Den senste Vault 7 afsløring fra Wikileaks

Jeg har kigget på den seneste afsløring fra Wikileaks af dokumenter fra CIA, også kendt som “Vault 7”. Og selvom jeg endnu ikke har nået at gennemlæse alle offentliggjorte dokumenter, er jeg nået frem til en yderst bekymrende konklusion.

Med en stilling som IT-sikkerhedschef mener jeg selv, at jeg har en god forudsætning for at kunne vurdere de offentliggjorte dokumenter.

Det ser ud til, at CIA alene forsker i offensiv cyberwar. Ingen af de dokumenter jeg har set omhandler hvordan man kan sikre sig mod angreb udefra. Alle dokumenter omhandler hvordan man kan angribe andre. Det svarer desværre til hvad jeg hører fra resten af den vestlige verden, herunder FET hvor man hyrer langt flere folk til at forske i offensive angreb end til at sikre mod cyberangreb.

Jeg finder det bekymrende, at det meste af verden i øjeblikket har mere travlt med hvordan man kan angribe andre på nettet end hvordan man kan forsvare sig mod angreb.

Særligt bekymrende i afsløringen fra Wikileaks er, at sårbarheder ikke bliver rapporteret til de virksomheder der kan rette sårbarhederne. Det gør os alle langt mere usikre. Jeg er glad for at de ikke offentliggør sårbarhederne, og jeg tror og håber Wikileaks samtidig på forsvarlig måde gør de relevante virksomheder opmærksomme på deres sårbarheder, så sårbarhederne bliver rettet inden IT-kriminelle finder dem og udnytter dem.

1 Like

Super vigtige betragtninger - jeg kan kun bakke op Ole. Eftersigende er det også kun ~1% af dokumenterne, der er offentliggjort, så det kan være vi får en konkretisering af hvad de så har været brugt til.

Under alle omstændigheder er det foruroligende.

Meget interessant. Jeg har ikke selv haft tid til at kigge på det, men jeg synes det er værd at bide mærke i at det jo langt fra er alle dokumenterne der er offentliggjort. Det kan jo godt være, at Wikileaks er selektive i deres offentliggørelse, og kun lægger dokumenter ud om offensiv brug af teknologien.
Men det er helt klart et bekymrende billede der tegner sig.

Er enig med at der er for meget fokus på at angribe. Da FE åbent gik ud og søgte folk til offensiv hacking synes jeg det var underligt hvorfor der ikke blev talt mere om de moralske og diplomatiske hensyn.
Tror ikke det bedste forsvar altid et godt angreb.

Et godt angreb kan være en rigtig dum ide, hvis angrebet - som det fremgår af Vault 7 - kun er muligt ved at man undlader at lukke sikkerhedsbrister, som gør det muligt for andre med success at angribe en selv.