Wyciek “Vault7” – WikiLeaks
Jarosław Hryszko
7 marca 2017 roku na portalu WikiLeaks opublikowano „zbiór dokumentów” pod nazwą Vault 7 pochodzących rzekomo z komórki CIA, przez niektórych określanej jako „Cyber Intelligence Agency”, zajmującej się wykorzystaniem urządzeń znajdujących się pod kontrolą komputerów do realizacji działań wywiadowczych.
W Internecie są już dostępne pierwsze wyniki analiz „wycieku”, jednak nie można ich uznać za w pełni zrozumiałe dla osób nie dysponujących odpowiednim poziomem wiedzy technicznej i informatycznej. Spróbujmy zatem odpowiedzieć na nurtujące wszystkich pytanie – co tak naprawdę ujawniono i jakie to ma znaczenia dla naszego bezpieczeństwa?
Wizja armii hakerów skrycie pracujących dla wywiadu potrafi rozbudzać wyobraźnię skutecznie podsycaną przez Hollywood. Filmy, jak i powieści szpiegowskie, pokazują jednostki wywiadu elektronicznego jako instytucje dysponujące technologiami nieomal nie z tego świata, gdzie wykorzystuje się elektronikę i oprogramowanie, które dla pospolitych śmiertelników dostępne będą dopiero w dalekiej przyszłości, jeśli w ogóle. W powszechnym mniemaniu służby, takie jak CIA, dysponują systemami komputerowymi własnego autorstwa, o bezpieczeństwie absolutnym, doskonale zaszyfrowanymi, a jednocześnie pozwalającymi przeniknąć największe obce zabezpieczenia.
Co zatem wyciekło i co umieszczono na portalu WikiLeaks? Zacznijmy od zasadniczej kwestii, czym są programy określane wspólnym mianem groupware. Otóż programy tego rodzaju pomagają pracować w zespole. Można dzięki nim współdzielić informacje i planować wspólną pracę. Można powiedzieć, że są czymś w rodzaju „pracowniczej Wikipedii”, gdzie każdy pracownik znajdzie wskazówki: jak i co ma robić. Może też samodzielnie podobne informacje tam umieścić. Wszystko w imię efektywności wspólnej pracy. Jednym z najpopularniejszych programów z rodzaju groupware jest Confluence australijskiej firmy Atlassian, która na swojej stronie internetowej chwali się, że oprogramowanie to jest wykorzystywane przez 22 tysiące zespołów[1].
Z doświadczenia osób pracujących w zespołach oraz swojego wiem, że instytucje, gdzie kładzie się szczególny nacisk na bezpieczeństwo (banki, różne służby specjalne itp.), wolą w swoich oddziałach IT używać narzędzi, w tym rozwiązań groupware, własnego autorstwa. Konsekwencją takich rozwiązań są sytuacje, kiedy wieloletni pracownicy bankowych IT mają problemy ze zmianą pracy, ponieważ nie potrafią korzystać z popularnych, komercyjnych narzędzi używanych do pracy w grupie. W efekcie nowy pracodawca musiałby przeznaczyć dodatkowy wysiłek na nauczenie takiego kandydata korzystania z obowiązującego w danej firmie systemu. W „drugą stronę” jest podobnie – informatyk z wieloletnim doświadczeniem, rozpoczynający pracę np. w banku, będzie musiał uczyć się pracy z własnościowym groupware. W tym przypadku jednak bank wlicza to w koszty, bo dzieje się to w imię bezpieczeństwa.
flickr.com by Thierry Ehrmann, CC BY 2.0
Przejdźmy jednak do sedna sprawy. „Supertajnym przeciekiem” opublikowanym w WikiLeaks jest kopia systemu Confluence. Myśląc o informatykach CIA zapewne każdy z nas oczekiwał, że ich systemy są stworzonymi przez nich i dla nich, wyrafinowanymi programami o niespotykanym bezpieczeństwie. Jednakowoż okazało się, że CIA używa „pracowniczej Wikipedii”, którą można sobie po prostu skopiować…
Z drugiej strony należy liczyć się z tym, że wyciek jest dezinformacją. Że tak naprawdę CIA używa systemów niczym z najnowszych Bondów, a cała ta sprawa jest celowo stworzoną mistyfikacją.
Osobiście uważam taką sytuację za mało prawdopodobną. Złożoność tego, co wyciekło, oraz pewne niuanse (np. wybrane notatki ze spotkań, kolekcje emotikon[2], plany przedsięwzięć informatycznych robione zgodnie ze sztuką itp.) wskazują, że jest to z dużą dozą prawdopodobieństwa kopia autentycznego systemu Confluence grupy programistów pracujących dla CIA, zajmujących się sposobami i narzędziami do przejmowania informacji i kontroli innych urządzeń kontrolowanych przez komputery. Nie można jednak wykluczyć, że mamy do czynienia z odpowiednio zmodyfikowaną kopią Confluence, aby dać fałszywy pogląd na posiadaną przez CIA wiedzę.
Bazując na tym, czego dowiedziałem się do tej pory, można z pewną dozą ostrożności stwierdzić, że wyciek, jeśli jest autentyczny, nie zawiera informacji, które wskazywałyby, że CIA dysponowało w momencie wykonania kopii systemu Confluence technicznymi możliwościami ominięcia środków, o jakich panuje przekonanie, że zapewniają najwyższy poziom zapewnienia prywatności informacji.
Przykład pierwszy – medialne doniesienia o tym, że CIA może podsłuchiwać łączność szyfrowaną silną kryptografią. W świetle dokumentów ze zbioru Vault 7 widać wyraźnie, że nie jest to prawdą. Bazując na tym, co można przeczytać w „wycieku”, CIA mogło podsłuchać delikwenta jedynie przechwytując wiadomość zanim zostanie ona zaszyfrowana, wykorzystując do tego błąd istniejący w komercyjnych wersjach systemów operacyjnych smartfonów. Jeśli używamy oprogramowania modyfikowanego, bądź o całkowicie przejrzystym kodzie (Wolne Oprogramowanie), z pewną dozą ostrożności można powiedzieć, że nasza korespondencja jest bezpieczna.
W wielu przypadkach przechwycenie informacji mogło nastąpić tylko po fizycznym kontakcie agentów lub współpracujących z nimi ludzi ze sprzętem, który był w zainteresowaniu Agencji.
Inny przykład – od momentu wycieku media piszą o możliwości prowadzenia podsłuchu przez CIA z wykorzystaniem telewizorów Samsung oraz o narzędziu umożliwiającym uzyskać tryb „udawanego wyłączenia” telewizora. Nie jest to informacja w żaden sposób tajna i zaskakująca. O możliwości podsłuchiwania za pomocą telewizorów Samsung ostrzegano od dawna[3], a opisy sposobów jak spreparować „wyłączenie” różnych urządzeń, które mogą służyć inwigilacji, są ogólnie dostępne w Internecie, w tym na Youtube[4].
Opublikowane przez Wikileaks materiały, jeśli są autentyczne, stanowią pewną wartość pod tym względem, iż jest to wyczerpujący zbiór dostępnej CIA – w pewnym punkcie w przeszłości – wiedzy dotyczącej sposobów zbierania informacji i przejmowania kontroli nad urządzeniami pracującymi pod kontrolą komputerów (są tam np. przygotowane przez osoby niezwiązane z CIA slajdy Power Point z różnych konferencji dotyczących bezpieczeństwa informatycznego). Zbiór ów daje nam pewien pogląd co CIA mogło, a czego nie w dziedzinie cyberataków – oczywiście w momencie wykonania kopii opublikowanych materiałów.
A moment ów musiał nastąpić już jakiś czas temu. Opisywane sposoby przechwytywania informacji czy przejęcia kontroli dotyczą systemów dość – jak na świat informatyki – wiekowych: Windows 8, Androida 4 czy Linuxa wykorzystującego HAL.
Z „przecieków” możemy się też dowiedzieć, że w CIA pracują osoby mieszczące się w stereotypie „informatyka”. Nie znalazłem co prawda wskazówek dotyczących dostępności napoju Club Mate w wybranych miastach, ale za to można tam znaleźć instrukcję dla często podróżujących hackerów, że po długim locie samolotem należy wziąć prysznic.
Dostępne w zbiorze dokumentów instrukcje jak przeprowadzać cyber-ataki, bądź jakich wąskich gardeł użyć, aby atak się powiódł, mimo że dotyczące starszych systemów, wciąż mogą być groźne. Istnieje ryzyko, że niektóre z nich wykorzystują “dziury” w oprogramowaniu, które jeszcze nie zostały załatane. A wspomniane instrukcje mogą być teraz wykorzystane przez każdego. Jest w tym także i dobra strona – pod presją ogółu producenci elektroniki (np. smartfonów) będą musieli zmodyfikować urządzenia czy systemy, aby uniemożliwić opisane ataki. Z kolei CIA będzie musiała szybko poszukać innych rozwiązań – o ile już ich nie ma.
Na tymże Confluence, w imię uczynienia pracy hackerów CIA wygodniejszą, zamieszczono także programy służące do przeprowadzania ataków. Na szczęście WikiLeaks ich nie opublikowało. Ocenzurowało też informacje mówiące kogo CIA ma właśnie w rozpracowaniu, co oczywiście nie znaczy, że po dogłębnej analizie nie będzie można z tychże dokumentów takiej wiedzy uzyskać.
Podsumowując, jeśli dokumenty są autentyczne, potwierdzają one zdroworozsądkowe przypuszczenia, że CIA nie jest w stanie ani łamać praw fizyki, ani nie wyprzedza (wyprzedzało…) swoimi możliwościami technicznymi innych. Nie dysponuje na przykład możliwością łamania silnej kryptografii. Wręcz przeciwnie. Niektóre notatki „to do” przy poszczególnych projektach wskazują, że możliwości CIA były przeceniane. To, co w owym czasie było możliwe do osiągnięcia w prywatnych laboratoriach, jak na przykład zdalne uruchamianie kamery w komputerze tak, aby użytkownik się nie zorientował, w CIA figurowało na liście jako „do zrobienia”.
Dokumenty te są zatem kolejnym źródłem potwierdzającym zdroworozsądkowe założenie, że również informatycy CIA używają narzędzi i rozwiązań dostępnych zwykłemu śmiertelnikowi i nie są w stanie obejść takich środków ostrożności, o jakich panuje powszechne przekonanie, że zapewniają najskuteczniejszą tajemnicę korespondencji.
Jarosław Hryszko
Przypisy:
[1] https://www.atlassian.com/software/confluence
[2] Moim zdaniem, kolekcja emotikon znaleziona wśród innych wpisów jest bardzo przydatna gdy mamy do czynienia z programami filtrującymi tekst – pozwala rozpoznać potencjalnie użyteczne informacje wśród szumu.
[3] http://www.techlicious.com/blog/is-your-tv-watching-you-latest-models-raise-concerns/
[4] https://www.youtube.com/watch?v=w86OwkP7yUQ