經過維基解密的多次調侃，2017年3月7日，洩密網站發佈了一套名為Vault 7的文件。據稱，這些消息是從中情局網絡情報中心內部洩露的。為了配合Vault 7文件，維基解密準備了一份新聞稿，詳細介紹了洩密的背景和主要發現。

然而，在它發佈後的幾個小時裡，有許多聳人聽聞的頭條新聞聲稱WhatsApp和Signal等應用程序的加密遭到了破壞。儘管有廣泛的報道，但事實並非如此。那麼，7號金庫的洩密究竟告訴了我們什麼，我們應該擔心嗎？

什麼是地下室7號漏水(the vault 7 leaks)？

Vault 7文件是維基解密（WikiLeaks）發佈的一系列文件中的第一份，被稱為“零年”，來自中情局網絡情報中心。總共有7818個網頁和943個附件，其中包括2013年至2016年間的文檔、圖像和其他文件。

儘管維基解密沒有指出洩密的消息來源，但在他們的新聞稿中，他們確實表示，他們的消息來源“希望發起一場關於網絡武器的安全、**、使用、擴散和民主控制的公開辯論”。

與以前的版本不同，維基解密在發佈前對姓名和其他個人身份信息進行了編輯。他們在聲明中還說，他們有意撤回某些信息，以防止“分發‘武裝’網絡武器”。

7號保險庫裡有什麼？

Vault 7中的文件似乎來自一個名為Confluence的軟件。Confluence是企業設置的內部wiki，通常在Atlassian服務器上運行。

眾所周知，Atlassian服務器的安全性很難保證，這可能表明了這次洩漏是如何發生的。

作為一個內部協作工具，該版本包含了正在進行的項目、演示和技術文檔，以及用於執行許多攻擊的代碼。儘管這其中有很大一部分被維基解密阻止了。

智能**黑客零日攻擊

軟件漏洞是不可避免的。他們經常被研究人員發現，並向開發者報告。開發人員將編寫並部署一個修補程序，漏洞將被關閉。但是，如果攻擊者在開發人員之前發現該漏洞，他們可以創建一個漏洞，稱為零日攻擊。

Vault 7顯示，中情局可以訪問他們使用的一些零日攻擊，以損害Android和iOS設備。有趣的是，似乎已經投入了大量的努力，以確保這些開發將具體應用於三星設備。雖然Android的許多開發比iOS的開發要早，但還不清楚這是因為這些漏洞仍然在運行，還是將重點轉移到了iOS上。顯然，iOS設備投入了大量的精力，因為DBROOM開發的用戶指南顯示，幾乎每一款iPad、iPod和iPhone都支持。

文件顯示，中情局正在從其他組織那裡購買許多剝削。正如愛德華·斯諾登在Twitter上指出的，這是美國**為保持軟件不安全而付費的證據。當然，對於情報機構或經常使用這些剝削的網絡罪犯來說，這並不罕見。不尋常的是，在這種情況下，**為了使公民不太安全而支付費用，因為**不披露這些剝削，以便他們能夠得到修補。

哭泣天使&三星智能電視

你可能還記得，早在2015年，就有報道稱三星電視可能在監視你。當時，三星斷然否認了這一點，他們說，收集音頻只是為了處理你的語音請求。事實證明，實際上三星智能電視可以監視你，多虧了中情局。

由嵌入式開發部門（EDB）運營的哭泣天使項目創造了一個漏洞，可以把你的智能電視變成麥克風，能夠向中情局報告所有音頻。根據2014年6月的一份文件，他們甚至計劃添加視頻捕獲、實時流音頻和禁用自動升級。

造雨機

Rain Maker工具允許中情局從計算機上收集系統數據和特定文件。該工具可以**到一個USB驅動器（或其他可移動媒體），一旦用戶打開驅動器上的VLC媒體播放器的便攜式版本觸發。

捕獲的數據將在可移動媒體上加密，稍後將進行解密。這意味著，為了使此漏洞發揮作用，CIA代理必須能夠物理訪問媒體驅動器。Rain Maker用戶指南說，它只適用於Windows XP、Vista、7、8或8.1。儘管指南日期為2015年3月，但雨水**商有可能被擴展到支持Windows 10。

車輛控制系統

物聯網運動讓許多**商相信，在產品中添加互聯網連接可以讓產品變得更好。然而，有一些是你真的不想連接的——比如你的車。

雖然我們以前在Black Hat USA看到過乘用車被黑客攻擊，但這是一個道德概念的證明。令人擔憂的是，EDB似乎也在研究如何對聯網車輛進行妥協。儘管Vault 7提供給我們的唯一信息是2014年10月的會議記錄，但令人擔憂的是，他們可能在我們的車上尋找零日漏洞。

指紋識別和陷害其他**

早在2010年，一種名為Stuxnet的電腦蠕蟲病毒就已經感染了伊朗的核計劃，並對其造成了損害。許多安全研究人員認為蠕蟲是由美國和以色列****的。這是因為每次攻擊都會包含一個“指紋”，可以識別特定的狀態或黑客集體。

保險庫7包含的文件顯示，中情局正在維護一個已知的惡意軟件，鍵盤記錄程序，以及其他間諜軟件和利用數據庫。這是用來建立一個收集指紋從世界各地不同的國家在UMBRAGE項目。如果發現了攻擊，他們可以利用這些指紋來誤導攻擊的歸屬。

這只是Vault 7中包含的攻擊的一小部分。還有許多與Windows、Linux和Mac操作系統有關。這起洩密事件還顯示，他們正在開發針對路由器的漏洞，並試圖破壞殺毒軟件。

雖然這些技術信息讓人對中情局如何試圖滲透其他組織和個人有了一個引人入勝、有時令人擔憂的見解，但也展現出了更人性化的一面。許多功勳都是以書呆子文化中的人物命名的——比如哭泣的天使，大概是受宇宙醫生的啟發。

中情局竊聽了whatsapp嗎？

維基解密在Vault 7新聞稿中說：

These techniques permit the CIA to bypass the encryption of WhatsApp, Signal, Telegram, Wiebo, Confide and Cloackman by hacking the "**art" phones that they run on and collecting audio and message traffic before encryption is applied.

然後他們廣泛分享了一條微博，強調“中情局（能夠）繞過加密”。這導致大多數媒體組織以WhatsApp、電報和信號加密遭到破壞的標題運行。

不幸的是，這些媒體沒有花時間深入挖掘，也沒有考慮維基解密最初的聲明。通過查看細節，很明顯，這些應用程序中的任何一個加密都沒有遭到破壞。相反，維基解密選擇了發表社論。中情局曾利用零日漏洞攻擊，以損害運行iOS和安卓系統的智能**。

通過破壞設備，他們將能夠訪問未加密的數據。這種方法與破壞加密機制不同。

你能相信維基解密嗎？

根據他們的網站“維基解密是一個多國媒體……[它]專門分析和發佈大量數據集的審查或其他限制性材料。”在現在臭名昭著的朱利安阿桑奇建立後，他們在2006年12月發佈了第一個版本。

它在2010年公佈了美國**的外交電報後，聲名狼藉，享譽世界。電文公佈後，美國對維基解密展開刑事調查。大約在同一時間，阿桑奇在瑞典被指控***和**，並要求引渡他。為了阻止他被引渡到瑞典或美國，阿桑奇向厄瓜多爾駐倫敦大使館尋求庇護，他自2012年以來一直留在那裡。與此同時，維基解密繼續發佈洩密消息，包括2016年美國總統大選前夕的DNC黑客和波德斯塔電子郵件。

據廣泛報道，DNC和Podesta電子郵件的洩露是俄羅斯情報人員和間諜的工作。儘管俄羅斯和特朗普**一直對這一說法提出異議，但這一指控仍然存在。阿桑奇與美國關係緊張的歷史讓許多人相信，他與俄羅斯**一道行動，破壞對美國選舉制度的信心，並幫助特朗普贏得總統寶座。據信，這是一些人的報復行為，前國務卿希拉里·克林頓據稱在維基解密發佈後建議阿桑奇遭受無人機襲擊。

最終，這導致了對維基解密最新出版物的懷疑，因為他們認為不能相信該組織是公正的，特別是在美國**事務方面。

社論性誤報

Vault 7版本也不同於以往的維基解密出版物。儘管維基解密傾向於提供背景和摘要，以他們的發佈，新聞稿金庫7似乎已編輯，以強調特定的方面。正如我們已經看到的，他們在新聞稿和推特上都對加密錯誤報道起到了推波助瀾的作用。

似乎維基解密的工作人員在對話中加入了流行的加密應用程序，因為Vault 7的初始讀數沒有顯示維基解密列出的任何應用程序。儘管許多媒體後來更正了他們最初的標題，以反映加密沒有被破壞，但這些聲明的持久印象可能會削弱人們對加密的信心。

這個版本的另一個特點是維基解密獨立地編輯了7000多條信息。儘管他們過去也曾因為沒有這樣做而受到嚴厲批評，即使是愛德華·斯諾登，這種突然的變化也令人驚訝。這特別奇怪，因為維基解密本身曾說“每一個修訂都是宣傳”

最初的報告顯示，7號金庫內的文件是真實的，所以中情局利用流行技術的漏洞攻擊個人的基本觀點似乎是真實的。然而，關於這次發佈的說法可能不像維基解密讓你相信的那樣公正。

你應該擔心嗎？

中情局有能力破壞我們每天使用的許多設備，包括我們的智能**、電腦、筆記本電腦和智能家居設備，這一事實讓人極為不安。如果已經有人建議，在舉報人之間傳遞了一年左右的Vault 7信息，那麼洩漏中的漏洞很有可能掌握在世界各地的各種罪犯和其他**手中。

儘管這可能令人擔憂，但仍有一些希望。Vault 7洩漏中列出的大多數漏洞至少都存在一年以上，而且有可能在後續版本中得到修補。即使他們沒有，有一個很好的機會，現在這些信息是公開的，受影響的公司將努力立即修補他們。

另一個令人欣慰的原因是，儘管洩漏嚴重，但對於中央情報局設計的大部分利用，需要有某種形式的物理方式進入目標或其設備。這意味著，從我們迄今為止所看到的情況來看，沒有像愛德華·斯諾登的NSA洩密案中看到的那樣進行大規模監視的能力。事實上，大量的利用依賴於代理能夠有效地執行社會工程來獲得訪問或信息。

事實上，中情局開發的工具，使他們能夠監視外國組織和個人的利益不應該真的那麼令人驚訝。中情局的全部目的是從世界各地收集****信息。儘管它打破了詹姆斯·邦德式間諜的古老傳統，但金庫7的洩密顯示了情報界是如何進入數字時代的。

有什麼好擔心的？

雖然Vault 7是在第零年以下的一系列承諾發佈中的第一個，但它讓我們瞭解了中情局如何運作，因為情報收集已經轉移到了數字。儘管他們的開發範圍相當驚人，特別是iOS和Linux設備的數量，但這可能不像最初的說法所暗示的那樣令人震驚。

正如特洛伊·亨特在推特上指出的那樣，我們都期望我們的**盡最大努力保護我們和我們的安全，不讓那些想傷害我們的人傷害我們，但當他們的努力暴露出來時，他們往往會受到批評。

雖然你被中情局盯上的可能性相對較小，但現在這些漏洞已經公開了，給自己做一次安全檢查也許是明智的。確保你沒有重複使用密碼，使用密碼管理器，讓軟件保持最新，並警惕社會工程攻擊。

也許7號金庫最讓人擔心的部分甚至不是這些功績本身。第7號金庫，或者說第0年的任何一個金庫被曝光，表明儘管有可能接觸到危險的“網絡武器”，但中情局無法保護這些武器不被洩露給全世界看。

你對維基解密的最新版本有何看法？是有什麼值得擔心的還是你已經懷疑了？在今年剩下的時間裡零洩漏將會是什麼？請在評論中告訴我們您的想法！

圖像學分：Gearstd/Shutterstock