Hacks acontecem. Parece que é quase todo mês que uma grande corporação libera a segurança de seu computador e permite que hackers obtenham dados em milhões de usuários A meta confirma até 40 milhões de clientes dos EUA Cartões de crédito potencialmente atingidos O alvo confirma até 40 milhões de cartões de crédito de clientes nos EUA A Hacked Target acaba de confirmar que um hack poderia ter comprometido as informações do cartão de crédito de até 40 milhões de clientes que fizeram compras em suas lojas nos EUA entre 27 de novembro e 15 de dezembro de 2013. Leia Mais. Mas o que acontece quando não é uma corporação, mas o governo dos EUA?
Por semanas, as notícias que saem do Escritório de Gestão de Pessoal (OPM) estão ficando cada vez piores. O OPM, um escritório do governo pouco discutido que armazena os registros dos funcionários, tem sido objeto de um corte de proporções verdadeiramente históricas.
Os números exatos têm sido difíceis de resolver. Quando o hack foi anunciado pela primeira vez, os investigadores foram assegurados de que a violação foi descoberta prontamente usando o programa de segurança interna EINSTEIN do governo, e isso afetou os registros de cerca de quatro milhões de funcionários.
Desde então, ficou claro que o hack foi descoberto acidentalmente, muito tempo depois de ocorrer - e o número real afetado é mais de vinte e um milhões .
Infelizmente, a segurança do computador pode ser confusa e seca. Apesar de todos os relatos, muitos de vocês ainda podem não ter uma boa compreensão do que foi feito, como isso aconteceu ou como isso afeta você. Vou me esforçar para dividir e responder algumas perguntas básicas sobre o assunto.
Como o Hack aconteceu?
Houve sinais de que esse tipo de coisa era provável por um tempo. O herói do vazamento de Snowden ou vilão? NSA modera sua posição em Snowden Hero ou Villain? A NSA modera sua posição sobre o denunciante de Snowden Edward Snowden e John DeLong, da NSA, apareceram na programação para um simpósio. Enquanto não houve debate, parece que a NSA não pinta mais Snowden como um traidor. O que mudou? Read More revelou como a segurança federal dos computadores pode ser ruim, mesmo dentro da NSA, teoricamente especializada. A situação no OPM foi ainda pior. A abertura não tinha funcionários de segurança até 2013. Eles tinham sido repetidamente avisados de que suas práticas de segurança eram vulneráveis à intrusão Pior do que o Heartbleed? Conheça o ShellShock: uma nova ameaça à segurança do OS X e do Linux é pior do que o Heartbleed? Conheça o ShellShock: uma nova ameaça à segurança para o OS X e Linux Leia mais.
A imagem da incompetência é completada por relatos de que a incursão foi descoberta durante uma apresentação de vendas de uma empresa chamada CyTech Services, que encontrou o malware enquanto demonstrava sua ferramenta de varredura de segurança. Não está claro por quanto tempo os hackers tiveram acesso ao sistema, mas "anos" é um palpite plausível.
Infelizmente, isso está longe de ser um incidente isolado entre as agências do governo, e isso não deveria surpreendê-lo. Veja os incentivos: se a Target for hackeada, eles perdem milhões de dólares em processos judiciais e perdem vendas. A empresa leva um golpe e seus concorrentes consomem participação de mercado. Se um escritório do governo cometer o mesmo erro, muito pouco realmente acontece. Eles disparam alguns cordeiros sacrificiais e tentam parecer solenes durante as audiências, e esperam algumas semanas para que o ciclo de notícias de 24 horas seja distraído por algo brilhante.
Há muito pouco incentivo prático para mudar, e muito poucas leis existem em relação à segurança cibernética. Das poucas leis que existem (como a FISMA, a Lei Federal de Gerenciamento de Segurança da Informação), a maioria não é seguida de perto. Cerca de 75% dos sistemas informáticos do OPM não cumpriam essa lei.
Esta é uma situação que é ruim e está piorando. O Government Accountability Office informou em abril que o número de violações de segurança nas agências federais disparou de 5.500 em 2006 para mais de 67.000 em 2014. Em uma entrevista com Re / code, Gregy Wilshusen, o autor do relatório, diz que isso ocorre porque as agências muitas vezes têm falhas incapacitantes em seus procedimentos de segurança interna e, muitas vezes, não corrigem vulnerabilidades quando são descobertas.
“Quando avaliamos essas agências, geralmente descobrimos que seus procedimentos internos de teste envolvem nada mais do que entrevistar as pessoas envolvidas e não testar os próprios sistemas [...] Constatamos que as vulnerabilidades que identificamos como parte de nossos procedimentos de teste e auditoria são não sendo encontrados ou consertados pelas agências porque têm procedimentos de testes inadequados ou incompletos. ”
O que foi tirado?
Outro ponto de confusão tem a ver com a natureza da informação a que os hackers tiveram acesso. A verdade é que é bastante diversificada, porque vários bancos de dados foram acessados. A informação inclui números de seguridade social para quase todos - o que representa uma enorme ameaça de roubo de identidade por si só. Também inclui 1, 1 milhão de registros de impressões digitais, o que coloca em risco qualquer sistema que se baseie em dados biométricos.
O mais alarmante é que, entre os registros roubados, havia milhões de relatórios obtidos durante verificações de antecedentes e solicitações de segurança. Eu participei de várias verificações de antecedentes, já que um número alarmante de meus velhos amigos de faculdade agora trabalha para o governo federal dos EUA. Essas verificações de histórico são profundas. Eles conversam com sua família, seus amigos e seus colegas de quarto para verificar toda a sua vida biografia. Eles estão procurando por indícios de deslealdade, ou envolvimento com uma potência estrangeira, bem como qualquer coisa que possa ser usada para chantageá-lo: vício, infidelidade, jogo, homossexualismo secreto, esse tipo de coisa.
Em outras palavras, se você está tentando chantagear um funcionário federal, isso é praticamente um sonho tornado realidade. O sistema de verificação de antecedentes foi desativado na sequência do hack, e não está claro quando ele estará operacional novamente.
Há também a maior preocupação de que os invasores tivessem acesso a esses sistemas por um longo tempo.
Quem é afetado?
Vinte e um milhões é um grande número. A gama de pessoas diretamente afetadas abrange funcionários públicos atuais e antigos, bem como aqueles que solicitaram credenciamento de segurança e foram rejeitados. Indiretamente, qualquer pessoa próxima a um funcionário federal (pense em família, cônjuges e amigos) pode ser afetada se suas informações forem anotadas na verificação de antecedentes.
Se você acha que pode ser afetado por isso, o OPM está oferecendo alguns recursos básicos de proteção contra roubo de identidade após o incidente. Se você estiver entre os diretamente comprometidos, receberá um e-mail, pois o OPM descobrirá exatamente quem foi afetado.
No entanto, essas proteções são responsáveis apenas pelo roubo de identidade e outros ataques básicos usando os dados. Para coisas mais sutis, como a extorsão, há um limite para o que o governo pode fazer. A proteção só tem 18 meses - um hacker paciente poderia facilmente sentar-se na informação por tanto tempo.
Para que os dados serão usados?
Por fim, temos a pergunta de um milhão de dólares. Quem pegou os dados e o que eles planejam fazer com isso? A resposta é que, infelizmente, não sabemos realmente. Investigadores apontaram seus dedos para a China, mas não vimos nenhuma evidência concreta liberada para respaldar isso. Mesmo assim, não está claro se estamos falando de freelancers chineses, do governo chinês ou de algo entre os dois.
Então, sem conhecer os invasores ou seus motivos, o que poderia ser feito com esses dados?
Logo de cara, algumas opções óbvias se apresentam. Números de seguridade social não são facilmente alterados, e cada um pode ser usado em um roubo de identidade potencialmente lucrativo. Vendendo-os por alguns dólares cada, com o tempo, poderia render um saudável pagamento de nove dígitos. O que motiva as pessoas a invadir os computadores? Dica: Dinheiro O que motiva as pessoas a invadir computadores? Dica: Money Criminals podem usar a tecnologia para ganhar dinheiro. Você sabe disso. Mas você ficaria surpreso com o quão engenhosos eles podem ser, desde hackear e revender servidores até reconfigurá-los como lucrativos mineradores de Bitcoin. Leia mais para os hackers, com quase nenhum esforço.
Então há opções mais desagradáveis. Vamos dizer que você é uma potência estrangeira e entra em contato com essa informação. Tudo o que você precisa fazer é encontrar um funcionário federal com acesso a um sistema crítico, com quem você tenha alguma sujeira por meio do hack. Talvez o primeiro esteja disposto a deixar sua infidelidade / vício / sexualidade se tornar pública para proteger seu país. Mas você tem milhões de alvos possíveis. Mais cedo ou mais tarde, você vai ficar sem patriotas. Essa é a ameaça real, do ponto de vista da segurança nacional - embora até um hacker freelancer possa usar isso para extorquir dinheiro ou favores de milhões de pessoas inocentes.
Especialista em segurança Bruce Schneier (com quem conversamos sobre questões de privacidade e confiança Especialista em segurança Bruce Schneier Sobre senhas, privacidade e confiança Especialista em segurança Bruce Schneier Sobre senhas, privacidade e confiança Saiba mais sobre segurança e privacidade em nossa entrevista com o especialista em segurança Bruce Schneier. Leia mais) especulou que há um risco adicional de que os invasores possam ter adulterado o conteúdo do banco de dados durante o tempo em que tiveram acesso a ele. Não está claro que poderíamos dizer que o banco de dados foi modificado. Eles poderiam, por exemplo, potencialmente dar permissão de segurança a espiões estrangeiros, o que é um pensamento assustador.
O que podemos fazer?
Infelizmente, este provavelmente não é o último truque de seu tipo. O tipo de procedimentos de segurança negligentes que vemos no OPM não são incomuns em agências governamentais de seu tamanho. O que acontece se o próximo hacker desligar a eletricidade para metade do país? E quanto ao controle de tráfego aéreo? Estes não são cenários ridículos. Já usamos malware para atacar a infraestrutura; Lembre-se do vírus Stuxnet, provavelmente o trabalho da NSA poderia estas técnicas de espionagem da NSA ser usado contra você? Essas técnicas de espionagem eletrônica da NSA poderiam ser usadas contra você? Se a NSA puder rastreá-lo (e sabemos que pode), os cibercriminosos também poderão. Veja como as ferramentas feitas pelo governo serão usadas contra você mais tarde. Leia mais, que usamos para destruir fisicamente as centrífugas nucleares iranianas?
Nossa infraestrutura natural é embaraçosamente vulnerável e profundamente crucial. Essa é uma situação que não é sustentável. E, quando lemos sobre esse hack (e o próximo), é importante lembrar que isso não é um problema que desaparece quando o ciclo de notícias se distrai, ou quando alguns funcionários são demitidos. Esta é uma podridão sistêmica, que vai continuar nos prejudicando, até que nós consertemos isso.
Você foi afetado pelo hack? Preocupado com os baixos padrões de segurança do computador? Deixe-nos saber nos comentários!
Créditos da imagem: Conferência Defcon, Crypto Card Two Factor, US CyberDefense da Marinha, Credit Card Theft, Keith Alexander