19:55
16/6/2020

Bolesne decyzje o zatrzymaniu operacji wywiadowczych. Upokarzające ostrzeganie zaprzyjaźnionych wywiadów o tym jak bardzo nawalili Amerykanie. Zorientowanie się, co się stało dopiero po roku od kradzieży danych, kiedy część z nich pojawiła się na WikiLeaks. To grzechy CIA i opis największego wycieku rządowych narzędzi hackerskich w historii.

W sieci właśnie ukazał się raport z października 2017 roku, dotyczący wyników śledztwa, które w skrócie można zatytułować jako

“jakim cudem WikiLeaks zdobyło nasze zabawki!?”

Raport jest ocenzurowany, ale mimo to można z niego wyczytać kilka smaczków na temat funkcjonowania jednostki Center for Cyber Intelligence (CCI), która tworzyła hackerskie narzędzia, z jakich korzystał wywiad USA w swoich operacjach na całym świecie. Oto, jak — w skrócie — eksperci oceniają poziom systemów bezpieczeństwa w tej jednostce:

Zadaniem pracowników CCI jest co prawda wyszukiwanie podatności w oprogramowaniu wykorzystywanym w sieciach “wroga” i tworzenie oprogramowania, które je wykorzysta do kradzieży danych i inwigilacji, a nie zabezpieczanie swoich systemów. Ale wszyscy komentatorzy są zgodni. Poziom zabezpieczeń był poniżej krytyki…

Jak do tego doszło? Ona tego nie wie

Tak bardzo poniżej krytyki, że w zasadzie — jak przyznaje raport — bez publikacji na WikiLeaks (wyciek o pseudonimie Vault 7) agencja nigdy nie dowiedziałaby się że została okradziona. Ale się dowiedziała. Po roku od incydentu (w dniu publikacji na WikiLeaks).

Sam wyciek narzędzi hackerskich był dla CIA o tyle upokarzający, że nastąpił 3 lata po wyniesieniu danych przez Edwarda Snowdena z NSA. Raport podsumowuje to tak:

CIA zbyt wolno wdrażało zabezpieczenia, o których (po kradzieży dokumentów przez Snowdena — dop. red.) wiedziało, że są konieczne. Nasze najważniejsze “cyber bronie” nie były odpowiednio odseparowane od siebie, użytkownicy którzy mieli do nich dostęp dzielili hasła administratorskie, a systemy nie kontrolowały tego co jest podpinane do portów USB.

Brak było też monitoringu. Po wycieku nie udało się ustalić ile dokładnie danych skradziono ponieważ nie dało się tego wyczytać z logów. Rarpot wyjawia, że mogło to być między 180 gigabajtów a 34 terabajtów danych. Co za precyzja!

Najtrudniej jest się bronić przed swoimi

USA o kradzież danych podejrzewa Joshue Schulte, byłego pracownika CIA. Toczy się przeciw niemu śledztwo. On sam nie przyznaje się do winy, a jego obrońcy podnoszą, że nie tylko on miał dostęp do tych danych, a sama sieć w CIA była tak dziurawa, że źródłem wycieku mógł być każdy.

Przypomnijmy, że wyciek miał miejsce 3 lata po kradzieży danych z NSA przez Edwarda Snowdena i 6 lat po wyniesieniu tajnych notatek dyplomatycznych przez Chelsea Manning. Te incydenty powinny były nauczyć Amerykanów co zrobić, aby nie doszło do kradzieży danych z CIA. Ale nie nauczyły. Mądry Amerykanin po szkodzie…

Systemy firm na całym świecie, nie tylko CIA, są narażone na wycieki danych. Nie tylko w skutek ataków, ale również poprzez ich wyniesienie przez pracowników. Nic nie wskazuje na to, że sytuacja się zmieni. Po prostu coraz więcej systemów przetwarza nasze dane i nie zawsze ktoś odpowiednio opiekuje się tymi systemami.

Warto założyć, że nasze dane już wyciekły. I warto wiedzieć, jak na taki wyciek poprawnie zareagować, aby ochronić się przed jego negatywnymi skutkami — począwszy od kradzieży tożsamości do kradzieży pieniędzy z banku. Co robić, a czego nie robić? Na te pytania, przy pomocy praktycznych porad odpowiadamy w trakcie naszego 1,5h webinara o ochronie przed wyciekami. Dziś, z racji włamania i wycieku danych z AVON, ten webinar możecie obejrzeć taniej aż o 80PLN jeśli podacie kod ChceszCosCosZAvonu. Ta cena tylko do środy…

Przeczytaj także:

 

7 komentarzy

Dodaj komentarz
  1. Tymczasem w Narodowym Centrum Bezpieczeństwa Cybernetycznego…

  2. Często tworząc strony i aplikacje dla klientów tłumaczę że o bezpieczeństwo trzeba dbać na bieżąco i nie ma bezpieczeństwa absolutnego, że wszędzie można się włamać… Mam chyba nowy przykład do podawania.

    • I tak gdzieś (najprędzej na wykopie) znajdziesz jakiegoś cześka przekonanego, że JEGO nie da się oszukać / zhackować / okraść, bo jest tak ŚWIADOMY zagrożenia, że nie jest możliwe zdobycie jego twierdzy.

  3. Systemy mogą być bezpieczne, wygodne, tanie. Z tych trzech opcji możesz wybrać tylko dwie jednocześnie.

  4. Niebezpiecznik nie omieszkal ‘pochwalic’ osiagniec wywiadu sowieckiego i chinskiego. What’s new on that picture?

  5. “Systemy mogą być bezpieczne, wygodne, tanie.”.
    Mozliwe jest tez ze beda 3 ale pod pewnymi warunkami – na przyklad – co to znaczy “tani’?
    Dla mnie tani to taki ktorego sumaryczny koszt uzytkowanie bedzie akceptowalny przy okreslonych zalozeniach. A koszt sumaryczny to nie tylko koszt zakupu ale tez koszt sprzetu, instalacji, uzytkowania, ochrony, czy uaktalniania i dezaktywacji.
    Wygodny to znaczy realizujacy w sposob akceptowalny przez uzytkownika zalozona funckcjonalnosc przy zachowaniu bezpieczenstwa uzytkowania (bo to jest jedna z zalozonych funkcjonalnosci).
    Co oznacza “bezpieczny”? Bezpieczny w jakich okolicznosciach i przy jakich czynnikach zewnetrznych? Przykladowo – czy moge zbudowac system ktory bedzie mogl przetwac bezposrednie trafienie pociskiem termojadrowym? Nie sadze. Ale jestem w stanie zbudowac system ktory bedzie mogl dzialac w okreslonym klimacie (np. klimat typowy dla Polski) i odporny na zagrozenia dla tego obszaru. Podobnei z cyberbezpieczenstwem – czy wlamujacy sie to NSA / KGB czy to powiedzmy redaktor Niebezpiecznika. Pierwszych stac na dosc duze moce obliczeniowe, Niebezpiecznik pewnie ma nieco mniejsze zasoby.Tak tez bezpieczenstwo jest zawsze relatywne a nie bezwzgledne. Nie ma wiec “dwa z trzech” – moze byc “trzy na trzy” ale przy dobrym okresleniu co rozumiemy przez bezpieczenstwo, cene i wygode uzycia.

  6. Nie jestem święty, ani tym bardziej prawnikiem, ale czy Bob budowniczy nie podpada pod art. 141kw ?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: