דיווח חדש על האופן שבו ויקיליקס חשפה את הכלים של ה-CIA לפריצה למחשבי מק, פוגע בחוסר האבטחה ה"בלתי מקובל" של סוכנות האבטחה על המערכות שלה.
בעקבות 2017 הענקית"כספת 7"הדלפה של נתונים מסווגים מה-CIA, חקירה ממשלתית דיווחה שזה היה בגלל ש"נוהלי האבטחה היומיומיים הפכו רופפים עד מאוד".
גרסה מתוקנת של "כוח המשימה של ויקיליקס: דוח סופי", שוחררה על ידי הסנאטור רון ווידן בתורחלק ממכתבהוא כתב למנהל המודיעין הלאומי. ווידן קורא ל"תשובות לא מסווגות" לשאלות שהעלה הדו"ח, כמו גם כיצד הסוכנות מתכננת לפעול בהתאם להמלצותיה המרובות.
"כספת 7" הוא השם שנתנה ויקיליקס לכל אוסף הנתונים שלה מהמרכז למודיעין הסייבר (CCI) של ה-CIA. הוא כלל פרטים על דרכים ישימות לניצול גרסאות ישנות יותר של macOS, כמו גם קוד מקור ותקשורת. "כל המסמכים חושפים, בדרגות שונות, את אומנות ה-CIA בפעולות סייבר", נכתב בדו"ח.
דוגמה לכלי הפריצה של Mac המשמשים את ה-CIA ונחשפו על ידי ויקיליקס, כוללת מערכת בשם "אכילס". מערכת זו משנת 2011 פותחה לשימוש נגד מכשירי Snow Leopard Mac, ולמרות שאין מידע על השימוש המוצלח בה, היא הייתה דורשת מהמשתמשים להתקין יישום מאובחן.
פרטים על ניצול זה ואחרים של Mac היודווח בעברהגיע מעובד ה-CIA לשעבר, אדם שולטה, שסיפק לוויקיליקס את הנתונים. הדו"ח אינו מזכיר את שמו באף אחד מהטקסטים הלא מנוסחים שלו, אך לפי הדיווחים שולטה עדיין בחקירה.
הדו"ח מאשר כי בין 180GB ל-34 טרה-בייט של מידע הודלפו, אך החוקרים עדיין לא יכולים לדייק יותר בגלל אבטחה לא מספקת במערכות המעורבות. הוא מציין שרק בגלל שוויקיליקס פרסמו את הנתונים שה-CIA ידע שהם נגנבו.
"מכיוון שהנתונים הגנובים שוכנים על מערכת משימה שחסרה ניטור פעילות משתמש ויכולת ביקורת שרת חזקה, לא הבנו שהאובדן התרחש עד שנה לאחר מכן, כאשר ויקיליקס הכריזה על כך בפומבי במרץ 2017", נכתב בדו"ח.
"אילו הנתונים נגנבו לטובת יריב מדינה ולא פורסמו, ייתכן שעדיין לא היינו מודעים לאובדן - כפי שהיה נכון לגבי הרוב המכריע של הנתונים על מערכות המשימה של הסוכנות", נכתב.
הדו"ח מציין כי "מערכת המשימה" המעורבת אכן עמדה בכל דרישות האבטחה של הסוכנות באותה עת. "עם זאת, בעיתונות כדי לענות על צורכי משימה גדלים וקריטיים, CCI נתנה עדיפות לבניית נשק סייבר על חשבון אבטחת המערכות שלהם", נכתב.
חלץ מתחילתו של הדו"ח המעודכן בכבדות
"רוב כלי נשק הסייבר הרגישים שלנו לא היו מדורגים, המשתמשים שיתפו סיסמאות ברמת מנהל המערכת, לא היו בקרות מדיה נשלפות אפקטיביות ונתונים היסטוריים היו זמינים למשתמשים ללא הגבלת זמן", נכתב. "החסרונות הללו היו סמל לתרבות שהתפתחה במשך שנים, שלעתים קרובות מדי נתנה עדיפות ליצירתיות ושיתוף פעולה על חשבון הביטחון".
הסעיף הארוך ביותר בדוח התדרוך המודיעיני הזה כולל המלצות למה שהסוכנות צריכה לעשות כדי לטפל ב"כישלונות ה-CIA המרובים שלה". הוא מזהיר כי "אנו מניחים הנחות מושכלות לגבי היקף ותזמון האובדן, בין השאר משום שחסר לנו ניטור וביקורת יעילים של מערכת המשימה הזו".
אבל הוא גם מציין שלחוקרים יש "ביטחון בינוני" שהמידע הסודי ביותר של ה-CIA נשאר מאובטח.
"Data in Confluence, פלטפורמת שיתוף פעולה ותקשורת, וכמה נתונים ב-Stash, מאגר קוד מקור, שוחררו על ידי WikiLeaks; אנו מעריכים שלוויקיליקס יש את כל נתוני Confluence ו-Stash. עם זאת, אנו מעריכים כעת בביטחון בינוני ש-WikiLeaks אין ברשותה את תיקיית הזהב של הגרסאות הסופיות של כל הכלים שפותחו וקוד המקור שנמצאו ברשת הפיתוח (DevLAN), למרות שלטענת WikiLeaks היא פרסמה רק חלק קטן מהארכיון שברשותו תיקיית הזהב הייתה מוגנת יותר עד כה פרסמה נתונים ב-Stash למרות הזמינות של כלים חדשים יותר, קל יותר לניצול, וגודלו של זהב, כמה טרה-בייט יְצוּא."
