Fremfor alt annet bør Vault 7 ikke sette deg i panikk angående CIA - ikke hvis du har vært oppmerksom, uansett. De mest oppsiktsvekkende teknikkene beskrevet i avisene er ikke noe nytt. Faktisk har de blitt demonstrert offentlig flere ganger. Avsløringen her er ikke det faktum at CIA og NSA spionerer på både amerikanske og utenlandske statsborgere, men i stedet den utrolige innsikt de – og antagelig andre spionorganisasjoner over hele verden – har i å bryte beskyttelse som folk flest vurderer sikre.
En historie om overvåking
"Jeg vil si at 100 prosent av dette er ting som har vært kjent for sikkerhetsmiljøet en stund," sa Ryan Kalember, senior visepresident for cybersikkerhetsstrategi hos sikkerhetsfirmaet ProofPoint, med henvisning til Vault 7 dokumenter. "Samsung Smart TV-hack ble demonstrert på sikkerhetskonferanser for flere år siden, kjøretøyhakkene ble demonstrert på BlackHat av ganske mange forskjellige individer på forskjellige kjøretøy."
"De fleste av tingene som har kommet ut er små variasjoner av kjente teknikker," sa James Maude, senior sikkerhetsingeniør hos Avecto. "Det er noen få målrettede løsninger for antivirusleverandører som ikke var kjent tidligere - selv om de er like utnyttelser har blitt funnet tidligere - og det var et par nyere teknikker for å omgå brukerkontokontroll Windows."
Du trenger ikke å være en sikkerhetsekspert for å ha hørt om teknikkene som er skissert i Vault 7-papirene. Du kan bli overrasket over at CIA bruker disse teknikkene, men du burde kanskje ikke være det, gitt at organisasjonen ble opprettet med det formål å samle etterretning.
I forordet til boka Spycraft: The Secret History of CIAs Spytechs from Communism to Al-Qaida, tidligere direktør for byråets Office of Technical Service, Robert Wallace, beskriver gruppene som utgjorde organisasjonen da han begynte i dens rekker i 1995. En var tilsynelatende ansvarlig for design og distribusjon av "lydfeil, telefonavtrykk og visuell overvåking systemer." En annen skal ha «produsert sporingsenheter og sensorer» og «analysert utenlandsk spionasjeutstyr».
CIA er en organisasjon som ble opprettet for overvåking og spionasje. Vault 7-papirene er ikke avslørende når det gjelder hva CIA gjør - de er avslørende når det gjelder hvordan byrået gjør det. Måten organisasjonen implementerer teknologi på, endrer seg med tiden, og Vault 7 lar oss spore fremgangen.
Spionasjen utvikler seg
Datamaskiner har revolusjonert de fleste bransjer i løpet av de siste tiårene, og det har igjen endret hvordan spionorganisasjoner samler inn data fra disse bransjene. For 30 år siden tok sensitiv informasjon vanligvis form av fysiske dokumenter, eller muntlige samtaler, altså spycraft fokuserte på å trekke ut dokumenter fra et sikkert sted, eller å lytte til samtaler i rom som antas å være privat. I dag er de fleste data lagret digitalt, og kan hentes fra hvor som helst internett er tilgjengelig. Spioner utnytter det.
Linjene har visket ut mellom nettkriminalitet og spionarbeid
Ifølge Kalember er det "absolutt å forvente" at CIA ville følge med tiden. "Hvis informasjonen du leter etter finnes i noens e-postkonto, vil selvfølgelig taktikken din gå til å spear-phishing dem," forklarte han.
Taktikk som phishing kan virke underhendt, i reservatet til kriminelle, men de brukes av spioner fordi de er effektive. "Det er bare så mange måter du kan få noe til å kjøre på et system," forklarte Maude. Faktisk, hvis CIA skulle debutere en enestående og svært effektiv metode for snoking, er det nesten sikkert at kriminelle enheter ville være i stand til å reversere den for eget bruk.
"Vi er i et miljø der, spesielt med avsløringene fra Yahoo-angrepet, grensene har visket ut mellom nettkriminelle håndverk og spioncraft," sa Kalember. "Det er ett økosystem av verktøy som har stor overlapping."
Etterretningsoperatører og nettkriminelle bruker de samme verktøyene til svært like formål, selv om deres mål og sluttmål kan være svært forskjellige. Det praktiske ved overvåking endres ikke avhengig av individets moralske eller etiske tilpasning, så det bør være lite sjokk når det kommer frem at CIA er interessert i en Samsung TVs kapasitet til å lytte til samtaler. Faktisk er slike bedrifter som finnes i Samsung TV-er av mer interesse for spioner enn for kriminelle. Det er ikke en utnyttelse som gir umiddelbar økonomisk gevinst, men det gir en utmerket måte å lytte til private samtaler på.
"Når vi ser på CIA-lekkasjene, når vi ser på nettkriminelle fora og skadelig programvare jeg har sett på, Forskjellen mellom en nettkriminell og en etterretningsanalytiker er bokstavelig talt hvem som betaler lønnsslippen deres," sa Maude. "De har alle en veldig lik tankegang, de prøver alle å gjøre det samme."
Denne smeltedigel tillater operatører å skjule handlingene sine, og la arbeidet deres smelte sammen med lignende taktikker som brukes av kriminelle og andre etterretningsbyråer. Attribusjon, eller mangel på sådan, betyr at gjenbruk av verktøy utviklet av andre ikke bare sparer tid – det er et sikrere alternativ hele veien.
Forfatter ukjent
"Det er velkjent innenfor sikkerhetskretser at attribusjon ser bra ut i rapporter og pressekonferanser, men i virkeligheten er det svært liten verdi i å tilskrive trusler," sa Maude. "Verdien ligger i å forsvare seg mot dem."
NSA har brede muligheter til å samle opp mange forskjellige typer kommunikasjon som stort sett er ukryptert
Det meste av overvåking er ment å være skjult, men selv når et forsøk blir oppdaget, kan det være svært vanskelig å spore det nøyaktig til kilden. CIA utnytter dette faktum ved å bruke verktøy og teknikker utviklet av andre. Ved å implementere andres arbeid - eller enda bedre, et lappeteppe av andres arbeid - kan byrået stille spørsmål om hvem som er ansvarlig for spionasjen.
"Attribusjon er noe som har vært et kontroversielt emne i privat sektor," sa Kalember. Når sikkerhetsforskere undersøker angrep, kan de se på verktøyene som brukes, og ofte hvor informasjon ble sendt, for å få en idé om hvem som var ansvarlig.
Ved å dykke videre inn i skadevare, er det mulig å få enda god innsikt i forfatterne. Språket som brukes for tekststrenger kan gi en pekepinn. Tidspunktet på dagen koden ble kompilert kan antyde deres geografiske plassering. Forskere kan til og med se på feilsøkingsbaner for å finne ut hvilken språkpakke utviklerens operativsystem brukte.
Dessverre er disse ledetrådene lette å forfalske. "Alle disse tingene er velkjente teknikker som forskere kan bruke for å prøve å gjøre attribusjon," forklarte Kalember. "Vi har nylig sett både cyberkriminelle grupper og nasjonalstatsgrupper med vilje rote med disse metodene for attribusjon for å lage den klassiske falske "flaggtypen" av scenario."
Han ga et eksempel på praksisen knyttet til skadelig programvare kjent som Lazarus, som antas å ha sin opprinnelse i Nord-Korea. Russiske språkstrenger ble funnet i koden, men de ga ingen mening for russisktalende. Det er mulig at dette var et halvhjertet forsøk på feilføring, eller kanskje til og med en dobbel bløff. Vault 7-papirene demonstrerte at CIA aktivt engasjerer seg i denne metodikken for å lure de som prøver å spore skadelig programvare tilbake til den.
"Det var en stor del av Vault 7-lekkasjene som fokuserte på dette programmet kalt UMBRAGE, der CIA pekte på det brede økosystemet av verktøy som var tilgjengelige for bruk," sa Kalember. "De så ut til å for det meste prøve å spare tid, noe mange mennesker som er involvert i denne bransjen gjør, ved å gjenbruke ting som allerede var der."
UMBRAGE demonstrerer hvordan CIA overvåker trender for å opprettholde effektiviteten når det gjelder spionasje og overvåking. Programmet lar byrået operere raskere, og med mindre sjanse for å bli oppdaget - en stor velsignelse for bestrebelser. Vault 7-papirene viser imidlertid også hvordan organisasjonen har blitt tvunget til å endre taktikken for å berolige de som er kritiske til dens holdning til personvern.
Fra fiskegarn til fiskestang
I 2013 lekket Edward Snowden en kavalkade av dokumenter som avduket ulike globale overvåkingsinitiativer som drives av NSA og andre etterretningsbyråer. Vault 7-avisene viser hvordan Snowden-lekkasjene endret beste praksis for spionasje.
"Hvis du ser på Snowden-lekkasjene, har NSA bred kapasitet til å samle opp mange forskjellige typer kommunikasjon som stort sett var ukryptert," sa Kalember. "Det betydde at uten egentlig å være kjent for noen, var det en enorm mengde interessant informasjon de ville ha hatt tilgang til, og de ville ikke ha behøvd å ta noen risiko for å få tilgang til en persons informasjon som tilfeldigvis ble feid inn i at."
Enkelt sagt, NSA brukte en utbredt mangel på kryptering for å kaste et bredt nett og samle inn data. Denne lavrisikostrategien ville lønne seg hvis og når en person av interesses kommunikasjon ble avlyttet, sammen med massevis av ubrukelig skravling.
"Siden Snowden-lekkasjene har vi virkelig snakket om behovet for ende-til-ende-kryptering, og dette har blitt rullet ute i massiv skala, fra chat-apper til nettsteder, SSL, alle disse forskjellige tingene som er der ute,» sa Maude. Dette gjør omfattende datainnsamling langt mindre relevant.
"Det vi ser er at etterretningsbyråer jobber rundt ende-til-ende-kryptering ved å gå rett til endepunktet," la han til. "Fordi det åpenbart er der brukeren skriver, krypterer og dekrypterer kommunikasjonen, så det er der de kan få tilgang til dem ukryptert."
Snowden-lekkasjene ledet et bransjedekkende initiativ for å standardisere ende-til-ende-kryptering. Nå krever overvåking en mer presis tilnærming, hvor fokus er på spesifikke mål. Det betyr å få tilgang til endepunktet, enheten der brukeren legger inn eller lagrer kommunikasjonen.
Ingenting digitalt er noen gang 100 prosent sikkert
"CIAs Vault 7-lekkasjer, i motsetning til Snowden-lekkasjene, beskriver nesten utelukkende målrettede angrep som må settes i gang mot spesifikke individer eller deres enheter," sa Kalember. "De innebærer sannsynligvis, i de fleste tilfeller, å ta litt større risiko for å bli fanget og identifisert, og de er mye vanskeligere å gjøre rent hemmelig vilkår, fordi det ikke gjøres oppstrøms fra der all kommunikasjon skjer, det blir gjort på individnivå og enhet."
Dette kan spores direkte til Snowden-lekkasjene, via statusen som en offentlig kunngjøring angående ukryptert kommunikasjon. "Det store som endret seg, den slags utløste hele skiftet, var fremveksten av ende-til-ende-kryptering," la Kalember til.
Hva betyr dette for den gjennomsnittlige personen? Det er mindre sannsynlig at kommunikasjonen din blir avlyttet nå enn for noen år tilbake.
CIA og jeg
På slutten av dagen er det bortkastet energi å bekymre deg for at CIA spionerer på deg som individ. Hvis byrået har en grunn til å snoke på deg, har de verktøyene til det. Det er veldig vanskelig å unngå det faktum, med mindre du planlegger å gå helt utenfor nettet. Noe som for de fleste ikke er praktisk.
På en måte, hvis du er bekymret for sikkerheten til dataene dine, bør informasjonen som er inkludert i lekkasjen være betryggende. Med internasjonale spionasjebyråer og topp cyberkriminelle som bruker det samme økosystemet av verktøy, er det færre former for angrep å være bekymret for. Å praktisere gode sikkerhetsvaner bør beskytte deg mot de største truslene, og noen av forholdsreglene du kan ta er enklere enn du kanskje forventer.
En fersk rapport om Windows-sårbarheter publisert av Avecto fant at 94 prosent av sårbarhetene kan være det reduseres ved å fjerne administratorrettigheter, en statistikk som kan hjelpe bedriftsbrukere å beholde systemparken sikre. I mellomtiden kan personlige brukere redusere endringene av å bli brutt ganske enkelt ved å se etter phishing-teknikker.
"Tingen med sikkerhet er at ingenting digitalt noensinne er 100 prosent sikkert, men du vet at det er tiltak du kan ta som gjør sikkerheten din mye bedre," sa Maude. «Det CIA-lekkasjen viser oss er at tiltakene du kan ta for å forsvare deg mot nettkriminelle ved å bruke vanlige løsepengeverktøy er stort sett de samme tiltakene du kan ta for å forsvare deg mot at CIA implanterer noe på din system."
Vault 7-papirene er ikke en oppfordring til panikk, med mindre du er en person som CIA allerede kan være interessert i å etterforske. Hvis det å vite at CIA kan lytte til samtalene dine gjennom TV-en din skremmer deg, så gjør det sannsynligvis ikke det hjelp til å høre at karrierekriminelle som lever av utpressing og utpressing har tilgang til det samme verktøy.
Heldigvis fungerer de samme forsvarene like godt mot begge parter. Når spørsmål om nettsikkerhet treffer overskriftene, er takeawayen vanligvis den samme; Vær på vakt og vær forberedt, så går det mest sannsynlig.
Redaktørenes anbefalinger
- Hackere bruker et utspekulert nytt triks for å infisere enhetene dine
