NSO: s Pegasus-spionprogram: här är vad vi vet

0
371

Under den senaste veckan har vi sett historia efter historia om ett företag som heter NSO Group och en bit spionprogram som heter Pegasus. Några av berättelserna har varit chockerande, med anklagelser om att helt uppdaterade smartphones kan hackas med ett enda textmeddelande, och rapporterar att två kvinnor nära den mördade journalisten Jamal Khashoggi var bland dem som riktades av en myndighet som använde spionverktyget.

En koalition av nyheter, inklusive The Washington Post, Le Monde och The Guardian, står bakom rapporteringen, och de kallar det Pegasus-projektet. Projektet leddes av Forbidden Stories, en organisation av journalister som arbetar med berättelser efter att de ursprungliga reportrarna har tystats på något sätt. Amnesty International körde detaljerad kriminalteknik på 67 smartphones för att leta efter bevis för att de var riktade mot Pegasus spionprogram – och 37 av dessa telefoner testade positivt. Men många viktiga detaljer är fortfarande inte klara.

Här är vad vi vet om NSO-gruppen och Pegasus hittills.

Vad är Pegasus, och vem eller vad är NSO Group?

Pegasus är spionprogram utvecklad av en privat entreprenör för användning av myndigheter. Programmet infekterar ett måls telefon och skickar tillbaka data, inklusive foton, meddelanden och ljud-/videoinspelningar. Pegasus utvecklare, ett israeliskt företag som heter NSO Group, säger att programvaran inte kan spåras tillbaka till regeringen som använder den – en avgörande funktion för hemliga verksamheter.

Kort sagt, NSO Group tillverkar produkter som låter regeringar spionera på medborgarna. Företaget beskriver deras produkters roll på sin webbplats som att hjälpa ”statliga underrättelsetjänster och brottsbekämpande myndigheter att använda teknik för att möta krypteringsutmaningarna” under terrorism och brottsutredningar. Men som du kan tänka dig är medborgerliga frihetsgrupper inte nöjda med spionprogram för uthyrning, och att begränsa verksamheten till statliga kunder gör lite för att tysta deras oro.

Företaget berättade för The Washington Post att det endast fungerar med myndigheter, och att det kommer att avskaffa en myndighets tillgång till Pegasus om det finner bevis för missbruk. I sin öppenhetsrapport som släpptes i slutet av juni hävdade företaget att det har gjort det tidigare. Ändå väckte ett uttalande från Amnesty International oro över att företaget tillhandahåller spionprogram till förtryckande regeringar, där myndigheter inte kan lita på att göra rätt av sina medborgare.

Organisationen Forbidden Stories, som hjälpte till att leda Pegasus-projektets ansträngningar, har skrivit upp företagets exploateringar och kontroverser under det senaste decenniet, varav några har inspirerat rättegångar från journalister och aktivister och hävdar att NSO: s programvara har använts felaktigt. Washington Post har också en intervju som täcker företagets egen berättelse om hur det grundades och hur det kom igång i övervakningsindustrin.

Vem spionerades på?

Vi vet inte säkert. Mycket av rapporteringen centrerar emellertid kring en lista som innehåller 50 000 telefonnummer vars syfte är oklart. Pegasus-projektet analyserade siffrorna på listan och länkade över 1000 av dem till sina ägare. När den gjorde det hittade de människor som borde ha varit utanför gränserna för regeringens spionering (baserat på de standarder som NSO säger att de håller sina kunder till): hundratals politiker och regeringsarbetare – inklusive tre presidenter, tio premiärministern och en kung – plus 189 journalister och 85 människorättsaktivister.

Vänta, vem gjorde den här listan?

Vid den här tiden är det klart som lera. NSO säger att listan inte har något att göra med sin verksamhet och hävdar att den kommer från en enkel databas med mobilnummer som är en funktion i det globala mobilnätet. I ett uttalande från en Amnesty International-talesman, publicerad på Twitter av cybersäkerhetsjournalisten Kim Zetter, sägs att listan visar siffror som var markerade som “av intresse” för NSO: s olika kunder. Washington Post säger att listan är från 2016.

Washington Post säger att listan inte innehåller information om vem som lagt till nummer i den, eller om personer som är länkade till numren var under övervakning. Hölls listan av en skuggig myndighet som försökte komma på andra regeringars goda sida? Hölls det av en Slack-grupp av Pegasus-användare? Var det helt enkelt en lista med siffror? Det är en viktig fråga som förblir frustrerande otydlig.

Så betyder listan?

Det verkar. Washington Post rapporterar att några av de analyserade telefonerna var riktade strax efter att de lades till listan. I vissa fall skiljer sig bara några sekunder tidsstämplar som indikerar när telefonnumret lades till i listan och incidenter av Pegasus-attacker på telefonerna.

Enligt The Guardian genomförde Amnesty sin analys på 67 telefoner anslutna till numren. Den fann att 37 av telefonerna åtminstone hade varit inriktade på Pegasus, och att 23 av dessa telefoner hade hackats framgångsrikt. Washington Post beskriver hur Pegasus användes för att hacka en telefon som tillhörde hustrun till en fängslad aktivist.

Vem finns med på listan?

En Washington Post-rapport beskriver några av de högst rankade tjänstemännen med siffror på listan. Enligt en analys gjord av Post och andra medlemmar i Pegasus-projektet inkluderades de nuvarande presidenterna i Frankrike, Irak och Sydafrika, tillsammans med de nuvarande premiärministrarna i Pakistan, Egypten och Marocko, sju tidigare premiärministrar och kungen. Marocko.

I en separat rapport från posten hävdas att den marockanska kungen inte var den enda kungligheten vars nummer stod på listan – en prinsessa från Dubai lades också till tillsammans med några av hennes vänner, när hon försökte få politisk asyl. Hennes försök misslyckades när hon påstås kidnappas av beväpnade kommandon som gick ombord på båten hon använde för att fly.

Två kvinnor nära Jamal Khashoggi, en journalist som mördades, var också med på listan. 2018.

Var Khashoggi själv på listan?

Det verkar inte så (även om vi kommer att hantera några nyanser på ett ögonblick), men människor stänger för honom var. Washington Post har rapporterat att en av de hackade telefonerna tillhörde Khashoggis fästman, och att det enligt uppgift finns bevis för att hans frus telefon också var riktad. NSO: s VD har starkt förnekat att Khashoggis fru var ett mål.

Om NSO riktade sig mot Khashoggi själv, är det en fråga utan ett definitivt svar. NSO förnekar starkt att det var inblandat – det gjorde det under 2019, och igen nyligen, med The Washington Post som citerade ett uttalande från företaget att dess teknik “inte på något sätt förknippades med det avskyvärda mordet på Jamal Khashoggi.” Enligt posten är Khashoggis telefon i förvar av turkiska myndigheter som gör en utredning av journalismens mord.

Enligt The Washington Post kan spionprogrammet stjäla privat data från en telefon, skicka ett måls meddelanden, lösenord, kontakter, foton och mer till den som initierade övervakningen. Det kan enligt uppgift till och med slå på telefonens kameror eller mikrofoner för att skapa hemliga inspelningar. Ett dokument från NSO beskriver mjukvarans funktioner mer detaljerat.

Nyare versioner av det har enligt uppgift kunnat göra detta utan att behöva få användaren att göra någonting – en länk skickas till deras telefon, utan ett meddelande, och Pegasus börjar samla information. I andra fall har Pegasus enligt uppgift litat på användare att klicka på nätfiskelänkar som sedan levererar Pegasus-nyttolasten.

Vänta, hur kan Pegasus få all den informationen?

Både The Guardian och The Washington Post har artiklar som förklarar hur även moderna telefoner med de senaste mjukvaruuppdateringarna kan utnyttjas. (Amnesty har visat att även några av de senaste versionerna av iOS är sårbara för metoder som används av NSO.) Sammanfattningen är att ingen programvara är perfekt. Där det finns komplicerad programvara, som iMessage eller WhatsApp, kommer det att finnas buggar, och några av dessa buggar ger hackare tillgång till mycket mer än vad många skulle tro är möjligt. Och med miljontals dollar på spel är hackare och säkerhetsforskare mycket motiverade att hitta dessa buggar, även om de bara kommer att vara användbara under en kort tid.

Det kan gör allt detta på iPhones? Vad sägs om Apples säkerhet och integritet?

I ett uttalande till The Guardian förnekade Apple inte NSO: s förmåga att utnyttja iPhones, utan sa att attacker som Pegasus är ”mycket sofistikerade, kostar miljontals dollar att utveckla, ofta har en kort hållbarhet och används för att rikta in sig på specifika individer. , ”Påverkar därmed inte de flesta Apple-kunder. Apple sa att det fortsätter “att arbeta outtröttligt för att försvara alla våra kunder, och vi lägger ständigt till nya skydd för deras enheter och data.”

Det som Washington Post påpekar är fortfarande olyckligt för ett företag som är stolt över säkerhet och integritet, ett som sätter upp “vad som händer på din iPhone, förblir på dina iPhone-skyltar. Säkerhetsforskare som pratade med Posten lade främst skulden på iMessage och dess förhandsgranskningsprogramvara – trots skyddet som Apple enligt uppgift nyligen har genomfört för att försöka säkra iMessage.

Är bara iPhones utsatta?

Nej. Mycket av rapporteringen fokuserar på iPhones, men det beror bara på att de har visat sig vara lättare att analysera för tecken på en Pegasus-infektion än Android-telefoner har. Pegasus kan dock infektera båda enligt ett informationsdokument från NSO. Både Apple och Google har kommenterat situationen med Apple som fördömer attacker mot journalister och aktivister och Google säger att det varnar användare för infiltrationsförsök, även de som stöds av regeringar.

Jag tror Jag har hört talas om Pegasus tidigare?

Spionprogrammet har varit i nyheterna i flera år, ofta i samband med incidenter som liknar det som för närvarande rapporteras. År 2017 dök rapporter om att programvaran hade använts i attacker mot mexikanska journalister och aktivister. År 2019 stämde WhatsApp NSO Group och hävdade att programvaruutvecklaren var inblandad i hacking av cirka 1400 enheter med hjälp av ett utnyttjande som hittades i WhatsApps kod. Microsoft, Google, Cisco och andra teknikföretag signalerade stöd för WhatsApps kostym. (Från april 2021 pågick ärendet enligt en rapport från Politico.)

År 2020 rapporterades det att NSO utreddes av FBI, i samband med 2018 hack av Jeff Bezos mobiltelefon. Vid den tiden förnekade NSO kunskap om FBI: s sond, enligt Reuters, och FBI vägrade nyligen att kommentera saken till Washington Post.

Vem står bakom inriktningen av aktivister och journalister?

Vi vet inte för tillfället, men det är sannolikt inte bara en myndighet eller land. Washington Post pekar på en lista med tio länder där många av telefonnummer på listan verkar komma från och säger att dessa länder har rapporterats ha arbetat med NSO tidigare. Men det faktum att många av de grundläggande fakta om listan förblir omtvistade betyder att det verkligen inte finns tillräckligt med information för att dra solida slutsatser.

Hur mycket kostar det att spionera på en telefon?

NSO ger enligt uppgift massrabatter

2016 rapporterade The New York Times att NSO Group debiterade 500 000 dollar för att ställa in en klient med Pegasus-systemet och sedan debiterade en extra avgift för att faktiskt infiltrera folks telefoner. Vid den tiden uppgavs kostnaderna enligt uppgift $ 650 000 för att hacka 10 iPhone- eller Android-användare, eller $ 500 000 för att infiltrera fem BlackBerry-användare. Kunder kan sedan betala mer för att rikta sig mot ytterligare användare, vilket sparar när de spionerar med massrabatter: 800 000 dollar för ytterligare 100 telefoner, 500 000 dollar för ytterligare 50 telefoner och så vidare. NSO skulle enligt uppgift också ta ut 17 procent av vad kunderna hade betalat under ett år som en årlig underhållsavgift. Enligt Forbidden Stories är NSO: s kontrakt med Saudiarabien ensam värt upp till $ 55 miljoner.

Vad säger NSO om rapporterna?

I en intervju med Calcalist förnekade NSO-koncernens VD och grundare Shalev Hulio i stort sett anklagelserna och hävdade att siffralistan inte hade något att göra med Pegasus eller NSO. Han hävdade att en lista över telefonnummer som Pegasus riktar sig till (som NSO säger att den inte håller, eftersom den inte har “ingen insikt” i vilka utredningar som genomförs av dess kunder) skulle vara mycket kortare – han sa till Calcalist att NSO: s 45 kunder har i genomsnitt cirka 100 Pegasus-mål per år.

“Någon måste göra det smutsiga arbetet”

Hulio hävdar också att NSO har undersökt sina kunders användning av programvaran och inte har hittat bevis för att de riktade sig mot något av de telefonnummer som NSO hade fått, inklusive det som var kopplat till Khashoggis fru. Han säger också att det är NSO: s policy att stänga av klienters tillgång till Pegasus om den upptäcker att de använder systemet utanför dess avsedda användning.

Hulio berättade för The Washington Post att rapporterna gällde “och” att företaget skulle undersöka det. Han berättade för Calcalist att NSO hade kört kontroller med nuvarande och tidigare kunder under den senaste veckan. har den ingen aning om vem dess kunder riktar in sig?

Bra fråga. Hulio försöker svara på det i sin intervju med Calcalist och nämner förmågan att analysera en klients system, men ger inte riktigt tillräckligt med detaljer för att vara lugnande.

Hur gör Hulios påstående att Pegasus-kunder har i genomsnitt 100 mål per år med de stora rabatter som NSO enligt uppgift ger?

Återigen, bra fråga.

Varför göra programvara så här?

Enligt NSO bygger den Pegasus enbart för användning i kampen mot terrorism och brottsbekämpning. Företaget säljer enligt uppgift endast programvaran till specifika myndigheter som har godkänts av det israeliska försvarsministeriet.

NSO verkar se sin programvara som en nödvändig, om det är obehaglig, del av modern övervakning, där dess VD säger till Washington Post att “någon måste göra det smutsiga arbetet” och att Pegasus “används för att bokstavligen hantera det värsta som denna planet har att erbjudande.”

Finns det andra företag som tillverkar verktyg som Pegasus?

Absolut. The Economic Times har en bra genomgång av några av de högre profilerade företagen som arbetar i rymden, tillsammans med en förklaring av hur mönstret för israeliska cyberintelligensagenter som lämnar militärtjänst och grundar startups leder till att Israel är hem för många av dessa företag.

Vad kan jag göra för att skydda mig själv och min information privat?

Trots Amnestys rapport att versioner av iOS från juli är sårbara för Pegasus, kommer att hålla din telefon uppdaterad att se till att din telefon är mottaglig för färre exploateringar, eftersom uppdateringar kontinuerligt lappas av telefontillverkare. Det finns också standarduppsättningen av bästa praxis för säkerhet: att använda starka, unika lösenord (helst med en lösenordshanterare), aktivera kryptering, inte klicka på länkar från främlingar osv.

Naturligtvis , Pegasus har visat sig kringgå de flesta av dessa säkerhetsåtgärder – en läckt kopia av NSO-informationsmaterial skryter om att installationen “inte kan förhindras av målet” – men de hjälper dig att skydda dig mot mindre sofistikerade hackare.

Hur kan jag kontrollera om min telefon har äventyrats?

Amnesty International har faktiskt släppt ett verktyg som kan användas för analys, och du kan läsa vår guide om hur man använder det här.

Hur orolig ska jag egentligen vara?

Förutsatt att du inte är en journalist som arbetar med känsliga berättelser, en världsledare eller i någon position som kan hota regeringsmakter, är oddsen att någon inte har betalat tusentals eller tiotusentals dollar för att rikta dig med Pegasus. Som sagt, det handlar uppenbarligen om att dessa typer av attacker är möjliga, och att de potentiellt kan hamna i händerna på hackare som vill rikta sig till ett mycket bredare antal människor.

Som med alla säkerhetsrelaterade åtgärder är det viktigt att vara realistisk om hoten du står inför och vad du ska göra åt dem. För de flesta som sannolikt inte riktas mot en skådespelare på nationell nivå (som förhoppningsvis inkluderar dig) kommer det större hotet mot integriteten från datamäklare, som fungerar lagligt och i större skala. På andra sidan, om du faktiskt riktas till regeringar med alla resurser till deras förfogande, finns det förmodligen inte mycket du kan göra för att hålla dina digitala data privata.

Jag har hört att programvaran inte kan användas mot personer med +1 landskodnummer, som de som finns i USA eller Kanada.

NSO har många gånger hävdat att programvaran är tekniskt oförmögen att rikta in sig på telefoner med amerikanska +1-telefonnummer. Detta skyddar naturligtvis inte amerikaner som använder internationella telefonnummer, men det är också något som är svårt för företaget att faktiskt bevisa. Enligt Washington Post fann utredningen inte bevis för att några amerikanska nummer hade hackats, men de kontrollerade bara 67 telefoner.

Resten av länderna använder +1-koden. i början av deras telefonnummer, som Kanada, Jamaica och andra, nämns till stor del i den nya vågen av NSO-rapportering, även om Kanada nämndes i en rapport från 2018.