Server gestolen : Beloning bij informatie of terugbezorging

Mede systeembeheerders,

Afgelopen nacht is er uit ons pand in Etten-Leur een server gestolen met daarop bedrijfskritische informatie. Waarschijnlijk een job met inside informatie wegens gebrek aan braak. Server Model :

HP DL380 G3
4x 36Gb 15krpm U320 HP schijven
2x Xeon 2.4Ghz
4Gb Ram

(domeinnaam bij opstarten / inloggen = WIAL.NL)


Mocht er iemand van jullie een dergelijk systeem aangeboden krijgen, doe me dan meteen een PM of neem contact op met de politie in Etten-Leur.

Bonus voor aanbrengen : €5000,-

Backup is teruggeplaatst, DM staat nu aan :

- Er zijn slecht 10-15 mensen ervan op de hoogte dat op die locatie uberhaupt en server staat. Voor je bij de server komt zit er een ruimte waarin 6 breedbeeld TFTs staan, met gloednieuwe DC77000 Core2 workstations... Waarom dan een server stelen van 5 jaar oud? Overigens heeft de dief niet veel verstand van IT gehad. Zowel de APC als de Sony Tape library waren open geschroeft om te kijken wat er in zat. Iemand met verstand van auomatisering had dat op het zicht wel geweten.

- Het probleem is niet zo zeer dat ik mijn data 'kwijt' ben, wel dat er een en ander op straat ligt. De serverruimte waarin de server stond wordt verbouwd. Verder is binnen ons bedrijf sprake van ploegendiensten, waardoor voor die specifieke zone het alarm niet aan stond. Wat wel erg kwalijk is, is dat een jaar geleden, na ruzie met vakbond en OR de permanente camerabewaking in de buurt van de serverruimte is verwijderd. Daarnaast heeft een medewerker van het planbureau gisteravond toestemming gegeven een bepaalde tussendeur niet op slot te draaien omdat hij dacht dat er in de ruimte nog medewerkers actief waren.

- In principe is de server redelijk goed beveiligd, maar we weten allemaal dat het adminwachtwoord van Windows 2000 aangepast kan worden zonder te weten wat het is. Met de juiste tools liggen belangrijke bestanden zo voor het grijpen (adresbestanden met abonneegegevens van klanten, personeelsdossiers etc).

- De reden voor mijn plaatsing in dit topic is dat dit soort servers vaak te koop aangeboden worden aan IT-afdelngen van bedrijven. Dieven willen er zo snel mogelijk vanaf. Natuurlijk is het een longshot, en tegelijk een waarschuwing. Dit is dus wat er kan gebeuren als door een samenloop van omstandigheden je fysieke beveiliging zo lek is als een mandje. Gebruik het als een casestudy om fysieke beveiliging van je servers aan je management te verkopen... Bij ons mosterd na de maaltijd helaas.

[ Voor 14% gewijzigd door empheron op 02-03-2007 16:21 ]

Het vermoeden is dat de dief 's-avonds tussen 20.40 en 23.00 zijn/haar slag heeft geslagen. De backup-software staat op deze server en heeft één backup set gesloopt doordat deze halverwege is uitgevallen. Verder is de laatste entry in het logboek van de DCs afkomstig van 20.30. In de firewall is de server voor het laatst benaderd om 20.40.

Om 7.00 in de ochtend kwamen de eerste sms-jes binnen dat bepaalde jobs de server niet konden benaderen.

[ Voor 22% gewijzigd door empheron op 02-03-2007 16:25 ]