Valvonta palveluna -teollisuus on saatava kannalle

Tässä taas mennään: on ilmaantunut toinen esimerkki hallituksen valvonnasta Applen ja Googlen älypuhelimiin, ja se osoittaa, kuinka kehittyneitä hallituksen tukemista hyökkäyksistä voi tulla ja miksi on perusteltua pitää mobiilialustat täysin lukittuina.

Mitä on tapahtunut?

En aio keskittyä liikaa uutisiin, mutta lyhyesti se on seuraava:

• Googlen uhka-analyysiryhmällä on julkaissut hakkeroinnin paljastavat tiedot.
• Italialainen valvontayritys RCS Labs loi hyökkäyksen.
• Hyökkäystä on käytetty Italiassa ja Kazakstanissa ja mahdollisesti muuallakin.
• Joitakin hyökkäyssukupolvia käytetään Internet-palveluntarjoajien avulla.
• iOS:ssä hyökkääjät käyttivät väärin Applen yrityssertifiointityökaluja, jotka mahdollistavat sovellusten sisäisen käyttöönoton.
• Käytettiin noin yhdeksän erilaista hyökkäystä.

Hyökkäys toimii näin: Kohteeseen lähetetään ainutlaatuinen linkki, jonka tarkoituksena on huijata hänet lataamaan ja asentamaan haitallinen sovellus. Joissakin tapauksissa pelot työskentelivät Internet-palveluntarjoajan kanssa datayhteyden poistamiseksi käytöstä huijatakseen kohteita lataamaan sovellus yhteyden palauttamiseksi.

Apple on korjannut näissä hyökkäyksissä käytetyt nollapäivän hyväksikäytöt. Se oli aiemmin varoittanut, että huonoja näyttelijöitä on ollut väärinkäyttää järjestelmiään, jotka antavat yritysten jakaa apps in-house. Paljastukset liittyvät Lookout Labsin viimeaikaisiin uutisiin yritystason Android-vakoiluohjelmasta nimeltä Hermit.

Mikä on vaarassa?

Ongelma tässä on se, että tällaiset valvontatekniikat on kaupallistettu. Se tarkoittaa, että valmiuksia, jotka ovat historiallisesti olleet vain hallitusten käytettävissä, käyttävät myös yksityiset urakoitsijat. Ja se on riski, sillä erittäin luottamuksellisia työkaluja voidaan paljastaa, hyödyntää, käännellä ja käyttää väärin.

As Google sanoi: "Havaintomme korostavat sitä, missä määrin kaupalliset valvontatoimittajat ovat lisänneet valmiuksia, joita ovat perinteisesti käyttäneet vain hallitukset, joilla on tekninen asiantuntemus hyödyntääkseen ja toteuttaakseen hyväksikäyttöjä. Tämä tekee Internetistä vähemmän turvallista ja uhkaa luottamusta, josta käyttäjät ovat riippuvaisia."

Ei vain tämä, vaan nämä yksityiset valvontayritykset mahdollistavat vaarallisten hakkerointityökalujen leviämisen, samalla kun ne tarjoavat nämä korkean teknologian nuuskimismahdollisuudet hallitusten käyttöön – joista osa näyttää nauttivan toisinajattelijoiden, toimittajien, poliittisten vastustajien ja ihmisoikeustyöntekijöiden vakoilusta. 

Vielä suurempi vaara on, että Google seuraa jo ainakin 30 vakoiluohjelmien valmistajaa, mikä viittaa siihen, että kaupallinen valvonta palveluna on vahva. Se tarkoittaa myös sitä, että nyt teoriassa on mahdollista, että vähitenkin uskottavilla hallituksilla on mahdollisuus käyttää työkaluja tällaisiin tarkoituksiin – ja koska monet tunnistetuista uhista käyttävät kyberrikollisten tunnistamia hyökkäyksiä, näyttää loogiselta ajatella, että tämä on toinen tulonlähde, joka kannustaa haitallisiin tarkoituksiin. tutkimusta.

Mitkä ovat riskit?

Ongelma: nämä läheltä näyttävät yhteydet yksityistetyn valvonnan ja tietoverkkorikollisuuden välittäjien välillä eivät aina toimi yhteen suuntaan. Nämä hyväksikäytöt – joista ainakin jotkin näyttävät olevan riittävän vaikeita havaita, että vain hallituksilla olisi resurssit tehdä niin – vuotavat lopulta.

Ja vaikka Apple, Google ja kaikki muut ovat sitoutuneet kissa-hiiri-peliin estääkseen tällaisen rikollisuuden ja sulkevat hyväksikäytöt mahdollisuuksiensa mukaan, riskinä on, että mikä tahansa hallituksen määräämä takaoven tai laitteen tietoturvavirhe liukuu lopulta mainokseen. markkinoille, joilta se saapuu rikollisille.

Euroopan tietosuojaviranomainen varoitti: "Pegasus-vakoiluohjelmista tehdyt paljastukset herättivät erittäin vakavia kysymyksiä nykyaikaisten vakoiluohjelmien mahdollisista vaikutuksista perusoikeuksiin ja erityisesti oikeuksiin yksityisyyteen ja tietosuojaan."

Tämä ei tarkoita, etteikö turvallisuustutkimukselle olisi oikeutettuja syitä. Kaikissa järjestelmissä on puutteita, ja meidän on motivoitava ihmisiä tunnistamaan ne; tietoturvapäivitykset eivät olisi olemassa ilman erilaisten tietoturvatutkijoiden ponnisteluja. Omena maksaa jopa kuusinumeroisia tutkijoille, jotka tunnistavat sen järjestelmien haavoittuvuuksia.

Mitä tapahtuu seuraavaksi?

EU:n tietosuojavaltuutettu vaati aiemmin tänä vuonna NSO Groupin surullisen Pegasus-ohjelmiston käytön kieltämistä. Itse asiassa puhelu meni pidemmälle, sillä se pyrki suoraan "kieltoon Pegasuksen kykyä sisältävien vakoiluohjelmien kehittämiselle ja käyttöönotolle".

NSO Group on nyt ilmeisesti myyntiin.

- EU myös sanoi Jos tällaisia ​​hyödykkeitä käytetään poikkeuksellisissa tilanteissa, tällaisen käytön pitäisi edellyttää, että NSO:n kaltaiset yritykset asetetaan viranomaisvalvonnan alaisiksi. Osana sitä heidän on kunnioitettava EU:n lainsäädäntöä, oikeudellista valvontaa, rikosoikeudellisia prosessuaalisia oikeuksia ja suostuttava siihen, että laitonta tiedustelutietoa ei tuoda maahan, kielletä kansallisen turvallisuuden poliittista väärinkäyttöä ja tuettava kansalaisyhteiskuntaa.

Toisin sanoen nämä yritykset on saatettava linjaan.

Mitä voit tehdä

Viime vuonna NSO-konsernia koskevien paljastusten jälkeen Apple julkaisi seuraavat parhaita käytäntöjä koskevat suositukset auttaa vähentämään tällaisia ​​riskejä.

• Päivitä laitteet uusimpaan ohjelmistoon, joka sisältää uusimmat tietoturvakorjaukset.
• Suojaa laitteet salasanalla.
• Käytä kaksivaiheista todennusta ja vahvaa salasanaa Apple ID:lle.
• install apps App Storesta.
• Käytä vahvoja ja ainutlaatuisia salasanoja verkossa.
• Älä napsauta tuntemattomien lähettäjien linkkejä tai liitteitä.

Ole hyvä ja seuraa minua Twitter, tai liity mukaani AppleHolicin baari ja grilli ja Apple-keskustelut ryhmät MeWe:ssä.