению 456 виртуальных машин, на которых функционировали приложения Cisco WebEx Teams, что в итоге привело к исчезновению аккаунтов в WebEx Teams вместе со всем содержимым.

Cisco потратила две недели на восстановление удаленных данных. Ущерб от действий Рамеша она оценила в $2,4 млн – $1 млн компания потратила на компенсации пострадавшим клиентам, а оставшиеся $1,4 млн пошли на оплату труда ее специалистов, помогавших восстанавливать данные.

В июле 2020 г. Рамеш признал себя виновным в содеянном. Как сообщал CNews, в середине декабря 2020 г. его приговорили двум годам тюрьмы, полутора годам под надзором полиции и $15 тыс. штрафа.

В марте 2018 г. стало извесно о похожем случае в Санкт-Петербурге. Сотрудник туристической фирмы из северной столицы после своего увольнения уничтожил базу данных собственной компании. В ней хранилась информация, необходимая для доступа сотрудников турфирмы в офис. Мотивом к уничтожению данных послужил конфликт злоумышленника с руководителем ИТ-отдела, а сам инцидент произошел 14 февраля 2017 г. Для уничтожения базы данных он использовал свой ПК, откуда имелся доступ к серверу компании, где хранилась база. Против него было заведено уголовное дело, расследованием которого занялось ГУ МВД России по Санкт-Петербургу и Ленобласти. Хакеру грозило до четырех лет лишения свободы.

В апреле 2017 г. в США завели уголовное дело против Нимеша Пателя (Nimesh Patel), который в течение 14 лет работал системным администратором в компании Allegro MicroSystems. Ему пришлось уйти из компании, и он решил отомстить бывшему работодателю путем заражения вирусом базы данных его бухгалтерии на СУБД Oracle.

В сентябре 2016 г. системный администратор Джо Вито Вензор (Joe Vito Venzor), уволенный из компании по производству обуви Lucchese Bootmaker, в отместку обрушил ее сервер. Он также удалил файлы, необходимые для его восстановления. Производство ковбойских сапог Lucchese Bootmaker, существующее с 1883 г., простаивало, пока сторонний подрядчик не починил сервер, и компании пришлось потратить две недели, чтобы полностью восстановить производство и наверстать упущенные заказы.

Если работодатель недостаточно платит своим сотрудникам, то он тоже рискует стать жертвой ИТ-мести. На себе это испытал в 2002 г. банк UBS Paine Webber. Когда «логическая бомба» удалила все файлы на главном сервере его центральной базы данных и двух тысячах серверов в 400 филиалах, при этом отключив систему резервного копирования. Виновником случившегося оказался системный администратор банка – он получил вдвое меньшую премию по итогам года, что и заставило его отомстить работодателю.

А Трампа выбрать не смог - лошара.

[ Пишет: "индусов не нанимать, они мстительные долбоёбы" ]
[censored]

Пока читал - аж сердце кровью обливается! До чего же трудно буржуям всего мира с таким народишком! Только соберёшься с них прибыль получить - а они страшный экстремизм творят, да в такие убытки вводят - хоть последнюю яхту продавай! Ну, хорошо, хоть, власть и суды за них, а то совсем бы хана.

> трем годам под надзором полиции (после освобождения)

он гражданин другого государства - его выпускать из страны 3 года не собираются?!

Удалил кхерам.

> удалил 1200 аккаунтов из 1500 имеющихся.

Дурачок. Вот если бы рандомно перемешал, чтоб потом годами глюки выскакивали то тут, то там...

>когда он вылетал из Индии в США

Клинический дурачок.

> трудно буржуям всего мира с таким народишком
В Индии капитализм в полный рост.
Эксплуатация в таких IT сервис и ресурс конторах (это аутсорс для буржуев, достаточно дорогой, и не всегда сейчас он дешевле местного неиндийского, как было много лет) индусами-манагерами своих же индусов-подчиненных достигает 146 и более процентов. Там некого в индийском IT жалеть.

> Базу!!! Оракл!!! Вирусом!!!

DROP TABLE *;

> DROP TABLE *;

Оракл не любит дураков и саботажников, он так не позволит. DROP DATABASE тогда уж.

> Опять какой-то хер виноват!!!

- Что случилось с нашей сетью?
- А хер его знает!
- И где же этот хер, который знает?

> > удалил 1200 аккаунтов из 1500 имеющихся.
>
> Дурачок. Вот если бы рандомно перемешал, чтоб потом годами глюки выскакивали то тут, то там...

Гораздо веселее нагенерить нцать мульёнов фейковых веков и тщательно перемешать с реальными..

не силен в ИТ, а что здесь не так?

А как же триггеры на события в наиболее часто используемой таблице? Не совсем вирус, наверное. С ораклом не сталкивался, но в ms sql криво написанный триггер может и базу положить. Другое дело, что можно относительно быстро вычислить источник проблемы.

> А как же триггеры на события в наиболее часто используемой таблице? Не совсем вирус, наверное.

Не то, что "не совсем вирус", а "совсем не вирус".

> С ораклом не сталкивался, но в ms sql криво написанный триггер может и базу положить.

И в оракле может.

> Другое дело, что можно относительно быстро вычислить источник проблемы.

Совершенно верно. С точки зрения СУБД это пользовательский объект, и спрятать его от SYS (ораклового SA) никак не получится.

Но вопить будут про вирус! Так дороже в устранении последствий и ответственность виновному больше.

[censored]

> а когда эти самые базы под шифровальщик попадают.
> это не значит что база заражена?

Нет. Это значит лишь, что файлы данных повреждены или зашифрованы. Иногда - необратимо. Но они ничем не заражены, воздействие исключительно внешнее. Проведи аналогию с "настоящим" вирусом, она до сих пор полностью адекватна.

Кстати, нормальные современные базы данных типа Oracle или MS SQL строго бдят за своей внутренней целостностью, и при малейшей модификации файлов данных (физической или логической) в обход СУБД безжалостно эти файлы помечают как испорченные. Вплоть даже до отказа стартовать и открываться.

> спасибо за разъяснения.

Да не за что, был рад помочь разобраться.

Для дополнительного понимания просто прими как факт, что абсолютное большинство современных вредоносных программ, называемых в обиходе "вирусами", в каноническом смысле вирусами вовсе не является. Черви, трояны, шифровальщики - но не вирусы. Механизмы распространения и вредоносные проявления - схожи, устройство и принципы работы - нет.

> криво написанный триггер может и базу положить

Класть базу не надо и удалять не надо. Надо тихонько рандомно менять старые данные, чтоб прошло несколько месяцев до обнаружения. Накопится большое количество бекапов, которые будут битыми и восстановление актуальных данных станет очень вазелиновым.

> Надо портить/менять данные нежно и месяцами, чтоб бекапы были все битые.
> Оно все будет целое но совершенно не пригодное для работы.

С ораклом точно не проканает, там целостность блоков на лету отслеживается, и при работе, и при бэкапе. Вот бэкапы сами можно попытаться испортить, это да, если админ лох или неопытный.

> С ораклом точно не проканает, там целостность блоков на лету отслеживается

Так он целый будет. Просто все числовые показатели немножко другие станут, но так чтоб итог сохранился прежний))

А бекапы сами нахуярятся, они через пару месяцев уже обычно не все хранятся.
Псфп5

> это битый на блочном уровне или неконсистентный.

Ну он будет совершенно не битый и совершенно бесполезный, особенно через полгодика

> Базу!!! Оракл!!! Вирусом!!!

Скрипт вполне себе можно накатать в теории и сделать компонентом БД.
Чем не вирус?

Внешнюю dll можно.
Чем не вирус?

Сильно фантазируя в теории, если есть специфическая бизнес-логика с багом, то можно так задать данные в БД, что работая на них, логика будет их множить и плодить в сущности по заранее заданному совокупностью данных алгоритму.
Тоже вирус.

> А как же триггеры на события в наиболее часто используемой таблице? Не совсем вирус, наверное. С ораклом не сталкивался, но в ms sql криво написанный триггер может и базу положить.

И не только они.

Любые скрипты, живущие как компонент базы.