Pseudocast #285 – Osýpky v Rumunsku, WikiLeaks Vault 7

By State Library of Queensland, Australia [No restrictions], via Wikimedia Commons

V tomto podcaste budeme hovoriť o tom, ako v tieto dni vyčíňajú v Rumunsku osýpky a o poslednom veľkom úniku dokumentov, ktorý bol zverejnený na WikiLeaks – Vault 7.

  • Stalker

    Viem, že ste to nahrávali krátko potom, čo to WikiLeaks zverejnila, a preto aj chápem trošku „bulvárnejšiu“ (nielen Martirovo „na úrovni vypustenia atómovej bomby“) prezentáciu obsahu. Asi väčšina médií spočiatku prevzala „šokujúcejšie“ tvrdenia WikiLeaks. Ale myslím, že by sa patrilo niektoré tvrdenia uviesť na pravú mieru. Všetky vyjadrenia IT a natsec odborníkov čo som čítal boli v zmysle, že obsah leaku nie je vlastne ničím prekvapujúci. Narážam teraz na technickú úroveň a schopnosti niečo „hacknúť“. Ba možno až naopak: ak je toto skutočne väčšina nástrojov, ktoré majú k dispozícii, tak sú na tom horšie ako sa myslelo.

    V prvom rade možno najšokujúcejšie tvrdenie WikiLeaks (a následne prevzatých správ), že CIA je schopná odpočúvať kryptovanú komunikáciu (Signal, WhatsApp) nie je pravdivé. Dobre ste povedali, že na to treba infikovať cieľové zariadenia (telefón) a potom je následne možné odpočúvať už dešifrovanú komunikáciu. Ale škoda, že ste to viac nezdôraznili, lebo a) treba šíriť povedomie pre menej technicky zdatných ľudí, že ak je kompromitované zariadenie, tak akékoľvek šifrovaná komunikácia de facto stráca význam b) ukazuje to, že súčasné šifrovanie je odolné a predstavuje pre tajné služby (značnú) prekážku. Čiže ak sa niekto chce brániť pred odpočúvaním, tak má zmysel šifrovať (btw nie je moc šťastné radiť poslucháčom brániť sa napr. obskurným systémom. Security through obscurity nie je skoro nikdy dobrý nápad 😉 ).

    K tomu, že CIA zamestnáva 5000 ľudí, čo sa tomu venujú: myslím, že to je dokopy celá organizačná štruktúra oddelenia, takže skutočných „technikov“ je asi ďaleko menej (opravte ma, ak sa mýlim). Porovnávať to s NSA nie je úplne šťastné. Tvrdiť, že robia to isté detto. NSA sa priamo venuje SIGINT (signal intelligence), kďežto doménou CIA je HUMINT (human intelligence). Teda: CIA nie je ten, kto by odpočúval (globálne) komunikáciu a robil podobné veci. To je parketa NSA. Ale ak ste podozrivý terorista, tak je vám agentom CIA povedzme nainštalovaný odposluch pomocou vašej smart-TV. Alebo vám do telefónu dá malware na sledovanie. Atď. atď.

    A tomu podľa všetkého zodpovedajú aj uniknuté nástroje. Ak mám veriť skúsenejším, tak sa jedná hlavne o zbierku rozličných zraniteľností a toolov – aj známych a voľne dostupných – ktoré si CIA následne upravuje pre svoje potreby a ľahké nasadenie. Nie je to teda tak, že by sa primárne CIA snažila objavovať zero-days exploity a pod. Samozrejme ich hromadí, ale bežne sa takéto veci napr. kupujú.

    Čo ma privádza k… Povedali ste, že je prakticky len v moci vládnych/bezpečnostných agentúr disponovať podobnými toolmi a zbierkou zraniteľností. Budem nesúhlasiť. Iste, pre NSA atď. je to jedna z náplní práce, ale ani zďaleka to nie je doména vládnych agentúr. V tomto businesse podniká dosť súkromých subjektov. Vykupujú zero-day zraniteľnosti, ale tvoria aj komplexné systémy (kľudne využívajúce naraz x zraniteľností), ktoré umožňujú ich využitie de facto „laikom“. Takéto nástroje sa potom predávajú, napr. bezpečnostným zložkám. Viď. napr. aférka okolo HackingTeamu, ktorého produkt využíva aj Česká republika a už si presne nepamätám, či nie aj Slovensko. Nevravím že firma Jožka Mrkvičku má kapacity NSA, ale nie je to tak celkom čierno biele.

    Ak sa nič nové neobjaví, tak asi najzaujímavejšie na celom leaku je to, kto ho dal na WikiLeaks. Súhlasím, že Stuxnet a NSA/Snowden boli také „prebudenia“. Ale toto by som asi až tak nenazval. Napr. minulý rok bol podobný leak, keď sa von dostali nástroje TAO (elitná skupina NSA). Aj keď to boli tuším len nástroje, bez ostatných dokumentov…

    Neberte to ako kritiku 😉 Naopak som rád, že sa venujete aj takýmto témam. Nie je ani ľahké vysvetlovať IT veci laikom (funny fact: z toho, ako a že sa CIA snažila maskovať pôvod svojich nástrojov si už niektorí konšpirátori vydedukovali, že minuloročný hack DNC/Podestu bola vlastne false-flag operácia amerických tajných služieb).

    PS: keď join3r vravel, že za Stuxnetom boli údajne USA a Irak, tak to bolo dúfam len prerieknutie a v skutočnosti myslel USA a Izrael 😉

    • join3r

      Ahoj Stalker.
      Super príspevok a budeme to brať ako konštruktívnu kritiku 🙂
      Myslím, že hlavným problémom toho segmentu je jeho tón, prečo je ťažké zachytiť informácie ktoré sú v segmente a ktoré sú podľa mňa správne.
      V segmente popisujeme rozdiel medzi CIA a NSA, kde som popísal, že NSA môže špehovať iba občanov USA a ľudí s nimi v kontakte a CIA sa skôr pozerá vonku.
      V segmente aj hovoríme, že CIA zbiera zero-day exploity a vyrába malware a nie že by vytvárali zero-day exploity.
      Ja som tak isto hovoril, že iba vládne agentúry mohli spraviť niečo ako stuxnet. Nemyslím si ale, že takú zbierku exploitov môže mať iba vládna organizácia – dokonca viem o tom, že to nie je pravda. V starých časoch bolo 10+ zero day exploitov na linux a vedel som sa ku nim dostať aj ja (a to nepracujem pre vládu).

      PS: DO FOKA, to Irak som zopakoval viac krát dokonca. Brain fart.

      PS2: Security trough obscurity is the only security for me 🙂 Napríklad port knocking v 90-tych rokoch bol fantastická vec pre security práve vďaka obskúrnosti. Tak isto port sentry. Obe tieto veci upadli presne, keď začali byť viac rozšírene a ľudia ich hľadali. Keď máš exploity na veľké a rozšírené veci, tak je odpoveďou práve to, že si nahodíš nejakú vec, ktorú nikto iný nemá a nie je na to dostupný a rozšírený žiadny exploit v divočine. Ale to bude vec názoru a uznávam, že tu moje názory idú proti zaužívanému sloganu: „security through obscurity is no security at all“. Napríklad aj napriek tomu, že táto stránka je často updatovaná a používa iba fakt nutné modifikácie a patchujem zodpovedne WordPress by som ju nikdy nenazval bezpečnou hlavne kvôli tomu, že používa memcache, WordPress a Apache. Naopak blog o bezpečnosti ktorý som zbúchal v perle alebo nodejs by som už povedal je podstatne bezpečnejšií kvôli tomu, že to nikto iný nemá 😀