Hacks suceden. Parece que es casi todos los meses que una gran corporación maneja la seguridad de su computadora y permite que los hackers obtengan datos de millones de usuarios. Target confirma hasta 40 millones de tarjetas de crédito de clientes estadounidenses. Potencialmente hackeado el objetivo confirma hasta 40 millones de tarjetas de crédito de clientes estadounidenses. Hacked Target acaba de confirmar que un truco podría haber comprometido la información de la tarjeta de crédito de hasta 40 millones de clientes que han comprado en sus tiendas en EE. UU. Entre el 27 de noviembre y el 15 de diciembre de 2013. Leer más. Pero, ¿qué sucede cuando no es una corporación sino el gobierno de los Estados Unidos?
Desde hace semanas, las noticias que salen de la Oficina de Administración de Personal (OPM) han empeorado constantemente. La OPM, una oficina gubernamental poco discutida que almacena registros de empleados, ha sido objeto de una piratería de proporciones verdaderamente históricas.
Los números exactos han sido difíciles de manejar. Cuando se anunció por primera vez, se aseguró a los investigadores que la brecha se descubrió rápidamente utilizando el programa de seguridad interno EINSTEIN del gobierno, y afectó los registros de alrededor de cuatro millones de empleados.
Desde entonces, quedó claro que el truco se descubrió accidentalmente, mucho después de que ocurriera, y el número real afectado es más como veintiún millones .
Desafortunadamente, la seguridad informática puede ser confusa y seca. A pesar de todos los informes, muchos de ustedes todavía no comprenden bien qué fue tomado, cómo sucedió o cómo le afecta. Voy a hacer un esfuerzo para desglosarlo y responder algunas preguntas básicas sobre el tema.
¿Cómo sucedió el hack?
Ha habido indicios de que este tipo de cosas fue probable por un tiempo. El Snowden pierde Hero o Villain? La NSA modera su postura sobre Snowden Hero o Villain La NSA modera su postura sobre Snowden Whistleblower Edward Snowden y John DeLong de la NSA aparecieron en el calendario para un simposio. Si bien no hubo debate, parece que la NSA ya no pinta a Snowden como un traidor. ¿Qué ha cambiado? Leer más reveló cuán mala puede ser la seguridad informática federal, incluso dentro de la NSA teóricamente experta. La situación en la OPM fue aún peor. El abierto no tenía empleados de seguridad hasta 2013. Habían sido advertidos en repetidas ocasiones de que sus prácticas de seguridad eran vulnerables a la intromisión Peor de lo que les acobardó el corazón. Conozca ShellShock: ¿una nueva amenaza de seguridad para OS X y Linux Peor que Heartbleed? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux Lea más.
La imagen de incompetencia se completa con los informes de que la incursión fue descubierta durante una presentación de ventas por una empresa llamada CyTech Services, que encontró el malware mientras demostraba su herramienta de escaneo de seguridad. No está claro por cuánto tiempo los piratas informáticos tuvieron acceso al sistema, pero "años" es una suposición plausible.
Desafortunadamente, esto está lejos de ser un incidente aislado entre agencias gubernamentales, y eso no debería sorprenderlo. Mire los incentivos: si Target es pirateado, pierde millones de dólares en pleitos y pérdidas de ventas. La compañía recibe un golpe, y sus competidores consumen cuota de mercado. Si una oficina gubernamental comete el mismo error, realmente sucede muy poco. Disparan unos corderos de sacrificio y tratan de parecer solemnes durante las audiencias, y esperan unas semanas para que el ciclo de noticias de 24 horas se distraiga con algo brillante.
Hay muy pocos incentivos prácticos para cambiar, y existen muy pocas leyes con respecto a la ciberseguridad. De las pocas leyes que existen (como FISMA, la Ley Federal de Administración de la Seguridad de la Información), la mayoría no se siguen de cerca. Alrededor del 75% de los sistemas informáticos de la OPM no cumplen con esa ley.
Esta es una situación mala y cada vez peor. La Oficina de Responsabilidad Gubernamental informó en abril que el número de violaciones de seguridad en las agencias federales se disparó de 5, 500 en 2006 a más de 67, 000 en 2014. En una entrevista con Re / code, Gregy Wilshusen, el autor del informe, dice que esto se debe a que las agencias a menudo tienen fallas paralizantes en sus procedimientos de seguridad interna, y con frecuencia no corrigen las vulnerabilidades una vez que están descubiertas.
"Cuando evaluamos estas agencias, a menudo encontramos que sus procedimientos internos de evaluación no implican nada más que entrevistar a las personas involucradas, y no probar los sistemas ellos mismos [...] Constantemente descubrimos que las vulnerabilidades que identificamos como parte de nuestras pruebas y procedimientos de auditoría son no ser encontrados o arreglados por las agencias porque tienen procedimientos de prueba inadecuados o incompletos ".
¿Qué fue tomado?
Otro punto de confusión tiene que ver con la naturaleza de la información a la que los hackers tenían acceso. La verdad es que es bastante diversa, porque se accedió a varias bases de datos. La información incluye números de seguridad social para casi todo el mundo, lo que representa una gran amenaza de robo de identidad por sí solo. También incluye 1.1 millones de registros de huellas dactilares, lo que pone en peligro cualquier sistema que se base en datos biométricos.
Lo más alarmante es que entre los registros robados hubo millones de informes obtenidos durante las verificaciones de antecedentes y las solicitudes de autorización de seguridad. He participado en una serie de comprobaciones de antecedentes, ya que un número alarmante de mis antiguos amigos de la universidad ahora trabaja para el gobierno federal de los EE. UU. Estas verificaciones de antecedentes profundizan. Hablan con su familia, sus amigos y sus compañeros de habitación para verificar la biografía de su vida entera. Están buscando indicios de deslealtad o participación con un poder extranjero, así como cualquier cosa que pueda usarse para chantajearlo: adicción, infidelidad, juegos de azar, homosexualidad secreta, ese tipo de cosas.
En otras palabras, si está buscando chantajear a un empleado federal, esto es casi un sueño hecho realidad. El sistema de verificación de antecedentes se ha cerrado a raíz del truco, y no está claro cuándo volverá a funcionar.
También existe la gran preocupación de que los atacantes tuvieron acceso a estos sistemas durante mucho tiempo.
¿Quién está afectado?
Veintiún millones es un gran número. El rango de los directamente afectados se extiende a los empleados federales actuales y anteriores, así como a aquellos que solicitaron una autorización de seguridad y fueron rechazados. Indirectamente, cualquier persona cercana a un empleado federal (familia, cónyuges y amigos) podría verse afectada si su información se anotara en la verificación de antecedentes.
Si cree que puede verse afectado por esto, la OPM está ofreciendo algunos recursos básicos de protección contra el robo de identidad a raíz del incidente. Si se encuentra entre los comprometidos directamente, debería recibir un correo electrónico, ya que la OPM averigua exactamente quién fue afectado.
Sin embargo, estas protecciones solo representan el robo de identidad y otros ataques bastante básicos que utilizan los datos. Para cosas más sutiles, como la extorsión, hay un límite a lo que el gobierno puede hacer. La protección solo carece de 18 meses: un hacker paciente podría quedarse sentado en la información durante tanto tiempo.
¿Para qué se usarán los datos?
Por último, tenemos la pregunta del millón. ¿Quién tomó los datos y qué planean hacer con ellos? La respuesta es que, lamentablemente, realmente no lo sabemos. Los investigadores han señalado con los dedos a China, pero no hemos visto ninguna evidencia concreta publicada para respaldar esto. Incluso entonces, no está claro si estamos hablando de freelancers chinos, el gobierno chino o algo intermedio.
Entonces, sin conocer a los atacantes ni sus motivos, ¿qué se puede hacer con estos datos?
Desde el principio, se presentan algunas opciones obvias. Los números de seguridad social no se cambian fácilmente, y cada uno puede usarse en un robo de identidad potencialmente rentable. Vender estos por unos pocos dólares cada uno, con el tiempo, podría generar un saludable día de pago de nueve cifras ¿Qué motiva a la gente a piratear computadoras? Sugerencia: dinero ¿qué motiva a las personas a piratear computadoras? Sugerencia: dinero Los delincuentes pueden usar la tecnología para ganar dinero. Tú lo sabes. Pero te sorprendería lo ingeniosos que pueden ser, desde hackear y revender servidores hasta reconfigurarlos como lucrativos mineros de Bitcoin. Lea más para los piratas informáticos, sin apenas esfuerzo.
Luego hay opciones más desagradables. Digamos que eres una potencia extranjera y entras en contacto con esta información. Todo lo que necesita hacer es encontrar un empleado federal con acceso a un sistema crítico, a quien tiene algo sucio a través del hack. Quizás el primero esté dispuesto a hacer pública su infidelidad / adicción / sexualidad para proteger a su país. Pero tienes millones de objetivos posibles. Tarde o temprano, te quedarás sin patriotas. Esta es la amenaza real, desde una perspectiva de seguridad nacional, aunque incluso un hacker independiente podría usar esto para obtener dinero o favores de millones de personas inocentes.
Bruce Schneier experto en seguridad de contraseñas, privacidad y confianza Bruce Schneier en contraseñas, privacidad y confianza Obtenga más información sobre seguridad y privacidad en nuestra entrevista con el experto en seguridad Bruce Schneier. Leer más) ha especulado que existe un riesgo adicional de que los atacantes hayan alterado los contenidos de la base de datos durante el tiempo en que tuvieron acceso a ella. No está claro que podamos decir que la base de datos ha sido modificada. Por ejemplo, podrían haber otorgado autorización de seguridad a espías extranjeros, lo cual es una idea aterradora.
¿Qué podemos hacer?
Desafortunadamente, este no es probablemente el último truco de este tipo. El tipo de procedimientos de seguridad laxos que vemos en la OPM no son poco comunes en las agencias gubernamentales de su tamaño. ¿Qué sucede si el próximo truco corta la electricidad a la mitad del país? ¿Qué pasa con el control del tráfico aéreo? Estos no son escenarios ridículos. Ya hemos usado malware para atacar la infraestructura; recordar el virus Stuxnet, probablemente el trabajo de la NSA ¿Podrían estas técnicas de ciberespionaje de la NSA ser utilizadas contra usted? ¿Podrían estas técnicas de ciberespionaje de la NSA ser usadas en su contra? Si la NSA puede rastrearlo, y sabemos que puede hacerlo, también lo pueden hacer los ciberdelincuentes. A continuación, le mostramos cómo las herramientas gubernamentales se usarán en su contra más adelante. Leer más, que utilizamos para destruir físicamente centrífugas nucleares iraníes?
Nuestra infraestructura natural es vergonzosamente vulnerable y profundamente crucial. Esa es una situación que no es sostenible. Y, a medida que leemos sobre este truco (y el siguiente), es importante recordar que este no es un problema que desaparece cuando se distrae el ciclo de noticias o cuando se despide a unos pocos empleados. Esta es una podredumbre sistémica, una que nos seguirá lastimando, una y otra vez, hasta que realmente la arreglemos.
¿Fuiste afectado por el truco? ¿Preocupado por los bajos estándares de seguridad informática? Háganos saber en los comentarios!
Créditos de la imagen: Conferencia Defcon, Crypto Card Two Factor, US Navy CyberDefense, robo de tarjeta de crédito, Keith Alexander