Bovenal zou Vault 7 je niet in paniek moeten brengen over de CIA – tenminste niet als je hebt opgelet. De meest opvallende technieken die in de kranten worden beschreven, zijn niets nieuws. Sterker nog, ze zijn meerdere keren publiekelijk gedemonstreerd. De onthulling hier is niet het feit dat de CIA en de NSA zowel Amerikaanse als buitenlandse burgers bespioneren, maar het ongelooflijke inzicht dat zij – en vermoedelijk andere spionageorganisaties wereldwijd – hebben in het kraken van beveiligingen die de meeste mensen overwegen zeker.
Een geschiedenis van surveillance
“Ik zou zeggen dat 100 procent hiervan zaken zijn die al een tijdje bekend zijn bij de beveiligingsgemeenschap”, aldus Ryan Kalember, de senior vice-president van cybersecuritystrategie bij beveiligingsbedrijf ProofPoint, in verwijzing naar de Vault 7 documenten. “De Samsung Smart TV-hack werd enkele jaren geleden gedemonstreerd op beveiligingsconferenties, de voertuighacks werden bij BlackHat gedemonstreerd door een flink aantal verschillende personen in verschillende voertuigen.”
“De meeste dingen die naar voren zijn gekomen zijn kleine variaties op bekende technieken”, beaamt James Maude, senior beveiligingsingenieur bij Avecto. “Er zijn een paar gerichte oplossingen voor antivirusleveranciers die nog niet eerder bekend waren, hoewel ze vergelijkbaar zijn Er zijn in het verleden exploits gevonden - en er waren een paar nieuwere technieken om Gebruikersaccountbeheer te omzeilen Ramen."
U hoeft geen beveiligingsprofessional te zijn om gehoord te hebben van de technieken die in de Vault 7-papers worden beschreven. Het zal je misschien verbazen dat de CIA deze technieken gebruikt, maar dat zou je misschien ook niet moeten doen, aangezien de organisatie is opgericht met het doel inlichtingen te verzamelen.
In het voorwoord van het boek Spycraft: de geheime geschiedenis van de Spytechs van de CIA, van het communisme tot Al-Qaeda, voormalig directeur van de Office of Technical Service van het bureau, Robert Wallace, beschrijft de groepen waaruit de organisatie bestond toen hij in 1995 bij de organisatie kwam. Eén ervan was blijkbaar verantwoordelijk voor het ontwerp en de inzet van ‘audio-bugs, telefoontaps en visuele surveillance systemen.” Een ander zou ‘volgapparatuur en sensoren hebben geproduceerd’ en ‘buitenlandse spionageapparatuur hebben geanalyseerd’.
De CIA is een organisatie die is opgericht voor surveillance en spionage. De Vault 7-papieren zijn niet onthullend in termen van wat de CIA doet – ze zijn onthullend in termen van hoe de dienst het doet. De manier waarop de organisatie technologie implementeert, verandert met de tijd, en met Vault 7 kunnen we de voortgang ervan volgen.
Spionage evolueert
Computers hebben de afgelopen decennia een revolutie teweeggebracht in de meeste bedrijfstakken, en dat heeft op zijn beurt de manier veranderd waarop spionageorganisaties gegevens uit die bedrijfstakken verzamelen. Dertig jaar geleden nam gevoelige informatie doorgaans de vorm aan van fysieke documenten, of gesproken gesprekken Spycraft richtte zich op het extraheren van documenten van een veilige locatie, of het luisteren naar gesprekken in een vermoedelijke kamer privaat. Tegenwoordig worden de meeste gegevens digitaal opgeslagen en kunnen ze overal worden opgehaald waar internet beschikbaar is. Spionnen maken daar misbruik van.
De grenzen tussen cybercriminaliteit en spionage zijn vervaagd
Volgens Kalember is het “absoluut te verwachten” dat de CIA met de tijd mee zou gaan. “Als de informatie die je zoekt in iemands e-mailaccount staat, zal je tactiek zich natuurlijk richten op spearphishing,” legde hij uit.
Tactieken zoals phishing lijken misschien achterbaks, in het achterhoofd van criminelen, maar ze worden door spionnen gebruikt omdat ze effectief zijn. “Er zijn maar een beperkt aantal manieren waarop je iets op een systeem kunt laten draaien”, legt Maude uit. Als de CIA een ongekende en zeer effectieve manier van rondsnuffelen zou introduceren, is het vrijwel zeker dat criminele entiteiten in staat zouden zijn deze voor eigen gebruik te reverse-engineeren.
“We bevinden ons in een omgeving waarin, vooral door de onthullingen over de Yahoo-aanval, de grens tussen cybercrimineel vakmanschap en spionage vervaagt”, zegt Kalember. “Er is één ecosysteem van tools met een grote overlap.”
Inlichtingenagenten en cybercriminelen gebruiken dezelfde hulpmiddelen voor zeer vergelijkbare doeleinden, zelfs als hun doelwitten en einddoelen heel verschillend kunnen zijn. De praktische aspecten van surveillance veranderen niet afhankelijk van de morele of ethische afstemming van het individu, dus daar zou geen verrassing moeten zijn als blijkt dat de CIA geïnteresseerd is in het luistervermogen van een Samsung TV gesprekken. In feite zijn exploits zoals die in Samsung TV’s van groter belang voor spionnen dan voor criminelen. Het is geen exploit die direct financieel gewin oplevert, maar het biedt wel een uitstekende manier om privégesprekken af te luisteren.
“Als we kijken naar de CIA-lekken, als we kijken naar cybercriminele forums en de malware waar ik naar heb gekeken, Het verschil tussen een cybercrimineel en een inlichtingenanalist is letterlijk wie zijn salaris betaalt”, zegt hij Maud. "Ze hebben allemaal een vergelijkbare mentaliteit, ze proberen allemaal hetzelfde te doen."
Deze smeltkroes stelt agenten in staat hun daden te verhullen en hun werk te laten samensmelten met soortgelijke tactieken die worden toegepast door criminelen en andere inlichtingendiensten. Attributie, of het ontbreken daarvan, betekent dat het hergebruiken van tools die door anderen zijn ontwikkeld niet alleen tijd bespaart; het is in alle opzichten een veiligere optie.
Auteur onbekend
“Het is binnen veiligheidskringen algemeen bekend dat attributie er goed uitziet in rapporten en persconferenties, maar in werkelijkheid heeft het zeer weinig waarde om bedreigingen toe te schrijven”, aldus Maude. “De waarde ligt in het verdedigen tegen hen.”
De NSA beschikt over ruime mogelijkheden om veel verschillende soorten communicatie te verzamelen die over het algemeen niet-versleuteld zijn
De meeste surveillance is bedoeld om heimelijk te zijn, maar zelfs als een poging wordt ontdekt, kan het erg moeilijk zijn om deze nauwkeurig tot aan de bron te herleiden. De CIA profiteert van dit feit door gebruik te maken van hulpmiddelen en technieken die door anderen zijn ontwikkeld. Door het werk van iemand anders te implementeren – of beter nog, een lappendeken van het werk van anderen – kan de dienst vragen oproepen over wie verantwoordelijk is voor zijn spionage.
“Attributie is iets dat een controversieel onderwerp is in de particuliere sector”, zegt Kalember. Wanneer beveiligingsonderzoekers aanvallen onderzoeken, kunnen ze kijken naar de tools die worden gebruikt, en vaak naar waar informatie is verzonden, om een idee te krijgen van wie verantwoordelijk was.
Als we dieper ingaan op de malware, is het mogelijk om zelfs een goed inzicht te krijgen in de auteurs ervan. De taal die voor tekstreeksen wordt gebruikt, kan een aanwijzing zijn. Het tijdstip waarop de code is samengesteld, kan een aanwijzing zijn voor hun geografische locatie. Onderzoekers kunnen zelfs naar debug-paden kijken om erachter te komen welk taalpakket het besturingssysteem van de ontwikkelaar gebruikte.
Helaas zijn deze aanwijzingen gemakkelijk te vervalsen. “Al deze dingen zijn bekende technieken die onderzoekers kunnen gebruiken om aan attributie te doen”, legt Kalember uit. “We hebben onlangs gezien dat zowel cybercriminele groepen als natiestaten opzettelijk met deze attributiemethoden knoeien om het klassieke valse ‘vlag-type’ scenario te creëren.”
Hij gaf een voorbeeld van de praktijk met betrekking tot de malware die bekend staat als Lazarus en waarvan wordt aangenomen dat deze afkomstig is uit Noord-Korea. Er zijn strings in de Russische taal gevonden in de code, maar deze waren niet logisch voor Russischsprekenden. Het is mogelijk dat dit een halfslachtige poging tot misleiding was, of misschien zelfs een dubbele bluf. Uit de Vault 7-papieren blijkt dat de CIA zich actief bezighoudt met deze methodologie om degenen die malware proberen terug te traceren, te misleiden.
“Een groot deel van de Vault 7-lekken was gericht op dit programma genaamd UMBRAGE, waarbij de CIA wees op het brede ecosysteem van tools die beschikbaar waren voor gebruik”, aldus Kalember. “Ze leken vooral te proberen zichzelf tijd te besparen, wat veel mensen die bij dit soort werk betrokken zijn, doen door dingen te hergebruiken die er al waren.”
UMBRAGE laat zien hoe de CIA trends in de gaten houdt om haar effectiviteit op het gebied van spionage en surveillance te behouden. Dankzij het programma kan het bureau sneller opereren, en met minder kans om ontdekt te worden – een enorme zegen voor zijn inspanningen. De Vault 7-papieren laten echter ook zien hoe de organisatie gedwongen is haar tactiek te veranderen om degenen die kritisch zijn over haar houding ten opzichte van privacy gerust te stellen.
Van visnet tot hengel
In 2013 lekte Edward Snowden een stortvloed aan documenten die verschillende mondiale surveillance-initiatieven onthulden die werden beheerd door de NSA en andere inlichtingendiensten. De Vault 7-papieren laten zien hoe de Snowden-lekken de beste praktijken voor spionage veranderden.
“Als je naar de Snowden-lekken kijkt, beschikt de NSA over brede mogelijkheden om veel verschillende soorten communicatie te verzamelen die – over het algemeen – niet-versleuteld waren”, aldus Kalember. “Dat betekende dat ze, zonder echt bij iemand bekend te zijn, een enorme hoeveelheid interessante informatie zouden hebben gehad toegang tot, en ze zouden geen enkel risico hoeven te nemen om toegang te krijgen tot de informatie van een individu die toevallig in de Dat."
Simpel gezegd maakte de NSA gebruik van een wijdverbreid gebrek aan encryptie om een breed netwerk uit te zenden en gegevens te verzamelen. Deze strategie met een laag risico zou vruchten afwerpen als en wanneer de communicatie van een persoon van belang zou worden onderschept, samen met massa's nutteloos geklets.
“Sinds de Snowden-lekken hebben we echt gesproken over de noodzaak van end-to-end-encryptie, en dit is uitgerold op grote schaal beschikbaar, van chat-apps tot websites, SSL en al deze verschillende dingen die er zijn”, aldus Maud. Dit maakt wijdverbreide gegevensverzameling veel minder relevant.
“Wat we zien is dat inlichtingendiensten end-to-end-encryptie omzeilen door rechtstreeks naar het eindpunt te gaan”, voegde hij eraan toe. “Omdat de gebruiker daar uiteraard de communicatie typt, codeert en decodeert, zodat hij daar ongecodeerde toegang toe heeft.”
De Snowden-lekken waren de aanzet voor een sectorbreed initiatief om end-to-end-encryptie te standaardiseren. Nu vereist surveillance een nauwkeurigere aanpak, waarbij de nadruk ligt op specifieke doelen. Dat betekent toegang tot het eindpunt, het apparaat waarop de gebruiker zijn communicatie invoert of opslaat.
Niets digitaals is ooit 100 procent veilig
“De Vault 7-lekken van de CIA beschrijven, in tegenstelling tot de Snowden-lekken, bijna volledig gerichte aanvallen die moeten worden gelanceerd tegen specifieke individuen of hun apparaten”, aldus Kalember. ‘Waarschijnlijk brengen ze in de meeste gevallen een iets groter risico met zich mee om gepakt en geïdentificeerd te worden, en ze zijn veel moeilijker uit te voeren in puur clandestiene omstandigheden. omdat het niet stroomopwaarts gebeurt, van waar alle communicatie plaatsvindt, maar op het niveau van het individu en de apparaat."
Dit kan rechtstreeks worden herleid tot de Snowden-lekken, via de status van een aankondiging van een openbare dienst met betrekking tot niet-gecodeerde communicatie. “Het grote ding dat veranderde, dat deze hele verschuiving versnelde, was de opkomst van end-to-end-encryptie”, voegde Kalember eraan toe.
Wat betekent dit voor de gemiddelde mens? Het is minder waarschijnlijk dat uw communicatie nu wordt onderschept dan een paar jaar geleden.
De CIA en ik
Uiteindelijk is het zonde van de energie om je zorgen te maken dat de CIA jou als individu bespioneert. Als het bureau een reden heeft om naar u te snuffelen, hebben zij de middelen om dat te doen. Het is heel moeilijk om dat feit te vermijden, tenzij je van plan bent om volledig van de grid af te gaan. Wat voor de meeste mensen niet praktisch is.
Als u zich zorgen maakt over de veiligheid van uw gegevens, zou de informatie in het lek in zekere zin geruststellend moeten zijn. Nu internationale spionagebureaus en top-cybercriminelen hetzelfde ecosysteem van tools gebruiken, zijn er minder vormen van aanvallen waar u zich zorgen over hoeft te maken. Het beoefenen van goede beveiligingsgewoonten zou u moeten beschermen tegen de grootste bedreigingen, en sommige voorzorgsmaatregelen die u kunt nemen zijn eenvoudiger dan u zou verwachten.
Uit een recent rapport over Windows-kwetsbaarheden gepubliceerd door Avecto blijkt dat 94 procent van de kwetsbaarheden kan worden Dit kan worden verzacht door het verwijderen van beheerdersrechten, een statistiek die zakelijke gebruikers zou kunnen helpen hun systeempark te behouden zeker. Ondertussen kunnen persoonlijke gebruikers de kans op inbreuken verkleinen door simpelweg op phishing-technieken te letten.
“Het probleem met beveiliging is dat niets digitaal ooit 100 procent veilig is, maar je weet dat er maatregelen zijn die je kunt nemen die je beveiliging veel beter maken”, zegt Maude. “Wat het CIA-lek ons laat zien, is dat de maatregelen die je kunt nemen om jezelf te verdedigen tegen cybercriminelen gemeengoed zijn ransomware-tools zijn in grote lijnen dezelfde maatregelen die u kunt nemen om u te verdedigen tegen de CIA die iets op uw computer implanteert systeem."
De Vault 7-papieren zijn geen oproep tot paniek, tenzij je een individu bent dat de CIA misschien al wil onderzoeken. Als je bang bent dat de CIA via je tv naar je gesprekken kan luisteren, dan is dat waarschijnlijk niet het geval helpen te horen dat beroepscriminelen die hun geld verdienen met afpersing en chantage daartoe toegang hebben hulpmiddelen.
Gelukkig werken dezelfde verdedigingen net zo goed tegen beide partijen. Wanneer kwesties op het gebied van onlineveiligheid de krantenkoppen halen, is de conclusie meestal hetzelfde; wees waakzaam en voorbereid, dan komt alles waarschijnlijk wel goed.
Aanbevelingen van de redactie
- Hackers gebruiken een slinkse nieuwe truc om uw apparaten te infecteren
