Contenido
•
Comunicado de prensa•
Análisis•
Ejemplos•
Preguntas más frecuencia
Hoy, martes 7 de marzo de 2017, WikiLeaks comienza su nueva serie de filtraciones en la Agencia Central de Inteligencia de Estados Unidos. El nombre clave de "Vault 7" por WikiLeaks, es el más grande jamás publicación de documentos confidenciales sobre la agencia.
La primera parte completa de la serie, "Año Cero", se compone de 8.761 documentos y archivos de una red aislada, de alta seguridad situada en el interior de la CIA
Centro de Ciber Inteligencia en Langley, Virginia. De ello se desprende una divulgación introductoria el mes pasado de
la CIA focalización partidos políticos franceses y candidatos en el período previo a la elección presidencial de 2012 .
Recientemente, la CIA perdió el control de la mayor parte de su arsenal piratería informática incluyendo malware, virus, troyanos, exploits en armas "día cero", sistemas de control remoto de malware y la documentación asociada. Esta extraordinaria colección, lo que equivale a más de varios cientos de millones de líneas de código, da a su poseedor la capacidad total de la piratería de la CIA. El archivo parece haber sido distribuido entre los antiguos piratas informáticos del gobierno estadounidense y contratistas de forma no autorizada, uno de los cuales ha proporcionado WikiLeaks con partes del archivo.
"Año Cero" introduce el alcance y la dirección del programa de piratería encubierta global de la CIA, su arsenal de software malicioso y de "día cero" docenas en armas explota contra una amplia gama de productos estadounidenses y europeos de la compañía, incluyen el iPhone de Apple, Android de Google y Windows de Microsoft y incluso televisores de Samsung, que se convirtió en micrófonos ocultos.
Desde 2001, la CIA ha ganado preeminencia político y presupuestario de la Agencia de Seguridad Nacional de Estados Unidos (NSA). La CIA se vio no sólo la construcción de su flota de aviones no tripulados ahora infame, pero un tipo muy diferente de la fuerza encubierta, globo-que atraviesa - su propia flota considerable de los piratas informáticos. división de la piratería de la agencia liberó de tener que revelar sus operaciones a menudo controvertidas la NSA (su rival burocrático primaria) con el fin de trazar las capacidades de piratería de la NSA.
A finales de 2016, la división de la piratería de la CIA, que se inscribe formalmente bajo de la agencia
Centro de Ciber Inteligencia (CCI), tenía más de 5000 usuarios registrados y había producido más de mil sistemas de hackers, troyanos, virus, y otros "en armas" software malicioso . Tal es la magnitud del compromiso de la CIA que en 2016, sus hackers habían utilizado más código que se utiliza para ejecutar Facebook. La CIA había creado, en efecto, su "propia NSA" con menos responsabilidad y sin contestar públicamente la cuestión de si un gasto presupuestario tan masiva en la duplicación de la capacidad de una agencia rival podía justificarse.
En una declaración a la fuente de WikiLeaks detalles de las cuestiones de política que dicen con urgencia necesitan ser debatido en público, incluyendo si las capacidades de la piratería de la CIA exceden sus facultades encomendadas y el problema de la supervisión pública de la agencia. La fuente desea iniciar un debate público sobre la seguridad, la creación, el uso, la proliferación y el control democrático de las armas cibernéticas.
Una vez que un ciber única "arma" es "flexible" se puede propagar en todo el mundo en cuestión de segundos, para ser utilizado por los estados rivales, la mafia cibernéticos y hackers adolescentes por igual.
Julian Assange, editor de WikiLeaks declaró que "Hay un riesgo de proliferación extrema en el desarrollo de 'armas' cibernéticos. Se pueden hacer comparaciones entre la proliferación descontrolada de estas" armas ", que resulta de la incapacidad para contener los combinaron con su alta mercado valor, y el comercio mundial de armas. Sin embargo, el significado de "Año cero" va más allá de la posibilidad de elegir entre la guerra cibernética y ciberpaz. la divulgación también es excepcional desde el punto de vista político, legal y forense ".
Wikileaks ha revisado cuidadosamente la divulgación "Año Cero" y publicado documentación sustantiva de la CIA evitando al mismo tiempo la distribución de armas cibernéticas 'armados' hasta que un consenso surge de la naturaleza técnica y política del programa de la CIA y de la mencionada 'armas' deben analizados, desarmado y publicado .
Wikileaks también ha decidido
redactar y anonimización alguna información de identificación en "Year Zero" para un análisis en profundidad. Estas redacciones incluyen decenas de miles de los objetivos de la CIA y máquinas de ataque en toda América Latina, Europa y Estados Unidos. Si bien somos conscientes de los resultados imperfectos de cualquier enfoque elegido, seguimos comprometidos con nuestro modelo de publicación y observamos que la cantidad de páginas publicadas en "Vault 7" primera parte ( "Year Zero") ya eclipsa el número total de páginas publicó más los tres primeros años de las fugas de Edward Snowden NSA.
Análisi CIA malware se dirige a iPhone, Android, televisores inteligentes
CIA malware y herramientas de hacking son construidos por EDG (Grupo de Ingeniería de Desarrollo), un grupo de desarrollo de software dentro de CCI (Centro de Inteligencia Cibernética), un departamento perteneciente a la DDI de la CIA (Dirección de Innovación Digital). El IDD es uno de los cinco principales direcciones de la CIA (véase este
organigrama de la CIA para más detalles).
El GED es responsable del desarrollo, prueba y soporte operacional de todas las puertas traseras, exploits, cargas maliciosas, virus, troyanos y cualquier otro tipo de malware utilizado por la CIA en sus operaciones encubiertas en todo el mundo.
La creciente sofisticación de las técnicas de vigilancia ha sido comparado con el 1984 de George Orwell, pero "El llanto del ángel", desarrollado por la CIA
dispositivos integrados Branch (EDB) , que infesta los televisores inteligentes, transformándolos en los micrófonos encubiertas, es sin duda la más emblemática realización.
El ataque contra
Samsung Smart TV fue desarrollado en cooperación con el Reino Unido MI5 / BTS. Después de la infestación, que llora Ángel coloca el televisor de destino en un modo de "falso-Off ', por lo que el propietario falsamente cree que el televisor está apagado cuando está encendido. En el modo "falso-Off 'del televisor funciona como un error, la grabación de conversaciones en la habitación y enviarlos a través de Internet a un servidor encubierta de la CIA.
A partir de octubre de 2014, la CIA también estaba mirando a
infectar los sistemas de control de vehículos utilizados por los coches y camiones modernos . El propósito de este control no se especifica, pero permitiría la CIA llevar a cabo asesinatos casi indetectables.
Dispositivos móviles rama de la CIA (MDB) desarrollado
numerosos ataques de piratear y controlar de forma remota los teléfonos inteligentes populares . Teléfonos infectados pueden ser instruidos para enviar la CIA comunicaciones de geolocalización, audio y texto del usuario, así como activar de forma encubierta la cámara del teléfono y el micrófono.
A pesar de las acciones de iPhone minoría (14,5%) del mercado mundial de teléfonos inteligentes en 2016, una unidad especializada en la rama de desarrollo para móviles de la CIA produce software malicioso para infectar, control y exfiltrate datos de
iPhones y otros productos de Apple con iOS, tales como iPads . El arsenal de la CIA incluye
numerosos locales y remotos "cero días" desarrollados por la CIA u obtenidos de GCHQ, la NSA, FBI o comprados a los contratistas de armas cibernéticas como Baitshop. El enfoque desproporcionado en IOS se puede explicar por la popularidad del iPhone entre las élites sociales, políticas, diplomáticas y de negocios.
Una
unidad similar se dirige a Android de Google, que se utiliza para ejecutar la mayoría de los teléfonos inteligentes del mundo (~ 85%) como Samsung, HTC y Sony . 1,15 millones de teléfonos con Android se vendieron el año pasado. "Año Cero" muestra que a partir de 2016
la CIA tenía 24 "en armas" Android "cero días" que ha desarrollado en sí y obtenidos en el GCHQ, la NSA y contratistas de armas cibernéticas.
Estas técnicas permiten la CIA para sobrepasar el cifrado de WhatsApp, Señal, Telegrama, Wiebo, Confide y Cloackman por el pirateo de los teléfonos "inteligentes" que se ejecutan en la recogida y el tráfico de audio y el mensaje antes de aplicar el cifrado.
Objetivos de la CIA de malware de Windows, OSX, Linux, routers
La CIA también dirige un esfuerzo muy importante para infectar y controlar
usuarios de Microsoft Windows con su malware. Esto incluye varios locales y en armas a distancia "cero días", espacio de aire que salta virus como el
"Taladro Martillo" que infecta a los programas informáticos distribuidos en CD / DVD,
causantes de infecciones para los medios extraíbles, como memorias USB , sistemas para
ocultar datos en imágenes o en las áreas de disco encubiertas (
"Brutal canguro" ) y para
mantener sus infestaciones de malware va .
Muchos de estos esfuerzos de infección se tiran juntos por la CIA
Automatizado Implante Branch (AIB) , que ha desarrollado varios sistemas de ataque de la infestación y el control de la CIA automatizada de malware, como "asesino" y "Medusa".
Los ataques contra la infraestructura de Internet y servidores web son desarrollados por la CIA de
los dispositivos de red Branch (NDB) .
La CIA ha desarrollado sistemas automatizados de múltiples plataformas de malware de ataque y de control que cubren Windows, Mac OS X, Solaris, Linux y más, tales como "LA COLMENA" de EDB y la relacionada con "cabezas cortadas" y herramientas "Swindle", que se
describen en los ejemplos sección de abajo .
CIA '' acumulado vulnerabilidades ( "cero días")
Como consecuencia de las fugas de Edward Snowden sobre la NSA, la industria de la tecnología de Estados Unidos obtuvo el compromiso de la administración Obama de que el ejecutivo reveló en forma permanente - en lugar de tesoro - serias vulnerabilidades, exploits, insectos o "cero días" para Apple, google, Microsoft y otros fabricantes estadounidenses.
vulnerabilidades graves no dadas a conocer a los fabricantes de lugares amplios segmentos de la población y la infraestructura crítica en riesgo de inteligencia extranjera o ciber criminales que descubren de forma independiente o escuchan rumores de la vulnerabilidad. Si la CIA puede descubrir estas vulnerabilidades por lo que puede que otros.
El compromiso del gobierno de Estados Unidos para el
proceso de vulnerabilidades Las acciones se produjo después de grupos de presión significativa por las empresas tecnológicas de Estados Unidos, que corren el riesgo de perder su participación en el mercado mundial durante vulnerabilidades ocultas reales y percibidos. El gobierno declaró que revelar todas las vulnerabilidades descubiertas generalizados después de 2010, sobre una base en curso.
documentos "Año Cero" muestran que la CIA violó los compromisos de la administración Obama. Muchas de las vulnerabilidades utilizadas en el arsenal cibernético de la CIA son penetrantes y algunos ya pueden haber sido encontrado por los servicios de inteligencia rivales o los delincuentes cibernéticos.
A modo de ejemplo, el malware específico de la CIA revela en "Year Zero" es capaz de penetrar, infectar y controlar tanto el teléfono Android y el software de iPhone que se ejecuta o se ha quedado cuentas de Twitter presidenciales. Los ataques de la CIA este software mediante el uso de vulnerabilidades de seguridad no revelada ( "cero días") poseídas por la CIA, pero si la CIA puede cortar estos teléfonos a continuación, por lo que puede todos los que han obtenido o descubierto la vulnerabilidad. Mientras mantiene la CIA estas vulnerabilidades ocultas de Apple y Google (que hacen los teléfonos) no van a ser fijos, y los teléfonos permanecerán hackable.
Existen las mismas vulnerabilidades para la población en general, incluidos los del gabinete de Estados Unidos, el Congreso, los mejores directores generales, administradores de sistemas, personal de seguridad e ingenieros. Al ocultar estos fallos de seguridad de fabricantes como Apple y Google la CIA asegura que se puede cortar todo el mundo y mdsh; a costa de dejar a todos hackable.
programas 'ciberguerra' son un grave riesgo de proliferación
Cibernéticos 'armas' no son posibles para mantener bajo control efectivo.
Mientras que la proliferación nuclear ha sido restringido por los enormes costos y la infraestructura visible tareas de montaje suficiente material fisible para producir una masa crítica nuclear, cibernéticos "armas", una vez desarrollados, son muy difíciles de retener.
Cibernéticos 'armas' son, de hecho, sólo los programas de ordenador que puede ser pirateado como cualquier otro. Ya que están completamente formados por la información que pueden ser copiados de forma rápida sin coste marginal.
Asegurar tales armas '' es particularmente difícil, ya que las mismas personas que desarrollan y utilizan ellos tienen las habilidades para exfiltrate copias sin dejar huellas - a veces mediante el uso de las mismas "armas" contra las organizaciones que los contienen. Hay incentivos de precios sustanciales para los piratas informáticos gubernamentales y consultores para obtener copias ya que hay un "mercado de la vulnerabilidad" global que pagar cientos de miles de millones de dólares para las copias de tales armas ''. Del mismo modo, contratistas y empresas que obtengan dichas armas '' a veces los utilizan para sus propios fines, obteniendo ventaja sobre sus competidores en la venta de servicios de "hacking".
Durante los últimos tres años el sector de inteligencia de Estados Unidos, que se compone de agencias gubernamentales como la CIA y la NSA y sus contratistas, como Booz Allan Hamilton, ha sido objeto de serie sin precedentes de datos exfiltrations por sus propios trabajadores.
Un número de miembros de la comunidad de inteligencia aún no nombrados públicamente han sido detenidos o sujetos a investigaciones penales federales en incidentes separados.
Más visible, el 8 de febrero de 2017, un gran jurado federal de Estados Unidos acusó a Harold T. Martin III con 20 cargos de mal manejo de información clasificada. El Departamento de Justicia alegó que sacaron a unos 50.000 gigabytes de información de Harold T. Martin III que había obtenido de programas de anuncios en la NSA y la CIA, incluyendo el código fuente de numerosas herramientas de hacking.
Una vez que un ciber única "arma" es "flexible" se puede propagar en todo el mundo en cuestión de segundos, para ser utilizado por los estados de pares, la mafia cibernéticos y hackers adolescentes por igual.
Consulado de Estados Unidos en Frankfurt es una base secreta de hackers de la CIA
Además de sus operaciones en Langley la CIA también utiliza el consulado de Estados Unidos en Frankfurt como una base secreta por sus hackers que abarca Europa, Oriente Medio y África.
Los hackers de la CIA que operan en el consulado de Frankfurt (
"Centro para Cyber Intelligence Europe" o CCIE) se dan pasaportes diplomáticos ( "negro") y la tapa del Departamento de Estado.
Las instrucciones para los piratas de la CIA entrantes hacen esfuerzos de contra-inteligencia de Alemania aparecerá intrascendente: "Breeze por la aduana alemana porque tienes tu historia al dedillo la cubierta para la acción, y todo lo que hicieron fue un sello en el pasaporte"
Su portada (para este viaje)
Q: ¿Por qué estás aquí?
A: Apoyo a las consultas técnicas en el consulado.
Dos publicaciones de WikiLeaks anteriores dan más detalles sobre la CIA se acerca a
las costumbres y
procedimientos de detección secundarias .
Una vez en Frankfurt CIA hackers pueden sin más controles fronterizos a los 25 países europeos que forman parte de la zona fronteriza abierta Shengen - entre ellos Francia, Italia y Suiza.
Un número de métodos de ataque electrónicos de la CIA están diseñados para la proximidad física. Estos métodos de ataque son capaces de penetrar las redes de alta seguridad que se desconecta de Internet, tales como bases de datos de antecedentes penales. En estos casos, un agente de la CIA, agente o agente de inteligencia aliada actuando de conformidad con las instrucciones, se infiltra físicamente el lugar de trabajo de destino. El atacante se proporciona con un malware USB que contiene desarrollado para la CIA para este fin, que se inserta en el equipo de destino. El atacante infecta y exfiltrates de datos a medios extraíbles. Por ejemplo, el sistema de ataque de la CIA
comidas de lujo , ofrece 24 aplicaciones de señuelo para espías de la CIA a utilizar. Para los testigos, el espía parece estar en ejecución un programa que muestra vídeos (por ejemplo VLC), la presentación de diapositivas (Prezi), jugando un juego de ordenador (Ruptura2, 2048) o incluso la ejecución de un programa antivirus falso (Kaspersky, McAfee, Sophos). Pero mientras que la aplicación de señuelo está en la pantalla, el sistema subyacente está infectado y saqueada de forma automática.
¿Cómo la CIA aumentó drásticamente los riesgos de proliferación
En lo que es sin duda uno de los de inteligencia metas propias más sorprendentes que se recuerdan, la CIA estructuró su régimen de clasificación de tal manera que por la valiosa parte más mercado de "Vault 7" - de malware en armas de la CIA (implantes + cero días), los puestos de escucha ( LP), y de mando y control (C2) sistemas - la agencia tiene pocos recursos legales.
La CIA hizo estos sistemas no clasificados.
¿Por qué la CIA decidió hacer su cyberarsenal no clasificados revela cómo los conceptos desarrollados para uso militar no que sobrepasan fácilmente al 'campo de batalla' de la ciber guerra ''.
Para atacar a sus objetivos, la CIA lo general requiere que sus implantes se comunican con sus programas de control a través de Internet. Si se clasificaron los implantes de la CIA, de mando y control y la escucha de software Post, a continuación, agentes de la CIA podrían ser procesados o despedidos por violar las normas que prohíben la colocación de la información clasificada en Internet. En consecuencia, la CIA ha hecho en secreto la mayor parte de su código ciberespionaje / guerra sin clasificar. El gobierno de Estados Unidos no es capaz de hacer valer los derechos de autor o bien, debido a las restricciones en la Constitución de Estados Unidos. Esto significa que los ciber "brazos" fabrica y los piratas informáticos pueden libremente si se obtienen "piratas" estas "armas". La CIA ha tenido principalmente a depender de la ofuscación para proteger sus secretos de malware.
Las armas convencionales, tales como los misiles pueden ser disparados contra el enemigo (es decir, en un área no segura). Proximidad o el impacto con el objetivo de detonar los artefactos incluyendo sus partes clasificadas. De ahí que el personal militar no violan las reglas de clasificación por el disparo de la artillería con partes clasificadas. Ordnance probable que va a explotar. Si no es así, que no es la intención del operador.
Durante la última década las operaciones de piratería de Estados Unidos han sido vestidos cada vez más en la jerga militar para aprovechar del Departamento de Defensa vías de financiación. Por ejemplo, el intento de "inyecciones de malware" (jerga comercial) o "gotas" de implantes (NSA jerga) están siendo llamados "fuegos" como si se estuviera disparó un arma. Sin embargo, la analogía es cuestionable.
A diferencia de balas, bombas o misiles, la mayoría del malware CIA está diseñado para vivir durante días o incluso años después de que haya alcanzado su "objetivo". CIA el malware no "explotar al impacto", sino más bien de forma permanente infesta su objetivo. Para infectar el dispositivo de destino, las copias del software malicioso se deben colocar en los dispositivos de la diana, dando la posesión física del malware en el objetivo. Para exfiltrate datos de nuevo a la CIA o para esperar instrucciones del malware debe comunicarse con la CIA de mando y control (C2) sistemas colocados en los servidores conectados a Internet. Pero este tipo de servidores en general no son aprobados para contener información clasificada, por lo que los sistemas de mando y control de la CIA también se hacen sin clasificar.
El éxito de "ataque" en el sistema informático de un objetivo es más bien como una serie de maniobras de valores complejos de una oferta pública de adquisición hostil o el cuidado de la plantación de los rumores con el fin de obtener el control sobre el liderazgo de una organización más que el disparo de un sistema de armas. Si hay una analogía militar a realizar, la infestación de un blanco es quizás similar a la realización de toda una serie de maniobras militares contra el territorio de la diana incluida la observación, la infiltración, la ocupación y la explotación.
Evadiendo la medicina forense y antivirus
Una serie de normas lay out de la CIA patrones de infestación de malware que puedan ayudar a los investigadores la escena del crimen forenses, así como Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens y anti-virus empresas atribuyen y defienden contra los ataques.
"Tradecraft de hacer y no hacer" contiene reglas sobre cómo la CIA su software malicioso debe ser escrito para evitar dejar huellas que implican el "gobierno de la CIA, Estados Unidos, o de sus empresas asociadas Witting" en "revisión forense". Normas secretas similares cubren el
uso de cifrado para ocultar la CIA hacker y la comunicación de software malicioso (pdf),
que describe los objetivos y exfiltraron de datos (pdf), así como
las cargas útiles de ejecución (pdf) y
persistente (pdf) en las máquinas de la diana en el tiempo.
Los hackers de la CIA desarrollaron ataques con éxito contra los programas antivirus más conocidos. Estos están documentados en
derrotas AV ,
seguridad personal Productos ,
detectar y derrotar a PSP y
PSP / Depurador / RE de evitación . Por ejemplo, Comodo fue derrotado por
la CIA, el malware colocándose en "Papelera de reciclaje" de la ventana . Mientras Comodo 6.x tiene una
"enorme de la Hoya de Doom" .
Los hackers de la CIA discuten lo que los hackers "Grupo" Ecuación de la NSA hicieron mal y
cómo los responsables de malware de la CIA podrían evitar una exposición similar .
Ejemplos El sistema de gestión del Grupo de Desarrollo de Ingeniería de la CIA (EDG) contiene alrededor de 500 proyectos diferentes (algunas de las cuales están documentadas por "año cero"), cada uno con sus propias sub-proyectos, malware y herramientas de hackers.
La mayoría de estos proyectos se relacionan con las herramientas que se utilizan para la penetración, la infestación ( "implante"), el control y la exfiltración.
Otra rama de desarrollo se centra en el desarrollo y el funcionamiento de puestos de escucha (LP) y los sistemas de mando y control (C2) que se utilizan para comunicarse y controlar los implantes de la CIA; proyectos especiales se utilizan para orientar hardware específico de los routers a los televisores inteligentes.
Algunos ejemplos de proyectos se describen a continuación, pero ver
la tabla de contenidos para la lista completa de los proyectos descritos por WikiLeaks "Año Cero".
RESENTIMIENTO
técnicas de piratería hechos a mano de la CIA plantean un problema para el organismo. Cada técnica se ha creado forma una "huella digital" que puede ser usado por los investigadores forenses para atribuir múltiples ataques diferentes a la misma entidad.
Esto es análogo a encontrar el mismo cuchillo distintivo de la herida en múltiples víctimas de asesinato separadas. El estilo único de la herida crea la sospecha de que un solo asesino es responsable. Tan pronto un asesinato en el conjunto se resuelve entonces los otros asesinatos también encuentran probable atribución.
De la CIA
a distancia Dispositivos Rama 's
grupo Umbrage recoge y mantiene
una biblioteca considerable de ataque técnicas "robado" del malware producido en otros estados, entre ellos la Federación de Rusia.
Con proyectos relacionados Umbrage y la CIA no sólo puede aumentar su número total de tipos de ataque, sino también desviar la atribución al dejar detrás de las "huellas digitales" de los grupos que las técnicas de ataque fueron robados.
Umbrage componentes cubren los keyloggers, colección contraseña, webcam captura, destrucción de datos, la persistencia, la escalada de privilegios, el sigilo, anti-virus de evitación (PSP) y técnicas de estudio.
Buena cena
Comidas de lujo viene con un cuestionario estandarizado es decir menú que los agentes de la CIA a llenar. El cuestionario es utilizado por la agencia de OSB (
Operacional Rama de Apoyo ) para transformar las peticiones de los oficiales de caso en las prescripciones técnicas de ataques de piratería (típicamente "exfiltrating" información de los sistemas informáticos) para operaciones específicas. El cuestionario permite que el OSB para identificar cómo adaptar las herramientas existentes para la operación, y comunicarlo al personal de configuración de software malicioso CIA. Las funciones de OSB como la interfaz entre el personal operativo de la CIA y el personal de soporte técnico pertinente.
Entre la lista de posibles objetivos de la colección son 'Activos', 'de Enlace Activo "," administrador del sistema "," Información en el Exterior Operaciones "," agencias de inteligencia extranjeras "y" Entidades de Gobiernos Extranjeros. Notablemente ausente es cualquier referencia a los extremistas o criminales transnacionales. También se le pide al "Oficial de Casos 'para especificar el entorno del objetivo como el tipo de ordenador, el sistema operativo utilizado, la conectividad a Internet e instalado el antivirus (PSP), así como una lista de tipos de archivos que se exfiltraron como documentos de Office , audio, vídeo, imágenes o tipos de archivos personalizados. El "menú" también pide información si se pagó el acceso a la meta es posible y cuánto tiempo el acceso inadvertido a la computadora puede ser mantenido. Esta información es utilizada por el software de la CIA 'JQJIMPROVISE' (ver más abajo) para configurar un conjunto de programas maliciosos CIA adaptado a las necesidades específicas de una operación.
Improvisar (JQJIMPROVISE)
"Improvisar 'es un conjunto de herramientas para la configuración, post-procesamiento, la configuración de carga útil y la selección del vector de ejecución de herramientas de encuesta / exfiltración de soporte de los sistemas operativos como Windows (camarero), MacOS (tocadiscos) y Linux (DanceFloor). Sus utilidades de configuración como Margarita permite la NOC (Network Operation Center) para personalizar herramientas basadas en los requisitos de questionairies 'restaurantes'.
COLMENA Colmena es un multi-plataforma de la CIA suite de software malicioso y su software de control asociado. El proyecto proporciona implantes personalizables para Windows, Solaris, Mikrotik (utilizado en los routers de Internet) y las plataformas Linux y un puesto de escucha (LP) / Comando y la infraestructura de control (C2) para comunicarse con estos implantes.
Los implantes están configurados para comunicarse a través de HTTPS con el servidor web de un dominio de la cubierta; cada operación de la utilización de estos implantes tiene un dominio sobre aparte y la infraestructura puede manejar cualquier número de dominios de cubierta.
Cada dominio de la cubierta se resuelve en una dirección IP que se encuentra en un VPS comercial proveedor (Virtual Private Server). El servidor público y el sentido de la marcha todo el tráfico entrante a través de una VPN a un servidor 'mancha' que se encarga de las solicitudes de conexión reales de los clientes. Es la configuración para la autenticación de cliente SSL opcional: si un cliente envía un certificado de cliente válido (sólo implantes pueden hacer eso), la conexión se reenvía al ToolServer 'nido de abeja' que se comunica con el implante; si un certificado válido que falta (que es el caso si alguien intenta abrir la página web de dominio cubierta por accidente), el tráfico se reenvía a un servidor de presentación que ofrece un sitio web de aspecto no sospechoso.
El nido de abeja ToolServer recibe información exfiltraron del implante; un operador también puede encargar al implante para ejecutar trabajos en el equipo de destino, por lo que los ToolServer actúa como un servidor C2 (comando y control) para el implante.
Una funcionalidad similar (aunque limitado a Windows) es proporcionado por el proyecto RickBobby.
Ver los clasificados
de usuario y
desarrollador guías para la colmena.
preguntas frecuentes ¿Porqué ahora?
WikiLeaks publicará tan pronto como su verificación y análisis estaban listos.
En febrero la administración Trump ha emitido una orden ejecutiva que establece una revisión "guerra cibernética" para prepararse en el plazo de 30 días.
Si bien el examen aumenta la oportunidad y pertinencia de la publicación no desempeñó un papel en la fijación de la fecha de publicación
redacciones Nombres, direcciones de correo electrónico y direcciones IP externas se han redactado en las páginas publicadas (70.875 redacciones en total) hasta su posterior análisis se ha completado.
El exceso de redacción: Algunos artículos pueden haber sido redactada que no son empleados, contratistas, metas o está relacionado con la agencia, pero son, por ejemplo, los autores de la documentación para los proyectos de lo contrario públicos que son utilizados por la agencia.
Identidad vs. persona: los nombres redactados se sustituyen por los ID de usuario (números) para permitir a los lectores asignan varias páginas a un solo autor. Teniendo en cuenta el proceso de redacción utiliza una sola persona puede estar representado por más de un identificador asignado pero no identificador se refiere a más de una persona real.
Adjunte archivos comprimidos (zip, tar.gz, ...) se sustituyen por un PDF una lista de todos los nombres de archivo en el archivo. A medida que se evalúa el contenido del archivo comprimido que puede ponerse a disposición; hasta entonces se redactó el archivo.
Los archivos adjuntos con otro contenido binario se sustituyen por un volcado hexadecimal del contenido para evitar la invocación accidental de archivos binarios que pueden haber sido infectados con el malware en armas de la CIA. Como se evalúa el contenido que puede ponerse a disposición; hasta entonces se redactó el contenido.
Las decenas de miles de direcciones IP enrutables referencias (entre ellos más de 22 mil dentro de los Estados Unidos) que se corresponden con los posibles objetivos, servidores encubierta puesto de espionaje de la CIA, los sistemas de intermediación y de prueba, están redactados para la investigación más exclusivo.
Los archivos binarios de origen no pública sólo están disponibles como vertederos para impedir la invocación accidental de la CIA de malware infectados binarios.
Organigrama
El
organigrama se corresponde con el material publicado por WikiLeaks hasta el momento.
Dado que la estructura organizativa de la CIA por debajo del nivel de Dirección no es pública, la colocación de la EDG y sus ramas dentro del organigrama de la agencia se reconstruye a partir de la información contenida en los documentos publicados hasta el momento. Está destinado a ser utilizado como un esbozo de la organización interna; Por favor, tenga en cuenta que el organigrama reconstruida es incompleta y que reorganizaciones internas se producen con frecuencia.
páginas wiki
"Año Cero" contiene 7818 páginas web con 943 archivos adjuntos del desarrollo interno de trabajo en grupo. El software utilizado para este propósito se llama Confluencia, un software propietario de Atlassian. Las páginas web de este sistema (como en Wikipedia) tienen un historial de versiones que pueden proporcionar información interesante sobre cómo un documento evolucionado con el tiempo; los 7818 documentos incluyen estos historiales de 1136 últimas versiones.
El orden de las páginas nombradas dentro de cada nivel se determina por la fecha (la más antigua primero). contenido de la página no está presente si fue originalmente creado dinámicamente por el software de Confluencia (como se indica en la página reconstruido).
¿Qué período de tiempo cubre?
Los años entre 2013 y 2016. El orden de las páginas dentro de cada nivel se determina por la fecha (la más antigua primero).
Wikileaks ha obtenido última fecha de creación de la CIA / modificación para cada página, pero éstos no figuren todavía por razones técnicas. Por lo general, la fecha se puede discernir o aproximada del contenido y el orden de las páginas. Si es imprescindible conocer las WikiLeaks de contacto de hora / fecha exacta.
¿Qué es la "Bóveda 7"
"Vault 7" es una importante colección de material sobre las actividades de la CIA obtenidos por WikiLeaks.
Cuando se obtuvo cada parte de "Vault 7"?
Se obtuvo recientemente la primera parte y cubre hasta el 2016. Los detalles de las otras piezas estarán disponibles en el momento de la publicación.
Es cada parte de "Vault 7" de una fuente diferente?
Los detalles sobre las otras piezas estarán disponibles en el momento de la publicación.
¿Cuál es el tamaño total de "Vault 7"?
La serie es la mayor publicación de inteligencia en la historia.
¿Cómo WikiLeaks obtener cada parte de "Vault 7"?
Las fuentes confían en WikiLeaks no revelar información que podría ayudar a identificarlos.
No es WikiLeaks preocupados de que la CIA va a actuar en contra de su personal para detener la serie?
No. Eso sería ciertamente contraproducente.
WikiLeaks ha ya "minada" todas las mejores historias?
Nº WikiLeaks intencionalmente no ha dejado a cientos de historias impactantes para animar a otros para encontrarlos y así crear experiencia en el área de las partes posteriores de la serie. Están ahí. Mira. Aquellos que demuestran la excelencia periodística puede ser considerado para el acceso temprano a piezas en el futuro.
no van a otros periodistas concentran las mejores historias antes que yo?
Improbable. Hay muy considerablemente más historias que los que hay periodistas o académicos que están en una posición para escribirlos.
Un patrón de ataque que pueden destruir las garantías de seguridad de la arquitectura de seguridad X.509 PKI mediante el empleo de certificados de CA que incluyen una puerta trasera en secreto incrustado. 
Una charla Sombrero Negro examinar los métodos de explotación de vulnerabilidades XML de entidad en la funcionalidad de análisis / carga de archivos para los formatos de archivo XML soportado como DOCX, XSLX y PDF. 
Investigación y ataques de prueba de concepto de relieve en Sombrero Negro que muestran cómo XSLT se puede aprovechar para socavar la integridad y confidencialidad de la información del usuario. 
Se ve en una debilidad en la forma en PHP maneja hash cadenas en ciertos casos, para que sea posible poner en peligro los sistemas de autenticación y otras funciones que utilizan comparaciones de hash en PHP. 
La investigación presentada en 44CON profundiza en el uso de métodos de devolución de llamada inducidas por explotar para encontrar vulnerabilidades que se esconden en las funciones de back-end y subprocesos en segundo plano. 
