CIA「史詩級」網絡軍火庫的泄露，竟是「極度鬆懈」下的買單？

【導讀】三年前，一場美國史上最大數據泄露事件，「撼動」了美國中央情報局（CIA）的世界級地位。三年後，一份的「沉寂」報告被全面公開，直指美中情局的各類「不做爲」行徑。餘浪不斷的CIA軍火庫泄露事件背後，究竟隱藏着何種鮮爲人知的祕密？大國背後的網絡安全問題憑何遭到「詬病」，安全防護失效、隱患重重之下，到底是何做祟？今天，咱們就來說講「Vault7（穹窿7）」這段「史詩級」軍火庫被泄露事件的「前因」與「幕後」。

衆所周知，美國中央情報局（CIA）做爲世界最大，最著名的情報機構，其基本職能就是收集、整理、分析、評估各方情報，並把這些情報提供給美國政府各個部門。

「顛覆政變、隻手遮天、製造混亂」一度成爲美國中央情報局的熱門代名詞。

而近年來，隨着網絡信息化的不斷深化，美國中情局也逐步開始將觸角伸向數據信息、網絡監視甚至我的隱私領域上。

• 2011年8月，繼微軟以後，中情局要求谷歌交出儲存在歐洲資料中心的數據，引起了歐美外交論戰。
• 2013年6月，前中情局僱員愛德華·斯諾登曝光「棱鏡」項目，指控中情局長期對境內外監控監聽。
• 2014年10月，中情局着手研究滲透汽車控制系統的黑客工具，其中一個功能就是，探測汽車上存在的可能的暗殺陰謀。

……

能夠說，「不可一世」的美國在當時的世界網絡情報數據的掌控與網絡武器的運用已經到達「爐火純青」的地步。

然，極速飛行必有風險，美國中央情報局的「高光時刻」延續到2017年就遭遇重創。

這一年，維基解密（WikiLeaks）對「Vault7（穹窿7）」的曝光，將美中情局推上輿論的風口浪尖，引發國際社會的強烈抗議。與此同時，也給美國中情局自身安全防護領域強有力的一擊。

現在三年已過，對於這次「重磅級」泄露事件或仍心有餘悸的美國，終於肯就此進行公開「覆盤」。

昨天，美國參議院情報委員會一名參議員羅恩·懷登（Ron Wyden）公佈了一份關於2017年CIA違規的內部報告。該報告稱：

許多美國中央情報局最敏感的黑客工具的安全性都很是差。尤爲在過去十年中，美國情報界一而再，再而三地遭受大規模泄密事件的打擊。

其中，就包括情報局「史詩級」軍火庫「Vault7（穹窿7）」的泄露，懷登更是將其稱爲「可悲的鬆懈」。

更爲恐怖的是，若是維基解密方沒有公佈批量泄露的CIA黑客工具，美中情局仍不會知曉其內部已遭到網絡攻擊。

此外，該報告還表示：「咱們大多數敏感的網絡武器都沒有隔離，用戶共享系統管理員級別的密碼，沒有有效的可移動媒體控件，而且歷史數據能夠無限期地提供給用戶……

而因爲與平常代理商員工普遍使用的系統分開，致使該專門部門及其所依賴的利基信息技術系統採起的網絡安全措施不嚴。「

針對這份報告¹，或者一言以蔽之「安全防護性太差了」。

能夠說，今天這場全新的「覆盤」，讓看似「老生常談」的CIA網絡軍火庫泄露事件的「幕後」再被深挖一層，而這深層的一點竟是「極度鬆懈」下的買單？

而透過報告及其結論，智庫從中也看到了幾點端倪：

其一，只「攻」不 「防」的處置態度

據外媒報道，在致新任國家情報局局長約翰·拉特克利夫的信中，中央情報局就明確表示，「即便以損害自身系統爲代價，也要優先建造網絡武器。」足見，美國最高情報機構網絡安全防護的消極寬鬆處理態度。

因此，若是一味地追求攻擊端的能力而忽略防護體系地完善，將極大增長網絡威脅風險，其後果更是不堪設想。

其二，「亡羊」未見「補牢」的處置手段

羅恩·懷登表示，距離提交違規報告已有三年時間，但中情局的網絡情報中心至今仍未實行任何防控數據被盜的計劃。情報界處於落後階段，甚至未能採用在聯邦政府其餘地方普遍使用的最基本的網絡安全技術。

亡羊補牢都未必能夠補救過失，更沒必要說，發生威脅後的無動於衷了。忽略已知的安全隱患，必定程度上就是爲攻擊者大開攻擊的「方便之門」。

其三，人是網絡安全最「薄弱」環節

縱觀這次事件始末，不論是竊取CIA軍火庫的前僱員，仍是內部安全人員、決策者都有着逃脫不掉的責任。若是內部沒法造成相應的安全警告或嚴懲方式，天然就不會對其作出響應。

能夠說，解決不了人的問題，安全威脅將必然存在。

智 庫 時 評

即便是超級大國，即便是超級大國的中央情報局又如何，在「可悲寬鬆」的安全性面前，誰都是在扮演「近乎裸奔」的角色，最終都難逃被滲透攻防的命運。

參考連接：

[1]報告連接－https://www.wyden.senate.gov/...

[2]threatpost－《中央情報局「 7號避難所」祕密被盜》