涉嫌盜走美國中情局(CIA)網絡攻擊工具 Vault 7,並將它們提供給維基解密(WikiLeaks)的前中情局員工 Joshua Schulte,現在正在接受司法審判,而此案也讓中情局臉上無光,因為它曝露了中情局內部的安全措施非常鬆散,例如存放 Vault 7 的 Confluence 虛擬機密碼為 123ABCdef,登入主要 DevLAN 服務器的根密碼為 mysweetsummer,而且它們被公開張貼於該團隊的群組中。
英國科技新聞網站 The Register 詳細地披露了檢方與被告之間的攻防。
現年 31 歲的 Schulte 於 2011 年畢業於美國德州大學奧斯汀分校的電腦工程系,還沒畢業時就在 IBM 與國安局(NSA)工作,之後就加入 CIA 擔任軟件工程師,並在 2016 年 11 月離開 CIA。而維基解密(WikiLeaks)則是在 2017 年的 3 月,公佈了集結 CIA 所有網絡攻擊工具的 Vault 7 文件,Schulte 於同年的 8 月遭到逮捕。
事實上,檢方或 CIA 並沒有找到 Schulte 與 Vault 7 文件外洩事件有關的直接證據,Schulte 的律師 Sabrina Shroff 則說,CIA 是因為 Schulte 的個性就鎖定他展開調查。
因為 Schulte 是個非常難相處的人,與大多數的 CIA 同事都處不來,在檢方找到的證據中,有不少筆記是寫著 Schulte 與各個同事之間的摩擦,而且 Schulte 還針對不同的對象擬定了復仇計劃,在許多的證詞中,都說 Schulte 是個很容易憤怒又愛記仇的傢伙。
根據 CIA 的說法,Schulte 是在 2016 年的 4 月 20 日,把 Vault 7 備份到可攜儲存設備上,然後把系統還原到備份之前的時間,刪除所有的日誌。
儘管沒有直接證據,但難相處脾氣壞的 Schulte 很難不令人起疑。例如他曾經刪除 CIA 服務器上數 GB 的資料,再技巧性地移除了自己的足跡,但卻留下了他所使用的管理員帳號 KingJosh3000,被逮到之後 CIA 移除了他在多個服務器上的管理員權限,但 Schulte 再度以 KingJosh3000 為名,通過後門存取系統,再替自己建立了多個新帳號,只是為了證明自己辦得到。
雖然後來 Schulte 被原諒了,還寫了悔過書,但是他曾告訴自己的主管,他會、也可以再做一次。
Schulte 的律師認為,上述都不能作為 Schulte 竊取並外洩 Vault 7 文件的證據。因為 CIA 內部的安全管理實在太糟糕了,存放 Vault 7 的 Confluence 虛擬機密碼是很容易破解的123ABCdef,主要DevLAN 服務器的根登入密碼同樣是非常簡單的 mysweetsummer,而且這些密碼被張貼在作戰支援處(Operational Support Branch,OSB)的群組中,只要是該處成員都能看到。
因此,律師認為,OSB 團隊的每個成員都說 DevLAN 是開放的,除了密碼薄弱且公開之外,它還缺乏使用者控制,也不檢查登入活動,還未有效的控制可攜設備,而且如果團隊中有人對外洩露了 DevLAN 與 Confluence 虛擬機的密碼,那麼嫌犯的範圍就更廣了。
更扯的是,若非維基解密在 2017 年 3 月公佈了 Vault 7 文件,CIA 還不知道相關文件早就被盜走了。
閱讀更多 AI智慧 的文章
