Davis Lu escondió una ‘bomba lógica’ dentro de la red de su empleador que eliminó los perfiles de activo de directorio de otros empleados cuando su identificación fue revocada. Un desarrollador de software que lanzó bombas lógicas disruptivas dentro de la red de su empleador como un acto de venganza ha sido sentenciado a cuatro años de prisión por un tribunal de Ohio. Según el Departamento de Justicia de los EE. UU., Nacional Chino Davis Lu de 55 años, no estaba contento de que una reorganización de 2018 por parte de la empresa de fabricación eléctrica Eaton Corporation había resultado en su degradación del desarrollador senior. En respuesta, en 2019 Lu comenzó a sabotear los sistemas de la compañía desde adentro utilizando rutinas maliciosas ocultas. El primero, un ‘bucle infinito’, ejecutado el 4 de agosto, lo que hace que Java VMS genere constantemente nuevos hilos hasta que los servidores de producción colgaban o se bloquearon desde el agotamiento de los recursos. Además, Lu ocultó un segundo ataque que encuestó la base de datos de Windows Active Directory (AD) de la compañía para verificar si su perfil de cuenta estaba activo. Si no fuera, una condición cumplida cuando el acceso y el empleo de la red de Lu finalmente se suspendieron el 9 de septiembre, el código «Kill Switch» se ejecutó automáticamente para eliminar los perfiles de otros usuarios de anuncios, bloqueándolos fuera de la red. Finalmente, los registros revelaron que la interrupción había sido ejecutada por la identificación de usuario de Lu desde una computadora ubicada en Kentucky. «El acusado violó la confianza de su empleador al usar su acceso y conocimiento técnico a las redes de la compañía de sabotaje, causando estragos y causando cientos de miles de dólares en pérdidas para una empresa estadounidense», dijo Matthew R. Galeotti de la división criminal del Departamento de Justicia. «Sin embargo, el experto técnico y el subterfugio del acusado no lo salvaron de las consecuencias de sus acciones», agregó. Vea lo que hice un aspecto extraño del caso es que L parece haber hecho poco esfuerzo para ocultar la evidencia de su planificación y acciones, y casi se propuso anunciar su participación por a pesar, lo que lo lleva a ser declarado culpable por un jurado en marzo. Un ejemplo es el nombre que le dio el código de conmutación AD Kill, «ISDLENABLEDINAD», que abrevió la frase «¿Davis Lu está habilitado en Active Directory?» Lu también debe haber sabido que uno de los primeros lugares que los fiscales buscarían evidencia serían sus búsquedas en Internet. Estos revelaron que había «investigado métodos para intensificar privilegios, ocultar procesos y eliminar rápidamente archivos, lo que indica una intención de obstruir los esfuerzos de sus compañeros de trabajo para resolver las interrupciones del sistema», dijo el Departamento de Justicia. Cuando se le pidió a Lu que entregara la computadora portátil de su compañía en septiembre de 2019, debe haberse dado cuenta de que el juego había terminado. Su respuesta fue eliminar los volúmenes encriptados de la máquina mientras intentaba eliminar dos proyectos más directorios de Linux. Según la acusación del tribunal de LU, finalmente admitió la responsabilidad del ataque del 7 de octubre de 2019. Lobos solitarios Es el ataque que cada empresa teme incluso más que los piratas informáticos o una violación de datos: una fuente con habilidades y conocimientos que decide ir rebeldes. Si bien tales ataques siguen siendo excepciones, los que vienen a la atención pública en los casos judiciales siempre hacen que la lectura estresante. El desafío es que los desarrolladores y los administradores deben tener un grado de privilegios para hacer su trabajo. Esto hace que sea inherentemente difícil distinguir el acceso legítimo con un lobo solitario en el alboroto antes de que se haga daño. El caso subraya la necesidad de limitar los privilegios de administración y utilizar la supervisión de registro para monitorear el acceso a tendencias sospechosas. Si se detecta algo extraño, alguien debe estar disponible para intervenir lo más rápido posible. La presencia simple de estos controles también puede actuar como un elemento disuasorio. Sin embargo, las cosas han cambiado enormemente en la última década. Tomemos el caso de Terry Childs, el administrador de la red de San Francisco que se negó a entregar contraseñas de administración al sistema de fibra de fibra de la ciudad, negando a la organización el control del administrador durante 12 días en 2008. ¿Su justificación? Fue el único que sabía cómo administrar el sistema correctamente. Mientras que algunos en el mundo de Sysadmin expresaron su simpatía por los niños, la idea de que un empleado se le debería tener acceso exclusivo a cualquier sistema se sentaría fuera de la corte muy rápidamente hoy. Fundado culpable en 2010, Childs fue sentenciado a cuatro años de prisión y se le ordenó pagar una restitución de $ 1.5 millones. Sin embargo, los ejemplos de abuso aún surgen. Un ejemplo reciente descarado es el caso de Nickolas Sharp, un administrador bien remunerado para las redes ubiquitíes, quien en 2020 robó datos de su compañía, trató de implicar a otros empleados para el robo, y luego extorsionó a la compañía por $ 2 millones para devolver los datos, todo mientras supuestamente realizó una remediación de ataque.