Преди всичко, Vault 7 не трябва да ви паникьосва относно ЦРУ – не и ако сте обръщали внимание. Най-привличащите внимание техники, описани в документите, не са нещо ново. Всъщност те са демонстрирани публично няколко пъти. Разкритието тук не е фактът, че ЦРУ и НСА шпионират както американски, така и чуждестранни граждани, а вместо това невероятната представа, която те – и вероятно други шпионски организации по света – имат за разбиване на защити, които повечето хора смятат сигурен.
История на наблюдението
„Бих казал, че 100 процента от това са неща, които са известни на общността по сигурността от известно време“, каза Райън Калембер, старши вицепрезидент по стратегията за киберсигурност в охранителната фирма ProofPoint, във връзка с Vault 7 документи. „Хакването на Samsung Smart TV беше демонстрирано на конференции по сигурността преди няколко години, хаковете за превозни средства бяха демонстрирани в BlackHat от доста различни лица на различни превозни средства.“
„Повечето от нещата, които излязоха, са леки вариации на известни техники“, съгласи се Джеймс Мод, старши инженер по сигурността в Avecto. „Има няколко целенасочени заобиколни решения за доставчиците на антивирусни програми, за които не беше известно преди – макар и подобни експлойти са открити в миналото — и имаше няколко по-нови техники за заобикаляне на контрола на потребителските акаунти Windows."
Не е нужно да сте специалист по сигурността, за да сте чували за техниките, описани в документите на Vault 7. Може да се изненадате, че ЦРУ използва тези техники, но може би не трябва, като се има предвид, че организацията е създадена с цел събиране на разузнавателна информация.
В предговора към кн Spycraft: Тайната история на шпионските технологии на ЦРУ от комунизма до Ал-Кайда, бивш директор на Службата за техническо обслужване на агенцията, Робърт Уолъс, описва групите, съставляващи организацията, когато той се присъедини към нейните редици през 1995 г. Единият очевидно е отговорен за проектирането и внедряването на „аудио бъгове, телефонни подслушвания и визуално наблюдение системи.” Твърди се, че друг е „произвел устройства за проследяване и сензори“ и „анализира чуждестранно шпионско оборудване“.
ЦРУ е организация, създадена с цел наблюдение и шпионаж. Документите от Vault 7 не са разобличителни по отношение на това, което ЦРУ прави - те са разобличителни по отношение на това как агенцията го прави. Начинът, по който организацията внедрява технологията, се променя с времето и Vault 7 ни позволява да проследяваме нейния напредък.
Шпионажът се развива
Компютрите революционизираха повечето индустрии през последните няколко десетилетия и това на свой ред промени начина, по който шпионските организации събират данни от тези индустрии. Преди тридесет години чувствителната информация обикновено приемаше формата на физически документи или устни разговори, така че spycraft, фокусиран върху извличане на документи от сигурно място или слушане на разговори в стая, за която се смята, че е частен. Днес повечето данни се съхраняват цифрово и могат да бъдат извлечени от всяко място, където има интернет. Шпионите се възползват от това.
Линиите между киберпрестъпността и шпионажа се размиха
Според Калембър е „абсолютно очаквано“, че ЦРУ ще върви в крак с времето. „Ако информацията, която търсите, съществува в нечий имейл акаунт, разбира се, тактиката ви ще премине към фишинг“, обясни той.
Тактики като фишинг може да изглеждат подмолни, в резерва на престъпниците, но се използват от шпиони, защото са ефективни. „Има толкова много начини, по които можете да накарате нещо да работи на система“, обясни Мод. Всъщност, ако ЦРУ представи безпрецедентен и високоефективен метод за подслушване, почти сигурно е, че престъпните субекти ще могат да го проектират за собствена употреба.
„Намираме се в среда, в която, особено с разкритията от атаката на Yahoo, границите се размиха между търговия с киберпрестъпници и шпиониране“, каза Калембер. „Има една екосистема от инструменти, която има голямо припокриване.“
Разузнавателните служители и киберпрестъпниците използват едни и същи инструменти за много сходни цели, дори ако целите и крайните им цели може да са много различни. Практическите аспекти на наблюдението не се променят в зависимост от моралната или етична позиция на индивида, така че има би трябвало да е малък шок, когато се окаже, че ЦРУ се интересува от капацитета на телевизор Samsung да слуша разговори. Всъщност експлойти като тези, открити в телевизорите на Samsung, са от по-голям интерес за шпионите, отколкото за престъпниците. Това не е експлойт, който предлага незабавна финансова печалба, но предоставя отличен начин да слушате частни разговори.
„Когато разгледаме изтичането на информация от ЦРУ, когато разгледаме форумите за киберпрестъпници и зловреден софтуер, който разгледах, разликата между киберпрестъпник и разузнавателен анализатор е буквално кой им плаща заплатата“, каза Мод. „Всички те имат много сходен начин на мислене, всички се опитват да направят едно и също нещо.“
Този смесителен котел позволява на оперативните агенти да прикрият действията си, оставяйки работата си да се слее с подобни тактики, използвани от престъпници и други разузнавателни агенции. Приписването или липсата на такова означава, че повторното използване на инструменти, разработени от други, не само спестява време – това е по-безопасна опция навсякъде.
Неизвестен автор
„В кръговете по сигурността е добре известно, че приписването изглежда страхотно в доклади и пресконференции, но в действителност има много малка стойност в приписването на заплахи“, каза Мод. „Стойността е в защитата срещу тях.“
NSA има широки възможности за събиране на много различни видове комуникации, които като цяло са некриптирани
Повечето наблюдения са предназначени да бъдат тайни, но дори когато бъде открит опит, може да бъде много трудно да се проследи точно до източника. ЦРУ се възползва от този факт, като използва инструменти и техники, разработени от други. Внедрявайки работата на някой друг - или още по-добре, мозайка от работа на други - агенцията може да предизвика въпроси за това кой е отговорен за нейния шпионаж.
„Приписването е нещо, което е спорна тема в частния сектор“, каза Калембер. Когато изследователите по сигурността изследват атаки, те могат да разгледат използваните инструменти и често къде е изпратена информация, за да получат представа кой е отговорен.
Задълбочавайки се в злонамерения софтуер, е възможно да получите дори страхотна представа за неговите автори. Езикът, използван за текстови низове, може да даде представа. Часът от деня, в който кодът е компилиран, може да подсказва тяхното географско местоположение. Изследователите може дори да разгледат пътищата за отстраняване на грешки, за да разберат кой езиков пакет е използвала операционната система на разработчика.
За съжаление, тези улики са лесни за фалшифициране. „Всички тези неща са добре известни техники, които изследователите могат да използват, за да се опитат да направят приписване“, обясни Калембър. „Наскоро видяхме както киберпрестъпни групи, така и групи от национални държави да се забъркват умишлено с тези методи на приписване, за да създадат класическия сценарий с фалшив „тип флаг“.
Той даде пример с практиката, свързана със зловреден софтуер, известен като Lazarus, за който се смята, че произхожда от Северна Корея. В кода бяха намерени низове на руски език, но те нямаха смисъл за рускоговорящите. Възможно е това да е бил половинчат опит за погрешно насочване или може би дори двоен блъф. Документите на Vault 7 показаха, че ЦРУ активно се ангажира с тази методология, за да заблуди онези, които се опитват да проследят зловреден софтуер обратно към него.
„Имаше голяма част от течовете на Vault 7, които се фокусираха върху тази програма, наречена UMBRAGE, където ЦРУ посочваше широката екосистема от инструменти, които бяха достъпни за използване“, каза Калембър. „Те изглежда най-вече се опитват да си спестят време, което правят много хора, участващи в тази работа, като използват повторно неща, които вече са там.“
UMBRAGE демонстрира как ЦРУ следи тенденциите, за да поддържа своята ефективност по отношение на шпионажа и наблюдението. Програмата позволява на агенцията да работи по-бързо и с по-малък шанс да бъде разкрита – огромно предимство за нейните начинания. Въпреки това, документите на Vault 7 също демонстрират как организацията е била принудена да промени тактиката си, за да успокои тези, които са критични към нейното отношение към поверителността.
От мрежа за риболов до въдица
През 2013 г. Едуард Сноудън изтече цяла гама от документи, които разкриват различни глобални инициативи за наблюдение, управлявани от NSA и други разузнавателни агенции. Документите от Vault 7 демонстрират как изтичането на информация за Сноудън е променило най-добрите практики за шпионаж.
„Ако погледнете изтичането на информация за Сноудън, NSA има широки възможности да събира много различни видове комуникации, които като цяло са били некриптирани“, каза Калембър. „Това означаваше, че без наистина да е известно на никого, имаше огромно количество интересна информация, която те биха имали достъп до и не би им се наложило да поемат рискове, за да получат достъп до информацията на всеки индивид, която случайно е била пометена че."
Казано просто, NSA използва широкоразпространената липса на криптиране, за да хвърли широка мрежа и да събира данни. Тази стратегия с нисък риск ще се изплати, ако и когато комуникациите на лице, представляващо интерес, бъдат прихванати, заедно с маси безполезно бърборене.
„След изтичането на информация за Сноудън ние наистина говорихме за необходимостта от криптиране от край до край и това беше пуснато в огромен мащаб, от приложения за чат до уебсайтове, SSL, всички тези различни неща, които са там“, каза Мод. Това прави широко разпространеното събиране на данни много по-малко уместно.
„Това, което виждаме е, че разузнавателните агенции работят около криптирането от край до край, като отиват направо до крайната точка“, добави той. „Тъй като очевидно това е мястото, където потребителят въвежда, криптира и дешифрира комуникацията, така че това е мястото, където те могат да имат достъп до тях некриптирани.“
Изтичането на информация от Сноудън постави началото на обхващаща индустрията инициатива за стандартизиране на криптирането от край до край. Сега наблюдението изисква по-прецизен подход, при който фокусът е върху конкретни цели. Това означава достъп до крайната точка, устройството, където потребителят въвежда или съхранява своите комуникации.
Нищо цифрово никога не е 100 процента сигурно
„Изтичането на информация от Vault 7 на ЦРУ, за разлика от изтичането на информация за Сноудън, описва почти изцяло целеви атаки, които трябва да бъдат предприети срещу конкретни лица или техните устройства“, каза Калембер. „Те вероятно, в повечето случаи, включват поемане на малко по-големи рискове от залавяне и идентифициране и са много по-трудни за извършване в чисто нелегални условия термини, тъй като това не се прави нагоре по веригата от мястото, където се случват всички комуникации, това се прави на ниво индивид и устройство.”
Това може да бъде проследено директно до изтичането на информация за Сноудън, чрез статута му на съобщение за обществена услуга относно некриптирани комуникации. „Голямото нещо, което се промени, което ускори цялата тази промяна, беше възходът на криптирането от край до край“, добави Калембер.
Какво означава това за обикновения човек? По-малко вероятно е вашите комуникации да бъдат прихванати сега, отколкото беше преди няколко години.
ЦРУ и аз
В крайна сметка да се притеснявате, че ЦРУ ви шпионира като индивид, е загуба на енергия. Ако агенцията има причина да ви подслушва, те имат инструментите да го направят. Много е трудно да избегнете този факт, освен ако не планирате да излезете изцяло от мрежата. Което за повечето хора не е практично.
В известен смисъл, ако се притеснявате за сигурността на вашите данни, информацията, включена в изтичането, трябва да бъде успокояваща. С международните шпионски агенции и топ киберпрестъпниците, използващи една и съща екосистема от инструменти, има по-малко форми на атака, за които да се занимавате. Практикуването на добри навици за сигурност трябва да ви предпази от най-големите заплахи, а някои от предпазните мерки, които можете да предприемете, са по-прости, отколкото бихте очаквали.
Скорошен доклад за уязвимостите на Windows, публикуван от Avecto, установи, че 94 процента от уязвимостите могат да бъдат смекчени чрез премахване на администраторски права, статистика, която може да помогне на корпоративните потребители да запазят своя парк от системи сигурен. Междувременно личните потребители могат да намалят промените си, за да бъдат нарушени, просто като търсят техники за фишинг.
„Нещото със сигурността е, че нищо цифрово никога не е 100 процента сигурно, но знаете, че има мерки, които можете да предприемете, които правят вашата сигурност много по-добра“, каза Мод. „Това, което ни показва изтичането на информация от ЦРУ, е, че мерките, които можете да предприемете, за да се защитите срещу киберпрестъпниците, използвайки общи инструментите за рансъмуер са като цяло същите мерки, които можете да предприемете, за да се защитите срещу имплантирането на нещо от ЦРУ във вашия система."
Документите от Vault 7 не са призив за паника, освен ако не сте лице, което ЦРУ може вече да се интересува от разследване. Ако знаете, че ЦРУ може да слуша вашите разговори през вашия телевизор, ви плаши, тогава вероятно не е така помогнете да чуете, че кариерните престъпници, които изкарват прехраната си чрез изнудване и шантаж, имат достъп до същото инструменти.
За щастие едни и същи защити работят еднакво добре и срещу двете страни. Когато въпросите на онлайн сигурността попаднат в заглавията, изводът обикновено е същият; бъдете бдителни и подготвени и най-вероятно ще се оправите.
Препоръки на редакторите
- Хакерите използват коварен нов трик, за да заразят вашите устройства
