Что такое взлом OPM и что он означает для вас?

Взломы случаются. Кажется, что почти каждый месяц какая-то крупная корпорация нарушает безопасность своих компьютеров и позволяет хакерам утащить данные о миллионах пользователей. Но что происходит, когда это не корпорация, а правительство США?

Уже несколько недель новости приходят из Офиса управления персоналом (OPM) неуклонно ухудшается. OPM, мало обсуждаемое государственное учреждение, которое хранит записи о сотрудниках, стало предметом взлома поистине исторического масштаба.

Было сложно разобраться с точными числами. Когда о взломе было впервые объявлено, следователи заверили, что взлом был обнаружен незамедлительно с помощью правительственной программы внутренней безопасности EINSTEIN и затронул записи примерно четырех миллионов сотрудников.

С тех пор стало ясно, что взлом был обнаружен случайно, спустя много времени после того, как он произошел — и фактическое число пострадавших больше похоже на двадцать один миллион .

К сожалению, компьютерная безопасность может сбивать с толку и сбивать с толку. Несмотря на все сообщения, многие из вас все еще могут не иметь четкого представления о том, что было снято, как это произошло или как это повлияло на вас. Я постараюсь разобрать его и ответить на несколько основных вопросов по проблеме.

Как произошел взлом?

Были признаки того, что подобное было возможно какое-то время. Утечка Сноудена показала, насколько плохой может быть федеральная компьютерная безопасность даже в рамках теоретически опытного АНБ. Ситуация на OPM была еще хуже. У Open не было сотрудников службы безопасности вообще до 2013 года. Их неоднократно предупреждали, что их методы обеспечения безопасности уязвимы для вторжений.

Картина некомпетентности дополняется сообщениями о том, что вторжение было обнаружено во время презентации компанией CyTech Services, которая обнаружила вредоносное ПО, продемонстрировав свою безопасность. инструмент сканирования. Неясно, как долго хакеры имели доступ к системе, но «годы» — вполне правдоподобное предположение.

К сожалению, это далеко не единичный инцидент в правительстве. агентства, и это не должно вас удивлять. Посмотрите на стимулы: если Target будет взломан, они потеряют миллионы долларов в судебных процессах и потеряют продажи. Компания получает удар, а ее конкуренты съедают долю рынка.. Если правительственное учреждение совершает ту же ошибку, на самом деле происходит очень мало. Они запускают несколько жертвенных ягнят и стараются выглядеть торжественно во время слушаний, а также ждут несколько недель, пока 24-часовой цикл новостей не отвлечется на что-то блестящее.

Практического стимула к изменениям очень мало, и существует очень мало законов, касающихся кибербезопасности. Из немногих существующих законов (таких как FISMA, Федеральный закон об управлении информационной безопасностью) большинство не соблюдаются должным образом. Около 75% компьютерных систем OPM не соответствовали этому закону.

Это плохая ситуация, которая ухудшается. Счетная палата правительства сообщила в апреле, что количество нарушений безопасности в федеральных агентствах резко возросло с 5 500 в 2006 г. до более 67 000 в 2014 г. В интервью Re/code автор отчета Греги Вилшузен сказал, что это связано с тем, что агентства часто имеют серьезные недостатки в процедурах внутренней безопасности и часто не устраняют уязвимости после их обнаружения.

«Когда мы оцениваем эти агентства, мы часто обнаруживаем, что их процедуры внутреннего тестирования не включают ничего, кроме опроса вовлеченных людей, а не тестирования самих систем […] Мы постоянно обнаруживал, что уязвимости, которые мы определяем в рамках наших процедур тестирования и аудита, не обнаруживаются и не исправляются агентствами, поскольку у них используются неадекватные или неполные процедуры тестирования ».

Что было снято?

Еще одна путаница связана с характером информации, к которой хакеры имели доступ. Правда в том, что это довольно разнообразно, потому что было обращено к нескольким базам данных. Информация включает номера социального страхования практически для всех, что само по себе представляет огромную угрозу кражи личных данных. Он также включает 1,1 миллиона записей отпечатков пальцев, что ставит под угрозу любую систему, основанную на биометрии.

Наиболее тревожно то, что среди украденных записей были миллионы отчетов, полученных в ходе проверок биографических данных и заявлений о допуске к безопасности. Я участвовал в ряде проверок биографических данных, поскольку тревожное количество моих старых друзей по колледжу теперь работают на федеральное правительство США. Эти фоновые проверки копают глубоко. Они разговаривают с вашей семьей, вашими друзьями и вашими соседями по комнате, чтобы проверить всю вашу жизненную биографию. Они ищут любые намеки на нелояльность или причастность к иностранной державе, а также все, что может быть использовано для шантажа: зависимость, неверность, азартные игры, тайный гомосексуальность и тому подобное.

Другими словами, если вы хотите шантажировать федерального служащего, это в значительной степени мечта.. Система фоновой проверки отключилась после взлома, и неясно, когда она снова заработает.

Есть также большая проблема, что злоумышленники долгое время имели доступ к этим системам.

Кто пострадал?

Двадцать- миллион — большое число. В число тех, кто напрямую пострадал, входят нынешние и бывшие федеральные служащие, а также те, кто обратился за разрешением на проверку и получил отказ. Косвенно, кто-либо из близких к федеральному служащему (например, семья, супруги и друзья) может пострадать, если их информация будет учтена при проверке биографических данных.

Если вы думаете, что это может на вас повлиять, OPM предлагает некоторые базовые ресурсы защиты от кражи личных данных сразу после инцидента. Если вы входите в число тех, кто был напрямую скомпрометирован, вы должны получить электронное письмо, поскольку OPM точно выяснит, кто именно пострадал.

Однако эти средства защиты учитывают только кражу личных данных и другие довольно простые атаки с использованием данных. Для более тонких вещей, таких как вымогательство, есть предел тому, что может сделать правительство. Защите не хватает всего 18 месяцев — терпеливый хакер мог спокойно просидеть на информации столько времени.

Для чего будут использоваться данные?

Наконец, у нас есть вопрос на миллион долларов. Кто взял данные и что они планируют с ними делать? Ответ в том, что, к сожалению, мы не знаем. Следователи указали пальцем на Китай, но мы не видели никаких конкретных доказательств, подтверждающих это. Даже тогда неясно, говорим ли мы о китайских фрилансерах, китайском правительстве или о чем-то промежуточном.

Итак, не зная злоумышленников или их мотивов, что можно было сделать с этими данными?

Сразу же появляются некоторые очевидные варианты. Номера социального страхования изменить нелегко, и каждый из них может быть использован для потенциально выгодной кражи личных данных. Продажа их по несколько долларов со временем могла бы принести хакерам здоровую девятизначную зарплату почти без каких-либо усилий.

Тогда есть более неприятные варианты. Допустим, вы иностранная держава, и вы вступили в контакт с этой информацией. Все, что вам нужно сделать, это найти федерального служащего с доступом к критически важной системе, на которого у вас есть компромат с помощью взлома. Может быть, первый готов позволить публично обнародовать свою неверность/пристрастие/сексуальность, чтобы защитить свою страну. Но у вас есть миллионы возможных целей. Рано или поздно у тебя кончатся патриоты. Это реальная угроза с точки зрения национальной безопасности — хотя даже хакер-фрилансер может использовать это, чтобы вымогать деньги или услуги у миллионов невинных людей.

Эксперт по безопасности Брюс Шнайер (с которым мы говорили по вопросам конфиденциальности и доверия) предположил, что существует дополнительный риск что злоумышленники могли подделать содержимое базы данных в то время, когда у них был к ней доступ. Неясно, сможем ли мы сказать, что база данных была изменена. Они могли, например, потенциально дать разрешение на секретность иностранным шпионам, что является пугающей мыслью.

Что мы можем сделать?

К сожалению, это, вероятно, не последний подобный взлом. Слабые процедуры безопасности, которые мы видим в OPM, не редкость в государственных учреждениях такого размера. Что будет, если очередной взлом отключит электричество до половины страны? А как насчет управления воздушным движением? Это не нелепые сценарии. Мы уже использовали вредоносное ПО для атаки на инфраструктуру; Вспомните вирус Stuxnet, вероятно, дело рук АНБ, которое мы использовали для физического уничтожения иранских ядерных центрифуг?

Наша естественная инфраструктура невероятно уязвима и крайне важна. Это неустойчивая ситуация. И, читая об этом (и следующем) взломе, важно напоминать себе, что эта проблема не исчезает, когда новостной цикл отвлекается или когда несколько сотрудников увольняются. Это системная гниль, которая будет причинять нам боль снова и снова, пока мы не исправим ее.

Пострадали ли вы от взлома? Обеспокоены низкими стандартами компьютерной безопасности? Дайте нам знать об этом в комментариях!

Изображение предоставлено: конференция Defcon, двухфакторная криптографическая карта, киберзащита ВМС США, кража кредитных карт, Кейт Александр

.

Оцените статью
oilgasindustry.ru
Добавить комментарий