扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:51CTO 2011年06月28日
关键字:IT管理
IT管理员:离开他们你就活不了。在你的系统、网络及数据方面,他们有着巨大的权限--这是你企业的命脉。非IT人士很少有人能理解他们的所作所为,能够监管和控制他们行为的人就更少了。
当然,绝大多数的IT管理员是实诚的,他们努力工作,同时容忍着重视程度的缺失。但是,当他们变成流氓的时候,事情就糟糕了。企业很可能发现自己竟然被阻挡在自有网络之外。客户数据莫名其妙地丢失。公司通过扫描网络发现有人正在利用数据中心网络访问不良站点。商业机密不是被销毁就是被盗取了,员工们似乎感到有人正在监视着他们的一举一动,这是多么令人毛骨悚然啊--而且这种感觉旋即得到证实。
你听到的那些只是小意思。大多数公司都会想尽一切办法封锁关于流氓管理员的任何消息,因为名誉受损的影响可能比满腔不忿或是热情过度的极客们带来的破坏更为严重。
"然而,许多公司再做什么也是于事无补。"Team Cymru研究人员,全球拓展总监Steve Santorelli说。
"即使你的系统固若金汤,甚至核武器级别的攻势都无法撼动,在逆袭的管理员面前仍然无济于事。"他说。"只要流氓管理员具有root或者特别访问权限,他就可以绕过你的边界安全措施和tripwires软件的检测,因为他们在进行本职工作需要深入到这些区域。负责攻击防护和组织侵袭的往往是同一个人。他们知道如何覆盖防火墙日志或者改变访问控制,以使其它监控者无法进入系统并发现他们。他们知道哪里日志备份在何处,也知道如何篡改密钥。"
在你的企业中可能已经存在着蠢蠢欲动的流氓管理员了。以下我们将了解一下如何去发现并阻止他们,以便减少损失。
IT流氓管理员1:善意热情型
他知道你应该做什么,也知道你应该如去何做--而且在未经同意的情况下,他也很可能坚持实施自以为正确的操作。总之,一个善意的但是过分热情的管理员常常会像那些流氓管理员一样为工作体系带来毁灭性打击。
许多流氓活动中并不包括心怀不满的员工,Josh Stephens说,他是SolarWinds网络管理软件制造商的极客负责人。
"一个流氓管理员总是我行我素,并不依照公司的要求去做,"他说。"尽管你强调了公司用的是标准的Windows系统,但是你的流氓管理员却喜欢Linux系统。三个月下来,你可能会发现三分之一的服务器都在使用Linux。"
然而,有的时候,当充满善意及热情的管理员接管之后,结果同样是一片狼藉。早在90年代中期,Jon Heirmerl在政府部门做软件开发的时候,"我们有一个网络管理员,我一般叫他Jim,他在走过大厅的时候,会查看一下那些已经下班的家伙中,都有谁的电脑还处在登录状态。"Heirmerl说道,Heirmerl现在是Solutionary的战略安全总监了。
后来有一天,一个资深开发人员抓住了正在删除文件的Jim。这个开发人员立刻狂暴了,因为他没有做最近的备份,在Jim按下Delete键之后,这几个月的开发成果就瞬间消失了。
"他一拳打在了Jim的脸上",Heirmerl回忆道,"至此以后,Jim再也没有删除过任何文件。"
也许最有名的善意热情型管理员就是Terry Childs了。他是前旧金山网络管理员,他拒绝交出城市系统的密码,原因是他觉得他的上司是不称职的。Childs被判违反了违反了加州计算机犯罪法,事发时是2010年4月,而且他至今仍在监狱服刑,刑期为4年。
"公平地说,像Terry Childs这样的人,认为他们正在做正确的事,"Santorelli说。"希特勒也还以为他做的是正确的事呢。当然仅仅是出于义愤的个人行为绝对无法有效遏制犯罪。不过根据大多数人的意见,在没有灾难恢复的情况下,我们仍然应该保有进行检举的权利,无论检举对象是媒体,政府,或是一些管理机构。
反流氓防御:通过分离职务,将控制权交到两个人手里,从而限制单个负责人带来的损害,Xceedium的首席战略官 Ken Ammon说,他专门提供相关设备,以确保享有特权的用户通过既定方式访问关键系统。这样将确保敏感任务是由多人完成的,并且,同一个人不能执行两项任务,也不能审查具体的任务执行流程。
IT流氓管理员2:以厂为家型
你想让灯一直亮着,让服务器一直运行,尽力让终端用户满意(至少不能闹事),并且还要保护网络不受黑客和小流氓的攻击,对绝大多数管理员来说,这已经比全职工作做的要多了。然而,偶尔还是会有一些小毛贼决定用上班时间和公司的设备,来开辟一点周边业务。
Heirmerl说,他遇到的小毛贼就是在利用公司的服务器出售他能想到的任何产品,从山寨卫星设备到塔罗牌,应有尽有。毫无疑问,这种零售业务被发现后,他立马就被解雇了。然后,下任管理员还得费劲地去拆解那个流氓管理员留下的能够允许他进入网络的复杂防火墙规则。
"改完防火墙规则后的30分钟内,那个毛贼管理员给公司打来电话,抱怨说他的访问被切断了," Heirmerl说,"此时他离开公司已经两周了。他态度非常粗鲁,并且认为受到这种待遇很不公平。"
Mobile Active Defense智能手机安全公司总裁Winn Schwartau说,在2003年,他在为一个金融服务公司做独立咨询的时候,他发现一个系统管理员正在利用其职位之便运营一个收费的不良网站,方式是借助一个外置modem和一个分区的硬盘驱动器。这个modem在一次常规的网络扫描中被发现,被小毛贼当做通讯设备。通过这个modem,外网人士可以浏览该不良网站,Schwartau说。
这种情况发生的原因在于无人监管,Heirmerl说。
"这种人是不负责任的,"他说,"这些家伙开着塔罗牌网站的系统审计日志,来掩饰他们的行为。他们拥有所有权限,并且毫无责任感。"
反流氓防御:访问和网络管理工具对防御流氓行为大有帮助。SolarWinds' Stephens说。"我们有充分的理由去建立一个管理系统,当有人访问系统时,就会通知你,并且不能修改密码,这样一来你就可以弄清到底发生了啥事"他说,"强大的软件可以让你远离这些事件所带来的烦恼"。
IT流氓管理员3:变态偷窥型
他们拥有通向王国的钥匙,周围没有人的时候,他们会使用这把钥匙。因为他们可以不受限制地访问公司的网络,所以一些毛贼管理员们就会忍不住地去窥视(他们想知道的东西)。
Josh Stephens说,一个与他共事多年的系统官员是他的老朋友,这个管理员因为一直阅读别人的email或者一些比这个更糟糕的行为而被开除了。大约是5年前的一天,Stephens说,他正在为30位高管做一个WebEx演示,并展示SolarWinds' Netflow这个工具是如何让人们能够随时看到网络上的任何用户正在做什么事情。演示中,他随即挑选了一个雇员--一个技术管理员--继而深入该雇员的桌面系统。
"我们看见他正在Monster.com更新他的简历,并开着一个WOW游戏的会话,这个终端服务是通过应该用来进行公司工作的电脑而运行的。" Stephens说,"我以我最快的速度返回,但是所有人还是看到了。我对这个家伙感觉坏透了,但是…之后他很快就离职了。"
纽约计算机技术支持公司CEO,Joe Silverman说,在2009年的时候,因为一个前任IT管理员的纠缠,他到一家公关公司做电脑维修服务。一个雇员远程连接了公司网络,当他以为没有人在办公室的时候,想要偷看一些很有魅力的20多岁女雇员的桌面。他抓取她们的照片,监视她们的日历,并把她们的邮件暗中抄送给他自己。
"他知道她们的时间安排表,所以,他就趁她们吃午饭的时候进入她们的电脑," Silverman说,"如果有人提前回来了,她会看到鼠标光标正自动移动,也许一场拉锯战会由此展开,直到他路上对她们的电脑进行控制。"
Silverman说,通过改变管理员密码,他们成功地锁定了这个IT偷窥狂,并切断了他所有的访问权限--这件事就这么结束了。公关公司的老大并不想追究其责任。
有时候,当极客们变身为流氓,他们的所作所为比你所看到的多多了。大约在8年前,安全管理服务公司NetSec为一个知名杂志社鉴别一个盗贼管理员,NetSec 公司的CEO Ammon说(NetSec在2006年被Verizon收购了。)
该出版物以刊登比基尼美女而知名,并有在线竞选活动,读者可以通过投票来支持那些封面模特。但是,自从雇了一个管理员来管理这个系统以后,整个竞选活动变得完全不同了。
他访问了数据库,其中包含了泳衣模特们的姓名和地址,并进而操纵这个不公平的竞争,从而换取女人们的青睐和性,Ammon说。Ammon现在是Xceedium的首席战略官。他专门提供相关设备,以确保享有特权的用户通过既定方式访问关键系统。直到某位模特跟杂志社抱怨了这件事之后,这位管理员才被发现。Ammon不知道有多少模特接受了这样的条款而没有任何怨言。
"像这种业内人士所带来的巨大挑战是,他们非常聪明,而且非常熟悉你的网络基础设施"他说道,"通过他们自身的职务之便,就可以轻而易举地违反规则,而且他们没有受到任何监管。问题就变成了,谁去监督监督者。"
反流氓防御:不要仅仅依靠背景调查去审查潜在的雇员,Schwartau说,聪明的雇主也需要通过心理测试来了解每个人的动机、癖性和弱点。
"他们是好人还是坏人?"他问,"他们很容被金钱和性所左右?他们做事的底线何在?每一个执法机构都可以做到,但是企业却无法弄清一切以保护自身安全。"
IT流氓管理员4:吃里爬外型
IT管理员控制的不仅仅是系统、网络和数据库;他们往往还能获得商业机密、知识产权和一些企业见不得人的事。一个盗贼可能决定用这些信息获得个人利益、或者从竞争对手那里获得好处,还可以以此来要挟雇主--通常,很少有公司能够去阻止这样的事情。
证明商业间谍是非常困难的。Borland公司发现,在20世纪90年代之后,前副总裁Eugene Wang跳槽到Symantec,据称他带走了很多专利文件。Wang和Symantec的 CEO Gordon Eubanks因盗窃商业机密而被起诉,但是这项指控最后被撤销了。Borland公司状告Wang和Symantec这件案子拖了5年之久,最后双方都同意撤销案件了。
没有太多改变。Heirmerl说,在2005年得时候,他咨询过一个制造业的公司,他们让一个研发部门的工程师下岗了,因为跟他一起工作是一件难以忍受的事。同一天,这个工程师走出了大厦,他开始在这家公司的竞争对手那里工作。三个月后,这个公司的竞争对手发布了一款新产品,这个产品几乎和他们将要在几周后推出的产品一摸一样。
"由于是第二个向市场推出这个产品,那家公司估计他们失去了至少80万美元的订单,"他说,"他们起诉那个工程师,但是他们却无法证明他确实窃取了这个产品的信息。"
"很多时候,虽然这些间谍盗贼窃取信息是为了帮助他们自己开创事业,建立自己的公司,"Ammon说,"比如Sergei Aleynikov的案子,这位前Goldman投资公司的程序员,他从他老板那里偷取了自营交易的算法,在去年12月,Aleynikov被判处10年监禁。"
Ammon说,间谍盗贼有时候也能够成为一个泄密者--像一等兵Bradley Manning,他在2009年的时候向臭名昭著的维基解密情报分析员泄露了20多万份国务院电缆信息。
"无论他是否是被误导的,随着时间的推移,这样的泄密都将是一个巨大的隐患,特别是对于更加开放的新生代IT行业来说。"
反流氓防御:对私人公司的信息进行访问控制,不该知道的不许知道。让那些能够访问到敏感信息的员工签署保密协议,从而来约束他们,即使他们离开了公司,Heirmerl说。这可能不能阻止那些流氓管理员盗窃你的信息,但会让他们三思而后行。
IT流氓管理员5:以牙还牙型
如果一个IT管理员被解雇了,并让他或者她感到不公平的话,随之而来的怨恨及怒火被形容成地狱中的烈焰也毫不为过。这是常见的盗贼管理员的故事--也是最可怕的情况。
多年以前,当他为一个广告公司工作的时候,Troy Davis聘请了一位年轻的系统管理员,因为他被誉为疯狂的Linux大拿。但是,六周后,Troy Davis就让这个一事无成的系统管理员离开了。
"几天后,一个客户打来电话,告诉我们他的网站挂了," Davis说,Davis现在是一家小公司的CTO,这家公司名为 CoupSmart,主要业务是帮助中小型企业在Facebook上做企业营销。"我登上他们的服务器,果然,有关这个网站的所有相关文件都被删除了。"
在对服务器日志进行搜索之后,一些攻击者忘记删除的历史记录浮出水面,里面记录了他的IP地址,登录时间,和完整的shell记录。当Troy联系了服务供应商并提供了IP地址,它证实了最近被开除的管理员正是罪魁祸首。
"当地的警长去探望他,跟他谈了如果公司决定起诉他,那么他所要面临的是怎样的服刑情况。" Davis说,"我们最终失去了这个受到删除事件影响的用户,因为他们不再信任我们了。"
Schwartau说,六年前,他在一个金融公司做顾问的时候,在发现一个数据库管理员正在用公司的电脑袭击他的前雇主的系统之后,他们解雇了这个数据库管理员。问题出在哪里?这个DBA是唯一知道公司数据库密码的人,并且他拒绝交出密码,直到他的老板答应给他写一份好的推荐信。公司妥协了。
"他们可以叫警察,但是他们不想把事情搞大,"他说,"他们想保持沉默,免得其他雇员效仿这个管理员。"
Stephens说他曾经在美国一个重要的电信局工作,当时就解雇过一个违反了人力资源相关政策的网络工程师。
"这个工程师非常清楚接下来会发生什么,所以在被扫地出门之前,他篡改了所有的核心路由器密码并且死不认账。他说,"这真是让人崩溃,我们花了很长一段时间重置一切,并确保他是被隔离在网络外面的。"
但,说起一流的复仇者不得不提到Roger Duronio,他是瑞士银行前系统管理员。由于不满于他所获得的奖金,2002年3月,他在证券交易所的1000台电脑上安装了逻辑炸弹,目的是让它们系统崩溃。然后他卖空了公司的股票,希望关于公司的的负面消息传出去后让股价下跌,进而从中谋利。
"这没有用",Keith J. Jones说,他是Jones Dykstra & Associates公司的高级计算机取证工程师,并且是这个案子的专家鉴定人。他最终给Duronio定罪了。在2006年12月,这位复仇者被判8年监禁并且不能假释。
"如果你公司里面有一个心怀不满的雇员,并且有很高的访问权限,就像Mr.Duronio这类型的,这对公司来说就一个高危风险" Jones说,"IT技术人员一般都是在幕后工作并且毫不起眼,但是你一定要记住他们的力量,他们能够威胁你的公司,如果他们决定当一个复仇者。"
反流氓防御:根据Carnegie Mellon大学的一项研究,多数的内部损失都发生在雇员离开之前的10天内。所以,在准备解雇前,必须要盯紧核心系统,审计系统和密码恢复系统。Ammon说。
更好的策略可能是,将员工的不满放在第一位,Peter Hart说,他目前是Rideau认证方案提供商的CEO,该公司帮助企业提供奖励策略。对IT技术人员来说直观的奖励方式效果更好,甚至可以利用同事的肯定来进行鼓舞,他补充道。
"所有的公司,好的坏的,都不可避免地会遇到这种流氓管理员"他说,"但你可以用一种良好的奖励制度来减少这类事情的发生"。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。