7/6/2015
Kiedy w Polsce trwał beztroski długi weekend, Amerykanie ujawnili informację o jednym z najczarniejszych w skutkach ataków na ich infrastrukturę rządową. Ktoś (sugeruje się, że Chiny) wykradł szczegółowe dane na temat 4 milionów pracowników amerykańskiego sektora rządowego z ostatnich 30 lat. Wśród ofiar znaleźli się także ci urzędnicy i agenci, którzy posiadali poświadczenia do informacji ściśle tajnych…
Hackerzy wiedzą o Tobie więcej niż ksiądz, żona i prawnik
Dane wykradziono z serwerów agencji OPM (Office of Personnel Management), czyli po części odpowiednika naszych MSW, ABW i SKW. Agencja OPM, oprócz przechowywania informacji na temat osób pracujących w amerykańskich urzędach, zajmowała się także nadzorem i szczegółową dokumentacją procesu wydawania poświadczeń bezpieczeństwa upoważniających Amerykanów do dostępu do informacji o charakterze tajnym i ściśle tajnym.
Jak ujawniają amerykańscy urzędnicy i osoby, które przeszły proces wyrobienia tzw. security clearance, w teczkach tworzonych przez OPM często znajdują się informacje, o których nie wiedzą nawet najbliżsi danej osoby. Wynika to z faktu konieczności przeprowadzenia bardzo wnikliwego wywiadu środowiskowego (tzw. Background Investigation) na temat osoby ubiegającej się o przyznanie dostępu do poufnych dokumentów.
W ramach czynności sprawdzających weryfikuje się przeszłość danej osoby i jej najbliższych; odnotowuje się wszystkie konflikty z prawem (nawet mandaty drogowe), opisuje sytuację finansową, problemy zdrowotne, wyjazdy zagraniczne a nawet dewiacje seksualne. Do akt dołączany jest także wynik badań psychologicznych (ocena skłonności do hazardu i samookaleczeń), wynik badań na wykrywaczu kłamstw oraz standardowy opis edukacji i oczywiście wszystkie numery identyfikacyjne, takie jak SSN (odpowiednik naszego PESEL-u/NIP-u) i inne podstawowe dane zbierane m.in. przez ten formularz. Jeśli chcecie znać szczegółowość pytań, oto jedno z nich: “Czy zdarzały ci się nocne moczenia po 10 roku życia?“.
Jednym słowem, dane te, jeśli wpadną w ręce obcego wywiadu, są kopalnią złota i dają olbrzymią przewagę wywiadowczą. Raz, że od razu wiadomo kto ma dostęp do tajnych informacji, a dwa — od razu znane są wszystkie informacje na temat tej osoby, łącznie z jej słabymi stronami. Idealne narzędzie do szantażu lub “drogowskaz” informujący o tym co i jak atakować (np. sieć firmy, w której pracuje dana osoba lub domową sieć Wi-Fi, bo przecież znany jest adres zamieszkania). Bez wątpienia każdy spear-phisher chciałby tyle wiedzieć na temat swojej ofiary…
Jak doszło do ataku?
OPM nie jest zbyt rozmowne w tej kwestii — Washington Post dowiedział się, że do ataku użyto zero-daya, ale nie wiadomo na jakie oprogramowanie.
Wiemy natomiast, że atak nastąpił w grudniu 2014 roku, i że wykryto go dopiero w kwietniu 2015, podczas “wdrażania nowych rozwiązań bezpieczeństwa“. Nie jest jednak jasne dlaczego OPM aż tyle czekał z upublicznieniem informacji na temat wpadki. Zaryzykujemy jednak stwierdzenie, że czasu tego urzędnicy nie wykorzystali na opracowanie strategii co do komunikacji szczegółów związanych z tym włamaniem. Początkowo bowiem OPM zapierał się, że dane dotyczące osób posiadających poświadczenia bezpieczeństwa nie zostały wykradzione — ale po klikudziesięciu godzinach przyznał, że atakujący jednak je pozyskali …i to z ostatnich 30 lat, czyli od 1985 roku!
Profesjonalizmu OPM-owi nie dodaje fakt, że zeszłoroczny raport dotyczący bezpieczeństwa agencji ujawnił, że poziom bezpieczeństwa jest fatalny, a OPM nie ma nawet pojęcia, gdzie znajdują się ich wszystkie serwery! Ciężko jest zabezpieczać coś, jeśli nie wiadomo gdzie to coś się znajduje…
“To na pewno były Chiny!”
OPM nie informuje kto stoi za atakiem, ale przedstawiciele Senatu USA już wskazali na Chiny. Chiny oczywiście zaprzeczają, informując, że “powszechnie wiadomo iż ataki komputerowe mają miejsce z klas adresowych każdego kraju, ale trudno jest ustalić ich prawdziwe źródło”. Krótko mówiąc, jak zawsze, nie można być pewnym kto faktycznie stał za atakiem, a rzucanie oskarżeń bez pokazania dowodów jest jak rzut kostką:
Do trzech razy sztuka…
Warto przypomnieć, że OPM było celem ataków (udanych) już w zeszłym roku — i to dwukrotnie! W marcu 2014 z serwerów OPM wykradziono dane dziesiątki tysięcy danych pracowników z poświadczeniami bezpieczeństwa, a w grudniu 2014 współpracująca z agecją prywatna firma KeyPoint straciła prawie 50 000 rekordów dotyczących pracowników rządu USA.
Nie wiadomo, czy poprzednie włamania są powiązane z obecnym, ale rok temu też wskazywano na Chiny jako źródło ataku… Do wykrycia obecnego włamania miał przyczynić się rządowy system antywłamaniowy “Einstein”.
To może sugerować, że rzekomego 0day’a atakujący podrzucili w połączeniu z socjotechniką lub phishingiem — a analiza domen (wykonana po podobnym formacie adresu e-mail rejestrującego i fałszywych danych właściciela pasujących do postaci z filmu Avengers), sugeruje, że powiązanych incydentów mogło być więcej:
Potężny cios dla USA
Włamanie do OPM, zwłaszcza w kontekście pozyskanych danych, to olbrzymia porażka rządu Stanów Zjednoczonych, który ledwie co otrząsnął się z włamania do Białego Domu. Jakby tego było mało, fakt ataku będzie wykorzystywany nie tylko przez samych włamywaczy, ale również przez przeciwników polityki rządu USA. Już teraz złośliwi komentatorzy, odnosząc się do propozycji ustawy nakazującej backdoorowanie oprogramowania tworzonego przez amerykańskie firmy zadają pytanie:
jak rząd, który nie jest w stanie upilnować tak cennych informacji na temat swoich pracowników miałby chronić klucze kryptograficzne do backdorów?
Inni dowcipkują, że wnioski dotyczące ujawnienia informacji publicznej obywatele powinni kierować nie do amerykańskich urzędów, a wprost do Chin — bo tam najprawdopodobniej znajdują się pełniejsza dokumentacja dotycząca spraw USA.
Jeśli po lekturze tego artykułu wizualizujecie sobie USA jako ofiarę, warto abyście przypomnieli sobie czym zajmuje się i na jaką skalę działa NSA. Amerykanie najprawdopodobniej od dawna mają samodzielnie zebrany (a może i wykradziony?) i pewnie tak samo szczegółowy jak w OPM zbiór danych na temat pracowników Chińskiego sektora rządowego i zapewne także urzędników każdego innego kraju na świecie…
PS. W sprawie tego ataku udzieliliśmy wypowiedzi TVP2. Zachęcamy o obejrzenia materiału (start o 20m30s) .
Realne dane agentów i osób niepublicznych nigdzie nie są upubliczniane w wersji elektronicznej :) ktoś chce żeby tak myślano jak Wy to opisaliście w tym artykule.
Ale przecież ten wyciek nie dotyczy agentów a osób z poświadczeniami bezpieczeństwa. To często zwykli urzędnicy, którzy po prostu muszą sprawować nadzór nad dokumentami pewnej wagi. Często poświadczenia muszą posiadać administartorzy czyli zwykły “niski” personel techniczny, bo w ramach ich pracy mają dostęp do serwera na którym takie materiały mogą być składowane, albo instalują sprzęt w pewnej restrykcyjnej części budynku.
a po jaką cholerę bazy zawierające takie dane są podpięte do sieci ???!!! – odpowiedz DURNE YANKESY ze swojà megalomanią i wiarą w technologie. Na szczęście w PL nie do pomyslenia.
Zdziwiłbyś się.
Ludzie to tylko ludzie i maja tendencje do myslenia “mnie to nie spotka” (choroba, wypadek, wlamanie, wyciek danych). Ci ludzie pracuja w firmach i organizacjach roznych wielkosci i najczesciej nie maja pojecia o technologii, zktora obcuja na codzien.
I 100% zgadzam sie ze zdaniem poprzednika “Zdziwiłbyś się” … :-|
>sugeruje się, że Chiny
[citation needed]
Masz całą ramkę w tekście na ten temat a podlinkowanym artykule na WP dodatkowo informacje ze ta uwaga pochodzi z nieoficjalnych wypowiedzi wielu osób zaznajomjonych z incydentem.
oto link do pliku źródłowe z reportażu http://src.gnu-darwin.org/ports/ftp/scythia/work/scythia/src/scythia.cpp:311-330
Genialne stwierdzenie.
Nie ważne jak się zabezpieczamy, nie ważne co jest na styku sieci, system jest tylko tak bezpieczny, jak jego jego użytkownik jest świadom zagrożeń.
99% wszystkich problemów sieci to problem między klawiaturą a monitorem.
Między krzesłem a monitorem dokładniej :)
Swoją drogą, mamy polskiego Snowdena. Przynajmniej z wyglądu, z pewnej perspektywy. Spiseg?
Wywiad dla Panoramy, no no, a kiedy dla Reutersa? ;-)
W końcu wiem jak Piotr wygląda…
Nawet trochę podobny :)
Ja jestem fanem p. Kistera który pojawia się w tym materiale TVP. Co za żelazna dedukcja stoi za jego wywodem ;) Poszukajcie jego wypowiedzi o kryptowalutach ;) Gdzie produkują się takie eksperty ?
Chiny czy USA/NSA mają wyniki naszego Lotto na najbliższe 30 lat?
do którego sugerujecie kierować pytania?
W typowaniu numerów, zwłaszcza przez internet, na pewno pomoże Ci ten kamień: https://niebezpiecznik.pl/post/kamien-lepszy-niz-antywirus/ — jest on dość uniwersalny, poza przewidywaniem numerów lotto pomaga też chronić przed wirusami.
I nie trzeba licencji co rok odnawiać.
Będą mieli wymówkę żeby zaostrzyć bardziej kontrole na netem >_<
Jak widac MR.Robot zmienil cel.
127 stron do wypelnienia… ile to zajmie dni? Tydzien ?
[…] szef jednej z najlepszych agencji wywiadowczych na świecie. Zwłaszcza, że ostatnio przy okazji włamania do OPM przez media przetoczyła się burza dotycząca tego ile ważnych, pod kątem wywiadowczym, danych […]