Was ist der OPM-Hack und was bedeutet er für Sie?
Hacks passieren Es scheint, als würde fast jedes Monat ein großer Konzern seine Computersicherheit schwächen, und Hacker können mit Daten von Millionen von Benutzern davonkommen. Target bestätigt bis zu 40 Millionen US-Kunden Kreditkarten potenziell gehackt Ziel bestätigt bis zu 40 Millionen US-Kunden Kreditkarten potenziell Hacked Target hat gerade bestätigt, dass ein Hacker die Kreditkarteninformationen für bis zu 40 Millionen Kunden hätte beeinträchtigen können, die zwischen 27. November und 15. Dezember 2013 in den US-amerikanischen Geschäften eingekauft haben. Weitere Informationen. Aber was passiert, wenn es sich nicht um ein Unternehmen handelt, sondern um die US-Regierung?
Seit Wochen verschlechtern sich die Nachrichten aus dem Amt für Personalmanagement (OPM) stetig. Das OPM, ein wenig diskutiertes Regierungsbüro, das Aufzeichnungen über Angestellte speichert, war Gegenstand eines Hacks von wahrhaft historischen Ausmaßen.
Die genauen Zahlen waren schwierig, um einen Überblick zu bekommen. Als der Hack erstmals angekündigt wurde, wurde den Ermittlern versichert, dass der Verstoß unverzüglich mit dem internen Sicherheitsprogramm EINSTEIN der Regierung entdeckt wurde. Dies hatte Auswirkungen auf die Aufzeichnungen von rund vier Millionen Mitarbeitern.
Seitdem ist klar geworden, dass der Hack zufällig entdeckt wurde, lange nachdem er aufgetreten war - und Die tatsächliche Anzahl ist mehr als einundzwanzig Millionen.
Unglücklicherweise kann die Computersicherheit verwirrend und trocken sein. Trotz aller Berichterstattung haben viele von Ihnen möglicherweise noch kein gutes Verständnis darüber, was aufgenommen wurde, wie es passiert ist oder wie es Sie beeinflusst. Ich werde mich bemühen, es aufzubrechen und einige grundlegende Fragen zu dem Thema zu beantworten.
Wie ist der Hack passiert??
Es gab Anzeichen dafür, dass dies für eine Weile wahrscheinlich war. Der Snowden-Leck-Held oder Bösewicht? NSA moderiert seine Haltung zu Snowden-Held oder Bösewicht? NSA moderiert ihre Haltung zu Snowden Whistleblower Edward Snowden und John DeLong der NSA standen auf dem Terminplan für ein Symposium. Es gab zwar keine Debatte, doch scheint die NSA Snowden nicht mehr als Verräter zu bemalen. Was hat sich geändert? Lesen Sie mehr darüber, wie schlecht die Computersicherheit des Bundes auch innerhalb der theoretisch sachverständigen NSA sein kann. Die Situation auf der OPM war noch schlimmer. Das Open hatte keine Sicherheitsmitarbeiter überhaupt bis 2013. Sie wurden wiederholt gewarnt, dass ihre Sicherheitspraktiken anfällig für ein Eindringen sind. Schlimmer als ein Herzschlag? Treffen Sie ShellShock: Eine neue Sicherheitsbedrohung für OS X und Linux, die schlimmer als Herzblut sind? Lernen Sie ShellShock kennen: Eine neue Sicherheitsbedrohung für OS X und Linux Lesen Sie weiter .
Das Bild der Inkompetenz wird vervollständigt durch Berichte, dass der Einbruch während eines Vorfalls entdeckt wurde Verkaufspräsentation von einer Firma namens CyTech Services, die die Malware gefunden hat, während sie ihr Sicherheitsscan-Tool demonstrierte. Es ist nicht klar, wie lange Hacker Zugriff auf das System hatten, aber "Jahre" sind eine plausible Vermutung.
Leider ist dies alles andere als ein Einzelfall unter Regierungsbehörden, und das sollte Sie nicht überraschen. Sehen Sie sich die Anreize an: Wenn Target gehackt wird, verlieren sie mehrere Millionen Dollar an Prozessen und verlieren Umsatz. Das Unternehmen erlebt einen Schlag und seine Konkurrenten fressen Marktanteile auf. Wenn ein Regierungsbüro den gleichen Fehler macht, passiert eigentlich nur sehr wenig. Sie feuern einige Opferlämmer ab und versuchen, während der Anhörungen feierlich auszusehen, und warten einige Wochen, bis der 24-Stunden-Nachrichtenzyklus von etwas Glänzendem abgelenkt wird.
Es gibt kaum einen praktischen Anreiz, etwas zu ändern, und es gibt nur wenige Gesetze zur Cybersicherheit. Von den wenigen Gesetzen (wie FISMA, dem Informationssicherheits-Bundesgesetz) werden die meisten nicht genau befolgt. Etwa 75% der Computersysteme des OPM erfüllten dieses Gesetz nicht.
Diese Situation ist schlimm und wird immer schlimmer. Das Government Accountability Office berichtete im April, die Zahl der Sicherheitsverletzungen bei Bundesbehörden sei von 5.500 im Jahr 2006 auf über 67.000 im Jahr 2014 gestiegen. In einem Interview mit Re / code sagte der Autor des Berichts, Gregy Wilshusen, dass dies auf Agenturen zurückzuführen sei Sie haben oft lähmende Mängel in ihren internen Sicherheitsverfahren und können Schwachstellen häufig nicht beheben, sobald sie entdeckt werden.
“Wenn wir diese Agenturen bewerten, stellen wir oft fest, dass ihre internen Testverfahren nichts anderes beinhalten als die Befragung der beteiligten Personen und nicht das Testen der Systeme selbst. […] Wir haben durchweg festgestellt, dass Schwachstellen, die wir als Teil unserer Test- und Audit-Verfahren identifizieren, dies nicht sind von den Agenturen gefunden oder festgelegt werden, weil sie unzureichende oder unvollständige Testverfahren haben.”
Was wurde genommen??
Ein weiterer Punkt der Verwirrung betrifft die Art der Informationen, zu denen die Hacker Zugang hatten. Die Wahrheit ist, dass es ziemlich verschieden ist, weil auf mehrere Datenbanken zugegriffen wurde. Die Informationen enthalten Sozialversicherungsnummern für fast alle - was eine große Gefahr für Identitätsdiebstahl darstellt. Es umfasst auch 1,1 Millionen Fingerabdrücke, die jedes System gefährden, das auf biometrischen Daten basiert.
Beunruhigend ist, dass unter den gestohlenen Datensätzen Millionen von Berichten, die bei Hintergrundüberprüfungen und Sicherheitsüberprüfungen erhalten wurden, stammen. Ich habe an einer Reihe von Hintergrundüberprüfungen teilgenommen, da eine alarmierende Anzahl meiner alten College-Freunde jetzt für die US-Bundesregierung arbeitet. Diese Hintergrundprüfungen sind tiefgründig. Sie sprechen mit Ihrer Familie, Ihren Freunden und Ihren Mitbewohnern, um Ihre gesamte Lebensbiografie zu überprüfen. Sie suchen nach Hinweisen auf Untreue oder einer Beteiligung an einer fremden Macht sowie nach etwas, das möglicherweise dazu benutzt wird, Sie zu erpressen: Sucht, Untreue, Glücksspiel, geheime Homosexualität, solche Dinge.
Mit anderen Worten: Wenn Sie einen Bundesangestellten erpressen möchten, ist dies ein wahrer Traum. Das Hintergrundüberprüfungssystem wurde nach dem Hack heruntergefahren und es ist nicht klar, wann es wieder betriebsbereit ist.
Es gibt auch die größere Sorge, dass die Angreifer lange Zeit Zugriff auf diese Systeme hatten.
Wer ist betroffen??
Einundzwanzig Millionen sind eine große Zahl. Das Spektrum der direkt Betroffenen umfasst sowohl jetzige als auch ehemalige Bundesangestellte sowie diejenigen, die eine Sicherheitsfreigabe beantragt und abgelehnt wurden. Indirekt kann jeder, der einem Bundesangestellten nahe steht (Familie, Ehepartner und Freunde denken), betroffen sein, wenn seine Informationen in der Hintergrundprüfung vermerkt wurden.
Wenn Sie glauben, dass Sie davon betroffen sein könnten, bietet das OPM im Anschluss an den Vorfall einige grundlegende Ressourcen zum Schutz vor Identitätsdiebstahl. Wenn Sie zu den direkt gefährdeten Personen gehören, sollten Sie eine E-Mail erhalten, da das OPM genau ermittelt, wer betroffen war.
Diese Schutzmaßnahmen berücksichtigen jedoch nur Identitätsdiebstahl und andere recht grundlegende Angriffe, die die Daten verwenden. Für subtilere Dinge wie Erpressung gibt es eine Grenze für das, was die Regierung tun kann. Dem Schutz fehlen nur noch 18 Monate - ein Patientin könnte so lange auf den Informationen sitzen.
Wofür werden die Daten verwendet??
Schließlich haben wir die Millionen-Dollar-Frage. Wer hat die Daten übernommen und was planen sie damit? Die Antwort ist, dass wir das leider nicht wirklich wissen. Die Ermittler haben auf China gerichtet, aber es wurden keine konkreten Beweise dafür gefunden. Es ist auch nicht klar, ob es sich um chinesische Freiberufler, die chinesische Regierung oder etwas dazwischen handelt.
Also, ohne die Angreifer oder ihre Motive zu kennen könnte mit diesen Daten fertig sein?
Sofort bieten sich einige naheliegende Optionen an. Die Sozialversicherungsnummern können nicht einfach geändert werden und jede kann bei einem potenziell rentablen Identitätsdiebstahl verwendet werden. Wenn Sie diese im Laufe der Zeit für jeweils ein paar Dollar verkaufen, könnte dies zu einem gesunden neunstelligen Zahltag führen. Was motiviert die Menschen, Computer zu hacken? Hinweis: Geld, was Menschen dazu motiviert, Computer zu hacken? Hinweis: Geldverbrecher können mit Technologie Geld verdienen. Du weißt das. Sie wären jedoch überrascht, wie genial sie sein können, vom Hacken und Weiterverkauf von Servern bis hin zur Neukonfiguration als lukrative Bitcoin-Minenarbeiter. Lesen Sie mehr für die Hacker, fast ohne Mühe.
Dann gibt es schlechtere Optionen. Nehmen wir an, Sie sind eine fremde Macht und kommen mit diesen Informationen in Kontakt. Alles, was Sie tun müssen, ist, einen Bundesangestellten zu finden, der Zugriff auf ein kritisches System hat, auf das Sie sich durch den Hack verunreinigt haben. Vielleicht ist die erste bereit, ihre Untreue / Sucht / Sexualität öffentlich zu machen, um ihr Land zu schützen. Aber Sie haben Millionen von möglichen Zielen. Früher oder später werden Ihnen die Patrioten ausgehen. Aus Sicht der nationalen Sicherheit ist dies die wirkliche Bedrohung - obwohl selbst ein freiberuflicher Hacker damit Millionen von Unschuldigen erpressen kann.
Sicherheitsexperte Bruce Schneier (mit dem wir zu Fragen des Datenschutzes und des Vertrauens gesprochen haben Sicherheitsexperte Bruce Schneier zu Kennwörtern, Datenschutz und Vertrauen Sicherheitsexperte Bruce Schneier zu Kennwörtern, Datenschutz und Vertrauen In unserem Interview mit dem Sicherheitsexperten Bruce Schneier erfahren Sie mehr über Sicherheit und Datenschutz. Lesen Sie weiter) hat spekuliert, dass ein zusätzliches Risiko besteht, dass Angreifer den Inhalt der Datenbank während der Zeit, in der sie darauf Zugriff hatten, manipuliert haben könnten. Es ist nicht klar, dass wir feststellen können, dass die Datenbank geändert wurde. Sie hätten zum Beispiel möglicherweise die Sicherheitsfreigabe ausländischer Spione erteilt, was ein erschreckender Gedanke ist.
Was können wir tun?
Leider ist dies wahrscheinlich nicht der letzte Hack seiner Art. Die Art von laxen Sicherheitsverfahren, die wir im OPM sehen, ist bei Regierungsbehörden ihrer Größe nicht ungewöhnlich. Was passiert, wenn der nächste Hack das halbe Land abschaltet? Was ist mit der Flugverkehrskontrolle? Das sind keine lächerlichen Szenarien. Wir haben bereits Malware eingesetzt, um die Infrastruktur anzugreifen. Erinnern Sie sich an das Stuxnet-Virus, die NSA-Cyber-Spionagetechniken könnten gegen Sie eingesetzt werden? Könnten diese NSA-Cyber-Spionagetechniken gegen Sie eingesetzt werden? Wenn die NSA Sie aufspüren kann - und wir wissen, dass es möglich ist -, können dies auch Internetkriminelle tun. So werden von der Regierung erstellte Werkzeuge später gegen Sie eingesetzt. Lesen Sie mehr, mit dem wir iranische Atomzentrifugen physisch zerstört haben?
Unsere natürliche Infrastruktur ist peinlich anfällig und äußerst wichtig. Das ist eine Situation, die nicht nachhaltig ist. Wenn wir über diesen Hack (und den nächsten) lesen, ist es wichtig, uns daran zu erinnern, dass dies kein Problem ist, das beseitigt wird, wenn der Nachrichtenzyklus abgelenkt wird oder wenn einige Mitarbeiter entlassen werden. Dies ist eine systemische Fäulnis, die uns immer wieder verletzen wird, bis wir sie tatsächlich beheben.
Warst du vom Hack betroffen?? Besorgt über niedrige Standards der Computersicherheit? Lass es uns in den Kommentaren wissen!
Bildnachweise: Defcon Conference, Crypto Card Two Factor, CyberDefense der US-Navy, Kreditkarten-Diebstahl, Keith Alexander
Erfahren Sie mehr über: Computersicherheit, Hacking, Online-Sicherheit.