沒有絕對的安全!CIA 承認防範不足遭遇史上最大規模資料外洩

作者 | 發布日期 2020 年 06 月 23 日 8:00 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


3 個月前,360 公布一份關於 CIA 對中國進行長達11 年的網路攻擊和滲透的報告,反常的是這一次 CIA 在面對美國媒體的採訪時選擇沉默。

美國分析人士則為了化解 CIA 的尷尬,宣稱「只是舊事重提,無需大驚小怪」。

而這件「舊事」還要從 2017 維基解密公布的一份文件說起,文件稱,被竊取的資料數量尚不清楚,但可能高達 34 兆字節(34 TB)──相當於 22 億頁文本。

大約一年後的 2017 年 3 月,這起竊盜案曝光。當時「維基解密」網站公布據稱是來自中情局外洩的最大一批文件,代號為「Vault 7」,詳細描述了中情局一些先進的網路武器。這起事件促使中情局維基解密特別工作小組對此審查,並於 2017 年 10 月將調查結果提交給時任局長麥克‧蓬佩奧和他的副手、現任局長吉娜‧哈斯佩爾。

據美國媒體報導,這對於 CIA 來說,可謂史上最嚴重的一次教訓。儘管這件事已經成為舊談,但其背後的風險卻依舊存在。

內部調查報告流出:CIA 承認自身安全防範不足

時隔 4 年, CIA 終於公布此事的調查結果。調查報告顯示,CIA 致力於開發用於竊取外國政府機密的駭客工具,卻疏於自身系統安全防護,導致大量資料外洩。

報告稱:

為了滿足不斷增長的和關鍵的任務需求,CCI 優先考慮製造網路武器,卻以自身系統的安全為代價,使得日常安全措施變得極為鬆懈。如果維基解密沒有公布這些情報,CIA 甚至可能意識不到文件遭竊,而這對國家安全構成不可接受的風險。

此外,該報告還表示:「我們大多數敏感的網路武器都沒有隔離,用戶共享系統管理員等級的密碼,沒有有效的可移動媒體控制項 ,並且歷史資料可以無限期地提供給用戶。」

而由於與日常代理商員工廣泛使用的系統分開,導致該專門部門及其所依賴的利基資訊技術系統採取的網路安全措施不嚴。

一言以蔽之,由於安全防禦措施鬆懈,CIA 也不得不承擔這個惡果。

為什麼說是史上最大的一次資料外洩?

根據維基解密當時爆料,CIA 的網路武器能夠將任何裝置變成監視裝置,包括電腦、智慧手機、遊戲機、路由器和智慧電視,甚至有能力入侵汽車、卡車和飛機。

維基解密將這些資料命名為「7 號軍火庫」(Vault 7)。這份資料庫中共有 8,761 份文件,包括 7,818 份網頁以及 943 個附件。在公布資料時,維基解密對文件內容進行了一些刪減處理,包括個人真實資訊(姓名、郵件地址等)、數以萬計的 IP 地址,以及真實的二進制文件。

當年維基解密表示,在進一步分析之後,會逐步公開這些被刪減的資訊;同時,維基解密稱這次公布的資料只是所有美國中情局機密的第一部分,後續還會有更多資料陸續公布。

時間區間為 2013 到 2016 年。這批文檔的組織方式類似於知識庫,使用 Atlassian 公司的團隊工作共享系統 Confluence 創建。資料之間有明顯的組織索引關係,可以使用模板對多個資料進行管理。很多資料有歷史改動的存檔,7,818 份資料中除去存檔共有 1,136 個最新資料。943 個附件基本上都可以在資料中找到對應的鏈接,屬於其內容的一部分。

具體而言,這些資料可以分為如下幾類:

  • CIA 部門資料:包括部門的介紹,部門相關的駭客專案,以及部門內部的資訊分享。
  • 駭客專案資料:包括一些不屬於特定部門的駭客工具、輔助專案等,其中有專案介紹,使用說明以及一些技術細節。
  • 作業系統資料:包括 iOS、MacOS、Android、Linux、虛擬機等系統的資訊和知識。
  • 工具和開發資料:包括 CIA 內部用到的 Git 等開發工具。
  • 員工資料:包括員工的個人資訊,以及員工自己創建的一些內容。
  • 知識庫:這裡面分門別類地存放了大量技術知識以及攻擊手段。其中比較重要的是關於 Windows 作業系統的技術細節和各種漏洞,以及對於常見的個人安全產品(Personal Security Products)的繞過手段,包括諾頓、卡巴斯基、賽門鐵克、微軟殺毒以及瑞星等安全產品。

總的來看,這些資料雖然有組織關係,但是做為工作平台而言,並沒有形成嚴格的規範,很多文件都是隨意放置的,甚至還包括 asdf 這樣的測試文件,更像是一個內部的知識共享平台。

除此之外,維基解密還聲稱,CIA 用於入侵個人隱私的網路武器幾乎全部外洩,這些工具有可能落入罪犯和外國間諜手中。

所以,什麼後果,你懂的,我們也就很好理解,為什麼這次洩密被認為是 CIA 歷史上祕密文件外洩最嚴重的一次。

與此同時,有一個問題還值得我們思考:像 CIA 這樣的國家級安全機構的安全防禦意識尚且如此,所以我們更應該意識到,網路安全從來不是尖端科技,它就像一個米倉,越是底部的洞越會帶來不可估量的損失。

而承擔這個惡果的,將是我們每一個人。

(本文由 雷鋒網 授權轉載;首圖來源:pixabay

延伸閱讀: