'Peretas topi putih': Mengapa HealthCare.gov tidak aman

Ini adalah transkrip terburu-buru dari “On the Record,” 19 November 2013. Salinan ini mungkin belum dalam bentuk final dan mungkin diperbarui.

GRETA VAN SUSTEREN, PEMBAWA ACARA FOX: Yang ini mengganggu. Seorang pakar keamanan siber membunyikan alarm dan mengatakan bahwa peretas pasti mengincar HealthCare.gov. Peringatan yang meresahkan itu datang dari “peretas topi putih”, David Kennedy, dia adalah salah satu dari beberapa pakar keamanan yang memberikan lebih banyak berita buruk kepada Kongres tentang situs ObamaCare.

(MULAI REKAMAN VIDEO)

PRIA TAK TERIDENTIFIKASI: Apakah ada di antara Anda saat ini yang berpikir bahwa pemandangan itu aman?

PRIA TAK TERIDENTIFIKASI: TIDAK.

PRIA TAK TERIDENTIFIKASI: Nah ini hipotesis menurut kalian, apakah diantara kalian ada yang berpendapat situs tersebut akan aman pada tanggal 30 November?

PRIA TAK TERIDENTIFIKASI: TIDAK.

PRIA TAK TERIDENTIFIKASI: Menurut pendapat Anda, berapa lama waktu yang dibutuhkan agar situs aman, beri saya perkiraan dalam beberapa bulan.

PRIA TAK TERIDENTIFIKASI: Tidak dikenal.

PRIA TAK TERIDENTIFIKASI: Sulit diperkirakan.

PRIA TAK TERIDENTIFIKASI: Saya tidak punya cukup informasi.

PRIA TAK TERIDENTIFIKASI: Waktu yang lama.

(AKHIR VIDEOTAPE)

DARI Saudari: Dan David Kennedybergabunglah dengan kami salah satu dari empat pria itu. Wow. Apakah 0 dan 4 atau 4 dan 0? Saya kira itu 0 dan empat kedua kali.

DAVID KENNEDY, PERETAS: Ya tentu saja. Saat ini situs web ObamaCare tidak terlihat bagus.

DARI Saudari: Mengapa hal ini sangat rentan?

KENNEDY: Nah, jika Anda melihat bagaimana mereka sebenarnya mengembangkan situs ini, hal itu dilakukan dengan sangat cepat. Saat Anda mengembangkan situs web seperti ini, Anda memasukkan keamanan ke dalam keseluruhan proses sehingga Anda membangun keamanan ke dalam aplikasi. Dan apa yang terjadi di sini adalah bahwa hal itu dilakukan secara terburu-buru, disatukan, dan didorong keluar dari pintu. Sayangnya, hal ini mencakup banyak paparan dan kerentanan keamanan yang dapat kami teliti dan identifikasi.

DARI Saudari: Baiklah, pemerintah terus berbicara tentang hub hanya sekedar hub. Informasi melewati hub. Itu tidak disimpan di hub, tetapi terhubung ke banyak instansi. Menjadikannya risiko keamanan fakta bahwa hub. Maksud saya, mereka membual tentang hub yang tidak menjadi tempat penyimpanan informasi, namun apakah itu titik kerentanannya?

KENNEDY: Benar. Peretas yang mereka lakukan adalah jika Anda melihat bagaimana informasi melintasi berbagai departemen seperti IRS atau DHS atau pihak ketiga seperti Expirion. Mereka harus mengandalkan koneksi yang dapat diandalkan. Pusat data sebenarnya memiliki akses ke semacam saluran perantara untuk menarik informasi tersebut dari berbagai area. Jika peretas dapat menguasainya, mereka dapat memperoleh akses ke database lain dan berpotensi mengekspos lembaga pemerintah lainnya juga.

Scott White, yang merupakan peneliti kami dan juga saya sendiri, telah melakukan banyak analisis terhadap situs itu sendiri dan menemukan bahwa pada dasarnya Anda dapat meretas situs tersebut, mendapatkan akses ke sana, dan mulai mengambil komponen-komponen penting dari situs itu sendiri serta mengekstraksi informasi yang sangat sensitif tentang orang-orang yang telah mendaftar di situs tersebut.

DARI Saudari: Apakah ada cara untuk memperbaikinya antara sekarang dan 30 November?

KENNEDY: Sayangnya tidak mungkin. Untuk memperbaiki sesuatu yang rumit ini, diperkirakan situs web tersebut berisi 500 juta baris kode dan sebagai perbandingan, sistem operasi Windows memiliki antara 50 juta dan 80 juta baris kode, yang merupakan salah satu sistem operasi paling kompleks yang kami lihat di luar sana. Jadi ini enam kali lebih kompleks. Memperbaiki hal seperti ini hampir tidak mungkin dilakukan dalam jangka waktu singkat.

DARI Saudari: Tidakkah Anda ingin tercekik ketika mendengar pemerintah mengatakan bahwa semuanya akan diperbaiki 80 persen pada bulan November? Maksud saya, jika Anda bisa login, tetapi Anda sangat rentan terhadap keamanan. Maksudku, itu hanya kebohongan bahwa hal itu berhasil pada saat itu.

KENNEDY: Sungguh memalukan. Situs ini dapat dikembangkan dengan cara yang tidak memiliki banyak paparan. Saya rasa, kesaksian saya di Capitol Hill hari ini, Anda tahu, beberapa kesaksiannya bagus, situs lain diretas, jadi mengapa kami berbeda? Dan jika kita berada pada titik itu dan memperdebatkannya? Kemudian kami kehilangan motif terkait keamanan, karena keamanan tidak berhasil mengatasi permasalahan tersebut. Kita dapat melindungi diri dari peretas dan kita berhutang budi kepada masyarakat Amerika untuk melindungi infrastruktur ini dan data yang ada di dalamnya. Ini adalah informasi pribadi kami, bukan pemerintah.

DARI Saudari: Sudah enam minggu, apakah sejauh ini sudah diretas?

KENNEDY: Sulit untuk mengatakannya, tetapi tampaknya memang demikian. Jika Anda melihat bilah pencarian di situs web itu sendiri. Kunjungi health.com dan beri tanda titik koma di sana. Apa yang sebenarnya dapat Anda lihat adalah bahwa sudah ada upaya peretasan, hasil teratas di mesin pencari sebenarnya menunjukkan peretas mencoba membobol situs. Selain itu, mereka mengeluarkan statistik bahwa situs web tersebut diserang 16 kali berbeda. Bagi saya tampaknya sangat rendah. Saya pikir ini menunjukkan bahwa ada sedikit pemantauan yang rendah, mungkin tidak tahu bahwa mereka sedang diserang.

DARI Saudari: Oke, kalau dibilang mereka menyerang dan menangkis satu serangan, mungkin 16 serangan, tapi sistem berhasil berhasil melawan 16 serangan secara langsung, jadi kita harus melihatnya sukses?

KENNEDY: Kami tidak mengetahui cukup informasi tentang hal itu. Mereka bilang mereka bisa mencegahnya. Serangan layanan yang merupakan serangan dasar yang bisa Anda dapatkan. Saya pikir jika Anda melihat statistik, Anda akan mengatakan bahwa sebagian besar situs web menerima rata-rata sekitar 30.000 hingga 40.000 jenis serangan berbeda per bulan. Sesuatu seperti health.gov hanya akan melihat 16 lebih dari itu. Banyak dari mereka yang memiliki akses tidak terdeteksi ke situs ini atau sedang berupaya mengakses situs tersebut.

DARI Saudari: Apakah Anda pernah mengikuti poin ini?

KENNEDY: Sama sekali tidak.

DARI Saudari: Anda tidak ragu-ragu.

KENNEDY: Tidak ada kemungkinan. Mengetahui keamanan di sekitar infrastruktur itu sendiri, bagaimana hal itu dikeluarkan dan paparan yang kita lihat sekarang. Saya mendapat email tepat di tengah sidang kongres dari seseorang yang mengatakan saya punya 30 temuan lagi untuk Anda — 30 kerentanan di situs web.

DARI Saudari: Saat Anda berada dalam persidangan.

KENNEDY: Sementara saya sedang diadili. Ini seperti OK, jadi Anda memiliki jumlah eksposur ini, Anda tidak meretas dengan melihat tampilan luar. Kita bisa melihat semua eksposur ini sangat buruk.

DARI Saudari: Empat dari empat mengatakan tidak berhasil, tidak akan diperbaiki, dan sebagainya. Bukan seperti 3 dan 1 tapi 0-4.

KENNEDY: Cukup bulat.

DARI Saudari: Dengan suara bulat sebanyak yang Anda bisa dapatkan. Bagaimanapun, David, terima kasih.

KENNEDY: Terima kasih, Greta. Hargai itu.

Pengeluaran Sidney

‘Peretas topi putih’: Mengapa HealthCare.gov tidak aman

AP menjelaskan: Bagaimana hubungan antara Spanyol dan Catalonia berkembang

John Fund: Reformasi pajak baik untuk negara, tetapi akankah polarisasi politik dan kelumpuhan membunuhnya?

Newt Gingrich: GOP harus mengubah kerangka pajak menjadi undang -undang pengurangan pajak

Iran ‘semakin agresif’ dalam operasinya untuk menargetkan kampanye presiden AS: Komunitas Intel

Politik Fox News: Damai di Tightroop

Pengunjuk rasa anti-Israel melanggar pagar di sekitar DNC

Connor Stalions, mantan staf Michigan yang diduga mencuri sinyal, menghindari media di pelatihan sekolah menengah

David Marcus: Perbedaan yang mencolok antara DNC dan RNC mengungkapkan banyak hal tentang kedua belah pihak

More Stories

You may have missed