Lesley Fowler
0 
3154
101
Hacky se stávají. Zdá se, že je téměř každý měsíc, že některé velké korporace vyprazdňují svou počítačovou bezpečnost a umožňují hackerům rozdělovat data o milionech uživatelů. Potvrzuje kreditní karty až 40 milionů amerických zákazníků Potenciálně hacknuté terče potvrzuje až 40 milionů amerických zákazníků kreditní karty Hacked Target právě potvrdil, že hack mohl ohrozit informace o kreditní kartě až pro 40 milionů zákazníků, kteří nakupovali ve svých obchodech v USA od 27. listopadu do 15. prosince 2013. Ale co se stane, když to není korporace, ale americká vláda?
Po celé týdny se zprávy z Úřadu pro správu personálu (OPM) stále zhoršují. OPM, málo diskutovaná vládní kancelář, která ukládá záznamy o zaměstnancích, byla předmětem hackerství skutečně historických rozměrů.
Přesná čísla byla náročná, abychom se dostali ke klice. Když byl hack poprvé oznámen, vyšetřovatelé byli ujištěni, že porušení bylo zjištěno okamžitě pomocí vládního programu vnitřní bezpečnosti EINSTEIN a ovlivnilo to záznamy asi čtyř milionů zaměstnanců.
Od té doby je jasné, že hack byl objeven náhodně dlouho poté, co k němu došlo - a skutečný počet je více než dvacet jedna milionů.
Počítačová bezpečnost však může být matoucí a suchá. Navzdory veškerému hlášení mnoho z vás stále ještě nemusí dobře rozumět tomu, co bylo přijato, jak se to stalo nebo jak to ovlivní vás. Budu se snažit rozdělit to a odpovědět na některé základní otázky týkající se tohoto problému.
Jak se ten hack stal?
Existují náznaky, že tento druh věcí je na chvíli pravděpodobný. Sněhový netopýr hrdina nebo darebák? NSA moderuje svůj postoj na Snowden Hero nebo Villain? NSA zmírňuje svůj postoj k informátorovi Snowdenovi Whistleblower Edward Snowden a John DeLong z NSA se objevili v plánu sympozia. I když se neuskutečnila žádná debata, zdá se, že NSA již Snowdena namaloval jako zrádce. Co se změnilo? odhalil, jak špatná federální počítačová bezpečnost může být, a to i v rámci teoreticky expertního NSA. Situace v OPM byla ještě horší. Open neměl žádné bezpečnostní zaměstnance vůbec do roku 2013. Opakovaně byli varováni, že jejich bezpečnostní praktiky jsou náchylné k vniknutí Horší než srdce? Seznamte se s ShellShock: Nová bezpečnostní hrozba pro OS X a Linux je ještě horší než srdce? Seznamte se s ShellShock: Nová bezpečnostní hrozba pro OS X a Linux .
Obrázek neschopnosti je doplněn zprávami, že k invazi došlo během a prodejní prezentace společností s názvem CyTech Services, která našla malware při předvedení nástroje pro bezpečnostní skenování. Není jasné, jak dlouho hackeři měli přístup do systému, ale „roky“ jsou věrohodný odhad.
Bohužel to není zdaleka izolovaný incident mezi vládními agenturami, a to by vás nemělo překvapit. Podívejte se na pobídky: pokud je Target hacknut, ztratí miliony dolarů v soudních sporech a ztratil prodej. Společnost je hitem a jejich konkurenti sníží podíl na trhu. Pokud vládní úřad udělá stejnou chybu, stane se ve skutečnosti jen velmi málo. Vypálí několik obětních jehňat a snaží se vypadat slavnostně během slyšení a čekají několik týdnů, až se 24hodinový cyklus zpráv rozptýlí něčím lesklým.
Existuje jen velmi málo praktických pobídek ke změně a existuje velmi málo zákonů týkajících se kybernetické bezpečnosti. Existuje několik zákonů (jako je FISMA, federální zákon o řízení bezpečnosti informací), většina z nich není důsledně dodržována. Přibližně 75% počítačových systémů OPM nesplnilo tento zákon.
Toto je špatná situace a zhoršuje se. Úřad pro vládní odpovědnost v dubnu informoval, že počet narušení bezpečnosti ve federálních agenturách vyletěl z 5 500 v roce 2006 na více než 67 000 v roce 2014. V rozhovoru s Re / code, Gregy Wilshusen, autor zprávy, říká, že je to proto, že agentury často mají ochromující nedostatky ve svých postupech vnitřní bezpečnosti a často neopravují zranitelnosti, jakmile jsou odhaleny.
“Při hodnocení těchto agentur často zjistíme, že jejich interní testovací postupy nezahrnují nic jiného než rozhovory se zúčastněnými lidmi a ne testování samotných systémů. […] Trvale jsme zjistili, že zranitelnosti, které identifikujeme jako součást našich testovacích a auditních postupů, nejsou které agentura zjistila nebo opravila, protože mají nedostatečné nebo neúplné zkušební postupy.”
Co bylo přijato?
Další zmatek souvisí s povahou informací, ke kterým měli hackeři přístup. Pravda je, že je to docela rozmanité, protože bylo přistupováno k několika databázím. Tyto informace zahrnují čísla sociálního zabezpečení téměř pro každého - což představuje samo o sobě velkou hrozbu krádeže identity. Zahrnuje také 1,1 milionu záznamů otisku prstu, což ohrožuje každý systém, který se spoléhá na biometriku.
Nejznepokojivější bylo, že mezi ukradenými záznamy byly miliony zpráv získaných při kontrolách na pozadí a v bezpečnostních prověrkách. Zúčastnil jsem se řady kontrol na pozadí, protože alarmující počet mých starých vysokoškolských přátel nyní pracuje pro americkou federální vládu. Tyto pozadí kontroly kopat hluboko. Mluví s vaší rodinou, přáteli a spolubydlícími, aby si ověřili celý svůj životopis. Hledají náznaky neloajality nebo zapojení do cizí moci a také vše, co by vás mohlo vydírat: závislost, nevěra, hazard, tajná homosexualita, taková věc.
Jinými slovy, pokud chcete vydírat federálního zaměstnance, je to skoro sen. Systém kontroly pozadí se zastavil v důsledku hacknutí a není jasné, kdy bude znovu funkční.
Existuje také větší obava, že útočníci měli k těmto systémům přístup po dlouhou dobu.
Kdo je ovlivněn?
Dvacet jedna milionů je velké číslo. Okruh těch, kteří se přímo dotkli, pokrývá současné i bývalé federální zaměstnance i ty, kteří požádali o bezpečnostní prověrku a byli odmítnuti. Nepřímo by mohl být zasažen kdokoli blízký federálnímu zaměstnanci (rodina, manželé a přátelé), pokud by jejich informace byla zaznamenána při prověrce.
Pokud si myslíte, že by vás to mohlo být ovlivněno, nabízí OPM v důsledku incidentu některé základní prostředky ochrany před krádeží identity. Pokud jste mezi těmi, kdo byli přímo ohroženi, měli byste dostat e-mail, protože OPM přesně zjistí, kdo byl ovlivněn.
Tyto ochrany však představují pouze krádež identity a další docela základní útoky využívající data. Pro jemnější věci, jako je vydírání, existuje limit toho, co může vláda udělat. Ochrana postrádá pouze 18 měsíců - pacientský hacker mohl tak dlouho na informace sedět.
K čemu budou data použita??
A konečně máme otázku na milion dolarů. Kdo data vzal a co s tím plánují? Odpověď zní, že, bohužel, opravdu nevíme. Vyšetřovatelé namířili prsty na Čínu, ale neviděli jsme žádné konkrétní důkazy, které by to podpořily. Ani tehdy není jasné, zda mluvíme o čínských nezávislých, čínské vládě nebo o něčem mezi tím.
Takže bez znalosti útočníků nebo jejich motivů, co mohl s těmito daty?
Hned na netopýru se objevují některé zjevné možnosti. Čísla sociálního zabezpečení se snadno nemění a každá z nich může být použita v potenciálně ziskových krádežích identity. Pokud je prodáte za pár dolarů, v průběhu času by mohlo být čisté devítimístné výplatní den. Co motivuje lidi k hackování počítačů? Tip: Peníze Co motivuje lidi k hackování počítačů? Tip: Zločinci mohou pomocí technologie vydělávat peníze. Ty to víš. Byli byste však překvapeni, jak geniální mohou být, od hackování a opětovného prodeje serverů až po jejich opětovné nastavení jako lukrativní horníky bitcoinů. pro hackery, téměř bez námahy.
Pak jsou tu nepříjemnější možnosti. Řekněme, že jste cizí moc a s těmito informacemi přijdete do styku. Vše, co musíte udělat, je najít federálního zaměstnance s přístupem do kritického systému, na kterého máte nějakou špínu přes hack. Možná první z nich je ochoten nechat svou nevěru / závislost / sexualitu zveřejnit, aby ochránil svou zemi. Ale ty máš miliony možných cílů. Dříve nebo později vám dojdou vlastenci. Toto je skutečná hrozba z hlediska národní bezpečnosti - i když to může hacker na volné noze použít k vydírání peněz nebo zvýhodňování milionů nevinných lidí.
Bezpečnostní odborník Bruce Schneier (s kým jsme hovořili o otázkách ochrany soukromí a důvěryhodnosti Bezpečnostní odborník Bruce Schneier o heslech, soukromí a důvěře Bezpečnostní odborník Bruce Schneier o heslech, soukromí a důvěře V našem rozhovoru s bezpečnostním odborníkem Bruce Schneierem se dozvíte více o bezpečnosti a soukromí. ) spekulovalo, že existuje další riziko, že by útočníci mohli manipulovat s obsahem databáze během doby, kdy k ní měli přístup. Není jasné, že bychom mohli říct, že databáze byla upravena. Mohli například potenciálně poskytnout bezpečnostní prověrku cizím špionům, což je děsivá myšlenka.
Co můžeme udělat?
Bohužel to pravděpodobně není poslední hack svého druhu. Druh laxních bezpečnostních postupů, které vidíme v OPM, není u vládních agentur své velikosti neobvyklý. Co se stane, když další hack vypne elektřinu na polovinu země? A co řízení letového provozu? Nejedná se o směšné scénáře. Již jsme použili malware k útoku na infrastrukturu; vzpomeňte si na virus Stuxnet, pravděpodobně práce NSA Mohly by se tyto techniky NSA Cyber-Špionáž použít proti vám? Mohly by se tyto techniky kybernetické špionáže NSA použít proti vám? Pokud vás NSA může sledovat - a my víme, že ano - mohou to být i počítačoví zločinci. Zde se dozvíte, jak budou proti vám později použity vládní nástroje. , které jsme použili k fyzickému zničení íránských jaderných odstředivek?
Naše přírodní infrastruktura je trapně zranitelná a hluboce zásadní. To je situace, která není udržitelná. A jak čteme o tomto hacku (a dalším), je důležité si připomenout, že se nejedná o problém, který zmizí, když se zpravodajský cyklus rozptyluje nebo když je propuštěno několik zaměstnanců. Toto je systémová hniloba, která nás bude neustále bolet, dokud to vlastně neopravíme.
Byli jste zasaženi hackem? Máte obavy z nízkých standardů počítačové bezpečnosti? Dejte nám vědět v komentářích!
Obrazové kredity: Konference Defcon, dvoufaktorová krypta, americký Navy CyberDefense, krádež kreditní karty, Keith Alexander