Outsourcanje lastne službe

Varnostna ekipa pri ameriškem internetnem ponudniku Verizon je objavila zanimivo študijo varnostne analize (case study), ki so jo opravili za eno od svojih strank. Ta stranka - razvijalska hiša - je v svojem omrežju zaznala občasno prisotno VPN povezavo iz Kitajske. Za to ni bilo nobenega pojasnila, vsaj ne, dokler niso ugotovili, da je eden od njihovih ključnih zaposlenih preprosto najel kitajsko freelancersko firmo, da opravlja njegovo delo za 1/5 plače, ter potem cel dan visel na redditu in facebooku, oz. šušmaril še za druge firme.

Vse skupaj so odkrili bolj ko ne po naključju. Sistemski administrator pri razvijalski hiši je v VPN dnevnikih našel zapise o prijavah s Kitajske, kar se mu je zdelo izjemno neverjetno, saj so za VPN uporabljali dvofaktorsko prijavo (up. ime in geslo, ter potem še RSA ključek). Misleč, da gre verjetno za katero od tistih 0-day okužb na računalniku od enega od zaposlenih, je kontaktiral Verizon, s katerim so imeli sklenjeno svetovalno pogodbo, ter jih prosil, naj preverijo situacijo. Verizonovi fantje so ugotovili, da VPN povezava pripada enemu od izkušenejših programerjev (rečmo mu "Bob"), čez 40 let, izkušenem v več programskih jezikih, z odličnimi ocenami in brez zgodovine incidentov v podjetju. Skratka, ne ravno sumljiva oseba. A ko so mu zvečer forenzično pregledali računalnik, so hitro našli več 100 pdf-jev z računi od kitajske outsourcing firme. Nato so pogledali še njegovo spletno zgodovino, ki je bila dokaj konsistentna, nekako v tem stilu:

- 9:00 zjutraj: zaposleni prispe v službo, začne brskati po redditu in gledati youtube posnetke
- 11:30: kosilo
- 13:00: ebay
- 14:00: facebook, linkedin
- 16:30: dnevno poročilo vodstvu (o delu, ki so ga zanj opravili drugi)
- 17:00: odhod domov

Pri tem je najbolj zanimivo, da je zaposleni našel zares izvrstne kitajske freelancerje. "Njegova", no, njihova koda je bila zato več kot vzorna: delovala je kot treba, bila je lepo in čisto spisana, dokumentirana ter vedno oddana pravočasno. Pravzaprav je veljal za najboljšega programerja v podjetju.

To niti ne bi bil tak problem (works smart, not hard), če ne bi Bob v svojem službenem času občasno meglaril še za druge naročnike. Ali če bi VPN malo bolj spretno zakril, tj. ne bi svojega RSA ključka po FedExu poslal nekim Kitajcem.