Lesley Fowler
0 
1486
259
Hacks suceden. Parece que es casi todos los meses que una gran corporación daña la seguridad de su computadora y permite que los piratas informáticos se lleven los datos de millones de usuarios. Target confirma que hasta 40 millones de tarjetas de crédito de clientes estadounidenses potencialmente pirateadas Target confirma que hasta 40 millones de tarjetas de crédito de clientes estadounidenses pueden ser potencialmente Hacked Target acaba de confirmar que un hack podría haber comprometido la información de la tarjeta de crédito de hasta 40 millones de clientes que compraron en sus tiendas de EE. UU. Entre el 27 de noviembre y el 15 de diciembre de 2013. Pero, ¿qué sucede cuando no se trata de una corporación, sino del gobierno de los EE. UU.?
Desde hace semanas, las noticias que salen de la Oficina de Administración de Personal (OPM) han empeorado constantemente. La OPM, una oficina gubernamental poco discutida que almacena registros de empleados, ha sido objeto de un ataque de proporciones verdaderamente históricas..
Los números exactos han sido difíciles de manejar. Cuando se anunció por primera vez el hack, los investigadores se aseguraron de que la violación se descubrió rápidamente utilizando el programa de seguridad interna EINSTEIN del gobierno, y afectó los registros de alrededor de cuatro millones de empleados.
Desde entonces, queda claro que el hack fue descubierto accidentalmente, mucho después de que ocurriera, y el número real afectado es más de veintiún millones.
Desafortunadamente, la seguridad informática puede ser confusa y seca. A pesar de todos los informes, es posible que muchos de ustedes aún no comprendan bien lo que se tomó, cómo sucedió o cómo le afecta. Voy a hacer un esfuerzo para desglosarlo y responder algunas preguntas básicas sobre el tema.
¿Cómo sucedió el hack??
Ha habido indicios de que este tipo de cosas era probable por un tiempo. ¿La fuga de Snowden, héroe o villano? NSA modera su postura sobre Snowden Hero o Villain? La NSA modera su postura sobre el denunciante de irregularidades de Snowden Edward Snowden y John DeLong de la NSA aparecieron en el calendario para un simposio. Si bien no hubo debate, parece que la NSA ya no pinta a Snowden como un traidor. Que ha cambiado reveló cuán mala puede ser la seguridad informática federal, incluso dentro de la NSA teóricamente experta. La situación en la OPM fue aún peor. El abierto no tenía empleados de seguridad en absoluto hasta 2013. Habían sido advertidos repetidamente de que sus prácticas de seguridad eran vulnerables a la intrusión ¿Peor que Heartbleed? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux ¿Peor que Heartbleed? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux .
La imagen de incompetencia se completa con informes de que la incursión se descubrió durante un Presentación de ventas por una compañía llamada CyTech Services, que encontró el malware mientras demostraba su herramienta de escaneo de seguridad. No está claro cuánto tiempo los hackers tuvieron acceso al sistema, pero 'años' es una suposición plausible.
Desafortunadamente, esto está lejos de ser un incidente aislado entre las agencias gubernamentales, y eso no debería sorprenderlo. Mire los incentivos: si Target es pirateado, pierden millones de dólares en demandas y ventas perdidas. La compañía recibe un golpe y sus competidores se comen la cuota de mercado. Si una oficina del gobierno comete el mismo error, realmente sucede muy poco. Disparan unos cuantos corderos sacrificados e intentan parecer solemnes durante las audiencias, y esperan unas semanas para que el ciclo de noticias de 24 horas se distraiga con algo brillante..
Hay muy pocos incentivos prácticos para cambiar, y existen muy pocas leyes sobre seguridad cibernética. De las pocas leyes que existen (como FISMA, la Ley Federal de Administración de Seguridad de la Información), la mayoría no se siguen de cerca. Alrededor del 75% de los sistemas informáticos de la OPM no cumplían con esa ley.
Esta es una situación que es mala y empeora. La Oficina de Responsabilidad del Gobierno informó en abril que el número de violaciones de seguridad en las agencias federales se disparó de 5,500 en 2006 a más de 67,000 en 2014. En una entrevista con Re / code, Gregy Wilshusen, el autor del informe, dice que esto se debe a que las agencias a menudo tienen fallas paralizantes en sus procedimientos de seguridad interna, y a menudo no corrigen vulnerabilidades una vez que se descubren.
“Cuando evaluamos estas agencias, a menudo encontramos que sus procedimientos de prueba internos no implican nada más que entrevistar a las personas involucradas, y no probar los sistemas en sí mismos [...] Constantemente encontramos que las vulnerabilidades que identificamos como parte de nuestros procedimientos de prueba y auditoría no son ser encontrado o reparado por las agencias porque tienen procedimientos de prueba inadecuados o incompletos.”
Lo que se tomó?
Otro punto de confusión tiene que ver con la naturaleza de la información a la que los hackers tuvieron acceso. La verdad es que es bastante diversa, porque se accedió a varias bases de datos. La información incluye números de seguridad social para casi todos, lo que representa una gran amenaza de robo de identidad por sí solo. También incluye 1,1 millones de registros de huellas digitales, lo que pone en peligro cualquier sistema que se base en datos biométricos..
Lo más alarmante es que entre los registros robados se encontraron millones de informes obtenidos durante las verificaciones de antecedentes y las solicitudes de autorización de seguridad. Participé en varias verificaciones de antecedentes, ya que un número alarmante de mis viejos amigos de la universidad ahora trabaja para el gobierno federal de los Estados Unidos. Estas verificaciones de antecedentes cavan profundamente. Hablan con su familia, sus amigos y sus compañeros de cuarto para verificar toda su biografía de vida. Están buscando indicios de deslealtad o participación con una potencia extranjera, así como cualquier cosa que pueda ser utilizada para chantajearlo: adicción, infidelidad, juego, homosexualidad secreta, ese tipo de cosas..
En otras palabras, si está buscando chantajear a un empleado federal, esto es prácticamente un sueño hecho realidad. El sistema de verificación de antecedentes se cerró a raíz del hack, y no está claro cuándo volverá a estar operativo.
También existe la mayor preocupación de que los atacantes hayan tenido acceso a estos sistemas durante mucho tiempo..
Quien esta afectado?
Veintiún millones es un gran número. El rango de aquellos directamente afectados abarca empleados federales actuales y anteriores, así como aquellos que solicitaron una autorización de seguridad y fueron rechazados. Indirectamente, cualquier persona cercana a un empleado federal (por ejemplo, familiares, cónyuges y amigos) podría verse afectada si su información se anota en la verificación de antecedentes.
Si cree que podría verse afectado por esto, la OPM está ofreciendo algunos recursos básicos de protección contra el robo de identidad a raíz del incidente. Si está entre los que están directamente comprometidos, debe recibir un correo electrónico, ya que la OPM determina exactamente quién se vio afectado.
Sin embargo, estas protecciones solo tienen en cuenta el robo de identidad y otros ataques bastante básicos que utilizan los datos. Para cosas más sutiles, como la extorsión, hay un límite a lo que el gobierno puede hacer. La protección solo carece de 18 meses: un pirata informático paciente podría fácilmente sentarse en la información durante tanto tiempo.
¿Para qué se utilizarán los datos??
Por último, tenemos la pregunta del millón. ¿Quién tomó los datos y qué planean hacer con ellos? La respuesta es que, desafortunadamente, realmente no lo sabemos. Los investigadores han señalado con el dedo a China, pero no hemos visto ninguna evidencia concreta publicada para respaldar esto. Incluso entonces, no está claro si estamos hablando de autónomos chinos, el gobierno chino o algo intermedio.
Entonces, sin conocer a los atacantes o sus motivos, qué podría hacerse con estos datos?
De buenas a primeras, se presentan algunas opciones obvias. Los números de seguro social no se cambian fácilmente, y cada uno se puede usar en un robo de identidad potencialmente rentable. Venderlos por unos pocos dólares cada uno, con el tiempo, podría generar un buen día de pago de nueve cifras. ¿Qué motiva a la gente a hackear computadoras? Sugerencia: dinero ¿Qué motiva a las personas a hackear computadoras? Sugerencia: Money Criminals puede usar la tecnología para ganar dinero. Tú lo sabes. Pero se sorprendería de lo ingeniosos que pueden ser, desde piratear y revender servidores hasta reconfigurarlos como mineros lucrativos de Bitcoin. para los hackers, casi sin esfuerzo.
Luego hay opciones más desagradables. Digamos que eres una potencia extranjera y entras en contacto con esta información. Todo lo que necesita hacer es encontrar un empleado federal con acceso a un sistema crítico, con el que tenga algo de suciedad a través del hack. Quizás el primero esté dispuesto a dejar que su infidelidad / adicción / sexualidad se haga pública para proteger a su país. Pero tú tienes millones de posibles objetivos. Tarde o temprano, te quedarás sin patriotas. Esta es la verdadera amenaza, desde una perspectiva de seguridad nacional, aunque incluso un hacker independiente podría usar esto para extorsionar dinero o favores de millones de personas inocentes..
El experto en seguridad Bruce Schneier (con quien hablamos sobre temas de privacidad y confianza El experto en seguridad Bruce Schneier en Contraseñas, Privacidad y Confianza El experto en seguridad Bruce Schneier en Contraseñas, Privacidad y Confianza Obtenga más información sobre seguridad y privacidad en nuestra entrevista con el experto en seguridad Bruce Schneier. ) ha especulado que existe un riesgo adicional de que los atacantes puedan haber alterado el contenido de la base de datos durante el tiempo que tuvieron acceso a ella. No está claro si podríamos decir que la base de datos ha sido modificada. Por ejemplo, podrían haber otorgado autorización de seguridad a espías extranjeros, lo cual es un pensamiento aterrador.
Qué podemos hacer?
Desafortunadamente, este probablemente no sea el último truco de este tipo. El tipo de procedimientos de seguridad laxos que vemos en la OPM no son infrecuentes en las agencias gubernamentales de su tamaño. ¿Qué sucede si el siguiente hack apaga la electricidad a la mitad del país? ¿Qué pasa con el control del tráfico aéreo? Estos no son escenarios ridículos. Ya hemos usado malware para atacar la infraestructura; recuerde el virus Stuxnet, probablemente el trabajo de la NSA ¿Podrían estas técnicas de ciberespionaje de la NSA ser utilizadas en su contra? ¿Podrían estas técnicas de ciberespionaje de la NSA ser utilizadas en su contra? Si la NSA puede rastrearlo, y sabemos que puede hacerlo, también pueden hacerlo los ciberdelincuentes. Así es como las herramientas hechas por el gobierno serán utilizadas en su contra más tarde. , que usamos para destruir físicamente las centrifugadoras nucleares iraníes?
Nuestra infraestructura natural es vergonzosamente vulnerable y profundamente crucial. Esa es una situación que no es sostenible. Y, a medida que leemos sobre este truco (y el siguiente), es importante recordarnos que este no es un problema que desaparece cuando el ciclo de noticias se distrae o cuando unos pocos empleados son despedidos. Esta es una podredumbre sistémica, una que nos va a seguir lastimando, una y otra vez, hasta que realmente la arreglemos.
¿Fuiste afectado por el hack?? ¿Preocupado por los bajos estándares de seguridad informática? Háganos saber en los comentarios!
Créditos de imagen: Defcon Conference, Crypto Card Two Factor, US Navy CyberDefense, Credit Card Theft, Keith Alexander