ביום שלישי, ויקיליקס פרסמה שלל עצום של מסמכים לא מאומתיםטענותהגיע מ"רשת מבודדת ובעלת אבטחה גבוהה שנמצאת בתוך המרכז למודיעין סייבר של ה-CIA".

המסמכים, מתוארכים 2013 עד 2016 וכונו "כספת 7" על ידי ויקיליקס, מתארים כלים רבי עוצמה שבהם השתמשה הסוכנות לכאורה כדי לפרוץ לסמארטפונים, מחשבים וטלוויזיות.

הגילויים עסיסיים, אך ככל הנראה יעברו ימים עד שהפרטים החשובים יתבצעו. הנה מה שאתה צריך לדעת עכשיו.

האם ה-CIA פורץ לי?

לא, כנראה שלא. בעוד שטקטיקות ה-CIA המתוארות בהחלט מפחידות (במיוחד בגלל שהן מנצלות פרצות אבטחה שחברות טכנולוגיה לא יודעות עליהן), אתה לא צריך להתחרפן.

ראשית, בעוד שהמסמכים של Vault 7 מתארים טכניקות מדויקות בפירוט, לא נראה שיש פרטים על השימוש בהם נגד מטרות בודדות. אלא אם כן אתה באיזושהי זירת הברחה תת-קרקעית, סביר להניח שלא ממוקדים אותך.

אפליקציות כמו Signal ו-WhatsApp המספקות הצפנה מקצה לקצה עדיין בטוחות להפליא, וכדאי להשתמש בהן.

כמו כן, עליך להקפיד במיוחד על קישורים הנשלחים אליך בדוא"ל. אל תלחץ על שום דבר עד שאתה בטוח לחלוטין שזה לגיטימי. וכמובן, להשתמשאימות דו-גורמימתי שאפשר.

האם ה-CIA הצליח לפרוץ לאפליקציות כמו WhatsApp ו-Signal?

למרות כמה ציוצים מבלבלים של ויקיליקס, לא נראה שהטכניקות של ה-CIA פיצחו את ההצפנה החזקה במיוחד בה השתמשו אפליקציות כמו WhatsApp ו-Signal. במקום זאת, ה-CIA ככל הנראה ניצלה ניצולים שמכוונים למערכות ההפעלה בהן האפליקציות פועלות - כמו אנדרואיד ו-iOS.

ייתכן שהציוץ נמחק

ייתכן שהציוץ נמחק

אם הטלפון שלך עבר תיקון, זה לא משנה כמה חזקה אפליקציית הצ'אט המוצפנת שלך. ממה שאנו יכולים לדעת, אין שום דבר רע בהצפנה המשמשת אפליקציות כמו Signal. מסמכים אלו אינם מצביעים על כך שה-CIA מיירט הודעות שנשלחות באמצעות אפליקציות אלו.

במקום זאת, הם משתמשים בפרצות אבטחה כדי לפרוץ לטלפונים שבהם משתמשים באפליקציות, כמו אדוארד סנודן עצמומְחוּדָדהחוצה בתגובה להשלכת המסמכים.

ייתכן שהציוץ נמחק

מה מראים המסמכים שה-CIA פרץ?

החלק הראשון של "שנת אפס", מכיל עשרות מה שמכונה "יום אפס" שפותחו כדי לפרוץ ל-iOS של אפל, למערכת ההפעלה אנדרואיד של גוגל, לטלוויזיות של Microsoft Windows ו-Samsung.

ניצול יום אפס הן פרצות תוכנה שאינן מוכרות לחברה שפיתחה את התוכנה. במילים אחרות, המסמכים של ויקיליקס מראים שה-CIA הצליח לנצל פרצות שלכאורה אפל, גוגל ומיקרוסופט לא ידעו על קיומן במוצרים שלהן.

זה עשוי להרעיד את עולם הטכנולוגיה, מכיוון שהממשלה הבטיחה לספר לחברות טכנולוגיה כשהן מוצאות בעיות בתוכנה שלהן.

רגע, מה זה לגבי טלוויזיות סמסונג?

לטלוויזיות החכמות של סמסונג יש בקרות קוליות מיוחדות, שהאבטחה שלהן הייתהנחקר קודם. על פי המסמכים של Vault 7, ל-CIA היה ניצול ספציפי שכוון לטלוויזיות הללו כך שהן ייראו כבויות אך למעשה יהיו דולקות, כשהמיקרופונים שלהן מופעלים - בעצם הפך אותן לבאגים. עם זאת, זה דרש גישה פיזית לטלוויזיות, מכיוון שהניצול ניצל פגיעות באופן שבו הטלוויזיות קיבלו עדכוני קושחה דרך יציאת ה-USB, וסמסונג תיקנה אותה לאחר מכן.

ה-CIA שיתף פעולה עם MI5 של בריטניה בפריצת הטלוויזיה, והעניק לו כינוי בהשראתדוקטור הומפלצת: המלאכים בוכים.

מדוע הממשלה לא אמרה לחברות הטכנולוגיה שהם מצאו בעיות?

אם המסמכים אותנטיים, כנראה שה-CIA לא חשף את נקודות התורפה הביטחוניות שתיאר כדי לשמור על הביטחון הלאומי.

הסוכנות כנראה רצתה להמשיך לרגל באמצעות הפרצות שמצאה, במקום לתת לחברות הטכנולוגיה את ההזדמנות לתקן אותן. אבל ממשל אובמה הבטיח זאת בעברהיהספר לחברות טכנולוגיה כשהיא גילתה בעיות.

לאחר שאדוארד סנודן הדליף מידע על מאמצי הפריצה של הסוכנות לביטחון לאומי (NSA), ממשל אובמה אמר כי יחשוף פגיעות ביום אפס שגילה לאחר 2010 על בסיס מתמשך באמצעות הליך מינהלי שנקרא תהליך השוויון (VEP).

אם המסמכים האחרונים מוויקיליקס הם אותנטיים, זה יצביע על כך שהממשלה אכן אוגרת את המעללים, למרותהצהרותמגורמים רשמיים שציינו שלא.

על מנת להגן על טכניקות הפריצה שלה, ייתכן שה-CIA הותיר את יצרניות הטכנולוגיה האמריקאיות הגדולות כמו אפל בגוגל בחושך בנוגע לבעיות אבטחה.

ממשלת ארה"בדוחותשהיא חושפת 91 אחוז מהחולשות החדשות שהתגלו. יתכן שהמכלול של ויקיליקס של ניצול יום אפס מייצג את 9% מהפרצות שה-CIA לא חושף, או שהנתון המדווח של הממשלה עשוי להיות לא מדויק.

גוגל, סמסונג ואפל לא השיבו בקשות להגיב ביום שלישי בבוקר. דובר מטעם מיקרוסופט אמר: "אנו מודעים לדו"ח ובודקים אותו".

וואטסאפ סירבה להגיב כשהושגה, אך ציינה שהיא בוחנת את המידע מוויקיליקס.

איך ויקיליקס השיגה את כל המסמכים האלה?

הגילוי המזעזע ביותר של המזבלה של ויקיליקס עד כה הוא שה-CIA לכאורה "איבד שליטה על רוב ארסנל הפריצות שלו".

ארכיון כלי הפריצה של הסוכנות, לפי ויקיליקס, נשלח בין קבלנים ממשלתיים להאקרים בצורה לא מאובטחת. לאורך הקו, מישהו שחרר את סט הכלים העצום לוויקיליקס.

לעת עתה, ויקיליקס לא פרסמה את נשק הסייבר בעצמו, כך שהאקרים ואנשים אחרים עם כוונות רעות לא יכולים להתעלל בהם.

הארגון אמר ב-אהודעה לעיתונותשהיא לא תשחרר אותם "עד שתיווצר קונצנזוס על האופי הטכני והפוליטי של התוכנית של ה-CIA וכיצד יש לנתח, לפרק ולפרסם 'נשק' שכזה".

האם המסמכים אמיתיים?

זה גם בהחלט אפשרי שהמסמכים ששחררו ויקיליקס הם מזויפים או מטעים. במבט ראשון הם נראים אמיתיים.

ייתכן שהציוץ נמחק

מסמכי ויקיליקס, כולל רבע מיליון כבלים דיפלומטיים שפרסמו מנתח המודיעין לשעבר של הצבאצ'לסי מאנינגואלפי מסמכים שנלקחו מהסוכנות לביטחון לאומי (NSA) על ידי אדוארד סנודן, הוכחו כאמיתיים בעבר.

"איננו מגיבים על האותנטיות או התוכן של מסמכים מודיעיניים לכאורה", אמר דובר ה-CIA בהצהרה.

"במבט ראשון [פרסום הנתונים] הוא כנראה לגיטימי או מכיל הרבה דברים לגיטימיים, מה שאומר שמישהו הצליח לחלץ הרבה נתונים ממערכת CIA מסווגת ומוכן ליידע את העולם על כך", ניקולס וויבר, א. חוקר אבטחת מחשבים באוניברסיטת קליפורניה בברקלי, סיפרהוושינגטון פוסט.

גם אם המסמכים שפורסמו הם אותנטיים, הם עלולים להיות מוצגים בצורה מטעה. לוויקיליקס יש גם שיקול דעת מלא להשמיט מסמכים שהיא לא רוצה לפרסם.

אם ההדלפה אמיתית, זה יכול לשנות את האופן שבו אנחנו חושבים על ה-CIA.

ארה"ב בנתה היסטורית את יכולות התקפת הסייבר שלה בתוך הסוכנות לביטחון לאומי. ל-CIA לא היו באופן מסורתי יכולות כאלה או שחשבו שהוא זקוק להן, אבל ייתכן שהן נחוצות יותר ויותר עבור פעולות הריגול שלה.

בהתחשב בכך שהממשלה לא הגיבה על כך, יתכן שלסוכנות לא היה מושג שהמידע הזה דלף והיא מנסה לאמת את כל זה בעצמה, מה שמצביע גם על זהירות.

יחד עם זאת, אנחנו יודעים כבר שנים שסוכנויות כמו ה-FBI השתמשו בכלי פריצה שאפשרו להן לפרוץ לטלפונים סלולריים, כך שזה לא בדיוק מזעזע שה-CIA יכול לעשות את אותו הדבר.

עוד משהו שאני צריך לדעת?

ה-CIA מאוד אוהב ממים רעים, אנשים. מלבד מסמכים, מזבלה של ויקיליקס כללה גםהמון ממיםהסוכנות אגרה. לא לגמרי ברור למה הם שימשו, אבל מאוד כיף להסתכל עליהם.

במיוחד אלה שפגעו רק בקְצָתקרוב מדי לבית: