安全專家全方位解讀NSA和CIA網路武器泄露事件

E安全5月1日文
美國近幾年被機密「曝光」事件攪得焦頭爛額，也一直在調查這幾起「爆料」事件背後的「元兇」。不止美國，甚至全球都在關注事情的進展，當然不乏行業各路專家大膽猜測、解讀如此重磅的泄露事件。全球知名的安全技術專家布魯斯·施奈爾根據自己的了解和猜測做出了解讀。

按照安全專家布魯斯·施奈爾的解讀，他認為有三點需要考慮：

1. 某人，可能是某國的情報機構正將NSA大量網路工具暴露在互聯網上。

2. 其它人，或許還是同一人，對CIA「痛下殺手」。

3. 今年3月，NSA副局長理查德·萊吉特描述了NSA如何滲透到俄羅斯情報機構的計算機網路，並在他們2014年攻擊美國國務院時對其進行監控。更明確地說，施奈爾猜測美國的盟友英國不止入侵了俄羅斯情報機構的計算機，還入侵了俄情報機構內的監控攝像頭。官員表示，英國監控到俄羅斯黑客進入美國系統。當俄黑客出入俄情報機構工作區時，他們能通過監控攝像頭看到臉。

國家通常不會透露自身的情報能力：「來源和方法」，因為一旦對手得知如何修復之類的重要信息，不止目標國家會從泄露的情報能力中有所收穫。當美國宣布能通過俄羅斯黑客建築內的攝像頭進行監控時，其它國家也會立即檢查自己的攝像頭是否安全。

讓我們回顧一下近期幾起NSA和CIA機密文件泄露事件。

關於NSA黑客工具被泄的多種推測

去年，「影子經紀人」（Shadow

Brokers）開始公開NSA三年前使用的黑客工具和文件。今年，「影子經紀人」再拋下重磅爆料，公開了五套NSA文件，並暗示還會揭露更多機密文件。至於他們如何獲取的文件，目前不得而知。當影子經紀人第一次浮出水面時，人們普遍認為，有人發現併入侵了NSA外部登台伺服器（Staging

Server）。這些伺服器屬於第三方，而NSA絕密黑客小組TAO（特定入侵辦公室）正是利用這些伺服器發起網路攻擊。這些伺服器中肯定包含TAO攻擊工具。這種揣測不無道理，因為泄露的文件中包含腳本目錄和攻擊說明。當然，還有其它的可能性：是否是NSA內部人員因疏忽或故意為之，從而暴露了這些文件呢？或黑客剛好幸運地發現緩存？這些目前仍是一個謎團。

最近，影子經紀人再泄密，曝出了NSA針對Windows、PowerPoint演示的攻擊工具以及操作說明。這起爆料之後，上述揣測便不攻自破了。因為這些文件絕不可能存在NSA外部登台伺服器上。另外還有一種可靠的解釋是，影子經紀人公開的NSA數據存在多種來源。第一批泄露文件來自外部登台伺服器，而最近曝光的文件來自NSA內部。

難道是NSA內部人員不慎將錯誤的伺服器連接到了外部網路上？這種情況有可能發生，但似乎發生的可能性不大。那麼是NSA遭遇了入侵？或者NSA內部潛伏了「間諜」？

施奈爾認為，如果有間諜，也可能已經被逮捕了。 泄露文件中有足夠的特徵查明來源和時間。當然，NSA很清楚誰有可能拿走這些文件。美國情報機構很清楚，如果間諜嚴重背叛所在機構，其臭名將會遠揚。

相關閱讀：

影子經紀人泄漏美國NSA的117.9MB黑客工具包淺析

關於內部人員，施奈爾認為有兩種可能

第一種可能是：文件來自哈羅德·馬丁。馬丁是NSA的承包商，他因囤積機密於今年八月在家中被捕。他不可能是文件公開者，因為他在監獄服刑期間，影子經紀人仍在活躍，或許是泄密者從他那裡獲取了文件，即馬丁將文件交給泄密者或他自己遭遇了黑客入侵。從時間來看，這種推測在理論上是成立的，但是，文件的內容是針對具有訪問許可權不同的人。馬丁的公開起訴書也未提及將機密售賣給外國一事。但是，這種可能性仍無法排除。

另一種可能性是：還存在另一起曝光NSA黑客工具的事件。據報道，2015年夏季還發生過另一起未披露的網路攻擊工具泄露事件，也是TAO的員工所為。此人也已被捕，但這起案件並未公開，據稱該黑客未將情報與他國共享，但這並不能說明此人沒這麼干。

另一方面，也有可能是他人滲透到了NSA的內部網路。NSA工具能入侵其它網路的事實眾人皆知，因為也不排除NSA網路遭遇其它工具入侵的可能性。內部網路遭遇黑客攻擊的事態相當嚴重，這足以說明去年國防部和情報界負責人敦促白宮解僱NSA局長邁克-羅傑斯的原因。

CIA機密文件泄露事件

CIA泄露文件包含一系列一年前的攻擊工具。據了解情況的消息人士推測，由於Confluence伺服器從未連接過互聯網，內部人員被迫放棄該伺服器上的數據，或外部人員入侵了CIA獲取了副本，之後將這些文件交給了維基解密。

CIA文件泄露一事也非同小可，給CIA造成了重大損害。這些工具是新的，並且功能強大。據施奈爾了解，CIA正聘用程序員替換丟失的文件。

對於NSA和CIA文件泄露事件，最大的問題在於歸因：幕後黑手是誰？揭發者不會等上幾年才公之於眾，而可能會像斯諾登或曼寧立即公開，並公開包含美國對目標採取措施的討論文件，而不簡單是大量攻擊工具。只公開攻擊工具對黑客或網路犯罪而言沒有意義。因此，這兩宗泄露事件可能是國家型攻擊者所為。

施奈爾猜測這兩宗數據泄露事件與俄羅斯有關。他認為，幕後黑手有能力入侵NSA和/或CIA，且願意公之於眾。以色列和法國這類國家肯定具備這類能力，但這些國家不會選擇公開；韓國或伊朗這樣的國家可能還不具備這種能力。符合這種標準的國家為數不多，例如俄羅斯和中國，但他認為，中國不太可能，因為中國目前正與美國拉近關係。

去年8月，斯諾登也猜測是俄羅斯所為。

無論誰是「元兇」，其意圖可能是竊取機密文件用於自身網路防禦，以及入侵其它國家。最近才選擇公開這些機密，這就意味著現如今信息的價值不及讓NSA和CIA難堪帶來的價值。這可能是因為，美國可能知道工具被竊是誰所為，因此利用這些工具攻擊美國政府目標的價值不大，但是用來攻擊第三方仍具有重大價值。

相關閱讀：

CIA Vault7泄露文檔第五波：多平台入侵植入和管理控制工具HIVE

美情報系統身陷破窗效應：維基解密再曝CIA驚天內幕【附下載】

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。