Hacks arrivent. Il semble que c'est presque chaque mois qu'une grande entreprise vole sa sécurité informatique et laisse les pirates s'enfuir avec des données sur des millions d'utilisateurs Target confirme jusqu'à 40 millions de clients américains Cartes de crédit Potentially Hacked Target confirme jusqu'à 40 millions de clients américains Cartes de crédit Potentiellement Hacked Target vient de confirmer qu'un piratage aurait pu compromettre les informations de carte de crédit pour un maximum de 40 millions de clients qui ont fait des achats dans ses magasins américains entre le 27 novembre et le 15 décembre 2013. Lire la suite. Mais que se passe-t-il quand ce n'est pas une société, mais le gouvernement américain?
Depuis quelques semaines, les nouvelles de l'Office of Personnel Management (OPM) ne cessent d'empirer. L'OPM, un bureau gouvernemental peu commenté qui stocke des dossiers sur les employés, a fait l'objet d'un hack de proportions véritablement historiques.
Les chiffres exacts ont été difficiles à maîtriser. Lorsque le piratage a été annoncé pour la première fois, les enquêteurs ont été assurés que la violation avait été découverte rapidement en utilisant le programme de sécurité interne EINSTEIN du gouvernement, ce qui a affecté les dossiers d'environ quatre millions d'employés.
Depuis lors, il est devenu clair que le piratage a été découvert accidentellement, longtemps après qu'il s'est produit - et le nombre réel affecté est plus de vingt et un millions .
Malheureusement, la sécurité informatique peut avoir tendance à être confuse et sèche. Malgré tous les rapports, beaucoup d'entre vous ne comprennent peut-être pas toujours ce qui a été pris, comment cela s'est passé ou comment cela vous affecte. Je vais faire un effort pour le décomposer et répondre à quelques questions de base sur la question.
Comment s'est passé le Hack?
Il y a eu des signes que ce genre de chose était probable pendant un moment. La fuite de Snowden Hero ou Villain? NSA modère sa position sur Snowden Hero ou Villain? La NSA modère sa position sur Snowden Le dénonciateur Edward Snowden et le John DeLong de la NSA ont participé à un symposium. Bien qu'il n'y ait pas eu de débat, il semble que la NSA ne considère plus Snowden comme un traître. Qu'est-ce qui a changé? Read More a révélé à quel point la sécurité informatique fédérale peut être mauvaise, même au sein de la NSA théoriquement experte. La situation à l'OPM était encore pire. L'ouvert n'avait pas d'employés de sécurité du tout jusqu'en 2013. Ils avaient été avertis à plusieurs reprises que leurs pratiques de sécurité étaient vulnérables à l'intrusion pire que Heartbleed? Rencontrez ShellShock: une nouvelle menace de sécurité pour OS X et Linux, pire que Heartbleed? Découvrez ShellShock: une nouvelle menace de sécurité pour OS X et Linux En savoir plus.
L'image de l'incompétence est complétée par des rapports que l'incursion a été découverte lors d'une présentation commerciale par une société appelée CyTech Services, qui a trouvé le malware tout en démontrant leur outil d'analyse de sécurité. On ne sait pas exactement combien de temps les hackers ont eu accès au système, mais les «années» sont une supposition plausible.
Malheureusement, ceci est loin d'être un incident isolé parmi les agences gouvernementales, et cela ne devrait pas vous surprendre. Regardez les incitations: si Target est piraté, ils perdent des millions de dollars en procès et perdent des ventes. L'entreprise prend un coup, et leurs concurrents mangent des parts de marché. Si un bureau du gouvernement fait la même erreur, très peu se produit réellement. Ils tirent quelques agneaux sacrificiels et essaient de paraître solennels durant les audiences, et attendent quelques semaines que le cycle de nouvelles de 24 heures soit distrait par quelque chose de brillant.
Il y a très peu d'incitation pratique à changer, et très peu de lois existent en matière de cybersécurité. Parmi les quelques lois qui existent (comme la FISMA, la Federal Information Security Management Act), la plupart ne sont pas suivies de près. Environ 75% des systèmes informatiques d'OPM n'étaient pas conformes à cette loi.
C'est une situation qui est mauvaise et qui s'aggrave. Le Government Accountability Office a rapporté en avril que le nombre d'atteintes à la sécurité dans les agences fédérales avait grimpé de 5 500 en 2006 à plus de 67 000 en 2014. Dans une interview avec Re / code, Gregy Wilshusen, l'auteur du rapport, dit que ont souvent des failles rédhibitoires dans leurs procédures de sécurité internes, et souvent ne corrigent pas les vulnérabilités une fois découvertes.
«Lorsque nous évaluons ces agences, nous constatons souvent que leurs procédures de test internes n'impliquent rien d'autre que d'interroger les personnes impliquées et de ne pas tester les systèmes elles-mêmes. Nous avons systématiquement constaté que les vulnérabilités que nous identifions ne pas être trouvés ou fixés par les agences parce qu'ils ont des procédures de test inadéquates ou incomplètes. "
Qu'est-ce qui a été pris?
Un autre point de confusion concerne la nature de l'information à laquelle les hackers ont accès. La vérité est que c'est assez diversifié, car plusieurs bases de données ont été consultées. L'information comprend des numéros de sécurité sociale pour à peu près tout le monde - ce qui présente une énorme menace de vol d'identité tout seul. Il comprend également 1, 1 million d'enregistrements d'empreintes digitales, ce qui met en danger tout système reposant sur la biométrie.
Le plus alarmant, parmi les dossiers volés, des millions de rapports ont été obtenus lors de vérifications d'antécédents et d'applications de sécurité. J'ai participé à un certain nombre de vérifications des antécédents, car un nombre alarmant de mes anciens amis du collège travaillent maintenant pour le gouvernement fédéral américain. Ces vérifications d'arrière-plan creusent profondément. Ils parlent à votre famille, à vos amis et à vos colocataires pour vérifier votre biographie de toute la vie. Ils recherchent des indices de déloyauté ou d'implication avec une puissance étrangère, ainsi que tout ce qui pourrait être utilisé pour vous faire du chantage: addiction, infidélité, jeu, homosexualité secrète, ce genre de choses.
En d'autres termes, si vous cherchez à faire chanter un employé fédéral, c'est à peu près un rêve devenu réalité. Le système de vérification des antécédents s'est arrêté à la suite du piratage, et on ne sait pas encore quand il sera à nouveau opérationnel.
Il y a aussi la plus grande préoccupation que les attaquants aient eu accès à ces systèmes pendant longtemps.
Qui est concerné?
Vingt et un millions est un grand nombre. L'éventail des personnes directement touchées englobe les employés fédéraux actuels et anciens, ainsi que ceux qui ont demandé une habilitation de sécurité et qui ont été refusés. Indirectement, toute personne proche d'un employé fédéral (pensez à sa famille, à ses conjoints et à ses amis) pourrait être touchée si son information était notée lors de la vérification des antécédents.
Si vous pensez que vous pourriez être affecté par cela, l'OPM offre quelques ressources de base de protection contre le vol d'identité à la suite de l'incident. Si vous faites partie des personnes directement compromises, vous devriez recevoir un courriel, car l'OPM détermine exactement qui a été touché.
Cependant, ces protections ne tiennent compte que du vol d'identité et d'autres attaques relativement simples utilisant les données. Pour des choses plus subtiles, comme l'extorsion, il y a une limite à ce que le gouvernement peut faire. La protection ne manque que de 18 mois - un pirate patient pourrait facilement s'asseoir sur l'information pendant si longtemps.
À quoi serviront les données?
Enfin, nous avons la question à un million de dollars. Qui a pris les données et que comptent-elles en faire? La réponse est que, malheureusement, nous ne savons pas vraiment. Les enquêteurs ont pointé du doigt la Chine, mais nous n'avons vu aucune preuve concrète publiée pour soutenir cela. Même alors, il n'est pas clair si nous parlons de pigistes chinois, le gouvernement chinois, ou quelque chose entre les deux.
Ainsi, sans connaître les attaquants ou leurs motivations, que pourrait- on faire avec ces données?
Dès le départ, certaines options évidentes se présentent. Les numéros de sécurité sociale ne sont pas facilement modifiés, et chacun peut être utilisé dans un vol d'identité potentiellement rentable. En les vendant pour quelques dollars chacun, au fil du temps, on pourrait obtenir un salaire neuf à neuf chiffres. Qu'est-ce qui motive les gens à pirater les ordinateurs? Astuce: Argent Qu'est-ce qui motive les gens à pirater les ordinateurs? Astuce: Les criminels de l'argent peuvent utiliser la technologie pour gagner de l'argent. Tu sais ça. Mais vous seriez surpris de voir à quel point ils peuvent être ingénieux, du piratage et de la revente de serveurs à la reconfiguration en tant que mineurs Bitcoin lucratifs. Lire la suite pour les pirates, avec presque aucun effort.
Ensuite, il y a des options plus méchantes. Disons que vous êtes une puissance étrangère et que vous entrez en contact avec cette information. Tout ce que vous avez à faire est de trouver un employé fédéral avec accès à un système critique, qui vous avez de la saleté sur via le hack. Peut-être que le premier est prêt à laisser leur infidélité / dépendance / sexualité devenir publique pour protéger leur pays. Mais vous avez des millions de cibles possibles. Tôt ou tard, vous allez manquer de patriotes. C'est la véritable menace, du point de vue de la sécurité nationale - même si un pirate informatique indépendant pourrait s'en servir pour extorquer de l'argent ou des faveurs à des millions d'innocents.
Expert en sécurité Bruce Schneier Sur les mots de passe, la confidentialité et la sécurité Expert Bruce Schneier Sur les mots de passe, la confidentialité et la confiance En savoir plus sur la sécurité et la confidentialité dans notre interview avec l'expert en sécurité Bruce Schneier. En savoir plus) a spéculé qu'il existe un risque supplémentaire que les attaquants pourraient avoir altéré le contenu de la base de données pendant le temps où ils y avaient accès. Il n'est pas clair que nous serions en mesure de dire que la base de données a été modifiée. Ils pourraient, par exemple, potentiellement donner une autorisation de sécurité à des espions étrangers, ce qui est une idée effrayante.
Que pouvons-nous faire?
Malheureusement, ce n'est probablement pas le dernier bidouillage de son genre. Le genre de procédures de sécurité laxistes que nous voyons dans l'OPM ne sont pas rares dans les agences gouvernementales de sa taille. Que se passe-t-il si le prochain hack éteint l'électricité dans la moitié du pays? Qu'en est-il du contrôle du trafic aérien? Ce ne sont pas des scénarios ridicules. Nous avons déjà utilisé des logiciels malveillants pour attaquer les infrastructures. rappeler le virus Stuxnet, probablement le travail de la NSA Pourriez-vous utiliser ces techniques de cyber-espionnage NSA contre vous? Ces techniques de cyber-espionnage NSA pourraient-elles être utilisées contre vous? Si la NSA peut vous suivre - et nous savons qu'elle peut le faire - les cybercriminels le peuvent aussi. Voici comment les outils fabriqués par le gouvernement seront utilisés contre vous plus tard. Lire la suite, que nous avons utilisé pour détruire physiquement les centrifugeuses nucléaires iraniennes?
Notre infrastructure naturelle est extrêmement vulnérable et extrêmement cruciale. C'est une situation qui n'est pas durable. Et, comme nous lisons à propos de ce hack (et le prochain), il est important de se rappeler que ce n'est pas un problème qui disparaît lorsque le cycle des nouvelles est distrait, ou lorsque quelques employés sont renvoyés. C'est une pourriture systémique, qui va continuer à nous faire du mal, encore et encore, jusqu'à ce que nous le réparions.
Etiez-vous affecté par le hack? Inquiet de la faiblesse des normes de sécurité informatique? Faites le nous savoir dans les commentaires!
Crédits image: Conférence Defcon, Crypto Card Two Factor, CyberDefense US Navy, Vol de carte de crédit, Keith Alexander