Hva er OPM Hack, og hva betyr det for deg?
Hack skjer. Det virker som om det er nesten hver måned at noen store selskaper flubber deres datasikkerhet og lar hackere gjøre av med data på millioner av brukere. Target bekrefter opptil 40 millioner amerikanske kunder. Kredittkort Potensielt hacket mål bekrefter opptil 40 millioner amerikanske kunder. Kredittkort potensielt Hacked Target har nettopp bekreftet at en hack kunne ha kompromittert kredittkortinformasjonen for opptil 40 millioner kunder som har handlet i sine amerikanske butikker mellom 27. november og 15. desember 2013. Les mer. Men hva skjer når det ikke er et selskap, men den amerikanske regjeringen?
For flere uker nå har nyheten som kommer ut av Byrået for Personellforvaltning (OPM), blitt stadig dårligere. OPM, et lite diskutert regjeringskontor som lagrer rekord på ansatte, har vært gjenstand for et hack av virkelig historiske proporsjoner.
De nøyaktige tallene har vært utfordrende for å få et håndtak på. Når hacken først ble annonsert, ble etterforskerne forsikret om at bruddet ble oppdaget raskt ved hjelp av regjeringens EINSTEIN interne sikkerhetsprogram, og det rammet registret på rundt fire millioner ansatte.
Siden da har det blitt klart at hacken ble oppdaget ved et uhell, lenge etter at det skjedde - og det faktiske antallet som er berørt er mer som tjueen millioner.
Dessverre kan datasikkerhet være forvirrende og tørr. Til tross for all rapportering, kan mange av dere fortsatt ikke ha en god forståelse av hva som ble tatt, hvordan det skjedde, eller hvordan det påvirker deg. Jeg skal gjøre en innsats for å bryte den ned og svare på noen grunnleggende spørsmål om problemet.
Hvordan skjedde hakken?
Det har vært tegn på at dette var sannsynlig en stund. Snowden lekk helt eller villain? NSA modererer sin holdning til Snowden Hero eller Villain? NSA modererer sin holdning til Snowden Whistleblower Edward Snowden og NSAs John DeLong dukket opp på planen for et symposium. Mens det ikke var noen debatt, virker det som NSA ikke maler Snowden lenger som en forræder. Hva er forandret? Les mer avslørte hvor dårlig føderal datasikkerhet kan være, selv innenfor den teoretisk ekspert NSA. Situasjonen på OPM var enda verre. Den åpne hadde ingen sikkerhetsansatte i det hele tatt frem til 2013. De hadde blitt gjentatte ganger advart om at deres sikkerhetspraksis var sårbar for inntrenging verre enn hjerteblod? Møt ShellShock: En ny sikkerhetstrussel for OS X og Linux Verre enn Heartbleed? Møt ShellShock: En ny sikkerhetstrussel for OS X og Linux Read More .
Bildet av inkompetanse er fullført av rapporter at innbruddet ble oppdaget under a salgspresentasjon av et selskap kalt CyTech Services, som fant malware mens de demonstrerte sitt sikkerhetssøkingsverktøy. Det er ikke klart hvor lenge hackere hadde tilgang til systemet, men "år" er et antagelig gjetning.
Dessverre er dette langt fra en isolert hendelse blant myndigheter, og det bør ikke overraske deg. Se på insentiver: Hvis Target er hacket, mister de millioner av dollar i søksmål og tapt salg. Selskapet tar en hit, og konkurrentene deres spiser opp markedsandeler. Hvis et regjeringskontor gjør samme feil, skjer det veldig lite faktisk. De brenner noen offerlam og prøver å se høytidelig under høringene, og vent noen uker i 24-timers nyhetssyklus for å bli distrahert av noe skinnende.
Det er svært lite praktisk incitament til å forandre seg, og det er svært få lover som gjelder cybersikkerhet. Av de få lovene er det (som FISMA, Federal Information Security Management Act), de fleste følger ikke nøye. Rundt 75% av OPMs datasystemer overholdt ikke loven.
Dette er en situasjon som er dårlig og blir verre. Regjeringsansvarskontoret rapporterte i april at antallet sikkerhetsbrudd ved føderale byråer skyroket fra 5.500 i 2006 til over 67.000 i 2014. I et intervju med Re / Code, sier Gregy Wilshusen, forfatteren av rapporten, at dette skyldes at byråer har ofte forbrytende feil i sine interne sikkerhetsprosedyrer, og ofte retter de ikke sårbarheter når de er avdekket.
“Når vi vurderer disse byråene, finner vi ofte at deres interne testprosedyrer ikke involverer noe annet enn å intervjue de involverte, og ikke teste systemene selv. [...] Vi har konsekvent funnet at sårbarheter som vi identifiserer som en del av test- og revisjonsprosedyrene, ikke er blir funnet eller fastsatt av byråene fordi de har utilstrekkelige eller ufullstendige testprosedyrer.”
Hva ble tatt?
Et annet forvirringspunkt har å gjøre med innholdet av informasjonen hackerne hadde tilgang til. Sannheten er at den er ganske variert, fordi flere databaser ble åpnet. Informasjonen inkluderer personnummer for nesten alle - som gir en stor trussel om identitetstyveri i seg selv. Den inneholder også 1,1 millioner fingeravtrykksposter, noe som forstyrrer ethvert system som er avhengig av biometri.
Det var mest alarmerende, blant de regjeringer som ble stjålet, millioner av rapporter oppnådd under bakgrunnskontroll og sikkerhetsgodkjenningsapplikasjoner. Jeg har deltatt i en rekke bakgrunnskontroller, da et alarmerende antall av mine gamle høyskolevenner jobber nå for den amerikanske føderale regjeringen. Denne bakgrunnen sjekker deg dypt. De snakker med familien, vennene dine og romkameratene dine for å verifisere hele livets biografi. De leter etter et hvilket som helst hint av mislighold, eller engasjement med en fremmed makt, så vel som alt som muligens kan brukes til å utpresse deg: avhengighet, utroskap, gambling, hemmelig homoseksualitet, den slags ting.
Med andre ord, hvis du ønsker å utpresse en føderal ansatt, er dette ganske mye en drøm som går i oppfyllelse. Bakgrunnskontrollsystemet har slått seg ned i kjølvannet av hacken, og det er ikke klart når det kommer til å fungere igjen.
Det er også større bekymring for at angriperne hadde tilgang til disse systemene i lang tid.
Hvem er berørt?
Tjueen millioner er et stort nummer. Utvalget av de direkte berørte, spenner over nåværende og tidligere føderale medarbeidere, samt de som søkte om sikkerhetsgodkjenning, og ble avslått. Indirekte kan enhver nær en føderal medarbeider (tankefamilie, ektefeller og venner) bli påvirket dersom informasjonen ble notert i bakgrunnskontrollen.
Hvis du mener at du kan bli påvirket av dette, tilbyr OPM noen grunnleggende identitetstyveribeskyttelsesressurser i kølvandet på hendelsen. Hvis du er blant de direkte kompromitterte, bør du få en e-post, da OPM finner ut nøyaktig hvem som ble berørt.
Imidlertid står disse beskyttelsene bare for identitetstyveri og andre ganske grunnleggende angrep ved bruk av dataene. For mer subtile ting, som utpressing, er det en grense for hva regjeringen kan gjøre. Beskyttelsen mangler bare 18 måneder - en pasient hacker kunne lett sitte på informasjonen i så lang tid.
Hva skal dataene brukes til?
Til slutt har vi million dollar-spørsmålet. Hvem tok dataene, og hva skal de gjøre med det? Svaret er at vi dessverre ikke vet. Undersøkere har pekt fingrene sine i Kina, men vi har ikke sett noen konkrete bevis som er utgitt for å få tilbake dette. Selv da er det ikke klart om vi snakker om kinesiske frilansere, den kinesiske regjeringen, eller noe i mellom.
Så uten å vite angriperne eller deres motiver, hva kunne gjøres med disse dataene?
Rett utenfor flaggermuset presenterer noen åpenbare alternativer seg. Sosialtallsnummer er ikke lett forandret, og hver enkelt kan brukes i et potensielt lønnsomt identitetsstyveri. Selge disse for noen få dollar hver, over tid, kan netto en sunn ni-tallers lønningsdag Hva motiverer folk til å hackere datamaskiner? Hint: Penger som motiverer folk til å hakke datamaskiner? Tips: Money Criminals kan bruke teknologi for å tjene penger. Du vet dette. Men du ville bli overrasket over hvor genialt de kan være, fra hacking og videresalg av servere til å omkonfigurere dem som lukrative Bitcoin gruvearbeidere. Les mer for hackerne, med nesten ingen innsats.
Deretter er det nastier alternativer. La oss si at du er en utenlandsk makt, og du kommer i kontakt med denne informasjonen. Alt du trenger å gjøre er å finne en føderal medarbeider med tilgang til et kritisk system, hvem du har noe smuss på via hacken. Kanskje den første er villig til å la sin utroskap / avhengighet / seksualitet bli offentlig for å beskytte landet deres. Men du har millioner av mulige mål. Før eller senere kommer du til å løpe ut av patrioter. Dette er den virkelige trusselen, fra et nasjonal sikkerhetsperspektiv - selv om en freelance hacker kunne bruke dette til å presse penger eller favoriserer fra millioner av uskyldige mennesker.
Sikkerhetsekspert Bruce Schneier (som vi snakket med på spørsmål om personvern og tillit Sikkerhetsekspert Bruce Schneier på passord, personvern og tillitssikkerhetsekspert Bruce Schneier på passord, personvern og tillit Lær mer om sikkerhet og personvern i vårt intervju med sikkerhetsekspert Bruce Schneier. Les mer) har spekulert på at det er en ekstra risiko for at angriperne kunne ha manipulert med innholdet i databasen i løpet av den tiden de hadde tilgang til. Det er ikke klart at vi kunne fortelle at databasen hadde blitt endret. De kunne for eksempel ha potensielt gitt sikkerhetsgodkjenning til utenlandske spioner, noe som er en skremmende tanke.
Hva kan vi gjøre?
Dessverre er dette sannsynligvis ikke den siste hack av sitt slag. Den slags lax sikkerhetsprosedyrer vi ser i OPM er ikke uvanlig i regjeringsorganer av sin størrelse. Hva skjer hvis neste hack slår av strøm til halvparten av landet? Hva med flytrafikkontroll? Dette er ikke latterlige scenarier. Vi har allerede brukt malware til å angripe infrastruktur; husker Stuxnet-viruset, sannsynligvis NSA-arbeidet, kan disse NSA-cyber-spionageteknikker brukes mot deg? Kunne disse NSA Cyber-Spionage Techniques bli brukt mot deg? Hvis NSA kan spore deg - og vi vet det kan - så kan cyberkriminelle. Slik gjør du hvordan regjeringens verktøy vil bli brukt mot deg senere. Les mer, som vi pleide å ødelegge iranske nukleære sentrifuger?
Vår naturlige infrastruktur er pinlig sårbar, og dypt viktig. Det er en situasjon som ikke er bærekraftig. Og som vi leser om denne hacken (og den neste), er det viktig å minne oss selv om at dette ikke er et problem som går bort når nyhetssyklusen blir distrahert, eller når noen få ansatte blir sparket. Dette er et systemisk rot, en som kommer til å fortsette å skade oss, om og om igjen, til vi faktisk løser det.
Ble du påvirket av hacken? Bekymret for lave standarder for datasikkerhet? Gi oss beskjed i kommentarene!
Bildekreditter: Defcon Conference, Crypto Card Two Factor, US Navy CyberDefense, Kredittkorttyveri, Keith Alexander
Utforsk mer om: Datasikkerhet, hacking, nettverkssikkerhet.