涉嫌盗走美国中情局(CIA)网络攻击工具Vault 7,并将它们提供给维基解密(WikiLeaks)的前中情局员工Joshua Schulte,现在正在接受司法审判,而此案也让中情局脸上无光,因为它暴露了中情局内部的安全措施非常松散,例如存放Vault 7的Confluence虚拟机密码为123ABCdef,登录主要DevLAN服务器的根密码为mysweetsummer,而且它们被公开发布于该团队的群组中。
英国科技新闻网站The Register详细地披露了检方与被告之间的攻防。
现年31岁的Schulte于2011年毕业于德州大学奥斯汀分校的计算机工程系,还没毕业时就在IBM与国安局(NSA)工作,之后就加入CIA担任软件工程师,并在2016年11月离开CIA。而维基解密(WikiLeaks)则是在2017年的3月,公布了集结CIA所有网络攻击工具的Vault 7文件,Schulte于同年的8月遭到逮捕。
事实上,检方或CIA并没不到到Schulte与Vault 7文件外泄事件有关的直接证据,Schulte的律师Sabrina Shroff则说,CIA是因为Schulte的个性就锁定他展开调查。
因为Schulte是个非常难相处的人,与大多数的CIA同事都处不来,在检方找到的证据中,有不少笔记是写着Schulte与各个同事之间的摩擦,而且Schulte还针对不同的对象拟定了复仇计划,在许多的证词中,都说Schulte是个很容易愤怒又爱记仇的家伙。
根据CIA的说法,Schulte是在2016年的4月20日,把Vault 7备份到可携存储设备上,然后把系统还原到备份之前的时间,删除所有的日志。
尽管没有直接证据,但难相处又脾气冲的Schulte很难不令人起疑。例如他曾经删除CIA服务器上数GB的数据,再技巧性地移除了自己的足迹,但却留下了他所使用的管理员账号KingJosh3000,被逮到之后CIA移除了他在多个服务器上的管理员权限,但Schulte再度以KingJosh3000为名,借由后门访问系统,再替自己创建了多个新账号,只是为了证明自己办得到。
虽然后来Schulte被原谅了,还写了悔过书,但是他曾告诉自己的主管,他会、也可以再做一次。
Schulte的律师认为,上述都不能作为Schulte窃取并外泄Vault 7文件的证据。因为CIA内部的安全实在太糟糕了,存放Vault 7的Confluence虚拟机密码是很容易破解的123ABCdef,主要DevLAN服务器的根登录密码同样是非常简单的mysweetsummer,而且这些密码被发布在作战支持处(Operational Support Branch,OSB)的群组中,只要是该处成员都能访问。
因此,律师认为,OSB团队的每个成员都说DevLAN是开放的,除了密码薄弱且公开之外,它还缺乏用户控制,也不检查登录活动,还未有效的控制可携媒体,而且如果团队中有人对外泄露了DevLAN与Confluence虚拟机的密码,那么嫌犯的范围就更广了。
更扯的是,若非维基解密在2017年3月公布了Vault 7文件,CIA还不知道相关文件早就被盗走了。