Branża nadzoru jako usługi musi zostać uspokojona

I znowu: pojawił się kolejny przykład rządowej inwigilacji z użyciem smartfonów Apple i Google, który pokazuje, jak wyrafinowane mogą się stać ataki wspierane przez rząd i dlaczego istnieje uzasadnienie całkowitego blokowania platform mobilnych.

Co się stało?

Nie zamierzam za bardzo skupiać się na nowościach, ale w skrócie wygląda to tak:

• Grupa Analizy Zagrożeń Google ma opublikowane informacje ujawniające włamanie.
• Atak stworzyła włoska firma inwigilacyjna RCS Labs.
• Atak został wykorzystany we Włoszech i Kazachstanie, a być może gdzie indziej.
• Niektóre generacje ataku są przeprowadzane z pomocą dostawców usług internetowych.
• W systemie iOS atakujący nadużywali narzędzi firmy Apple do certyfikacji przedsiębiorstw, które umożliwiają wdrażanie aplikacji we własnym zakresie.
• Wykorzystano około dziewięciu różnych ataków.

Atak działa w następujący sposób: cel otrzymuje unikalny link, który ma na celu nakłonienie go do pobrania i zainstalowania złośliwej aplikacji. W niektórych przypadkach straszydła współpracowały z dostawcą usług internetowych, aby wyłączyć łączność danych, aby nakłonić cele do pobrania aplikacji w celu odzyskania tego połączenia.

Wykorzystywane w tych atakach exploity dnia zerowego zostały naprawione przez Apple. Wcześniej ostrzegano, że źli aktorzy są nadużywanie swoich systemów, które pozwalają firmom na dystrybucję apps w domu. Rewelacje te wiążą się z ostatnimi wiadomościami z Lookout Labs dotyczącymi oprogramowania szpiegującego dla systemu Android klasy korporacyjnej o nazwie Hermit.

Co jest zagrożone?

Problem polega na tym, że takie technologie nadzoru zostały skomercjalizowane. Oznacza to, że możliwości, które historycznie były dostępne tylko dla rządów, są również wykorzystywane przez prywatnych wykonawców. A to stanowi ryzyko, ponieważ wysoce poufne narzędzia mogą zostać ujawnione, wykorzystane, poddane inżynierii wstecznej i nadużywane.

As Google powiedział: „Nasze odkrycia podkreślają stopień, w jakim komercyjni dostawcy systemów nadzoru rozpowszechniali możliwości, które historycznie były wykorzystywane wyłącznie przez rządy posiadające wiedzę techniczną do opracowywania i operowania exploitami. Sprawia to, że Internet jest mniej bezpieczny i zagraża zaufaniu, na którym polegają użytkownicy”.

Nie tylko to, ale te prywatne firmy inwigilacyjne umożliwiają rozprzestrzenianie się niebezpiecznych narzędzi hakerskich, jednocześnie udostępniając te zaawansowane technologicznie obiekty szpiegowskie rządom – niektóre z nich wydają się lubić szpiegować dysydentów, dziennikarzy, przeciwników politycznych i obrońców praw człowieka. 

Jeszcze większym niebezpieczeństwem jest to, że Google śledzi już co najmniej 30 twórców oprogramowania szpiegującego, co sugeruje, że przemysł komercyjnego nadzoru jako usługi jest silny. Oznacza to również, że teraz teoretycznie nawet najmniej wiarygodny rząd może uzyskać dostęp do narzędzi do takich celów — a biorąc pod uwagę, że tak wiele zidentyfikowanych zagrożeń wykorzystuje exploity zidentyfikowane przez cyberprzestępców, wydaje się logiczne, że jest to kolejny strumień dochodów, który zachęca do złośliwych Badania.

Jakie są zagrożenia?

Problem: te bliskie powiązania między dostawcami sprywatyzowanego nadzoru a cyberprzestępczością nie zawsze będą działać w jednym kierunku. Exploity te — przynajmniej niektóre z nich wydają się wystarczająco trudne do odkrycia, że ​​tylko rządy miałyby na to środki — w końcu wyciekną.

I podczas gdy Apple, Google i wszyscy pozostali są zaangażowani w grę w kotka i myszkę, aby zapobiec takiej przestępczości, zamykając exploity tam, gdzie to możliwe, istnieje ryzyko, że każda wskazana przez rząd luka w zabezpieczeniach tylnych drzwi lub urządzenia w końcu trafi do reklamy rynków, z których dotrze do tych przestępczych.

Europejski regulator ochrony danych ostrzegł: „Rewelacje dotyczące oprogramowania szpiegującego Pegasus wzbudziły bardzo poważne pytania dotyczące możliwego wpływu nowoczesnych narzędzi szpiegowskich na prawa podstawowe, a zwłaszcza na prawo do prywatności i ochrony danych”.

Nie oznacza to, że nie ma uzasadnionych powodów do badań nad bezpieczeństwem. Wady istnieją w każdym systemie i potrzebujemy motywacji ludzi do ich identyfikacji; aktualizacje bezpieczeństwa w ogóle nie istniałyby bez wysiłków badaczy bezpieczeństwa różnego rodzaju. Jabłko płaci do sześciu cyfr naukowcom, którzy identyfikują luki w jego systemach.

Co dzieje się dalej?

Inspektor ochrony danych UE wezwał na początku tego roku do zakazu korzystania z niesławnego oprogramowania Pegasus firmy NSO Group. W rzeczywistości wezwanie poszło dalej, wprost dążąc do „zakazu tworzenia i wdrażania oprogramowania szpiegującego z możliwościami Pegasusa”.

Grupa NSO jest teraz najwyraźniej na sprzedaż.

Połączenia UE również powiedziała że w przypadku wykorzystania takich exploitów w wyjątkowych sytuacjach, takie wykorzystanie powinno wymagać, aby firmy takie jak NSO podlegały nadzorowi regulacyjnemu. W ramach tego muszą przestrzegać prawa UE, kontroli sądowej, praw procesowych w sprawach karnych i zgodzić się na zakaz importu nielegalnych danych wywiadowczych, politycznego nadużywania bezpieczeństwa narodowego oraz wspieranie społeczeństwa obywatelskiego.

Innymi słowy, firmy te wymagają dostosowania.

Co możesz zrobić

Po zeszłorocznych rewelacjach dotyczących NSO Group, Apple opublikował następujące zalecenia dotyczące najlepszych praktyk aby pomóc złagodzić takie ryzyko.

• Zaktualizuj urządzenia do najnowszego oprogramowania, które zawiera najnowsze poprawki zabezpieczeń.
• Chroń urządzenia hasłem.
• Użyj uwierzytelniania dwuskładnikowego i silnego hasła dla Apple ID.
• Zainstalować apps z App Store.
• Używaj silnych i unikalnych haseł online.
• Nie klikaj linków ani załączników od nieznanych nadawców.

Proszę śledzić mnie dalej Twitterlub dołącz do mnie w Bar i grill AppleHolic i Dyskusje Apple grupy na MeWe.