211service.com
Diefstal van CIA-hacktools zet de lakse beveiliging van het spionagebureau in de schijnwerpers
De CIA weet nog steeds niet de exacte omvang van het ongekende datalek in 2016. Foto: CIA
Amerikaanse inlichtingendiensten schieten nog steeds tekort op het gebied van beveiliging, jaren na spraakmakende datalekken van Edward Snowden, Chelsea Manning en Joshua Schulte, volgens een lid van de Amerikaanse Senaatscommissie voor inlichtingen. In een brief aan de directeur van de nationale inlichtingendienst John Ratcliffe, gebruikt senator Ron Wyden een intern rapport van de CIA uit 2017 om de manieren te beschrijven waarop de inlichtingengemeenschap zichzelf voortdurend niet heeft beschermd.
De inlichtingengemeenschap loopt nog steeds achter en is er niet in geslaagd zelfs de meest elementaire cyberbeveiligingstechnologieën toe te passen die elders in de federale overheid wijdverbreid worden gebruikt, schrijft Wyden.
Het verslag, die in geredigeerde vorm werd verkregen door de Washington Post , beschrijft hoe de elite-hackeenheid van het bureau de voorkeur gaf aan het bouwen van offensieve cyberwapens, terwijl het er niet in slaagde enkele van zijn belangrijkste systemen te beveiligen, een patroon dat leidde tot de diefstal van hacktools in 2016 die vervolgens door WikiLeaks werden gepubliceerd onder de naam Vault 7. Amerikaanse functionarissen zei dat het het grootste gegevensverlies in de geschiedenis van de CIA was.
In zijn brief beweert Wyden dat er voortdurend mislukkingen zijn, identificeert hij drie specifieke fouten als voorbeelden en stelt hij dat het Congres inlichtingendiensten moet onderwerpen aan de normale federale cyberbeveiligingsvereisten.
Helaas is het nu duidelijk dat het een vergissing was om de inlichtingengemeenschap vrij te stellen van de basisvereisten voor federale cyberbeveiliging, schrijft hij.
Een storm van tekortkomingen
Het CIA-rapport van 2017 documenteert een incident waarbij WikiLeaks meer dan 8.000 pagina's met Vault 7-documenten vrijgaf die een ongekend inzicht gaven in de mogelijkheden van het bureau om verschillende besturingssystemen, mobiele telefoons en berichten-apps te hacken. Voormalig CIA-medewerker Schulte werd later aangeklaagd en pleitte niet schuldig aan het stelen van de schat aan hacktools en het vervolgens overhandigen aan WikiLeaks om te publiceren. In maart werd Schulte schuldig bevonden aan minachting van de rechtbank en het afleggen van valse verklaringen aan de FBI, maar de jury bleef in een impasse over de vraag of hij illegaal nationale defensie-informatie had verzameld en doorgegeven. Nadat een nietig geding was uitgesproken, staat Schulte voor het vooruitzicht van een nieuw proces.
De diefstal was gericht op de elite-hackeenheid van de CIA, bekend als het Center for Cyber Intelligence, en het interne rapport zei dat het bureau misschien nooit op de hoogte was geweest van de diefstal van maximaal 34 terabyte aan gegevens als het niet was gepubliceerd. Het bureau geeft zelfs toe dat het de precieze omvang van het verlies nog steeds niet kent, omdat de missiesystemen die werden getroffen geen activiteitsbewaking of andere waarborgen vereisten.
Het rapport schetste een contrast tussen ingrijpende beveiligingsstoringen in de missiesystemen van de CCI-hackeenheid en algemeen succes op het gebied van cyberbeveiliging op de bedrijfssystemen van de CIA, die het leeuwendeel van het computernetwerk van de CIA uitmaken.
Het rapport zegt dat de cyberwapens van de eenheid wijd open stonden voor iedereen met toegang tot het missienetwerk, en dat het netwerk geen normale monitoring- en auditmogelijkheden had. Een storm van tekortkomingen zorgde ervoor dat beveiliging ver op de prioriteitenlijst kwam te staan.
Hoewel de CIA een vroege leider was in het beveiligen van ons bedrijfsinformatietechnologiesysteem, slaagden we er niet in acute kwetsbaarheden te corrigeren, aldus het rapport. De dagelijkse beveiligingspraktijken waren hopeloos laks geworden.
Beveiligingsfouten
Uit de opmerkingen blijkt dat zelfs enkele van 's werelds best gefinancierde en zeer capabele aanvallende hackers enorm worstelen met hun verdediging.
Voor Amerikaanse spionagebureaus is het afgelopen decennium gekenmerkt door meerdere spraakmakende datalekken, gevolgd door herhaalde oproepen tot systemische verandering van cyberbeveiliging. Inlichtingendiensten zoals de CIA en de National Security Agency waren vrijgesteld van regels die het Congres oplegde aan de rest van de federale regering. De verwachting was dat ze die normen gemakkelijk zouden overtreffen, maar dat is niet gebeurd.
In feite heeft een waakhond van de Amerikaanse inlichtingendienst een verslag doen van in 2019 er bij de agentschappen op aandringen hun controle op geclassificeerd materiaal te verbeteren, vooral tegen het soort bedreigingen van binnenuit dat het afgelopen decennium heeft doorbroken, waaronder Snowden's lek van NSA-documenten en Manning's lek van geheime Amerikaanse documenten met betrekking tot de oorlog in Irak.
Een van de problemen die door Wyden worden benadrukt, is het feit dat de inlichtingengemeenschap DMARC niet heeft aangenomen, een e-mailauthenticatieprotocol dat beschermt tegen veelvoorkomende en zeer effectieve phishing-aanvallen, ondanks een richtlijn uit 2017 die federale agentschappen verplicht dit te doen.
Ondertussen moeten inlichtingendiensten .gov-domeinen nog beveiligen met multifactor-authenticatie, ondanks een waarschuwing in januari 2019 van het Department of Homeland Security dat het systeem het doelwit was van Iraanse hackers.
Een rapport van de inspecteur-generaal van de inlichtingengemeenschap dat in 2019 werd uitgebracht, concludeerde dat 20 veiligheidsgerelateerde aanbevelingen door de agentschappen niet zijn aangepakt, maar dat ze geheim blijven.
Als er goed nieuws is voor de CIA in het geredigeerde rapport, heeft het te maken met de gouden map met de meest gevoelige bestanden van het bureau, inclusief alle hacktools en broncode. Dit materiaal is niet gestolen, concludeerde de interne taskforce, dankzij een sterkere bescherming en het feit dat het te groot was om gemakkelijk te exporteren.
De directeur van de National Intelligence heeft de brief van Wyden ontvangen en werkt momenteel aan een reactie, maar het is uiteindelijk aan het Congres om te beslissen of Amerikaanse inlichtingendiensten nieuwe regels nodig hebben, zodat ze aan dezelfde cyberbeveiligingsnormen kunnen voldoen als de rest van de federale overheid.
Het artikel is bijgewerkt om het onderscheid te verduidelijken tussen beveiligingsstoringen, specifiek bij CCI, een elite hackeenheid binnen de CIA, in tegenstelling tot de grotere zakelijke IT-systemen van de CIA.