Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Poznań: informatyk jednego z urzędów zrobił małego backdoorka w systemie IT. Wyłudził 500 000 zł
„To dobry chłopak był i mało pił” czy jak relacjonuje Wyborcza a zajawia @prywatnik
Maciej był bardzo pomocnym i zaangażowanym pracownikiem. Gdy trzeba było, zostawał po godzinach. Ufaliśmy mu. (…) Przechytrzył wszystkich.
Co się wydarzyło? Akcja ma miejsce w Poznańskim Centrum Świadczeń, zajmującym się wypłatą różnego rodzaju pomocy (świadczenia rodzinne, świadczenia alimentacyjne, świadczenia dla niepełnosprawnych, itp).
Gazeta pisze:
Z informacji „Wyborczej” wynika, że kierownik działu informatyki wiedział jednak, jak obejść system, który sam stworzył.
Chodziło tutaj o wprowadzenie fikcyjnych osób, które niby powinny otrzymywać świadczenia i jednoczesne wyłączenie pewnych walidacji (np. system normalnie nie powinien mieć możliwości dodania osoby z fałszywym PESEL-em). Oczywiście pieniądze przychodziły już na konta prawdziwych (odpowiednio „dogadanych” osób).
Poznańskie Centrum Świadczeń powiadomiło prokuraturę o wyłudzeniu co najmniej 500 000 zł.
Co doradzamy z naszej strony? Zastanowienie się nad pewną właściwością systemów IT, którą nazywamy rozliczalnością. Każda operacja wykonywana na systemie (czy to odczyt czy zapis danych) jest odnotowywana w osobnym miejscu, do którego nie mają dostępu administratorzy systemu IT. Nieco upraszczając każdy system IT (np. banku) ma administratora, który np. ma dostęp do centralnej bazy danych. Czy taki administrator może po prostu „zapuścić” sobie UPDATE w SQL zwiększając saldo na rachunku? Może, choć taka operacja powinna być odnotowana, a systemy antyfraudowe powinny to wykryć.
Bardziej po ludzku – to cała historia to znakomity przykład jak może skończyć się budowanie systemów IT z pełnym dostępem, bez specjalnej dodatkowej kontroli, dla jednego super-admina. Zazwyczaj dobrze, dopóki coś mu się nie stanie lub nie postanowi trochę dorobić…
–ms
Piękne. Tylko jako w urzędzie zrealizować roziczalność jak ich stać na jednego admina który naprawia drukarki, stawia PCty i administruje SQLem. Kto ma kontrolować zapisy w systemie zapewniającym rozliczalność? On sam w ramach kontroli wewnętrznej (autokontroli). Czy pani Krysia która może wie gdzie kliknąć?
Jak będzie więcej takich case-ów, to będzie ich stać :-) Zauważ też że cała akcja trwała latami, i nie wiadomo ile takich historii jest cały czas realizowanych.
jestem full stack pracownikiem w urzędzie (sysop-devop), nie wyobrażam sobie mieć kogoś nad sobą i niby w jakiej formie, szczególnie w systemach mieszanych. I niestety sekuraku, nie będzie ich stać, nie na niskim i średnim szczeblu.
czy nie będzie stać to się okaże, kiedyś nikogo nie było stać na jakiekolwiek zabezpieczenia IT (bo przecież nikt nie atakował :)
Niestety nie ma znaczenia czy urzędy stać czy nie (ostatecznie to podatnicy płacą za to). Urzeom na tym nie zależy i śmiem twierdzić że długo nie będzie zależeć. Pracowałem w administracji i raportowalem wiele podatności krytycznych na wyższym szczeblu a w odpowiedzi dostawalem info ze jak ktoś tego użyje to go znajda. Tak było przez długi czas.
Admin myślał, że jest bogiem aż przyszedł elektryk…
Raczej powinno być… Aż przyszedł wazeliniarz! Bo admin traktujący poważnie swoją pracę, to posiada również uprawnienia elektryczne przynajmniej do 1 kV, uprawnienia gazowe i energetyczne! Poza tym zna się na topologiach przyłączy, od kabla miedzianego dwużyłowego, poprzez światłowody do zespołów nadajnik-odbiornik z różnym medium transmisji. Admin to również analityk, koder, serwisant sprzętu komputerowego i na dokładkę administrator serwerów czy węzłów sieciowych. Tak wykształcony admin dopiero zaczyna być informatykiem! Reszta, czy im się to podoba czy nie podoba, to tylko specjaliści z wąskich dziedzin nauki zwanej informatyką. Jako firma wolę mieć trzech takich informatyków niż specjalistów od grafiki komputerowej, którzy ukończyli informatykę i wciskających kit, że są informatykami! A w rzeczywistości ich informatyka, sprowadza się do zdobytego wykształcenia w zakresie posługiwania się zaawansowanymi opcjami oprogramowania graficznego! Ale takich „informatyków” najczęściej mają w tej polskiej budżetówce! Najważniejsze aby był znajomy kogo trzeba, reszty nauczy się w pracy.
No właśnie, proceder trwał latami, biorąc pod uwagę przeciętna stawkę doświadczonego admina wraz ze wszystkimi skladowymi stanowiącymi koszt zatrudnienia przez pracodawcę, pol miliony budżet może okazać się zbyt mały. I tutaj pytanie, czy lepiej zaryzykować i oszczędzić na zasobach ludzkich, wystawiajac się na ryzyko fraudu.
Oczywiście przydałoby się jednocześnie wdrożyć dużo innych zabezpieczeń, które swoje kosztują, takze ostatecznie wielu zdecyduje się jednak zaryzykować.
Jak to było 500 tysi przez wiele lat to zdecydowanie taniej niż zatrudnić ludzi co wiedzą jak to robić po normalnych stawkach rynkowych. Też teraz będzie można tych pieniędzy dochodzić. Za to trzebaby doliczyć koszty systemu sądownictwa i karnego i tu już się robi pewnie mniej opłacalnie.
Powinno być bo taki urząd powinien mieć wprowadzone KRI a tam w oparciu o iso20001 powinny być zachowane zasady rozloczalnościi systemu it
A kto taki system napisze? Za darmola? Minęły czasy, że dla „fun’u” soft pisali informatycy zatrudniani na etacie urzędu! Dzisiaj urząd „musi” zrobić przetarg, ponieważ tak zadbał o zatrudnienie „kuzyna królika”, że softu nie ma kto napisać, takie tuzy informatyczne teraz są na rynku! Możliwe,że sam przetarg jest ogłaszany z bardziej prozaicznego powodu… Tam gdzie przetarg na inwestycję płacona z kasy budżetowej, tam walka o wygranie przetargu… A tam gdzie walka o przetarg, tam zawsze jak coś wycieknie, to coś skapnie… Tak to wygląda dzisiaj!
Wystarczy dobra księgowa, która połapie się że coś jest nie tak w rozliczeniach, a nie tabuny informatyków w poszczególnych wydziałach kontroli wewnętrznej, czy też siedziby firmy. Cała sprawa dotyczy informatyka który okazał się nieuczciwy. Skoro jednemu nie można zaufać, to czemu miałbym zaufać kolejnym którzy mają go kontrolować, skoro i z nimi może się dogadać i odpalić działkę ?
No ale faktycznie, skoro nie można zaufać, to porobić wydział 40 speców od bezpieczeństwa IT którzy wzajemnie się kontrolują, wtedy kradzież pieniążków będzie nieopłacalna, bo będzie za dużo osób do podziału ;)
Przeczytałeś w ogóle artykuł? Co ta księgowa miałaby niby zobaczyć, skoro w rachunkach wszystko się zgadza? Jest człowiek wprowadzony w bazie danych, należy mu się świadczenie, świadczenie jest wypłacane co miesiąc.
Jak latami, to może się okazać, że to 500k wyszło taniej niż drugi etat :D
Nie będzie ich stać dopóki nie będzie zaksięgowanej straty. A nie ma i nie będzie bo zadziałała rozliczalność – troche na innym poziomie, poza systemami IT :) Drugi przypadek – fraudy nie wykryte nie dają wystarczającej motywacji do zmiany.
To i tak saldo urzędu wychodzi na plus ;:)
Najpierw trzeba by zaczac od narzucenia odgornie audytowania zewnetrznego, aby wykryc takie przypadki. Wtedy mozna takich gosci wykryc.
Ale racja, ze im wiecej takich case’ow tym lepiej – zwieksza to swiadomosc, gdzie potencjalnie uciekaja pieniadze socjalne i nietylko. Do tej pory wiele urzedow jest daleko w tyle z informatyzacja oraz poprawnym zabezpieczaniem systemow. Niby weszly w XXI wiek, ale wciaz tego nie widac tak do konca.
Jak wspomniles sekuraku powyzej – brak systemu antyfraudowego… i pewnie nie tylko tego… :)
Tak, tak, narzucenie odgórne audytu… Zapytaj w sekuraku ile kosztuje pełny test bezpieczeństwa z testami penetracyjnymi. Budżet roczny na zakup sprzętu nie jednego urzędu czy szpitala jest mniejszy. Kto pracował w IT w budżetówce w cyrku się nie śmieje.
Wszyscy wiemy co powinno być zrobione, życie weryfikuje możliwości.
to jest o tyle tricky, że audyt mógłby niewiele dać -> bo jest admin / twórca systemu który nagle coś zmienia i już po audycie..
System antyfraudowy. Jakbyś powiedział takie słowa w urzędzie, to nikt by ich nie zrozumiał. Państwo niby jest największą korporacją, ale nie działa jak korporacje. Właściwie to w ogóle nie bardzo działa.
Oczywiście w świecie idealnym. W realnym „wliczy się w podatki” straty powiedzieć „stało się” zamiast przyzwoicie zapłacić i przewidzieć takie sytuacje.
Jednak strony w średniej wielkości organizacjach komercyjnych a nawet „korpo” bardzo często znajdzie się pojedyncze ogniwo procesu nie podlegające kontroli które może okazać się tym słabym punktem.
Przykład prawie analogowy – księgowa przygotowująca płatności wprowadzała „błędny” numer rachunku. Nie sposób, żeby potem, przy średnich kwotach ktoś je wszystkie kontrolował. Niestety, praktycznie wszędzie gdzieś nadużycie pojedynczej osoby może być brzemienne w skutkach.
Case będzie taki, że zatrudnią wnuczka Pani Krysi. „Zatrudniliśmy kiedyś obcego – miły, dzień dobry mówił, a zdefraudował nam pół miliona. Trzynastkę nam zabrali, a nikomu tutaj się nie przelewa. Potrzebujemy kogoś zaufanego, bliskiego naszej urzędowej rodzinie.”
Bzdura ! Kiedy wejdziesz np na cybernonsense24 to widać potęgę państwa w dziedzinie cyber.
Jeszcze nie doszliśmy do etapu w którym potęga cyber będzie akcentowana w każdym wydaniu wiadomości, ale to dopiero początek trzeciej kadencji i jeszcze wiele sukcesów nas czeka.
Jeśli ktoś twierdzi że jeden informatyk i to po studiach i to polski informatyk nie jest wstanie zapewnić czegokolwiek to znaczy że jest opozycji totalnej.
Jeden polski informatyk to 10 informatyków Amerykańskich !
Hahaha jeden Polak i do tego po gownianych polskich studiach to jest gorszy od cygana po podstawówce i nawet do kostek nie dorównuje informatykowi z Ameryki czy chociaż z Izraela lub Niemiec
Może i tak jest, ale tej jeden w sumie i tak będzie amerykański, bo tam wyjedzie za kasą! To czym tu się chwalić?
Pani Krysia nie musi zajmować się adminowaniem systemów informatycznych, w większych i mniejszych urzędach miasta czy gmin są działy IT z kilkoma osobami. Dodatkowo w całym kraju funkcjonują tzw. CUI czyli „Centrum Usług Informatycznych”.
Wpisz w googlach: „Wydział informatyki urzędu miasta ” lub „CUI „, ostatecznie wejdź na BIP miasta i przestań gadać kocopoły. To że tam siedzi grono znajomych królika lub tych co w prywatnym sektorze nie mieliby szans, to co innego. Ludzie są, hajs tam płynie, po prostu trzeba z tego korzystać i tak jak pisze redakcja, po kilku wpadkach może w końcu zadbają o to.
Mieli 'co najmniej 500 000 zł’ na poszerzenie personelu, ale popłynęło :P
Nie będzie , wrócą do papierów ;)
Musiał mieć niezłe dane, bo zbiory centralne ze świadczeń są wysyłane raz na miesiąc albo kwartał. Można by to wykryć na poziomie centrali.
Poligraf na etapie rekrutacji, potem regularne badania lojalnościowe a na końcu w razie potrzeby badania wykrywcze. Problem z głowy.
I proszę nie jęczeć „kto by u nas pracował”? Odpowiadam – uczciwi.
Wielu uczciwych nie lubi, jak się ich z góry traktuje jak podejrzanych. I tacy pójdą do firm, które nie będą traktować ich z iście leninowską nieufnością. Zostaną owszem, uczciwi, ale tacy którzy w poważnych firmach nie mają co szukać, bo są merytorycznie słabi. Czyli będzie tak jak teraz.
I tu masz rację! Ale, że zacytuje jednego z kierowników działów w firmie w której pracowałem dawno temu… Na moje zastrzeżenia, że określony scenariusz może się wydarzyć, a firma nie jest przygotowana na usuwanie skutków takiego scenariusza, usłyszałem „Pan ma apokaliptyczne wizje”! No i już tam nie pracuję, a pracuje ludzik, któremu wystarczała tylko pensja co miesiąc i uczestnictwo w przetargach. Może kiedyś budżetówka odpowie finansowo za wszystkie wyrzucone w błoto finanse na inwestycje bez logistycznego i logicznego powiązania! Wystarczy tylko rozliczyć w oparciu o ustawę o dyscyplinie budżetowej. Może być wesoło dla wielu dyrów budżetówek i dla wielu takich co mienią się informatykami!
I tutaj widzę coś co niestety jest tez widoczne w innych firmach, z większym IT. Ktoś z biznesu stwierdza, że „będziemy coś robić” nie zastanawiając się czy mamy do tego wiedzę, budżet, personel, szeroko rozumiane możliwości. I potem biedne IT musi jakoś sobie z tym radzić i kleić to wszystko na bieżąco.
W tym wypadku ktoś decyzyjny stwierdził, że urząd będzie funkcjonował chociaż nie było ku temu możliwości – odpowiednio zbudowanego IT. No i efekt jest jaki jest.
Jestem ciekaw czy Wy też macie podobne doświadczenia.
Tu nie chodzi o IT, tylko o pieniądze.
Banki jako częsty cel ataków lepiej sobie z tym radzą bo liczą pieniądze, zwłaszcza drukują czasem różne raporty i sami sprawdzają.
Oczywiście to chyba nie pomoże jeśli sam szef wszystkich oszukuje ze sprawdził, ale czasem przypadkowo ktoś wpada.
Rozwiązanie jest banalnie proste. Badania poligraficzne na etapie rekrutacji, potem w trakcie trwania umowy regularne badania poligraficzne lojalnościowe i w razie potrzeby badania poligraficzne wykrywcze. Uprzedzając pytanie – „a kto by u nas wtedy pracował?” odpowiadam – uczciwi.
haha, wykrywacz kłamstww na stanowisko z pensją 3 000. Ogarnij się.
Cóż, jakby nie patrzeć gratki za inwencję twórcza. Szkoda, że to nie „Catch me if you can”, gdzie ten zły finalnie przechodzi na „jasną stronę mocy” i za dobrą „monetę” doradza głupszym od siebie jak drugi raz nie popełnić takiego błędu.
Ja bym poszedł w regularne audyty :)
Taka bieda-polityka kadrowa instytucji publicznych. „Informatyk” w takich instytucjach jest niejednokrotnie panem od tonerów, PC-tów i administratorem kluczowych systemów. Jest tak wiele przypadków defraudacji, że jest to aż dziwne, że instytucje publiczne nie zweryfikowały swej polityki kadrowej w zakresie IT, gdzie obsługę sprzętu może wykonywać ktoś o niższych kwalifikacjach (technik) a administracja systemami mogłaby być zespołowa z obowiązkiem kontrasygnowania kluczowych operacji i dodatkowym np dwuosobowym zespołem bezpieczeństwa IT w wydziałach kontroli wewnętrznej które każdy urząd posiada lub posiada instytucja nadzorująca pracę urzędu.
„administracja systemami mogłaby być zespołowa z obowiązkiem kontrasygnowania kluczowych operacji i dodatkowym np dwuosobowym zespołem bezpieczeństwa IT w wydziałach kontroli wewnętrznej”
hahahahahahahaha
W urzędzie to informatyk mówi kontrolerowi wewnętrznemu co ten ma kontrolować i napisać :)
Aż dziwi że pracował za 2250 skoro udowodnił że potrafił to „ogarnąć” – bo takie stawki są oferowane w tych instytucjach
wprowadzenie i utrzymanie systemu kontroli może być znacząco wyższe niż te 500kpln, w szczególności jak się weźmie pod uwagę jak długo trwał ten cały proceder
Tylko, że on był nie tylko adminem, ale tez współtwórcą tego systemu
Ahh te oszczędności.. widać dużo zaoszczędzili i nic dziwnego, że się budżety nie zamykają :D
Przecież w takich instytucjach oszczędza się na wszystkim począwszy od sprzętu przez oprogramowanie a na końcu na ludziach. To nie ABW, wywiad czy inne służby. Oskarżony stworzył system za który pewnie dużo więcej by dostał pieniędzy gdyby występował nie jako pracownik ale jako firma. Za poprawki pewnie nic nie dostawał. Ja tu widzę chęć zemsty niż chciwość. Można powiedzieć że pobierał sobie pieniądze za utrzymanie swojego systemu. Ciekawe co teraz zrobią jak prawdopodobnie jedyna osoba która jest w stanie to ogarnąć będzie za kratami.
Nie jestem pewien ale chyba nie mogą go wsadzić: prawnie (chyba) kod źródłowy jest jego bo urząd miał dostęp do systemu a nie kodu, przekompilowanie do kodu i próba przepisania baz danych jest czasochłonna i nieopłacalna a i pewnie za przepisanie tego wszystkiego FIRMA wzięła by z milion więc chyba go zwolnią za bardzo dobre opinie i poproszą o rozwijanie lub przekompilowanie bazy (oczywiście o ile ta nie jest napisana w znanym typie bazy bo jeżeli tak to chyba to nie jest duży problem)
A i jeżeli ten gość jest naprawdę tak dobry to sobie tylko reklamę zrobił, znajdzie dobrze płatną pracę i będzie brał z te 10-20 000.
„Polacy nic się nie stało”. Kawałek piosenki. Cały kraj rozkradli, i nikt nie poszedł siedzieć? A on po parę złotych dokładał do wypłaty. Pytanie?
Ile powinni zapłacić? A ile płacili? JEST TAKIE POWIEDZENIE. Chytry dwa razy traci. Po-chytrzyli, to i stracili. Jakoś ,nie jest mnie ich żal.
Tak. Tylko kto skontroluje kontrolującego?
nie da się zminimalizować ryzyka do 0, ale to nie znaczy że nie warto go minimalizować :-)
Pierdzielicie głupoty. Najpierw, to trzeba zadbać o to, by rodzice tłumaczyli dzieciom, że nie można koledze z piaskownicy zabierać samochodzików. Potem dawanie przykładu, że nie wolno kraść ani „pożyczać” czy „przynosić z pracy”. Wtedy ludzie są uczciwi. Na nieuczciwych – zwiększyć kary. Nie tylko analityk, alei i złodziej również szacuje ryzyko.