Всі обожнюють круті історії про помсту великим корпораціям. Але інженер-програміст, який використав свої навички проти колишнього роботодавця, дізнався на власному досвіді, що ні правоохоронні органи, ні його колеги не вважають помсту такою ж захопливою, як Голлівуд. Насправді це принесло йому чотири роки в’язниці.
Інженером, про якого йдеться, є Девіс Лу. Він працював у компанії Eaton Corporation цілих 12 років. Це величезна організація, на яку працюють понад 92 000 людей по всьому світу — і, очевидно, Лу вважав, що компанія має дуже пошкодувати, якщо він коли-небудь буде змушений шукати нову роботу.
Отже, за місяць до свого звільнення він підготував логічну бомбу з коду — і як тільки обліковий запис Лу було вимкнено, скрипт автоматично заблокував усі доступи колег до сервера, а сам сервер почав знищуватись зсередини через “вічні цикли” (у цьому випадку код, призначений для виснаження потоків Java шляхом повторного створення нових потоків без належного завершення, що призводить до збоїв або зависання серверів).
Досить вражаюче, що Лу знайшов спосіб налаштувати цей kill switch, не викликавши підозр. Однак він, схоже, не має природної схильності до підступності — Департамент юстиції повідомляє, що функція, яка використовувалася для активації вимикача, називалася “IsDLEnabledinAD” — “чи увімкнений Девіс Лу в Active Directory” — і була “автоматично активована, коли його звільнили та попросили здати свій ноутбук.”
Тож, звісно, Лу спіймали, заарештували, судили та визнали винним. Тепер він проведе 4 роки у в’язниці та 3 роки під наглядом за найгірший злочин, пов’язаний з Java та Active Directory з моменту винаходу Java та Active Directory, при цьому Департамент юстиції заявив, що логічна бомба “вплинула на тисячі корпоративних користувачів по всьому світу”, перш ніж хтось в Eaton знайшов спосіб відновити системи.
“Крім того, в день, коли йому наказали здати корпоративний ноутбук, Лу видалив зашифровані дані,” — заявив Департамент юстиції. “Його історія пошуку в інтернеті показала, що він досліджував методи підвищення привілеїв, приховування процесів та швидкого видалення файлів, що вказує на намір перешкодити зусиллям своїх колег з вирішення системних збоїв.” (Хоча слід зазначити, що це були його колишні колеги.)
Очевидно, висновок з цієї історії полягає в тому, що помсту краще залишити вигаданим персонажам та кінематографу. Це точно не означає, що будь-хто, хто хоче встановити логічну бомбу, повинен, мабуть, зробити так, щоб код перевіряв кількох користувачів в Active Directory та спрацьовував через випадковий проміжок часу після того, як одного з цих користувачів більше немає в системі, або що дослідження способів саботажу мережі колишнього роботодавця вимагає принаймні режиму інкогніто.
Що таке логічна бомба?
Логічна бомба — це тип шкідливого програмного забезпечення, яке залишається бездіяльним у системі до тих пір, поки не відбудеться певна подія або умова. У випадку Девіса Лу “бомба” була запрограмована спрацьовувати при видаленні його облікового запису з Active Directory корпоративної системи, що автоматично відбулося при його звільненні.
Цей інцидент служить суворим нагадуванням про важливість кібербезпеки на робочому місці та потенційні наслідки зловживання привілейованим доступом до корпоративних систем.
