NSO’s Pegasus spyware: her er det vi vet

0
175

I løpet av den siste uken har vi sett historie etter historie om et selskap som heter NSO Group, og et stykke spyware som heter Pegasus. Noen av historiene har vært sjokkerende, med påstander om at fullstendig oppdaterte smarttelefoner kan bli hacket med en enkelt tekstmelding, og rapporterer at to kvinner nær den drepte journalisten Jamal Khashoggi var blant dem som ble målrettet av et myndighetsorgan som brukte spionverktøyet.

En koalisjon av nyheter, inkludert The Washington Post, Le Monde og The Guardian, står bak rapporteringen, og de kaller det Pegasus-prosjektet. Prosjektet ble ledet av Forbidden Stories, en organisasjon av journalister som jobber med historier etter at de opprinnelige reporterne har blitt tauset på en eller annen måte. Amnesty International kjørte detaljerte rettsmedisiner på 67 smarttelefoner for å lete etter bevis for at de ble målrettet av Pegasus-spionprogramvare – og 37 av disse telefonene testet positive. Men mange viktige detaljer er fremdeles ikke klare.

Her er hva vi vet om NSO Group og Pegasus så langt.

Hva er Pegasus, og hvem eller hva er NSO Group?

Pegasus er spyware utviklet av en privat entreprenør for bruk av offentlige etater. Programmet infiserer et måltelefon og sender tilbake data, inkludert bilder, meldinger og lyd-/videoopptak. Pegasus 'utvikler, et israelsk selskap kalt NSO Group, sier at programvaren ikke kan spores tilbake til regjeringen som bruker den – en avgjørende funksjon for hemmelige operasjoner.

Kort sagt, NSO Group lager produkter som lar regjeringer spionere på borgere. Selskapet beskriver rollen til produktene sine på nettstedet sitt som å hjelpe “offentlige etterretnings- og rettshåndhevelsesbyråer å bruke teknologi for å møte utfordringene med kryptering” under terrorisme og kriminelle etterforskninger. Men som du kanskje forestiller deg, er ikke borgerlige frihetsgrupper glade for spyware-for-hire-virksomheten, og det å begrense virksomheten til offentlige kunder gjør lite for å dempe bekymringene.

Selskapet fortalte The Washington Post at det bare fungerer med offentlige etater, og at det vil avskjære et byrås tilgang til Pegasus hvis det finner bevis for misbruk. I sin åpenhetsrapport utgitt i slutten av juni hevdet selskapet at det har gjort det før. En uttalelse fra Amnesty International reiste likevel bekymring for at selskapet leverer spionprogramvare til undertrykkende regjeringer, der offentlige etater ikke kan stole på at borgerne gjør det riktig.

Forbidden Stories-organisasjonen, som bidro til å lede Pegasus-prosjektets innsats, har skrevet opp selskapets bedrifter og kontroverser det siste tiåret, hvorav noen har inspirert søksmål fra journalister og aktivister og hevdet at NSOs programvare har blitt brukt feil. Washington Post har også et intervju som dekker selskapets egen historie om hvordan det ble grunnlagt og hvordan det kom i gang i overvåkingsindustrien.

Hvem ble spionert på?

Vi vet ikke sikkert. Imidlertid er mye av rapporteringen rundt en liste som inneholder 50000 telefonnumre, hvis formål er uklart. Pegasus-prosjektet analyserte tallene på listen og koblet over 1000 av dem til eierne. Da det gjorde det, fant det folk som burde vært utenfor grensene for regjeringsspionering (basert på standardene NSO sier at de holder klientene sine til): hundrevis av politikere og regjeringsarbeidere – inkludert tre presidenter, 10 statsministre og en king – pluss 189 journalister og 85 menneskerettighetsaktivister.

Vent, hvem har laget denne listen?

På dette tidspunktet er det klart som gjørme. NSO sier at listen ikke har noe med virksomheten å gjøre, og hevder at den kommer fra en enkel database med mobilnumre som er en funksjon i det globale mobilnettverket. En uttalelse fra en Amnesty International-talsperson, postet på Twitter av cybersecurity-journalisten Kim Zetter, sier at listen viser tall som ble merket som “av interesse” for NSOs forskjellige klienter. Washington Post sier at listen er fra 2016.

Washington Post sier at listen ikke inneholder informasjon om hvem som la til nummer i den, eller om personer som var knyttet til tallene var under overvåking. Ble listen kurert av et skyggefullt myndighetsorgan som prøvde å komme på den gode siden til andre regjeringer? Ble det vedlikeholdt av en Slack-gruppe av Pegasus-brukere? Var det bare en liste med tall? Det er et viktig spørsmål som fortsatt er frustrerende uklart.

Så betyr listen noe?

Det ser ut til. Washington Post rapporterer at noen av de analyserte telefonene ble målrettet kort tid etter at de ble lagt til listen. I noen tilfeller skiller bare noen få sekunder tidsstempler som indikerer når telefonnummeret ble lagt til listen og hendelser med Pegasus-angrep på telefonene.

I følge The Guardian kjørte Amnesty sin analyse på 67 telefoner som er koblet til numrene. Den fant at 37 av telefonene i det minste hadde blitt målrettet av Pegasus, og at 23 av disse telefonene hadde blitt hacket. Washington Post beskriver hvordan Pegasus ble brukt til å hacke en telefon som tilhørte kona til en fengslet aktivist.

Hvem andre er på listen?

En Washington Post-rapport beskriver noen av de høyest rangerte tjenestemennene med tall på listen. Ifølge en analyse gjort av Post og andre medlemmer av Pegasus-prosjektet, ble de nåværende presidentene i Frankrike, Irak og Sør-Afrika inkludert, sammen med de nåværende statsministrene i Pakistan, Egypt og Marokko, syv tidligere statsministre og kongen av Marokko.

En egen rapport fra Posten hevder at den marokkanske kongen ikke var den eneste kongelige som hadde nummer på listen – en prinsesse fra Dubai ble også lagt til sammen med noen av vennene hennes, mens hun prøvde å få politisk asyl. Forsøket hennes mislyktes da hun angivelig ble kidnappet av bevæpnede kommandoer som gikk ombord på båten hun brukte for å unnslippe.

Også på listen var to kvinner nær Jamal Khashoggi, en journalist som ble myrdet. i 2018.

Var Khashoggi selv på listen?

Det virker ikke slik (selv om vi vil takle noen nyanser om et øyeblikk), men folk lukker for ham var. Washington Post har rapportert at en av disse hackede telefonene tilhørte Khashoggi's forlovede, og at det angivelig er bevis for at hans kones telefon også ble målrettet. NSOs administrerende direktør har på det sterkeste benektet at kona til Khashoggi var et mål.

Om NSO målrettet mot Khashoggi selv, er det et spørsmål uten et bestemt svar. NSO benekter på det sterkeste at det var involvert – det gjorde det i 2019, og igjen nylig, med The Washington Post som siterte en uttalelse fra selskapet om at teknologien “ikke på noen måte var forbundet med det avskyelige drapet på Jamal Khashoggi.” Ifølge Posten er Khashoggis telefon i varetekt for tyrkiske myndigheter som utfører etterforskning av journalistens drap.

I følge The Washington Post kan spionprogrammet stjele private data fra en telefon, sende målets meldinger, passord, kontakter, bilder og mer til den som startet overvåkingen. Det kan angivelig til og med slå på telefonens kameraer eller mikrofoner for å lage skjulte opptak. Et dokument fra NSO beskriver programvarens muligheter mer detaljert.

Nyere versjoner av det har angivelig vært i stand til å gjøre dette uten å måtte få brukeren til å gjøre noe – en lenke blir sendt til telefonen uten varsel, og Pegasus begynner å samle informasjon. I andre tilfeller har Pegasus angivelig stolt på at brukerne klikker på phishing-lenker som deretter leverer Pegasus-nyttelasten.

Vent, hvordan kan Pegasus få all den informasjonen?

Både The Guardian og The Washington Post har artikler som forklarer hvordan selv moderne telefoner med de nyeste programvareoppdateringene kan utnyttes. (Amnesty har vist at selv noen av de nyeste versjonene av iOS er sårbare for metoder som brukes av NSO.) Sammendraget er at ingen programvare er perfekt. Der det er komplisert programvare, som iMessage eller WhatsApp, vil det være feil, og noen av disse feilene vil gi hackere tilgang til mye mer enn mange tror det er mulig. Og med millioner av dollar på spill, er hackere og sikkerhetsforskere veldig motiverte for å finne disse feilene, selv om de bare vil være brukbare i kort tid.

Det kan gjør alt det på iPhones? Hva med Apples sikkerhet og personvern?

I en uttalelse til The Guardian benektet Apple ikke NSOs evne til å utnytte iPhones, men sa i stedet at angrep som Pegasus er ”svært sofistikerte, koster millioner av dollar å utvikle, ofte har kort holdbarhet og brukes til å målrette mot bestemte individer. , ”Og påvirker dermed ikke de fleste Apple-kunder. Apple sa at det fortsetter “å jobbe utrettelig for å forsvare alle våre kunder, og vi legger stadig til nye beskyttelser for deres enheter og data.”

Likevel, som The Washington Post påpeker, er det uheldig for et selskap som er stolt av sikkerhet og personvern, en som setter opp “det som skjer på iPhone, fortsatt på din iPhone ”reklametavler. Sikkerhetsforskere som snakket med innlegget, la hovedsakelig skylden på iMessage og programvaren for forhåndsvisning – til tross for beskyttelsen som Apple angivelig har implementert nylig for å prøve å sikre iMessage.

Er bare iPhones sårbare?

Nei. Mye av rapporteringen fokuserer på iPhones, men det er bare fordi de har vist seg lettere å analysere for tegn på en Pegasus-infeksjon enn Android-telefoner har. Pegasus kan imidlertid infisere begge deler, ifølge et informasjonsdokument fra NSO. Både Apple og Google har kommentert situasjonen, med Apple som fordømmer angrep mot journalister og aktivister, og Google sier at det advarer brukere om forsøk på infiltrasjoner, selv de som støttes av regjeringer.

Jeg tror Jeg har hørt om Pegasus før?

Spionprogrammet har vært i nyhetene i årevis, ofte i forbindelse med hendelser som ligner på det som for øyeblikket blir rapportert. I 2017 dukket det opp rapporter om at programvaren hadde blitt brukt i angrep mot meksikanske journalister og aktivister. I 2019 saksøkte WhatsApp NSO Group og hevdet at programvareutvikleren var involvert i hacking av rundt 1400 enheter ved hjelp av en utnyttelse som ble funnet i WhatsApps kode. Microsoft, Google, Cisco og andre teknologibedrifter signaliserte støtte for WhatsApps drakt. (Per april 2021 fortsatte saken, ifølge en rapport fra Politico.)

I 2020 ble det rapportert at NSO ble etterforsket av FBI, i forbindelse med 2018 hack av Jeff Bezos 'mobiltelefon. På det tidspunktet nektet NSO kjennskap til FBIs sonde, ifølge Reuters, og FBI nektet nylig å kommentere saken til The Washington Post.

Hvem står bak målretting mot aktivister og journalister?

Vi vet ikke for øyeblikket, men det er sannsynligvis ikke bare ett myndighetsorgan eller land. Washington Post peker på en liste over 10 land der mange av telefonnumrene på listen ser ut til å være fra, og sier at disse landene har blitt rapportert å ha jobbet med NSO tidligere. Men det faktum at mange av de grunnleggende fakta om listen fortsatt er omstridt, betyr at det egentlig ikke er nok informasjon til å trekke solide konklusjoner.

Hvor mye koster det å spionere på en telefon?

NSO gir angivelig bulkrabatter

I 2016 rapporterte The New York Times at NSO Group belastet $ 500.000 for å sette opp en klient med Pegasus-systemet, og deretter belastet et tilleggsgebyr for å faktisk infiltrere folks telefoner. På den tiden var kostnadene angivelig $ 650 000 for å hacke 10 iPhone- eller Android-brukere, eller $ 500 000 for å infiltrere fem BlackBerry-brukere. Kunder kan da betale mer for å målrette mot flere brukere, og sparer når de spionerer med bulkrabatter: $ 800 000 for ytterligere 100 telefoner, $ 500 000 for ytterligere 50 telefoner og så videre. NSO vil angivelig også kreve 17 prosent av det kundene hadde betalt i løpet av et år som et årlig vedlikeholdsgebyr. I følge Forbidden Stories er NSOs kontrakt med Saudi-Arabia alene verdt opp til $ 55 millioner.

Hva sier NSO om rapportene?

I et intervju med Calcalist benektet NSO Groups administrerende direktør og medstifter Shalev Hulio i det store og hele beskyldningene og hevdet at listen over tall ikke hadde noe med Pegasus eller NSO å gjøre. Han hevdet at en liste over telefonnumre som Pegasus målrettet mot (som NSO sier at den ikke holder, da den ikke har “ingen innsikt” i hvilke undersøkelser som blir utført av kundene), ville være mye kortere – han sa til Calcalist at NSOs 45 kunder har omtrent 100 Pegasus-mål per år.

“Noen må gjøre det skitne arbeidet”

Hulio hevder også at NSO har undersøkt kundenes bruk av programvaren, og ikke har funnet bevis for at de målrettet mot noen av telefonnumrene NSO hadde fått, inkludert den som var knyttet til Khashoggis kone. Han sier også at det er NSO-policyen å avskjære kundenes tilgang til Pegasus hvis den oppdager at de bruker systemet utenfor den tiltenkte bruken.

Hulio sa til The Washington Post at rapportene var “bekymrende”, og at selskapet ville undersøke det. Han fortalte Calcalist at NSO hadde kjørt kontroller med nåværende og tidligere kunder den siste uken.

Hvordan ville NSO vite om disse menneskene har blitt målrettet, eller hindre dem i å bli målrettet, hvis aner hun ikke hvem klientene målretter mot?

Flott spørsmål. Hulio prøver å svare på det i intervjuet med Calcalist, og nevner evnen til å analysere en klients systemer, men gir egentlig ikke nok detaljer til å være betryggende.

Hvordan gjør Hulios påstand om at Pegasus-klienter i gjennomsnitt har 100 mål per år med de største rabattene NSO gir angivelig?

Igjen, stort spørsmål.

Hvorfor lage programvare som denne?

I følge NSO bygger den Pegasus utelukkende til bruk i terrorbekjempelse og rettshåndhevelsesarbeid. Selskapet selger angivelig kun programvaren til spesifikke offentlige etater som er godkjent av det israelske forsvarsdepartementet.

NSO ser ut til å se programvaren sin som en nødvendig, om ubehagelig del av moderne overvåking, med konsernsjefen som forteller The Washington Post at “noen må gjøre det skitne arbeidet” og at Pegasus er “brukt til å håndtere bokstavelig talt det verste denne planeten har å by på.”

Er det andre selskaper der ute som lager verktøy som Pegasus?

Absolutt. The Economic Times har en god oversikt over noen av de mer profilerte selskapene som jobber i rommet, sammen med en forklaring på hvordan mønsteret med israelske cyberintelligensagenter som forlater militærtjeneste og grunnlegger oppstart, fører til at Israel er hjemmet til mange av disse selskapene.

Hva kan jeg gjøre for å holde meg trygg og informasjonen min privat?

Til tross for Amnestys rapport om at versjoner av iOS fra juli er sårbare for Pegasus, vil det å holde telefonen oppdatert, sikre at telefonen din er utsatt for færre utnyttelser, ettersom oppdateringer kontinuerlig oppdateres av telefonprodusenter. Det finnes også standardsett med gode fremgangsmåter for sikkerhet: bruk av sterke, unike passord (helst med en passordbehandling), slå på kryptering, ikke klikke på lenker fra fremmede osv.

Selvfølgelig , Pegasus har vist seg å omgå de fleste av disse sikkerhetstiltakene – en lekket kopi av NSO-informasjonsmateriale skryter av at installasjon “ikke kan forhindres av målet” – men de vil bidra til å beskytte deg mot mindre sofistikerte hackere.

Hvordan kan jeg sjekke om telefonen min er kompromittert?

Amnesty International har faktisk gitt ut et verktøy som kan brukes til analyse, og du kan lese guiden vår om hvordan du bruker den her.

Hvor bekymret skal jeg egentlig være?

Forutsatt at du ikke er journalist som jobber med sensitive historier, en verdensleder eller i en posisjon som kan true myndighetsmakter, er oddsen at noen ikke har betalt tusenvis eller titusenvis av dollar for å målrette deg mot Pegasus. Når det er sagt, handler det åpenbart om at disse typer angrep er mulige, og at de potensielt kan falle i hendene på hackere som ønsker å målrette mot et mye bredere utvalg av mennesker.

Som med alle sikkerhetsrelaterte tiltak, er det viktig å være realistisk med hensyn til truslene du står overfor, og hva du bør gjøre med dem. For de fleste som sannsynligvis ikke blir målrettet av en aktør på nivå med en nasjonalstat (som forhåpentligvis inkluderer deg), kommer den større trusselen mot personvern fra datameglere, som opererer lovlig og i større skala. På baksiden, hvis du faktisk blir målrettet av regjeringer, med alle ressursene de har til rådighet, er det sannsynligvis ikke så mye du kan gjøre for å holde dine digitale data private.

Jeg har hørt at programvaren ikke kan brukes mot personer med +1 landskodenumre, som de som finnes i USA eller Canada.

NSO har mange ganger hevdet at programvaren er teknisk ute av stand til å målrette telefoner med amerikanske +1 telefonnumre. Dette beskytter selvfølgelig ikke amerikanere som bruker internasjonale telefonnumre, men det er også noe som er vanskelig for selskapet å bevise. I følge The Washington Post fant etterforskningen ikke bevis for at noen amerikanske numre var blitt hacket, men de sjekket bare 67 telefoner.

Resten av landene som brukte +1-koden. i begynnelsen av telefonnumrene, som Canada, Jamaica og andre, er stort sett nevnt i den nye bølgen av NSO-rapportering, selv om Canada ble nevnt i en rapport fra 2018.