Michael Cain
0 
4427
784
Hackler oldu. Neredeyse her ay bazı büyük şirketler bilgisayar güvenliğini artırıyor gibi gözüküyor ve bilgisayar korsanlarının milyonlarca kullanıcıyla ilgili verilerden faydalanmasına izin veriyor Hedef 40 Milyona Kadar ABD Müşterilerini Onaylıyor Hedef Kredi Kartı Potansiyel Olarak Kesilmiş Hedef 40 Milyona Kadar ABD Müşteri Kredi Kartlarını Potansiyel Olarak Onayladı Hacked Target, bir kesmenin 27-15 Kasım 2013 tarihleri arasında ABD'deki mağazalarında alışveriş yapan 40 milyona kadar müşterinin kredi kartı bilgilerini tehlikeye atabileceğini doğruladı. Fakat bir şirket değil, ABD hükümeti olduğunda ne olur??
Şimdilik, Personel Yönetimi Ofisi'nden (OPM) çıkan haberler giderek kötüleşiyor. Çalışanlara kayıtları depolayan az tartışılmış bir devlet dairesi olan OPM, gerçek anlamda tarihsel oranlara sahip bir kesimin konusu olmuştur..
Kesin sayılar işlemek için zorlayıcı olmuştur. Hack ilk kez açıklandığında, araştırmacılar, ihlalin hükümetin EINSTEIN iç güvenlik programı kullanılarak derhal keşfedildiğinden emin oldu ve yaklaşık dört milyon çalışanın kaydını etkiledi..
O zamandan beri, kesmenin gerçekleştiğinden çok uzun bir süre sonra yanlışlıkla kesildiği tespit edildi - ve etkilenen gerçek sayı daha yirmi bir milyon gibidir.
Ne yazık ki, bilgisayar güvenliği kafa karıştırıcı ve kuru olabilir. Tüm raporlara rağmen, birçoğunuz hala ne çekildiğini, nasıl gerçekleştiğini veya sizi nasıl etkilediğini iyi anlamadı. Onu parçalamak ve bu konuda bazı temel soruları cevaplamak için çaba göstereceğim.
Hack Nasıl Oldu??
Bu tür bir şeyin bir süre için muhtemel olduğuna dair işaretler var. Snowden sızıntısı Hero mu yoksa Villain mi? NSA Snowden Kahraman mı, Kötü Niyet mi? NSA Snowden Whistleblower Edward Snowden Üzerindeki Duruşunu Yönetiyor ve NSA John DeLong bir sempozyum programında yer aldı. Tartışma olmasa da, NSA artık bir hain olarak Snowden'i boyamıyor gibi görünüyor. Ne değişti? teorik olarak uzman NSA'da bile federal bilgisayar güvenliğinin ne kadar kötü olabileceğini ortaya çıkardı. OPM'deki durum daha da kötüydü. Açık güvenlik çalışanı yoktu hiç 2013'e kadar, defalarca güvenlik uygulamalarının, Heartbleed'den Daha Kötü Bir Saldırıya Karşı Korunması? ShellShock ile Tanışın: OS X ve Linux İçin Yeni Bir Güvenlik Tehdidi Heartbleed'den Daha Kötü? ShellShock ile Tanışın: OS X ve Linux İçin Yeni Bir Güvenlik Tehdidi .
Beceriksizliğin resmi, saldırı sırasında keşfedildiğine dair raporlarla tamamlanır. satış sunumu Güvenlik tarama araçlarını gösterirken kötü amaçlı yazılımı bulan CyTech Services adlı bir şirket tarafından. Hackerların sisteme ne kadar süre erişebildikleri açık değil, ancak 'yıllar' makul bir tahmin..
Ne yazık ki, bu devlet kurumları arasında izole edilmiş bir olaydan uzak ve bu sizi şaşırtmamalıdır. Teşviklere bakın: Hedef saldırıya uğradığında, davalarda milyonlarca dolar kaybeder ve satışlarını kaybeder. Şirket çok etkilendi ve rakipleri pazar payını arttırdı. Bir hükümet ofisi aynı hatayı yaparsa, aslında çok az şey olur. Birkaç kurbanlık kuzuyu kovuyorlar ve duruşmalarda ciddi gözükmeye çalışıyorlar ve 24 saat süren haber döngüsünün parlak bir şeyle dikkatini dağıtması için birkaç hafta beklediler..
Değişecek çok az pratik teşvik var ve siber güvenlik ile ilgili çok az yasa var. Bazı yasalardan (FISMA gibi, Federal Bilgi Güvenliği Yönetimi Yasası gibi) çoğu yakından takip edilmiyor. OPM'nin bilgisayar sistemlerinin yaklaşık% 75'i bu yasaya uymadı.
Bu kötü ve daha kötüye giden bir durumdur. Hükümet Sorumluluk Ofisi, Nisan ayında, federal kurumlarda güvenlik ihlallerinin sayısının 2006'da 5.500'den 2014'te 67.000'den fazla fırladığını bildirdi. Re / code ile yapılan röportajda, raporun yazarı Gregy Wilshusen çoğu zaman iç güvenlik prosedürlerinde sakatlayıcı kusurlar vardır ve bunlar ortaya çıkarıldıktan sonra genellikle güvenlik açıklarını gidermez..
“Bu kurumları değerlendirdiğimizde, iç test prosedürlerinin, ilgili insanlarla röportaj yapmaktan başka bir şey içermediğini ve sistemleri kendi kendilerine test etmekten ibaret olmadığını sık sık tespit ediyoruz […] Test ve denetim prosedürlerimizin bir parçası olarak tespit ettiğimiz güvenlik açıklarının sürekli olmadığını tespit ettik. Ajanslar tarafından bulunması veya sabitlenmesi, yetersiz veya eksik test prosedürlerine sahip olmaları nedeniyle.”
Ne Alındı??
Diğer bir karışıklık noktası, bilgisayar korsanlarının erişebildiği bilgilerin doğası ile ilgili. Gerçek şu ki, çok çeşitli, çünkü birkaç veritabanına erişildi. Bilgi, hemen hemen herkes için sosyal güvenlik numaralarını içerir - bu da başlı başına büyük bir kimlik hırsızlığı tehdidi sunar. Ayrıca, biyometriye dayanan herhangi bir sistemi tehlikeye atan 1.1 milyon parmak izi kaydı da içerir..
En endişe verici bir şekilde, çalınan kayıtlar arasında arkaplan kontrolleri ve güvenlik izni uygulamaları sırasında elde edilen milyonlarca rapor vardı. Eski kolej arkadaşlarımın şu anda ABD federal hükümeti için çalıştığı endişe verici sayıda arka plan kontrolüne katıldım. Bu arka plan kontrolleri derin kazmak. Tüm yaşam biyografisini doğrulamak için aileniz, arkadaşlarınız ve oda arkadaşlarınızla konuşurlar. Bağımlılık, sadakatsizlik, kumar, gizli eşcinsellik, bu tür şeylerin yanı sıra herhangi bir sadakatsizlik ya da yabancı bir güçle ilişki kurmanın yanı sıra sizi şantaj yapmak için kullanılabilecek herhangi bir şey arıyorlar..
Başka bir deyişle, federal bir çalışana şantaj yapmak istiyorsanız, bu hemen hemen bir hayaldir. Arkaplan kontrol sistemi kesmenin ardından kapandı ve ne zaman tekrar faaliyete geçeceği belli değil..
Saldırganların bu sistemlere uzun süre erişebilmeleri konusunda daha büyük endişeler de var..
Kimler Etkilenir??
Yirmi bir milyon büyük bir sayıdır. Doğrudan etkilenenlerin kapsamı mevcut ve eski federal çalışanların yanı sıra güvenlik izni almak için başvuran ve geri çevrilenleri de kapsar. Dolaylı olarak, federal bir çalışana yakın olan herhangi biri (düşünen aile, eşler ve arkadaşlar), arka plan kontrolündeki bilgileri dikkate alındığında etkilenebilir..
Bundan etkilenebileceğinizi düşünüyorsanız, OPM, olayın ardından bazı temel kimlik hırsızlığı koruma kaynakları sunuyor. Eğer doğrudan tehlikeye girenler arasındaysanız, OPM'nin kimi etkilediğini tespit ettiği gibi bir e-posta almalısınız..
Bununla birlikte, bu korumalar sadece kimlik hırsızlığı ve verileri kullanan diğer oldukça temel saldırıları hesaba katar. Daha zor şeyler için, haraç gibi, hükümetin yapabileceklerinin bir sınırı var. Koruma sadece 18 aydan yoksundur - hasta korsanı bu bilgi için kolayca oturabilir.
Veriler Ne İçin Kullanılacak??
Son olarak, milyon dolarlık bir sorumuz var. Verileri kim aldı ve onunla ne yapmayı planlıyorlar? Cevap şu ki, ne yazık ki gerçekten bilmiyoruz. Müfettişler parmaklarını Çin’e çekti, ancak bunu destekleyecek somut kanıtlar göremedik. O zaman bile, Çinli serbest çalışanlardan mı, Çin hükümetinden mi, yoksa ikisi arasındaki bir şeyden mi bahsediyoruz belli değil..
Yani, saldırganları veya amaçlarını bilmeden, ne could bu verilerle yapılması?
Yarasa hemen, bazı belirgin seçenekler kendilerini sunar. Sosyal güvenlik numaraları kolayca değiştirilemez ve her biri potansiyel olarak kazançlı bir kimlik hırsızlığında kullanılabilir. Bunları her biri birkaç dolara satmak, zaman içinde sağlıklı bir dokuz rakamlı ödeme gününü netleştirmek İnsanları Bilgisayarları Hacklemek için Ne Motive Ediyor? İpucu: Para İnsanları Bilgisayarları Hack Etmeye Motive Eden Ne? İpucu: Money Criminals para kazanmak için teknolojiyi kullanabilir. Bunu biliyor. Ancak, sunucuları hacklemek ve yeniden satmaktan, onları karlı Bitcoin madencileri olarak yeniden yapılandırmaya kadar ne kadar ustaca olduklarına şaşıracaksınız. bilgisayar korsanları için, neredeyse hiç çaba sarf etmeden.
O zaman daha az seçenek var. Yabancı bir güç olduğunuzu ve bu bilgilerle temas kurduğunuzu varsayalım. Yapmanız gereken tek şey, kesmekle kirlettiğiniz kritik bir sisteme erişimi olan federal bir çalışan bulmak. Belki de ilki, ülkelerini korumak için aldatma / bağımlılık / cinselliklerinin halka açık olmasına izin vermeye isteklidir. Ama sen sahipsin milyonlarca olası hedeflerin. Er ya da geç, yurtseverlerin tükenmesine neden olacaksın. Ulusal güvenlik açısından bu gerçek bir tehdittir - serbest çalışan bir bilgisayar korsanı bile parayı gasp etmek veya milyonlarca masum insanın lehine kullanabilir.
Güvenlik uzmanı Bruce Schneier (gizlilik ve güven konularında konuştuğumuz Güvenlik Uzmanı Bruce Schneier Şifreler, Gizlilik ve Güven üzerine Güvenlik Uzmanı Bruce Schneier Şifreler, Gizlilik ve Güven Üzerine Güvenlik uzmanı Bruce Schneier ile yaptığımız röportajda güvenlik ve gizlilik hakkında daha fazla bilgi edinin. ), saldırganların, erişebildiği süre boyunca veritabanının içeriğini değiştirebilecekleri ilave bir risk olduğunu belirtmiştir. Veritabanının değiştirildiğini söyleyebileceğimiz belli değil. Örneğin, potansiyel olarak korkutucu bir düşünce olan yabancı casuslara güvenlik izni vermiş olabilirler..
Ne yapabiliriz?
Ne yazık ki, bu muhtemelen türünün son hack değil. OPM'de gördüğümüz gevşek güvenlik prosedürleri büyüklüğündeki devlet kurumlarında nadir değildir. Bir sonraki kesmek ülkenin yarısına elektrik keserse ne olur? Hava trafik kontrolü ne durumda? Bunlar saçma senaryolar değil. Altyapıya saldırmak için zaten kötü amaçlı yazılım kullandık; Stuxnet virüsünü hatırlayın, muhtemelen NSA'nın çalışması Bu NSA Siber-Casusluk Teknikleri Size Karşı Kullanılabilir mi? Bu NSA Siber-Casusluk Teknikleri Size Karşı Kullanılabilir mi? Eğer NSA sizi takip edebiliyorsa - ve biz de biliyoruz - siber suçlular da olabilir. İşte devlet tarafından yapılan araçların size karşı nasıl kullanılacağı. İran nükleer santrifüjlerini fiziksel olarak yok ettiğimiz?
Doğal altyapımız utanç verici derecede savunmasız ve çok önemli. Bu sürdürülebilir olmayan bir durum. Ve, bu hack hakkında (ve diğerini) okuduğumuzda, kendimize bunun haber döngüsü dikkatinin dağıldığı zaman veya birkaç çalışanın işten çıkarılmasında ortaya çıkan bir sorun olmadığını hatırlatmak önemlidir. Bu sistemik bir çürük, biz gerçekten tamir edene kadar, tekrar tekrar bize zarar vermeye devam edecek olan.
Hack'ten etkilendiniz mi?? Düşük bilgisayar güvenliği standartları hakkında endişeli misiniz? Yorumlarda bize bildirin!
Image credits: Defcon Conference, Crypto Card Two Factor, ABD Donanması CyberDefense, Kredi Kartı Hırsızlığı, Keith Alexander