Frem for alt andet bør Vault 7 ikke sætte dig i panik over CIA - ikke hvis du i hvert fald har været opmærksom. De mest opsigtsvækkende teknikker beskrevet i avisen er ikke noget nyt. Faktisk er de blevet demonstreret offentligt flere gange. Afsløringen her er ikke det faktum, at CIA og NSA spionerer på både amerikanske og udenlandske statsborgere, men derimod det utrolige indsigt, de – og formentlig andre spionorganisationer verden over – har i at bryde beskyttelser, som de fleste mennesker overvejer sikker.
En historie om overvågning
"Jeg vil sige, at 100 procent af det her er ting, der har været kendt af sikkerhedssamfundet i et stykke tid," sagde Ryan Kalember, senior vicepræsident for cybersikkerhedsstrategi hos sikkerhedsfirmaet ProofPoint, med henvisning til Vault 7 Dokumenter. "Samsung Smart TV-hacket blev demonstreret ved sikkerhedskonferencer for flere år siden, køretøjshacket blev demonstreret på BlackHat af en hel del forskellige personer på forskellige køretøjer."
"De fleste af de ting, der er kommet ud, er små variationer af kendte teknikker," sagde James Maude, senior sikkerhedsingeniør hos Alecto. "Der er et par målrettede løsninger for antivirusleverandører, som man ikke tidligere kendte til - selvom de ligner udnyttelser er blevet fundet i fortiden - og der var et par nyere teknikker til at omgå brugerkontokontrol på Windows."
Du behøver ikke at være sikkerhedsprofessionel for at have hørt om de teknikker, der er beskrevet i Vault 7-papirerne. Du kan blive overrasket over, at CIA bruger disse teknikker, men det burde du måske ikke være, da organisationen blev etableret med det formål at indsamle efterretninger.
I forordet til bogen Spycraft: The Secret History of CIA's Spytechs from Communism to Al-Qaeda, tidligere direktør for agenturets Office of Technical Service, Robert Wallace, beskriver de grupper, der omfattede organisationen, da han sluttede sig til dens rækker i 1995. En var tilsyneladende ansvarlig for design og implementering af "lydfejl, telefonaflytninger og visuel overvågning systemer." En anden siges at have "produceret sporingsenheder og sensorer" og "analyseret udenlandsk spionageudstyr."
CIA er en organisation, der blev oprettet med henblik på overvågning og spionage. Vault 7-papirerne er ikke afslørende i forhold til, hvad CIA gør - de er afslørende i forhold til, hvordan agenturet gør det. Den måde, organisationen implementerer teknologi på, ændrer sig med tiden, og Vault 7 lader os spore dens fremskridt.
Spionage udvikler sig
Computere har revolutioneret de fleste industrier i løbet af de sidste par årtier, og det har igen ændret, hvordan spionorganisationer indsamler data fra disse industrier. For 30 år siden tog følsomme oplysninger typisk form af fysiske dokumenter eller talte samtaler, så spycraft fokuserede på at udtrække dokumenter fra et sikkert sted eller at lytte til samtaler i et rum, der menes at være privat. I dag er de fleste data lagret digitalt og kan hentes overalt, hvor internettet er tilgængeligt. Det udnytter spioner.
Grænserne er udvisket mellem cyberkriminalitet og spionage
Ifølge Kalember er det "absolut forventeligt", at CIA ville følge med tiden. "Hvis den information, du leder efter, findes på nogens e-mail-konto, vil din taktik selvfølgelig gå til at spear-phishe dem," forklarede han.
Taktik som phishing kan virke underhåndet i kriminelles reserve, men de bruges af spioner, fordi de er effektive. "Der er kun så mange måder, du kan få noget til at køre på et system," forklarede Maude. Faktisk, hvis CIA skulle debutere en hidtil uset og yderst effektiv metode til snooping, er det næsten sikkert, at kriminelle enheder ville være i stand til at reverse-engine det til deres eget brug.
"Vi er i et miljø, hvor grænserne, især med afsløringerne fra Yahoo-angrebet, er sløret mellem cyberkriminelle håndværk og spionage," sagde Kalember. "Der er ét økosystem af værktøjer, der har et stort overlap."
Efterretningsagenter og cyberkriminelle bruger de samme værktøjer til meget lignende formål, selvom deres mål og slutmål kan være meget forskellige. De praktiske forhold ved overvågning ændres ikke afhængigt af individets moralske eller etiske tilpasning, så der burde være et lille chok, når det viser sig, at CIA er interesseret i et Samsung TV's evne til at lytte til samtaler. Faktisk er udnyttelser som dem, der findes i Samsung TV'er, af mere interesse for spioner end for kriminelle. Det er ikke en udnyttelse, der giver øjeblikkelig økonomisk gevinst, men det giver en glimrende måde at lytte til private samtaler på.
"Når vi ser på CIA-lækagen, når vi ser på cyberkriminelle fora og den malware, jeg har set på, Forskellen mellem en cyberkriminel og en efterretningsanalytiker er bogstaveligt talt, hvem der betaler deres løn," sagde Maude. "De har alle en meget ens tankegang, de forsøger alle at gøre det samme."
Denne smeltedigel gør det muligt for operatører at skjule deres handlinger og lade deres arbejde blande sig med de lignende taktikker, der anvendes af kriminelle og andre efterretningstjenester. Attribution eller mangel på samme betyder, at genbrug af værktøjer udviklet af andre ikke kun sparer tid - det er en mere sikker mulighed hele vejen rundt.
Forfatter ukendt
"Det er velkendt i sikkerhedskredse, at tilskrivning ser godt ud i rapporter og pressekonferencer, men i virkeligheden er der meget lidt værdi i at tilskrive trusler," sagde Maude. "Værdien ligger i at forsvare sig mod dem."
NSA har brede kapaciteter til at samle mange forskellige typer kommunikation, der stort set er ukrypteret
Det meste af overvågningen er beregnet til at være skjult, men selv når et forsøg opdages, kan det være meget svært at spore det præcist til dets kilde. CIA udnytter denne kendsgerning ved at bruge værktøjer og teknikker udviklet af andre. Ved at implementere en andens arbejde - eller endnu bedre, et kludetæppe af andres arbejde - kan agenturet stille spørgsmål om, hvem der er ansvarlig for dets spionage.
"Tilskrivning er noget, der har været et kontroversielt emne i den private sektor," sagde Kalember. Når sikkerhedsforskere undersøger angreb, kan de se på de værktøjer, der bruges, og ofte hvor informationen blev sendt, for at få en idé om, hvem der var ansvarlig.
Hvis du dykker længere ned i malwaren, er det muligt at få endnu et godt indblik i dens forfattere. Det sprog, der bruges til tekststrenge, kan give et fingerpeg. Tidspunktet på dagen, hvor koden blev kompileret, kan antyde deres geografiske placering. Forskere kan endda se på debug-stier for at finde ud af, hvilken sprogpakke udviklerens operativsystem brugte.
Desværre er disse spor lette at forfalske. "Alle disse ting er velkendte teknikker, som forskere kan bruge til at prøve at udføre tilskrivning," forklarede Kalember. "Vi har for nylig set både cyberkriminelle grupper og nationalstatsgrupper bevidst rode med disse tilskrivningsmetoder for at skabe den klassiske falske 'flagtype' af scenarier."
Han gav et eksempel på praksis relateret til malware kendt som Lazarus, som menes at stamme fra Nordkorea. Russiske sprogstrenge blev fundet i koden, men de gav ingen mening for russisktalende. Det er muligt, at dette var et halvhjertet forsøg på vildledning, eller måske endda et dobbelt bluff. Vault 7-papirerne viste, at CIA aktivt engagerer sig i denne metode for at bedrage dem, der forsøger at spore malware tilbage til den.
"Der var en stor del af Vault 7-lækagen, der fokuserede på dette program kaldet UMBRAGE, hvor CIA påpegede det brede økosystem af værktøjer, der var tilgængelige til brug," sagde Kalember. "De lod til at for det meste forsøge at spare sig selv tid, hvilket mange mennesker involveret i denne branche gør, ved at genbruge ting, der allerede var der."
UMBRAGE demonstrerer, hvordan CIA overvåger tendenser for at bevare sin effektivitet med hensyn til spionage og overvågning. Programmet gør det muligt for agenturet at arbejde hurtigere og med mindre chance for at blive opdaget - en stor fordel for dets bestræbelser. Vault 7-papirerne viser dog også, hvordan organisationen er blevet tvunget til at ændre sin taktik for at berolige dem, der er kritiske over for dens holdning til privatlivets fred.
Fra fiskenet til fiskestang
I 2013 lækkede Edward Snowden en kavalkade af dokumenter, der afslørede forskellige globale overvågningsinitiativer, der drives af NSA og andre efterretningstjenester. Vault 7-papirerne viser, hvordan Snowden-lækagen ændrede bedste praksis for spionage.
"Hvis du ser på Snowden-lækagen, har NSA brede kapaciteter til at samle mange forskellige typer kommunikation, der i det store og hele var ukrypteret," sagde Kalember. "Det betød, at uden rigtig at være kendt af nogen, var der en enorm mængde interessant information, som de ville have haft adgang til, og de ville ikke have behøvet at tage nogen risiko for at få adgang til en persons information, der tilfældigvis blev fejet ind i at."
Forenklet sagt brugte NSA en udbredt mangel på kryptering til at kaste et bredt net og indsamle data. Denne lavrisikostrategi ville betale sig, hvis og når en person af interesses kommunikation blev opsnappet, sammen med masser af ubrugelig snak.
"Siden Snowden-lækagen har vi virkelig talt om behovet for ende-til-ende-kryptering, og dette er blevet rullet ude i massiv skala, fra chat-apps til websteder, SSL, alle disse forskellige ting, der er derude,” sagde Maude. Dette gør udbredt dataindsamling langt mindre relevant.
"Det, vi ser, er, at efterretningstjenester arbejder omkring end-to-end-kryptering ved at gå direkte til slutpunktet," tilføjede han. "Fordi det er åbenlyst, hvor brugeren skriver, krypterer og dekrypterer kommunikationen, så det er her, de kan få adgang til dem ukrypteret."
Snowden-lækagen stod i spidsen for et branchespændende initiativ til at standardisere end-to-end-kryptering. Nu kræver overvågning en mere præcis tilgang, hvor fokus er på specifikke mål. Det betyder at få adgang til slutpunktet, den enhed, hvor brugeren indtaster eller gemmer deres kommunikation.
Intet digitalt er nogensinde 100 procent sikkert
"CIA's Vault 7-lækager beskriver i modsætning til Snowden-lækagen næsten udelukkende målrettede angreb, der skal lanceres mod specifikke individer eller deres enheder," sagde Kalember. "De involverer sandsynligvis i de fleste tilfælde at tage lidt større risiko for at blive fanget og identificeret, og de er meget sværere at gøre rent hemmeligt vilkår, fordi det ikke sker opstrøms fra det sted, hvor al kommunikation finder sted, det bliver gjort på individniveau og enhed."
Dette kan spores direkte til Snowden-lækagen via dets status som en public service-meddelelse vedrørende ukrypteret kommunikation. "Den store ting, der ændrede sig, den slags udløste hele dette skift, var fremkomsten af ende-til-ende-kryptering," tilføjede Kalember.
Hvad betyder det for den gennemsnitlige person? Det er mindre sandsynligt, at din kommunikation bliver opsnappet nu, end det var for et par år tilbage.
CIA og jeg
I sidste ende er det spild af energi at bekymre sig om, at CIA spionerer på dig som individ. Hvis bureauet har en grund til at snuse efter dig, har de værktøjerne til det. Det er meget svært at undgå det faktum, medmindre du planlægger at gå helt ud af nettet. Hvilket for de fleste mennesker ikke er praktisk.
På en måde, hvis du er bekymret for sikkerheden af dine data, bør informationen inkluderet i lækagen være betryggende. Med internationale spionagebureauer og topcyberkriminelle, der bruger det samme økosystem af værktøjer, er der færre former for angreb at bekymre sig om. At praktisere gode sikkerhedsvaner bør beskytte dig mod de største trusler, og nogle af de forholdsregler, du kan tage, er enklere, end du måske forventer.
En nylig rapport om Windows-sårbarheder udgivet af Avecto fandt, at 94 procent af sårbarhederne kunne være afbødes ved at fjerne administratorrettigheder, en statistik, der kunne hjælpe virksomhedsbrugere med at beholde deres systemer sikker. I mellemtiden kan personlige brugere reducere deres ændringer i at blive overtrådt ved blot at se efter phishing-teknikker.
"Sagen med sikkerhed er, at intet digitalt nogensinde er 100 procent sikkert, men du ved, at der er foranstaltninger, du kan tage, som gør din sikkerhed meget bedre," sagde Maude. "Det, CIA-lækagen viser os, er, at de foranstaltninger, du kan tage for at forsvare dig mod cyberkriminelle ved hjælp af almindelige ransomware-værktøjer er stort set de samme foranstaltninger, du kan tage for at forsvare dig mod, at CIA implanterer noget på din system."
Vault 7-papirerne er ikke en opfordring til panik, medmindre du er en person, som CIA måske allerede er interesseret i at undersøge. Hvis det skræmmer dig at vide, at CIA kan lytte til dine samtaler gennem dit tv, så gør det nok ikke være med til at høre, at karrierekriminelle, der lever af afpresning og afpresning, har adgang til det samme værktøjer.
Heldigvis virker de samme forsvar lige godt mod begge parter. Når spørgsmål om online sikkerhed rammer overskrifterne, er takeawayen normalt den samme; vær på vagt og vær forberedt, og du vil højst sandsynligt være ok.
Redaktørernes anbefalinger
- Hackere bruger et snedigt nyt trick til at inficere dine enheder
