CIA“史詩級”網路軍火庫的洩露,竟是“極度鬆懈”下的買單?
【導讀】三年前,一場美國史上最大資料洩露事件,“撼動”了美國中央情報局(CIA)的世界級地位。三年後,一份的“沉寂”報告被全面公開,直指美中情局的各種“不作為”行徑。餘浪不斷的CIA軍火庫洩露事件背後,究竟隱藏著何種不為人知的祕密?大國背後的網路安全問題憑何遭到“詬病”,安全防禦失效、隱患重重之下,究竟是何作祟?今天,我們就來講講“Vault7(穹窿7)”這段“史詩級”軍火庫被洩露事件的“前因”與“幕後”。
眾所周知,美國中央情報局(CIA)作為世界最大,最著名的情報機構,其基本職能就是收集、整理、分析、評估各方情報,並把這些情報提供給美國政府各個部門。
“顛覆政變、隻手遮天、製造混亂”一度成為美國中央情報局的熱門代名詞。而近年來,隨著網路資訊化的不斷深化,美國中情局也逐步開始將觸角伸向資料資訊、網路監視甚至個人隱私領域上。
可以說,“不可一世”的美國在當時的世界網路情報資料的掌控與網路武器的運用已經到達“爐火純青”的地步。
如今三年已過,對於此次“重磅級”洩露事件或仍心有餘悸的美國,終於肯就此進行公開“覆盤”。昨天,美國參議院情報委員會一名參議員羅恩·懷登(Ron Wyden)公佈了一份關於2017年CIA違規的內部報告。
其中,就包括情報局“史詩級”軍火庫“Vault7(穹窿7)”的洩露,懷登更是將其稱為“可悲的鬆懈”。更為恐怖的是,如果維基解密方沒有公佈批量洩露的CIA黑客工具,美中情局仍不會知曉其內部已遭到網路攻擊。
此外,該報告還表示:“我們大多數敏感的網路武器都沒有隔離,使用者共享系統管理員級別的密碼,沒有有效的可移動媒體控制元件,並且歷史資料可以無限期地提供給使用者……而由於與日常代理商員工廣泛使用的系統分開,導致該專門部門及其所依賴的利基資訊科技系統採取的網路安全措施不嚴。“針對這份報告¹,或者一言以蔽之“安全防禦性太差了”。
眾所周知,美國中央情報局(CIA)作為世界最大,最著名的情報機構,其基本職能就是收集、整理、分析、評估各方情報,並把這些情報提供給美國政府各個部門。
2011年8月,繼微軟之後,中情局要求谷歌交出儲存在歐洲資料中心的資料,引發了歐美外交論戰。
2013年6月,前中情局僱員愛德華·斯諾登曝光“稜鏡”專案,指控中情局長期對境內外監控監聽。
2014年10月,中情局著手研究滲透汽車控制系統的黑客工具,其中一個功能就是,探測汽車上存在的可能的暗殺陰謀。
然,極速飛行必有風險,美國中央情報局的“高光時刻”延續到2017年就遭遇重創。這一年,維基解密(WikiLeaks)對“Vault7(穹窿7)”的曝光,將美中情局推上輿論的風口浪尖,引起國際社會的強烈抗議。
與此同時,也給美國中情局自身安全防禦領域強有力的一擊。
該報告稱:許多美國中央情報局最敏感的黑客工具的安全性都非常差。尤其在過去十年中,美國情報界一而再,再而三地遭受大規模洩密事件的打擊。
可以說,今天這場全新的“覆盤”,讓看似“老生常談”的CIA網路軍火庫洩露事件的“幕後”再被深挖一層,而這深層的一點竟是“極度鬆懈”下的買單?
而透過報告及其結論,智庫從中也看到了幾點端倪:
其一,只“攻”不 “防”的處置態度
據外媒報導,在致新任國家情報局局長約翰·拉特克利夫的信中,中央情報局就明確表示,“即使以損害自身系統為代價,也要優先建造網路武器。”足見,美國最高情報機構網路安全防禦的消極寬鬆處理態度。
所以,如果一味地追求攻擊端的能力而忽略防禦體系地完善,將極大增加網路威脅風險,其後果更是不堪設想。
其二,“亡羊”未見“補牢”的處置手段
羅恩·懷登表示,距離提交違規報告已有三年時間,但中情局的網路情報中心至今仍未實行任何防控資料被盜的計劃。情報界處於落後階段,甚至未能採用在聯邦政府其他地方廣泛使用的最基本的網路安全技術。亡羊補牢都未必可以補救過失,更不必說,發生威脅後的無動於衷了。
忽略已知的安全隱患,一定程度上就是為攻擊者大開攻擊的“方便之門”。
其三,人是網路安全最“薄弱”環節
縱觀此次事件始末,不管是竊取CIA軍火庫的前僱員,還是內部安全人員、決策者都有著逃脫不掉的責任。如果內部無法形成相應的安全警告或嚴懲方式,自然就不會對其做出響應。
可以說,解決不了人的問題,安全威脅將必然存在。
智 庫 時 評
即使是超級大國,即使是超級大國的中央情報局又如何,在“可悲寬鬆”的安全性面前,誰都是在扮演“近乎裸奔”的角色,最終都難逃被滲透攻防的命運。[1]報告連結-https://www.wyden.senate.gov/imo/media/doc/wyden-cybersecurity-lapses-letter-to-dni.pdf
[2]threatpost-《中央情報局“ 7號避難所”祕密被盜》
相關文章
- 網際網路時代,如何防止個人資訊洩露
- 資料洩露將成為最大的網路攻擊問題
- 度金網際網路金融社群:眾籌違約 誰來買單?!
- 簡單的記憶體“洩露”和“溢位”記憶體
- 美國終於發現洩露CIA黑客工具的主要嫌疑人,但卻只能指控其他罪名黑客
- Elasticsearch 史詩級 log4j 漏洞解決Elasticsearch
- 微信讀書助手迎來史詩級增強
- 密碼頻繁洩露、賬號經常被盜,這背後的原因究竟是….密碼
- 【工業網際網路】說了很久的工業網際網路,製造企業買不買單?
- Go 語言史詩級更新-迴圈Bug修復Go
- 資訊洩露之web原始碼洩露Web原始碼
- Google 現在可以更輕鬆地檢查你的密碼是否洩露Go密碼
- CDN網路究竟是怎麼加速的?
- 擔心資料洩露嗎?網路安全防護必殺技瞭解一下!
- 一次資料庫洩露的解決經歷資料庫
- 從雲洩露事件談雲資料庫的攻防之道事件資料庫
- linux下檢查記憶體洩露的工具--mtraceLinux記憶體洩露
- 擔心語料庫洩露?使用NLPIR
- 完成MYBASE軍火庫整理,同步CSDN
- 2018網路安全大事件盤點 | 資料洩露史無前例,勒索軟體改行挖礦事件
- php常駐程式記憶體洩露的簡單解決PHP記憶體洩露
- PHP對戰Node.js:一場關於開發者喜好的史詩級戰役PHPNode.js
- 圖解|網路究竟是如何運作的?圖解
- CIA 黑客工具 Vault 7 洩密者身份曝光黑客
- 網路黑灰產業已近千億 個人資訊洩露是源頭產業
- R星承認遭網路攻擊,《GTA 6》原始碼洩露原始碼
- 雅虎承認5億使用者資料洩露越大的網際網路公司越招黑客?黑客
- 機器也可以寫詩——中文詩歌生成網路初探
- 聊聊GenericObjectPool的洩露檢測Object
- 發現Webpack中洩露的apiWebAPI
- 資料洩露的隱性成本
- js記憶體洩露的原因JS記憶體洩露
- Java記憶體洩露的原因Java記憶體洩露
- JAVA 記憶體洩露的理解Java記憶體洩露
- IE中的記憶體洩露記憶體洩露
- 區塊鏈和能源網際網路的“詩和遠方”區塊鏈
- Radware研究發現,資料洩露將成為最大的網路攻擊問題
- 聯合國遭網路入侵,洩露賬號暗網售價僅1000美元!