Совершенно секретные данные армии США и АНБ хранились на незащищенном облачном сервере

30/11/2017

https://www.devicelock.com/ru/blog/3109.html

Буквально неделю назад стало известно об утечке данных из Пентагона, свидетельствующих о контроле этой организацией пользователей социальных сетей и вот уже новая, еще более серьезная утечка.

Данные, принадлежащие Управлению разведки и контрразведки Сухопутных войск США (INSCOM) общим объемом 100 Гб содержались в неправильно настроенном общедоступном облачном хранилище Amazon Web Services S3. Информация включала материалы под грифом «Top Secret».

Управление разведки и контрразведки Сухопутных войск США (US Army Intelligence and Security Command, INSCOM) — разведывательная служба, совместно управляемая армией США и Агентством Национальной Безопасности (АНБ).

В субдомене AWS с названием «inscom» было обнаружено 47 видимых файлов и папок, три их которых были доступны для загрузки.

Самый большой файл представляет собой виртуальный жесткий диск Oracle Virtual Appliance (.ova) с названием “ssdev” датированный маем 2013 года. Файлы на этом диске помечены как «TOP SECRET» и «NOFORN» (классификация, означающая, что никакие иностранные граждане не могут просматривать документы независимо от того, какой уровень секретности им присвоен).

Два других файла содержали инструкцию для виртуального диска и учебный файл о том, как маркировать и классифицировать секретную информацию.

Образ диска при загрузке в VirtualBox оказался сервером на базе Linux, который являлся частью облачной системы обмена информацией, известной как Red Disk — проект, разработанный INSCOM, предназначался для помощи Пентагону в получении информации в реальном времени о происходившем в Афганистане в 2013 году.

Хотя содержимое виртуального диска является читаемым, сама система не загружается — вероятно, потому что она зависит от систем и серверов, которые доступны только в сети Пентагона.

Red Disk мог использовать огромное количество разведывательных данных, документов, видео и аудио из нескольких источников, в том числе данные разведки, радиолокации, аэрофотосъемки, беспилотных самолетов и баз данных — некоторые из них были напрямую связаны с АНБ. Эти необработанные, в основном неструктурированные данные передавались через программное обеспечение под названием NiFi (ранее NiagraFiles).

Red Disk был спроектирован как облачная система, которая могла удовлетворить требованиям сложных военных операций. Система оказалась медленной, подверженной авариям и сложной в использовании. Пентагон потратил на ее разработку не менее 93 миллионов долларов, однако она никогда не была полностью развернута на местах. С тех пор проект рассматривается как провал.

Несколько файлов также указывают на инструменты биометрического анализа и интеграцию с речевыми технологиями, чтобы аналитики могли запрашивать и воспроизводить отчеты на английском языке.

Образ диска также содержит другие файлы, включая закрытые ключи, используемые для доступа к другим серверам в сети разведывательного сообщества и хеши паролей, принадлежащие сторонней фирме Invertix (теперь Altamira Technologies), подрядчику INSCOM и ключевому разработчику Red Disk.

И опять классическая утечка данных через облачный сервис хранения файлов. Даже Пентагон и АНБ, вопреки здравому смыслу, не проводят систематическую инвентаризацию данных в облачных сервисах.

Автор: Владимир Безмалый

Реклама

Сказки о безопасности: Слабое звено

30/11/2017

http://www.itweek.ru/themes/detail.php?ID=198864

Солнечное утро манило гулять, а не идти на работу. Так и хотелось просто пройтись по парку, не думая ни о чем, просто шуршать листьями под ногами, стучать орехами, маня местных белок, выйти к пруду, расположенному в центре парка, покормить лебедей, которые еще не улетели на юг… Много чего хотелось. Главное, чего не хотелось — это идти на работу. Но ведь сегодня пятница, а значит впереди выходные. Так что на работу идти нужно!

— Софи, что у нас интересного с утра, кроме изумительного кофе с миндальными пирожными?

— Ой, шеф! Тут такое… Даже не знаю, как сказать. Я понимаю, что люди бывают глупые и беспечные. Но я даже представить не могла, что они могут работать в управлении ИТ нашего департамента безопасности. Ну вроде бы туда дураков не принимают. Как выяснилось, я ошибалась!

— Так, Софи, приглашай ко мне Марка, Риту, Курта и сама заходи. Будем слушать твой рассказ.

Прошло минут пятнадцать.

— Шеф, вот что произошло. Злоумышленник взломал защиту сети департамента юстиции и украл более 200 Гб данных, в том числе имена, фамилии, номера телефонов, адреса электронной почты 20 тыс. сотрудников департамента полиции и 10 тыс. сотрудников департамента внутренней безопасности.

— Ого!

— Мало того. Данные были им опубликованы в открытом доступе на веб-сайте.

— И как это произошло?

— Злоумышленнику удалось взломать аккаунт сотрудника департамента полиции, после чего он связался с оператором департамента внутренней безопасности и, выдавая себя за легитимного пользователя, получил доступ к инфраструктуре департамента полиции.

— Погодите, но как он получил доступ?

— А вот это самое интересное. Тут нам помогло то, что все внешние телефонные звонки записываются. Злоумышленник сказал, что не так давно устроился на работу. Оператор задал вопрос, а есть ли у него код доступа к данным. Злоумышленник ответил, что нет, тогда оператор посоветовал ему воспользоваться их кодом!

— Интересно, чем думал оператор?

— Ну не знаю, чем он думал, но теперь у него есть время подумать. Его явно уволят с работы. По крайней мере я посоветую сделать именно так.

Как ни странно, но именно такая история с утечкой данных министерства юстиции США произошла в феврале 2016 г. Только код доступа передал оператор ФБР. И снова мы сталкиваемся с тем, что самое слабое звено — человек, а не техника.


Электронная почта по-прежнему один из основных каналов утечки данных.

29/11/2017

https://www.devicelock.com/ru/blog/3108.html

Электронная почта, наряду со сменными носителями и облачными хранилищами данных, давно и уверенно входит в тройку лидеров по числу утечек персональных данных. Несмотря на то, что это один из самых легко контролируемых каналов передачи информации, которые DLP-системынаучились достаточно хорошо контролировать, утечки с ним связанные происходят постоянно.

Сегодня рассмотрим две типовые утечки, произошедшие на прошлой неделе в США.

«Юношеская христианская ассоциация» штата Флорида

24 октября «Юношеская христианская ассоциация» (Young Men’s Christian Association — YMCA) узнала, что неавторизованный пользователь получил доступ к учетным записям нескольких сотрудников.

Узнав об этом инциденте, YMCA немедленно отключил уязвимые учетные записи электронной почты, сменил пароли и начал расследование.

Злоумышленники возможно получили доступ к информации, включая имена людей, номера социального страхования, номера водительских удостоверений, паспортные данные, номера финансовых счетов, номера платежных карт, медицинские данные или номера медицинского страхования.

Людям, чьи номера социального страхования были потенциально задействованы, будет предлагаться годичный, бесплатный кредитный мониторинг и служба защиты личных данных. Кроме того, YMCA создала специальный call-центр для ответа на любые вопросы, которые могут возникнуть у людей.

Сеть медицинских центров в Пенсильвании

UPMC Susquehanna (управляет региональным медицинским центром Уильямспорт, больницей долины Манси и госпиталем для солдат и моряков в Уэлсборо) сообщила 1200 пациентам, что к их данным осуществлялся неавторизованный доступ.

21 сентября сотрудник заметил подозрительную активность в компьютерной системе. Как показало расследование на компанию была осуществлена фишинговая атака. Мошенническое электронное письмо использовалось для того, чтобы убедить пользователя раскрыть пароль, что, возможно, привело к несанкционированному доступу к именам пациентов, датам рождения, контактной информации и номерам социального страхования.

UPMC Susquehanna сообщила об инциденте пациентам по почте, а также уведомила Департамент здравоохранения и социальных служб США.

Автор: Владимир Безмалый


250-я сказка в этом году

29/11/2017

Да-да, друзья. В этом году у меня опубликовано уже 250 сказок.


Сказки о безопасности: Компрометация биометрии

29/11/2017

Утро выдалось солнечным, но холодным. Видимо ночью был мороз. Впрочем, такая погода нравится Иоганну куда больше, чем бесконечный дождь с ветром. Прогулка до офиса не заняла много времени. Хотя даже эти 15 минут помогли ему собраться с мыслями. А подумать было о чем. Вчерашний звонок из департамента иностранных дел никак не выходил из головы. Это ж надо было такому произойти. По приказу Иоганна Макс и Рита сегодня вылетают в дружественную республику И. Там произошло серьезное нарушение в системе идентификации граждан и резидентов республики. Обнаружились сотни транзакций, совершенных с применением одних и тех же отпечатков пальцев.

Итак, скорее всего скомпрометирована база отпечатков пальцев. А значит те пользователи, чьи данные скомпрометированы, больше не смогут использовать свои биометрические данные.

— Рита, что там у вас? Как долетели? Как вас встретили?

— Да все хорошо, спасибо! Здесь нас встретил выпускник нашей же Академии. Он до сих пор помнит ваши лекции. Просил передать привет и заявил, что обязательно передаст с нами ящик какого-то особого ликера из слоновьей ягоды. Говорит, что до сих пор помнит, что вам понравилось!

— Вы поосторожнее, а то обвинят в контрабанде!

— Он тоже так сказал и добавил, что передаст с нами пару бутылок, а остальное — дипломатической почтой!

— Спасибо! И все же давайте по делу.

— Итак, по делу. Нарушение было обнаружено после выявления большого количества операций, сделанных за короткий период с использованием одних и тех же отпечатков пальцев. По словам местных чиновников, это было бы невозможно без незаконного использования биометрических данных.

— Проверьте, кто имел доступ к биометрическим данным? Где они хранились? Короче, все проверьте! И держите меня в курсе.

Прошла неделя.

— Шеф! Кажется, мы нашли причину.

— И в чем она?

— Причина банальна до жути. Сторонний подрядчик имел доступ к части баз и хранил данные в облаке. Причем в открытом виде. Но хорошо то, что это были всего несколько сотен записей, да к тому же там были не все биометрические данные, а только отпечатки пальцев.

— Ну что ж. Жду вас дома. Прилетайте!

Вот так закончилась эта история.

В марте 2017 г. было выявлено нарушение в области информационной безопасности после того, как в системе идентификации граждан и резидентов Индии UIDAI обнаружились сотни транзакций, совершенных с применением одних и тех же отпечатков пальцев. Инцидент вызвал большие опасения относительно конфиденциальности и безопасности хранения биометрических данных.

 

http://www.itweek.ru/themes/detail.php?ID=198856


Элитный английский клуб пострадал от утечки персональных данных членов

29/11/2017

https://www.devicelock.com/ru/blog/3106.html

Оксфордский и Кембриджский клуб (The Oxford & Cambridge Club) – один из самых элитных клубов Великобритании, открытый для выпускников престижных университетов.

Клуб заявил, что из закрытой комнаты в штаб-квартире клуба (в центральном Лондоне) был похищен жесткий диск с персональными данными 5000 членов.

Информация на жестком диске включает имена, домашние адреса, адреса электронной почты, номера телефонов, некоторые данные банковских счетов, даты рождения и даже фотографии.

По сообщению The Sunday Telegraph, почетные члены клуба, муж королевы Елизаветы II, принц Филипп и сын принц Чарльз, не пострадали от взлома.

Секретарь клуба написал всем пострадавшим по электронной почте и призвал их регулярно проверять банковские счета на предмет подозрительных транзакций. Он утверждает, что данные на диске были защищены «несколькими слоями безопасности и стойкой парольной защитой». Что конкретно это означает понять сложно. Были ли данные зашифрованы не сообщается.

Вместе с тем секретарь клуба заявляет, что «несмотря на защиту, все же существует вероятность получения информации.»

Стоит отметить, что в октябре на улице Лондона, была найдена USB-флешка с картами, видео и документами службы безопасности аэропорта Хитроу, включая подробную информацию о мерах, используемых для защиты королевской семьи. Как и следовало ожидать, USB-накопитель был не зашифрованным, все 174 файла на нем находились в открытом виде.

Автор: Владимир Безмалый


Сказки о безопасности: GPS в каблуке

28/11/2017

Это утро выдалось неожиданно солнечным. Казалось, не было вчерашних черных туч — голубое небо, яркое солнце. И хотя было уже по-зимнему прохладно, даже скорее холодно, но яркое солнышко улыбалось прохожим и на душе стало теплее. Иоганн очень любил солнечную погоду, хотелось улыбаться всем встречным.

Однако его секретарша Софи встретила его нахмурившись, и было видно, что она задумалась о чем-то весьма серьезном.

— Софи, у вас неприятности? Чем я смогу вам помочь? Что случилось?

— Шеф, действительно у меня неприятности и я пока не понимаю, что делать!

— Софи, давайте, готовьте кофе и пригласим ребят. Мы вместе что-то придумаем. Хорошо?

Прошло полчаса.

— Софи, рассказывайте, что произошло?

— Шеф, вы знаете что у меня есть старенькая бабушка.

— Да, конечно.

— Так вот. Увы, из-за болезни она иногда не может вспомнить, кто она и где живет. И теряется в городе. Мы уже во все ее карманы вкладываем визитки с телефонами, куда звонить. Но это помогает мало. Тогда мы купили ей смартфон, который могли отслеживать сами. То есть использовали геолокацию для определения ее координат. Но она забывала смартфон дома.

После этого мы придумали и купили ей кулон с GPS-датчиком. На некоторое время все наладилось. Но потом она снова стала его забывать.

И теперь мы не знаем, что делать!

— Погодите, шеф! Кажется, я знаю, что делать!

— Что, Рита?

— Я тут недавно наткнулась в Интернете на объявление. Требовались добровольцы для тестирования новой обуви.

— И чем это поможет?

— Да ведь обувь-то не простая. В каблук встроен GPS-трекер, запросив который можно получить координаты владельца! Покупая обувь, вы регистрируете ее на сайте и генерируете пароль владельца. Потом на этом же сайте вы сможете посмотреть, где находится человек.

— Ой как славно! Рита, вы мне поможете?

— Рита! Кроме всего нужно проанализировать защищенность их сайта. Ведь это координаты людей! Хорошо?

— Конечно, шеф!

— А я перезвоню им и попрошу включить вашу бабушку, Софи, в список тестеров.

— Огромное спасибо, шеф! Вы сняли груз с моих плеч!

Это уже не фантастика. В Японии в продажу поступила обувь с GPS-трекером. Ее предлагает компания «Вишхиллз» из Киото: она рассчитывает, что этот товар пригодится старикам с нарушениями памяти или детям, то есть тем, кто может потеряться в суете большого города.

Небольшой аппарат взаимодействует помещается в каблук. Он позволяет в режиме реального времени получать на экране смартфона или компьютера информацию о местонахождении обладателя обуви. После регистрации на специальном веб-сайте и получении пароля следить за его перемещениями смогут не только родственники, но и знакомые, а также медицинские работники.

http://www.itweek.ru/themes/detail.php?ID=198840