Che cos'è Hack OPM e cosa significa per te?

Per diverse settimane, le notizie che escono dall'Office of Personnel Management (OPM) sono peggiorate costantemente, in seguito a un attacco di proporzioni storiche. Ma cosa è successo veramente, e cosa puoi fare a riguardo?

Per diverse settimane, le notizie che escono dall'Office of Personnel Management (OPM) sono peggiorate costantemente, in seguito a un attacco di proporzioni storiche.  Ma cosa è successo veramente, e cosa puoi fare a riguardo?
Annuncio pubblicitario

Capita Sembra quasi ogni mese che alcune grosse società indeboliscano la loro sicurezza informatica e consentano agli hacker di fare i conti con milioni di utenti. Target conferma fino a 40 milioni di clienti USA Le carte di credito potenzialmente compromesse confermano fino a 40 milioni di clienti statunitensi Carte di credito Potenzialmente Hacked Target ha appena confermato che un hack potrebbe aver compromesso le informazioni della carta di credito per un massimo di 40 milioni di clienti che hanno fatto acquisti nei propri negozi negli Stati Uniti tra il 27 novembre e il 15 dicembre 2013. Ulteriori informazioni. Ma cosa succede quando non è una società, ma il governo degli Stati Uniti?

Da settimane ormai, le notizie che escono dall'Office of Personnel Management (OPM) sono peggiorate costantemente. L'OPM, un ufficio governativo poco discusso che memorizza i documenti sui dipendenti, è stato oggetto di un hack di proporzioni veramente storiche.

I numeri esatti sono stati difficili da gestire. Quando l'hacking fu annunciato per la prima volta, gli investigatori furono assicurati che la violazione fu scoperta prontamente usando il programma di sicurezza interna del governo EINSTEIN, e colpì i record di circa quattro milioni di impiegati.

Da allora, è diventato chiaro che l'hack è stato scoperto casualmente, molto tempo dopo che si è verificato - e il numero effettivo interessato è più simile a ventuno milioni .

Sfortunatamente, la sicurezza del computer può essere confusa e secca. Nonostante tutti i rapporti, molti di voi potrebbero ancora non avere una buona comprensione di ciò che è stato preso, di come è successo o di come esso influisce su di voi. Farò uno sforzo per scomporlo e rispondere ad alcune domande di base sul problema.

Come è successo l'hacker?

Ci sono stati segnali che questo genere di cose era probabile per un po '. The Snowden perde Hero o Villain? L'NSA ha moderato la sua posizione su Snowden Hero o Villain? L'NSA moderò la sua posizione su Snowden Whistleblower Edward Snowden e John DeLong della NSA apparvero nel programma di un simposio. Mentre non c'era dibattito, sembra che l'NSA non dipinga più Snowden come un traditore. Cosa è cambiato? Leggi di più ha rivelato quanto sia pessima la sicurezza informatica del computer, anche all'interno della NSA teoricamente esperta. La situazione all'OPM è stata persino peggiore. L'open non aveva dipendenti di sicurezza fino al 2013. Erano stati ripetutamente avvertiti che le loro pratiche di sicurezza erano vulnerabili all'intrusione di Worse Than Heartbleed? Conoscere ShellShock: una nuova minaccia per la sicurezza per OS X e Linux Peggio di Heartbleed? Scopri ShellShock: una nuova minaccia per la sicurezza per OS X e Linux Ulteriori informazioni.

L'immagine dell'incompetenza è completata dai rapporti secondo cui l'incursione è stata scoperta durante una presentazione di vendita da parte di una società chiamata CyTech Services, che ha rilevato il malware dimostrando il proprio strumento di scansione di sicurezza. Non è chiaro per quanto tempo gli hacker hanno avuto accesso al sistema, ma "anni" è un'ipotesi plausibile.

1594411528_1512b1aad5_z

Sfortunatamente, questo è lontano da un incidente isolato tra agenzie governative, e questo non dovrebbe sorprendervi. Guarda gli incentivi: se Target viene violato, perdono milioni di dollari in cause legali e vendite perse. L'azienda subisce un colpo e i suoi concorrenti mangiano quote di mercato. Se un ufficio governativo commette lo stesso errore, in realtà accade ben poco. Sparano alcuni agnelli sacrificali e cercano di sembrare solenni durante le audizioni, e aspettano alcune settimane per il ciclo di notizie di 24 ore per distrarsi da qualcosa di lucido.

C'è ben poco incentivo pratico a cambiare e pochissime leggi esistono in materia di sicurezza informatica. Tra le poche leggi (come la FISMA, la legge federale sulla gestione della sicurezza delle informazioni), la maggior parte non viene seguita da vicino. Circa il 75% dei sistemi informatici dell'OPM non era conforme a tale legge.

Questa è una situazione che è male e sta peggiorando. Nel mese di aprile il Government Accountability Office ha riferito che il numero di violazioni della sicurezza presso le agenzie federali è salito da 5.500 nel 2006 a più di 67.000 nel 2014. In un'intervista a Re / code, Gregy Wilshusen, autore del rapporto, afferma che questo è dovuto al fatto che le agenzie spesso hanno falle paralizzanti nelle loro procedure di sicurezza interne e spesso non risolvono le vulnerabilità una volta scoperte.

"Quando valutiamo queste agenzie, spesso scopriamo che le loro procedure di test interne non coinvolgono altro che intervistare le persone coinvolte e non testare i sistemi stessi. [...] Abbiamo costantemente riscontrato che le vulnerabilità che identifichiamo come parte delle nostre procedure di test e audit sono non vengono trovati o fissati dalle agenzie perché hanno procedure di test inadeguate o incomplete. "

Cosa è stato preso?

keychainlogin

Un altro punto di confusione ha a che fare con la natura delle informazioni a cui gli hacker hanno avuto accesso. La verità è che è piuttosto diversificata, perché sono stati aperti diversi database. Le informazioni includono numeri di previdenza sociale per quasi tutti - il che rappresenta un'enorme minaccia di furto di identità da solo. Include anche 1, 1 milioni di record di impronte digitali, che mettono in pericolo qualsiasi sistema basato sulla biometria.

In modo allarmante, tra i record rubati ci sono milioni di segnalazioni ottenute durante i controlli di background e le domande di nulla osta di sicurezza. Ho partecipato a una serie di verifiche sul passato, poiché un numero allarmante dei miei vecchi amici del college ora lavora per il governo federale degli Stati Uniti. Questi controlli di background scavano in profondità. Parlano con la tua famiglia, i tuoi amici e i tuoi coinquilini per verificare la tua intera biografia. Stanno cercando qualche indizio di slealtà, o coinvolgimento con una potenza straniera, così come qualsiasi cosa che possa essere usata per ricattarti: dipendenza, infedeltà, gioco d'azzardo, omosessualità segreta, quel genere di cose.

In altre parole, se stai cercando di ricattare un impiegato federale, questo è praticamente un sogno che si avvera. Il sistema di controllo in background è stato disattivato in seguito all'hack e non è chiaro quando sarà di nuovo operativo.

C'è anche la preoccupazione più grande che gli aggressori abbiano avuto accesso a questi sistemi per molto tempo.

Chi è interessato?

Ventuno milioni sono un grande numero. La gamma di persone direttamente interessate si estende a dipendenti federali attuali ed ex, nonché a coloro che hanno richiesto un nulla osta di sicurezza e sono stati respinti. Indirettamente, chiunque sia vicino a un dipendente federale (pensa a famiglia, coniugi e amici) potrebbe subire un impatto se le sue informazioni sono state annotate nel controllo in background.

Se pensi di poter essere influenzato da questo, l'OPM offre alcune risorse di protezione di furto di identità di base sulla scia dell'incidente. Se sei tra quelli direttamente compromessi, dovresti ricevere un'email, poiché l'OPM individua esattamente chi è stato colpito.

Tuttavia, queste protezioni rappresentano solo il furto di identità e altri attacchi piuttosto semplici che utilizzano i dati. Per cose più sottili, come l'estorsione, c'è un limite a ciò che il governo può fare. La protezione manca solo di 18 mesi: un hacker paziente potrebbe facilmente sedersi sulle informazioni per così tanto tempo.

081.203-N-2147L-390

Per cosa verranno utilizzati i dati?

Infine, abbiamo la domanda da un milione di dollari. Chi ha preso i dati e cosa hanno intenzione di fare con questo? La risposta è che, sfortunatamente, non lo sappiamo davvero. Gli investigatori hanno puntato le dita contro la Cina, ma non abbiamo visto alcuna prova concreta rilasciata per sostenere questo. Anche allora, non è chiaro se stiamo parlando di freelance cinesi, del governo cinese o di qualcosa in mezzo.

Quindi, senza conoscere gli aggressori o le loro motivazioni, cosa si potrebbe fare con questi dati?

A prima vista, alcune opzioni ovvie si presentano. I numeri di previdenza sociale non sono facilmente modificabili e ognuno può essere utilizzato in un furto di identità potenzialmente redditizio. Vendendo questi per pochi dollari ciascuno, nel tempo, si potrebbe ottenere un sano payday a nove cifre Ciò che motiva le persone a hackerare i computer? Suggerimento: denaro Cosa motiva le persone a hackerare i computer? Suggerimento: i criminali del denaro possono usare la tecnologia per fare soldi. Lo sai. Ma ti sorprenderebbe quanto possano essere ingegnosi, dall'hacking e alla rivendita dei server alla riconfigurazione come minatori redditizi di Bitcoin. Leggi di più per gli hacker, senza quasi nessuno sforzo.

Catturare la bandiera

Poi ci sono le opzioni più cattive. Diciamo che sei una potenza straniera e entri in contatto con queste informazioni. Tutto quello che devi fare è trovare un impiegato federale con accesso a un sistema critico, con cui hai un po 'di sporcizia tramite l'hack. Forse il primo è disposto a lasciare che la loro infedeltà / dipendenza / sessualità diventi pubblica per proteggere il loro paese. Ma tu hai milioni di possibili obiettivi. Prima o poi, finirai per rimanere senza patrioti. Questa è la vera minaccia, dal punto di vista della sicurezza nazionale - anche se anche un hacker freelance potrebbe usarlo per estorcere denaro o favori da milioni di persone innocenti.

Esperto di sicurezza Bruce Schneier (a cui abbiamo parlato su questioni di privacy e fiducia Esperto di sicurezza Bruce Schneier su password, privacy e fiducia Esperto di sicurezza Bruce Schneier su password, privacy e fiducia Scopri di più sulla sicurezza e sulla privacy nell'intervista con l'esperto di sicurezza Bruce Schneier. Leggi di più) ha ipotizzato che vi sia un ulteriore rischio che gli aggressori possano aver manomesso il contenuto del database durante il tempo in cui hanno avuto accesso ad esso. Non è chiaro che saremmo in grado di dire che il database è stato modificato. Potrebbero, ad esempio, potenzialmente aver dato l'autorizzazione di sicurezza alle spie straniere, il che è un pensiero spaventoso.

Cosa possiamo fare?

Sfortunatamente, questo probabilmente non è l'ultimo hack del suo genere. Il tipo di procedure di sicurezza lassiste che vediamo nell'OPM non è raro nelle agenzie governative delle sue dimensioni. Cosa succede se il prossimo hack spegne l'elettricità in metà del paese? E il controllo del traffico aereo? Questi non sono scenari ridicoli. Abbiamo già usato malware per attaccare l'infrastruttura; ricorda il virus Stuxnet, probabilmente il lavoro della NSA potrebbe utilizzare queste tecniche di spionaggio informatico della NSA contro di te? Queste tecniche di spionaggio informatico della NSA potrebbero essere usate contro di te? Se l'NSA è in grado di rintracciarti - e sappiamo che può farlo - lo possono anche i criminali informatici. Ecco come verranno utilizzati strumenti governativi contro di te più tardi. Per saperne di più, che abbiamo usato per distruggere fisicamente le centrifughe nucleari iraniane?

La nostra infrastruttura naturale è imbarazzantemente vulnerabile e profondamente cruciale. Questa è una situazione che non è sostenibile. E, come abbiamo letto su questo hack (e il prossimo), è importante ricordare a noi stessi che questo non è un problema che va via quando il ciclo di notizie viene distratto, o quando alcuni dipendenti vengono licenziati. Questo è un marciume sistemico, che continuerà a ferirci, ancora e ancora, fino a quando non lo risolviamo.

Eri affetto dall'hack? Preoccupato per bassi standard di sicurezza informatica? Fateci sapere nei commenti!

Crediti immagine: Defcon Conference, Crypto Card Two Factor, US Navy CyberDefense, Carta di credito Theft, Keith Alexander

In this article