https://wikileaks.org/ciav7p1/
These techniques permit the CIA to bypass the encryption of WhatsApp, Signal, Telegram, Wiebo, Confide and Cloackman by hacking the “smart” phones that they run on and collecting audio and message traffic before encryption is applied.
Cel mai tare /cool feature mi s-a parut “Fake-Off” la tv
Android cu stagefright e o glumă proastă, CIA are acces la toate telefoanele android cu android 5.0 sau mai vechi, pur si simplu injecteaza un video în facebook/o pagină pe care o vizitezi si au acces root la telefon.
Toate telefoanele chinezești (vezi allview) vin cu backdoor din fabrică, direct în kernelul linux… La fel și media box-urile și dispozitivele de genul. PLC-urile Siemens au atâtea exploit-uri de singurul mod de protecție e fizică. Adică dacă cineva vrea poate modifica subtil rețete ale unor medicamente/vaccinuri… să fie inefective din producție. Faza cu tv off se practica de mult cu consolele playstation și xbox. iOS e posibil să aibă exploituri puse chiar de CIA. KVM-urile integrate în serverele Dell/HP gen iLO sunt deja caș din punct de vedere al securității, singurul mod de protecție e să legi acest sistem pe o rețea internă.
Restul sunt doar cireașa de pe tort. Nu vreau să știu ce au israelienii, chinezii și rușii pe mână, care dacă îl prind pe unu de ai lor cu leak-uri de genul pățește la fel ca fratele lui Kim Jong Un.
Pentru că de ce să te chinui să spargi datele criptate când le poți extrage înainte de a fi criptate. GG, gen.
Două chestii interesante am văzut la o primă documentare în arhiva publicată: o prezentare despre bypass la unele AV-uri (inclusiv mult-trâmbițatul Bitdefender) și un script în Python pentru conectarea la un server de interes prin proxy, care se încheia așa:
http = SocketServer.ForkingTCPServer((‘’,OUR_PORT),Proxy)
print “serving at %d port” % OUR_PORT
http.serve_forever()
E bună de răsfoit și se pare că e doar prima bucată, mai urmează și altele. Sunt curios dacă au pus mâna și pe exploit-uri weaponized/ready to use, ar fi interesant de analizat conținutul.
Mie mi-a placut muzica pe care unul dintre utilizatori o asculta 
jk.
Am tras si eu o serie de concluzii pe aici, insa n-am apucat sa rasfoiesc in detaliu dump-ul. Totusi pare doar cireasa de pe tort ceea ce s-a publicat si e mult mai consistent decat la Hacking Team.
Eu acum m-am apucat de răsfoit și-am început cu .PDF-urile. Interesant e că, din câte-am înțeles, între hax0rii care activau pe acolo circula o arhivă impresionantă de documente clasificate (gen SECRET/NOFORN - NO FOReign National access allowed, nici măcar „partenerii” tradiționali de năzbâtii) și weaponized exploits, iar o bună parte din arhivă a ajuns la Wikileaks. So much for security at the CIA, eh?
Cât despre analogia cu HT, din hack-ul de la HT au fost publicate (pe lângă e-mail-uri, care oferă mai puține decât documentele din Vault7) destul de multe weaponized exploits, care erau ready to use gen. Încă am arhiva de la HT pe laptop-ul de InfoSec, dacă e cineva care are nevoie de ea și e cu lene să o caute pe Interneți.
Și două articole interesante de la ZeroHedge pe temă: Wikileaks Releases Encrypted “Vault 7” Torrent, Will Unveil Password Tuesday 9am și Wikileaks Unveils ‘Vault 7’: “The Largest Ever Publication Of Confidential CIA Documents”; Another Snowden Emerges.
Pai aici e o diferenta majora apropo de abordare.
In primul rand Phineas Fisher e/era un lonely wolf care a vrut sa se angajeze la aia si apoi i-a spart. Nu stiu daca a fost razbunare sau altceva, cert e ca el si-a permis sa dea toate alea la liber mai ales ca la vremea respectiva era anonim. Acum nu mai e fiindca l-au saltat acum cateva luni pentru c-a publicat pe Youtube tutoriale in care facea publice metode prin care se puteau sparge anumite sisteme ale Mossos d’Esquadra.
Wikileaks e o organizatie cu oameni care isi cam asuma veridicitatea dump-urilor. Tocmai de asta orice publica se face cu oarecare nivel de prudenta si sunt sigur ca ceea ce nu s-a publicat inca o sa fie publicat abia dupa ce vendorii respectivi (care presupun c-au fost notificati deja) baga patch-urile de rigoare. Mi-e greu sa cred ca oamenii astia s-au oprit la Windows 8, Android 5.0 etc. cu exploiturile.
S-a publicat deocamdata doar ce e considerat inutil si ce nu poate sa fie folosit pentru a propaga atacuri majore.
Asta dacă l-au săltat pe omu’ original, ca și cum. Nu de alta da’ cică PF e alive and well.
Au și anunțat că deocamdată încă analizează dump-uri de executabile and co. și urmează să le facă publice. Din câte-am înțeles nu vor publica și exploit-urile per se, dar am găsit un ghid despre o vulnerabilitate a CPU-ului Exynos de la Samsung. Cât despre patch-urile de rigoare, una e să fie anunțat producătorul și să scoată un patch și alta e ca utilizatorul final să aplice patch-ul. Pot pune pariu că încă găsești sisteme vulnerabile la exploit-urile publicate la HT.
Îndrăznesc să te contrazic într-o mică măsură, apropo de ce spuneam mai sus legat de exploit-ul pentru Exynos. E un ghid destul de interesant și prezintă conceptul de bază al exploit-ului. Cineva cu resurse ar putea lua conceptul și l-ar putea implementa destul de lejer, aș zice eu. Colac peste pupăză, cum spuneam mai sus, găsești metode/concepte de bypass la AV-uri. Și pun pariu că unele dintre ele încă sunt exploatabile.
Nu stiu detalii aditionale apropo de PF. Stiu doar ca individul pe care l-au saltat e inca in arest preventiv.
Apoi, dupa cum spuneam si in articolul pe care l-am linkat de pe blog, ieri pentru mine a fost zi libera si azi e o zi de munca intensa. N-am apucat sa ma uit peste detalii ci m-am uitat aseara fugitiv peste ce s-a publicat asa ca am presupus ca nu e publicat in intregime. Multumesc ca mi-ai confirmat.
Cat despre patch-uri, atunci cand se face un release la modul profesionist se urmareste doar ca vendorul sa publice un patch intr-un termen de timp decent, restul ce face utilizatorul e strict problema lui 
Lasă că mă uit eu și pentru tine acum, că tot frec menta acasă, lol.
Atât. Aici ai pus punctul pe proverbialul „i”. Producătorul pune patch-ul la dispoziția utilizatorului da’ cum majoritatea utilizatorilor o ard aiurea, aș zice că am foarte mari șanse să câștig pariul legat de valabilitatea exploit-urilor publicate până acum.
Și un rezumat ceva mai digerabil:
Am râs, quality press, vorba aia:
În altă ordine de idei, cu sau fără leaks, mulți dintre noi eram conștienți că asta e lumea în care trăim.
Implicațiile dezvăluirilor din Vault 7 sunt multe, rămane de văzut ce se va întampla. Oare producatorii de televizoare/mașini/etc vor face ceva? Dar guvernele? De oamenii de rand nu mai zic nimic, @a.busuioc a punctat bine mai sus.
Nu știu dacă eram conștienți este corect cât bănuiam că ceva se întâmplă.
Aceste „scurgeri” confirmă bănuieli și/sau teorii ale conspirației 
cum ar fi? ai impresia ca-s urmariti toti mucosii ca sa afle ce pron prefera?
Cred ca MO-ul agentiilor cu 3 litere din ultima vreme e sa colecteze cat pot de mult, iar apoi se face analiza pe cazuri specifice, cand e nevoie. Sa stochezi toate informatiile astea nu e o problema, iar dup’aia nu vrei sa se afle ca puteai sa opresti o operatiune terorista sau criminala ca nu aveai acces la datele astea. Nu e un pas mare sa crezi ca informatia poate fi folosita si in alte scopuri, la nevoie.
Să presupunem că un mucos are capacitatea să inoveze un domeniu și să schimbe radical modul în care trăim, iar mucosul respectiv preferă pron cu underage persons. Ghici ce va face mucosul atunci când i se vor prezenta niște dovezi irefutabile în acest sens. Exact.
Toți avem ceva de ascuns în domeniul digital, așa că a colecta informații despre toți este foarte util comunității de informații/serviciilor secrete. Aș putea spune chiar imperios necesar, din punctul lor de vedere. Și da, vorbesc din experiența proprie, nu din auzite.
Văzând o prezentare despre cum un hax0r a reușit în timpul liber să dezvolte niște concepte/metode de AV bypass, chiar am râs la articolul din ZF.
Atât. O societate monitorizată e o societate controlată.
Din câte am văzut majoritatea metodelor se folosesc de code cave-uri pentru .DLL injection. Există opțiuni pentru compiler care criptează/randomizează memoria unui program dar foarte puține aplicații le folosesc. În cazul JS cu v8 e mult mai greu să găsești un code cave dacă codul e obfuscat calumea să nu poată fi modificat.
@alescx
De temut nu trebuie să ne temem de agenții în sine, problema e când un politician corupt ajunge să controleze o agenție de genul, Dacă ești politician/activist/jurnalist/companie te trezești în ceva inginerie socială să scape de tine. Hai să zicem că descoperă că îți plac fetele prea tinere, crezi că nu poate cineva să îi dea unei fetițe din România 500 de euro/droguri să se ducă la un club unde te duci și să se ducă cu tine acasă ca după să te acuze părinții de pedofilie/viol ? Cum încearcă avocatul tău să te apere cu “Mi-a mințit clientul” te trezești cu istoricul de pe calculatorul tău cu hdd-ul (de fapt luat din alte surse) ca și probă că ești pedofil. Nu te mai atingi de politică/jurnalism cu așa cazier, nici la KFC nu te angajează.
Aici nu vorbim doar de informații pe niște calculatoare, ci de o organizație militară în care e permis și încurajat să distrugi/elmini ținte. Pot să te forțeze să renunți la ce faci luându-ți casa, locul de muncă, familia (nu e greu să inginerești puțin să îi iei copiii cuiva dacă știi ce să cauți), renumele sau afacerea dacă nu ești de partea lor și efectiv n-ai ce face fără o altă organizație militară în spate.
In the mean time …
Based on the “Vault 7” public disclosure, Cisco launched an investigation into the products that could potentially be impacted by these and similar exploits and vulnerabilities. As part of the internal investigation of our own products and the publicly available information, Cisco security researchers found a vulnerability in the Cluster Management Protocol code in Cisco IOS and Cisco IOS XE Software that could allow an unauthenticated, remote attacker to cause a reload of an affected device or remotely execute code with elevated privileges.
The Cisco PSIRT has disclosed this vulnerability in the following security advisory:
Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability
In terms of mitigations to consider, disabling the Telnet protocol as an allowed protocol for incoming connections would eliminate the exploit vector. Disabling Telnet and using SSH is recommended by Cisco. Information on how to do both can be found on the Cisco Guide to Harden Cisco IOS Devices.
Customers unable or unwilling to disable the Telnet protocol can reduce the attack surface by implementing infrastructure access control lists (iACLs). Information on iACLs can be found on the following document: Protecting Your Core: Infrastructure Protection Access Control Lists
Cisco IPS Signature 7880-0 and Snort SIDs 41909 and 41910 can detect attempts to exploit this vulnerability.