CIA公布解密文件

维基解密CIA文件基本分析

一句话概括：维基解密泄露的文件是CIA的黑客工具库，针对的是外国政府和国内外的公民。

数据库名称：Vault 7。这是一系列泄露Year Zero（“元年”）的第一部分。

来源：美国弗吉尼亚州兰利市CIA情报中心。

数量：7818个网页，943份附件。维基解密消息称，全部材料包括数亿行代码，预计比斯诺登泄露的要多（未证实）。

目的：维基解密的消息源发布声明称，他们想要引导公众对“网络武器的安全、创造、使用、扩散和民主控制”进行讨论。

与斯诺登事件的差别：斯诺登公开的是NSA对于全世界公民及政府的全面监控及其使用的技术。而“7号金库”则公开了CIA用于网络战的武器，针对的是外国政府和特定个人。

从哪儿拿到的文件：维基解密并没有言明这些泄露的文档来自哪里，但他们有提到这些机密数据曾在前政府黑客和承包商间流通，在这其中有人将一部分内容提供给了维基解密。

已经掌握的情报

FreeBuf已经第一时间对此次事件进行了报道，这两天相关CIA泄露文档的情报已经相当多样，我们在此做了简单的整理。总的来说，此次泄露的文档涉及到的是CIA及其使用的网络武器。后续几周，我们将继续证实并更新相关信息，以下是我们目前所知的CIA的项目、相关操作的合法性和此次事件对人们的安全和隐私而言意味着什么。

CIA工具列举

Weeping Angel（哭泣天使）——将智能电视的麦克风转变为监控工具。利用此工具，CIA黑客能够将打开居民家中的智能电视（而且是在用户以为电视关闭的情况下），并窃听人们的对话。与斯诺登公布的监控工具进行比较，我们发现Weeping Angel与Nosey Smurf（爱管闲事的蓝精灵）非常相似，Nosey Smurf是英国GCHQ使用的工具，能够将个人电话的麦克风变成监听工具。而Tracker Smurf（追踪者蓝精灵）则是定位工具，能够定位手机位置，准确率高于三角测量法。

HammerDrill v2.0：这是一款能够从与网络隔离的PC获取数据的恶意程序，针对微软、Linux、Solaris、macOS和各种平台，通过CD/DVD、USB设备来进行恶意程序的传播，数据可隐藏在图片中——也可通过一些更复杂的手段进行（所以是通过边信道？）。

入侵手机、绕过加密：文档中提到，CIA完全有能力绕过WhatsApp、Signal、Telegram、微博、Confide、Cloackman等应用的加密，当然主要方式并不是破解加密，而是通过恶意程序入侵手机，在数据被加密之前就收集音频和信息流量。

CIA的移动开发组（MDB）开发恶意程序，从iPhone和其他使用iOS系统的苹果设备中获取数据。MDB也针对Android系统，大部分智能手机包括索尼、三星和Google Pixel等都使用Android系统。文档表明，截至2016年，CIA拥有24个“武器化”的Android“0Day”工具，这些都是CIA自主开发以及从GCHQ、NSA和网络武器承包商处获取的。

0-Day（零日漏洞）——指的是CIA针对任意敌对设备使用的漏洞。维基解密报告称，这些0day漏洞主要用于针对企业的行业间谍活动。2013年，斯诺登也披露称NSA承认对巴西、俄罗斯、欧洲等地的石油企业、银行、航空公司和贸易代表团展开行业间谍活动。根据披露文件，CIA制造了上千个“黑客系统、木马、病毒和其他‘武器化’恶意程序”。

Hive（蜂巢）——CIA跨平台恶意程序套件，专门针对其他国家。“Hive提供针对Windows、Solaris、MikroTik、Linux平台的定制植入程序，并拥有一个情报收集中心（LP）既C2基础设施与这些植入程序进行通信。”Hive和Zero Day之间存在许多相似性，同时与2010年攻击并感染伊朗核项目的震网病毒十分相似。虽然没有国家宣称对2010年的攻击事件负责，但因为震网病毒的复杂程度，政界还是将其与美国、以色列的监控及情报机构挂钩。

嫁祸他国政府

文档中提到CIA拥有一款工具，CIA可能利用该工具将自己的网络间谍行动嫁祸给外国政府。每个政府或黑客组织都有其标志性的行为或恶意程序，或两者都有，来攻击其目标。久而久之，当攻击发生之时，基于其标志性特征，就会与特定组织或政府相联系。

维基解密提到，CIA的远程设备组拥有一款名为UMBRAGE的程序，可“收集并储存大量的攻击技术”。根据泄露文档，CIA收集的技术包括俄罗斯经常使用的技术。

CIA通过UMBRAGE收集的技术包括：键盘记录，密码收集，网络摄像头捕获，数据摧毁，持久性感染，权限提升，隐蔽攻击，躲避杀毒软件等。

此外，CIA还制定了相关规则，说明了部署恶意程序时应如何进行隐藏，以避免其标志性特征导向美国或CIA。

乱入的Emoji

除了黑客工具之外，CIA文档中还包含一个颜文字列表，由用户#71475收集整理，命名为“网络表情”。该用户还对某些颜文字进行了注释，意图为何尚且不明。

合法么？

初步调查发现CIA已经知晓并助长了这些工具的扩散。根据维基解密提供的信息，CIA希望这些工具合法化，这样其特工或支持黑客就能够放心使用，免受责罚了。如果CIA的软件被定为机密信息，官员一旦违反规则，将机密信息挂在网上，就可能面临起诉或撤职。

因此，CIA秘密地将其大部分网络间谍/网络战争代码处理为非机密信息。因为美国宪法的制约，美国政府也不能维护相关工具的版权。这就意味着网络武器制造者和黑客获得这些“武器”后，能够随意“盗版”。CIA主要靠混淆技术来保护其恶意程序。

CIA的回应

CIA这两天居然就维基解密曝光的这些文档发表了声明，并表示没有对美国公民进行了电子监控。路透社报道称，CIA和FBI已经开始针对Vault 7泄露文档发起调查，不愿署名的一名美国官员表示，本次数据泄露是因CIA的一个承包商遭遇网络攻击所致。

按照惯例，CIA也拒绝对泄露文档的真实性，以及针对事件的调查现状发表评论。CIA特别指出，其任务就是“激进地收集”（agressively collect）来自海外的情报，保护美国免受恐怖组织和敌对分子的伤害。

“以革新、前沿、第一线的防御技术来保护国家免受国外敌对分子伤害是CIA的职责。”

CIA另外还说，在美国监听个人的行为是被禁止的，自家的活动“受到严格监督，并确保行为完全符合美国法律和宪法”。另一方面，CIA也对Vault 7文档泄露，可能对其行动造成的影响表示担忧。

中国的反应

中国政府本周四要求美国停止监听行为。中国外交部发言人耿爽在北京的新闻发布会上表示，中国会维护其网络空间主权：

“我们敦促美国停止针对中国和其他国家的窃听、监控、机密窃取和网络攻击行为。”

耿爽另外也说，中国对于泄露的CIA报告表示担忧，并且重申了对于所有形式的攻击行为的反对。

科技公司的回应

文档当中提到的三星、苹果、谷歌等企业，对于此次事件也纷纷有不同的反应。

苹果迅速作出回应称，苹果已修复CIA针对苹果设备使用的大多数漏洞。

经初步研究发现，今天泄露的大部分问题都已经在最新版iOS中得到修复了，苹果将快速修复任何已被发现的漏洞。苹果敦促用户下载最新版iOS，获得最新的安全更新。

微软方面简洁扼要地回应称，“微软已知晓此报告，并正展开调查”。

对于文档中提及的CIA可入侵三星智能电视，三星回应称：“保护用户隐私和保障设备安全一直是三星的工作重点。三星已经知晓相关报告，并已就此事开展紧急调查。”

思科还在等待更多新信息，但就目前公布的材料，得出了如下结论：

文档中有恶意程序针对不同型号的思科产品，包括多种路由器和开关。

恶意程序一旦在思科设备上安装后，将有多种功能，包括收集数据、提取数据、获得管理员权限并执行命令、HTML流量重定向，篡改网页，DNS定向，隐蔽通信等。

恶意程序制作者花费大量时间精力，保证这些工具安装后，能够躲避安全检测和取证分析。

恶意程序制作者似乎使用了大量资源，用于质量保证测试，目的似乎是保障恶意程序安装之后，不会导致设备崩溃或出现异常行为。

思科产品安全事件响应团队将会分析更多的文件和恶意程序，并修复任何需要修复的问题。

而就CIA可劫持使用基于Linux软件的电脑，Linux基金会首席信息官Nicko van Someren回应称，Linux操作系统使用率高，安装基数庞大，国家情报机构攻击Linux平台也并不出乎意料。但是，Linux将敦促其开源社区修复漏洞，并将用户提供相关补丁。

此次事件涉及的企业和机构众多，后续还会有更多针对CIA相关工具的分析报告，请大家继续关注。

也有不同意见

另外也有安全专家认为，这份文档并不具备太大的杀伤力。Sudo Security Group公司CEO Will Strafach表示，维基解密实际上夸大了CIA的入侵能力。比如说文档中提到CIA开发的iOS系统漏洞利用工具，实际上这个工具已经比较早了，根本就不支持最新的iOS 10和更新的工具。

“这些产品的漏洞早就被修复了。维基解密绝对是在误导人。”

本周三，谷歌回应说已经看过了这些泄露文档，并且表示Android系统完全有能力“为用户抵挡其中提到的很多漏洞。”

维基解密可能会和厂商合作

实际上到目前为止，维基解密都并没有公布文档中提到的黑客工具的源码，这必然也是考虑到一旦公开，那些不怀好意的网络犯罪分子会趁机上位。有趣的是，本周三，维基解密还在Twitter上说：

“科技公司说，他们需要更多有关CIA攻击技术的细节，以期更快修复漏洞。WikiLeaks是否应该直接与他们合作呢？”

国外媒体对此的解读是，维基解密为了安全考虑有可能会选择将手中掌握的机密情报与科技厂商分享，真正让这些厂商以更快的速度修复CIA利用的漏洞。维基解密方面也强调，在这些黑客工具被彻底分析、抑制其危害（disarm）之前，工具是不会公开的。大概和科技厂商合作会是个不错的途经。

*参考来源：securityaffairs、Networkworld[1] [2]、telegraph、BBC、CSO、SecurityWeek、FB小编kuma&欧阳洋葱编译，转载请注明来自Freebuf