Hvad er OPM Hack, og hvad betyder det for dig?

I flere uger er nyheder, der kommer ud af Office of Personnel Management (OPM), blevet stadigt værre efter en hack af historiske proportioner. Men hvad der virkelig skete, og hvad kan du gøre ved det?

I flere uger er nyheder, der kommer ud af Office of Personnel Management (OPM), blevet stadigt værre efter en hack af historiske proportioner.  Men hvad der virkelig skete, og hvad kan du gøre ved det?
Reklame

Hacks sker. Det lader til, at det næsten hver måned er, at nogle store virksomheder flubber deres computersikkerhed og lader hackere slippe af med data på millioner af brugere. Mål bekræfter op til 40 millioner amerikanske kunder. Kreditkort Potentielt Hacked Target bekræfter op til 40 millioner amerikanske kunder. Kreditkort potentielt Hacked Target har netop bekræftet, at et hack kunne have kompromitteret kreditkortoplysningerne for op til 40 millioner kunder, der har handlet i sine amerikanske butikker mellem den 27. november og den 15. december 2013. Læs mere. Men hvad sker der, når det ikke er et selskab, men den amerikanske regering?

I flere uger har de nyheder, der kommer fra Office of Personnel Management (OPM), været stadigt værre. OPM, et lille diskuteret regeringskontor, der lagrer optegnelser på medarbejdere, har været genstand for et hack med virkelig historiske proportioner.

De nøjagtige tal har været udfordrende for at få et håndtag på. Da hackingen først blev annonceret, blev efterforskerne sikret, at overtrædelsen blev opdaget straks ved hjælp af regeringens EINSTEIN interne sikkerhedsprogram, og det ramte registreringen af ​​omkring fire millioner ansatte.

Siden da er det blevet klart, at hacket blev opdaget ved et uheld, længe efter det skete - og det faktiske antal berørt er mere som enogtyve millioner .

Desværre kan computersikkerhed være forvirrende og tørre. På trods af al rapportering har mange af jer stadig ikke en god forståelse for, hvad der blev taget, hvordan det skete, eller hvordan det påvirker dig. Jeg vil gøre en indsats for at bryde det ned og besvare nogle grundlæggende spørgsmål om problemet.

Hvordan skete hakken?

Der har været tegn på, at denne slags ting sandsynligvis var et stykke tid. Snowden lækker Helt eller Villain? NSA modererer sin holdning til Snowden Hero eller Villain? NSA modererer sin holdning til Snowden Whistleblower Edward Snowden og NSA's John DeLong optrådte på planen for et symposium. Mens der ikke var nogen debat, ser det ud til, at NSA ikke længere maler Snowden som en forræder. Hvad er ændret? Læs mere afslørede, hvor dårlig føderal computer sikkerhed kan være, selv inden for teoretisk ekspert NSA. Situationen på OPM var endnu værre. Åbenheden havde ingen sikkerhedsmedarbejdere overhovedet indtil 2013. De var blevet advaret om, at deres sikkerhedspraksis var sårbar over for indtrængen værre end Heartbleed? Mød ShellShock: En ny sikkerhedsrisiko for OS X og Linux værre end Heartbleed? Mød ShellShock: En ny sikkerhedsrisiko for OS X og Linux Læs mere.

Billedet af inkompetence er afsluttet af rapporter, at indbruddet blev opdaget under en salgspræsentation af et firma kaldet CyTech Services, som fandt malware, mens de demonstrerede deres sikkerhedsscanning værktøj. Det er ikke klart, hvor længe hackere havde adgang til systemet, men 'år' er et sandsynligt gæt.

1594411528_1512b1aad5_z

Desværre er dette langt fra en isoleret hændelse blandt offentlige myndigheder, og det bør ikke overraske dig. Kig på incitamenterne: Hvis Target er hacket, mister de millioner af dollars i retssager og tabt salg. Virksomheden tager et hit, og deres konkurrenter spiser markedsandele. Hvis et regerings kontor gør den samme fejl, sker der meget lidt faktisk. De fyrer et par offerlam og forsøger at se højtideligt under høringerne, og vent et par uger for 24-timers nyhedscyklussen for at blive distraheret af noget skinnende.

Der er meget lidt praktisk incitament til at ændre sig, og der findes meget få love vedrørende cybersikkerhed. Af de få love er der (som FISMA, Federal Information Security Management Act), de fleste følges ikke nøje. Omkring 75% af OPMs computersystemer overholdt ikke loven.

Dette er en situation, der er dårlig og bliver værre. Regeringsansvarskontoret rapporterede i april, at antallet af sikkerhedsbrud hos føderale agenturer steg fra 5.500 i 2006 til mere end 67.000 i 2014. I et interview med Re / Code siger Gregy Wilshusen, forfatteren af ​​rapporten, at det skyldes agenturer har ofte forkrænkende fejl i deres interne sikkerhedsprocedurer, og ofte løser de ikke sårbarheder, når de er afdækket.

"Når vi vurderer disse agenturer, finder vi ofte, at deres interne testprocedurer ikke involverer mere end at interviewe de involverede personer og ikke teste selve systemerne [...] Vi konstaterede konsekvent, at sårbarheder, som vi identificerer som led i vores test- og revisionsprocedurer, er ikke findes eller fastsættes af agenturerne, fordi de har utilstrækkelige eller ufuldstændige testprocedurer. "

Hvad blev der taget?

keychainlogin

Et andet forvirringspunkt har at gøre med arten af ​​de oplysninger, hackerne havde adgang til. Sandheden er, at den er temmelig forskellig, fordi flere databaser blev åbnet. Oplysningerne indeholder socialsikringsnumre for stort set alle - hvilket udgør en stor trussel om identitetstyveri i sig selv. Den indeholder også 1.100.000 fingeraftryksposter, hvilket forringer ethvert system, der er afhængigt af biometri.

De fleste foruroligende, blandt de stole, der blev stjålet var millioner af rapporter, der blev opnået under baggrundskontrol og sikkerhedsgodkendelse. Jeg har deltaget i en række baggrundskontroller, da et alarmerende antal af mine gamle kollegavenner nu arbejder for den amerikanske føderale regering. Denne baggrund kontrollerer dig dybt. De snakker med din familie, dine venner og dine roommates for at bekræfte hele din livbiografi. De leder efter ethvert råd om misligholdelse eller involvering i en fremmed magt, samt alt, hvad der muligvis kan bruges til at chantme dig: afhængighed, utroskab, gambling, hemmelig homoseksualitet, den slags ting.

Med andre ord, hvis du søger for at udpresse en føderal medarbejder, er det stort set en drøm der kommer i opfyldelse. Baggrundskontrolsystemet har lukket ned i kølvandet på hacket, og det er ikke klart, hvornår det vil fungere igen.

Der er også større bekymring for, at angriberne har haft adgang til disse systemer i lang tid.

Hvem er berørt?

Enogtyve millioner er et stort antal. Udvalget af de direkte berørte parter spænder over nuværende og tidligere føderale medarbejdere samt dem, der ansøgte om sikkerhedsgodkendelse og blev afvist. Indirekte kan enhver tæt på en føderal medarbejder (tænkfamilie, ægtefæller og venner) blive påvirket, hvis deres oplysninger blev noteret i baggrundskontrollen.

Hvis du mener, at du kan blive påvirket af dette, tilbyder OPM nogle grundlæggende identitetsstyveribeskyttelsesressourcer i kølvandet på hændelsen. Hvis du er blandt de direkte kompromitterede, skal du få en email, da OPM angiver præcis, hvem der blev påvirket.

Disse beskyttelser vedrører imidlertid kun identitetstyveri og andre retfærdige grundlæggende angreb ved hjælp af dataene. For mere subtile ting, som afpresning, er der en grænse for, hvad regeringen kan gøre. Beskyttelsen mangler kun 18 måneder - en patient hacker kunne nemt sidde på oplysningerne i så lang tid.

081.203-N-2147L-390

Hvad skal dataene bruges til?

Endelig har vi spørgsmålet om million dollar. Hvem tog dataene, og hvad har de planer om at gøre med det? Svaret er, at vi desværre ikke ved. Undersøgere har peget deres fingre i Kina, men vi har ikke set nogen konkrete beviser, der er frigivet for at få det tilbage. Alligevel er det ikke klart, om vi taler om kinesiske frilansere, den kinesiske regering eller noget derimellem.

Så hvad kunne der gøres med disse data uden at kende angriberne eller deres motiver?

Lige fra flagermuset er der nogle klare valgmuligheder. De sociale sikringsnumre ændres ikke let, og hver enkelt kan bruges i et potentielt rentabelt identitetsstyveri. Sælge disse for et par dollars hver, over tid, kunne netto en sund ni figurer payday Hvad motiverer folk til at hak computere? Tip: Penge, der motiverer folk til at hakke computere? Tip: Pengeforbrydere kan bruge teknologi til at tjene penge. Du ved det. Men du ville blive overrasket over, hvor genialt de kan være, fra hacking og videresælge servere til at omkonfigurere dem som lukrative Bitcoin minearbejdere. Læs mere for hackerne, med næsten ingen indsats.

Capturing the Flag

Så er der nastier muligheder. Lad os sige, at du er en fremmed magt, og du kommer i kontakt med disse oplysninger. Alt du skal gøre er at finde en føderal medarbejder med adgang til et kritisk system, hvem du har noget snavs på via hacket. Måske er den første villig til at lade deres utroskab / afhængighed / seksualitet blive offentligt for at beskytte deres land. Men du har millioner af mulige mål. Før eller senere kommer du til at løbe tør for patrioter. Dette er den reelle trussel fra et nationalt sikkerhedsperspektiv - selvom en freelance hacker kunne bruge dette til at fortryde penge eller favoriserer fra millioner af uskyldige mennesker.

Sikkerhedseksperten Bruce Schneier (hvem vi talte om i spørgsmål om privatliv og tillid Sikkerhedsekspert Bruce Schneier om adgangskoder, beskyttelse af personlige oplysninger og tillidssikkerhed Bruce Schneier om adgangskoder, privatliv og tillid Lær mere om sikkerhed og privatliv i vores interview med sikkerhedsekspert Bruce Schneier. Læs mere) har spekuleret på, at der er en yderligere risiko for, at angriberne kunne have manipuleret med indholdet af databasen i løbet af den tid, de havde adgang til. Det er ikke klart, at vi kunne fortælle databasen var blevet ændret. De kunne for eksempel potentielt have givet sikkerhedsgodkendelse til udenlandske spioner, hvilket er en skræmmende tanke.

Hvad kan vi gøre?

Desværre er dette nok ikke det sidste hack af sin art. Den slags lax-sikkerhedsprocedurer, vi ser i OPM, er ikke ualmindelige i regeringsorganer af dens størrelse. Hvad sker der, hvis den næste hack slukker elektricitet til halvdelen af ​​landet? Hvad med flyvekontrol? Det er ikke latterlige scenarier. Vi har allerede brugt malware til at angribe infrastruktur; husker Stuxnet-viruset, sandsynligvis NSA's arbejde Kunne disse NSA-cyber-spionage teknikker blive brugt mod dig? Kunne disse NSA cyber-spionage teknikker blive brugt mod dig? Hvis NSA kan spore dig - og vi ved det kan - så kan cyberkriminelle. Her er hvordan regeringsfremstillede værktøjer vil blive brugt mod dig senere. Læs mere, som vi plejede at ødelægge iranske nukleare centrifuger fysisk?

Vores naturlige infrastruktur er pinligt sårbar og dybt afgørende. Det er en situation, der ikke er bæredygtig. Og som vi læser om denne hack (og den næste), er det vigtigt at minde os selv om, at dette ikke er et problem, der går væk, når nyhedscyklussen bliver distraheret, eller når et par medarbejdere fyres. Dette er en systemisk rot, en som vil fortsætte med at skade os, igen og igen, indtil vi rent faktisk løser det.

Var du ramt af hack? Bekymret for lave standarder for edb-sikkerhed? Lad os vide i kommentarerne!

Billedkreditter: Defcon Conference, Crypto Card Two Factor, US Navy CyberDefense, Kreditkortstyveri, Keith Alexander

In this article