Χάρακες συμβαίνουν. Φαίνεται σαν να είναι σχεδόν κάθε μήνα ότι κάποια μεγάλη εταιρία σβήνει την ασφάλεια των υπολογιστών τους και αφήνει τους χάκερς να απομακρυνθούν με δεδομένα για εκατομμύρια χρήστες. Ο στόχος επιβεβαιώνει μέχρι και 40 εκατομμύρια πιστωτικές κάρτες των Αμερικανών πελατών Δυνητικά Hacked Target Επιβεβαιώνει μέχρι 40 εκατομμύρια Αμερικανικές Πιστωτικές Κάρτες Το Hacked Target μόλις επιβεβαίωσε ότι ένα hack θα μπορούσε να διακυβεύσει τις πληροφορίες της πιστωτικής κάρτας για έως και 40 εκατομμύρια πελάτες που έχουν ψωνίσει στα καταστήματα των ΗΠΑ μεταξύ 27 Νοεμβρίου και 15 Δεκεμβρίου 2013. Διαβάστε περισσότερα. Αλλά τι συμβαίνει όταν δεν είναι εταιρεία, αλλά η κυβέρνηση των ΗΠΑ;
Επί σειρά εβδομάδων, οι ειδήσεις που προέρχονται από το Γραφείο Διαχείρισης Προσωπικού (OPM) έχουν όλο και χειρότερα. Το OPM, ένα ελάχιστα συζητημένο κυβερνητικό γραφείο που αποθηκεύει τα αρχεία για τους υπαλλήλους, έχει αποτελέσει αντικείμενο χαράξεως με πραγματικά ιστορικά μεγέθη.
Οι ακριβείς αριθμοί ήταν δύσκολο να πάρεις μια λαβή. Όταν ανακοινώθηκε αρχικά ο hack, οι ερευνητές διαβεβαίωσαν ότι η παραβίαση ανακαλύφθηκε αμέσως χρησιμοποιώντας το κυβερνητικό πρόγραμμα εσωτερικής ασφάλειας EINSTEIN και επηρέασε τα αρχεία περίπου τεσσάρων εκατομμυρίων εργαζομένων.
Από τότε, είναι ξεκάθαρο ότι το hack ανακαλύφθηκε τυχαία, πολύ μετά την εμφάνισή του - και ο πραγματικός αριθμός που επηρεάζεται είναι περισσότερο σαν είκοσι ένα εκατομμύριο .
Δυστυχώς, η ασφάλεια των υπολογιστών μπορεί να τείνει να είναι συγκεχυμένη και ξηρή. Παρά τις αναφορές, πολλοί από εσάς μπορεί να μην έχουν καλή κατανόηση για το τι έχει ληφθεί, για το πώς συνέβη ή για το πώς σας επηρεάζει. Θα προσπαθήσω να το σπάσω και να απαντήσω σε μερικές βασικές ερωτήσεις σχετικά με το θέμα.
Πώς έγινε ο hack;
Έχουν υπάρξει ενδείξεις ότι κάτι τέτοιο ήταν πιθανό για λίγο. Το Snowden διαρρέει ήρωα ή villain; Η NSA μετριάζει τη στάση της στον ήρωα Snowden ή Villain; Η NSA μετριάζει τη στάση της στον καταγγελέα Snowden Edward Snowden και ο John DeLong του NSA εμφανίστηκε στο χρονοδιάγραμμα για ένα συμπόσιο. Ενώ δεν υπήρξε συζήτηση, φαίνεται ότι η NSA δεν χρωματίζει πλέον το Snowden ως προδότη. Τι άλλαξε; Διαβάστε περισσότερα αποκάλυψε πόσο κακή ασφάλεια ομοσπονδιακού υπολογιστή μπορεί να είναι, ακόμη και εντός του θεωρητικά εμπειρογνώμονα NSA. Η κατάσταση στο OPM ήταν ακόμη χειρότερη. Το ανοιχτό δεν είχε κανένα προσωπικό ασφαλείας μέχρι το 2013. Είχαν προειδοποιήσει επανειλημμένα ότι οι πρακτικές ασφαλείας τους ήταν ευάλωτες στην εισβολή Χειρότερη από την καρδιά; Γνωρίστε ShellShock: Μια νέα απειλή ασφάλειας για OS X και Linux χειρότερα από Heartbleed; Γνωρίστε ShellShock: Μια νέα απειλή ασφάλειας για OS X και Linux Διαβάστε περισσότερα.
Η εικόνα της ανικανότητας συμπληρώνεται από αναφορές ότι η εισβολή ανακαλύφθηκε κατά τη διάρκεια μιας παρουσίασης πωλήσεων από μια εταιρεία που ονομάζεται CyTech Services, η οποία βρήκε το κακόβουλο λογισμικό ενώ ταυτόχρονα απέδειξε το εργαλείο σάρωσης ασφαλείας. Δεν είναι σαφές πόσο καιρό οι χάκερ είχαν πρόσβαση στο σύστημα, αλλά τα "χρόνια" είναι μια πιθανή εικασία.
Δυστυχώς, αυτό απέχει πολύ από ένα απομονωμένο περιστατικό μεταξύ κυβερνητικών υπηρεσιών, και αυτό δεν πρέπει να σας εκπλήσσει. Κοιτάξτε τα κίνητρα: εάν ο Target έχει πειραχτεί, χάνουν εκατομμύρια δολάρια σε αγωγές και έχουν χάσει τις πωλήσεις. Η εταιρεία παίρνει ένα χτύπημα, και οι ανταγωνιστές τους τρώνε μερίδιο αγοράς. Εάν ένα κυβερνητικό γραφείο κάνει το ίδιο λάθος, πολύ λίγα πραγματικά συμβαίνουν. Πυροβολούν μερικά φιλέτα θυσίας και προσπαθούν να φαίνονται σοβαρά κατά τη διάρκεια των ακροάσεων και περιμένουν μερικές εβδομάδες για τον 24ωρο κύκλο ειδήσεων για να αποστασιοποιηθούν από κάτι λαμπερό.
Υπάρχει ελάχιστο πρακτικό κίνητρο για αλλαγή, και πολύ λίγοι νόμοι υπάρχουν σχετικά με την ασφάλεια στον κυβερνοχώρο. Από τους λίγους νόμους υπάρχουν (όπως ο FISMA, ο νόμος για τη διαχείριση της ασφάλειας των πληροφοριών), οι περισσότεροι δεν παρακολουθούνται στενά. Περίπου το 75% των συστημάτων πληροφορικής του OPM δεν συμμορφώθηκε με τον εν λόγω νόμο.
Αυτή είναι μια κατάσταση που είναι κακή και χειροτερεύει. Το Γραφείο Κυβερνητικής Λογοδοσίας ανέφερε τον Απρίλιο ότι ο αριθμός των παραβιάσεων ασφαλείας σε ομοσπονδιακές υπηρεσίες αυξήθηκε από 5.500 το 2006 σε πάνω από 67.000 το 2014. Σε συνέντευξη με τον Re / code, ο συντάκτης της έκθεσης Gregy Wilshusen λέει ότι αυτό οφείλεται στο γεγονός ότι οι υπηρεσίες συχνά έχουν παραμορφωτικές ατέλειες στις εσωτερικές τους διαδικασίες ασφαλείας και συχνά δεν διορθώνουν τα τρωτά σημεία όταν αποκαλύπτονται.
"Όταν αξιολογούμε αυτές τις υπηρεσίες, συχνά διαπιστώνουμε ότι οι εσωτερικές διαδικασίες ελέγχου τους δεν περιλαμβάνουν τίποτα περισσότερο από τη συνέντευξη των εμπλεκόμενων ατόμων και όχι τη δοκιμή των ίδιων των συστημάτων [...] Διαπιστώσαμε ότι τα τρωτά σημεία που εντοπίζουμε ως μέρος των δοκιμών και των διαδικασιών ελέγχου δεν εντοπίζονται ή δεν καθορίζονται από τους οργανισμούς επειδή έχουν ανεπαρκή ή ελλιπή διαδικασία δοκιμών. "
Τι ελήφθη;
Ένα άλλο σημείο σύγχυσης έχει να κάνει με τη φύση των πληροφοριών που είχαν πρόσβαση οι χάκερ. Η αλήθεια είναι ότι είναι αρκετά διαφορετική, επειδή έχουν πρόσβαση σε διάφορες βάσεις δεδομένων. Οι πληροφορίες περιλαμβάνουν αριθμούς κοινωνικής ασφάλισης για σχεδόν όλους - γεγονός που αποτελεί μια τεράστια απειλή κλοπής ταυτότητας από μόνη της. Περιλαμβάνει επίσης 1, 1 εκατομμύρια αντίγραφα δακτυλικών αποτυπωμάτων, τα οποία θέτουν σε κίνδυνο κάθε σύστημα που βασίζεται σε βιομετρικά στοιχεία.
Το πιο ανησυχητικό, μεταξύ των κλεμμένων αρχείων ήταν τα εκατομμύρια των εκθέσεων που αποκτήθηκαν κατά τη διάρκεια ελέγχων ιστορικού και αιτήσεων ασφαλείας. Έχω συμμετάσχει σε αρκετούς ελέγχους ιστορικού, καθώς ένας ανησυχητικός αριθμός παλαιών φίλων μου πανεπιστημίου τώρα εργάζεται για την ομοσπονδιακή κυβέρνηση των ΗΠΑ. Αυτοί οι έλεγχοι φόντου σκάβουν βαθιά. Μιλούν με την οικογένειά σας, τους φίλους σας και τους συγκατοίκους σας για να επαληθεύσουν ολόκληρη τη βιογραφία της ζωής σας. Αναζητούν οποιεσδήποτε υπαινιγμούς απιστίας ή εμπλοκής με μια ξένη εξουσία, καθώς και οτιδήποτε μπορεί να χρησιμοποιηθεί για να σας εκβιάσει: εθισμό, απιστία, τυχερά παιχνίδια, μυστική ομοφυλοφιλία, τέτοιου είδους πράγματα.
Με άλλα λόγια, εάν προσπαθείτε να εκβιάσετε έναν ομοσπονδιακό υπάλληλο, αυτό είναι σχεδόν ένα όνειρο πραγματικότητα. Το σύστημα ελέγχου παρασκηνίου έχει κλείσει μετά από το hack, και δεν είναι σαφές πότε θα ξαναλειτουργήσει.
Υπάρχει επίσης η μεγαλύτερη ανησυχία ότι οι επιτιθέμενοι είχαν πρόσβαση σε αυτά τα συστήματα για μεγάλο χρονικό διάστημα.
Ποιος επηρεάζεται;
Είκοσι ένα εκατομμύριο είναι ένας μεγάλος αριθμός. Το εύρος αυτών που επηρεάζονται άμεσα καλύπτει τους σημερινούς και πρώην ομοσπονδιακούς υπαλλήλους, καθώς και εκείνους που ζήτησαν άδεια ασφαλείας και απορρίφθηκαν. Έμμεσα, όποιος πλησιάζει έναν ομοσπονδιακό υπάλληλο (σκεφτείτε την οικογένεια, τους συζύγους και τους φίλους) θα μπορούσε να επηρεαστεί εάν οι πληροφορίες τους είχαν σημειωθεί στον έλεγχο ιστορικού.
Αν νομίζετε ότι μπορεί να επηρεαστεί από αυτό, το OPM προσφέρει κάποιους βασικούς πόρους προστασίας της ταυτότητας από κλοπές μετά το περιστατικό. Εάν βρίσκεστε ανάμεσα σε αυτούς που είναι άμεσα συμβιβασμένοι, θα πρέπει να λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, καθώς το OPM προσδιορίζει ακριβώς ποιος επηρεάστηκε.
Ωστόσο, αυτές οι προστασίες αφορούν μόνο την κλοπή ταυτότητας και άλλες αρκετά βασικές επιθέσεις που χρησιμοποιούν τα δεδομένα. Για πιο λεπτές πράξεις, όπως η εκβίαση, υπάρχει ένα όριο σε ό, τι μπορεί να κάνει η κυβέρνηση. Η προστασία στερείται μόνο 18 μήνες - ένας ασθενής χάκερ θα μπορούσε εύκολα να καθίσει στις πληροφορίες για τόσο πολύ καιρό.
Τι θα χρησιμοποιηθούν τα δεδομένα;
Τέλος, έχουμε το ζήτημα των εκατομμυρίων δολαρίων. Ποιος πήρε τα δεδομένα και τι σχεδιάζουν να κάνουν με αυτό; Η απάντηση είναι ότι, δυστυχώς, δεν γνωρίζουμε πραγματικά. Οι ανακριτές επεσήμαναν τα δάχτυλά τους στην Κίνα, αλλά δεν έχουμε δει συγκεκριμένα αποδεικτικά στοιχεία που να αποδεσμεύονται. Ακόμα και τότε, δεν είναι ξεκάθαρο αν μιλάμε για κινέζους ελεύθερους επαγγελματίες, την κινεζική κυβέρνηση, ή κάτι στο μεταξύ.
Έτσι, χωρίς να γνωρίζουν τους επιτιθέμενους ή τα κίνητρά τους, τι θα μπορούσε να γίνει με αυτά τα δεδομένα;
Ακριβώς από το ρόπαλο, μερικές προφανείς επιλογές παρουσιάζονται. Οι αριθμοί κοινωνικής ασφάλισης δεν αλλάζουν εύκολα, και ο καθένας μπορεί να χρησιμοποιηθεί σε μια ενδεχομένως κερδοφόρα κλοπή ταυτότητας. Πώληση αυτών για μερικά δολάρια το καθένα, με την πάροδο του χρόνου, θα μπορούσε να καθαρή μια υγιή εννέα ποσό payday Τι κινεί τους ανθρώπους να Hack Υπολογιστές; Συμβουλή: Τα χρήματα που ωθούν τους ανθρώπους να hack υπολογιστές; Συμβουλή: Χρήστες εγκληματιών μπορούν να χρησιμοποιήσουν την τεχνολογία για να βγάλουν λεφτά. Το ξέρεις αυτό. Αλλά θα εκπλαγείτε πόσο έξυπνοι μπορούν να είναι, από την πειρατεία και τη μεταπώληση διακομιστών για να τους επαναπροσδιορίσουν ως κερδοφόρους ανθρακωρύχους Bitcoin. Διαβάστε περισσότερα για τους χάκερς, χωρίς σχεδόν καμία προσπάθεια.
Έπειτα, υπάρχουν πιο αυστηρές επιλογές. Ας πούμε ότι είστε ξένη δύναμη και έρχεστε σε επαφή με αυτές τις πληροφορίες. Το μόνο που χρειάζεται να κάνετε είναι να βρείτε έναν ομοσπονδιακό υπάλληλο με πρόσβαση σε ένα κρίσιμο σύστημα, το οποίο έχετε κάποιες ακαθαρσίες μέσα από το hack. Ίσως ο πρώτος να είναι πρόθυμος να αφήσει την απιστία / εθισμό / σεξουαλικότητα τους να γίνει δημόσια για να προστατεύσει τη χώρα τους. Αλλά έχετε εκατομμύρια πιθανών στόχων. Αργά ή αργότερα, θα εξαντληθούν οι πατριώτες. Αυτή είναι η πραγματική απειλή, από την πλευρά της εθνικής ασφάλειας - αν και ακόμη και ένας ελεύθερος χάκερ θα μπορούσε να το χρησιμοποιήσει για να εξαπολύσει χρήματα ή να ευνοήσει εκατομμύρια αθώους ανθρώπους.
Εμπειρογνώμονας ασφαλείας Bruce Schneier (με τους οποίους μιλήσαμε για ζητήματα εμπιστευτικότητας και εμπιστοσύνης) Bruce Schneier σχετικά με τους κωδικούς πρόσβασης, τον απόρρητο και τον εμπιστευτικό έλεγχο της ασφάλειας Trust Μάθετε περισσότερα για την ασφάλεια και την ιδιωτικότητα στη συνέντευξή μας στον εμπειρογνώμονα ασφαλείας Bruce Schneier. Διαβάστε περισσότερα) έχει υποθέσει ότι υπάρχει ένας πρόσθετος κίνδυνος ότι οι επιτιθέμενοι θα μπορούσαν να έχουν παραποιήσει τα περιεχόμενα της βάσης δεδομένων κατά τη στιγμή που είχαν πρόσβαση σε αυτήν. Δεν είναι ξεκάθαρο ότι θα μπορούσαμε να πούμε ότι η βάση δεδομένων είχε τροποποιηθεί. Θα μπορούσαν, για παράδειγμα, να έχουν δώσει άδεια ασφαλείας στους αλλοδαπούς κατασκόπους, πράγμα που είναι μια τρομακτική σκέψη.
Τι μπορούμε να κάνουμε?
Δυστυχώς, αυτό δεν είναι ίσως το τελευταίο χάος αυτού του είδους. Το είδος των χαλαρών διαδικασιών ασφαλείας που βλέπουμε στο OPM δεν είναι ασυνήθιστο σε κυβερνητικές υπηρεσίες του μεγέθους του. Τι συμβαίνει εάν η επόμενη χάκερ σβήσει την ηλεκτρική ενέργεια στη μισή χώρα; Τι γίνεται με τον έλεγχο της εναέριας κυκλοφορίας; Αυτά δεν είναι γελοία σενάρια. Έχουμε ήδη χρησιμοποιήσει κακόβουλο λογισμικό για να επιτεθεί σε υποδομές. θυμηθείτε τον ιό Stuxnet, πιθανόν το έργο της NSA Θα μπορούσε να χρησιμοποιηθούν αυτές οι τεχνικές NSA Cyber-Espionage ενάντια σε σας; Θα μπορούσαν αυτές οι τεχνικές NSA Cyber-Espionage να χρησιμοποιηθούν εναντίον σας; Εάν το NSA μπορεί να σας εντοπίσει - και γνωρίζουμε ότι μπορεί - έτσι μπορούν και οι εγκληματίες του κυβερνοχώρου. Δείτε πώς τα εργαλεία που έχουν δημιουργηθεί από την κυβέρνηση θα χρησιμοποιηθούν αργότερα. Διαβάστε περισσότερα, τα οποία χρησιμοποιήσαμε για να καταστρέψουμε φυσικά τις πυρηνικές φυγοκεντρικές της Ιράν;
Η φυσική μας υποδομή είναι ενοχλητικά ευάλωτη και βαθιά κρίσιμη. Αυτή είναι μια κατάσταση που δεν είναι βιώσιμη. Και, καθώς διαβάζουμε σχετικά με αυτό το hack (και το επόμενο), είναι σημαντικό να υπενθυμίσουμε ότι αυτό δεν είναι ένα ζήτημα που απομακρύνεται όταν ο κύκλος των ειδήσεων αποστασιοποιείται ή όταν εκτοξεύονται μερικοί εργαζόμενοι. Αυτή είναι μια συστηματική σήψη, η οποία θα μας πλήξει ξανά και ξανά, μέχρι να την διορθώσουμε.
Είχατε επηρεαστεί από το hack; Ανησυχείτε για τα χαμηλά πρότυπα ασφάλειας των υπολογιστών; Ενημερώστε μας στα σχόλια!
Πιστωτικές κάρτες: Defcon Conference, Crypto Card Two Factor, US CyberDefense Ναυτικού, Κλοπή Πιστωτικής Κάρτας, Keith Alexander