Még július 16-án adta hírül a San Francisco Chronical, hogy a Californiai rendőrség letartóztatta Terry Childst, a San Fransiscó-i városháza rendszergazdáját, mivel blokkolta az intézmény teljes hálózatát. Minden elérhető rendszer jelszavát átírta, a hozzáféréseket megakadályozta. Az okokat még keresik, és az elemzők is értetlenül állnak az eset előtt. A helyreállítási munkálatokat megkezdték, a számla jelenleg 250 ezer dollárra rúg, viszont az összeg még korántsem teljes. A kár a helyreállítási költségeken felül presztízsveszteséget, rengeteg dühös ügyfelet és végletesen lelassult ügymenetet eredményezett az intézménynél.

Az eset megdöbbentő, de ha egy kicsit jobban belegondolunk, könnyen arra a következtetésre juthatunk, hogy napjainkban majdnem minden vállalatnál és hálózatot üzemeltető intézménynél jó eséllyel következhet be hasonló kellemetlenség.

Lássuk az okokat - mi vezethetett odáig, hogy egy felbőszült rendszergazda erre a cselekedetre szánhatta el magát?

° Hibásan tervezett hozzáférési rendszer: van teljhatalommal bíró adminisztrátor.
° Hibás backup: megfelelő backup folyamatok esetén egy visszaállás segíthetné a károk enyhítését (pl. route configok feltöltése új routerekben).

Miként lehetne megakadályozni az ilyen események jövőbeli előfordulását?

° Rendszergazdai feladatok folyamatos monitorozása, auditálása: az adminisztrációs protokollok figyelemmel követése (Shell Control Box).
° 4eyes autorizáció: olyan politika, ami egyetlen személy számára tiltja a bejelentkezést (Shell Control Box).
° Humán kockázatelemzés: a HR-elégedettség mérési eredményeinek összevetése a kulcspozíciókban ülő alkalmazottakkal fontos szerepet tölt be a kockázati tényezőt jelentő IT-feladatkörök feltérképezésében.
° Olyan rendszer bevezetése, ahol nincs egyetlen, teljes jogosultságú rendszergazda.

A sajnálatos affér ismét komoly tanulságként szolgálhat arról, hogy milyen hatalommal bírnak a rendszereket üzemeltető adminisztrátorok. Mindez pedig ismét azt bizonyítja, hogy a rendszergazdai tevékenységet a jövőben már nem lehet kontroll nélkül hagyni.

A hozzászólásokat a szerző a BalaBit IT Security Blog oldalra várja.