Discret: APT

In acest moment se desfasoara una din cele mai vaste operatiuni ale razboiului cibernetic de pana acum si totodata, una din cele mai discrete, avand in vedere amploarea ei. Prin gravitatea consecintelor se poate face fara probleme comparatia cu operatiunea rusa din Crimeea si Estul Ucrainei.

Povestea incepe anul trecut cand in Martie a fost inregistrata o bresa in sistemele informatice ale OPM, agentia insarcinata cu recrutarea personalului federal american si autorizarea accesului la informatii clasificate ale SUA. Agentia stocheza fisele apartinand celor care intra in contact cu datele considerate “sensibile“, fiind in sine o baza de date extrem de interesanta pentru orice atacator.

Incidentul a fost facut public in Decembrie 2014, accesul atacatorilor si scurgerea de informatii din sistemele federale fiind oprite la timp, nu insa inainte de a afecta sistemele a doi contractori privati ai OPM care ar fi inregistrat pagube serioase.

Insa perseverenta atacatorilor a dat roade la sfarsitul aceluiasi an, cand a fost facuta o noua bresa, descoperita abia in Aprilie 2015. In urma investigatiei, ale carei rezultate au fost publicate la inceputul lui Iunie 2015, a rezultat ca datele aferente a 4,2 milioane de actuali si fosti angajati federali au fost compromise, incluzand adresele si numerele de asigurari sociale.

Dar asta era doar inceputul si ceea ce era mai rau abia urma sa fie descoperit.

In timp ce investigatia se derula, o a doua (sau a treia) bresa a fost descoperita, de data asta afectand 21,5 milioane (nu e o eroare!!!) de persoane care au aplicat pentru a primi diferite nivele de acces restrictionat si au parcurs procesul de investigare standard. Dosarele lor cuprindeau, pe langa obisnuitele numere de asigurari sociale si informatii legate de situatia financiara si starea de sanatate. Se crede ca au fost compromise inclusiv 1,1 milioane de amprente.

Angajatii CIA ar fi scapat, acestia folosind un sistem separat. Daca la fel se poate banui si despre NSA, ramane FBI-ul de caruta?

Din punctul de vedere al valorii informatiei la dispozitia atacatorilor, lucrurile sint destul de clare: acestia au acum acces la identitatile celor care sint in contact zilnic cu date “pentru care merita sa omori“. La propriu.

Pe baza fiselor se poate ghici cu o marja de probabilitate cine ar putea avea probleme financiare sau de sanatate, lucruri care pot fi exploatate usor.

In plus, sistemul OPM cerea celor inregistrati sa-si actualizeze singuri datele. Numele de utilizatori si parolele folosite de acestia pentru accesarea propriilor conturi au fost de asemenea compromise. Si daca regula empirica dupa care oamenii tind sa aiba, in general, aceleasi parole pentru a-si accesa diferitele conturi, atunci e o problema de timp pana cand atacatorii sa gaseasca si restul locatiilor care pot fi accesate cu aceleasi parole sau variatiuni ale lor, deschizand alte usi pentru colectarea de informatii sau mai rau.

Din punct de vedere tehnic lucrurile sint mai neclare, in timp ce OPM afirma ca atacul ar fi fost descoperit de sistemele de monitorizare federale, alte surse spun ca de fapt scurgerea de informatii ar fi fost descoperita doar in urma unei demonstratii facuta de o firma privata care ar fi vrut sa vanda un asemenea sistem Guvernului. Daca e adevarat, atunci tocmai au tras lozul cel mare, nu vor mai avea nevoie nici macar de listare.

Dar ce e mai socant e faptul ca datele stocate nu ar fi fost nici macar criptate. Cel putin asa reise din raspunsurile evazive ale reprezentantilor OPM la una din acuzele care li se aduc (Sursa):

We believe that social security numbers were not encrypted, a cybersecurity failure that is absolutely indefensible and outrageous

Raspunsul OPM: “Though data encryption is a valuable protection method, today’s adversaries are sophisticated enough that encryption alone does not guarantee protection. OPM does utilize encryption in some instances and is currently increasing the types of methods utilized to encrypt data.

Motivul e, din punct de vedere tehnic, plauzibil insa din punct de vedere al unei organizatii insarcinata inclusiv cu securitatea datelor e un dezastru. Chiar daca e adevarat ca orice sistem de criptare poate fi invins daca exista resursele necesare, criptarea ar fi asigurat un timp suplimentar pentru a lua masuri de limitate a pagubelor.

Ramasi fara alternative si spatiu/timp de manevra, americanii au fost nevoiti sa declanseze un sprint” de 30 de zile a.k.a “hei-rup” pentru a pune la punct un raspuns cat de cat coerent.

Cum pentru problema data nu exista nici o solutie cunoscuta, majoritatea masurilor fiind paleative temporare, nu se poate garanta la modul serios nici macar ca scurgerea de informatii a fost oprita si nu continua si acum, intr-un alt mod si pe alt canal. Cu siguranta, atacatorii au demonstrat deja ca sint perseverenti si nu renunta usor.

Morala fabulei (general valabila, ca orice morala): daca crezi ca nu ai nici o scurgere de informatii inseamna ca nu ai cautat destul de bine.

 

Both comments and pings are currently closed.

Comments are closed.