Ce este hack-ul OPM și ce înseamnă pentru tine?
Se întâmplă hackeri. Se pare că este aproape în fiecare lună că unele corporații mari se confruntă cu securitatea calculatoarelor și lăsa hackerii să cedeze cu date despre milioane de utilizatori Țintă confirmă până la 40 de milioane de clienți americani Carduri de credit Terorismul potențial compromis confirmă până la 40 de milioane de clienți din SUA Carduri de credit Potențial Hacked Target tocmai a confirmat că un hack ar fi compromis informațiile despre cărțile de credit pentru până la 40 de milioane de clienți care au cumpărat magazine în SUA între 27 noiembrie și 15 decembrie 2013. Citiți mai multe. Dar ce se întâmplă atunci când nu este o corporație, ci guvernul SUA?
Timp de câteva săptămâni, știrile care ies din Biroul de Gestionare a Personalului (OPM) au devenit tot mai grave. OPM, un birou guvernamental puțin discutat care stochează înregistrări asupra angajaților, a fost subiectul unei hack-uri cu proporții cu adevărat istorice.
Numerele exacte au fost provocatoare pentru a obține un mâner pe. Când ancheta a fost anunțată pentru prima oară, anchetatorii au fost siguri că încălcarea a fost descoperită cu promptitudine folosind programul de securitate internă EINSTEIN al guvernului și a afectat înregistrările a aproximativ patru milioane de angajați.
De atunci, a devenit clar că hack-ul a fost descoperit accidental, mult după ce a avut loc - și numărul real afectat este mai mult de douăzeci și unu de milioane.
Din păcate, securitatea calculatorului poate avea tendința de a fi confuză și uscată. În ciuda tuturor rapoartelor, mulți dintre voi încă nu au o bună înțelegere a ceea ce a fost luat, cum sa întâmplat sau cum vă afectează. Mă voi strădui să-l rup și să răspund la câteva întrebări de bază despre această problemă.
Cum sa întâmplat hack-ul?
Au existat semne că un astfel de lucru ar fi fost posibil pentru un timp. Eroul Snowden scapă eroul sau răufăcătorul? NSA moderată poziția sa asupra eroului Snowden sau a dăruitorului? NSA moderhează poziția sa asupra avertizorului de zăpadă al lui Snowden, Edward Snowden și a lui John DeLong din cadrul NSA, a apărut în programul unui simpozion. Deși nu a existat nici o dezbatere, se pare că NSA nu mai pictează Snowden ca trădător. Ce sa schimbat? Citește mai mult a arătat cât de proastă poate fi securitatea federală a computerului, chiar și în cadrul ANS expert. Situația la OPM a fost și mai gravă. Deschisul nu avea angajați în securitate deloc până în 2013. Au fost avertizați în mod repetat că practicile lor de securitate erau vulnerabile la intruziunea mai rău decât la inimă? Faceți cunoștință cu ShellShock: o nouă amenințare la adresa securității pentru OS X și Linux mai rău decât în inimă? Faceți cunoștință cu ShellShock: o nouă amenințare la adresa securității pentru OS X și Linux Citiți mai multe .
Imaginea incompetenței este completată de rapoartele că invazia a fost descoperită pe parcursul unui an prezentare de vânzări de către o companie numită CyTech Services, care a găsit malware-ul în timp ce a demonstrat instrumentul de scanare a securității. Nu este clar cât de mult timp hackerii au avut acces la sistem, dar "ani" este o presupunere plauzibilă.
Din nefericire, acest lucru este departe de un incident izolat între agențiile guvernamentale și asta nu ar trebui să te surprindă. Uită-te la stimulente: dacă Target este hacked, ei pierd milioane de dolari în procese și au pierdut vânzări. Compania are un succes, iar concurenții își măresc cota de piață. Dacă un birou guvernamental face aceeași greșeală, se întâmplă foarte puțin. Ei declanșează câteva mieluri sacrificate și încearcă să arate solemn în timpul audierilor și așteaptă câteva săptămâni pentru ciclul de știri de 24 de ore să se distragă de ceva strălucitor.
Există foarte puține stimulente practice pentru a se schimba și există foarte puține legi privind securitatea informatică. Dintre puținele legi există (ca FISMA, Legea federală privind gestionarea securității informațiilor), cele mai multe nu sunt urmărite îndeaproape. Aproximativ 75% din sistemele informatice ale OPM nu au respectat legea respectivă.
Aceasta este o situație rău și înrăutățită. Biroul de Responsabilitate a Guvernului a raportat în luna aprilie că numărul încălcărilor de securitate la agențiile federale a crescut de la 5.500 în 2006 la peste 67.000 în 2014. Într-un interviu acordat Re / code, autorul raportului, Gregy Wilshusen, de multe ori au defecte crippling în procedurile lor de securitate internă, și de multe ori nu se stabilește vulnerabilitățile odată ce acestea sunt descoperite.
“Atunci când evaluăm aceste agenții, adesea constatăm că procedurile interne de testare nu implică decât intervievarea persoanelor implicate și nu testarea sistemelor [...] Am constatat în mod constant că vulnerabilitățile pe care le identificăm ca parte a procedurilor noastre de testare și audit nu sunt fiind găsite sau fixate de agenție deoarece au proceduri de testare inadecvate sau incomplete.”
Ce a fost luat?
Un alt punct de confuzie are de a face cu natura informațiilor la care au acces hackerii. Adevărul este că este destul de divers, deoarece au fost accesate mai multe baze de date. Informațiile includ numerele de securitate socială pentru aproape toată lumea - ceea ce reprezintă o amenințare imensă de furt de identitate numai de la sine. De asemenea, aceasta include 1,1 milioane de înregistrări de amprente digitale, ceea ce pune în pericol orice sistem bazat pe biometrie.
Cele mai îngrijorătoare, printre înregistrările furate au fost milioane de rapoarte obținute în timpul verificărilor de fond și a cererilor de clearance-ul de securitate. Am participat la o serie de verificări de fond, deoarece un număr alarmant de vechi colegii mei prieteni acum lucrează pentru guvernul federal american. Aceste verificări de fundal sapă adânc. Vorbesc cu familia ta, cu prietenii tăi și cu colegii tăi de cameră pentru a-ți verifica biografia vieții. Ei caută orice indicii de lipsă de loialitate sau implicare cu o putere străină, precum și orice ar putea fi folosit pentru ai șantaja: dependență, infidelitate, jocuri de noroc, homosexualitate secretă, genul ăsta.
Cu alte cuvinte, dacă vreți să șantajezi un angajat federal, acesta este aproape un vis devenit realitate. Sistemul de verificare a fundalului sa oprit în urma hack-ului și nu este clar când va fi din nou operațional.
Există, de asemenea, îngrijorarea mai mare că atacatorii au avut acces la aceste sisteme de mult timp.
Cine este afectat?
Douăzeci și unu milion este un număr mare. Gama celor afectați direct se întinde pe actualii și foștii angajați federali, precum și pe cei care au solicitat o autorizație de securitate și au fost respinși. Indirect, orice persoană apropiată de un angajat federal (gândiți-vă la familie, la soți și la prieteni) ar putea fi afectată dacă informația a fost observată în verificarea de fond.
Dacă credeți că ați putea fi afectat de acest lucru, OPM oferă câteva resurse de protecție împotriva furtului de identitate de bază în urma incidentului. Dacă sunteți printre cei compromisați direct, trebuie să primiți un e-mail, deoarece OPM arată exact cine a fost afectat.
Cu toate acestea, aceste protecții reprezintă doar furtul de identitate și alte atacuri destul de fundamentale care utilizează datele. Pentru mai multe lucruri subtile, cum ar fi extorcarea, există o limită a ceea ce poate face guvernul. Protecția nu are decât 18 luni - un hacker pacient ar putea să stea cu ușurință pe informații atât de mult timp.
Ce vor fi folosite datele?
În cele din urmă, avem întrebarea de un milion de dolari. Cine a luat datele și ce intenționează să facă? Răspunsul este că, din păcate, nu știm cu adevărat. Anchetatorii și-au arătat degetele în China, dar nu am văzut dovezi concrete care să fie disponibile pentru a susține acest lucru. Chiar și atunci, nu este clar dacă vorbim de freelancatori chinezi, guvernul chinez sau ceva între ele.
Deci, fără să știe atacatorii sau motivele lor, ce ar putea se face cu aceste date?
Chiar de pe liliac, unele opțiuni evidente se prezintă. Numerele de securitate socială nu sunt ușor de schimbat și fiecare poate fi folosit într-un furt de identitate profitabil. Vânzarea acestora pentru câțiva dolari fiecare, în timp, ar putea să ne salveze un salariu de nouă cifre sănătoși Ce motivează oamenii să hackească computerele? Sugestie: bani Ce motivează oamenii să hackească calculatoarele? Sugestie: Criminalii de bani pot folosi tehnologia pentru a face bani. Stii asta. Dar ați fi surprinși cât de ingenioși pot fi, de la hacking și revanzarea serverelor pentru a le reconfigura ca mineri Bitcoin lucrativi. Citește mai mult pentru hackeri, cu aproape nici un efort.
Apoi, există opțiuni mai proaste. Să presupunem că sunteți o putere străină și că veniți în contact cu aceste informații. Tot ce trebuie să faci este să găsești un angajat federal cu acces la un sistem critic, pe care ai murdăria prin hack. Poate că primul este dispus să lase infidelitatea / dependența / sexualitatea lor să devină publice pentru a-și proteja țara. Dar tu ai milioane de obiective posibile. Mai devreme sau mai târziu, veți ieși din patrioți. Aceasta este amenințarea reală, din perspectiva securității naționale - deși chiar și un hacker independent ar putea folosi acest lucru pentru a exorta banii sau pentru a favoriza milioane de oameni nevinovați.
Expert în securitate Bruce Schneier (despre care am vorbit despre probleme legate de confidențialitate și încredere) Expert în securitate Bruce Schneier Despre parole, confidențialitate și expertiză în securitate Trust Bruce Schneier Despre parole, confidențialitate și încredere Aflați mai multe despre securitate și confidențialitate în interviul nostru cu expertul în securitate Bruce Schneier. Citiți mai multe) a speculat că există un risc suplimentar ca atacatorii să fi putut modifica conținutul bazei de date în momentul în care au avut acces la el. Nu este clar că vom putea spune că baza de date a fost modificată. Ei ar fi putut, de exemplu, să fi dat o autorizație de securitate spionilor străini, ceea ce este un gând înfricoșător.
Ce putem face?
Din păcate, probabil că nu este ultimul hack de acest gen. Tipurile de proceduri de securitate laxate pe care le vedem în OPM nu sunt neobișnuite în agențiile guvernamentale de dimensiunile lor. Ce se întâmplă dacă următoarea hack va opri electricitatea în jumătatea țării? Cum rămâne cu controlul traficului aerian? Acestea nu sunt scenarii ridicole. Am folosit deja malware pentru a ataca infrastructura; amintesc virusul Stuxnet, probabil activitatea NSA Ar putea fi utilizate aceste Tehnici NSA Cyber-Espionage împotriva dvs.? Ar putea fi folosite aceste Tehnici de Spionaj Cyber-NSA împotriva dvs.? Dacă ANS vă poate urmări - și știm că poate - așa se poate și pe infractorii cibernetici. Iată cum vor fi utilizate mai târziu instrumentele create de guvern împotriva ta. Citește mai mult, pe care am folosit-o pentru a distruge fizic centrifugele nucleare iraniene?
Infrastructura noastră naturală este vulnerabilă și extrem de importantă. Aceasta este o situație care nu este sustenabilă. Și, pe măsură ce citim despre această hack (și următoarea), este important să ne amintim că nu este o problemă care să dispară atunci când ciclul de știri devine distras sau când câțiva angajați sunt concediați. Aceasta este o putrezire sistemică, una care ne va face să ne rănească mereu, până când o rezolvăm.
Ai fost afectat de hack? Îngrijorat de standardele scăzute de securitate a calculatorului? Spuneți-ne în comentariile!
Credite de imagine: Conferința Defcon, Crypto Card Two Factor, US CyberDefense, Furtul cardului de credit, Keith Alexander
Explorați mai multe despre: Computer Security, Hacking, Security Online.