De afgelopen week hebben we verhaal na verhaal gezien over een bedrijf met de naam NSO Group en een stukje spyware met de naam Pegasus. Sommige verhalen waren schokkend, met beschuldigingen dat volledig bijgewerkte smartphones kunnen worden gehackt met een enkel sms-bericht, en berichten dat twee vrouwen die dicht bij de vermoorde journalist Jamal Khashoggi stonden, het doelwit waren van een overheidsinstantie die de spionagetool gebruikte.
Een coalitie van nieuwszenders, waaronder The Washington Post, Le Monde en The Guardian, zit achter de berichtgeving en ze noemen het het Pegasus-project. Het project werd geleid door Forbidden Stories, een organisatie van journalisten die aan verhalen werkt nadat de oorspronkelijke verslaggevers op de een of andere manier het zwijgen zijn opgelegd. Amnesty International voerde gedetailleerd forensisch onderzoek uit op 67 smartphones om te zoeken naar bewijs dat ze het doelwit waren van Pegasus-spyware – en 37 van die telefoons testten positief. Maar veel cruciale details zijn nog steeds niet duidelijk.
Dit is wat we tot nu toe weten over de NSO Group en Pegasus.
Wat is Pegasus en wie of wat is NSO Group?
Pegasus is spyware die is ontwikkeld door een particuliere aannemer voor gebruik door overheidsinstanties. Het programma infecteert de telefoon van een doelwit en stuurt gegevens terug, waaronder foto's, berichten en audio-/video-opnames. De ontwikkelaar van Pegasus, een Israëlisch bedrijf genaamd NSO Group, zegt dat de software niet kan worden herleid tot het gebruik door de overheid – een cruciale functie voor clandestiene operaties.
Kortom, NSO Groep maakt producten waarmee overheden burgers kunnen bespioneren. Het bedrijf beschrijft de rol van zijn producten op zijn website als het helpen van “inlichtingendiensten van de overheid en wetshandhavingsinstanties om technologie te gebruiken om de uitdagingen van encryptie aan te gaan” tijdens terrorisme- en strafrechtelijk onderzoek. Maar zoals je je misschien kunt voorstellen, zijn organisaties voor burgerlijke vrijheden niet blij met de spyware-for-hire-business, en het beperken van de business tot overheidsklanten lost hun zorgen niet op.
Het bedrijf vertelde The Washington Post dat het alleen samenwerkt met overheidsinstanties en dat het de toegang van een agentschap tot Pegasus zal afsluiten als het bewijs van misbruik vindt. In zijn transparantierapport dat eind juni werd uitgebracht, beweerde het bedrijf dat het dat al eerder had gedaan. Toch werd in een verklaring van Amnesty International bezorgdheid geuit over het feit dat het bedrijf spyware levert aan onderdrukkende regeringen, waar overheidsinstanties niet kunnen worden vertrouwd om het goede te doen door hun burgers.
De organisatie Forbidden Stories, die hielp bij het leiden van de inspanningen van het Pegasus-project, heeft een beschrijving van de exploits en controverses van het bedrijf in het afgelopen decennium, waarvan sommige hebben geleid tot rechtszaken van journalisten en activisten met het argument dat de software van NSO oneigenlijk is gebruikt. The Washington Post heeft ook een interview waarin het eigen verhaal van het bedrijf wordt verteld over hoe het werd opgericht en hoe het begon in de bewakingsindustrie.
Wie werd er bespioneerd?
We weten het niet zeker. Veel van de meldpunten draaien echter rond een lijst met 50.000 telefoonnummers, waarvan het doel onduidelijk is. Het Pegasus-project analyseerde de nummers op de lijst en koppelde meer dan 1.000 van hen aan hun eigenaren. Toen het dat deed, vond het mensen die verboden hadden moeten zijn voor overheidsspionage (gebaseerd op de normen die de NSO zegt dat het zijn klanten aanhoudt): honderden politici en regeringsmedewerkers – waaronder drie presidenten, 10 premiers en een king — plus 189 journalisten en 85 mensenrechtenactivisten.
Wacht, wie heeft deze lijst gemaakt?
Op dit punt is dat zo helder als modder. NSO zegt dat de lijst niets te maken heeft met zijn bedrijf en beweert dat het afkomstig is uit een eenvoudige database met mobiele nummers die een kenmerk is van het wereldwijde mobiele netwerk. Een verklaring van een woordvoerder van Amnesty International, gepost op Twitter door cybersecurity-journalist Kim Zetter, zegt dat de lijst cijfers bevat die zijn gemarkeerd als “van belang” voor de verschillende klanten van NSO. De Washington Post zegt dat de lijst uit 2016 stamt.
Amnesty zegt dat de Israëlische media een verklaring verkeerd hebben gerapporteerd ze in het Hebreeuws over de lijst met 50.000 telefoonnummers. Zie hier: https://t.co/rhksVHineG
Maar ik kreeg de volledige Hebreeuwse verklaring die ze aan verslaggevers gaven, en de Israëlische media citeerden het correct. pic.twitter.com/9JNmwC3QW4
— Kim Zetter (@KimZetter) 22 juli 2021
De Washington Post zegt dat de lijst geen informatie bevat over wie er nummers aan heeft toegevoegd, of dat mensen die aan de nummers waren gekoppeld, onder toezicht stonden. Werd de lijst samengesteld door een schimmige overheidsinstantie die probeerde aan de goede kant van andere regeringen te komen? Werd het onderhouden door een Slack-groep van Pegasus-gebruikers? Was het gewoon een lijst met nummers? Het is een essentiële vraag die frustrerend onduidelijk blijft.
Dus doet de lijst er toe?
Het lijkt erop. De Washington Post meldt dat sommige van de geanalyseerde telefoons het doelwit waren kort nadat ze aan de lijst waren toegevoegd. In sommige gevallen zijn er slechts enkele seconden afzonderlijke tijdstempels die aangeven wanneer het telefoonnummer aan de lijst is toegevoegd en incidenten van Pegasus-aanvallen op de telefoons.
Volgens The Guardian voerde Amnesty haar analyse uit op 67 telefoons die op de nummers waren aangesloten. Het ontdekte dat 37 van de telefoons op zijn minst het doelwit waren van Pegasus en dat 23 van die telefoons met succes waren gehackt. De Washington Post beschrijft hoe Pegasus werd gebruikt om een telefoon van de vrouw van een gevangengenomen activist te hacken.
Wie staat er nog meer op de lijst?
Een rapport van de Washington Post beschrijft enkele van de hoogste functionarissen met nummers op de lijst. Volgens een analyse van de Post en andere leden van het Pegasus-project waren de huidige presidenten van Frankrijk, Irak en Zuid-Afrika erbij betrokken, samen met de huidige premiers van Pakistan, Egypte en Marokko, zeven voormalige premiers en de koning van Marokko.
Een afzonderlijk rapport van de Post beweert dat de Marokkaanse koning niet de enige royalty was wiens nummer op de lijst verscheen – er werd ook een prinses uit Dubai toegevoegd, samen met enkele van haar vrienden, terwijl ze politiek asiel probeerde te krijgen. Haar poging mislukte toen ze naar verluidt werd ontvoerd door gewapende commando's die aan boord gingen van het jacht dat ze gebruikte om te ontsnappen.
Ook op de lijst stonden twee vrouwen dicht bij Jamal Khashoggi, een journalist die werd vermoord in 2018.
Was Khashoggi zelf op de lijst?
Het lijkt niet zo (hoewel we zo dadelijk wat nuances zullen behandelen), maar mensen sluiten voor hem waren. The Washington Post heeft gemeld dat een van die gehackte telefoons toebehoorde aan de verloofde van Khashoggi en dat er naar verluidt bewijs is dat de telefoon van zijn vrouw ook het doelwit was. De CEO van de NSO heeft ten stelligste ontkend dat de vrouw van Khashoggi een doelwit was.
Of de NSO zich op Khashoggi richtte, dat is een vraag zonder een definitief antwoord. NSO ontkent ten stelligste dat het betrokken was – het deed dit in 2019, en opnieuw recentelijk, waarbij The Washington Post een verklaring van het bedrijf aanhaalde dat zijn technologie “op geen enkele manier in verband werd gebracht met de gruwelijke moord op Jamal Khashoggi.” Volgens de Post is de telefoon van Khashoggi in bewaring bij Turkse autoriteiten die een onderzoek doen naar de moord op de journalist.
Wat doet Pegasus?
Volgens The Washington Post kan de spyware privégegevens van een telefoon stelen en de berichten, wachtwoorden, contacten, foto's en meer van een doelwit verzenden naar degene die de bewaking heeft gestart. Naar verluidt kan het zelfs de camera's of microfoons van de telefoon inschakelen om geheime opnames te maken. Een document van NSO beschrijft de mogelijkheden van de software in meer detail.
Recente versies ervan zijn naar verluidt in staat geweest om dit te doen zonder dat de gebruiker iets hoeft te doen – een link wordt naar hun telefoon gestuurd, zonder een melding, en Pegasus begint informatie te verzamelen. In andere gevallen heeft Pegasus naar verluidt erop vertrouwd dat gebruikers op phishing-links klikken die vervolgens de Pegasus-payload leveren.
Wacht, hoe kan Pegasus aan al die informatie komen?
Zowel The Guardian als The Washington Post hebben artikelen waarin wordt uitgelegd hoe zelfs moderne telefoons met de nieuwste software-updates kunnen worden misbruikt. (Amnesty heeft aangetoond dat zelfs enkele van de meest recente versies van iOS kwetsbaar zijn voor methoden die door NSO worden gebruikt.) De samenvatting is dat geen enkele software perfect is. Waar ingewikkelde software is, zoals iMessage of WhatsApp, zullen er bugs zijn, en sommige van die bugs geven hackers toegang tot veel meer dan velen denken dat mogelijk is. En, met miljoenen dollars op het spel, zijn hackers en beveiligingsonderzoekers zeer gemotiveerd om die bugs te vinden, zelfs als ze maar voor een korte tijd bruikbaar zijn.
Het kan doe je dat allemaal op iPhones? Hoe zit het met de veiligheid en privacy van Apple?
In een verklaring aan The Guardian ontkende Apple niet het vermogen van NSO om iPhones te exploiteren, maar zei in plaats daarvan dat aanvallen zoals Pegasus “zeer geavanceerd zijn, miljoenen dollars kosten om te ontwikkelen, vaak een korte houdbaarheid hebben en worden gebruikt om specifieke individuen aan te vallen.” ”, waardoor de meeste Apple-klanten niet worden getroffen. Apple zei wel dat het “onvermoeibaar blijft werken om al onze klanten te verdedigen, en we voegen voortdurend nieuwe beveiligingen toe voor hun apparaten en gegevens.”
Toch, zoals The Washington Post opmerkt, is het feit dat de iPhone zo grondig gecompromitteerd kan worden door een naar verluidt onzichtbare boodschap, jammer voor een bedrijf dat trots is op veiligheid en privacy, een bedrijf dat “wat er op je iPhone gebeurt, blijft aan” uw iPhone”-reclameborden. Beveiligingsonderzoekers die met de Post spraken, leggen voornamelijk de schuld bij iMessage en zijn preview-software, ondanks de beveiligingen die Apple naar verluidt recentelijk heeft geïmplementeerd om te proberen iMessage te beveiligen.
Zijn alleen iPhones kwetsbaar?
Nee. Veel van de rapportages zijn gericht op iPhones, maar dat is alleen omdat bewezen is dat ze gemakkelijker te analyseren zijn op tekenen van een Pegasus-infectie dan Android-telefoons. Pegasus kan echter beide besmetten, zo blijkt uit een voorlichtingsdocument van de NSO. Zowel Apple als Google hebben commentaar geleverd op de situatie, waarbij Apple aanvallen op journalisten en activisten veroordeelt, en Google zegt dat het gebruikers waarschuwt voor pogingen tot infiltratie, zelfs degenen die gesteund worden door regeringen.
Ik denk dat Ik heb eerder van Pegasus gehoord?
De spyware is al jaren in het nieuws, vaak in verband met soortgelijke incidenten als nu wordt gemeld. In 2017 doken berichten op dat de software was gebruikt bij aanvallen op Mexicaanse verslaggevers en activisten. In 2019 daagde WhatsApp NSO Group voor de rechter, omdat de softwareontwikkelaar betrokken was bij het hacken van ongeveer 1.400 apparaten met behulp van een exploit die in de code van WhatsApp was gevonden. Microsoft, Google, Cisco en andere techbedrijven hebben aangegeven dat ze het pak van WhatsApp ondersteunen. (Vanaf april 2021 was de zaak lopende, volgens een rapport van Politico.)
In 2020 werd gemeld dat NSO werd onderzocht door de FBI, in verband met de 2018 hack van Jeff Bezos' mobiel. Destijds ontkende de NSO volgens Reuters kennis te hebben van het onderzoek van de FBI, en de FBI weigerde onlangs commentaar te geven over de zaak aan The Washington Post.
Wie zit er achter de doelwitten van activisten en journalisten?
We weten het op dit moment niet, maar het is waarschijnlijk niet slechts één overheidsinstantie of land. The Washington Post verwijst naar een lijst van 10 landen waar veel van de telefoonnummers op de lijst vandaan lijken te komen, en zegt dat die landen in het verleden met NSO hebben samengewerkt. Maar het feit dat veel van de basisfeiten over de lijst betwist blijven, betekent dat er echt niet genoeg informatie is om solide conclusies te trekken.
Hoeveel kost het om een telefoon te bespioneren?
NSO biedt naar verluidt bulkkortingen
In 2016 meldde The New York Times dat NSO Group $ 500.000 in rekening bracht om een klant met het Pegasus-systeem te installeren, en vervolgens een extra vergoeding in rekening bracht om daadwerkelijk in de telefoons van mensen te infiltreren. Destijds waren de kosten naar verluidt $ 650.000 om 10 iPhone- of Android-gebruikers te hacken, of $ 500.000 om vijf BlackBerry-gebruikers te infiltreren. Klanten zouden dan meer kunnen betalen om extra gebruikers te targeten, en besparen als ze spioneren met bulkkortingen: $ 800.000 voor nog eens 100 telefoons, $ 500.000 voor nog eens 50 telefoons, enzovoort. NSO zou naar verluidt ook 17 procent van wat de klanten in de loop van een jaar hadden betaald als jaarlijkse onderhoudsvergoeding in rekening brengen. Volgens Forbidden Stories is het contract van de NSO met Saoedi-Arabië alleen al tot $ 55 miljoen waard.
Wat zegt de NSO over de rapporten?
In een interview met Calcalist ontkende Shalev Hulio, de CEO en mede-oprichter van NSO Group, de beschuldigingen in grote lijnen en beweerde dat de lijst met cijfers niets te maken had met Pegasus of NSO. Hij voerde aan dat een lijst met telefoonnummers waarop Pegasus het doelwit is (die NSO zegt niet bij te houden, omdat het “geen inzicht” heeft in welke onderzoeken door zijn klanten worden uitgevoerd) veel korter zou zijn – hij vertelde Calcalist dat NSO's 45 klanten gemiddeld ongeveer 100 Pegasus-targets per jaar.
“Iemand moet het vuile werk opknappen”
Hulio beweert ook dat NSO het gebruik van de software door haar klanten heeft onderzocht en geen bewijs heeft gevonden dat ze zich richtten op een van de telefoonnummers die NSO had gekregen, inclusief het nummer dat gelinkt was aan de vrouw van Khashoggi. Hij zegt ook dat het NSO-beleid is om de toegang van klanten tot Pegasus af te sluiten als het ontdekt dat ze het systeem gebruiken buiten het beoogde gebruik ervan.
Hulio vertelde The Washington Post dat de berichten “betreffend” waren en dat het bedrijf het zou onderzoeken. Hij vertelde Calcalist dat NSO de afgelopen week controles had uitgevoerd bij huidige en vroegere klanten.
Hoe zou NSO weten of deze mensen het doelwit waren, of voorkomen dat ze het doelwit werden, als het geen idee heeft op wie zijn klanten zich richten?
Goede vraag. Hulio probeert het te beantwoorden in zijn interview met Calcalist, waarbij hij vermeldt dat hij de systemen van een klant kan analyseren, maar biedt niet echt genoeg details om gerust te stellen.
En hoe verhoudt Hulio's bewering dat Pegasus-klanten gemiddeld 100 doelwitten per jaar hebben, met de bulkkortingen die NSO naar verluidt biedt?
Nogmaals, goede vraag.
Waarom zulke software maken?
Volgens NSO bouwt het Pegasus uitsluitend voor gebruik bij terrorismebestrijding en wetshandhaving. Het bedrijf verkoopt de software naar verluidt alleen aan specifieke overheidsinstanties die zijn goedgekeurd door het Israëlische ministerie van Defensie.
NSO lijkt zijn software te zien als een noodzakelijk, zij het onaangenaam, onderdeel van moderne surveillance, waarbij de CEO tegen The Washington Post zegt dat “iemand het vuile werk moet doen” en dat Pegasus “gebruikt is om letterlijk het ergste aan te pakken dat deze planeet moet doen.” aanbod.”
Zijn er andere bedrijven die tools maken zoals Pegasus?
Absoluut. The Economic Times heeft een goed overzicht van enkele van de meest vooraanstaande bedrijven die in de ruimte werken, samen met een uitleg van hoe het patroon van Israëlische cyberinlichtingenagenten die de militaire dienst verlaten en het oprichten van startups ertoe leiden dat Israël de thuisbasis is van veel van deze bedrijven.
Wat kan ik doen om mezelf en mijn informatie privé te houden?
Ondanks het rapport van Amnesty dat iOS-versies van juli kwetsbaar zijn voor Pegasus, zorgt het up-to-date houden van je telefoon ervoor dat je telefoon minder kwetsbaar is voor misbruik, aangezien er voortdurend updates worden uitgevoerd door telefoonfabrikanten. Er is ook de standaardset van best practices op het gebied van beveiliging: sterke, unieke wachtwoorden gebruiken (bij voorkeur met een wachtwoordbeheerder), codering inschakelen, niet klikken op links van vreemden, enz.
Natuurlijk , Pegasus heeft aangetoond dat het de meeste van deze beveiligingsmaatregelen omzeilt – een gelekte kopie van NSO-informatiemateriaal schept op dat de installatie “niet kan worden voorkomen door het doelwit” – maar ze zullen je helpen beschermen tegen minder geavanceerde hackers.
Hoe kan ik controleren of mijn telefoon is gehackt?
Amnesty International heeft een tool uitgebracht die voor analyse kan worden gebruikt, en je kunt onze handleiding over het gebruik hier lezen.
Hoe bezorgd moet ik me eigenlijk zijn?
Ervan uitgaande dat je geen journalist bent die aan gevoelige verhalen werkt, een wereldleider bent, of in een positie die de regeringsmachten zou kunnen bedreigen, is de kans groot dat iemand geen duizenden of tienduizenden dollars heeft betaald om je met Pegasus aan te vallen. Dat gezegd hebbende, is het natuurlijk zorgwekkend dat dit soort aanvallen mogelijk zijn en dat ze mogelijk in handen kunnen vallen van hackers die zich op een veel breder publiek willen richten.
Zoals bij alle beveiligingsgerelateerde maatregelen, is het belangrijk om realistisch te zijn over de bedreigingen waarmee u wordt geconfronteerd en wat u eraan moet doen. Voor de meeste mensen die waarschijnlijk niet het doelwit zullen zijn van een actor op het niveau van een natiestaat (waaronder hopelijk u), komt de grotere bedreiging voor de privacy van gegevensmakelaars, die legaal en op grotere schaal opereren. Aan de andere kant, als u daadwerkelijk het doelwit wordt van regeringen, met alle middelen tot hun beschikking, kunt u waarschijnlijk niet veel doen om uw digitale gegevens privé te houden.
Ik heb gehoord dat de software niet kan worden gebruikt tegen mensen met +1 landcodenummers, zoals die in de VS of Canada.
NSO heeft vele malen beweerd dat de software technisch niet in staat om telefoons met Amerikaanse +1-telefoonnummers te targeten. Dit beschermt natuurlijk niet Amerikanen die internationale telefoonnummers gebruiken, maar het is ook iets dat het bedrijf moeilijk kan bewijzen. Volgens The Washington Post heeft het onderzoek geen bewijs gevonden dat Amerikaanse nummers waren gehackt, maar hebben ze slechts 67 telefoons gecontroleerd.
De rest van de landen gebruikten de +1-code aan het begin van hun telefoonnummers, zoals Canada, Jamaica en anderen, worden grotendeels niet genoemd in de nieuwe golf van NSO-rapportage, hoewel Canada werd genoemd in een rapport uit 2018.