20:35
7/6/2015

Kiedy w Polsce trwał beztroski długi weekend, Amerykanie ujawnili informację o jednym z najczarniejszych w skutkach ataków na ich infrastrukturę rządową. Ktoś (sugeruje się, że Chiny) wykradł szczegółowe dane na temat 4 milionów pracowników amerykańskiego sektora rządowego z ostatnich 30 lat. Wśród ofiar znaleźli się także ci urzędnicy i agenci, którzy posiadali poświadczenia do informacji ściśle tajnych

topsecret3

Hackerzy wiedzą o Tobie więcej niż ksiądz, żona i prawnik

Dane wykradziono z serwerów agencji OPM (Office of Personnel Management), czyli po części odpowiednika naszych MSW, ABW i SKW. Agencja OPM, oprócz przechowywania informacji na temat osób pracujących w amerykańskich urzędach, zajmowała się także nadzorem i szczegółową dokumentacją procesu wydawania poświadczeń bezpieczeństwa upoważniających Amerykanów do dostępu do informacji o charakterze tajnym i ściśle tajnym.

Jak ujawniają amerykańscy urzędnicy i osoby, które przeszły proces wyrobienia tzw. security clearance, w teczkach tworzonych przez OPM często znajdują się informacje, o których nie wiedzą nawet najbliżsi danej osoby. Wynika to z faktu konieczności przeprowadzenia bardzo wnikliwego wywiadu środowiskowego (tzw. Background Investigation) na temat osoby ubiegającej się o przyznanie dostępu do poufnych dokumentów.

W ramach czynności sprawdzających weryfikuje się przeszłość danej osoby i jej najbliższych; odnotowuje się wszystkie konflikty z prawem (nawet mandaty drogowe), opisuje sytuację finansową, problemy zdrowotne, wyjazdy zagraniczne a nawet dewiacje seksualne. Do akt dołączany jest także wynik badań psychologicznych (ocena skłonności do hazardu i samookaleczeń), wynik badań na wykrywaczu kłamstw oraz standardowy opis edukacji i oczywiście wszystkie numery identyfikacyjne, takie jak SSN (odpowiednik naszego PESEL-u/NIP-u) i inne podstawowe dane zbierane m.in. przez ten formularz. Jeśli chcecie znać szczegółowość pytań, oto jedno z nich: “Czy zdarzały ci się nocne moczenia po 10 roku życia?“.

Jednym słowem, dane te, jeśli wpadną w ręce obcego wywiadu, są kopalnią złota i dają olbrzymią przewagę wywiadowczą. Raz, że od razu wiadomo kto ma dostęp do tajnych informacji, a dwa — od razu znane są wszystkie informacje na temat tej osoby, łącznie z jej słabymi stronami. Idealne narzędzie do szantażu lub “drogowskaz” informujący o tym co i jak atakować (np. sieć firmy, w której pracuje dana osoba lub domową sieć Wi-Fi, bo przecież znany jest adres zamieszkania). Bez wątpienia każdy spear-phisher chciałby tyle wiedzieć na temat swojej ofiary…

topsecret

Szczęściem w nieszczęściu dla pracowników sektora rządowego USA jest to, że choć wykradzione dane byłyby świetną podstawą do idealnych finansowych fraudów, to zapewne Chińczycy akurat nie są tym zainteresowani. Niemniej jednak OPM dmucha na zimne i oferuje roczną usługę “monitoringu kredytowego” dla wszystkich poszkodowanych. Dodatkowo o fakcie przejęcia ich wrażliwych danych przez obcy wywiad agencja będzie informowała e-mailem i standardowym listem. Wysyłka ma się zacząć jutro i będzie realizowana z adresu opmcio@csid.com (ciekawe, czy ktoś wykorzysta tę zapowiedź do przeprowadzenia ataków typu phishing…).

Jak doszło do ataku?

OPM nie jest zbyt rozmowne w tej kwestii — Washington Post dowiedział się, że do ataku użyto zero-daya, ale nie wiadomo na jakie oprogramowanie.

Wiemy natomiast, że atak nastąpił w grudniu 2014 roku, i że wykryto go dopiero w kwietniu 2015, podczas “wdrażania nowych rozwiązań bezpieczeństwa“. Nie jest jednak jasne dlaczego OPM aż tyle czekał z upublicznieniem informacji na temat wpadki. Zaryzykujemy jednak stwierdzenie, że czasu tego urzędnicy nie wykorzystali na opracowanie strategii co do komunikacji szczegółów związanych z tym włamaniem. Początkowo bowiem OPM zapierał się, że dane dotyczące osób posiadających poświadczenia bezpieczeństwa nie zostały wykradzione — ale po klikudziesięciu godzinach przyznał, że atakujący jednak je pozyskali …i to z ostatnich 30 lat, czyli od 1985 roku!

Niedawno prezydent Barak Obama wprowadził obowiązek raportowania przez amerykańskie firmy wycieków danych w terminie 30 dni. Jak widać, zasady tej najwyraźniej nie muszą stosować jednostki rządowe…

Profesjonalizmu OPM-owi nie dodaje fakt, że zeszłoroczny raport dotyczący bezpieczeństwa agencji ujawnił, że poziom bezpieczeństwa jest fatalny, a OPM nie ma nawet pojęcia, gdzie znajdują się ich wszystkie serwery! Ciężko jest zabezpieczać coś, jeśli nie wiadomo gdzie to coś się znajduje…

“To na pewno były Chiny!”

OPM nie informuje kto stoi za atakiem, ale przedstawiciele Senatu USA już wskazali na Chiny. Chiny oczywiście zaprzeczają, informując, że “powszechnie wiadomo iż ataki komputerowe mają miejsce z klas adresowych każdego kraju, ale trudno jest ustalić ich prawdziwe źródło”. Krótko mówiąc, jak zawsze, nie można być pewnym kto faktycznie stał za atakiem, a rzucanie oskarżeń bez pokazania dowodów jest jak rzut kostką:

CGvX7I5XEAAI6ph

Do trzech razy sztuka…

Warto przypomnieć, że OPM było celem ataków (udanych) już w zeszłym roku — i to dwukrotnie! W marcu 2014 z serwerów OPM wykradziono dane dziesiątki tysięcy danych pracowników z poświadczeniami bezpieczeństwa, a w grudniu 2014 współpracująca z agecją prywatna firma KeyPoint straciła prawie 50 000 rekordów dotyczących pracowników rządu USA.

Nie wiadomo, czy poprzednie włamania są powiązane z obecnym, ale rok temu też wskazywano na Chiny jako źródło ataku… Do wykrycia obecnego włamania miał przyczynić się rządowy system antywłamaniowy “Einstein”.

Na marginesie; warto wspomnieć, że niektórzy już łączą ten incydent z niedawnymi włamaniami do firm Anthem i Premera, w wyniku których wykradziono łącznie dane dotyczące stanu zdrowia ponad 90 milionów Amerykanów. Za ataki te odpowiedzialna jest chińska grupa “Deep Panda”. Dodatkowo, ThreatConnect ujawnia, że już dawno temu ktoś zarejestrował fałszywe domeny powiązane z OPM, m.in. opm-learning.org.

image01

To może sugerować, że rzekomego 0day’a atakujący podrzucili w połączeniu z socjotechniką lub phishingiem — a analiza domen (wykonana po podobnym formacie adresu e-mail rejestrującego i fałszywych danych właściciela pasujących do postaci z filmu Avengers), sugeruje, że powiązanych incydentów mogło być więcej:

ThreatConnect___Threat_Intelligence

Potężny cios dla USA

Włamanie do OPM, zwłaszcza w kontekście pozyskanych danych, to olbrzymia porażka rządu Stanów Zjednoczonych, który ledwie co otrząsnął się z włamania do Białego Domu. Jakby tego było mało, fakt ataku będzie wykorzystywany nie tylko przez samych włamywaczy, ale również przez przeciwników polityki rządu USA. Już teraz złośliwi komentatorzy, odnosząc się do propozycji ustawy nakazującej backdoorowanie oprogramowania tworzonego przez amerykańskie firmy zadają pytanie:

jak rząd, który nie jest w stanie upilnować tak cennych informacji na temat swoich pracowników miałby chronić klucze kryptograficzne do backdorów?

Inni dowcipkują, że wnioski dotyczące ujawnienia informacji publicznej obywatele powinni kierować nie do amerykańskich urzędów, a wprost do Chin — bo tam najprawdopodobniej znajdują się pełniejsza dokumentacja dotycząca spraw USA.

Jeśli po lekturze tego artykułu wizualizujecie sobie USA jako ofiarę, warto abyście przypomnieli sobie czym zajmuje się i na jaką skalę działa NSA. Amerykanie najprawdopodobniej od dawna mają samodzielnie zebrany (a może i wykradziony?) i pewnie tak samo szczegółowy jak w OPM zbiór danych na temat pracowników Chińskiego sektora rządowego i zapewne także urzędników każdego innego kraju na świecie…

PS. W sprawie tego ataku udzieliliśmy wypowiedzi TVP2. Zachęcamy o obejrzenia materiału (start o 20m30s) .

panorama

Przeczytaj także:

21 komentarzy

Dodaj komentarz
  1. Realne dane agentów i osób niepublicznych nigdzie nie są upubliczniane w wersji elektronicznej :) ktoś chce żeby tak myślano jak Wy to opisaliście w tym artykule.

    • Ale przecież ten wyciek nie dotyczy agentów a osób z poświadczeniami bezpieczeństwa. To często zwykli urzędnicy, którzy po prostu muszą sprawować nadzór nad dokumentami pewnej wagi. Często poświadczenia muszą posiadać administartorzy czyli zwykły “niski” personel techniczny, bo w ramach ich pracy mają dostęp do serwera na którym takie materiały mogą być składowane, albo instalują sprzęt w pewnej restrykcyjnej części budynku.

  2. a po jaką cholerę bazy zawierające takie dane są podpięte do sieci ???!!! – odpowiedz DURNE YANKESY ze swojà megalomanią i wiarą w technologie. Na szczęście w PL nie do pomyslenia.

    • Zdziwiłbyś się.

    • Ludzie to tylko ludzie i maja tendencje do myslenia “mnie to nie spotka” (choroba, wypadek, wlamanie, wyciek danych). Ci ludzie pracuja w firmach i organizacjach roznych wielkosci i najczesciej nie maja pojecia o technologii, zktora obcuja na codzien.

      I 100% zgadzam sie ze zdaniem poprzednika “Zdziwiłbyś się” … :-|

  3. >sugeruje się, że Chiny
    [citation needed]

    • Masz całą ramkę w tekście na ten temat a podlinkowanym artykule na WP dodatkowo informacje ze ta uwaga pochodzi z nieoficjalnych wypowiedzi wielu osób zaznajomjonych z incydentem.

  4. oto link do pliku źródłowe z reportażu http://src.gnu-darwin.org/ports/ftp/scythia/work/scythia/src/scythia.cpp:311-330

  5. Genialne stwierdzenie.
    Nie ważne jak się zabezpieczamy, nie ważne co jest na styku sieci, system jest tylko tak bezpieczny, jak jego jego użytkownik jest świadom zagrożeń.
    99% wszystkich problemów sieci to problem między klawiaturą a monitorem.

    • Między krzesłem a monitorem dokładniej :)

  6. Swoją drogą, mamy polskiego Snowdena. Przynajmniej z wyglądu, z pewnej perspektywy. Spiseg?

    • Wywiad dla Panoramy, no no, a kiedy dla Reutersa? ;-)
      W końcu wiem jak Piotr wygląda…

    • Nawet trochę podobny :)

  7. Ja jestem fanem p. Kistera który pojawia się w tym materiale TVP. Co za żelazna dedukcja stoi za jego wywodem ;) Poszukajcie jego wypowiedzi o kryptowalutach ;) Gdzie produkują się takie eksperty ?

  8. Chiny czy USA/NSA mają wyniki naszego Lotto na najbliższe 30 lat?
    do którego sugerujecie kierować pytania?

  9. Będą mieli wymówkę żeby zaostrzyć bardziej kontrole na netem >_<

  10. Jak widac MR.Robot zmienil cel.

  11. 127 stron do wypelnienia… ile to zajmie dni? Tydzien ?

  12. […] szef jednej z najlepszych agencji wywiadowczych na świecie. Zwłaszcza, że ostatnio przy okazji włamania do OPM przez media przetoczyła się burza dotycząca tego ile ważnych, pod kątem wywiadowczym, danych […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.