¿Qué es el OPM Hack y qué significa para ti?
Hacks suceden. Parece que es casi todos los meses que algunas grandes corporaciones cambian la seguridad de su computadora, y permiten a los piratas informáticos obtener datos de millones de usuarios. Target confirma hasta 40 millones de tarjetas de crédito de clientes de EE. UU. Hacked Target acaba de confirmar que un pirateo pudo haber comprometido la información de la tarjeta de crédito de hasta 40 millones de clientes que compraron en sus tiendas de EE. UU. Entre el 27 de noviembre y el 15 de diciembre de 2013. Lea más. Pero que pasa cuando no es una corporación, pero el gobierno de los Estados Unidos?
Desde hace semanas, las noticias que salen de la Oficina de Administración de Personal (OPM) han empeorado constantemente. La OPM, una oficina gubernamental poco discutida que almacena los registros de los empleados, ha sido objeto de un truco de proporciones verdaderamente históricas..
Los números exactos han sido difíciles de manejar. Cuando se anunció por primera vez el hackeo, se aseguró a los investigadores que la violación se descubrió rápidamente utilizando el programa de seguridad interno EINSTEIN del gobierno, y afectó los registros de alrededor de cuatro millones de empleados..
Desde entonces, ha quedado claro que el hack se descubrió accidentalmente, mucho después de que ocurrió, y el número real afectado es más como veintiún millones.
Desafortunadamente, la seguridad informática puede ser confusa y seca. A pesar de todos los informes, muchos de ustedes aún no comprenden bien lo que se tomó, cómo sucedió o cómo lo afecta. Voy a hacer un esfuerzo para descomponerlo y responder algunas preguntas básicas sobre el tema.
¿Cómo sucedió el hackeo??
Ha habido señales de que este tipo de cosas era probable por un tiempo. ¿El héroe o villano de la fuga de Snowden? ¿La NSA modera su postura sobre Snowden Hero o Villano? La NSA modera su postura sobre el denunciante de Snowden Edward Snowden y John DeLong de la NSA aparecieron en el calendario de un simposio. Si bien no hubo debate, parece que la NSA ya no pinta a Snowden como un traidor. ¿Qué ha cambiado? Leer más reveló cuán mala puede ser la seguridad informática federal, incluso dentro de la NSA, que es un experto en teoría. La situación en la OPM fue aún peor. El abierto no tenía empleados de seguridad. en absoluto hasta 2013. Se les había advertido repetidamente que sus prácticas de seguridad eran vulnerables a la intrusión ¿Peor que el corazón sangrado? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux, ¿peor que Heartbleed? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux Leer más .
La imagen de incompetencia se completa con informes de que la incursión se descubrió durante un Presentación de ventas por una empresa llamada CyTech Services, que encontró el malware mientras demostraba su herramienta de análisis de seguridad. No está claro cuánto tiempo los hackers tuvieron acceso al sistema, pero 'años' es una suposición plausible.
Desafortunadamente, esto está lejos de ser un incidente aislado entre las agencias gubernamentales, y eso no debería sorprenderlo. Mira los incentivos: si se piratea a Target, pierden millones de dólares en juicios y pérdidas de ventas. La compañía recibe un golpe, y sus competidores se comen la cuota de mercado. Si una oficina del gobierno comete el mismo error, muy poco sucede realmente. Disparan a unos cuantos corderos de sacrificio y tratan de parecer solemnes durante las audiencias, y esperan unas semanas para que el ciclo de noticias de 24 horas se distraiga con algo brillante..
Hay muy pocos incentivos prácticos para cambiar, y existen muy pocas leyes con respecto a la ciberseguridad. De las pocas leyes que existen (como FISMA, la Ley Federal de Gestión de Seguridad de la Información), la mayoría no se siguen de cerca. Alrededor del 75% de los sistemas informáticos de la OPM no cumplían con esa ley..
Esta es una situación que es mala y está empeorando. La Oficina de Responsabilidad del Gobierno informó en abril que la cantidad de violaciones de seguridad en las agencias federales se disparó de 5,500 en 2006 a más de 67,000 en 2014. En una entrevista con Re / code, Gregy Wilshusen, autor del informe, dice que esto se debe a que las agencias a menudo tienen defectos paralizantes en sus procedimientos de seguridad internos y, a menudo, no solucionan las vulnerabilidades una vez que se descubren.
“Cuando evaluamos estas agencias, a menudo encontramos que sus procedimientos de prueba internos no incluyen nada más que entrevistar a las personas involucradas, y no probar los sistemas por sí mismos [...] Siempre encontramos que las vulnerabilidades que identificamos como parte de nuestras pruebas y procedimientos de auditoría no son ser encontrado o arreglado por las agencias porque tienen procedimientos de prueba inadecuados o incompletos.”
Lo que fue tomado?
Otro punto de confusión tiene que ver con la naturaleza de la información a la que tuvieron acceso los piratas informáticos. La verdad es que es bastante diverso, porque se accedió a varias bases de datos. La información incluye números de seguridad social para casi todos, lo que representa una gran amenaza de robo de identidad por sí solo. También incluye 1.1 millones de registros de huellas dactilares, lo que pone en peligro cualquier sistema que se base en biometría..
Lo más alarmante es que entre los registros robados se encuentran millones de informes obtenidos durante las verificaciones de antecedentes y las aplicaciones de autorización de seguridad. He participado en una serie de verificaciones de antecedentes, ya que un número alarmante de mis viejos amigos de la universidad ahora trabaja para el gobierno federal de los EE. UU. Estas verificaciones de antecedentes profundizan. Hablan con tu familia, tus amigos y tus compañeros de habitación para verificar tu biografía de toda la vida. Están buscando cualquier indicio de deslealtad o implicación con una potencia extranjera, así como cualquier cosa que pueda ser utilizada para chantajearte: adicción, infidelidad, apuestas, homosexualidad secreta, ese tipo de cosas..
En otras palabras, si está buscando chantajear a un empleado federal, esto es casi un sueño hecho realidad. El sistema de verificación de antecedentes se ha cerrado a raíz del hackeo, y no está claro cuándo estará operativo nuevamente.
También existe la gran preocupación de que los atacantes tuvieron acceso a estos sistemas durante mucho tiempo..
Quien esta afectado?
Veintiún millones es un gran número. El rango de los afectados directamente abarca empleados federales actuales y anteriores, así como aquellos que solicitaron una autorización de seguridad y fueron rechazados. Indirectamente, cualquier persona cercana a un empleado federal (piense en la familia, los cónyuges y los amigos) podría verse afectada si su información se anotara en la verificación de antecedentes.
Si cree que esto podría afectarle, la OPM está ofreciendo algunos recursos básicos de protección contra el robo de identidad a raíz del incidente. Si se encuentra entre los comprometidos directamente, debe recibir un correo electrónico, ya que la OPM determina exactamente quién se vio afectado..
Sin embargo, estas protecciones solo tienen en cuenta el robo de identidad y otros ataques bastante básicos que utilizan los datos. Para cosas más sutiles, como la extorsión, hay un límite a lo que el gobierno puede hacer. A la protección solo le faltan 18 meses: un pirata informático podría sentarse fácilmente en la información durante tanto tiempo.
¿Para qué se utilizarán los datos??
Por último, tenemos la pregunta del millón. ¿Quién tomó los datos y qué planean hacer con ellos? La respuesta es que, desafortunadamente, no lo sabemos. Los investigadores apuntaron sus dedos hacia China, pero no hemos visto ninguna evidencia concreta publicada para respaldar esto. Incluso entonces, no está claro si estamos hablando de freelancers chinos, el gobierno chino o algo intermedio.
Entonces, sin conocer a los atacantes ni sus motivos, ¿qué? podría hacerse con estos datos?
Desde el principio, se presentan algunas opciones obvias. Los números de seguridad social no se cambian fácilmente, y cada uno puede usarse en un robo de identidad potencialmente rentable. Vender estos por unos pocos dólares cada uno, con el tiempo, podría obtener un saludable día de pago de nueve cifras. ¿Qué motiva a la gente a hackear computadoras? Pista: Dinero ¿Qué motiva a la gente a piratear computadoras? Pista: dinero Los delincuentes pueden usar la tecnología para ganar dinero. Tú lo sabes. Pero se sorprendería de lo ingeniosos que pueden ser, desde piratear y revender servidores hasta reconfigurarlos como mineros lucrativos de Bitcoin. Leer más para los hackers, casi sin esfuerzo..
Entonces hay opciones más desagradables. Digamos que eres una potencia extranjera y entras en contacto con esta información. Todo lo que necesita hacer es encontrar un empleado federal con acceso a un sistema crítico, en el que tenga algo de sucio a través del truco. Quizás el primero esté dispuesto a dejar que su infidelidad / adicción / sexualidad se haga pública para proteger a su país. Pero tú tienes millones de posibles objetivos. Tarde o temprano, te vas a quedar sin patriotas. Esta es la verdadera amenaza, desde una perspectiva de seguridad nacional, aunque incluso un pirata informático independiente podría usar esto para obtener dinero o favores de millones de personas inocentes..
Experto en seguridad Bruce Schneier (con quien conversamos sobre temas de privacidad y confianza. Experto en seguridad Bruce Schneier sobre contraseñas, privacidad y confianza. Bruce Schneier Experto en seguridad sobre contraseñas, privacidad y confianza. Conozca más sobre seguridad y privacidad en nuestra entrevista con el experto en seguridad Bruce Schneier. Leer más) ha especulado que existe un riesgo adicional de que los atacantes hayan manipulado el contenido de la base de datos durante el tiempo que tuvieron acceso a ella. No está claro si podríamos decir que la base de datos se ha modificado. Podrían, por ejemplo, haber dado permiso de seguridad a espías extranjeros, lo que es un pensamiento aterrador.
Qué podemos hacer?
Desafortunadamente, este probablemente no sea el último truco de este tipo. El tipo de procedimientos de seguridad laxos que vemos en la OPM no son infrecuentes en las agencias gubernamentales de su tamaño. ¿Qué pasa si el próximo corte apaga la electricidad a la mitad del país? ¿Qué pasa con el control del tráfico aéreo? Estos no son escenarios ridículos. Ya hemos usado malware para atacar la infraestructura; recuerde el virus Stuxnet, probablemente el trabajo de la NSA ¿Se podrían usar estas técnicas de ciberespionaje de la NSA en su contra? ¿Se podrían usar estas técnicas de ciberespionaje de la NSA en tu contra? Si la NSA puede rastrearlo, y sabemos que sí, los ciberdelincuentes también. Así es como las herramientas gubernamentales se utilizarán contra usted más adelante. Leer más, que usamos para destruir físicamente las centrífugas nucleares iraníes.?
Nuestra infraestructura natural es vergonzosamente vulnerable y profundamente crucial. Esa es una situación que no es sostenible. Y, mientras leemos sobre este truco (y el siguiente), es importante recordarnos que este no es un problema que desaparece cuando el ciclo de las noticias se distrae, o cuando se despide a unos pocos empleados. Esta es una podredumbre sistémica, una que nos va a seguir haciendo daño, una y otra vez, hasta que realmente la reparemos..
¿Te afectó el hack?? ¿Preocupado por los bajos estándares de seguridad informática? Háganos saber en los comentarios.!
Créditos de la imagen: Conferencia Defcon, Crypto Card Two Factor, CyberDefense de la Marina de los EE. UU., Robo de tarjetas de crédito, Keith Alexander
Explorar más sobre: seguridad informática, piratería informática, seguridad en línea.