Quel est le hack opm, et qu`est-ce que cela signifie pour vous?

Video: COMMENT HACKER UN COMPTE MSP ?! je vous montre !

Hacks se produisent. Il semble que c`est presque chaque mois que certaines grandes sociétés flubs leur sécurité informatique, et permet aux pirates faire des données sur de millions d`utilisateurs. Mais ce qui se passe quand il est pas une société, mais le gouvernement américain?Cible Confirme Jusqu`à 40 millions de clients aux États-Unis Cartes de crédit potentiellement hackéCible Confirme Jusqu`à 40 millions de clients aux États-Unis Cartes de crédit potentiellement hackéTarget vient de confirmer qu`un piratage aurait pu compromettre les informations de carte de crédit pour un maximum de 40 millions de clients qui ont magasiné dans ses magasins aux États-Unis entre le 27 Novembre et le 15 Décembre 2013.Lire la suite

Depuis des semaines, les nouvelles en provenance du Bureau de la gestion du personnel (OPM) a été se détériore progressivement. L`OPM, un bureau du gouvernement peu discuté qui stocke des dossiers sur les employés, a fait l`objet d`un hack de proportions véritablement historiques.

Les chiffres exacts ont été difficiles à obtenir une poignée. Lorsque le hack a été annoncé, les enquêteurs ont assuré que la violation a été découvert rapidement à l`aide EINSTEIN du gouvernement du programme de sécurité intérieure, et affecté les dossiers d`environ quatre millions d`employés.

Depuis lors, il est devenu clair que le hack a été découvert par hasard, longtemps après qu`il a eu lieu - et le nombre réel affecté est plus comme vingt à un million.

Malheureusement, la sécurité informatique peut avoir tendance à être confus et sec. Malgré tous les rapports, beaucoup d`entre vous ont toujours pas une bonne compréhension de ce qui a été prise, comment, ou comment il vous affecte. Je vais faire un effort pour décomposer et répondre à certaines questions fondamentales sur la question.

Comment le Hack Happen?

Il y a eu des signes que ce genre de chose était probablement pendant un certain temps. le fuite Snowden a révélé à quel point la sécurité informatique fédéral peut être, même au sein de la NSA théoriquement expert. La situation à l`OPM était encore pire. L`ouverture avait pas d`employés de sécurité du tout jusqu`en 2013. Ils avaient été mis en garde à plusieurs reprises que leurs pratiques de sécurité étaient vulnérables à l`intrusion.Hero ou Villain? NSA Modérés sa position sur SnowdenHero ou Villain? NSA Modérés sa position sur SnowdenDénonciateur Edward Snowden et John DeLong de la NSA est apparu sur le calendrier d`un symposium. Bien qu`il n`y ait pas de débat, il semble que la NSA ne peint plus Snowden comme un traître. Ce qui a changé?Lire la suite

L`image de l`incompétence est complétée par des rapports que l`incursion a été découverte au cours d`une présentation de vente par une compagnie appelée CYTECH Services, qui a trouvé le logiciel malveillant tout en démontrant leur outil de balayage de sécurité. On ne sait pas combien de temps les pirates ont eu accès au système, mais « années est une estimation plausible.

1594411528_1512b1aad5_z

Malheureusement, cela est loin d`être un incident isolé entre les organismes gouvernementaux, et cela ne devrait pas vous surprendre. Regardez les incitations: si la cible est piraté, ils perdent des millions de dollars dans des procès et des ventes perdues. La société prend un coup, et leurs concurrents manger des parts de marché. Si un bureau du gouvernement fait la même erreur, très peu se passe réellement. Ils tirent quelques agneaux sacrificiels et essayer de regarder solennel au cours des audiences, et attendre quelques semaines pour le cycle de nouvelles de 24 heures pour se laisser distraire par quelque chose de brillant.

Il y a très peu d`intérêt pratique à changer, et très peu de lois existent en ce qui concerne la cybersécurité. Parmi les quelques lois il y a (comme FISMA, la Loi sur la gestion de la sécurité de l`information fédérale), la plupart ne sont pas suivis de près. Environ 75% des systèmes informatiques de l`OPM ne respectait pas cette loi.

Ceci est une situation qui est mauvaise et se détériore. Le Bureau de la responsabilité du gouvernement a déclaré en Avril que le nombre de failles de sécurité dans les agences fédérales ont monté en flèche de 5.500 en 2006 à plus de 67 000 en 2014. Dans une interview avec Re / code, Gregy Wilshusen, l`auteur du rapport, dit que c`est parce que les organismes ont souvent des défauts rédhibitoires dans leurs procédures de sécurité internes, et souvent ne pas corriger les vulnérabilités une fois qu`ils sont découverts.

Video: Comment hacker ski région simulator 2012

« Lorsque nous évaluons ces organismes, nous constatons souvent que leurs procédures de contrôle internes impliquent rien de plus que interviewer les personnes impliquées, et non à tester les systèmes eux-mêmes [...] Nous avons trouvé constamment que les vulnérabilités que nous identifions dans le cadre de nos procédures de test et de vérification sont pas trouvé ou fixés par les organismes parce qu`ils ont des procédures d`essai inadéquates ou incomplètes. »

Qu`est-ce que Taken?

keychainlogin

Un autre point de confusion a à voir avec la nature des informations que les pirates avaient accès. La vérité est qu`il est assez diversifié, car plusieurs bases de données ont été consultées. Ces informations comprennent les numéros de sécurité sociale pour à peu près tout le monde - qui présente une menace énorme de vol d`identité par lui-même. Il comprend également 1,1 million d`enregistrements d`empreintes digitales, ce qui met en danger tout système qui repose sur la biométrie.

Le plus alarmant, parmi les dossiers volés étaient des millions de rapports obtenus lors de la vérification des antécédents et des applications de contrôle de sécurité. J`ai participé à un certain nombre de vérifications des antécédents, comme un nombre alarmant de mes anciens amis de collège travaillent maintenant pour le gouvernement fédéral des États-Unis. Ces vérifications creusent en profondeur. Ils parlent à votre famille, vos amis et vos colocataires pour vérifier votre entière biographie de la vie. Ils cherchent des conseils de déloyauté, ou l`implication d`une puissance étrangère, ainsi que tout ce qui pourrait éventuellement être utilisés pour vous faire chanter: dépendance, l`infidélité, le jeu, l`homosexualité secrète, ce genre de choses.

En d`autres termes, si vous cherchez à faire du chantage un employé fédéral, c`est à peu près un rêve devenu réalité. Le système de vérification des antécédents est arrêté à la suite du hack, et on ne sait pas quand il sera de nouveau opérationnel.

Il y a aussi la grande préoccupation que les assaillants avaient accès à ces systèmes depuis longtemps.

Qui est touché?

Vingt et un million est un grand nombre. La gamme des personnes directement touchées couvre les employés fédéraux actuels et anciens, ainsi que ceux qui ont demandé une habilitation de sécurité et ont été rejetées. Indirectement, toute personne proche d`un employé fédéral (penser la famille, les conjoints et amis) pourraient être touchés si leur information a été noté dans la vérification des antécédents.

Si vous pensez que vous pourriez être affecté par cela, l`OPM offre des ressources de protection vol d`identité de base à la suite de l`incident. Si vous êtes parmi ceux qui sont directement compromis, vous devriez obtenir un e-mail, comme OPM chiffres exactement qui a été touché.

Toutefois, ces protections ne représentent que le vol d`identité et d`autres attaques assez basiques en utilisant les données. Pour des choses plus subtiles, comme l`extorsion de fonds, il y a une limite à ce que le gouvernement peut faire. La protection n`a pas seulement 18 mois - un hacker patient pourrait facilement s`asseoir sur les informations aussi longtemps.

081203-N-2147L-390

Qu`est-ce que les données être utilisé?

Enfin, nous avons la question à un million de dollars. Qui a pris les données, et ce sont-ils l`intention de faire? La réponse est que, malheureusement, nous ne savons pas vraiment. Les enquêteurs ont fait leurs doigts à la Chine, mais nous avons vu aucune preuve concrète publiée pour étayer cette thèse. Même alors, il ne sait pas si nous parlons des pigistes chinois, le gouvernement chinois, ou quelque chose entre les deux.

Ainsi, sans connaître les attaquants ou leurs motifs, ce pourrait être fait avec ces données?

Dès le départ, certaines options évidentes se présentent. numéros de sécurité sociale ne sont pas faciles à changer, et chacun peut être utilisé dans un vol d`identité potentiellement rentable. La vente de ces quelques dollars chacun, au fil du temps, pourrait net une bonne santé neuf chiffres sur salaire pour les pirates, avec presque aucun effort.Qu`est-ce qui motive les gens à pirater les ordinateurs? Conseil: l`argentQu`est-ce qui motive les gens à pirater les ordinateurs? Conseil: l`argentLes criminels peuvent utiliser la technologie pour faire de l`argent. Tu sais ça. Mais vous seriez surpris de voir à quel point ils peuvent être ingénieux, contre le piratage et la revente de serveurs pour les reconfigurant comme lucratifs mineurs Bitcoin.Lire la suite

Capture du drapeau

Ensuite, il y a des options les plus méchants. Disons que vous êtes une puissance étrangère et vous entrez en contact avec ces informations. Tout ce que vous devez faire est de trouver un employé fédéral avec accès à un système critique, qui vous avez un peu de terre via le hack. Peut-être que le premier est prêt à laisser leur infidélité / addiction / sexualité devenue publique pour protéger leur pays. Mais vous avez des millions des cibles possibles. Tôt ou tard, vous allez manquer de patriotes. Ceci est la menace réelle, du point de vue de la sécurité nationale - mais même un hacker indépendant pourrait utiliser pour extorquer de l`argent ou des faveurs de millions de personnes innocentes.

expert en sécurité Bruce Schneier (qui nous avons parlé sur les questions de la vie privée et la confiance) A émis l`hypothèse qu`il ya un risque supplémentaire que les attaquants auraient pu falsifié le contenu de la base de données pendant le temps qu`ils y avaient accès. On ne sait pas que nous serions en mesure de dire la base de données a été modifiée. Ils pourraient, par exemple, ce qui pourrait avoir donné une autorisation de sécurité aux espions étrangers, ce qui est une pensée effrayante.Sécurité Expert Bruce Schneier sur les mots de passe, et robustesseSécurité Expert Bruce Schneier sur les mots de passe, et robustesseLire la suite

Que pouvons-nous faire?

Malheureusement, cela est probablement pas le dernier hack son genre. Le type de procédures de sécurité laxistes que nous voyons dans l`OPM ne sont pas rares dans les organismes gouvernementaux de sa taille. Que se passe-t si le prochain bidouille se éteint l`électricité à la moitié du pays? Qu`en est-il le contrôle du trafic aérien? Ce ne sont pas des scénarios ridicules. Nous avons déjà utilisé les logiciels malveillants pour attaquer Infrastructure- rappeler le virus Stuxnet, probablement le travail de la NSA, que nous avons utilisé pour détruire physiquement les centrifugeuses nucléaires iraniennes?

Notre infrastructure naturelle est honteusement vulnérable, et profondément cruciale. Voilà une situation qui n`est pas durable. Et, comme nous le lisons au sujet de ce hack (et la suivante), il est important de se rappeler que ce n`est pas une question qui disparaît lorsque le cycle des nouvelles se laisse distraire, ou quand quelques employés sont tirés. Ceci est une pourriture systémique, qui va continuer à nous faire du mal, encore et encore, jusqu`à ce que nous fixons réellement.

Avez-vous été affecté par le hack? Inquiet de faible niveau de sécurité informatique? Faites le nous savoir dans les commentaires!

Articles connexes