무엇보다도, Vault 7은 여러분이 CIA에 대해 당황하게 해서는 안 됩니다. 어쨌든 여러분이 주의를 기울이고 있었다면 말이죠. 논문에 설명된 가장 주목을 끄는 기술은 새로운 것이 아닙니다. 사실, 그들은 여러 번 공개적으로 시연되었습니다. 여기서 밝혀진 사실은 CIA와 NSA가 미국 시민과 외국 시민 모두를 감시한다는 사실이 아니라, 그 대신 놀라운 사실입니다. 그들과 아마도 전 세계의 다른 스파이 조직은 대부분의 사람들이 고려하는 보호 장치를 해독하는 데 대한 통찰력을 가지고 있습니다. 안전한.
감시의 역사
Ryan은 "이 내용은 100% 보안 커뮤니티에 한동안 알려진 내용이라고 말하고 싶습니다."라고 말했습니다. 보안 회사 ProofPoint의 사이버 보안 전략 수석 부사장 Kalember는 Vault 7과 관련하여 말합니다. 서류. "삼성 스마트 TV 해킹은 몇 년 전 보안 컨퍼런스에서 시연되었으며, 차량 해킹은 BlackHat에서 다양한 차량을 타고 꽤 많은 개인이 시연했습니다."
Aveto의 수석 보안 엔지니어인 James Maude는 "지금까지 나온 것 중 대부분은 알려진 기술을 약간 변형한 것입니다."라고 동의했습니다. “이전에는 알려지지 않았지만 바이러스 백신 공급업체를 위한 몇 가지 표적 해결 방법이 있습니다. 과거에도 익스플로잇이 발견되었으며, 사용자 계정 컨트롤을 우회하는 몇 가지 새로운 기술이 있었습니다. 창문.”
Vault 7 문서에 설명된 기술에 대해 들어보기 위해 보안 전문가가 될 필요는 없습니다. CIA가 이러한 기술을 사용하고 있다는 사실에 놀라실 수도 있지만, CIA가 정보 수집을 목적으로 설립되었다는 점을 고려하면 그렇게 해서는 안 됩니다.
책 서문에서 스파이크래프트: 공산주의부터 알카에다까지 CIA 스파이테크의 비밀 역사, 전 기술 서비스국 이사인 로버트 월리스(Robert Wallace)는 1995년 자신이 조직에 합류했을 때 조직을 구성했던 그룹을 설명합니다. 한 사람은 분명히 "오디오 버그, 전화 도청 장치 및 시각적 감시"의 설계 및 배포를 담당했습니다. 시스템.” 또 다른 사람은 “추적 장치와 센서를 제작”하고 “해외 간첩 장비를 분석”한 것으로 전해진다.
CIA는 감시와 간첩 활동을 목적으로 설립된 조직이다. Vault 7 문서는 CIA가 수행하는 작업을 밝히는 것이 아니라 해당 기관이 수행하는 방식을 밝히는 것입니다. 조직에서 기술을 구현하는 방식은 시대에 따라 변화하고 있으며 Vault 7을 사용하면 진행 상황을 추적할 수 있습니다.
간첩 활동이 진화하다
컴퓨터는 지난 수십 년 동안 대부분의 산업에 혁명을 일으켰고, 이로 인해 스파이 조직이 해당 산업에서 데이터를 수집하는 방식도 바뀌었습니다. 30년 전에는 민감한 정보가 일반적으로 물리적 문서나 음성 대화의 형태를 취했습니다. 안전한 장소에서 문서를 추출하거나 방에서 대화를 듣는 데 초점을 맞춘 스파이크래프트 사적인. 오늘날 대부분의 데이터는 디지털 방식으로 저장되며 인터넷이 가능한 어디에서나 검색할 수 있습니다. 스파이들은 그 점을 이용하고 있습니다.
사이버 범죄와 스파이크래프트 사이의 경계가 모호해졌습니다.
Kalember에 따르면 CIA가 시대에 맞춰 움직일 것이라는 것은 "당연히 예상되는 일"입니다. “만약 당신이 찾고 있는 정보가 누군가의 이메일 계정에 존재한다면, 당신의 전략은 당연히 스피어 피싱으로 옮겨갈 것입니다.”라고 그는 설명했습니다.
피싱과 같은 전술은 범죄자들이 사용하기에는 은밀해 보일 수 있지만 효과적이기 때문에 스파이가 사용합니다. Maude는 “시스템에서 실행될 무언가를 얻을 수 있는 방법에는 한계가 있습니다.”라고 설명했습니다. 실제로 CIA가 전례 없고 매우 효과적인 스누핑 방법을 선보인다면 범죄 조직이 이를 리버스 엔지니어링하여 자체 용도로 사용할 수 있을 것이 거의 확실합니다.
Kalember는 “특히 Yahoo 공격의 폭로로 인해 사이버 범죄와 스파이 간의 경계가 모호해지는 환경에 처해 있습니다.”라고 말했습니다. "크게 겹치는 도구 생태계가 하나 있습니다."
정보 요원과 사이버 범죄자는 목표와 최종 목표가 매우 다를지라도 매우 유사한 목적으로 동일한 도구를 사용하고 있습니다. 감시의 실용성은 개인의 도덕적 또는 윤리적 성향에 따라 변하지 않습니다. CIA가 삼성 TV의 청취 능력에 관심이 있다는 사실이 밝혀지면 별로 충격을 받지 않을 것입니다. 대화. 실제로 삼성 TV에서 발견된 이와 같은 공격은 범죄자보다 스파이에게 더 큰 관심을 갖고 있습니다. 즉각적인 금전적 이득을 제공하는 악용은 아니지만 사적인 대화를 들을 수 있는 훌륭한 방법을 제공합니다.
“CIA 유출을 볼 때, 제가 살펴본 사이버 범죄 포럼과 맬웨어를 볼 때, 사이버 범죄자와 정보 분석가의 차이는 문자 그대로 누가 급여를 지불하느냐 하는 것입니다.”라고 말했습니다. 모드. "그들은 모두 매우 비슷한 사고방식을 가지고 있으며, 모두 같은 일을 하려고 노력하고 있습니다."
이 용광로를 통해 요원은 자신의 행동을 위장하여 범죄자 및 기타 정보 기관이 사용하는 유사한 전술과 업무를 혼합할 수 있습니다. 귀속 또는 귀속이 부족하다는 것은 다른 사람이 개발한 도구를 재사용하는 것이 시간을 절약할 뿐만 아니라 전반적으로 더 안전한 옵션임을 의미합니다.
저자 알 수 없음
Maude는 “보고서와 기자회견에서 귀속이 훌륭해 보인다는 것은 보안 업계 내에서 잘 알려져 있지만 실제로는 위협 귀속의 가치가 거의 없습니다.”라고 말했습니다. "가치는 그들을 방어하는 데 있습니다."
NSA는 대체로 암호화되지 않은 다양한 유형의 통신을 수집하는 광범위한 기능을 보유하고 있습니다.
대부분의 감시는 은밀하게 이루어지지만, 시도가 발견되더라도 그 출처를 정확하게 추적하는 것은 매우 어려울 수 있습니다. CIA는 다른 사람들이 개발한 도구와 기술을 활용하여 이러한 사실을 이용합니다. 다른 사람의 작업을 구현하거나 다른 사람의 작업을 패치워크함으로써 기관은 누가 스파이 활동에 책임이 있는지에 대한 질문을 촉발할 수 있습니다.
Kalember는 “귀속은 민간 부문에서 논란이 되고 있는 주제입니다.”라고 말했습니다. 보안 연구원은 공격을 조사할 때 사용된 도구와 정보가 전송된 위치를 살펴보고 누가 공격을 했는지 파악할 수 있습니다.
악성코드를 더 자세히 조사하면 작성자에 대한 깊은 통찰력을 얻을 수도 있습니다. 텍스트 문자열에 사용되는 언어가 단서를 제공할 수 있습니다. 코드가 컴파일된 시간은 지리적 위치를 암시할 수 있습니다. 연구원은 개발자의 운영 체제가 어떤 언어 팩을 사용하고 있는지 파악하기 위해 디버그 경로를 조사할 수도 있습니다.
불행하게도 이러한 단서는 위조되기 쉽습니다. Kalember는 “이러한 모든 것들은 연구자들이 귀인을 시도하고 수행하는 데 사용할 수 있는 잘 알려진 기술입니다.”라고 설명했습니다. "우리는 최근 사이버 범죄 그룹과 국가 그룹이 의도적으로 이러한 귀속 방법을 조작하여 전형적인 허위 '플래그 유형' 시나리오를 만드는 것을 목격했습니다."
그는 북한에서 유래한 것으로 추정되는 라자루스(Lazarus)라는 악성코드와 관련된 관행을 예로 들었다. 코드에서 러시아어 문자열이 발견되었지만 러시아어 사용자에게는 전혀 의미가 없었습니다. 이것은 잘못된 방향을 향한 미성숙한 시도였을 수도 있고, 어쩌면 이중 허세였을 수도 있습니다. Vault 7 문서는 CIA가 악성 코드를 추적하려는 사람들을 속이기 위해 이 방법론에 적극적으로 참여하고 있음을 보여줍니다.
Kalember는 “Vault 7 유출의 큰 부분은 UMBRAGE라는 프로그램에 초점을 맞춘 것이었습니다. 여기서 CIA는 사용할 수 있는 도구의 광범위한 생태계를 지적했습니다.”라고 말했습니다. "그들은 이미 존재하는 것들을 재사용함으로써 이 분야의 작업에 참여하는 많은 사람들이 하는 것처럼 시간을 절약하려고 주로 노력하는 것처럼 보였습니다."
UMBRAGE는 CIA가 간첩 활동 및 감시 측면에서 효율성을 유지하기 위해 추세를 모니터링하는 방법을 보여줍니다. 이 프로그램을 통해 기관은 보다 신속하게 운영되고 발각될 가능성이 낮아져 기관의 노력에 큰 도움이 됩니다. 그러나 Vault 7 문서는 조직이 개인 정보 보호에 대한 태도에 비판적인 사람들을 안심시키기 위해 어떻게 전략을 변경해야 했는지 보여줍니다.
낚싯대에서 낚싯대까지
2013년에 에드워드 스노든은 NSA와 기타 정보 기관이 운영하고 있는 다양한 글로벌 감시 계획을 공개한 일련의 문서를 유출했습니다. Vault 7 문서는 Snowden의 유출이 간첩 활동의 모범 사례를 어떻게 변화시켰는지 보여줍니다.
Kalember는 “Snowden의 유출 내용을 살펴보면 NSA는 대체로 암호화되지 않은 다양한 유형의 통신을 수집할 수 있는 광범위한 능력을 갖추고 있습니다.”라고 말했습니다. “이것은 실제로 누구에게도 알려지지 않은 채 그들이 알고 있었을 엄청난 양의 흥미로운 정보가 있다는 것을 의미했습니다. 그들은 우연히 휩쓸려간 개인의 정보에 접근하기 위해 어떤 위험도 감수할 필요가 없었을 것입니다. 저것."
간단히 말해서, NSA는 폭넓은 네트워크를 구축하고 데이터를 수집하기 위해 광범위한 암호화 부족을 활용하고 있었습니다. 이 위험도가 낮은 전략은 관심 있는 사람의 통신이 대량의 쓸데없는 대화와 함께 차단될 경우 성과를 거둘 것입니다.
“Snowden이 유출된 이후로 우리는 종단간 암호화의 필요성에 대해 논의해 왔으며 이것이 발표되었습니다. 채팅 앱부터 웹사이트, SSL 등 세상에 존재하는 모든 다양한 것들이 대규모로 확장되고 있습니다.”라고 말했습니다. 모드. 이는 광범위한 데이터 수집의 관련성을 훨씬 떨어뜨립니다.
"우리가 보고 있는 것은 정보 기관이 엔드포인트로 바로 이동하여 엔드투엔드 암호화를 해결하기 위해 노력하고 있다는 것입니다."라고 그는 덧붙였습니다. "분명히 사용자가 통신을 입력하고 암호화하고 해독하는 곳이므로 암호화되지 않은 상태로 액세스할 수 있습니다."
Snowden 유출은 종단 간 암호화를 표준화하기 위한 업계 전반의 이니셔티브를 주도했습니다. 이제 감시에는 특정 대상에 초점을 맞추는 보다 정확한 접근 방식이 필요합니다. 이는 사용자가 통신을 입력하거나 저장하는 장치인 엔드포인트에 액세스하는 것을 의미합니다.
디지털에서 100% 안전한 것은 없습니다.
Kalember는 “CIA의 Vault 7 유출은 Snowden 유출과 달리 특정 개인이나 해당 장치에 대해 실행되어야 하는 거의 전적으로 표적 공격을 설명합니다.”라고 말했습니다. “대부분의 경우 발각되어 신원이 확인될 위험이 약간 더 크며 순전히 비밀리에 수행하기는 훨씬 더 어렵습니다. 모든 커뮤니케이션이 이루어지는 곳의 업스트림에서 이루어지는 것이 아니기 때문에 개인과 조직의 수준에서 이루어지고 있습니다. 장치."
이는 암호화되지 않은 통신에 관한 공공 서비스 발표 상태를 통해 Snowden 유출로 직접 추적될 수 있습니다. Kalember는 "이러한 변화를 촉발한 가장 큰 변화는 엔드투엔드 암호화의 등장이었습니다."라고 덧붙였습니다.
이것은 보통 사람에게 무엇을 의미합니까? 몇 년 전보다 지금은 귀하의 통신이 차단될 가능성이 적습니다.
CIA와 나
결국 CIA가 개인으로서 당신을 감시하는 것에 대해 걱정하는 것은 에너지 낭비입니다. 기관이 귀하를 염탐할 이유가 있는 경우 그렇게 할 수 있는 도구가 있습니다. 그리드에서 완전히 벗어날 계획이 아니라면 이러한 사실을 피하는 것은 매우 어렵습니다. 대부분의 사람들에게는 실용적이지 않습니다.
어떤 면에서는 데이터 보안이 걱정된다면 유출에 포함된 정보가 안심이 될 것입니다. 국제 스파이 기관과 주요 사이버 범죄자가 동일한 도구 생태계를 사용하므로 우려할 공격 형태가 줄어듭니다. 좋은 보안 습관을 실천하면 가장 큰 위협으로부터 사용자를 보호할 수 있으며 취할 수 있는 예방 조치 중 일부는 예상보다 간단합니다.
Avecto가 발표한 Windows 취약점에 대한 최근 보고서에 따르면 취약점의 94%는 다음과 같습니다. 기업 사용자가 시스템 전체를 유지하는 데 도움이 될 수 있는 통계인 관리자 권한을 제거하여 완화됩니다. 안전한. 한편, 개인 사용자는 피싱 기술을 주의하는 것만으로도 침해당하는 변화를 줄일 수 있습니다.
Maude는 "보안의 문제는 디지털 방식으로 100% 안전한 것은 없지만 보안을 훨씬 더 강화하기 위해 취할 수 있는 조치가 있다는 것을 알고 있습니다"라고 말했습니다. “CIA 유출이 우리에게 보여주는 것은 일반적인 기술을 사용하여 사이버 범죄자로부터 자신을 방어하기 위해 취할 수 있는 조치가 있다는 것입니다. 랜섬웨어 도구는 CIA가 컴퓨터에 무언가를 이식하는 것을 방어하기 위해 취할 수 있는 조치와 대체로 동일합니다. 체계."
Vault 7 문서는 CIA가 이미 조사에 관심을 갖고 있는 개인이 아닌 이상 당황하라는 메시지가 아닙니다. CIA가 TV를 통해 대화를 들을 수 있다는 사실이 두렵다면 아마도 그렇지 않을 것입니다. 강탈과 협박으로 생계를 유지하는 직업 범죄자들도 같은 정보를 얻을 수 있다는 말을 듣도록 도와주세요. 도구.
다행히도 동일한 방어가 양쪽 모두에 대해 똑같이 효과적입니다. 온라인 보안 문제가 헤드라인을 장식할 때 시사점은 대개 동일합니다. 경계하고 준비하면 대부분 괜찮을 것입니다.
편집자의 추천
- 해커들이 귀하의 장치를 감염시키기 위해 교묘하고 새로운 수법을 사용하고 있습니다.
