The story goes a little something like this. A developer at a US-based critical infrastructure company, referred to as “Bob,” was caught last year outsourcing his work to China, paying someone else less than one fifth of his six-figure salary to do his job. As a result, Bob had a lot of time on his hands; in fact, during the investigation, his browsing history revealed this was his typical work day:
Câu chuyện bắt đầu như sau. Một lập trình viên tại một công ty lớn có trụ sở tại Mỹ, được biết đến với cái tên "Bob", đã bị bắt quả tang outsource công việc của chính mình ra Trung Quốc, bằng cách trả số tiền khoảng gần 1/5 lương một năm (mức lương lên tới 6 chữ số) để ai đó làm thay toàn bộ công việc của mình. Nhờ đó, Bob có rất nhiều thời gian rảnh; trong thực tế, qua quá trình điều tra, lịch sử truy cập cho thấy một ngày "làm việc" tiêu biểu của anh chàng này như sau:
▸9:00 a.m. – Arrive and surf Reddit for a couple of hours. Watch cat videos.
▸9h sáng - Tới công ty và lướt Reddit trong vài giờ. Xem video mèo.
▸11:30 a.m. – Take lunch.
▸11h30 - Ăn trưa.
▸1:00 p.m. – Ebay time.
▸1h chiều - Lướt Ebay.
▸2:00 – ish p.m Facebook updates – LinkedIn.
▸2h chiều - Cập nhật Facebook - LinkedIn.
▸4:30 p.m. – End of day update e-mail to management.
▸4h30 chiều - Gửi mail báo cáo công việc tới quản lý.
▸5:00 p.m. – Go home.
▸5h chiều - Đi về nhà.
Again, I want to emphasize that I haven’t invented this schedule for the sake of making this story more interesting or to have a snazzy headline. This comes straight from Verizon; take that as you will.
Một lần nữa, tôi muốn nhấn mạnh rằng tôi không hề "chế" ra thời gian biểu này để làm câu chuyện thêm phần thú vị. Thông tin này được lấy trực tiếp từ Verizon; bạn muốn nghĩ sao thì tùy.
Apparently Bob had the same scam going across multiple companies in the area, earning “several hundred thousand dollars a year,” and only paying the Chinese consulting firm “about fifty grand annually.” At the current company, he apparently received excellent performance reviews for the last several years in a row, even being hailed the best developer in the building: his code was clean, well-written, and submitted in a timely fashion.
Có vẻ như Bob đã sử dụng cùng chiêu lừa như vậy qua nhiều công ty khác nhau trong vùng, nhờ đó kiếm được "700 ngàn USD mỗi năm", và chỉ phải trả cho phía công ty Trung Quốc "khoảng 50 ngàn USD cho một năm". Tại công ty hiện tại, anh ta còn được đánh giá là có hiệu suất làm việc xuất sắc liên tục trong những năm cuối cùng (trước khi bị đuổi việc), thậm chí còn được tuyên dương là lập trình viên giỏi nhất công ty: code của anh ta sạch sẽ, viết rất tốt, và luôn được commit đúng thời hạn.
Apparently the scheme was discovered accidentally. Verizon received a request from the US company asking for help in understanding anomalous activity it was witnessing in its VPN logs: an open and active connection from Shenyang, China.
Có vẻ như mọi việc được phát hiện ra một cách tình cờ. Verizon nhận được yêu cầu từ một công ty Mỹ nhờ trợ giúp để tìm hiểu một hoạt động bất thường được ghi lại trong hệ thống log VPN: một kết nối mở hoạt động từ Thẩm Dương, Trung Quốc.
This was alarming because the company had implemented two-factor authentication for these VPN connections, the second factor being a rotating token RSA key fob. Yet somehow, although the developer whose credentials were being used was sitting at his desk staring into his monitor, the logs showed he was logged in from China.
Điều này đã gây sự chú ý bởi vì công ty này đã áp dụng bảo mật hai lớp cho các kết nối VPN, lớp bảo mật thứ hai là một token RSA. Và không hiểu bằng cách nào, dù cho người lập trình viên sở hữu các lớp bảo mật này đang ngồi ngay tại bàn làm việc ở Mỹ, nhưng các log lại cho thấy anh ta đang đăng nhập từ Trung Quốc.
This unnamed company initially suspected some kind of unknown (0-day) malware that was able to initiate VPN connections from Bob’s desktop workstation via external proxy, route that VPN traffic to China, and then back. When Verizon investigated, it eventually noticed that the VPN connection from Shenyang was at least six months old, which is how far back the VPN logs went, and it occurred almost daily and occasionally spanned the entire workday.
Công ty này ngay lập tức nghi ngờ đây là một loại malware nào đó có khả năng khởi tạo kết nối VPN từ máy trạm của Bob thông qua proxy ngoài, định hướng kết nối đó tới Trung Quốc, và ngược lại. Khi Verizon điều tra, họ phát hiện ra kết nối VPN từ Thẩm Dương đã tồn tại ít nhất 6 tháng, đồng nghĩa với việc có rất nhiều log VPN đã được ghi lại, và các hoạt động này xảy ra hàng ngày, một cách thường xuyên trải dài trong cả ngày làm việc.
At this point, it came pretty clear, Verizon decided to look more closely at Bob, since it was his credentials that were being used. Here’s how they describe him briefly:
Tới đây thì mọi việc đã gần như rõ ràng, Verizon quyết định tìm hiểu kỹ hơn về Bob. Và sau đây là mô tả ngắn gọn về anh ta:
Employee profile –mid-40’s software developer versed in C, C++, perl, java, Ruby, php, python, etc. Relatively long tenure with the company, family man, inoffensive and quiet. Someone you wouldn’t look at twice in an elevator.
Hồ sơ nhân viên - một lập trình viên phần mềm khoảng 40 tuổi biết sử dụng C, C++, Perl, Java, Ruby, PHP, Python v.v... Là nhân viên chính thức của công ty đã tương đối lâu, là một người đàn ông của gia đình, không làm mếch lòng ai và ít nói. Là một người mà bạn sẽ không bao giờ nhìn lại lần thứ hai nếu gặp trong thang máy.
All it took was a look a forensic image of Bob’s desktop workstation to discover hundreds of PDF invoices from a Chinese consulting firm in Shenyang. How did he get around the security requirements? He physically FedExed his RSA token to China.
Người ta còn phát hiện ra trong máy tính của Bob chứa hàng trăm file PDF hóa đơn từ một công ty cố vấn ở Thẩm Dương. Làm cách nào mà Bob có thể qua mặt được các rào cản bảo mật? Anh ta đã gửi trực tiếp token RSA thông qua dịch vụ chuyển phát nhanh FexEd thẳng tới Trung Quốc.
Loading...