信任同事是人之常情——因为他们曾经和你共饮咖啡,为你公司的垒球队效力,或是在大厅和你打过招呼。内部员工之间的相互信任使得IT管理者将网络安全的工作重心放在了抵御来自外部的威胁。
然而,2002年3月4日发生在瑞士银行潘恩韦伯公司(UBS Paine Webber)的事件证明:这种单方面的内部信任是多么危险。仅仅50~70行恶意代码,造成了大约2,000台服务器瘫痪,全美国有8,000名经纪人无法工作。原告声称这个“逻辑炸弹”是由一名心怀不满的内部员工植入的。IT小组同国际商业机器公司(IBM)彻夜召开电话会议并匆忙重启服务器,尝试恢复已经被破坏的数据。然而,四年过去了,造成的破坏仍然难以修复。
最近,美国新泽西州一家地区法院开始审理的一场诉讼案,正把事故发生的原委和细节和盘托出。罗杰·杜罗尼奥(Roger Duronio)以前是该公司一名系统管理员,他被以从事计算机破坏活动和证券欺诈的罪名起诉。这个案件给IT从业者描绘了一个噩梦般的场景:系统故障迫使至少400名雇员停止手中的工作去寻找问题所在。损失评估和故障修复工作的花费高达310万美元。视不同情况,经纪人在几天甚至数周之内都无法工作。损失的具体后果取决于计算机遭到破坏的程度、办公地点的远近、以及分支机构是否保留了备份磁带。由于后果还在延续,这个现在改名为瑞士银行美国财富管理公司(UBS Wealth Management USA)的企业目前还无法估算商业损失的具体数额。
“破坏性太大了。我们究竟要怎样做才能恢复所有的数据?这对我们公司的影响有多大?” 瑞士银行美国财富管理公司IT部门经理,诉讼第一证人埃尔韦拉·M·罗德里格斯(Elvira Maria Rodriguez)在作证时说道,“如果用1到10来打分的话,那么它的破坏性就是10+(意指超过10分)。”
受到攻击之后的几天,交易仍然在继续。但是受到恶意代码侵害的一些服务器却永远无法完全恢复了,主要原因是大约20%的数据没有备份磁带。罗德里格斯表示,受到攻击之后“这些大型的服务器总是有问题”。据她估计,让所有的服务器都恢复正常大约耗费了一年时间。“我们甚至要学会如何同这些问题共存。”她说。
金钱与报复
原告声称,现年63岁,来自新泽西州波哥大市的杜罗尼奥,通过编写、植入并散布逻辑炸弹,试图删除中央数据中心主机和美国其他分支机构服务器上的所有文件,报复其雇主。初步断定他的动机为贪图钱财和恶意报复。起诉人·G·奥梅利(V. Grady O'Malley)在他的公开声明中表示,杜罗尼奥希望年薪从12.5万美元提高至17.5万美元,并得到一笔最高5万美元的年度奖励。在2002年2月,他得到的奖励额度比期望值少了1.5万美元。
以下是起诉人毛罗·沃尔夫(Mauro Wolfe)宣称的杜罗尼奥犯罪过程:杜罗尼奥在家中利用虚拟专用网络(VPN)连接登录到中央主机服务器,而在此之前的数月杜罗尼奥就已经植入了恶意代码。当发现他所得到的奖励并没有达到自己的期望值时,他便要求公司同他签订一份17.5万美元薪水的合同,否则当天就走人。瑞士银行潘恩韦伯公司没有同他签订合同,杜罗尼奥也被请出了公司。然而此时逻辑炸弹已经被植入,启动时间则设定在2002年3月4日早上9点30分——就在股票市场开盘、交易刚开始的时候。原告在法庭上说,搜查杜罗尼奥住所的调查人员在其家中的个人电脑和梳妆台上的打印件中找到了一些恶意代码片断。
据原告称,杜罗尼奥从个人退休账户中支出两万美元,意图通过购买瑞士银行(UBS)认沽期权(Put Option)的办法牟利,这种方法只有在公司股票11天内大幅下跌的情况下才可能得到回报。奥梅利告诉陪审员:“如果他(杜罗尼奥)没有得到那些奖励,他将给UBS带来一场足以撼动其稳定性的巨大灾难,而这一天同时也将成为他一生中得到回报最多的工资日(Payday)。”尽管遇到攻击,瑞士银行的股票并没有下跌,杜罗尼奥的投资也没有得到回报。
杜罗尼奥的辩护律师克里斯·亚当斯(Chris Adams)则把矛头指向瑞士银行脆弱的安全防护措施。亚当斯是Walder,Hayden & Brogan律师事务所的合伙人。他表示,杜罗尼奥不应该成为这些“既不复杂又相当初级的”代码的替罪羊,这些代码看起来更像是恶作剧。真正的问题在于,他在一份公开声明中写道,瑞士银行的网络充满了安全漏洞,这使得公司容易受到攻击。
亚当斯并不承认这些代码是内部行为,但是他同时也试图说服陪审团相信其他员工也负有责任。瑞士银行IT系统的弱点造成其他人利用杜罗尼奥的用户名和密码在网络中畅行而没有被检测到,亚当斯表示。
亚当斯提到,2002年1月,瑞士银行潘恩韦伯公司通过IT部门的一次内部审查发现,公司的Unix系统以及Sybase数据库软件安全存在问题,特别是涉及密码的环节。亚当斯表示,当时,40名管理员可以使用同一个密码获得Root 权限(注:Root是用户账号之一,拥有服务器的最高权限),这使得系统无法辨明是哪一个Root用户发出了指令。
罗德里格斯作证时曾经提到,在攻击开始后不久,她离开了办公室,在另外一名系统管理员的电脑上使用一个开放的Root账号去监视网络上发生的一切。在被问及公司是否允许管理员走开,并在无人使用的计算机上留下Root权限时,罗德里格斯表示公司没有这方面的规定,但是如果出现这样的情形她也不感到意外。
亚当斯表示,该金融企业在2000年3月对VPN网络进行的一次评估显示,一个已经在使用中的用户名和密码可以同时开启另外一个进程。罗德里格斯则表示,她不能确定攻击发生时是否存在类似问题,但是现在并不存在这种情况。
不眠之夜
攻击引发的灾难性后果是毫无争议的。而且审讯也通过前所未有的视角来审视了一个处于危机中的IT团队。
罗德里格斯负责维护分支机构服务器的稳定运行。当晚,200名IBM技术人员中的一部分被迅速派往公司的各个分支机构,罗德里格斯通过电话会议和这些人员协调。她当晚没有睡觉,整夜都在进行电话会议。像罗德里格斯这样通宵忙碌的员工还有很多。
罗杰夫·哈纳(Rajeev Khanna)在攻击发生时正担任UBS的Unix系统小组经理。在2002年3月4日那天晚上,他同样没有回家。哈纳负责监督系统恢复进程,他连续工作了三天。哈纳的团队对400~500名UBS的工作人员重新进行部署——其中包括应用程序开发员、项目经理、系统管理员、以及数据库管理员——让他们放下正常工作,投入到修复工作中去。“最重要的是让用户能够登录他们自己的电脑。”哈纳在作证时表示,“他们无法登录,就无法提取客户数据,无法进行交易,无法核实市场数据,当然最终也无法进行日常工作。”
问题不仅仅在于那些瘫痪的服务器。系统管理员以及其他IT工作人员蜂拥而入,提出各种问题和建议,使原本就乱作一团的数据中心和升级中心(Escalation Center)更加混乱不堪。一个平常容纳六七个人的房间一上午就聚集了二三十人。到中午,有50个人在已经瘫痪的网络上工作,而仅仅一个小时之后,全国又有数百人受到了影响。
这个问题让IT团队的年度庆祝颇不光彩。为了避免类似事故再次发生,罗德里格斯在接下来的两三年里,每逢3月4日都要提前准备好拦截潜在攻击——采取措施让重要的服务器保持脱机,这样一来,即便潜伏在网络某处伺机攻击的残留代码突然爆发,至少可以保证这些脱机的服务器幸存下来。“我们必须采取措施保证不会再有业务上的损失。”她这样说道。
谨防家贼
内部人员甚至是IT专业人员制造的计算机攻击事件并不罕见。尽管每年变化不大,来自企业内部的攻击和外部攻击几乎同样频繁。然而,内部人员犯案却更具危险性,因为他们拥有相对外部更高的权限,而且事先不会受到怀疑。“企业的系统管理员权利很大,因为这些权利本质上也是他工作的一部分。”伯顿集团(Burton Group)分析师埃里克·麦沃尔德(Eric Maiwald)表示,“就常理而言,你认为他们不会对你造成伤害。如果对他们的管束太多,他们就无法正常工作。”
然而,如果对他们监控不够,不眠之夜将会再次降临。
软件炸弹:仅仅是个玩笑?
巨额损失让瑞士银行“买”回了血的教训:一旦让心怀不轨的内部人员逃过监控,植入了代码,那么由这些代码组成的软件炸弹就能要了企业的命。
“软件炸弹”由看似简单的代码组成,在进行网络犯罪时可能具有异常可怕的破坏力。一个典型的案例就是2002年瑞士银行潘恩韦伯公司(UBS Paine Webber)服务器上被植入的恶意代码最终给企业带来了永久性的伤害。
软件炸弹由触发器和破坏功能所构成,他们几乎无一例外都是由公司内部人员所部署。触发器可以和某个特定时间相关联,或者由某个特定事件的发生与否来开启—例如,炸弹制造者某一天早上没有进行登录,炸弹随即被触发。
与病毒或特洛伊木马那种源自外部的攻击方式不同,软件炸弹往往由具备一定权限的内部人员植入。典型的炸弹破坏功能是删除文件。这些恶意破坏行为唯一缺陷在于代码自身占用了存储空间。如果公司有软件检测流程,那么“体积”越大的软件炸弹就越容易被发现。
软件炸弹困扰IT人员已有数十年时间了。首次发生的案例是在1988年,发生于德克萨斯州沃斯堡(Fort Worth)一家名为USPA&IRA的股票交易公司。炸弹制造者离开公司六个月之后,16.8万条工资记录从数据库中被删除。一名内部员工被定罪,他曾经因为私自使用了一台公司的计算机而遭受了斥责。1992年,英国Chilworth 通信公司的一名员工被指控在1990年9月辞职之前植入了一枚逻辑炸弹。软件炸弹在1990年10月被触发,破坏了重要的文件,造成公司超过5万美元的损失。这名被处罚的员工,仅仅从事了140小时的社区服务,同时支付了6,000美元作为赔偿。
公司可以采取很多措施来排除这些软件炸弹;多数措施是针对工作流程而不是技术手段。赛门铁克安全响应中心(Symantec Security Response)高级主管文森特·伟佛(Vincent Weafer)表示:“软件炸弹通常隐藏于人们的视野之内。”公司必须保证,开发软件和运行测试这个软件的员工不是同一个人。除了对IT员工的犯罪背景进行彻底调查之外,公司应该建立同级评审机制,这样多名程序员就可以了解分析同一段代码的用途。“如果你的产品开发生命周期非常完整,”伟佛表示,“你应该知道都有谁接触过软件代码,他们做了些什么,以及该行为何时发生。”当然,同时还会发现他们试图“植入”的代码。
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]