Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 74 reacties

Een voormalig systeembeheerder van Medco Health Solutions heeft een gevangenisstraf van dertig maanden en een boete van tachtigduizend dollar gekregen wegens sabotage van computersystemen.

De straf die de ex-systeembeheerder Yung-Hsun Lin in het vonnis kreeg opgelegd was uitzonderlijk hoog, aangezien de gegevens die de man probeerde te wissen zeer gevoelig waren. De voormalige werkgever van Lin verwerkte farmaceutische gegevens van particulieren. Aangezien artsen de Medco-database raadplegen bij het voorschrijven van medicatie, werd voor de hoge straf gekozen.

Yung-Hsun Lin probeerde in oktober 2003 een zogenaamde logic bomb te plaatsen bij zijn toenmalige werkgever. Doel was om de gegevens op ruim zeventig HP-Unix servers te wissen, omdat hij verwachtte dat hij op korte termijn ontslagen zou worden. De 'bom' zou op zijn verjaardag, 23 april, in 2004 moeten afgaan, maar weigerde door een programmeerfout dienst. Hoewel hij zijn baan op dat moment nog niet kwijt was, herprogrammeerde Lin zijn software om een jaar later af te gaan. Een paar maanden voor die datum ontdekte een collega-systeembeheerder de software echter waarna de bom ontmanteld werd.

Moderatie-faq Wijzig weergave

Reacties (74)

Wel mooi voor dit bedrijf dat ze niet door een gestoorde systeembeheerder ten gronde worden gericht.

De 'bom' zou op zijn verjaardag, 23 april, in 2004 moeten afgaan, maar weigerde door een programmeerfout dienst.

Een echt heel groot talent is het dus niet.

Het lijkt me dat z'n werkgever terecht van 'm af wilde. :)

Lin allegedly programmed the so-called bomb to do its work on April 23, 2004--his birthday--but because of a coding error, it failed to detonate. He later modified the coding so that it would deploy on April 23, 2005, but another computer administrator happened to stumble upon the program in January 2005 and "neutralized" it, the indictment said. ~ C.net/News.com

Blijkbaar ontdekte de collega de "bom" niet zomaar, maar was 't gewoon dom toeval dat ie er plotsklaps tegenaan liep. Ik denk dat de directie van dit bedrijf grote twijfels mag hebben over de competenties op hun ICT afdeling.

[edit]

Je moet trouwens wel een grote hekel aan je baas, het bedrijf en je collega's hebben, wil je willens en wetens terwijl je er nog gewoon werkt en je ontslag niet door is gegaan een "bommetje" planten. :/

[Reactie gewijzigd door houseparty op 9 januari 2008 19:40]

De 'bom' zou op zijn verjaardag, 23 april, in 2004 moeten afgaan, maar weigerde door een programmeerfout dienst.

Een echt heel groot talent is het dus niet.
Hij was dan ook een systeembeheerder en geen programmeur. ;)
Een beetje systeembeheerder moet zo'n scriptje wel kunnen schrijven hoor. ;)
Het eerste wat Amerikanen van kindsbeen krijgen ingepeperd, is respect voor (de) overheid, welke vorm dan ook. Door dat respect heten bijvoorbeeld de beheersorganisaties voor gewone stadsbussen of veerdiensten 'Transport Authority' of 'Port Authority'.

Het tweede wat Amerikanen krijgen ingepeperd van in hun jeugd, is dat werken, je job, het hoogste goed is. Werken, werken en nog eens werken.

Eén van de redenen waarom elkeen zo tuk is op werken, is wegens het povere sociale opvangnet indien werkloos. Sociale uitkeringen zijn kort en laag. Voor New York bijvoorbeeld, bedraagt een Wellfare uitkering voor een alleenstaande $1300 per maand. Lijkt veel, maar men moet weten dat in Lower Manhattan of de Lower East Side een kleine studio al gauw $2500 per maand gaat kosten. Zelfs in minder begoede wijken zoals Harlem, The Bronx of Brooklyn, zit men makkelijk aan $1500/maand voor een piepklein optrekje. Hostels zijn goedkoper ($150 tot $300 per week), maar de verblijven aldaar zijn meestal 'cubicels' zonder de minste privacy.

Het is dan ook zo, dat menige werklieden licht paranoïde worden bij de minste geringste mogelijkheid op jobverlies. Sommige van die lui gaan dan al snel rare dingen verzinnen om ofwel hun werk te behouden of om wraak te nemen op de baas of firma voor dewelke ze werken.

In de USA hebben, bijvoorbeeld, de meeste banken contracten lopen met firma's die gespecialiseerd zijn in het kraken van computers en netwerken. Banken laten hun beveiligings systemen moedwillig binnendringen door die gespecialiseerde bedrijven, om zo hun beveiligings systemen bij te werken.

In de IT sector blijkt men dit niet nodig te vinden, en is bijgevolg de beveiliging niet echt je-dat.

Bij de heer Lin zat er blijkbaar een IC-tje los, of het IC-tje is losgekomen in de periode dat ie bij het bedrijf werkte. Normaal gesproken zou niemand het in z'n malle hoofd halen om zoiets uit te spoken, maar in de IT sector, en meer bepaald in de USA, is nu eenmaal alles mogelijk.


JJ
Lijkt veel, maar men moet weten dat in Lower Manhattan of de Lower East Side een kleine studio al gauw $2500 per maand gaat kosten.
Was het maar zo'n feest. In Manhatten is niks meer te krijgen voor die prijs. Er is nog een select aantal die die prijs betaald, omdat ze er al wonen sinds de tijd dat het nog zo 'goedkoop' was. Maar zodra er zo'n studio/condo vrijkomt is ie automatisch van een of andere rijke kerel en betaal je voor hetzelfde studio'tje opeens een paar miljoen dollar aanschaf. (er vanuit gaande dat je 36 hoog zit en 15m² heb. Anders kan je de prijs per verdieping (lager) verdubbelen ongeveer)
Eens even iets totaal terzijde:

Ik had het over de laagste huurprijzen. Jackson Heights en The Cloisters in Spanish Harlem: $2800 tot $4000 per maand voor een gerenoveerd 1-bedroom app. In de buurt van The Bronx Zoo: idem. TriBeCa (Triangle Below Canal), idem. Canal Street, Greenwich Village, Chelsea en de Chelsea Piers: $2800 tot $6000 per maand. Battery City in Battery Park (Financial district/WTC): $4000 tot $10000 per maand. 6th Avenue (nu Avenue Of The Americas) ter hoogte van Bryant Park (New York Library op 42nd Street): $6000 tot $15000 per maand.

Ter vergelijking: rond Central Park, van pakweg Columbus Circle tot West 110th Street en aan de andere kant aan de 'Museum Mile' zit je aan prijzen van ongeveer $25000 tot $80000. Per maand, hé.

Ga je daarentegen naar bijvoorbeeld Greenpoint in Brooklyn, net tegenover Roosevelt Island, of naar Staten Island, dan betaal je 'slechts' $800 tot $1000 per maand voor een klein, gerenoveerd huis.

Steek je de Hudson over naar Hoboken in de staat New Jersey, dan betaal je $600 voor een redelijk huis (lees 250 m²) of een 3-bedroom app. Maar dan moet je 9 maand per jaar met de auto door de Lincoln of Holland tunnel, of over de George Washington Bridge om op Manhattan te geraken. De veerdiensten tussen Weehawken of Jersey City en Battery Park, werken slechts vanaf Labour Day (28 Mei) tot eind September.

De prijzen hierboven heb ik genoteerd in de periode van 20 Maart tot 20 Juni 2007, toen ikzelf in The Big Apple was.

Oh, en nog iets: hoe hoger de verdieping, hoe hoger de prijs, want je betaalt fix wat extra voor 'The View'...

Maar zoals eerder gezegd, dit totaal terzijde...


JJ
Lijkt veel, maar men moet weten dat in Lower Manhattan of de Lower East Side een kleine studio al gauw $2500 per maand gaat kosten. Zelfs in minder begoede wijken zoals Harlem, The Bronx of Brooklyn, zit men makkelijk aan $1500/maand voor een piepklein optrekje. Hostels zijn goedkoper ($150 tot $300 per week), maar de verblijven aldaar zijn meestal 'cubicels' zonder de minste privacy.

Tsja, van mensen die langdurig aanspraak maken op overheidssteun mag best geëist worden dat ze dat zo economisch mogelijk leven. Het is toch van de gekke dat mensen die langdurig in de bijstand zitten een duur appartement zouden moeten kunnen aanhouden? Steuntrekkers kunnen verhuizen naar caravans of onzelfstandige woonruimte nemen waardoor ze de kosten kunnen delen. Ook een goed idee voor Nederland trouwens...
Die man moet wel geduld hebben gehad als je het pas een jaar later af zou laten gaan. Wel een erg hoge boete, dat zullen ze hier in Nederland niet gauw geven.
De maximumstraf bij ons voor "vernielen van gegevens" is 2 jaar cel, maar die is nog nooit uitgereikt. Als er bij het vernielen gevaar ontstaat voor mensenlevens, loopt dat op naar negen jaar, en als er mensen werkelijk komen te overlijden dan kan het zelfs vijftien jaar cel worden. Zie art. 350a Wetboek van Strafrecht.

In 2003 kreeg een systeembeheerder van UTwente drie jaar cel voor vernielen van gegevens en het in brand steken van papiercontainers.
80.000 hoog? Ik vind die boete nog wel meevallen. Als je kijkt wat je kunt krijgen voor het delen van 1 mp3tje dan is 1 jaarsalaris (systeembeheerder USA) een koopje.
Hij doelt denk ik ook meer op die 30 maanden gevangenisstraf. Daarbij is voor de meeste mensen een boete van 1 jaarsalaris redelijk pijnlijk.
Je zegt het net, USA.
ik geloof dat in amerika na een aardbeving zo'n 80-90 % van de bedrijven die hun it niet werkend hadden binnen een maand over de kop gingen.
kan een hele diepe inpact hebben als je server data kwijt raakt.

Maar ja je hebt gelijk hier in nederland zijn we nog al van de milde straffen....
ze kennen toch ook back-ups.... Ik dacht dat grootte bedrijven altijd back-ups maakte. Of worden deze dan ook gewist(zou wel dom zijn van de it beheerder).
veel bedrijven maken wel backups maar hoe lang worden deze bewaard?
meestal maar 4 weken of een half jaar. Soms een jaar. Maar deze software stond al langer als een jaar op het systeem. Dus op de oude backups stond het ook al.
Over het algemeen zijn de meeste backups van de veranderende data en is het schrikbarend slecht geregeld met de backup van de software en instellingen en licentie-files.
Zo kan een complete herinstallatie ook heel veel tijd kosten.
In de tijd dat ik nog bij een grote provider werkte was het en leuk tijdverdrijf in de pauze hoe slopen we het netwerk zo snel mogelijk en zonder dat het erg snel te stoppen is. Ik denk dat er heel veel mensen in de IT rondlopen die, als ze zouden willen, extreem veel schade zouden willen aanbrengen. Tijdens een ontslag ronde bij deze provider waren ze ook als de dood dat mensen dit soort dingen zouden hebben achtergelaten.
Ik denk dat bij de meeste IT-bedrijven de werknemers dat soort scenario's wel eens bespreken. Dit is ook erg goed, want daardoor kun je ook je eigen kwetsbaarheden identificeren en maatregelen treffen.

Tenminste, een goede, pro-actieve, systeembeheerder zal dat doen.

En dan nog is er de kans dat er catastrofale dingen gebeuren en is het dus belangrijk om een goed disaster recovery draaiboek klaar te hebben liggen.

Daarnaast gebeurt er ook veel op het gebied van screening van personeel (voor mijn eigen functie had ik een Verklaring Omtrent Gedrag nodig..

De betere bedrijven doen natuurlijk ook hun best om onvrede bij werknemers zo goed mogelijk te onderkennen en op een volwaardige manier met hun mensen om te gaan. Dan nog kan er altijd gemor ontstaan, maar je personeel serieus nemen heeft een zeer preventieve werking ten opzichte van dit soort zaken.
Inderdaad, ik vind ook die opmerking dat ie dacht dat ie ontslagen zou worden op korte termijn een erg bijzondere.
Dit betekent namelijk dat ie zelf weet dat ie niet goed bezig is en dat zijn baas het weet en er niks over zegt. vooral dit laatste is erg kwalijk.
Mijn vorige werkgever (nouja, hij had de functie "manager" in z'n contract staan...) heeft ook op deze manieren mensen eruit gewerkt, maar gelukkig is hij ondertussen ook ontslagen =)

Maar in landen zoals Nederland zou zo'n bedrijf (dat dus niet om kan gaan met z'n werknemers) het toch niet lang volhouden. Dan is het van zichzelf al een tijdbom :D
Volgende keer encrypten met een sterke encryptie en niet de sleutel prijsgeven want een verdachte kan niet gedwongen worden belastend bewijs tegen zich eigen aan te dragen.
Sleutel prijsgeven = belastend bewijs
Tja, maar code die iets moet doen zal toch echt op een gegeven moment in een communicatie vorm die door de machine begrepen kan worden gepresenteerd moeten worden. Kan je je bom encrypten zoveel als je wil, maar de "Format C:" moet toch echt een keer verzonden worden.
En jij denkt dat als die collega een stukje encrypted code tegenkomt, die hij niet kan thuisbrengen, én waarvan deze man niet wil prijsgeven waar het voor dient, dan géén maatregelen treft?
Met wat ouderwets politie onderzoek kun je hem daar vast ook wel op vast pinnen. En als het moet valt het vast ook wel te decrypten.

Je klinkt eerlijk gezegd bijna alsof je het fout vindt dat hij is veroordeelt hiervoor.
Als de staat hard kan maken dat bij een dergelijk bedrijf dat door artsen geraadpleegd wordt (en waar, indien dat niet klopt kunnen er potentieel mensen overlijden door middelen te krijgen waar ze allergisch voor zijn, die niet samengaan met iets anders dat ze gebruiken, etc.) dan kun je vast wel enige "juridische pressie" uitoefenen... Op het moment dat ze dat namelijk voorleggen aan de betreffende werknemer en hij weigert en er overlijdt het iemand is het geen dood door schuld meer, maar doodslag.
Ja, en m volgende keer niet op je verjaardag af laten gaan... En testen de volgende keer ;)
Hij had toch niet verwacht dat ie er geen problemen mee zou krijgen? "hahaha goeie grap man. Maar je bent nog steeds ontslagen"... Dan laat je het toch niet naar jezelf herleidbaar...
$sys$ in de naam of noem het "Essential system files" kan geen RootkitRevealer tegenop..
de schade zal wel meevallen , zo'n bedrijf heeft toch ook backups ...

ok leuk is het niet om 70 machines te restoren .. maar dat kost niemand de kop ..
Moedwillig patienten in levensgevaar brengen lijkt me meer dan genoeg voor zo'n boete. Dat kan dus iemand letterlijk de kop kosten. Als zijn ze een dag bezig met het restoren, dan is de laatste data niet up to date en misschien niet eens up to date te krijgen. Als artsen verkeerde medicijnen voorschrijven doordat de database niet klopt, dan kan dat heel kwalijk zijn. Zie ook de CNet:
"The servers contained numerous applications and databases that managed bills, rebates, new prescription call-ins from doctors, insurance coverage, and clinical assessments of patients.
One database that received special attention in the indictment, known as the Drug Utilization Review, was designed to allow pharmacists to see what drugs patients were already taking so that they could determine whether taking different medicines simultaneously was safe."


Vergeet niet dat ze in de VS niet zoiets als een huisarts hebben. Bovendien kun je je medicijnen afhalen bij elke pharmacy (dus ook bij de Walmart, Safeway, enz.)

[Reactie gewijzigd door lamme23 op 9 januari 2008 23:02]

Vergeet niet dat ze in de VS niet zoiets als een huisarts hebben.
jawel hoor, je hebt de zogenaamde 'family doctor'.
Een beetje bedrijf heeft toch zeker wel backups..
En niet alleen backups maar ook een knap spiegel systeem om een andere locatie waarvan een zeer selecte groep passwords heeft om het een en ander temogen.
Het aantal bedrijven wat echt een compleet up to date mirror systeem heeft is redelijk beperkt. Vaker zie je enkel fail over op 1 locatie of verouderde troep op de andere locatie. Je moet tenslote (grofweg) voor elke server die je nodig hebt 4 servers aanschaffen. En de meeste bedrijven hebben dat geld niet liggen.
Mirror-lokatie wordt vaak gezien als een 1 op 1 kopie van de eerste lokatie. Waar je dan de factor 4 in het aantal servers vandaan haalt, is mij een raadsel. Failover op eenzelfde lokatie inregelen heet clustering en lijkt me niet slim voor dit soort disaster-scenario's, noch bij het uibranden van je SAN noch bij een fysieke bomaanslag ofzo.

ik vind trouwens de aanschaf van 2, 3 of 10 servers nog de minste impact hebben. Ja, in 3 jaar dat het niets staat te doen, heb je er alleen maar afschrijving over. Maar dat, afgezet tegen data-replicatie (al dan niet real-time of scheduled), huur van datacenter 2, huur van dedicated lijnen, storage-faciliteiten, is dus maar een druppel op een gloeiende plaat.

Voor de prijs van een beetje backup-unit (zonder licenties of aanverwanten) of gemiddeld SAN, kan je bij Dell/HP toch echt makkelijk 10 "average 2U servers" aanschaffen.

[Reactie gewijzigd door MAX3400 op 10 januari 2008 10:25]

Wat heb je aan een mirror in een situatie als deze?
Het lullige van een mirror is dat ie de data mirrort, dus als je alles wegflikkert verdwijnt het ook van de mirror. :)

Het enige wat je met een mirror opvangt is een disk- of servercrash. In dat geval draai je gewoon door op je mirror. Datacorruptie wordt gewoon gemirrord dus daar heb je back-ups voor nodig.

Overigens, iedereen heeft het over back-ups waardoor dit niet zou werken, maar als die systeembeheerder een heel klein beetje wist wat hij deed had hij natuurlijk een aantal weken van tevoren de back-upprocedures kunnen saboteren. Dan heb je wel back-ups, maar dat blijkt dan enkele weken aan lege tapes te zijn.
Het lijkt erop dat je mirror (als in RAID1) en mirror (als in separate lokaties) ietwat door elkaar husselt. Datacorruptie wordt in RAID1 wel gemirrord inderdaad maar met separate lokaties zijn er toch echt wel technologieen zoals snapshots waardoor je de kans op datacorruptie aanzienlijk kan verminderen.
Hij werd niet op korte termijn ontslagen maar liet die bom gewoon zitten? En kwam er "de dag" achter dat die niet werkte en ging hem toen ook nog fixen? Dat is geen wraak meer, dat is sabotage. Vreemd dat de rechter hem celstraf heeft gegeven, dwangverpleging lijkt me beter passen. Rare jongens die systeembeheerders ;)
Ach, ik kan me wel voorstellen dat je nijdig bent als je ontslagen wordt. Of dat nou wel of niet terecht is. Ik zou in de opzegtermijn die dan volgt, ook echt niet meer m'n best gaan doen en ook echt niet meer keurig op tijd verschijnen. Er zullen ook mensen zijn die het iets verder trekken en de bal kaatsen, zoals Yung-Hsun Lin hier daarin net iets te ver gaat.

[Reactie gewijzigd door _Thanatos_ op 9 januari 2008 19:35]

Hij verwachtte dat hij ontslagen werd, er staat nergens dat dat ook daadwerkelijk aan de orde was. Zelfs nadat bleek dat hij toch niet ontslagen werd heeft hij de bom gewoon laten zitten met afwachting van de "ontploffing". Dan is die nijdigheid gewoon misplaatst.
Niet als die kerel ongenadig (onterecht) over z'n flikker heen heeft gekregen van z'n baas, zonder daarvoor ontslagen te zijn.
dan zoek je een andere baan. Niet dat je daar iets anders zal aantreffen waarschijnlijk, maar dat terzijde.

gelukkig heb je ook werkgevers die achteraf toch wel inzien dat ze fout zaten, en dat dan goedmaken met de werknemer in kwestie.
Ik heb nog zo gezegd: "Géén Bommetje!" :)
Het zou me niet verbazen als hij berecht is als een potentiele terrorist onder de mom van het plaatsen van een bom waarmee een onwetende jury beinvloed wordt. Ik vraag me dan zelf af wat erger is, een admin die de boel met opzet sabboteerd en mogelijkerwijs data vernietigd, of een onwetende admin die keurig van 30 miljoen mensen perongeluk de data op stoep zet. Het frapante is dan dat de eerste zwaar berecht wordt, en nummer twee een foei te horen krijgt.
Intentie is toch zeker wel een belangrijk iets. Iemand die geen kwade bedoeling heeft kan je eenvoudigweg niet even zwaar straffen als iemand met slechte bedoeling. Straf is oa bedoeld om iemand een slechte gewoonte af te leren. Als je geen slechte bedoeling hebt heeft dat natuurlijk weinig zin.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True