根据为时任局长迈克·庞皮欧(Mike Pompeo)和他的副手、现任局长吉娜·哈斯佩尔(Gina Haspel)准备的一份内部报告,2016年中情局绝密电脑黑客工具被盗是工作场所文化的结果,在这种文化中,中情局的精英电脑黑客“以牺牲自己系统的安全为代价,优先制造网络武器”。
据称,这起泄密事件是由一名中情局员工在事件发生一年后发现的,当时维基解密(WikiLeaks)于2017年3月发布了这一信息。这个反保密组织将此次发布称为“Vault 7”,美国官员表示,这是中情局历史上最大规模的未经授权泄露机密信息的事件,导致中情局关闭了一些情报行动,并提醒外国对手注意中情局的技术。
美国中央情报局(CIA)维基解密工作组(WikiLeaks Task Force)2017年10月发布的这份报告中,有几页被遗失或编辑过,报告描绘了一个更关心扩充网络武器库而不是保护这些工具安全的机构。报道称,设计和制造这些工具的特种部队内部的安全程序“非常松懈”。
根据这份报告,如果没有维基解密的披露,中央情报局可能永远不会知道这些工具被盗了。“如果数据是为了州对手的利益而被窃取的,而不是公布的,我们可能仍然没有意识到损失,”特别工作组总结道。
这份特别工作组的报告是由参议院情报委员会(Senate Intelligence Committee)成员罗恩·怀登(Ron Wyden)的办公室提供给“华盛顿邮报”的。怀登是参议院情报委员会的成员,他一直在敦促加强情报界的网络安全。他从司法部获得了这份经过编辑、不完整的副本。
这起泄密事件发生近三年前,时任美国国家安全局(National Security Agency)承包商的爱德华·斯诺登(Edward Snowden)窃取并披露了有关NSA监视行动的机密信息。
报告称,“鉴于美国其他政府机构接连遭到入侵,中情局行动太慢,未能建立起我们知道是必要的保障措施。”报告发现,“我们的大多数敏感网络武器没有分区,用户共享系统管理员级别的密码,没有有效的可移动媒体(拇指驱动器)控制,用户可以无限期地获得历史数据。”
特别工作组指出,他们无法确定入侵的确切规模,因为中情局黑客团队不需要监控谁使用了其网络,但得出结论,这名员工窃取了多达34TB的信息,约合22亿页。
中情局新闻秘书蒂莫西·巴雷特(Timothy Barrett)拒绝直接对该报告发表评论。他说:“中央情报局致力于融入一流的技术,以保持领先地位,并防御不断演变的威胁。”
这些黑客工具是由中情局网络情报中心(Center For Cyber Intelligence)开发的,中情局最老练的黑客在那里设计了进入难以渗透的网络的方法,例如,秘密激活外国目标平板电脑上的摄像头和麦克风,或者窃取外国对手先进武器系统的设计方案。
一位熟悉特别工作组调查结果的前高级情报官员表示,这些员工不断面临压力,要求他们发现商业软件和其他技术中的漏洞。
特别工作组承认这是“为了满足日益增长的和关键的任务需求”的努力,他们指责这是“日常安全实践”松懈的原因。
这份报告是在对曾在该中心工作的前中央情报局雇员约书亚·舒尔特(Joshua Schulte)的刑事审判中作为证据提出的,他被控窃取黑客工具并将其提供给维基解密(WikiLeaks)。
舒尔特已经提出无罪抗辩,特别工作组的调查结果也在他的辩护中发挥了作用。他的律师在今年早些时候的一次审判中辩称,计算机网络的安全性非常差,数百名员工或承包商中的任何一人都可能接触到舒尔特所获得的相同信息。
陪审团在3月份未能就舒尔特是否将这些工具提供给维基解密达成裁决。检察官表示,他们打算今年再次审判舒尔特。
该报告区分了中情局的“企业信息技术系统”和专门的“任务系统”,前者占中情局计算机网络的绝大多数,后者包括存放黑客工具的系统。
这位前情报官员和其他人一样,由于主题的敏感性而不愿透露姓名。他表示,任务系统与企业系统是分开的,企业系统遵循内部威胁检测的“黄金标准”。特别工作组表示,中情局在保护其企业系统方面一直是“早期的领导者”。
这位前官员说,他同意特别工作组的大部分调查结果,但他反对中情局没有强调计算机安全或精英黑客小组在保护机密方面漫不经心的断言。
这位熟悉该部门运作的前官员表示:“我们没有努力让我们的所有系统达到最高网络安全水平的想法或断言将是一种错误的说法。”
这位前官员说,该中心的任务系统设在一座单独的建筑里,而不是在中央情报局总部,访问受到高度限制。
但这位前官员说,中情局黑客认为,“审计”网络的能力,知道谁在登录,以及他们的活动,比实际情况更好、更详细。
这位前官员补充说,计算机网络也是由承包商维护的。“运营该单位的人与运营和维护该网络的人之间存在误解。”
这次入侵发生在中情局强调计算机安全(包括任务中心网络)的重组不到六个月。
“最难做的事情就是保护自己的人不受攻击,”另一名熟悉此次入侵事件的前情报官员表示。
怀登表示,2014年,国会赋予国土安全部(Department Of Homeland Security)要求联邦机构达到最低网络安全标准的权力,但免除了间谍机构的责任,理由是作为国家最有价值机密的守护者,他们将格外小心地保护自己的系统。怀登周二在给国家情报总监约翰·拉特克利夫(John Ratcliffe)的一封信中写道:“现在很明显,免除情报界遵守联邦网络安全基线要求是一个错误。”
一些分析人士指责国会没有采取更多措施,要求情报机构对他们的失误负责。约翰·霍普金斯大学(Johns Hopkins University)高级国际研究学院(School Of Advanced International Studies)信息安全教授托马斯·里德(Thomas Rid)表示,2017年Equifax信用报告机构被入侵一事,受到的审查远远超过美国国家安全局(NSA)和中央情报局(CIA)。
随着越来越多的数据被放到网上,9·11事件后,各机构之间共享情报的障碍降低了。2001年11月11日,袭击、入侵事件频繁发生。
2010年,时任陆军情报分析师的切尔西·曼宁(Chelsea Manning)向维基解密提供了数十万份外交电报和军事文件。2013年,斯诺登向记者提供了有关敏感监控项目的大量数据。
里德说:“你会认为这些事件会给情报界和整个美国安全机构敲响警钟。”“但看起来,地球上最强大、资金最充裕的情报机构无法阻止自己的数据流失。”
特别工作组发现,维基解密显然没有获得包含在“黄金文件夹”中的更敏感的信息,该文件夹包括黑客工具的“最终版本”和源代码。