NSO's Pegasus spyware: her er hvad vi ved

0
282

I løbet af den sidste uge har vi set historie efter historie om et firma ved navn NSO Group og et stykke spyware ved navn Pegasus. Nogle af historierne har været chokerende med beskyldninger om, at fuldt opdaterede smartphones kan hackes med en enkelt tekstbesked, og rapporterer, at to kvinder tæt på den myrdede journalist Jamal Khashoggi var blandt dem, der blev målrettet af et regeringsorgan, der brugte spionværktøjet.

En koalition af nyhedsforretninger, herunder The Washington Post, Le Monde og The Guardian, står bag rapporteringen, og de kalder det Pegasus-projektet. Projektet blev ledet af Forbidden Stories, en organisation af journalister, der arbejder på historier, efter at de oprindelige journalister er blevet tavset på en eller anden måde. Amnesty International kørte detaljeret retsmedicin på 67 smartphones for at lede efter beviser for, at de var målrettet af Pegasus spyware – og 37 af disse telefoner testede positive. Men mange vigtige detaljer er stadig ikke klare.

Her er hvad vi ved om NSO Group og Pegasus indtil videre.

Hvad er Pegasus, og hvem eller hvad er NSO Group?

Pegasus er spyware udviklet af en privat entreprenør til brug af offentlige organer. Programmet inficerer et måls telefon og sender data tilbage, inklusive fotos, meddelelser og lyd-/videooptagelser. Pegasus 'udvikler, et israelsk firma ved navn NSO Group, siger, at softwaren ikke kan spores tilbage til regeringen, der bruger den – en afgørende funktion for hemmelige operationer.

Kort sagt, NSO Group fremstiller produkter, der lader regeringer spionere på borgere. Virksomheden beskriver deres produkters rolle på sit websted som at hjælpe ”regeringsmyndigheder og retshåndhævende organer med at bruge teknologi til at imødegå udfordringerne ved kryptering” under terrorisme og kriminelle efterforskninger. Men som du måske forestiller dig, er grupper af borgerlige frihedsrettigheder ikke glade for spyware-for-hire-forretningen, og begrænsning af virksomheden til offentlige klienter gør ikke meget for at stille deres bekymringer tilbage.

Virksomheden fortalte The Washington Post, at den kun arbejder med regeringsorganer, og at den vil afskære et bureaus adgang til Pegasus, hvis den finder bevis for misbrug. I sin gennemsigtighedsrapport, der blev offentliggjort i slutningen af ​​juni, hævdede virksomheden, at det havde gjort det før. Alligevel rejste en erklæring fra Amnesty International bekymring for, at virksomheden leverer spyware til undertrykkende regeringer, hvor regeringsorganer ikke kan have tillid til at gøre det rigtigt af deres borgere.

Forbidden Stories-organisationen, som var med til at lede Pegasus-projektets indsats, har en beskrivelse af virksomhedens bedrifter og kontroverser i løbet af det sidste årti, hvoraf nogle har inspireret retssager fra journalister og aktivister med argumenter for, at NSO's software er blevet brugt forkert. Washington Post har også et interview, der dækker virksomhedens egen historie om, hvordan det blev grundlagt, og hvordan det kom i gang i overvågningsindustrien.

Hvem blev udspioneret om?

Vi ved det ikke helt sikkert. Imidlertid er meget af rapporteringen centreret omkring en liste, der indeholder 50.000 telefonnumre, hvis formål er uklart. Pegasus-projektet analyserede tallene på listen og forbandt over 1.000 af dem til deres ejere. Da det gjorde det, fandt det folk, der burde have været uden for grænser for regeringens spionage (baseret på de standarder, NSO siger, at det holder sine klienter til): hundredvis af politikere og regeringsarbejdere – herunder tre præsidenter, 10 premierministre og king – plus 189 journalister og 85 menneskerettighedsaktivister.

Vent, hvem lavede denne liste?

På dette tidspunkt er det klart som mudder. NSO siger, at listen ikke har noget at gøre med sin forretning, og hævder, at den kommer fra en simpel database med mobilnumre, der er et træk ved det globale mobilnetværk. En erklæring fra en Amnesty International-talsmand, der blev sendt til Twitter af cybersikkerhedsjournalisten Kim Zetter, siger, at listen angiver tal, der blev markeret som “af interesse” for NSOs forskellige klienter. Washington Post siger, at listen er fra 2016.

Washington Post siger, at listen ikke indeholder oplysninger om, hvem der tilføjede numre til den, eller om folk, der var knyttet til numrene, var under overvågning. Blev listen kurateret af et skyggefuldt regeringsagentur, der forsøgte at komme på den gode side af andre regeringer? Blev det vedligeholdt af en slap gruppe af Pegasus-brugere? Var det simpelthen en liste over numre? Det er et vigtigt spørgsmål, der forbliver frustrerende uklart.

Så betyder listen noget?

Det lader til. Washington Post rapporterer, at nogle af de analyserede telefoner var målrettet kort efter, at de blev føjet til listen. I nogle tilfælde adskiller kun få sekunder tidsstempler, der angiver, hvornår telefonnummeret blev føjet til listen og hændelser af Pegasus-angreb på telefonerne.

Ifølge The Guardian kørte Amnesty sin analyse på 67 telefoner, der er forbundet til numrene. Det fandt ud af, at 37 af telefonerne i det mindste var blevet målrettet af Pegasus, og at 23 af disse telefoner var blevet hacket med succes. Washington Post beskriver, hvordan Pegasus blev brugt til at hacke en telefon, der tilhørte en fængslet aktivists kone.

Hvem ellers er der på listen?

En Washington Post-rapport beskriver nogle af de højest placerede embedsmænd med numre på listen. Ifølge en analyse foretaget af Post og andre medlemmer af Pegasus-projektet blev de nuværende præsidenter for Frankrig, Irak og Sydafrika inkluderet sammen med de nuværende premierministre i Pakistan, Egypten og Marokko, syv tidligere premierministre og kongen af Marokko.

I en separat rapport fra Posten hævdes det, at den marokkanske konge ikke var den eneste kongelige, hvis nummer kom på listen – en prinsesse fra Dubai blev også tilføjet sammen med nogle af hendes venner, da hun prøvede at få politisk asyl. Hendes forsøg mislykkedes, da hun angiveligt blev kidnappet af bevæbnede kommandoer, der gik ombord på den yacht, hun brugte for at flygte.

To kvinder var også tæt på Jamal Khashoggi, en journalist, der blev myrdet. i 2018.

Var Khashoggi selv på listen?

Det ser ikke ud til det (selvom vi beskæftiger os med nogle nuancer på et øjeblik), men folk lukker for ham var. Washington Post har rapporteret, at en af ​​disse hackede telefoner tilhørte Khashoggi's forlovede, og at der angiveligt er bevis for, at hans kones telefon også var målrettet. NSO's administrerende direktør har kraftigt benægtet, at Khashoggis kone var et mål.

Om NSO målrettede mod Khashoggi selv, er det et spørgsmål uden et konkret svar. NSO benægter på det kraftigste, at det var involveret – det gjorde det i 2019 og igen for nylig med The Washington Post med henvisning til en erklæring fra virksomheden om, at dets teknologi “på ingen måde var forbundet med det afskyelige mord på Jamal Khashoggi.” Ifølge Posten er Khashoggi's telefon i varetægt af tyrkiske myndigheder, der foretager en efterforskning af journalistens drab.

Ifølge The Washington Post kan spyware stjæle private data fra en telefon, sende et måls meddelelser, adgangskoder, kontakter, fotos og mere til den, der startede overvågningen. Det kan angiveligt endda tænde telefonens kameraer eller mikrofoner for at skabe skjulte optagelser. Et dokument fra NSO beskriver softwarefunktionerne mere detaljeret.

Nye versioner af det har angiveligt været i stand til at gøre dette uden at skulle få brugeren til at gøre noget – et link sendes til deres telefon uden en underretning, og Pegasus begynder at indsamle oplysninger. I andre tilfælde har Pegasus angiveligt stole på, at brugerne klikker på phishing-links, der derefter leverer Pegasus-nyttelasten.

Vent, hvordan kan Pegasus få al den information?

Både The Guardian og The Washington Post har artikler, der forklarer, hvordan selv moderne telefoner med de nyeste softwareopdateringer kan udnyttes. (Amnesty har vist, at selv nogle af de nyeste versioner af iOS er sårbare over for metoder, der bruges af NSO.) Resuméet er, at ingen software er perfekt. Hvor der er kompliceret software, som iMessage eller WhatsApp, vil der være bugs, og nogle af disse bugs giver hackere adgang til langt mere, end mange tror, ​​er muligt. Og med millioner af dollars på spil er hackere og sikkerhedsforskere meget motiverede til at finde disse bugs, selvom de kun kan bruges i en kort periode.

Det kan gør alt det på iPhones? Hvad med Apples sikkerhed og privatliv?

I en erklæring til The Guardian benægtede Apple ikke NSOs evne til at udnytte iPhones, men sagde i stedet, at angreb som Pegasus er ”meget sofistikerede, koster millioner af dollars at udvikle, ofte har en kort holdbarhed og bruges til at målrette mod bestemte personer. , ”Derved ikke påvirker de fleste Apple-kunder. Apple sagde, at det fortsætter “med at arbejde utrætteligt for at forsvare alle vores kunder, og vi tilføjer konstant nye beskyttelser til deres enheder og data.”

Som The Washington Post påpeger, er det stadig uheldigt for en virksomhed, der er stolt af sikkerhed og privatliv, en der sætter op “hvad der sker på din iPhone, forbliver tændt, som The Washington Post påpeger, dine iPhone ”reklametavler. Sikkerhedsforskere, der talte med Posten, lagde hovedsagelig skylden på iMessage og dets preview-software – på trods af den beskyttelse, som Apple efter sigende har implementeret for nylig for at forsøge at sikre iMessage.

Er kun iPhones sårbare?

Nej. Meget af rapporteringen fokuserer på iPhones, men det er kun fordi de har vist sig lettere at analysere for tegn på en Pegasus-infektion end Android-telefoner har. Pegasus kan dog inficere begge dele ifølge et NSO-informationsdokument. Både Apple og Google har kommenteret situationen med Apple, der fordømmer angreb mod journalister og aktivister, og Google siger, at det advarer brugere om forsøg på infiltrationer, selv dem der støttes af regeringer.

Jeg tror Jeg har hørt om Pegasus før?

Spyware har været i nyhederne i årevis, ofte i forbindelse med hændelser svarende til det, der aktuelt rapporteres. I 2017 dukkede rapporter op om, at softwaren var blevet brugt i angreb mod mexicanske journalister og aktivister. I 2019 sagsøgte WhatsApp NSO Group og hævdede, at softwareudvikleren var involveret i hacking af omkring 1.400 enheder ved hjælp af en udnyttelse, der blev fundet i WhatsApps kode. Microsoft, Google, Cisco og andre teknologiske virksomheder signaliserede støtte til WhatsApps dragt. (I april 2021 fortsatte sagen ifølge en rapport fra Politico.)

I 2020 blev det rapporteret, at NSO blev undersøgt af FBI i forbindelse med 2018 hack af Jeff Bezos 'mobiltelefon. På det tidspunkt nægtede NSO kendskab til FBI's sonde ifølge Reuters, og FBI nægtede for nylig at kommentere sagen til The Washington Post.

Hvem står bag målretningen af ​​aktivister og journalister?

Vi ved det ikke i øjeblikket, men det er sandsynligvis ikke kun et regeringsorgan eller land. Washington Post peger på en liste over 10 lande, hvor mange af telefonnumrene på listen ser ud til at være fra, og siger, at disse lande tidligere er blevet rapporteret at have arbejdet med NSO. Men det faktum, at mange af de grundlæggende fakta om listen forbliver omstridt, betyder, at der virkelig ikke er nok information til at drage solide konklusioner.

Hvor meget koster det at spionere på en telefon?

NSO giver angiveligt masserabatter

I 2016 rapporterede The New York Times, at NSO Group opkrævede $ 500.000 for at indstille en klient med Pegasus-systemet og derefter opkrævede et ekstra gebyr for faktisk at infiltrere folks telefoner. På det tidspunkt var omkostningerne angiveligt $ 650.000 for at hacke 10 iPhone- eller Android-brugere eller $ 500.000 for at infiltrere fem BlackBerry-brugere. Kunder kunne derefter betale mere for at målrette mod yderligere brugere, hvilket sparer, når de spionerer med masserabatter: $ 800.000 for yderligere 100 telefoner, $ 500.000 for yderligere 50 telefoner osv. NSO ville angiveligt også opkræve 17 procent af det, klienterne havde betalt i løbet af et år som et årligt vedligeholdelsesgebyr. Ifølge Forbidden Stories er NSO's kontrakt med Saudi-Arabien alene op til $ 55 millioner.

Hvad siger NSO om rapporterne?

I et interview med Calcalist benægtede NSO Groups administrerende direktør og medstifter Shalev Hulio bredt beskyldningerne og hævdede, at listen over numre ikke havde noget at gøre med Pegasus eller NSO. Han hævdede, at en liste over telefonnumre, der er målrettet mod Pegasus (som NSO siger, at den ikke holder, da den ikke har “intet indblik” i, hvilke undersøgelser der udføres af sine kunder) ville være meget kortere – han fortalte Calcalist, at NSO's 45 kunder har i gennemsnit ca. 100 Pegasus-mål pr. år.

“Nogen skal udføre det beskidte arbejde”

Hulio hævder også, at NSO har undersøgt sine kunders brug af softwaren og ikke har fundet beviser for, at de målrettede mod et af de telefonnumre, NSO havde fået, inklusive det, der var knyttet til Khashoggi's kone. Han siger også, at det er NSO-politik at afskære klienters adgang til Pegasus, hvis den opdager, at de bruger systemet uden for dets tilsigtede brug.

Hulio fortalte The Washington Post, at rapporterne var “bekymrende”, og at virksomheden ville undersøge det. Han fortalte Calcalist, at NSO havde kørt kontrol med nuværende og tidligere kunder i den sidste uge.

Hvordan ville NSO vide, om disse mennesker er blevet målrettet, eller forhindre dem i at blive målrettet, hvis har det ingen anelse om, hvem dens kunder målretter mod?

Fantastisk spørgsmål. Hulio forsøger at besvare det i sit interview med Calcalist og nævner evnen til at analysere en klients systemer, men giver ikke rigtig nok detaljer til at være betryggende.

Hvordan kan Hulios krav om, at Pegasus-klienter gennemsnitligt har 100 mål pr. År med de store rabatter, NSO efter sigende giver?

Igen, stort spørgsmål.

Hvorfor fremstille software som denne?

Ifølge NSO bygger det Pegasus udelukkende til brug i terrorbekæmpelse og retshåndhævelsesarbejde. Virksomheden sælger angiveligt kun softwaren til specifikke regeringsorganer, der er godkendt af det israelske forsvarsministerium.

NSO ser ud til at se sin software som en nødvendig, hvis ubehagelig del af moderne overvågning, med sin administrerende direktør, der fortæller The Washington Post, at “nogen skal udføre det beskidte arbejde”, og at Pegasus “bruges til at håndtere bogstaveligt talt det værste, denne planet har at tilbud.”

Er der andre virksomheder derude, der fremstiller værktøjer som Pegasus?

Absolut. The Economic Times har en god oversigt over nogle af de højere profilerede virksomheder, der arbejder i rummet, sammen med en forklaring på, hvordan mønsteret for israelske cyberintelligensagenter, der forlader militærtjeneste og grundlægger opstart, fører til, at Israel er hjemsted for mange af disse virksomheder.

Hvad kan jeg gøre for at holde mig sikker og mine oplysninger private?

På trods af Amnestys rapport om, at versioner af iOS fra juli er sårbare over for Pegasus, vil det at holde din telefon opdateret sikre, at din telefon er modtagelig for færre udnyttelser, da opdateringer løbende opdateres af telefonproducenter. Der er også standardsættet med bedste praksis for sikkerhed: brug af stærke, unikke adgangskoder (helst med en adgangskodeadministrator), slå kryptering til, ikke klikke på links fra fremmede osv.

Selvfølgelig , Pegasus har vist sig at omgå de fleste af disse sikkerhedsforanstaltninger – en lækket kopi af NSO-informationsmateriale skryter af, at installationen “ikke kan forhindres af målet” – men de hjælper med at beskytte dig mod mindre sofistikerede hackere.

Hvordan kan jeg kontrollere, om min telefon er kompromitteret?

Amnesty International har faktisk frigivet et værktøj, der kan bruges til analyse, og du kan læse vores vejledning om, hvordan du bruger det her.

Hvor bekymret skal jeg faktisk være?

Hvis du antager, at du ikke er journalist, der arbejder på følsomme historier, en verdensleder eller i en eller anden position, der kan true regeringens magter, er oddsene, at nogen ikke har betalt tusinder eller titusinder af dollars for at målrette dig med Pegasus. Når det er sagt, handler det naturligvis om, at disse typer angreb er mulige, og at de potentielt kan falde i hænderne på hackere, der ønsker at målrette mod et meget bredere udvalg af mennesker.

Som med alle sikkerhedsrelaterede foranstaltninger er det vigtigt at være realistisk med hensyn til de trusler, du står over for, og hvad du skal gøre ved dem. For de fleste mennesker, der sandsynligvis ikke bliver målrettet af en aktør på niveauet for en nationalstat (som forhåbentlig inkluderer dig), kommer den større trussel mod privatlivets fred fra datamæglere, der fungerer lovligt og i større skala. På bagsiden, hvis du faktisk bliver målrettet af regeringer med alle de ressourcer, de har til rådighed, er der sandsynligvis ikke meget, du kan gøre for at holde dine digitale data private.

Jeg har hørt, at softwaren ikke kan bruges mod mennesker med +1 landekodenumre, som dem, der findes i USA eller Canada.

NSO har mange gange hævdet, at softwaren er teknisk ude af stand til at målrette mod telefoner med amerikanske +1 telefonnumre. Dette beskytter naturligvis ikke amerikanere, der bruger internationale telefonnumre, men det er også noget, der er svært for virksomheden at bevise. Ifølge The Washington Post fandt undersøgelsen ikke bevis for, at der var blevet hacket nogen amerikanske numre, men de kontrollerede kun 67 telefoner.

Resten af ​​landene ved hjælp af +1-koden. i starten af ​​deres telefonnumre, såsom Canada, Jamaica og andre, er stort set ikke nævnt i den nye bølge af NSO-rapportering, skønt Canada blev nævnt i en rapport fra 2018.