Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Wikileaks odpala bombę. Wyciek pełnych możliwości hackerskich CIA.

07 marca 2017, 18:59 | Aktualności | komentarzy 19
Wikileaks publikuje pierwszą część ogromnego wycieku dotyczącego arsenału hackerskiego CIA – informacje o 0-dayach, wirusach, trojanach. Jak przystało na profesjonalny projekt IT – wszystko z towarzyszącą dokumentacją. Wyciek wygląda na tyle poważny że… Wikileaks samo ocenzurowało i zanonimizowało część pozyskanych danych (!).

Jeśli ktoś chce szybko mięsa – proszę: mamy tutaj w pełni bojowe exploity (ang. weaponized exploits) zawierające 0-daye na iPhone / Androida (tu będziecie pewnie narzekać że starocie) / Windowsa. Nie brakuje też pakunków zmieniających telewizory Samsunga w ukryte mikrofony. W oryginale:

(…) arsenal and dozens of „zero day” weaponized exploits against a wide range of U.S. and European company products, include Apple’s iPhone, Google’s Android and Microsoft’s Windows and even Samsung TVs, which are turned into covert microphones.

Jeśli chodzi o te ostatnie – to fanów systemów embedded zainteresuje na pewno opcja „Fake Off mode” – czyli wyłączenie telewizora, podczas gdy cały czas nagrywa on nasz głos. Dodatkowym bonusem jest tutaj cała sekcja Embedded Development Branch.

Mamy tutaj nie tylko informację o samych exploitach czy o budowie „kieszonkowego” cyber-arsenału NSA (o wielkości wielu milionów linijek kodu), ale również o konkretnych celach ataku niemal na całym świecie (które zostały przez Wikileaks zredagowane):

These redactions include ten of thousands of CIA targets and attack machines throughout Latin America, Europe and the United States.

Niepokojące mogą się też okazać informacje dotyczące hackowania samochodów: 

W październiku 2014 CIA szukało metod na infekowanie systemów kontroli samochodów / cieżarowek. Dokładny cel nie jest znany, ale pozwoliłoby to CIA na realizację niemal niewykrywalnych zabójstw.

W oryginale:

As of October 2014 the CIA was also looking at infecting the vehicle control systems used by modern cars and trucks. The purpose of such control is not specified, but it would permit the CIA to engage in nearly undetectable assassinations.

Informacje pochodzą z sieci w Langley (USA), ale jako „bazę wypadową” wskazano również konsulat we Frankfurcie (ataki na Europę, Bliski Wschód czy Afrykę).

Całość wycieku to tylko pierwsza partia – kryptonim „Year Zero” – całego cyklu publikacji planowanego przez WikiLeaks, a określonego jako największy w historii wyciek poufnych danych z CIA:

Code-named „Vault 7” by WikiLeaks, it is the largest ever publication of confidential documents on the agency.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. CRack4dbrain

    WikiLeaks urządziło kolejną apokalipsę – znów jest ciekawie.

    Ale J. Assagne staje się coraz bardziej nieprzewidywalny, np. tą akcją przysłużył się Rosji i Trumpowi:
    22 lipca 2016 roku upubliczniło ponad 44 tysiące maili pracowników Krajowego Komitetu Partii Demokratycznej. Wynikało z nich, że Komitet zdecydowanie preferuje Hillary Clinton, a nie Bernie’ego Sandersa. Nie była to tajemnica, ale jej upublicznienie zdenerwowało część biorących udział w konwencji partii delegatów.

    Odpowiedz
    • SuperTux

      Trza było brać Berniego a nie Hitlary.

      Odpowiedz
  2. John Sharkrat

    Z pewnością to robota ruskich hakerów.

    Odpowiedz
  3. Konferencja, na żywo nie doszła do skutku na Periscope bo ich „ktoś” atakował…

    Odpowiedz
  4. MrBeny

    CIA posiada „arsenał hackerski”…. Hmmmm… czyli oryginalnego znaczenia słowa hacker nie da się już wyprostować. (?)
    Więcej czym jest „hack” można przeczytać w art. pt.: The Meaning of ‘Hack’ Prev, Appendix A. Hacker Folklore
    W CIA używa się określenia „Cyber Intelligence”, dlatego też zamiast „arsenał hackerski” powinno być „arsenał cyberszpiegowski”.
    Na marginesie przyznam jednak, że głupio mi tak „poprawiać” artykuły (a może raczej notki) w takim serwisie jak Sekurak. :/

    Odpowiedz
    • Szczerze? Wszyscy chyba nasi czytelnicy rozumieją. Ale jeśli w związku z tym tekstem zaprosi nas do jakiegoś programu np. Jerzy Bralczyk – to z chęcią podysutujemy ;-)

      Odpowiedz
    • CRack4dbrain

      Grammar nazi?

      Odpowiedz
    • wk

      Znaczy, moim zdaniem najważniejsza w nauczeniu ludzi właściwego rozumienia nazw jest konsekwencja, nawet jeśli podąża się pod prąd. Co więcej, jest to wg moich doświadczeń opłacalna strategia.
      Przełom w mojej komunikacji z nieusłuchanymi userami nastąpił, gdy zacząłem pisać, że mogą ich zaatakować „cyberprzestępcy”, lub krócej „przestępcy”, „oszuści” itp. Dopóki pisaliśmy, że ktoś ich „zhakuje”, że dostęp do komputera może mieć „haker”, nie robiło to na nich najmniejszego wrażenia, bo mieli zapamiętane z dawnych czasów, że hakerzy wybierają atrakcyjniejsze cele, a ich motywacją jest „sława”. Po przejściu na terminologię „przestępca”, „oszust”, „złodziej” – od razu większe zainteresowanie, bo praktycznie każdy rozumie, że pieniądze są atrakcyjną i wystarczającą motywacją ;)
      Z kolei mówiąc o szpiegostwie państwowym, wykorzystuję zazwyczaj straszak „urząd” i informację, że na wniosek „urzędu” może nastąpić „areszt” sprzętu celem wyjaśnienia sprawy. Jest to pewne uproszczenie, ale działa doskonale, bo każdemu łatwo sobie wyobrazić, „co by było gdyby”. Zwłaszcza jeśli choć część jego życia zawodowego przypadała na PRL – a to zwykle z takimi użytkownikami admin miewa najwięcej problemów.
      Słowa „haker” przestałem używać w komunikacji z użytkownikami. Jeśli pytają konkretnie o to pojęcie, informuję, że to taki nowoczesny ślusarz, tylko od komputerów.

      Odpowiedz
      • grogyl

        Dobre, muszę to u mnie w firmie zastosować:)

        Odpowiedz
      • Maciek

        Bardzo mi się podoba co napisałeś, zgadza się w 100% z moją intuicją. Również w mojej komunikacji z użytkownikami używam określeń „oszust” oraz „złodziej”, zamiast „haker”.

        Odpowiedz
  5. MatM

    To ja zapytam może prowokacyjnie… czy tam jest coś o czym średnio rozgarnięty „pasjonat” komputerowy nie maiłby pojęcia? To, że telewizory z mikrofonem mogą służyć do nagrywania rozmów wiedział chyba każdy, już od paru lat. To, że poważne trzyliterówki z całego świata mają w arsenale 0-day? Też chyba każdy tutaj wie co najmniej od czasu wycieku z pewnej włoskiej firmy robiącej takie zabawki.

    Jedyne co może być ciekawe z punktu widzenia badacza to potwierdzenie tych tematów w wiarygodnych źródłach.

    Odpowiedz
    • Na tej zasadzie można by w ogóle nie pisać o jakichkolwiek 0-days. Bo każdy wie że są, każdy też wie że służby (nawet w PL) je stosują.

      Odpowiedz
      • MatM

        Mi nie chodzi żeby nie pisać. Po prostu nie jest to taki news jak mogłoby się wydawać. O wiele ciekawsze byłyby kody źródłowe, nawet okrojone coby dzieciaki nie rozrabiały. To, że każdy mikrofon może służyć do nagrywania to odkrycie na miarę, każdym (ostrym) nożem można kroić. Z tego już łatwo można wywieść, że ktoś to robi/będzie robił.

        Odpowiedz
        • wk

          Najlepszym skutkiem takich spektakularnych „wycieków” niezależnie od ich zakresu czy rzeczywistej wartości jest to, że standardowi użytkownicy technologii o nich usłyszą i może choć odrobinę zrozumieją… albo chociaż zaczną się zastanawiać…

          Odpowiedz
  6. bb

    Na koncu i tak okaze sie ze to moja wina

    Odpowiedz
    • Q

      bb jesteś znanym politykiem, o którym ostatnio było głośno?

      Odpowiedz
  7. jozek

    Nie możliwe, CIA ma 0-daye na Androida! To tak samo jak… wszyscy ;p

    Odpowiedz
    • Józek, żyjesz? :-)

      Odpowiedz
      • jozek

        Tak, jeszcze tak, ale ostatnio w ogóle nie mam czasu ;p rynek kryptowalut szaleje!

        Odpowiedz

Odpowiedz