安全专家全方位解读NSA和CIA数据泄露事件
更多全球网络安全资讯尽在E安全官网www.easyaq.com
美国近几年被机密“曝光”事件搅得焦头烂额,也一直在调查这几起“爆料”事件背后的“元凶”。不止美国,甚至全球都在关注事情的进展,当然不乏行业各路专家大胆猜测、解读如此重磅的泄露事件。全球知名的安全技术专家布鲁斯·施奈尔根据自己的了解和猜测做出了解读。
按照安全专家布鲁斯·施奈尔的解读,他认为有三点需要考虑:
某人,可能是某国的情报机构正将NSA大量网络工具暴露在互联网上。
其它人,或许还是同一人,对CIA“痛下杀手”。
今年3月,NSA副局长理查德·莱吉特描述了NSA如何渗透到俄罗斯情报机构的计算机网络,并在他们2014年攻击美国国务院时对其进行监控。更明确地说,施奈尔猜测美国的盟友英国不止入侵了俄罗斯情报机构的计算机,还入侵了俄情报机构内的监控摄像头。官员表示,英国监控到俄罗斯黑客进入美国系统。当俄黑客出入俄情报机构工作区时,他们能通过监控摄像头看到脸。
国家通常不会透露自身的情报能力:“来源和方法”,因为一旦对手得知如何修复之类的重要信息,不止目标国家会从泄露的情报能力中有所收获。当美国宣布能通过俄罗斯黑客建筑内的摄像头进行监控时,其它国家也会立即检查自己的摄像头是否安全。
让我们回顾一下近期几起NSA和CIA机密文件泄露事件。
关于NSA黑客工具被泄的多种推测
去年,“影子经纪人”(Shadow Brokers)开始公开NSA三年前使用的黑客工具和文件。今年,“影子经纪人”再抛下重磅爆料,公开了五套NSA文件,并暗示还会揭露更多机密文件。至于他们如何获取的文件,目前不得而知。当影子经纪人第一次浮出水面时,人们普遍认为,有人发现并入侵了NSA外部临时服务器(Staging Server)。这些服务器属于第三方,而NSA绝密黑客小组TAO(特定入侵办公室)正是利用这些服务器发起网络攻击。这些服务器中肯定包含TAO攻击工具。这种揣测不无道理,因为泄露的文件中包含脚本目录和攻击说明。当然,还有其它的可能性:是否是NSA内部人员因疏忽或故意为之,从而暴露了这些文件呢?或黑客刚好幸运地发现缓存?这些目前仍是一个谜团。
最近,影子经纪人再泄密,曝出了NSA针对Windows、PowerPoint演示的攻击工具以及操作说明。这起爆料之后,上述揣测便不攻自破了。因为这些文件绝不可能存在NSA外部临时服务器上。另外还有一种可靠的解释是,影子经纪人公开的NSA数据存在多种来源。第一批泄露文件来自外部临时服务器,而最近曝光的文件来自NSA内部。
难道是NSA内部人员不慎将错误的服务器连接到了外部网络上?这种情况有可能发生,但似乎发生的可能性不大。那么是NSA遭遇了入侵?或者NSA内部潜伏了“间谍”?
施奈尔认为,如果有间谍,也可能已经被逮捕了。 泄露文件中有足够的特征查明来源和时间。当然,NSA很清楚谁有可能拿走这些文件。美国情报机构很清楚,如果间谍严重背叛所在机构,其臭名将会远扬。
相关阅读:
第一种可能是:文件来自哈罗德·马丁。马丁是NSA的承包商,他因囤积机密于今年八月在家中被捕。他不可能是文件公开者,因为他在监狱服刑期间,影子经纪人仍在活跃,或许是泄密者从他那里获取了文件,即马丁将文件交给泄密者或他自己遭遇了黑客入侵。从时间来看,这种推测在理论上是成立的,但是,文件的内容是针对具有访问权限不同的人。马丁的公开起诉书也未提及将机密售卖给外国一事。但是,这种可能性仍无法排除。
另一种可能性是:还存在另一起曝光NSA黑客工具的事件。据报道,2015年夏季还发生过另一起未披露的网络攻击工具泄露事件,也是TAO的员工所为。此人也已被捕,但这起案件并未公开,据称该黑客未将情报与他国共享,但这并不能说明此人没这么干。
另一方面,也有可能是他人渗透到了NSA的内部网络。NSA工具能入侵其它网络的事实众人皆知,因为也不排除NSA网络遭遇其它工具入侵的可能性。内部网络遭遇黑客攻击的事态相当严重,这足以说明去年国防部和情报界负责人敦促白宫解雇NSA局长迈克-罗杰斯的原因。
CIA机密文件泄露事件
CIA泄露文件包含一系列一年前的攻击工具。据了解情况的消息人士推测,由于Confluence服务器从未连接过互联网,内部人员被迫放弃该服务器上的数据,或外部人员入侵了CIA获取了副本,之后将这些文件交给了维基解密。
CIA文件泄露一事也非同小可,给CIA造成了重大损害。这些工具是新的,并且功能强大。据施奈尔了解,CIA正聘用程序员替换丢失的文件。
对于NSA和CIA文件泄露事件,最大的问题在于归因:幕后黑手是谁?揭发者不会等上几年才公之于众,而可能会像斯诺登或曼宁立即公开,并公开包含美国对目标采取措施的讨论文件,而不简单是大量攻击工具。只公开攻击工具对黑客或网络犯罪而言没有意义。因此,这两宗泄露事件可能是国家型攻击者所为。
施奈尔猜测这两起泄露事件与俄罗斯有关。他认为,幕后黑手有能力入侵NSA和/或CIA,且愿意公之于众。以色列和法国这类国家肯定具备这类能力,但这些国家不会选择公开;韩国或伊朗这样的国家可能还不具备这种能力。符合这种标准的国家为数不多,例如俄罗斯和中国,但他认为,中国不太可能,因为中国目前正与美国拉近关系。
去年8月,斯诺登也猜测是俄罗斯所为。
无论谁是“元凶”,其意图可能是窃取机密文件用于自身网络防御,以及入侵其它国家。最近才选择公开这些机密,这就意味着现如今信息的价值不及让NSA和CIA难堪带来的价值。这可能是因为,美国可能知道工具被窃是谁所为,因此利用这些工具攻击美国政府目标的价值不大,但是用来攻击第三方仍具有重大价值。
相关阅读:
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。