Ontem terça-feira, 7 de março de 2017, a WikiLeaks soltou um comunicado à imprensa de que começará sua nova série de vazamentos sobre a Agência Central de Inteligência dos EUA.
Codificado “Vault 7” por WikiLeaks, é a maior publicação de documentos confidenciais na agência.
A primeira parte completa da série, “Year Zero”, é composta por 8.761 documentos e arquivos de uma rede isolada de alta segurança, situada dentro do Centro de Inteligência Cibernética da CIA em Langley Virgina. Segue-se uma divulgação introdutória no mês passado da CIA visando os partidos políticos e candidatos franceses na preparação para a eleição presidencial de 2012 .
Recentemente, a CIA perdeu o controle da maioria de seu arsenal de hackers, incluindo malware, vírus, trojans, ataques armados de “dia zero”, sistemas de controle remoto de malware e documentação associada. Esta coleção extraordinária, que equivale a mais de várias centenas de milhões de linhas de código, dá ao seu possuidor toda a capacidade de hacking da CIA. O arquivo parece ter sido distribuído entre antigos hackers e contratados do governo dos Estados Unidos de uma maneira não autorizada, um dos quais forneceu ao WikiLeaks partes do arquivo.
“Year Zero” apresenta o escopo e direção do programa global de hacking da CIA, seu arsenal de malwares e dezenas de façanhas “zero dia” contra uma vasta gama de produtos de empresas americanas e europeias, incluindo o iPhone da Apple, o Android da Google e o Microsoft Windows e Até mesmo TVs Samsung, que são transformadas em microfones encobertos.
Desde 2001, a CIA ganhou preeminência política e orçamentária sobre a Agência Nacional de Segurança dos EUA (NSA). A CIA viu-se construindo não apenas a sua agora infame frota de aviões não tripulados, mas um tipo muito diferente de força secreta e abrangente – a sua própria frota substancial de hackers. A divisão de hacking da agência libertou-a de ter que divulgar suas operações, muitas vezes controversas, para a NSA (seu principal rival burocrático), a fim de aproveitar as capacidades de hacking da NSA.
Até o final de 2016, a divisão de hackers da CIA, formalmente abrangida pelo Centro de Inteligência Cibernética (CCI) da agência, contava com mais de 5.000 usuários cadastrados e produzia mais de mil sistemas de hackers, trojans, vírus e outros malwares “armados” . Tal é a escala do compromisso da CIA de que em 2016, seus hackers haviam utilizado mais código do que o usado para rodar o Facebook. A CIA criou, de fato, sua “NSA própria”
Em uma declaração à WikiLeaks, a fonte detalha as questões políticas que dizem urgentemente precisam ser debatidas em público, inclusive se as capacidades de hacking da CIA excedem seus poderes mandatados e o problema da supervisão pública da agência. A fonte deseja iniciar um debate público sobre a segurança, criação, uso, proliferação e controle democrático das armas cibernéticas.
Uma vez que uma única “arma” cibernética é “solta”, ela pode se espalhar pelo mundo em segundos, para ser usada por estados rivais, máfia cibernética e hackers adolescentes.
Julian Assange, editor do WikiLeaks, afirmou que “existe um extremo risco de proliferação no desenvolvimento de” armas “cibernéticas. Podem-se fazer comparações entre a proliferação descontrolada de tais” armas “, resultante da incapacidade de as conter, Valor e o comércio global de armas, mas o significado do “ano zero” vai muito além da escolha entre cyberwar e cyberpeace. A revelação também é excepcional do ponto de vista político, legal e forense.
O Wikileaks revisou cuidadosamente a divulgação do “Ano Zero” e publicou documentação substancial da CIA, evitando a distribuição de armas cibernéticas armadas até que um consenso emerge sobre a natureza técnica e política do programa da CIA e como tais armas devem ser analisadas, desarmadas e publicadas.
Wikileaks também decidiu redigir e anónimos algumas informações de identificação em “Year Zero” para a análise em profundidade. Estas redações incluem dez de milhares de alvos da CIA e máquinas de ataque em toda a América Latina, Europa e Estados Unidos. Embora estejamos cientes dos resultados imperfeitos de qualquer abordagem escolhida, continuamos comprometidos com nosso modelo de publicação e observamos que a quantidade de páginas publicadas no “Vault 7” parte um (“Ano Zero”) já eclipsa o número total de páginas publicadas Os primeiros três anos dos vazamentos de Edward Snowden NSA.
Análise
CIA malware metas iPhone, Android, smart TVs
CIA malware e ferramentas de hacking são construídos por EDG (Engineering Development Group), um grupo de desenvolvimento de software dentro CCI (Center for Cyber Intelligence), um departamento pertencente à DIA da CIA (Direção de Inovação Digital). A DDI é uma das cinco principais diretorias da CIA (veja este organograma da CIA para mais detalhes).
O GDE é responsável pelo desenvolvimento, teste e suporte operacional de todos os backdoors, explorações, cargas maliciosas, trojans, vírus e qualquer outro tipo de malware usado pela CIA em suas operações secretas em todo o mundo.
A crescente sofisticação das técnicas de vigilância fez comparações com George Orwell, em 1984, mas “Weeping Angel”, desenvolvido pela Embedded Devices Branch (EDB) da CIA, que infesta as TVs inteligentes, transformando-as em microfones encobertos, é certamente a sua realização mais emblemática.
O ataque contra a Samsung TVs inteligentes foi desenvolvido em cooperação com o Reino Unido do MI5 / BTSS. Após a infestação, Weeping Angel coloca a TV alvo em um modo “Fake-Off”, de modo que o proprietário acredita falsamente que a TV está desligada quando ela está ligada. No modo “Fake-Off”, a TV funciona como um bug, gravando conversas na sala e enviando-as através da Internet para um servidor secreto da CIA.
A partir de outubro de 2014 a CIA também estava olhando para infectar os sistemas de controle de veículos usados por carros modernos e caminhões . A finalidade de tal controle não é especificada, mas permitiria que a CIA se envolvesse em assassinatos quase indetectáveis.
A divisão de dispositivos móveis da CIA (MDB) desenvolveu inúmeros ataques para hackear e controlar remotamente telefones inteligentes populares. Os telefones infectados podem ser instruídos a enviar à CIA a geolocalização do usuário, as comunicações de áudio e de texto, bem como ativar secretamente a câmera e o microfone do telefone.
Apesar da participação minoritária do iPhone (14,5%) no mercado mundial de telefones inteligentes em 2016, uma unidade especializada no Departamento de Desenvolvimento Móvel da CIA produz malware para infestar, controlar e infiltrar dados de iPhones e outros produtos Apple que executam iOS, como iPads . O arsenal da CIA inclui inúmeros “dias zero”, locais e remotos, desenvolvidos pela CIA ou obtidos do GCHQ, NSA, FBI ou adquiridos de contratantes de armas cibernéticas como a Baitshop. O foco desproporcional no iOS pode ser explicado pela popularidade do iPhone entre as elites sociais, políticas, diplomáticas e empresariais.
Uma unidade similar tem como alvo o Google Android, que é usado para executar a maioria dos telefones inteligentes do mundo (~ 85%), incluindo Samsung, HTC e Sony . 1,15 bilhões Android powered telefones foram vendidos no ano passado. “Ano Zero” mostra que, a partir de 2016, a CIA tinha 24 “armas” Android “zero dias”, que desenvolveu e obteve de GCHQ, NSA e ciber armamentos.
Essas técnicas permitem que a CIA ignore a criptografia do WhatsApp, do Sinal, do Telegrama, do Wiebo, do Confide e do Cloackman, invadindo os telefones “inteligentes” que executam e colecionando o tráfego de áudio e mensagens antes que a criptografia seja aplicada.
CIA malware metas Windows, OSx, Linux, roteadores
A CIA também executa um esforço muito substancial para infectar e controlar os usuários do Microsoft Windows com seu malware. Isso inclui vários vírus locais e remotos “zero dias”, vírus de salto de ar, como “Hammer Drill” que infecta software distribuído em CD / DVDs, para mídias removíveis como USBs, sistemas para ocultar dados em imagens ou em áreas de disco secreto ( “Canguru Brutal”) e para manter suas infestações de malware em andamento .
Muitos desses esforços para infectar são reunidos pela AIA, que desenvolveu vários sistemas de ataque para infestação automatizada e controle de malware da CIA, como “Assassin” e “Medusa”.
Os ataques contra a infraestrutura da Internet e os servidores web são desenvolvidos pela Rede de Dispositivos da Rede (NDB) da CIA.
A CIA desenvolveu sistemas automatizados de ataque e controle de malware multi-plataforma que cobrem Windows, Mac OS X, Solaris, Linux e outros, como o “HIVE” da EDB e as ferramentas “Cutthroat” e “Swindle” relacionadas, descritas nos exemplos Abaixo .
Vulnerabilidades “amontoadas” da CIA (“dias zero”)
Na esteira dos vazamentos de Edward Snowden sobre a NSA, a indústria de tecnologia dos EUA garantiu um compromisso da administração Obama de que o executivo divulgaria de forma contínua – ao invés de tesouros – vulnerabilidades sérias, explorações, bugs ou “zero dias” para a Apple, Google, Microsoft e outros fabricantes com sede nos EUA.
Vulneráveis vulnerabilidades não reveladas aos fabricantes colocam vastas áreas da população e infraestruturas críticas em risco para a inteligência estrangeira ou ciber criminosos que descobrem ou ouvem rumores independentes da vulnerabilidade. Se a CIA puder descobrir tais vulnerabilidades, outros podem fazer isso.
O compromisso do governo dos Estados Unidos com o Processo de Equidade de Vulnerabilidades veio após lobby significativo por empresas de tecnologia dos EUA, que correm o risco de perder sua participação no mercado global em relação a vulnerabilidades ocultas reais e percebidas. O governo declarou que divulgaria todas as vulnerabilidades difundidas descobertas após 2010 de forma contínua.
“Year Zero” documentos mostram que a CIA violou os compromissos do governo Obama. Muitas das vulnerabilidades usadas no arsenal cibernético da CIA são difundidas e algumas podem já ter sido encontradas por agências de inteligência rivais ou criminosos cibernéticos.
Como exemplo, um malware específico da CIA revelado em “Ano Zero” é capaz de penetrar, infestar e controlar tanto o telefone Android eo software do iPhone que executa ou tem corrido contas presidenciais do Twitter. A CIA ataca este software usando vulnerabilidades de segurança não reveladas (“dias zero”) possuídas pela CIA, mas se a CIA pode cortar esses telefones, então todos podem ter obtido ou descoberto a vulnerabilidade. Enquanto a CIA mantiver essas vulnerabilidades ocultas da Apple e do Google (que fazem os telefones), elas não serão corrigidas e os telefones permanecerão hackeáveis.
As mesmas vulnerabilidades existem para a população em geral, incluindo o Gabinete dos EUA, Congresso, CEOs, administradores de sistemas, oficiais de segurança e engenheiros. Ao ocultar essas falhas de segurança de fabricantes como Apple e Google a CIA garante que ele pode cortar todo mundo & mdsh; À custa de deixar todos hackable.
Os programas de “Cyberwar” constituem um grave risco de proliferação
Cyber ”armas” não são possíveis de manter sob controle efetivo.
Embora a proliferação nuclear tenha sido restringida pelos enormes custos e infraestrutura visível envolvidos na montagem de material cindível suficiente para produzir uma massa nuclear crítica, as “armas” cibernéticas, uma vez desenvolvidas, são muito difíceis de reter.
Cyber ”armas” são de fato apenas programas de computador que podem ser pirateados como qualquer outro. Uma vez que eles são inteiramente composto de informações que podem ser copiados rapidamente, sem custo marginal.
Proteger essas “armas” é particularmente difícil, uma vez que as mesmas pessoas que as desenvolvem e as utilizam têm a capacidade de exportar cópias sem deixar vestígios – às vezes usando as mesmas “armas” contra as organizações que as contêm. Existem incentivos de preços substanciais para hackers e consultores do governo para obter cópias, uma vez que existe um “mercado de vulnerabilidade” global que pagará centenas de milhares a milhões de dólares por cópias de tais “armas”. Do mesmo modo, os empreiteiros e as empresas que obtêm essas “armas” às vezes as usam para seus próprios fins,
Nos últimos três anos, o setor de inteligência dos Estados Unidos, formado por agências governamentais como a CIA e a NSA e seus contratados, como Booz Allan Hamilton, foi submetido a uma série sem precedentes de exportações de dados por seus próprios trabalhadores.
Vários membros da comunidade de inteligência que ainda não foram nomeados publicamente foram presos ou sujeitos a investigações criminais federais em incidentes separados.
Mais visivelmente, em 8 de fevereiro de 2017, um grande júri federal norte-americano acusou Harold T. Martin III com 20 acusações de má-informação classificada. O departamento de justiça alegou que apreendeu aproximadamente 50.000 gigabytes da informação de Harold T. Martin III que tinha obtido dos programas confidenciais em NSA e em CIA, incluindo o código de fonte para ferramentas de corte múltiplas.
Uma vez que uma única “arma” cibernética é “solta”, ela pode se espalhar pelo mundo em segundos, para ser usada por estados pares, máfia cibernética e hackers adolescentes.
O Consulado dos EUA em Frankfurt é uma base secreta de hackers da CIA
Além de suas operações em Langley, Virgínia a CIA também usa o consulado dos EUA em Frankfurt como uma base secreta para seus hackers cobrindo Europa, Oriente Médio e África.
Os hackers da CIA que operam fora do consulado de Frankfurt ( “Centro para Cyber Intelligence Europe” ou CCIE) recebem passaportes diplomáticos (“negros”) e capa do Departamento de Estado. As instruções para os hackers que chegam da CIA fazem com que os esforços da contra inteligência da Alemanha parecem inconsequentes: “Breeze através da Alfândega Alemã, porque você tem sua história de cobertura para a ação, e tudo o que eles fizeram foi carimbar o seu passaporte”
Sua história de capa (para esta viagem)
P: Por que você está aqui?
R: Apoiar consultas técnicas no Consulado.
Duas publicações anteriores WikiLeaks dar mais detalhes sobre CIA abordagens de costumes e procedimentos de triagem secundária .
Uma vez em Frankfurt, os hackers da CIA podem viajar sem mais verificações nas fronteiras dos 25 países europeus que fazem parte da área de fronteira aberta de Shengen – incluindo a França, a Itália e a Suíça.
Uma série de métodos de ataque eletrônico da CIA são projetados para proximidade física. Estes métodos de ataque são capazes de penetrar redes de alta segurança que são desconectados da internet, como a base de dados de registro da polícia. Nesses casos, um agente da CIA, agente ou agente de inteligência aliado agindo sob instruções, fisicamente infiltra o local de trabalho alvo. O atacante é fornecido com um USB contendo malware desenvolvido para o CIA para este fim, que é inserido no computador alvejado. O atacante então infecta e exportar dados para mídia removível.
Por exemplo, o sistema de ataque da CIA Fine Dining , Fornece 24 aplicações de chamariz para espiões da CIA para usar. Para as testemunhas, o espião parece estar executando um programa mostrando vídeos (por exemplo, VLC), apresentando slides (Prezi), jogando um jogo de computador (Breakout2, 2048) ou mesmo executando um scanner de vírus falso (Kaspersky, McAfee, Sophos). Mas enquanto o aplicativo de chamariz está na tela, o sistema de underlaying é automaticamente infectado e saqueado. 2048) ou até mesmo executar um scanner de vírus falso (Kaspersky, McAfee, Sophos). Mas enquanto o aplicativo de chamariz está na tela, o sistema de underlaying é automaticamente infectado e saqueado. 2048) ou até mesmo executar um scanner de vírus falso (Kaspersky, McAfee, Sophos). Mas enquanto o aplicativo de chamariz está na tela, o sistema de underlaying é automaticamente infectado e saqueado.
Como a CIA aumentou dramaticamente os riscos de proliferação
No que é certamente um dos mais espantosos objetivos de inteligência próprios na memória viva, a CIA estruturou seu regime de classificação de modo que para a parte mais valiosa do mercado de “Vault 7” – o malware armado da CIA (implantes + zero dias) LP) e Sistemas de Comando e Controle (C2) – a agência tem pouco recurso legal.
A CIA tornou esses sistemas desclassificados
Por que a CIA optou por fazer o seu ciberespaço não classificado revela como os conceitos desenvolvidos para uso militar não se cruzam facilmente ao “campo de batalha” da “guerra” cibernética.
Para atacar seus alvos, a CIA normalmente requer que seus implantes se comuniquem com seus programas de controle pela internet. Se os implantes CIA, Command & Control e Listening Post software foram classificados, então os oficiais da CIA poderia ser processado ou demitido por violar as regras que proíbem a colocação de informações classificadas na Internet. Consequentemente, a CIA secretamente fez a maior parte do seu ciberespionagem / código de guerra não classificado. O governo dos EUA não é capaz de afirmar o direito de autor, devido a restrições na Constituição dos EUA. Isso significa que cyber “armas” fabricantes e hackers podem livremente “pirata” essas “armas” Se forem obtidos. A CIA teve principalmente de confiar na ofuscação para proteger seus segredos de malware.
Armas convencionais, como mísseis, podem ser disparadas contra o inimigo (ou seja, para uma área não segura). Proximidade ou impacto com o alvo detona o arsenal incluindo suas partes classificadas. Assim, os militares não violam as regras de classificação ao disparar munições com peças classificadas. Ordnance provavelmente irá explodir. Se não, essa não é a intenção do operador.
Durante a última década, as operações de hackers nos EUA foram cada vez mais vestidas de jargão militar para explorar fontes de financiamento do Departamento de Defesa. Por exemplo, a tentativa de “injeções de malware” (jargão comercial) ou “implante gotas” (jargão NSA) estão sendo chamados de “incêndios” como se uma arma estava sendo disparada. No entanto, a analogia é questionável.
Ao contrário de balas, bombas ou mísseis, a maioria dos malwares CIA é projetado para viver por dias ou até anos depois de ter atingido o seu “alvo”. CIA malware não “explodir no impacto”, mas permanentemente infesta seu alvo. Para infectar o dispositivo do alvo, cópias do malware devem ser colocadas nos dispositivos do alvo, dando a posse física do malware ao alvo. Para exportar dados de volta para a CIA ou aguardar instruções adicionais, o malware deve se comunicar com os sistemas CIA Command & Control (C2) colocados em servidores conectados à Internet. Mas esses servidores normalmente não são aprovados para manter informações classificadas,
Um “ataque” bem-sucedido no sistema de computador de um alvo é mais como uma série de manobras de ações complexas em uma oferta de compra hostil ou o planejamento cuidadoso de rumores para ganhar controle sobre a liderança de uma organização, em vez de disparar um sistema de armas. Se há uma analogia militar a ser feita, a infestação de um alvo é talvez semelhante à execução de toda uma série de manobras militares contra o território do alvo, incluindo observação, infiltração, ocupação e exploração.
Evadir forense e anti-vírus
Uma série de padrões estabelecem padrões de infestação de malware da CIA, que são susceptíveis de auxiliar os investigadores da área de crime criminal, bem como a Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens e empresas anti-vírus atribuem e defendem contra ataques.
“Tradecraft DO’s and DON’Ts” contém regras da CIA sobre como seu malware deve ser escrito para evitar impressões digitais que impliquem a “CIA, governo dos EUA, ou suas empresas parceiras witting” em “revisão forense”. Padrões secretos semelhantes cobrem o uso da criptografia para ocultar a comunicação e o hacker da CIA (pdf), descrevendo destinos e dados exportarted (pdf), além de executar cargas úteis (pdf) e persistentes (pdf) nas máquinas do alvo ao longo do tempo.
Os hackers da CIA desenvolveram ataques bem-sucedidos contra programas anti-vírus mais conhecidos. Estes são documentados em derrotas AV , Produtos de Segurança Pessoal , Detectando e derrotando PSPs e PSP / Debugger / RE Avoidance . Por exemplo, Comodo foi derrotado pelo malware da CIA colocando-se na “Lixeira” da Janela . Enquanto Comodo 6.x tem um “Gaping Hole of DOOM” .
Os hackers da CIA discutiram o que os hackers do “Equation Group” da NSA fizeram errado e como os fabricantes de malware da CIA poderiam evitar uma exposição semelhante .
Exemplos
O sistema de gerenciamento do Grupo de Desenvolvimento de Engenharia (EDG) da CIA contém cerca de 500 projetos diferentes (apenas alguns deles são documentados por “Year Zero”), cada um com seus próprios subprojetos, malware e ferramentas de hackers.
A maioria desses projetos está relacionada a ferramentas que são usadas para penetração, infestação (“implantação”), controle e exportarção.
Outro ramo do desenvolvimento centra-se no desenvolvimento e operação de Postos de Escuta (LP) e Sistemas de Comando e Controle (C2) usados para comunicar com e controlar os implantes da CIA; Projetos especiais são usados para direcionar hardware específico de roteadores para smart TVs.
Alguns projetos de exemplo são descritos abaixo, mas veja o índice para a lista completa de projetos descritos por “Year Zero” do WikiLeaks.
UMBRAGE
As técnicas de hacking feitas à mão da CIA representam um problema para a agência. Cada técnica que criou forma uma “impressão digital” que pode ser usada por investigadores forenses para atribuir vários ataques diferentes à mesma entidade.
Isto é análogo a encontrar o mesmo ferimento distintivo da faca em múltiplas vítimas de assassinato separadas. O único estilo ferido cria a suspeita de que um único assassino é responsável. Assim que um assassinato no set é resolvido, em seguida, os outros assassinatos também encontrar atribuição provável.
O grupo UMBRAGE da Branch de Dispositivos Remotos da CIA coleta e mantém uma bibliotecasubstancial de técnicas de ataque “roubadas” de malware produzido em outros estados, incluindo a Federação Russa.
Com a UMBRAGE e projetos relacionados, a CIA não só pode aumentar seu número total de tipos de ataque, mas também atribuir equivocadamente, deixando para trás as “impressões digitais” dos grupos que as técnicas de ataque foram roubadas.
Os componentes UMBRAGE abrangem keyloggers, captura de senhas, captura de webcam, destruição de dados, persistência, escalonamento de privilégios, stealth, anti-vírus (PSP) e técnicas de levantamento.
Jantar excelente
Fine Dining vem com um questionário padronizado, ou seja, menu que os oficiais de caso da CIA preencher. O questionário é utilizado pela OSB ( Agência de Apoio Operacional ) da agência para transformar as solicitações de agentes de casos em requisitos técnicos para ataques de hackers (normalmente “exportarndo” informações de sistemas de computador) para operações específicas. O questionário permite que o OSB identifique como adaptar as ferramentas existentes para a operação e comunique isso à equipe de configuração de malware da CIA. O OSB funciona como a interface entre o pessoal operacional da CIA eo pessoal de suporte técnico relevante.
Entre a lista de possíveis alvos da coleção estão “Asset”, “Liason Asset”, “Administrador do Sistema”, “Operações de Informação Estrangeira”, “Agências de Inteligência Estrangeira” e “Entidades Governamentais Estrangeiras”. Não há qualquer referência a extremistas ou criminosos transnacionais. O “Case Officer” também é solicitado a especificar o ambiente do alvo, como o tipo de computador, sistema operacional utilizado, conectividade à Internet e utilitários anti-vírus instalados (PSPs), bem como uma lista de tipos de arquivos a serem exportardos como documentos do Office , Áudio, vídeo, imagens ou tipos de arquivo personalizados. O cardápio’ Também pede informações se o acesso recorrente ao alvo é possível e quanto tempo o acesso não observado ao computador pode ser mantido. Esta informação é usada pelo software ‘JQJIMPROVISE’ da CIA (veja abaixo) para configurar um conjunto de malware da CIA adequado às necessidades específicas de uma operação.
Improvisar (JQJIMPROVISE)
‘Improvise’ é um conjunto de ferramentas para configuração, pós-processamento, configuração de carga útil e seleção de vetor de execução para ferramentas de levantamento / exportarção que suportam todos os principais sistemas operacionais como Windows (Bartender), MacOS (JukeBox) e Linux (DanceFloor). Suas utilidades de configuração como Margarita permite que o NOC (Network Operation Center) personalize ferramentas baseadas em requisitos de perguntas “Fine Dining”.
Vaca
A HIVE é uma suite de malware da CIA multi-plataforma e seu software de controle associado. O projeto fornece implantes personalizáveis para Windows, Solaris, MikroTik (usado em roteadores da Internet) e plataformas Linux e uma infraestrutura de Post (LP) / Command and Control (C2) para se comunicar com esses implantes.
Os implantes são configurados para comunicar via HTTPS com o servidor web de um domínio de cobertura; Cada operação que utiliza estes implantes tem um domínio de cobertura separado e a infraestrutura pode tratar qualquer número de domínios de cobertura.
Cada domínio de capa resolve para um endereço IP que está localizado em um fornecedor comercial VPS (Virtual Private Server). O servidor de frente ao público reencaminha todo o tráfego de entrada através de uma VPN para um servidor de ‘Blot’ que lida com solicitações de conexão reais de clientes. É configurado para a autenticação de cliente SSL opcional: se um cliente envia um certificado de cliente válido (somente os implantes podem fazer isso), a conexão é encaminhada para o servidor de ferramentas ‘Honeycomb’ que comunica com o implante; Se um certificado válido está faltando (o que é o caso se alguém tenta abrir o site de domínio de cobertura por acidente),
O servidor de ferramentas Honeycomb recebe informações exportardas do implante; Um operador também pode fazer com que o implante execute tarefas no computador de destino, de modo que o servidor de ferramentas atue como um servidor C2 (comando e controle) para o implante.
Funcionalidade similar (embora limitada ao Windows) é fornecida pelo projeto RickBobby.
Consulte os guias de usuário e desenvolvedor classificados para HIVE.
Perguntas frequentes
Porque agora?
WikiLeaks foi publicado assim que sua verificação e análise estivessem prontas.
Em fevereiro o governo Trump emitiu uma Ordem Executiva pedindo uma “Cyberwar” revisão a ser preparado dentro de 30 dias.
Embora a revisão tenha aumentado a oportunidade ea relevância da publicação, ela não desempenhou um papel na definição da data de publicação.
Redações
Nomes, endereços de e-mail e endereços IP externos foram redigidos nas páginas liberadas (70.875 redacções no total) até que a análise seja concluída.
- Sobre-redação: Alguns itens podem ter sido redigidos que não são funcionários, contratados, alvos ou de alguma forma relacionados com a agência, mas são, por exemplo, autores de documentos para projetos públicos que são usados pela agência.
- Identidade versus pessoa: os nomes redigidos são substituídos por IDs de usuário (números) para permitir que os leitores atribuam várias páginas a um único autor. Dado o processo de redação usado uma única pessoa pode ser representada por mais de um identificador atribuído, mas nenhum identificador refere-se a mais de uma pessoa real.
- Anexos de arquivo (zip, tar.gz, …) são substituídos por um PDF listando todos os nomes de arquivos no arquivo. À medida que o conteúdo do arquivo é avaliado, ele pode ser disponibilizado; Até então o arquivo é expurgado.
- Os anexos com outro conteúdo binário são substituídos por um despejo hexadecimal do conteúdo para evitar a invocação acidental de binários que podem ter sido infectados com malware CIA com armas. À medida que o conteúdo é avaliado, pode ser disponibilizado; Até então o conteúdo é redigido.
- As dezenas de milhares de referências de endereços IP roteáveis (incluindo mais de 22 mil dentro dos Estados Unidos) que correspondem a possíveis alvos, servidores de correio secretos da CIA, sistemas intermediários e de teste são redigidos para uma investigação mais exclusiva.
- Arquivos binários de origem não-pública estão disponíveis apenas como despejos para evitar a invocação acidental de malware CIA infectados binários.
Organograma
O organograma corresponde ao material publicado pela WikiLeaks até o momento.
Uma vez que a estrutura organizacional da CIA abaixo do nível das Direcções não é pública, a colocação da EDG e das suas sucursais no organograma da agência é reconstruída a partir das informações contidas nos documentos divulgados até agora. Destina-se a ser usado como um esboço da organização interna; Tenha em atenção que o organograma reconstruído está incompleto e que as reorganizações internas ocorrem com frequência.
Páginas Wiki
“Year Zero” contém 7818 páginas da web com 943 anexos do groupware de desenvolvimento interno. O software utilizado para esse fim é chamado Confluence, um software proprietário da Atlassian. Páginas Web neste sistema (como em Wikipedia) têm um histórico de versão que pode fornecer informações interessantes sobre como um documento evoluiu ao longo do tempo; Os documentos 7818 incluem esses históricos de página para 1136 últimas versões.
A ordem das páginas nomeadas dentro de cada nível é determinada por data (a mais antiga primeiro). O conteúdo da página não está presente se originalmente foi criado dinamicamente pelo software Confluence (conforme indicado na página reconstruída).
Qual é o período de tempo coberto?
Os anos de 2013 a 2016. A ordem de classificação das páginas dentro de cada nível é determinada por data (mais antiga primeiro).
O WikiLeaks obteve a data de criação / última modificação da CIA para cada página, mas estas ainda não aparecem por razões técnicas. Geralmente, a data pode ser discernida ou aproximada a partir do conteúdo e da ordem das páginas. Se for crítico saber a data / hora exata entre em contato com o WikiLeaks.
O que é “Vault 7”?
“Vault 7” é uma coleção substancial de material sobre as atividades da CIA obtidas pelo WikiLeaks.
Quando foi obtida cada parte do “Vault 7”?
A primeira parte foi obtida recentemente e cobre até 2016. Os detalhes sobre as outras partes estarão disponíveis no momento da publicação.
Cada parte do “Vault 7” é de uma fonte diferente?
Os detalhes sobre as outras partes estarão disponíveis no momento da publicação.
Qual é o tamanho total do “Vault 7”?
A série é a maior publicação de inteligência da história.
Como o WikiLeaks obteve cada parte do “Vault 7”?
As fontes confiam no WikiLeaks para não revelar informações que possam ajudar a identificá-las.
WikiLeaks não está preocupado que a CIA vai agir contra a sua equipe para parar a série?
Não. Isso certamente seria contraproducente.
O WikiLeaks já “minou” todas as melhores histórias?
Não. A WikiLeaks intencionalmente não escreveu centenas de histórias impactantes para encorajar outras pessoas a encontrá-las e assim criar experiência na área para as partes subsequentes da série. Estão lá. Veja. Aqueles que demonstram excelência jornalística podem ser considerados para acesso antecipado a partes futuras.
Notas:
(1) Julian Assange dirigiu a divulgação do “Vault 7” a partir de sua residência na embaixada do Equador, onde se refugiou em 19 de junho de 2012 para evitar sua extradição à Suécia.
(2) Texto na íntegra do release divulgado pelo WikiLeakes.