WikiLeaks’ Vault 7 Papers visar att spionkonst och kriminell hacking använder liknande knep

vault 7 är en inblick i en värld av cyberspionage nytt utbildningspartnerskap med dakota state university 01 lg
NSA
Tidigare denna månad släppte WikiLeaks Vault 7-tidningarna, en avslöjande inblick i de verktyg och tekniker som används av CIA. Deras frigivning väckte uppståndelse bland säkerhetsgemenskapen, men om du inte arbetar på fältet kanske deras relevans inte är direkt uppenbar.

Framför allt borde Vault 7 inte sätta dig i panik om CIA - inte om du har varit uppmärksam i alla fall. De mest uppmärksammade teknikerna som beskrivs i tidningarna är inte något nytt. Faktum är att de har demonstrerats offentligt flera gånger om. Avslöjandet här är inte det faktum att CIA och NSA spionerar på både amerikanska och utländska medborgare, utan istället det otroliga insikt de – och förmodligen andra spionorganisationer över hela världen – har i att spräcka skydd som de flesta anser säkra.

En historia av övervakning

"Jag skulle säga att 100 procent av det här är saker som har varit kända för säkerhetsgemenskapen ett tag", sa Ryan Kalember, senior vice president för cybersäkerhetsstrategi på säkerhetsföretaget ProofPoint, med hänvisning till Vault 7 dokument. "Samsung Smart TV-hacket demonstrerades på säkerhetskonferenser för flera år sedan, fordonshacken demonstrerades på BlackHat av en hel del olika individer på olika fordon."

"De flesta av de saker som har kommit ut är små variationer på kända tekniker," instämde James Maude, senior säkerhetsingenjör på Avecto. "Det finns några riktade lösningar för antivirusleverantörer som man inte tidigare känt till - även om liknande utnyttjar har hittats tidigare - och det fanns ett par nyare tekniker för att kringgå kontroll av användarkonton Windows."

Cancillería del Ecuador/Flickr
Cancillería del Ecuador/Flickr

Du behöver inte vara en säkerhetsproffs för att ha hört talas om teknikerna som beskrivs i Vault 7-tidningarna. Du kanske blir förvånad över att CIA använder dessa tekniker, men du kanske inte borde vara det, med tanke på att organisationen skapades i syfte att samla in underrättelser.

I förordet till boken Spycraft: The Secret History of CIA: s Spytechs from Communism to Al-Qaida, tidigare chef för byråns Office of Technical Service, Robert Wallace, beskriver grupperna som utgjorde organisationen när han gick med i dess led 1995. En var tydligen ansvarig för designen och distributionen av "ljudbuggar, telefonavlyssningar och visuell övervakning system.” En annan sägs ha "tillverkat spårningsanordningar och sensorer" och "analyserat utländsk spionutrustning."

CIA är en organisation som skapades för övervakning och spionage. Vault 7-papperen är inte avslöjande när det gäller vad CIA gör – de är avslöjande när det gäller hur byrån gör det. Sättet som organisationen implementerar teknik förändras med tiden, och Vault 7 låter oss följa dess framsteg.

Spionage utvecklas

Datorer har revolutionerat de flesta branscher under de senaste decennierna, och det har i sin tur förändrat hur spionorganisationer samlar in data från dessa branscher. För 30 år sedan tog känslig information vanligtvis formen av fysiska dokument, eller talade konversationer, så spycraft fokuserade på att extrahera dokument från en säker plats, eller att lyssna på konversationer i ett rum som troddes vara privat. Idag lagras de flesta data digitalt och kan hämtas från var som helst internet är tillgängligt. Spioner utnyttjar det.

Gränserna har suddats ut mellan cyberbrottslighet och spionkonst

Enligt Kalember är det "absolut att förvänta sig" att CIA skulle följa med tiden. "Om informationen som du letar efter finns i någons e-postkonto, kommer naturligtvis din taktik att gå till att spjutfiska dem," förklarade han.

Taktik som nätfiske kan tyckas underlåten, i reserv för kriminella, men de används av spioner eftersom de är effektiva. "Det finns bara så många sätt att du kan få något att köra på ett system," förklarade Maude. Faktum är att om CIA skulle debutera en aldrig tidigare skådad och mycket effektiv metod för att snoka, är det nästan säkert att kriminella enheter skulle kunna omvända den för sitt eget bruk.

"Vi befinner oss i en miljö där, särskilt med avslöjandena från Yahoo-attacken, gränserna har suddats ut mellan cyberbrottslingar och spionkonst", säger Kalember. "Det finns ett ekosystem av verktyg som har en stor överlappning."

Underrättelsetjänstemän och cyberbrottslingar använder samma verktyg för mycket liknande syften, även om deras mål och slutmål kan vara mycket olika. Det praktiska med övervakningen förändras inte beroende på individens moraliska eller etiska anpassning, så det borde vara en liten chock när det visar sig att CIA är intresserad av en Samsung-TV: s förmåga att lyssna på samtal. Faktum är att bedrifter som de som finns i Samsung TV-apparater är av mer intresse för spioner än för brottslingar. Det är inte ett utnyttjande som erbjuder omedelbar ekonomisk vinst, men det ger ett utmärkt sätt att lyssna på privata konversationer.

Flygfoto över CIA: s högkvarter

"När vi tittar på CIA-läckorna, när vi tittar på cyberkriminella forum och skadlig programvara som jag har tittat på, Skillnaden mellan en cyberkriminell och en underrättelseanalytiker är bokstavligen vem som betalar deras lön," sa Maude. "De har alla ett väldigt lika tankesätt, de försöker alla göra samma sak."

Denna smältdegel tillåter agenter att dölja sina handlingar och låter deras arbete smälta samman med liknande taktik som används av kriminella och andra underrättelsetjänster. Attribution, eller brist på sådan, innebär att återanvändning av verktyg som utvecklats av andra inte bara sparar tid – det är ett säkrare alternativ överallt.

Författare okänd

"Det är välkänt inom säkerhetskretsar att tillskrivning ser bra ut i rapporter och presskonferenser, men i verkligheten finns det väldigt lite värde i att tillskriva hot", säger Maude. "Värdet ligger i att försvara sig mot dem."

NSA har breda möjligheter att samla in massor av olika typer av kommunikation som i stort sett är okrypterad

Den mesta övervakningen är avsedd att vara i smyg, men även när ett försök upptäcks kan det vara mycket svårt att exakt spåra det till dess källa. CIA drar fördel av detta faktum genom att använda verktyg och tekniker som utvecklats av andra. Genom att implementera någon annans arbete - eller ännu bättre, ett lapptäcke av andras arbete - kan byrån ställa frågor om vem som är ansvarig för dess spionage.

"Tillskrivning är något som har varit ett kontroversiellt ämne i den privata sektorn," sa Kalember. När säkerhetsforskare undersöker attacker kan de titta på de verktyg som används, och ofta vart information skickats, för att få en uppfattning om vem som var ansvarig.

Genom att fördjupa sig mer i skadlig programvara är det möjligt att få till och med stor insikt i dess författare. Språket som används för textsträngar kan ge en ledtråd. Tiden på dagen som koden kompilerades kan antyda deras geografiska plats. Forskare kan till och med titta på felsökningsvägar för att ta reda på vilket språkpaket utvecklarens operativsystem använde.

Tyvärr är dessa ledtrådar lätta att förfalska. "Alla dessa saker är välkända tekniker som forskare kan använda för att försöka göra tillskrivning," förklarade Kalember. "Vi har nyligen sett både cyberkriminella grupper och nationalstatsgrupper avsiktligt bråka med dessa tillskrivningsmetoder för att skapa den klassiska "falska flaggtypen" av scenario."

Han gav ett exempel på praxis relaterad till skadlig programvara känd som Lazarus, som tros ha sitt ursprung i Nordkorea. Ryska språksträngar hittades i koden, men de var inte meningsfulla för rysktalande. Det är möjligt att detta var ett halvhjärtat försök till missvisning, eller kanske till och med en dubbelbluff. Vault 7-tidningarna visade att CIA aktivt engagerar sig i denna metod för att lura dem som försöker spåra skadlig programvara tillbaka till den.

"Det var en stor del av Vault 7-läckorna som fokuserade på det här programmet som heter UMBRAGE, där CIA påpekade det breda ekosystemet av verktyg som var tillgängliga för användning," sa Kalember. "De verkade mest försöka spara tid, vilket många människor som är involverade i den här linjen gör, genom att återanvända saker som redan fanns där."

UMBRAGE visar hur CIA övervakar trender för att upprätthålla dess effektivitet när det gäller spionage och övervakning. Programmet gör att byrån kan arbeta snabbare och med mindre chans att bli upptäckt - en stor välsignelse för dess ansträngningar. Vault 7-tidningarna visar dock också hur organisationen har tvingats ändra sin taktik för att lugna de som är kritiska till dess inställning till integritet.

Från fiskenät till fiskespö

2013 läckte Edward Snowden en kavalkad av dokument som avslöjade olika globala övervakningsinitiativ som drivs av NSA och andra underrättelsetjänster. Vault 7-tidningarna visar hur Snowden-läckorna ändrade bästa praxis för spionage.

"Om du tittar på Snowden-läckorna har NSA breda möjligheter att samla in massor av olika typer av kommunikation som i stort sett var okrypterad", sa Kalember. "Det innebar att utan att vara kända för någon så fanns det en enorm mängd intressant information som de skulle ha haft tillgång till, och de skulle inte ha behövt ta några risker för att få tillgång till någon individs information som råkade sopas upp i den där."

Enkelt uttryckt använde NSA en utbredd brist på kryptering för att kasta ett brett nät och samla in data. Denna lågriskstrategi skulle löna sig om och när en person av intresses kommunikation avlyssnas, tillsammans med massor av värdelöst prat.

"Sedan Snowden-läckorna har vi verkligen pratat om behovet av end-to-end-kryptering, och detta har rullats ute i stor skala, från chattappar till webbplatser, SSL, alla dessa olika saker som finns där ute, sa Maude. Detta gör en omfattande datainsamling mycket mindre relevant.

"Vad vi ser är att underrättelsetjänster arbetar kring end-to-end-kryptering genom att gå direkt till slutpunkten," tillade han. "För att det uppenbarligen är där användaren skriver, krypterar och dekrypterar kommunikationen, så det är där de kan komma åt dem okrypterat."

Snowden-läckorna ledde till ett branschövergripande initiativ för att standardisera end-to-end-kryptering. Nu kräver övervakningen ett mer precist tillvägagångssätt, där fokus ligger på specifika mål. Det innebär åtkomst till slutpunkten, enheten där användaren matar in eller lagrar sin kommunikation.

Ingenting digitalt är någonsin 100 procent säkert

"CIA: s Vault 7-läckor beskriver, i motsats till Snowden-läckorna, nästan helt riktade attacker som måste inledas mot specifika individer eller deras enheter," sa Kalember. "De innebär förmodligen, i de flesta fall, att de tar något större risker för att bli fångad och identifierad, och de är mycket svårare att göra rent hemligt villkor, eftersom det inte görs uppströms från där all kommunikation sker, det görs på individnivå och enhet."

Detta kan spåras direkt till Snowden-läckorna, via dess status som ett public service-meddelande angående okrypterad kommunikation. "Det stora som förändrades, det som utlöste hela det här skiftet, var uppkomsten av end-to-end-kryptering," tillade Kalember.

Vad betyder detta för den genomsnittliga personen? Det är mindre troligt att din kommunikation avlyssnas nu än för några år sedan.

CIA och jag

I slutändan är det slöseri med energi att oroa sig för att CIA spionerar på dig som individ. Om byrån har en anledning att snoka på dig har de verktygen för att göra det. Det är mycket svårt att undvika det faktum, om du inte planerar att gå helt utanför nätet. Vilket för de flesta inte är praktiskt.

CIA
CIA

På ett sätt, om du är orolig för säkerheten för dina data, bör informationen som ingår i läckan vara betryggande. Med internationella spionagebyråer och ledande cyberbrottslingar som använder samma ekosystem av verktyg, finns det färre former av attacker att bry sig om. Att utöva goda säkerhetsvanor bör skydda dig mot de största hoten, och några av de försiktighetsåtgärder du kan vidta är enklare än du kanske förväntar dig.

En nyligen publicerad rapport om Windows-sårbarheter publicerad av Avecto fann att 94 procent av sårbarheterna kan vara det lindras genom att ta bort administratörsrättigheter, en statistik som kan hjälpa företagsanvändare att behålla sina system säkra. Samtidigt kan personliga användare minska sina förändringar av att bli kränkta helt enkelt genom att hålla utkik efter nätfisketekniker.

"Grejen med säkerhet är att ingenting digitalt någonsin är 100 procent säkert, men du vet att det finns åtgärder du kan vidta som gör din säkerhet mycket bättre", sa Maude. "Vad CIA-läckan visar oss är att de åtgärder du kan vidta för att försvara dig mot cyberkriminella med hjälp av vanliga ransomware-verktyg är i stort sett samma åtgärder som du kan vidta för att försvara dig mot att CIA implanterar något på din systemet."

Vault 7-papperen är inte en uppmaning till panik, såvida du inte är en individ som CIA redan kan vara intresserad av att undersöka. Om att veta att CIA kan lyssna på dina konversationer via din TV skrämmer dig, så gör det förmodligen inte det hjälpa till att höra att yrkesbrottslingar som försörjer sig genom utpressning och utpressning har tillgång till detsamma verktyg.

Som tur är fungerar samma försvar lika bra mot båda parter. När frågor om säkerhet på nätet hamnar i rubrikerna är takeaway vanligtvis densamma; var vaksam och var förberedd, så kommer du förmodligen att klara dig.

Redaktörens rekommendationer

  • Hackare använder ett listigt nytt knep för att infektera dina enheter