聲明:本文來自于微信公眾號 InfoQ(ID:infoqchina),作者:褚杏娟,授權轉載發布。
一位前思科員工于本周三在圣何塞聯邦法院認罪,稱其曾非法訪問思科公司的 Amazon Web Services 基礎設施,并對其云計算資源施以破壞。
事件回顧
Sudhish Kasaba Ramesh 于 2016 年 7 月入職思科,2018 年 4 月離職。Ramesh 在與檢察官議定的認罪書中坦言,離職之后,“他曾使用個人 Google Cloud Project 賬戶部署代碼,刪除掉了 456 臺虛擬機。這部分虛擬機主要用于交付視頻會議、視頻消息收發、文件共享以及其他協作工具服務。”
Ramesh 承認自己“魯莽地”部署了惡意代碼,而且“明確意識到自己的行為可能給思科業務帶來巨大風險。”
根據檢察官的說明,Ramesh 的行為導致超過 16000 個 WebEx Teams 賬戶被異常關閉,持續時間達兩個星期。為此,思科方面共計損失 240 萬美元(約合 1650 萬人民幣),其中包括對問題進行修復所支付的約 140 萬美元人力成本和超過 100 萬美元的客戶退款損失。
對此,思科方面表示,值得慶幸的是此次事件并未導致客戶信息丟失或泄露。
思科公司發言人在一份郵件聲明中表示,“思科已經于 2018 年 9 月快速解決了此次問題,保證不存在任何客戶信息丟失或泄露的狀況,并及時引入了其他保護措施。”同時,思科表示:“我們將這個問題提交給了執法部門,并在能力配合之下成功將其繩之以法。我們相信整改之后的機制足以防止此類事件的再次發生。”
由于認罪協議的更多細節尚未公開,Ramesh 此舉的動機還不明確。但更令人意外的是,Ramesh 的現任雇主、個性化時裝公司 Stitch Fix 似乎一副無所謂的態度,甚至希望他能繼續正常上班。
根據法院文件,Ramesh 在美國持有 H-1B 簽證,而且正在申請綠卡。法院文件提到,“盡管他和他的雇主了解目前的認罪結果有可能影響其正常移民,甚至導致其被驅逐出境,但雇主方……仍然愿意為他保留工作崗位,考慮其繼續留在美國并為公司效力的可能性。”
據悉,30 歲的 Ramesh 或將面臨五年有期徒刑與 25 萬美元的罰款。目前,Ramesh 已被保釋,保釋金為 5 萬美元,其宣判會將于 2020 年 12 月 9 日舉行。
法院文件說明
員工“報復”事件頻發
思科遭員工“刪虛擬機跑路”并不新鮮,此前微盟遭員工“刪庫跑路”事件更是轟動一時。
今年 2 月,微盟研發中心核心運維人員賀某通過個人 VPN 登入公司內網跳板機對微盟線上生產環境及數據進行了嚴重的惡意破壞,導致微盟的 SaaS 業務服務突然宕機,商家后臺的所有數據被清零。
該事件發生后,微盟股價大跌,累計市值一度蒸發超 30 億港元。300 萬左右商家的數據在騰訊云協助下,經過七天七夜的努力才被全面找回。3 月初,微盟表示將拿出 1.5 億元進行損失賠付,其中公司承擔 1 億元,管理層承擔 5000 萬元。
雖然輿論已經平息,但后續賠償事宜還在進行中。由于賠償金額等問題,微盟遭到了大量商家的集體投訴,這些投訴已被立案審理。據微盟集團發布的 2020 年上半年財報顯示,由該賠付計劃帶來的預計賠付支出對微盟帶來的損益影響達 0.87 億元。
根據微盟發布的通告,賀某是由于個人精神、生活等原因發起了破壞行為。隨后,微盟創始人孫濤勇在接受媒體采訪時解釋到,該員工一直深陷網絡貸,還曾有過輕生的舉動。春節期間一個人在房間獨處 30 多天,再加上本身經濟上的困擾,最終做出了這樣的舉動,事后他也表示跟公司無任何仇恨。
很多程序員表示:“刪庫跑路就是說說而已,跑得了和尚跑不了廟。”但為什么還是有人甘愿冒著坐牢的風險破壞公司系統,是每個管理人員應該深思的事情。
當然,除了少數的有意為之,還有很多“刪庫”其實是程序員的無心之失。
據媒體公開報道,在 2018 年,順豐一位工程師在升級系統數據庫的時候,不慎將 RUSS 數據庫刪除,導致很長一段時間順豐線上發車功能無法使用,帶來了嚴重的負面影響。最后該員工被辭退。
還有位自稱阿里員工的知乎網友表示,自己剛入職的時候,數據庫可以直接用 bash 執行后臺增刪改操作,各種監管和操作日志機制都不是很完善。有一天,在使用存儲過程進行 update 極度重要的表的時候,忘了加 where 條件,就直接敲了回車執行,所以和刪庫也差不了多少。
當時出現失誤的第一反應是嚇傻了,不敢告訴主管。“知道沒有備份的消息后,我是想跑路來著的...”該網友表示,后來才意識到 update 是一個事務,中途 Kill 掉進程,就不可能出現一半更新一半不更新的情況。年少無知,白白挨了一通批評。
如何預防
“rm -fr /*,執行了這個命令就是走上人生巔峰了。”這也不過是一句玩笑話而已。對于程序員個體來說,一般情況下沒人會故意搞破壞,而為避免無心之失,平時只能處處小心。
但前有微盟后有思科,大企業不斷遭遇“刪庫”事故,側面也說明了企業在數據安全管理上存在一些問題。對此,有專家從事前預防、事中發現和事后容災三方面給出了相關建議。
首先,事前預防很重要。企業需要統一運維入口,實現賬號和權限的分配和管理,并且要每人獨立賬號和權限,細化至每個人能做什么不能做什么。不要為了圖省事共用一個權限,而且要定期梳理和回收。也要對員工進行典型誤操作和惡意操作案例的宣傳,讓他們知道后果,形成敬畏之心,同時在統一運維平臺上把已知的高危操作都攔截掉,譬如 rm –fr 等。
其次,企業可以通過配置審計規則,對一些會變更系統的操作進行告警,同時要對系統進行完整性等健康監控。
最后,最重要的就是備份。數據是核心,有數據才能在災難后恢復系統。備份一定要全量備份、增量備份、異地備份等,最好多個機房備份。
當然,數據管理只是一部分,真正“刪庫跑路”的發生歸根到底是公司和員工之間矛盾不可調和的爆發,結局往往是兩敗俱傷。
參考閱讀:
https://www.zhihu.com/question/375447541
