この話は、旧ソビエト連邦の最小の南国ではない国内市場で働いていた1つの主要なブランドで起こりました。それを単にBRANDと呼びましょう。
-ネットワークは、HPの小さなスイッチとサーバーが散在するシスコ上に構築されています。 本社およびリモートオフィスへのVPN。
-首都の一流プロバイダーからの独自のファイバーを介したインターネット。
-別の非常に有名な国際企業からのISDNテレフォニー。 広告はこれらの番号に関連付けられているため、拒否することはできません!
-BRANDのITスペシャリストのスタッフは小さく、現在の問題の解決に常に関与しているため、ITアウトソーシングのサービスを積極的に使用しています。
-コミュニケーションサービスのみでのBRANDの月額支出は約3,000ドルで、これは私たちにとってもVIPでもかなり良い指標であり、すべてがうまくいくように見えましたが、
突然請求額が最初に2万ドルになり、次に4万ドルになります。そして突然、夕方はすでにだるいことがなくなっており、古典的なパターンに従ってイベントが展開し始めていることが理解され始めました:
1.有罪を検索する
2.無実の人の罰
3.そして招かれざる者に報いる
物語自体
ストーリーの約2か月前、危機に関連して、またコストを最適化するために、ITアウトソーサーの毎月のサポートを放棄し、支払いを呼び出しに切り替えることにしました。
原則として、このソリューションは費用対効果に優れていますが、突然、ある日、テレフォニープロバイダー(国際電話交換機から順番に
キックを受け取った後)は、以前は自分に固有ではなかった宛先(キューバ、ナイジェリア、など)
BRANDのIT部門は、内部PBXの請求書を確認しましたが、記録を見つけられず、肩をすくめて、すべてが順調であると言いました。 あくびをしたプロバイダーマネージャーは、彼のルーチンを実行しました。
そして、物語の冒頭で言及されたアカウントが到着するまで、約1ヶ月間すべてが再び落ち着きました。
最初は、
ITブランドの従業員は
私は私ではなく、牛は私のものではないと述べました。「内部請求にエントリがないため、電話をかけず、支払いもしません」が、通信の間に必須のライセンスがあるため、立場を変えました詐欺との闘いのポイント(これは私たちの国では真実です)の場合、電話プロバイダーは請求書を非難することになっているので、自分で支払います。
サプライヤは、クライアントの機器の状態に責任を負わず、会話は彼だけでなく、国際コミュニケーションセンターによっても記録され、クライアントによって明確に実行されたため、請求書をクライアントに支払う必要があることに合理的に反対しました。
ITアウトソーシング会社は調査を実施し、「クライアントの機器がハッキングされた」と結論付けました。誰がこの違法行為を行ったのかを「ログの不足」のために確立することはできませんが、攻撃者は権利を奪い、顧客の機器は、国際的なVoIPトラフィックを音声します。
解決策として、BRANDは緊急に必要です! 彼らから追加の機器、N番目の量のサービスを購入し、別のセキュリティ専門家を雇い、そのような状況を検出するためのルールを作成するなど など
一般に、いつものように、誰もが責任を取り除こうとし、可能であれば生地を切り刻みました。
すでに法執行機関での経験があり、誰も連絡を取りたがりませんでした。
ここで明確にする必要があります:地上の一般的な慣行を考慮して、通常、そのような場合、刑法のどの条項に違反しているか、そして被害者のこの活動分野の責任者を見つけます。 評決は、負傷した当事者の専門家/リーダー、サプライヤー、および関係者に渡され、その後、発行された罰金の金額によって予算が補充され、ケースは正常に開かれたとみなされます。 もちろん、攻撃者自身のために実際にお金を探している人はいません。
すべてが同じ船内にあることに気付いたプロバイダーは、電話の金額をすべて自分の利益を除いて部分的に償却することに同意しましたが、クライアントは共有と残額を等しく主張しました。 「戦闘」弁護士チームを招き、技術専門家(つまり、私たち)を交渉に招待しました。
すべての利害関係者の数回の会合により、実際には、クライアントとサービスプロバイダーの両方から、イベントの有能な監視が与えられていないことがわかりました。 アウトソーシングチケットシステムは時期尚早に休みました。 どちらの側からのSLAの議論も、
自殺の考えを引き起こしました。これは、私たちを含む出席者の誰も、これがどのように保証され制御されるかを理解していない
という強い感情です。
さて、利用可能なもので作業します。
太古の昔
から知られているように 、シスコはデフォルトでVoIP実装を実装しました。これにより、
@宛先に電話をかけるための
電話番号を指定するだけで、VoIPトラフィックをPSTNに送信できます。これは、
アクセスリストを介して適切なルールで閉じる必要があります
。法的側面にあまり入ることなく、単に反対を確認するために、ネットワークインフラストラクチャの現在の構成に精通したかったため、ITアウトソーシング業者が反対であるという保証にもかかわらず、ログと構成ファイルがストレージサーバーにまだ収集されていたことがわかりましたデータ。
もう簡単です。
まず第一に、彼らは分析のために攻撃されたハッキングされた機器のログと設定ファイルを提供するようにアウトソーシング業者自身に依頼しました。
彼らはエラーの主題に目を向け始め、すべてが正しいように見えましたが、ここでは、後のファイルと前のファイルの日付が一致しないことに注意を払いました。 次のようなものだとしましょう:
初期ファイル:! 最終構成変更:18:54:05 Tue Feb 10 2015 by um @ outsourcer
!NVRAM構成の最終更新日:2015年2月10日(火曜日)19:02:08 um @ outsourcer
後期ファイル:! 2016年1月15日(金)13:38:58の最終構成変更(um @ outsourcerによる)
! NVRAM構成の最終更新日:2016年1月15日(金)13:38:59 um @ outsourcer
さらに、プロパティ内の両方のファイルについて、作成時間と最後の変更はまったく同じ値であり、これは原則として外部の介入なしでは不可能です。
何かが間違っているのではないかと疑って、IT部門の責任者から直接ファイルにアクセスし、彼のラップトップでデータストレージサーバーを開きました。
SUSEオペレーティングシステム(これは重要です!)ログは確認されましたが、チームの履歴を分析した結果、ユーザーがアウトソーサーの従業員の名前でファイルを変更してから調査のためにファイルを転送したことがわかりました。 また、指定されたファイルの「作成時刻」と「最終変更時刻」の値を変更し、サーバー上の元のファイルをさらに変更して置き換えました。 その後、明らかに、彼の行動の痕跡を消去するために、彼はディレクトリ/ var / log /からすべてを削除しました。
SUSEには、一時ファイルをTFTPサーバーに送信する前に保存する興味深い機能が1つあります。 私はすべてを説明するつもりはありません。意味を知って理解している人は、他の人にGoogleに連絡することを勧めます。 そのため、ほとんど手間をかけずに、すべての古い構成ファイルのオリジナルを入手し、次の図を開きました。
約1年間、ITアウトソーシング会社はメインのカスタマーサポートエンジニアを変更し、クライアントはその時点でインターネットプロバイダーを変更することを決定しました。 新しいインターフェイスを設定する過程で、アウトソーサーの従業員が何らかの理由でこの穴を開いたままにしました。うーん...何らかの理由で、それは最初から私たちに思われた。 さらに、法案がすでに到着し、自分の間違いが明らかになった後、従業員は「だまし」始め、顧客を欺こうとしました。 悲しい
おわりに
技術的および法的正当性のある当社の専門家の意見、ならびに刑事事件を開始する可能性のある資料を含むサーバーディスクのキャストは、BRAND経営陣に発行されました。 さらに、クライアントの経営陣はITアウトソーシング業者の経営陣を招待し、そこで何が起こったのか、何ができるのかを目で説明しました。
もちろん、最初は驚いた顔をしていましたが、2日後、NDAに署名するよう求め、すべての費用を支払うことを約束しました。
BRANDのリーダーシップは、当初から、刑事訴追を目的としておらず、今後何が起こったのか、これを防ぐために今後何をする必要があるのかを知りたいだけだと述べていたため、この事件は終わったと考えられています。
あとがき
これは、IT犯罪の調査に参加した最初の経験ではなく、金銭面でも最も重要な経験ではありませんでしたが、アカウントに秩序がない場合はどこでも、盗難と詐欺の巨大な分野があることを覚えておく価値があります。
実際、原則として、アウトソーシング業者が犯罪をシミュレートし、妨害行為を組織し、彼のサービスを課すというタスクを持っていれば、有能な組織でうまくいく可能性があります。 したがって、すべての管理者のアクションのログを収集し、アクセスできない場所に保存する必要があると考えています。 たとえば、彼自身のセキュリティサービスの責任者。 あなたが信用していないからではなく、事件が起きたときに「あなたを捨てよう」としているのはあなたの人々ではないことを確認するためです。 お金がなくなったときに子供が何の関係もないことを確実に知ることは、家の中の金庫のようなものです。 または、飛行機の「ブラックボックス」。 パイロットを信頼していないからではなく、単に起こっているからです!
クライアントに推奨:
»セキュリティサービスのヘッドのみにアクセスできるIT管理者のアクションのログを収集するサーバーを展開します。
»受信したサービスの機器インベントリ、ステータス監視、および品質管理用のイベント監視サーバー(SLAによる)。
»非典型的な状況の発生に対するトリガーの自動アラートの方法とルールを構成します。
しかし、もし興味があれば、これはすでに以下の記事に記載されています。