A indústria de vigilância como serviço precisa ser controlada

Aqui vamos nós de novo: outro exemplo de vigilância governamental envolvendo smartphones da Apple e do Google surgiu e mostra como os ataques apoiados pelo governo podem se tornar sofisticados e por que há justificativa para manter as plataformas móveis totalmente bloqueadas.

O que aconteceu?

Não pretendo focar muito nas notícias, mas resumidamente é o seguinte:

• O Grupo de Análise de Ameaças do Google informações publicadas revelando o hack.
• A empresa italiana de vigilância RCS Labs criou o ataque.
• O ataque foi usado na Itália e no Cazaquistão, e possivelmente em outros lugares.
• Algumas gerações do ataque são exercidas com a ajuda de ISPs.
• No iOS, os invasores abusaram das ferramentas de certificação corporativa da Apple que permitem a implantação interna de aplicativos.
• Cerca de nove ataques diferentes foram usados.

O ataque funciona assim: o alvo recebe um link exclusivo que visa induzi-lo a baixar e instalar um aplicativo malicioso. Em alguns casos, os espiões trabalharam com um ISP para desabilitar a conectividade de dados para induzir os alvos a baixar o aplicativo para recuperar essa conexão.

As explorações de dia zero usadas nesses ataques foram corrigidas pela Apple. Ele havia avisado anteriormente que os maus atores foram abusando de seus sistemas que permitem que as empresas distribuam apps interno. As revelações estão relacionadas com notícias recentes da Lookout Labs sobre o spyware de nível empresarial para Android chamado Hermit.

O que está em risco?

O problema aqui é que tecnologias de vigilância como essas foram comercializadas. Isso significa que recursos que historicamente só estavam disponíveis para governos também estão sendo usados ​​por empreiteiros privados. E isso representa um risco, pois ferramentas altamente confidenciais podem ser reveladas, exploradas, submetidas a engenharia reversa e abusadas.

As Google disse: “Nossas descobertas ressaltam até que ponto os fornecedores de vigilância comercial proliferaram recursos historicamente usados ​​apenas por governos com experiência técnica para desenvolver e operacionalizar explorações. Isso torna a Internet menos segura e ameaça a confiança da qual os usuários dependem.”

Não apenas isso, mas essas empresas privadas de vigilância estão permitindo a proliferação de ferramentas perigosas de hackers, ao mesmo tempo em que disponibilizam essas instalações de espionagem de alta tecnologia para os governos – alguns dos quais parecem gostar de espionar dissidentes, jornalistas, oponentes políticos e trabalhadores de direitos humanos. 

Um perigo ainda maior é que o Google já está rastreando pelo menos 30 fabricantes de spyware, o que sugere que a indústria de vigilância comercial como serviço é forte. Isso também significa que agora é teoricamente possível até mesmo para o governo menos confiável acessar ferramentas para esses fins - e considerando que muitas das ameaças identificadas fazem uso de explorações identificadas por criminosos cibernéticos, parece lógico pensar que esse é outro fluxo de renda que incentiva ataques maliciosos. pesquisar.

Quais são os riscos?

O problema: essas ligações aparentemente próximas entre fornecedores de vigilância privatizada e cibercrime nem sempre funcionam em uma direção. Essas explorações – pelo menos algumas das quais parecem ser suficientemente difíceis de descobrir que apenas os governos teriam os recursos para fazê-lo – eventualmente vazarão.

E enquanto a Apple, o Google e todos os outros continuam comprometidos com um jogo de gato e rato para evitar tal criminalidade, fechando explorações onde podem, o risco é que qualquer backdoor ou falha de segurança do dispositivo imposta pelo governo acabe caindo no mercado comercial. mercados, de onde chegará aos criminosos.

O regulador de proteção de dados da Europa alertou: “As revelações feitas sobre o spyware Pegasus levantaram questões muito sérias sobre o possível impacto das ferramentas modernas de spyware nos direitos fundamentais e, particularmente, nos direitos à privacidade e proteção de dados”.

Isso não quer dizer que não existam razões legítimas para a pesquisa de segurança. As falhas existem em qualquer sistema, e precisamos que as pessoas sejam motivadas a identificá-las; as atualizações de segurança não existiriam sem os esforços de vários tipos de pesquisadores de segurança. Maçã paga até seis dígitos aos pesquisadores que identificam vulnerabilidades em seus sistemas.

O que acontece depois?

O supervisor de proteção de dados da UE pediu a proibição do uso do infame software Pegasus do NSO Group no início deste ano. Na verdade, a ligação foi além, buscando uma “proibição do desenvolvimento e implantação de spyware com a capacidade do Pegasus”.

O Grupo NSO está agora aparentemente à venda.

A UE também disse que, no caso de tais explorações serem usadas em situações excepcionais, tal uso deve exigir que empresas como a NSO estejam sujeitas à supervisão regulatória. Como parte disso, eles devem respeitar o direito da UE, a revisão judicial, os direitos processuais criminais e concordar com a não importação de informações ilegais, nenhum abuso político da segurança nacional e apoiar a sociedade civil.

Em outras palavras, essas empresas precisam ser alinhadas.

O que você pode fazer

Após revelações sobre o NSO Group no ano passado, a Apple publicou as seguintes recomendações de boas práticas para ajudar a mitigar esses riscos.

• Atualize os dispositivos para o software mais recente, que inclui as correções de segurança mais recentes.
• Proteja os dispositivos com uma senha.
• Use a autenticação de dois fatores e uma senha forte para o ID Apple.
• Instale apps da App Store.
• Use senhas fortes e exclusivas online.
• Não clique em links ou anexos de remetentes desconhecidos.

Por favor, siga-me no Twitter, ou junte-se a mim no Bar e churrascaria AppleHolic e Discussões da Apple grupos no MeWe.