WikiLeaks: ЦРУ копило нулевые дни, не исправляя их
WikiLeaks опубликовала сногсшибательную кучу данных, часть 1 своего, возможно, самого амбициозного проекта. Убежище 7, как его называют, открылось, когда стало известно о нарушениях гражданских свобод и тайных взломах, предположительно совершенных Центральным разведывательным управлением США. Данных для обработки достаточно много, но вопросы, касающиеся информационной безопасности, сразу привлекли внимание специалистов в области кибербезопасности. Возможно, самым интригующим и мучительным из этих вопросов является доказательство того, что ЦРУ копило нулевые дни у разработчиков.
Документы в Убежище 7 указывают на сбор и хранение уязвимостей нулевого дня на многих носителях, особенно на мобильных устройствах. Например, документ под названием «Охват эксплойтов/инструментов для Android», частично показанный ниже, содержит подробный список неисправленных нулевых дней, которые позволяют получить доступ к различным устройствам Android. ЦРУ копило эти нулевые дни, но, как вы увидите, другие правительственные агентства, такие как ФБР, были вовлечены в их открытие.
Однако затронут не только Android, поскольку iOS также была замешана в сундуке с сокровищами нулевого дня ЦРУ (см. Ниже).
Скриншот выше был отредактирован не кем иным, как разоблачителем АНБ Эдвардом Сноуденом, который подчеркнул тот факт, что иностранные агентства, такие как британский GCHQ, уже получили доступ к этим эксплойтам. Сам Сноуден далее заявил в Твиттере, что это «первое публичное доказательство того, что правительство США тайно платит за то, чтобы программное обеспечение США оставалось небезопасным». Он также отметил, что действительность документа (ов) не вызывает сомнений, поскольку «названия программ и офисов, такие как серия криптографии JQJ (IOC), реальны. Их мог знать только проверенный инсайдер.
Из этого следует, что, скорее всего, правительственные инсайдеры в разведывательном сообществе сообщили об этом и передали эти документы WikiLeaks. Это важно во многих отношениях, но применительно к информационной безопасности это показывает, что даже те, кто поклялся хранить тайну, видят опасность в том, что неисправленные нулевые дни собираются и никогда не исправляются. ЦРУ и его союзники — не единственные возможные структуры, которые могут получить доступ к таким эксплойтам, и, если они попадут не в те руки, можно нанести большой ущерб на нескольких уровнях социальной инфраструктуры.
Как указывает WikiLeaks, накопление информации нулевого дня ЦРУ прямо противоречит явным приказам, отданным президентом Обамой. На своей вступительной странице WikiLeaks заявляет, что «приверженность правительства США процессу оценки акций уязвимостей (VEP) возникла после значительного лоббирования со стороны американских технологических компаний… правительство заявило, что оно будет раскрывать все распространенные уязвимости, обнаруженные после 2010 года, на постоянной основе».
Далее они говорят, что, поскольку эти нулевые дни существовали задолго после подписания ЗВП, «ЦРУ нарушило обязательства администрации Обамы. Многие из уязвимостей, используемых в киберарсенале ЦРУ, широко распространены, а некоторые, возможно, уже были обнаружены конкурирующими спецслужбами или киберпреступниками».
Эта последняя строка действительно является одним из самых важных выводов здесь. Ни одно юридическое лицо, государственное или частное, не должно ставить под угрозу безопасность населения, позволяя известным нулевым дням оставаться неисправленными. Первоначально АНБ копило много нулевых дней, пока они не были поставлены в тупик из-за разоблачения Сноудена. Он сделал это, рискуя быть осужденным за государственную измену, зная, что большее благо достигается за счет привлечения внимания к Глубинному государству и его действиям.
То же общественное давление, которое ударило по АНБ, должно ударить и по ЦРУ. Конечно, многие корпоративные СМИ уже пытаются дискредитировать эти выводы. Совсем недавно бывший генеральный директор ЦРУ Майкл Хейден участвовал в «Позднем шоу со Стивеном Колбертом», пытаясь запутать тех, кто ищет ответы после этих утечек. Естественно, он разыгрывал это, уверяя общественность, что за ней не следят, и многие в СМИ предсказуемо ухватились за этот ответ.
ВРЕМЯ: бывший директор ЦРУ генерал Майкл Хейден говорит @StephenAtHome, что ЦРУ НЕ слушает американцев через их телевизоры #LSSC pic.twitter.com/GWiedm6Goa
— Позднее шоу (@colbertlateshow) 8 марта 2017 г.
Со своей стороны, ЦРУ не подтвердило и не опровергло подлинность документов, но заявило в своем заявлении, что агентству «по закону запрещено проводить электронное наблюдение за лицами здесь, дома, включая наших соотечественников-американцев, и ЦРУ этого не делает. ”
Правду трудно принять. Это означает признать, что те, кто поклялся защищать нас, вполне могут быть нашей самой большой угрозой. Что наши жизни и гражданские свободы не имеют значения для тех, кого мы избираем и поддерживаем за счет наших налогов. Это означает признать, что нет ни добра, ни зла, а есть оттенки двусмысленности, которые мы должны ежедневно анализировать.
Убежище 7, часть 1, — это начало чего-то большого. По мере того, как я продолжаю просеивать этот огромный массив данных, я буду продолжать сообщать обо всем, что угрожает безопасности, а именно кибербезопасности, гражданских лиц и жизненно важной инфраструктуры.
Как журналист я сделал выбор не мириться с тем, что мне лгут, и искать правду. Вы можете сказать то же самое?