Análisis, aclaraciones y primeras curiosidades sobre #Vault7

Wikileaks ha desvelado una mina de oro. El arsenal de ciberarmas que la CIA mantenía para sus operaciones de ataques en la red. Un evento tremendamente interesante por muchas razones. Veamos algunas de ellas y además, las primeras curiosidades sobre un análisis preliminar.

Qué ha pasado

Wikileaks ha publicado bajo el nombre de Vault7 buena parte del arsenal de armas y documentación del que dispone la CIA para, fundamentalmente, atacar a través de medios electrónicos. Un arsenal cibernético, no es más que un buen puñado de gigabytes con documentación y herramientas. Entre ellas, tendremos:

Documentación pública más o menos ordenada sobre cómo realizar ciertas acciones.
Documentación privada sobre cómo realizar ciertas acciones.
Manuales de usuario y descripciones de herramientas y metodologías internas.
Código de vulnerabilidades públicas.
Código de vulnerabilidades privadas o mejoradas (0days).
Entornos y frameworks de trabajo, ensayo y desarrollo.

Y básicamente, dependiendo de hacia qué categoría bascule la cantidad de información, así se podrá evaluar la calidad del arsenal. Cuanto más privada la información, más importante resulta. Pero sobre todo, el número de 0days es un valor especialmente interesante. Se trata de las vulnerabilidades desconocidas para el público y la industria pero conocidas por la CIA, que permiten entrar y ejecutar código en los sistemas. Si la CIA dispone de un método desconocido para la mayoría (nunca se sabe si otro grupo de inteligencia lo conoce y lo está usando también), eso multiplica en varios órdenes de magnitud el valor del arsenal. Le permite, literalmente, controlar cualquier sistema con esa vulnerabilidad. ¿Cuántos 0days tiene el arsenal de la CIA? No lo sabemos todavía, hay mucho contenido oculto. Pero por los títulos podemos intuir algunos. Una muestra con la elevación de privilegios en Windows.

Se intuyen técnicas todavía no reveladas de Local Privilege Escalation en Windows

¿Es sorprendente?

La NSA ya sufrió un problema parecido el año pasado. Su arsenal se «subastó» literalmente. Disponían de lo mismo: herramientas propias, públicas, 0-days, vulnerabilidades. No nos debe sorprender que una agencia de inteligencia disponga de este arsenal, como cualquiera que se dedique a la «profesión». Solo que a una escala diferente. Disponen de información privada, conocimientos de vulnerabilidades que pueden poner en peligro no solo a los espiados, sino que en malas manos o mal usadas permitiría ejercer ese mismo poder sobre el resto de la población. Es lo que tiene la democratización de la tecnología: los espiados usan WhatsApp (aunque no los más espabilados), televisiones inteligentes, iPhones, Linux, Windows… igual que cualquier otro. Cuando la CIA dispone de un sistema para atacar alguna de estas tecnologías, un mal paso puede permitir que todo el mundo se convierta en víctima. Un debate que siempre está abierto sobre la privacidad, puertas traseras, responsabilidades, etc.

Técnicamente, todavía no se conoce el alcance de los documentos filtrados. ¿Cuánta información conocida hay? Mucha. ¿Cuánta desconocida? Bastante, parece, pero no sabemos ni cuánto ni cómo. Wikileaks está dejando que sean los propios usuarios los que minen la información y saquen la mejor historia posible de todo este diamante en bruto. Premiarán con información privilegiada a los que demuestren habilidades para conseguirlo. Desde el punto de vista técnico, también es interesante un análisis que sin duda la comunidad y la industria pondrá en marcha.

¿Y los titulares sobre coches asesinos, Whatsapp y televisiones micrófono?

Uno de los titulares sobre el dato encontrado

Pues eso, titulares. Al parecer disponían de conocimiento único sobre cómo vulnerar todas estas tecnologías. Pero todavía está por ver si en connivencia con el fabricante, disponían de puertas traseras específicas para espiar. De lo contrario, lo que han hecho es «su trabajo»: buscar vulnerabilidades… y no publicarlas para aprovecharse de ellas. Esto es cuestionable y debatible. Los «coches asesinos»… por ahora, parece que eso más bien lo ha aportado Wikipedia de su propia cosecha. En los documentos se observa que la CIA quería desde 2014 encontrar formas de infectar los sistemas de control de vehículos modernos. Wikileaks es la que habla de que potencialmente podría ser usado para realizar asesinatos selectivos y no detectables (no habría forense sobre un coche destrozado).

Wikileaks es quien especula sobre el potencial uso de este conocimiento.

Que una televisión se convierta en un micrófono ya se conoce (y se usa) desde 2013.

Uno de los datos que (a título personal) más ha llamado la atención es que la CIA tenía totalmente interiorizado el proceso de aprendizaje por errores ajenos y propios. Esto se materializa en dos puntos fundamentales:

Disponen de un documento donde apuntan y analizan los errores específicos de terceros a la hora de haber sido detectados o señalados con el dedo en el caso de alguna filtración u operación. No querían cometerlos de nuevo.

Disponen de una base de datos de «fingerprints» de terceros para engañar y confundir durante un potencial proceso de atribución. Esto es especialmente interesante. Han recopilado la información sobre qué caracteriza a diferentes agencias de inteligencia, y no solo se preocupan de no dejar rastros propios, sino que los aplican deliberadamente a sus propias operaciones para confundir a los potenciales analistas. En otras palabras: cubrir huellas no solo borrándolas, sino intentando que parezcan las huellas digitales específicas de otro. Esto, junto con otras «anécdotas» ya conocidas sobre la atribución, convierte ya a este ejercicio en un verdadero circo en el que el recontra-espionaje invalida desde hace tiempo cualquier teoría.

¿Algunas curiosidades?

Esto es solo un análisis muy muy preliminar. En Wikileaks han tenido mucho cuidado al publicar la primera parte de la información. Han mantenido en secreto buena parte, y eliminado los datos sensibles de otras.

Algunos de los nombres ocultados

Pero no de todas. Aunque no se sabe si a propósito, o si este dato es relevante para algo, al menos en una de las capturas no han eliminado el nombre de usuario desde donde se hace una prueba de «tracert» a una IP. DavidB.