Qu'est-ce que le piratage OPM et que signifie-t-il pour vous?
Hacks arriver. Il semble que presque tous les mois, certaines grandes entreprises bafouent la sécurité de leurs ordinateurs et laissent les pirates informatiques récupérer des données sur des millions d’utilisateurs. Target confirme jusqu'à 40 millions de clients américains sur des cartes de crédit Potentiel potentiellement piraté confirme jusqu'à 40 millions de clients américains sur des cartes de crédit Hacked Target vient de confirmer qu'un piratage aurait pu compromettre les informations relatives aux cartes de crédit de 40 millions de clients ayant effectué des achats dans ses magasins américains entre le 27 novembre et le 15 décembre 2013. Pour en savoir plus. Mais que se passe-t-il quand ce n'est pas une société, mais le gouvernement américain?
Depuis des semaines, les nouvelles du Bureau de la gestion du personnel (OPM) s’aggravent de plus en plus. L'OPM, un bureau gouvernemental peu discuté qui stocke des enregistrements sur les employés, a fait l'objet d'un piratage aux proportions vraiment historiques..
Les chiffres exacts ont été difficiles à maîtriser. Lorsque le piratage a été annoncé pour la première fois, les enquêteurs ont été assurés que la violation avait été découverte rapidement à l'aide du programme de sécurité interne du gouvernement, EINSTEIN, et que cela affectait les archives d'environ quatre millions d'employés..
Depuis lors, il est devenu évident que le piratage a été découvert par hasard, longtemps après qu’il s’est produit - et le nombre réel affecté est plus comme vingt et un millions.
Malheureusement, la sécurité informatique peut être source de confusion et de sécheresse. En dépit de tous les rapports, beaucoup d'entre vous n'ont peut-être toujours pas une bonne idée de ce qui a été pris, de la façon dont cela s'est passé ou de la façon dont cela vous affecte. Je vais faire un effort pour le décomposer et répondre à quelques questions de base sur la question.
Comment s'est passé le piratage?
Il y a eu des signes que ce genre de chose était probable pendant un certain temps. La fuite de Snowden Hero ou Villain? La NSA modère-t-elle sa position sur le héros ou le méchant de Snowden? La NSA modère sa position sur le lanceur d'alerte de Snowden Edward Snowden et John DeLong de la NSA ont participé à un symposium. Bien qu'il n'y ait pas eu de débat, il semble que la NSA n'ait plus peint Snowden en traître. Qu'est-ce qui a changé? Lire la suite a révélé à quel point la sécurité informatique fédérale peut être mauvaise, même au sein de la NSA théoriquement experte. La situation à l'OPM était encore pire. L'open n'avait aucun employé de sécurité du tout jusqu'en 2013. Ils avaient été avertis à plusieurs reprises que leurs pratiques de sécurité étaient vulnérables à l'intrusion Worse Than Heartbleed? Découvrez ShellShock: une nouvelle menace pour la sécurité d’OS X et de Linux pire que le chaos? Découvrez ShellShock: une nouvelle menace pour la sécurité sous OS X et Linux Continuer .
Le tableau de l'incompétence est complété par des informations selon lesquelles l'incursion a été découverte au cours d'une présentation des ventes par une société appelée CyTech Services, qui a trouvé le logiciel malveillant tout en présentant son outil d’analyse de sécurité. Il n'est pas clair depuis combien de temps les pirates informatiques ont accès au système, mais «années» est une hypothèse plausible.
Malheureusement, ceci est loin d'être un incident isolé parmi les agences gouvernementales, et cela ne devrait pas vous surprendre. Regardez les incitations: si Target est piraté, il perd des millions de dollars en poursuites et en pertes de ventes. La société en prend un coup, et leurs concurrents consomment des parts de marché. Si un bureau du gouvernement commet la même erreur, il se passe très peu de chose. Ils tirent quelques agneaux sacrificiels et tentent de paraître solennels pendant les audiences et attendent quelques semaines que le cycle de nouvelles de 24 heures soit distrait par quelque chose de brillant..
Il y a très peu d'incitation pratique à changer et très peu de lois en matière de cybersécurité. Parmi les rares lois existantes (comme la FISMA, la loi fédérale sur la gestion de la sécurité de l'information), la plupart ne sont pas suivies de près. Environ 75% des systèmes informatiques de l'OPM ne respectaient pas cette loi.
C'est une situation qui est mauvaise et qui empire. Le Government Accountability Office a rapporté en avril que le nombre d'atteintes à la sécurité dans les agences fédérales avait grimpé de 5 500 en 2006 à plus de 67 000 en 2014. Dans une interview avec Re / code, Gregy Wilshusen, l'auteur du rapport, affirme que c'est parce que les agences ont souvent des failles invalidantes dans leurs procédures de sécurité internes, et souvent ne corrigent pas les vulnérabilités une fois qu'elles ont été découvertes.
“Lorsque nous évaluons ces agences, nous constatons souvent que leurs procédures de test internes ne nécessitent rien d’autre que d’interroger les personnes impliquées et de ne pas tester les systèmes eux-mêmes […] Nous avons toujours constaté que les vulnérabilités que nous identifions dans le cadre de nos procédures de test et d’audit ne sont pas être trouvé ou corrigé par les agences parce que leurs procédures de test sont inadéquates ou incomplètes.”
Qu'est-ce qui a été pris?
Un autre point de confusion concerne la nature des informations auxquelles les pirates ont eu accès. La vérité est que c'est assez diversifié, car plusieurs bases de données ont été consultées. Les informations incluent les numéros de sécurité sociale pour à peu près tout le monde - ce qui présente une énorme menace de vol d'identité en soi. Il comprend également 1,1 million de traces de doigts, ce qui met en danger tout système reposant sur la biométrie..
Le plus alarmant, parmi les dossiers volés, se trouvaient des millions de rapports obtenus lors de vérifications des antécédents et de demandes d'autorisation de sécurité. J'ai participé à plusieurs vérifications des antécédents, puisqu'un nombre alarmant d'anciens amis de mon collège travaillent maintenant pour le gouvernement fédéral américain. Ces vérifications des antécédents creusent profondément. Ils parlent à votre famille, à vos amis et à vos colocataires pour vérifier toute votre biographie. Ils recherchent des allusions de déloyauté ou d'implication dans une puissance étrangère, ainsi que tout ce qui pourrait éventuellement être utilisé pour vous faire du chantage: toxicomanie, infidélité, jeu, homosexualité secrète, ce genre de chose.
En d'autres termes, si vous envisagez de faire chanter un employé fédéral, c'est quasiment un rêve devenu réalité. Le système de vérification des antécédents s'est éteint à la suite du piratage, et on ne sait pas quand il sera de nouveau opérationnel.
Il y a aussi la plus grande préoccupation que les attaquants ont eu accès à ces systèmes pendant une longue période.
Qui est concerné?
Vingt et un millions, c'est un grand nombre. L'éventail des personnes directement touchées s'étend aux employés fédéraux actuels et anciens, ainsi qu'aux personnes qui ont demandé une habilitation de sécurité et qui ont été refusées. Indirectement, toute personne proche d'un employé fédéral (pensez à la famille, aux conjoints et aux amis) pourrait être touchée si leurs informations étaient notées lors de la vérification des antécédents.
Si vous pensez que cela pourrait vous concerner, l'OPM propose des ressources de base pour la protection contre le vol d'identité à la suite de l'incident. Si vous faites partie des personnes directement compromises, vous devriez recevoir un courrier électronique, car l'OPM détermine exactement qui a été touché..
Cependant, ces protections ne représentent que le vol d'identité et d'autres attaques assez basiques utilisant les données. Pour des choses plus subtiles, comme l'extorsion de fonds, il y a une limite à ce que le gouvernement peut faire. La protection ne manque que 18 mois - un pirate informatique patient pourrait facilement rester sur l'information pendant une longue période..
A quoi vont servir les données??
Enfin, nous avons la question à un million de dollars. Qui a pris les données et que compte-t-il en faire? La réponse est que, malheureusement, nous ne savons pas vraiment. Les enquêteurs ont pointé du doigt la Chine, mais nous n’avons vu aucune preuve concrète publiée à ce sujet. Même dans ce cas, il n’est pas clair si nous parlons de pigistes chinois, du gouvernement chinois ou de quelque chose entre les deux..
Alors, sans connaître les assaillants ni leurs motivations, que pourrait être fait avec ces données?
Dès le départ, certaines options évidentes se présentent. Les numéros de sécurité sociale ne sont pas facilement modifiables et chacun peut être utilisé dans le cadre d'un vol d'identité potentiellement rentable. Leur vente pour quelques dollars chacun, au fil du temps, pourrait rapporter un jour de paie sain à neuf chiffres. Qu'est-ce qui motive les gens à pirater des ordinateurs? Astuce: l'argent Qu'est-ce qui motive les gens à pirater des ordinateurs? Astuce: Argent Les criminels peuvent utiliser la technologie pour gagner de l'argent. Tu sais ça. Mais vous seriez surpris de voir à quel point ils peuvent être ingénieux, du piratage et de la revente de serveurs à leur reconfiguration en mineurs lucratifs de Bitcoin. Lisez plus pour les pirates, avec presque aucun effort.
Ensuite, il y a des options plus difficiles. Disons que vous êtes une puissance étrangère et que vous entrez en contact avec ces informations. Tout ce que vous avez à faire est de trouver un employé fédéral ayant accès à un système critique, sur lequel vous avez des problèmes avec le piratage. Peut-être que les premiers sont prêts à laisser leur infidélité / dépendance / sexualité devenir publique pour protéger leur pays. Mais vous avez des millions des cibles possibles. Tôt ou tard, vous allez manquer de patriotes. C'est la vraie menace, du point de vue de la sécurité nationale - bien que même un pirate informatique indépendant puisse l'utiliser pour extorquer de l'argent ou des faveurs à des millions d'innocents.
Expert en sécurité Bruce Schneier (à qui nous avons parlé des questions de confidentialité et de confiance. Expert en sécurité Bruce Schneier sur les mots de passe, la confidentialité et la confiance. Expert en sécurité Bruce Schneier sur les mots de passe, la confidentialité et la confiance. En savoir plus sur la sécurité et la confidentialité dans notre entretien avec Bruce Schneier, expert en sécurité. Lire la suite) a émis l'hypothèse que les attaquants auraient pu altérer le contenu de la base de données pendant qu'ils y avaient accès. Il n'est pas clair que nous serions en mesure de dire que la base de données avait été modifiée. Ils auraient pu, par exemple, potentiellement donner une autorisation de sécurité à des espions étrangers, ce qui est une pensée effrayante.
Que pouvons-nous faire?
Malheureusement, ce n'est probablement pas le dernier piratage de ce genre. Les procédures de sécurité laxistes que nous voyons dans le MPO ne sont pas rares dans les agences gouvernementales de cette taille. Que se passe-t-il si le prochain piratage coupe l'électricité dans la moitié du pays? Qu'en est-il du contrôle du trafic aérien? Ce ne sont pas des scénarios ridicules. Nous avons déjà utilisé des logiciels malveillants pour attaquer les infrastructures; rappeler le virus Stuxnet, probablement le travail de la NSA Ces techniques de cyberespionnage NSA pourraient-elles être utilisées contre vous? Ces techniques de cyberespionnage de la NSA pourraient-elles être utilisées contre vous? Si la NSA peut vous suivre - et nous savons qu'il le peut - les cybercriminels le peuvent aussi. Voici comment les outils conçus par le gouvernement seront utilisés contre vous plus tard. Lire la suite, que nous avons utilisé pour détruire physiquement les centrifugeuses nucléaires iraniennes?
Notre infrastructure naturelle est extrêmement vulnérable et profondément cruciale. C'est une situation qui n'est pas durable. Et, lorsque nous lisons à propos de ce hack (et du suivant), il est important de nous rappeler que ce n’est pas un problème qui disparaît lorsque le cycle de la nouvelle est distrait ou que quelques employés sont licenciés. C'est une pourriture systémique, une qui va continuer à nous faire mal, encore et encore, jusqu'à ce que nous résolvions réellement.
Avez-vous été touché par le hack? Inquiet des normes peu élevées de la sécurité informatique? Faites le nous savoir dans les commentaires!
Crédits image: Conférence Defcon, Carte Crypto à deux facteurs, CyberDéfense de la marine américaine, Vol de carte de crédit, Keith Alexander
En savoir plus sur: Sécurité informatique, Piratage, Sécurité en ligne.