美國政府電腦中的那位黑客先生,或許是時候被清理出去了。在秘密監(jiān)視其網(wǎng)上活動數(shù)月之久后,官方擔(dān)心他太過接近重要信息,于是制訂了一個黑客驅(qū)逐計劃“大爆炸”。問題在于,因為全副精力都放在了這名黑客身上,他們完全忽略了另外一名黑客。
新發(fā)布的一份國會報告,提供了美國歷史上最嚴(yán)重網(wǎng)絡(luò)攻擊的未公開細(xì)節(jié)和一些幕后事件發(fā)生時間表,鋪陳了美國人事管理局(OPM)被黑之前那些錯失的阻止機(jī)會。
OPM被黑事件很多人都認(rèn)為是中國政府干的。該事件泄露了2100萬名現(xiàn)役、退役和未來聯(lián)邦雇員的個人信息,導(dǎo)致了OPM局長引咎辭職,并因當(dāng)局對事件嚴(yán)重性的多次更改而招致一片罵聲。
眾議院監(jiān)管和政府改革委員會拿出這份報告,并指責(zé)OPM在明知自身網(wǎng)絡(luò)安全有漏洞的情況下,還不注意保護(hù)敏感數(shù)據(jù)。報告指出,去年曝出的黑客事件本可以被防止——只要OPM設(shè)有基本的安全控制,并從之前的入侵事件中認(rèn)識到自己面對的敵人是老練且有恒心的。
確實,數(shù)千萬美國人的數(shù)據(jù)被邪惡海外分子盜走,但這完全是可以預(yù)防的。只要具備基本的安全措施,幾個好用的工具,良好的意識和相應(yīng)的人才,OPM完全有能力防患于未然。
OPM代理局長貝斯·柯博特在一份聲明中稱,OPM不認(rèn)同該報告的大部分內(nèi)容,并認(rèn)為這份報告沒有完全反映出該機(jī)構(gòu)如今的狀態(tài)。她聲稱,OPM黑客事件是該機(jī)構(gòu)內(nèi)部加速改變的催化劑,這些改變包括雇傭新的網(wǎng)絡(luò)安全專家以加強(qiáng)其安全性。
政府在2014年3月第一次發(fā)現(xiàn)OPM被黑,當(dāng)時國土安全部(DHS)的專家組注意到:晚10點到早10點時段,有可疑數(shù)據(jù)流流出OPM的網(wǎng)絡(luò),這就好像裝載著機(jī)密文件存放柜的大貨車在午夜咆哮狂奔而出。政府所謂的“愛因斯坦”入侵警報系統(tǒng)檢測到了這起數(shù)據(jù)盜竊案。
DHS向OPM通報了該起數(shù)據(jù)泄露事件。2個月間,OPM與FBI、NSA等機(jī)構(gòu)合作,監(jiān)測該黑客的動向。這些政府官員們制定了一個在2014年5月小長假期間驅(qū)逐該黑客的行動計劃,計劃名為“大爆炸”。所做工作包括:重置管理員賬戶、為被入侵用戶新設(shè)賬號,以及下線被感染系統(tǒng)。
過早踢出黑客的風(fēng)險剛剛過去,如今的風(fēng)險,是讓黑客駐留了太久,本不應(yīng)該讓黑客在系統(tǒng)內(nèi)留這么久的。
問題遠(yuǎn)未解決
專注于驅(qū)逐該黑客的專家們并不知道,早在“大爆炸”行動前數(shù)周,就有另一名黑客冒聯(lián)邦承包商雇員之名滲入了系統(tǒng)。那名黑客使用了一名承包商的憑證登錄系統(tǒng),安裝上惡意軟件,并在網(wǎng)絡(luò)中留了一扇后門。
接下來的幾個月,那名黑客在系統(tǒng)中暢游無阻,盜取敏感安全審查背景調(diào)查文件、人事檔案、指紋數(shù)據(jù)。
這第二起數(shù)據(jù)泄露,直到2015年4月,一名OPM雇員追蹤被盜資料流向明顯是虛假賬號注冊的互聯(lián)網(wǎng)地址(賬戶名為史蒂夫·羅杰斯——《漫威》旗下超級英雄美國隊長的本名)才被檢測到。但那時,數(shù)百萬美國政府雇員的敏感信息已經(jīng)流失了。
那份國會報告還指責(zé)OPM未能快速部署來自外部公司的安全工具以檢測惡意代碼和其他威脅。報告援引一名工程師的話稱:“Cylance公司的工具一部署,警報亮得跟圣誕樹似的”——OPM的計算機(jī)里充斥著惡意軟件。
Cylance創(chuàng)始人兼CEO斯圖爾特·麥克盧爾在一次訪談中說道:“他們本來可以做得更好嗎?當(dāng)然!但是,一旦他們確認(rèn)有數(shù)據(jù)泄露,也就非常嚴(yán)肅認(rèn)真地對待了。”
OPM曾稱這兩起數(shù)據(jù)泄露事件之間沒有關(guān)聯(lián),在泄露規(guī)模上誤導(dǎo)公眾;而這份國會報告中則稱“兩起事件似有關(guān)聯(lián),還很可能是相互協(xié)同的”。
兩撥攻擊者目標(biāo)相同,行事手法相似,攻擊時間也接近。
盡管美國懷疑此事是中國諜報機(jī)構(gòu)所為,議院調(diào)查卻并未對責(zé)任人的身份多做披露。報告中只是說,2015年4月發(fā)現(xiàn)的數(shù)據(jù)泄露,可能是與中國軍方有聯(lián)系的“深度熊貓(Deep Panda)”小組所為。