Индустрията за наблюдение като услуга трябва да бъде поставена на пета

Ето го отново: появи се друг пример за правителствено наблюдение, включващо смартфони от Apple и Google, и той показва колко сложни могат да станат подкрепяните от правителството атаки и защо има оправдание мобилните платформи да бъдат напълно заключени.

Какво се е случило?

Нямам намерение да се фокусирам много върху новините, но накратко е следното:

• Групата за анализ на заплахи на Google има публикувана информация, разкриваща хака.
• Италианската фирма за наблюдение RCS Labs е създала атаката.
• Атаката е използвана в Италия и Казахстан, а вероятно и другаде.
• Някои поколения атаки се управляват с помощта на интернет доставчици.
• В iOS нападателите злоупотребяват с корпоративните инструменти за сертифициране на Apple, които позволяват вътрешно внедряване на приложения.
• Използвани са около девет различни атаки.

Атаката работи по следния начин: на целта се изпраща уникална връзка, която има за цел да ги подмами да изтеглят и инсталират злонамерено приложение. В някои случаи призраците са работили с интернет доставчик, за да деактивират връзката за данни, за да подмамят целите да изтеглят приложението, за да възстановят тази връзка.

Експлойтите за нулев ден, използвани в тези атаки, са коригирани от Apple. По-рано беше предупредено, че има лоши актьори злоупотребява със своите системи, които позволяват на бизнеса да разпространява apps в къщата. Разкритията са свързани с последните новини от Lookout Labs за шпионски софтуер за Android от корпоративен клас, наречен Hermit.

Какво е изложено на риск?

Проблемът тук е, че технологиите за наблюдение като тези са комерсиализирани. Това означава, че способности, които исторически са били достъпни само за правителствата, се използват и от частни изпълнители. И това представлява риск, тъй като силно поверителни инструменти могат да бъдат разкрити, използвани, обратно проектирани и злоупотребени.

As Google каза: „Нашите констатации подчертават степента, до която доставчиците на комерсиално наблюдение са разпространили възможности, използвани в миналото само от правителства с техническия опит за разработване и оперативни експлойти. Това прави интернет по-малко безопасен и застрашава доверието, от което потребителите разчитат.

Не само това, но тези частни компании за наблюдение дават възможност на опасни хакерски инструменти да се разпространяват, като същевременно предоставят тези високотехнологични съоръжения за шпиониране на правителствата – някои от които изглежда обичат да шпионират дисиденти, журналисти, политически опоненти и правозащитници. 

Още по-голяма опасност е, че Google вече проследява най-малко 30 производители на шпионски софтуер, което предполага, че индустрията за търговско наблюдение като услуга е силна. Това също означава, че вече е теоретично възможно дори и най-малко надеждното правителство да има достъп до инструменти за такива цели - и като се има предвид, че толкова много от идентифицираните заплахи използват експлойти, идентифицирани от киберпрестъпници, изглежда логично да се мисли, че това е друг поток от приходи, който насърчава злонамерените изследвания.

Какви са рисковете?

Проблемът: тези привидно близки връзки между доставчиците на приватизирано наблюдение и киберпрестъпността не винаги работят в една посока. Тези експлойти — поне някои от които изглеждат достатъчно трудни за откриване, че само правителствата биха имали ресурсите да могат да го направят — в крайна сметка ще изтекат.

И докато Apple, Google и всички останали остават ангажирани с игра на котка и мишка, за да предотвратят подобна престъпност, затваряйки експлойтовете, където могат, рискът е всяка заповедна от правителството задна врата или пропуск в сигурността на устройството в крайна сметка да се промъкне в рекламата пазари, от които ще стигне до криминалните.

Европейският регулатор за защита на данните предупреди: „Разкритията за шпионския софтуер Pegasus повдигнаха много сериозни въпроси относно възможното въздействие на съвременните инструменти за шпионски софтуер върху основните права, и по-специално върху правата на поверителност и защита на данните.“

Това не означава, че няма легитимни причини за проучване на сигурността. Във всяка система съществуват недостатъци и имаме нужда хората да бъдат мотивирани да ги идентифицират; актуализациите на сигурността изобщо не биха съществували без усилията на различни изследователи на сигурността. Ябълка плаща до шестцифрени суми на изследователи, които идентифицират уязвимости в неговите системи.

Какво се случва след това?

Надзорният орган на ЕС за защита на данните призова за забрана на използването на скандалния софтуер Pegasus на NSO Group по-рано тази година. Всъщност призивът отиде по-далеч, директно търсейки „забрана върху разработването и внедряването на шпионски софтуер с възможностите на Pegasus“.

NSO Group вече е очевидно за продажба.

- каза още ЕС че в случай, че такива експлойти са били използвани в изключителни ситуации, това използване трябва да изисква компании като NSO да бъдат подложени на регулаторен надзор. Като част от това те трябва да зачитат правото на ЕС, съдебния контрол, наказателно-процесуалните права и да се съгласят да не се внасят незаконни разузнавателни данни, да няма политическа злоупотреба с националната сигурност и да подкрепят гражданското общество.

С други думи, тези компании се нуждаят от привеждане в съответствие.

Какво можеш да правиш

След разкритията за NSO Group миналата година, Apple публикува следните препоръки за най-добри практики за да помогне за намаляване на подобни рискове.

• Актуализирайте устройствата до най-новия софтуер, който включва най-новите поправки за сигурност.
• Защитете устройствата с парола.
• Използвайте двуфакторно удостоверяване и силна парола за Apple ID.
• инсталирам apps от App Store.
• Използвайте силни и уникални пароли онлайн.
• Не щракайте върху връзки или прикачени файлове от неизвестни податели.

Моля, последвайте ме Twitter, или се присъединете към мен в Бар и грил на AppleHolic намлява Дискусии на Apple групи в MeWe.