Πρόκληση ασφάλειας στο cloud: Ο κυβερνητικός φύλακας που χάκαρε την ομοσπονδιακή υπηρεσία των ΗΠΑ

Ένας φύλακας της κυβέρνησης των ΗΠΑ έκλεψε περισσότερα από 1 GB φαινομενικά ευαίσθητων προσωπικών δεδομένων από τα συστήματα cloud του Υ

που

ργείου Εσωτερικών των ΗΠΑ. Τα καλά νέα: Τα δεδομένα ήταν πλαστά και μέρος μιας σειράς δοκιμών για να ελεγχθεί εάν η υποδομή cloud του Υπουργείου ήταν ασφαλής.

Το

πείραμα περιγράφεται αναλυτικά στο

νέα έκθεση του Γραφείου Εσωτερικών του Γενικού Επιθεωρητή

(OIG), που δημοσιεύθηκε την περασμένη εβδομάδα.

Στόχος της έκθεσης ήταν να δοκιμαστεί η ασφάλεια της υποδομής cloud του Υπουργείου Εσωτερικών, καθώς και η «λύση πρόληψης απώλειας δεδομένων», λογισμικό που υποτίθεται ότι προστατεύει τα πιο ευαίσθητα δεδομένα του τμήματος από κακόβουλους χάκερ. Οι δοκιμές διεξήχθησαν μεταξύ Μαρτίου 2022 και Ιουνίου 2023, έγραψε ο OIG στην έκθεση.

Το Υπουργείο Εσωτερικών διαχειρίζεται την ομοσπονδιακή γη, τα εθνικά πάρκα και έναν προϋπολογισμό δισεκατομμυρίων δολαρίων της χώρας και φιλοξενεί σημαντικό όγκο δεδομένων στο cloud.

Σύμφωνα με την έκθεση, για να ελέγξει εάν η υποδομή cloud του Υπουργείου Εσωτερικών ήταν ασφαλής, η OIG χρησιμοποίησε ένα διαδικτυακό εργαλείο που ονομάζεται

Mockaroo

να δημιουργήσει πλαστά προσωπικά δεδομένα που «θα φαίνονται έγκυρα για τα εργαλεία ασφαλείας του Υπουργείου».

Στη συνέχεια, η ομάδα OIG χρησιμοποίησε μια εικονική μηχανή μέσα στο περιβάλλον cloud του Υπουργείου για να μιμηθεί «έναν εξελιγμένο παράγοντα απειλής» μέσα στο δίκτυό της και στη συνέχεια χρησιμοποίησε «γνωστές και ευρέως τεκμηριωμένες

τεχν

ικές για την εξαγωγή δεδομένων».

«Χρησιμοποιήσαμε την εικονική μηχανή ως έχει και δεν εγκαταστήσαμε κανένα εργαλείο, λογισμικό ή

κακόβουλο λογισμικό

που θα διευκόλυνε την εξαγωγή δεδομένων από το θεματικό σύστημα», αναφέρει η έκθεση.

Η OIG είπε ότι διεξήγαγε περισσότερες από 100 δοκιμές σε μια εβδομάδα, παρακολουθώντας τα «καταγραφή υπολογιστών και τα συστήματα παρακολούθησης συμβάντων» του κυβερνητικού τμήματος σε πραγματικό χρόνο και καμία από τις δοκιμές του δεν εντοπίστηκε ούτε εμποδίστηκε από την άμυνα του υπουργείου για την ασφάλεια στον κυβερνοχώρο.

«Οι δοκιμές μας πέτυχαν επειδή το Τμήμα απέτυχε να εφαρμόσει μέτρα ασφαλείας ικανά είτε να αποτρέψουν είτε να ανιχνεύσουν γνωστές και ευρέως χρησιμοποιούμενες τεχνικές που χρησιμοποιούνται από κακόβουλους παράγοντες για την κλοπή ευαίσθητων δεδομένων», ανέφερε η έκθεση του OIG. «Τα χρόνια που το σύστημα φιλοξενείται σε cloud, το Τμήμα δεν διεξήγαγε ποτέ τακτικές απαιτούμενες δοκιμές των ελέγχων του συστήματος για την προστασία ευαίσθητων δεδομένων από μη εξουσιοδοτημένη πρόσβαση».

Αυτά είναι τα κακά νέα: Οι αδυναμίες στα συστήματα και τις πρακτικές του Τμήματος «θέτουν ευαισθησία [personal information] για δεκάδες χιλιάδες ομοσπονδιακούς υπαλλήλους που κινδυνεύουν από μη εξουσιοδοτημένη πρόσβαση», αναφέρεται στην έκθεση. Το OIG παραδέχτηκε επίσης ότι μπορεί να είναι αδύνατο να σταματήσει ένας «αντίπαλος με καλούς πόρους» να εισβάλει, αλλά με ορισμένες βελτιώσεις, μπορεί να είναι δυνατό να σταματήσει αυτός ο αντίπαλος να διεισδύσει στα ευαίσθητα δεδομένα.

Αυτή η δοκιμαστική «παραβίαση δεδομένων» έγινε σε ελεγχόμενο περιβάλλον από την OIG και όχι από μια εξελιγμένη κυβερνητική ομάδα

hacking

από την Κίνα ή τη Ρωσία. Αυτό δίνει στο Υπουργείο Εσωτερικών την ευκαιρία να βελτιώσει τα συστήματα και τις άμυνές του, ακολουθώντας μια σειρά συστάσεων που αναφέρονται στην έκθεση.

Πέρυσι, η OIG του Υπουργείου Εσωτερικών κατασκεύασε μια προσαρμοσμένη πλατφόρμα διάσπασης κωδικών πρόσβασης αξίας 15.000 δολαρίων ως μέρος μιας προσπάθειας να δοκιμαστούν οι κωδικοί πρόσβασης χιλιάδων υπαλλήλων του τμήματος.