7 Lärdomar från #vault7-läckan

Security

 

Vault 7-läckan som dök upp i början av mars utgör antingen det mest signifikanta offentliggörandet av sekretessbelagd information från USA:s myndigheter sedan Edward Snowden-dokumenten började cirkulera under 2013. Eller så kan den här läckan visa sig vara ”större än Snowden”.

Nedan bidrar F-Secures experter med sju viktiga lärdomar de tar med sig från läckan – bland dem det senaste tillskottet till teamet: Andra Barisani, internationellt erkänd säkerhetsforskare och grundare av Inversive Path. Sedan förvärvet av bolaget är han ansvarig för hårdvarusäkerhet på F-Secure.

  1. Läckorna visar bara vad experterna redan tagit för givet

Wikileaks, som publicerar Vault 7-dokumenten, presenterar läckan som ”hela CIA:s hackningsförmåga”, fördelat på närmare 9 000 dokument. Bland annat visar de på hur CIA kan bryta sig in i mobiltelefoner, datorer och till och med uppkopplade tv-apparater genom att använda trick som enligt utsago kan smyga sig förbi de flesta stora antiviruslösningarna – inklusive F-Secure, ett påstående som vår Labs-grupp började undersöka omgående.

Wikileaks metod den här gången är att publicera hela läckan direkt, i jämförelse med Snowden-dokumenten som granskades, sorterades och portionerades ut av journalister på bland annat The Guardian och Washington Post. Men även om dokumenten i den här läckan chockade många internetanvändare, så bekräftade de mest vad många säkerhetsexperter världen över redan misstänkte.

”Spioner spionerar”, skrev Andy Patel, säkerhetsexpert på F-Secure. ”Och att spioner använder verktyg för att hacka saker är…som förväntat.”

  1. Vault 7 borde vara en väckarklocka för allmänheten.

”Den här typen av program och den här typen av verksamhet är vad man kan förvänta sig från vissa organisationer”, säger Andrea Barisani. Jag tror inte att det största genomslaget och de största effekterna av den här läckan kommer att finnas inom säkerhetsvärlden, jag tror att det är den bredare allmänheten som kan uppfatta den typen av metoder och verktyg som helt oväntade.”

Hypponen’s Law” säger att ”Så fort en enhet kallas ’smart’, så betyder det att den är sårbar.”

Förhoppningsvis innebär de här läckorna att miljoner, rentav miljarder, människor världen över blir medvetna om att allt som går att koppla upp på internet också kan hackas – oavsett om det är en tv, ett kylskåp eller en brödrost.

Eller, som The Onion så träffsäkert konstaterade:

Det är ett faktum att säkerhet när det kommer till uppkopplade prylar och IoT ofta varit något av en eftertanke, snarare än en central del av produktutvecklingen.

”Det är viktigt att säkerställa att allt från design till genomförande är säkert från början”, säger Andrea.

Förra året gav osäkra IoT-enheter upphov till den största attacken någonsin mot infrastrukturen bakom internet:

Och om det inte övertygade oss att börja ta den här typen av säkerhetsfrågor på allvar, så kanske Vault 7 kommer att göra det. Eller som Andrea uttrycker det: ”Det är dags att agera, om det inte var dags för det igår…”

  1. Den bästa OPSEC- taktiken är att aldrig bli måltavla för en ”trebokstavsmyndighet”

Underrättelsetjänster runt om i världen har miljarder och åter miljarder dollar att spendera – och med tanke på den framträdande roll som it-säkerhet spelade under det amerikanska valet 2016, kan du vara säker på att de kommer att spendera mer och mer på digital underrättelseverksamhet och hacking. Och för den som har tillräckligt med pengar och arbetstimmar, är det mesta möjligt.

”Frågan är egentligen inte om CIA kan kringgå våra produkter, svaret på det är alltid ja”, förklarar Mikko Hyppönen, F-Secures forskningschef. ”Om de inte kan göra det just nu, investerar de ytterligare en miljon för att hitta ett fel. Det har till synes bottenlösa medel för att ägna sig åt sådan verksamhet. Omfattningen av deras hacking-kampanj mot säkerhetsleverantörer och hårdvarutillverkare som beskrevs i Wikileaks-dokumenten, vittnar om precis det.”

  1. Det finns fara i dessa läckor

Chansen finns att du inte är aktuell som måltavla för CIA och således inte behöver oroa dig för att bli en direkt måltavla för deras arsenal av hackerverktyg. Men de nolldagars-sårbarheter som finns i läckorna, säkerhetsluckor som inte avslöjats för leverantörer tidigare och som inte är kända och alltså inte har täppts till, utgör i allra högsta grad risker för Internetanvändare över hela världen.

”När det kommer ut verktyg och kod för att utnyttja dessa luckor så öppnas de upp för alla möjliga typer av kriminella grupper, säger Andrea Barisani. ”Att de sprids är inget vi ska ta med en klackspark.”

Mikko Hyppönen tycker att det är både ironiskt – och oroande – att CIA sitter och håller på den typen av sårbarheter:

”I länder som USA, har underrättelsetjänsten i uppdrag att hålla medborgarna i landet säkra”, säger han. ”Vault 7-läckan visar att CIA hade kännedom om sårbarheter gällande iPhone. Men i stället för att informera Apple beslutade de att hålla det hela hemligt. Så den här läckan lättar lite på locket och visar oss hur CIA använder sin kunskap: de tyckte att det var viktigare att hålla alla osäkra än att skydda sina medborgare från intrång, och kanske snarare utnyttja sårbarheterna för sina egna syften.”

  1. Uppdateringar spelar roll

Läckorna visar hur viktigt det är för demokratier att ha ordentlig tillsyn över underrättelsetjänsternas arbete. De visar också hur viktigt det är att hålla sina enheter uppdaterade.

Vad dessa 9 000 dokument gör är bekräftar en självklarhet: mjukvara är aldrig perfekt. De behöver ständigt uppdateras och patchas.

Både Apple och Google svarade på Vault 7-läckan med att försäkra att deras kunder kommer att hållas skyddade med säkerhetsuppdateringar. Och det är sant att de senaste versionerna av såväl IOS som Android ger den bästa möjliga säkerheten på respektive plattform. Men data från vår VPN-tjänst Freedome visar att iOS-användare är mycket snabbare på att uppdatera mjukvaran än Android-användare. Medan de flesta Apple-användarna faktiskt kör den senaste versionen av iOS, 10,2, har bara en bråkdel av Android-användarna uppgraderat till Android version 7 – som släpptes sommaren 2016.

”Sammanfattningsvis: om du kör Android och överhuvudtaget bryr dig om säkerhet…se till att välja telefon och surfplatta med omsorg”, säger Sean Sullivan, F-Secure Security Advisor. ”Det är bara ett fåtal tillverkare som satsar på att förse sina användare med Googles månatliga säkerhetsuppdateringar.”

  1. Vi sa ju att vi inte har några bakdörrar

I åratal har vi sagt att det inte finns några bakdörrar i våra lösningar, som släpper igenom brottsbekämpande myndigheter. Och de läckta dokumenten bevisar nu faktiskt vår poäng att underrättelsetjänster måste hacka våra produkter för att ta sig igenom. Det är glädjande att se att det är svårt för CIA att kringgå vårt skydd.

  1. Det är uppenbart att det här inte kommer att vara den sista läckan

”Det är ingen överraskning att CIA använder dessa hackartekniker. Vad som faktiskt är otippat är läckan i sig, och den är enorm ”, säger Mikko Hyppönen. ”Så frågan är vem som läckte den till Wikileaks? Var det ryssarna, var det en insider? Vi vet inte. En annan fråga som vi måste ställa oss, varför läckte de här dokumenten just nu?”

Svaren på dessa frågor kan hjälpa till att förutsäga nästa omgång läckor som vi sannolikt kommer att få se. Men för tillfället så är det bara att konstatera: Om du är involverad i politik eller verksam inom företagsvärlden, på nationell eller internationell nivå, så måste du anta att någon hackar dig.

Och om du inte är hackad så kan du lika gärna ta det som en förolämpning.

 

Taggar

Betygsätt den här artikeln

0 röster

0 kommentarer

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

Du kanske också gillar

%d bloggare gillar detta: