Vad är OPM Hack, och vad betyder det för dig?
Hacks händer. Det verkar som om det är nästan varje månad att vissa stora företag flubbar sin datasäkerhet och låter hackare göra sig av med data på miljontals användare. Mål bekräftar upp till 40 miljoner amerikanska kunder. Kreditkort. Potentiellt hackade mål bekräftar upp till 40 miljoner amerikanska kunder. Kreditkort kan potentiellt Hacked Target har just bekräftat att ett hack kunde ha äventyrat kreditkortsinformationen för upp till 40 miljoner kunder som har handlat i sina amerikanska butiker mellan 27 november och 15 december 2013. Läs mer. Men vad händer när det inte är ett företag, men den amerikanska regeringen?
Under några veckor har nyheterna som hämtats från Byrån för personalhantering (OPM) blivit stadigt värre. OPM, ett litet diskuterat statligt kontor som lagrar rekord på anställda, har varit föremål för ett hack av verkligt historiska proportioner.
De exakta siffrorna har varit utmanande att ta hand om. När hacken var första tillkännagivna var utredarna försäkrade om att överträdelsen upptäcktes omedelbart med hjälp av regeringens EINSTEINs interna säkerhetsprogram och det påverkade rekordet av cirka fyra miljoner anställda.
Sedan dess har det blivit klart att hacken upptäcktes av misstag, långt efter det inträffade - och det faktiska antalet påverkas är mer som tjugo miljoner.
Tyvärr kan datorsäkerhet vara förvirrande och torr. Trots all rapportering kan många av er fortfarande inte ha en god förståelse för vad som togs, hur det hände eller hur det påverkar dig. Jag ska göra ett försök att bryta ner det och svara på några grundläggande frågor om frågan.
Hur gick haken upp?
Det har funnits tecken på att denna typ av sak var sannolikt ett tag. Snowden läcka hjälten eller skurken? NSA modererar sin ställning på Snowden Hero eller Villain? NSA modererar sin inställning till Snowden Whistleblower Edward Snowden och NSA: s John DeLong kom fram på schemat för ett symposium. Medan det inte fanns någon debatt verkar det som att NSA inte längre målar Snowden som en förrädare. Vad har ändrats? Läs mer avslöjade hur dåligt federalt datasäkerhet kan vara, även inom den teoretiska expert NSA. Situationen på OPM var ännu värre. Öppet hade ingen säkerhetsansatte alls fram till 2013. De hade upprepade gånger varnat för att deras säkerhetspraxis var sårbara för intrång värre än hjärtsjukdomar? Träffa ShellShock: En ny säkerhetsrisk för OS X och Linux är värre än Heartbleed? Möt ShellShock: En ny säkerhetsrisk för OS X och Linux Läs mer .
Bilden av inkompetens kompletteras av rapporter som inkursionen upptäcktes under a försäljningspresentation av ett företag som heter CyTech Services, som hittade skadlig programvara samtidigt som de visade sitt säkerhetssökningsverktyg. Det är inte klart hur länge hackare hade tillgång till systemet, men "år" är ett rimligt gissning.
Tyvärr är detta långt ifrån en isolerad händelse bland myndigheter, och det borde inte överraska dig. Titta på incitamenten: Om Target är hackat, förlorar de miljontals dollar i rättegångar och förlorad försäljning. Företaget tar en träff, och deras konkurrenter äter upp marknadsandelar. Om ett regeringsbyrå gör samma misstag sker mycket lite faktiskt. De avfyra några offerlam och försök att se högtidligt under utfrågningarna och vänta några veckor i 24-timmarscykeln för att bli distraherad av något glänsande.
Det finns väldigt lite praktisk incitament att förändras, och det finns väldigt få lagar om cybersäkerhet. Av de få lagarna finns det (som FISMA, Federal Information Security Management Act), de flesta följs inte noga. Cirka 75% av OPM: s datorsystem överensstämde inte med denna lag.
Det här är en dålig och värre situation. Regeringsansvarskontoret rapporterade i april att antalet säkerhetsöverträdelser vid federala myndigheter ökade från 5.500 år 2006 till över 67.000 år 2014. I en intervju med Re / code säger Gregy Wilshusen, författaren av rapporten, att det beror på att byråer har ofta förödande brister i sina interna säkerhetsprocedurer och löser ofta inte sårbarheter när de är avslöjade.
“När vi utvärderar dessa byråer finner vi ofta att deras interna testprocedurer inte involverar mer än att intervjua de berörda parterna och inte testa systemen själva [...] Vi konstaterade konsekvent att sårbarheter som vi identifierar som en del av våra test- och revisionsförfaranden inte är som hittas eller fastställs av byråerna eftersom de har otillräckliga eller ofullständiga provningsförfaranden.”
Vad togs?
En annan förvirringspunkt har att göra med typen av informationen som hackarna hade tillgång till. Sanningen är att den är ganska mångsidig, eftersom flera databaser öppnades. Informationen innehåller socialförsäkringsnummer för nästan alla - vilket utgör ett stort hot mot identitetsstöld i sig själv. Det innehåller också 1,1 miljoner fingeravtrycksposter, vilket äventyrar något system som bygger på biometri.
Mest avskräckande var bland de register som stulits miljontals rapporter som erhölls under bakgrundskontroller och ansökningar om säkerhetstillstånd. Jag har deltagit i ett antal bakgrundskontroller, eftersom ett alarmerande antal av mina gamla högskolevänner nu arbetar för den amerikanska federala regeringen. Denna bakgrund kontrollerar dig djupt. De pratar med din familj, dina vänner och dina rumskamrater för att verifiera hela din livbiografi. De letar efter några tips om missbruk, eller engagemang med en utländsk makt, liksom allt som kan användas för att chansera dig: missbruk, otrohet, spelande, hemlig homosexualitet, den sortens sak.
Med andra ord, om du letar efter utpressning av en federal medarbetare, så är det ganska mycket en dröm som går i uppfyllelse. Bakgrundskontrollsystemet har stängt i kölvattnet och det är inte klart när det kommer att fungera igen.
Det finns också större oro att attackerna hade tillgång till dessa system under lång tid.
Vem är påverkad?
Tjugo miljoner är ett stort antal. Räckvidden av de direkt drabbade spänner över nuvarande och tidigare federala medarbetare, liksom de som ansökt om säkerhetsbeslut och avvisades. Indirekt kan någon nära en federal medarbetare (tänkfamilj, makar och vänner) påverkas om deras uppgifter noterades i bakgrundskontrollen.
Om du tror att du kan bli påverkad av detta, erbjuder OPM några grundläggande skydd mot identitetsstöld i händelse av händelsen. Om du är en av dem som direkt äventyras, ska du få ett mail, eftersom OPM räknar ut exakt vem som påverkades.
Men dessa skydd står bara för identitetsstöld och andra ganska grundläggande attacker med hjälp av data. För mer subtila saker, som utpressning, finns det en gräns för vad regeringen kan göra. Skyddet saknar bara 18 månader - en patienthackare kunde lätt sitta på informationen så länge.
Vad ska data användas för?
Slutligen har vi miljon dollarfrågan. Vem tog data, och vad tänker de göra med det? Svaret är det, tyvärr vet vi inte riktigt. Undersökare har pekat fingrarna i Kina, men vi har inte sett några konkreta bevis som släpptes för att backa upp det här. Även då är det inte klart om vi pratar om kinesiska frilansare, den kinesiska regeringen eller något däremellan.
Så, utan att veta attackerna eller deras motiv, vad skulle kunna görs med dessa data?
Strax utanför flaggan presenterar några självklara alternativ sig. De sociala trygghetsnumren ändras inte enkelt, och alla kan användas i en potentiellt lönsam identitetsstöld. Att sälja dessa för några dollar varje gång kan det vara en hälsosam niofigurig lönedag som motiverar människor att hacka datorer? Hint: Pengar som motiverar människor att hacka datorer? Tips: Penningkriminella kan använda teknik för att tjäna pengar. Du vet detta. Men du skulle bli förvånad över hur geniala de kan vara, från att hacka och sälja servrar för att omkonfigurera dem som lukrativa Bitcoin miners. Läs mer för hackarna, med nästan ingen ansträngning.
Då finns det nästier alternativ. Låt oss säga att du är en utländsk makt och du kommer i kontakt med denna information. Allt du behöver göra är att hitta en federal medarbetare med tillgång till ett kritiskt system, som du har lite smuts på via hacken. Kanske är den första villig att låta sin otrohet / beroende / sexualitet bli offentligt för att skydda sitt land. Men du har miljoner av möjliga mål. Förr eller senare kommer du att springa ur patrioter. Det här är det verkliga hotet, från ett nationellt säkerhetsperspektiv - även om en frilanshackare skulle kunna använda detta för att pressa pengar eller gynnar från miljoner oskyldiga människor.
Säkerhetsexpert Bruce Schneier (som vi pratade med om frågor om integritet och förtroende Säkerhetsexpert Bruce Schneier om lösenord, sekretess- och förtroendesäkerhetsexpert Bruce Schneier om lösenord, sekretess och förtroende Läs mer om säkerhet och integritet i vår intervju med säkerhetsexpert Bruce Schneier. Read More) har spekulerat på att det finns en extra risk att attackerna kunde ha manipulerat innehållet i databasen under den tid de hade tillgång till. Det är inte klart att vi skulle kunna berätta att databasen hade ändrats. De kunde till exempel ha potentiellt givit säkerhetsbeslut till utländska spioner, vilket är en skrämmande tanke.
Vad kan vi göra?
Tyvärr är det förmodligen inte det sista hacket i sitt slag. Den typ av lax säkerhetsprocedurer vi ser i OPM är inte ovanliga i statliga myndigheter av dess storlek. Vad händer om nästa hack stänger av elektricitet till hälften av landet? Vad sägs om flygkontrollen? Det här är inte löjliga scenarier. Vi har redan använt malware för att attackera infrastrukturen. återkalla Stuxnet-viruset, sannolikt NSA: s arbete kan dessa NSA-cyber-spionagetekniker användas mot dig? Kunde dessa NSA Cyber-Spionage Techniques användas mot dig? Om NSA kan spåra dig - och vi vet att det kan - så kan cyberkriminella. Så här använder du regeringens redskap till dig senare. Läs mer, som vi brukade fysiskt förstöra iranska nukleära centrifuger?
Vår naturliga infrastruktur är pinsamt sårbar och djupt avgörande. Det är en situation som inte är hållbar. Och när vi läser om detta hack (och nästa) är det viktigt att påminna oss om att detta inte är ett problem som går bort när nyhetscykeln blir distraherad eller när några anställda avfyras. Det här är en systemisk rutt, en som kommer att fortsätta att skada oss, om och om igen, tills vi faktiskt fixar det.
Var du påverkad av hacken? Orolig för låga standarder för datasäkerhet? Låt oss veta i kommentarerna!
Bildkrediter: Defcon Conference, Crypto Card Two Factor, US Navy CyberDefense, Kreditkortstöld, Keith Alexander
Utforska mer om: Datorsäkerhet, Hacking, Online-säkerhet.