Dokumenty CIA z WikiLeaks – z dużej chmury spadnie raczej mały deszcz

Ogromne wrażenie zrobił zaprezentowany wczoraj przez Wikileakswyciektysięcy hakerskich narzędzi, jakie miały być wykorzystywane przezCIA we wszelkich związanych z cyberprzestrzenią operacjach. Media(szczególnie te amerykańskie) podzieliły się w swoch reakcjach,co ciekawe wzdłuż linii frontu zajmowanego wobec obecnego lokatoraBiałego Domu. Dla wrogów prezydenta Trumpa to operacja marionetkiPutina (tzn. Juliana Assange’a), mająca na celu odwrócenie uwagiod rosyjskich wpływów w amerykańskiej polityce. Dla sympatykówTrumpa – dowód na to, że tzw. „głębokie państwo” (ang.deep state) funkcjonuje w USA całkowicie poza demokratycznąkontrolą, właściwie robi co chce. Tak to wygląda u zaangażowanychpolitycznie. A jak to wygląda od strony technicznej?

Ano wygląda bardzo ciekawie, pokazując, że w rzeczywistościgra może być znacznie bardziej skomplikowana, niż komukolwiek sięwydaje – i Wikileaks nie jest neutralnym uczestnikiem tychrozgrywek, który tylko „przekazuje informacje” zatroskanejopinii publicznej. Być może gra na własną rękę, być może jestczyimś instrumentem wpływu, ale ten wpływ jakoś specjalnie CIAnie zaszkodził. Być może to po prostu wewnętrzna rozgrywka CIA?

Pozwala nam tak sądzić bezwartościowość tego wycieku.Przejrzeliśmy niektóre z udostępnionych przez Wikileaks 8761dokumentów i plików. Możemy powiedzieć tyle – gdyby to pojawiłosię w 2013 czy 2014 roku, to byłaby to faktycznie bomba. Dzisiaj…dzisiaj to w zdecydowanej większości to jakieś starocie, atakiwykorzystujące luki, które dawno już zostały załatane.

Zerknijmy na Androida, który wyglądał na najbardziejdotkniętego wyciekiem. Jak Wikileaks w swojej informacji prasowejpisze, CIA w 2016 roku miało mieć 24 „uzbrojone” exploity namobilny system Google’a, pozwalające obejść zabezpieczeniapopularnych komunikatorów, przechwytując wiadomości zanim zostałyone zaszyfrowane. Ich lista została przedstawiona na stronie AndroidExploits and Techniques. Sprawdźcie sami – znaczna część tostarocie, czasem zresztą ograniczone w zasięgu do bardzospecyficznego sprzętu. Narzędzie zdalnego dostępu Dugtrio: tylkoAndroid 4.0 – 4.1.2. Skor: Android 2.2 – 2.3.6. EerieIndiana:Android 2.3.6 – 4.2, w późniejszych już nie za bardzo działa.Towelroot? Androidy wydane przed 3 czerwca 2014 roku. Do tegodochodzą ataki na przeglądarki – Chrome w wersji 28, 35, wnajlepszym razie 37. Nagle te 24 uzbrojone exploity przestały byćgroźne. Ile z nich działa w erze Androida 5.x i nowszych?

Lista używanych exploitówna iOS-a też nie oszałamia. Większość luk została załatanaz iOS-em 8, nie wygląda na to, by któreś z nich wciąż działaływ aktualnym iOS-ie 10.x. Apple już się w tej sprawie wypowiedziało,jednak dość enigmatycznie. Swoich klientów zapewnia o najwyższymoddaniu kwestii bezpieczeństwa i przypomina, że iPhone jestnajbezpieczniejszym dostępnym na rynku smartfonem. Wiele ujawnionychluk miało być już wcześniej załatanych – a prace nadzabezpieczeniem iOS-a i wyeliminowaniem zidentyfikowanych podatnościstale trwają.

Zestaw narzędzi wymierzonych w Windowsy znalazł się wdokumencie zespołuUMBRAGE. Mamy tam między innymi wykorzystanie luki w panelusterowania Windowsa 7, ukrywanie danych w alternatywnych strumieniachdanych NTFS, narzędzie RickyBobbystosujące ciekawą metodę wyexploitowania bibliotek DLL środowiska.NET i PowerShella do uruchamiania złośliwego kodu, oraz ataki naserwery poczty Exchange 2007 i 2010. Nie wiemy, czy te exploity wciążdziałają, Microsoft w tej kwestii się nie wypowiedział, ale niewydaje się, by było to dziś tak groźne, jak było kiedyś.Kaspersky Lab zwrócił np. uwagę, że opisany w jednym z dokumentówatakna jego antywirusa wykorzystuje lukę załataną już w 2009 roku.

Na koniec weźmy tego słynnego „płaczącego Anioła”, czyliexploitdla telewizorów smart Samsunga. Działa on tylko w modelach z seriiF8000 z 2013 roku, i to tylko w starszych wersjach firmware, poniżej1118. Trudno w tej sytuacji mówić, że CIA może nas podsłuchaćprzez dowolny telewizor.

Eksperci oceniający wagę tego wycieku zwracają uwagę, że choćnie udostępniono samego kodu exploitów, to zapewne pomoże ontwórcom malware, zwracając ich uwagę na podatności opisywane wdokumentach CIA. Wszystkie opisane systemy będą wymagały więcnowych audytów bezpieczeństwa, szczególnie w środowiskachkorporacyjnych. Pewną wartość stanowią też dokumenty„edukacyjne” – mogłyby być wykorzystane wręcz jakopodręcznik przez początkujących hakerów, uczących się jakzacierać ślady swoich działań. Sęk w tym, że nie jest to nic,czego nie można by było nauczyć się z innych źródeł. Panikowaćnie powinniśmy, to nie katastrofa dla bezpieczeństwa IT, choć napewno specjaliści IT jeszcze coś ciekawego w dokumentach Vault 7znajdą.

Jak zawsze zalecamy korzystać ze zaktualizowanego oprogramowania.Jeśli obawiamy się CIA, to warto też zastanowić się nadwybraniem kariery innej, niż handel uranem czy finansowanieprzewrotów w krajach Trzeciego Świata. W końcu nie jest tak, żeCIA będzie namierzać Jana Kowalskiego, który spiracił kilkafilmów z Sony Pictures, czy też chodzi na protesty przeciwko partiirządzącej w Polsce. Jak już CIA jest w grze, to jest to raczej grao wielką stawkę.