Индустрию видеонаблюдения как услуги необходимо поставить под контроль

И снова: появился еще один пример правительственной слежки за смартфонами Apple и Google, который показывает, насколько изощренными могут стать поддерживаемые правительством атаки и почему есть оправдание полной блокировке мобильных платформ.

Что произошло?

Я не собираюсь слишком зацикливаться на новостях, но вкратце они таковы:

• Группа анализа угроз Google опубликовал информацию, раскрывающую взлом.
• Атаку организовала итальянская компания RCS Labs.
• Атака использовалась в Италии, Казахстане и, возможно, в других местах.
• Некоторые поколения атак осуществляются с помощью интернет-провайдеров.
• На iOS злоумышленники злоупотребили корпоративными инструментами сертификации Apple, которые позволяют развертывать приложения внутри компании.
• Было использовано около девяти различных атак.

Атака работает следующим образом: цели отправляется уникальная ссылка, цель которой — обманом заставить ее загрузить и установить вредоносное приложение. В некоторых случаях шпионы работали с интернет-провайдером, чтобы отключить подключение к данным, чтобы обманным путем заставить цели загрузить приложение для восстановления этого подключения.

Эксплойты нулевого дня, используемые в этих атаках, были исправлены Apple. Ранее он предупреждал, что плохие актеры были злоупотребление своими системами, которые позволяют предприятиям распространять apps внутренний. Эти разоблачения связаны с недавними новостями от Lookout Labs о шпионском ПО корпоративного уровня для Android под названием Hermit.

Что в опасности?

Проблема здесь в том, что технологии наблюдения, подобные этим, были коммерциализированы. Это означает, что возможности, которые исторически были доступны только правительствам, также используются частными подрядчиками. И это представляет собой риск, поскольку конфиденциальные инструменты могут быть раскрыты, использованы, переработаны и использованы не по назначению.

As Google сказал: «Наши результаты подчеркивают, в какой степени поставщики коммерческих средств наблюдения расширили возможности, которые исторически использовались только правительствами, обладающими техническими знаниями для разработки и внедрения эксплойтов. Это делает Интернет менее безопасным и угрожает доверию, от которого зависят пользователи».

Не только это, но и эти частные компании наблюдения позволяют распространять опасные хакерские инструменты, в то же время предоставляя эти высокотехнологичные возможности для слежки правительствам, некоторые из которых, похоже, получают удовольствие от шпионажа за диссидентами, журналистами, политическими оппонентами и правозащитниками. 

Еще большая опасность заключается в том, что Google уже отслеживает как минимум 30 производителей шпионского ПО, что говорит о том, что индустрия коммерческого наблюдения как услуги сильна. Это также означает, что теперь даже наименее заслуживающее доверия правительство теоретически может получить доступ к инструментам для таких целей — и, учитывая, что так много выявленных угроз используют эксплойты, выявленные киберпреступниками, кажется логичным думать, что это еще один источник дохода, который поощряет злонамеренные действия. исследовательская работа.

Каковы риски?

Проблема: эти кажущиеся тесными связи между поставщиками частной слежки и киберпреступностью не всегда работают в одном направлении. Эти эксплойты — по крайней мере, некоторые из которых кажутся достаточно сложными для обнаружения, поскольку только у правительств есть ресурсы, чтобы сделать это, — в конечном итоге просочатся.

И хотя Apple, Google и все остальные по-прежнему привержены игре в кошки-мышки, чтобы предотвратить такие преступления, закрывая эксплойты, где они могут, риск заключается в том, что любой санкционированный правительством черный ход или недостаток безопасности устройства в конечном итоге проскользнет в коммерческую. рынки, с которых он попадет на криминальные.

Европейский регулятор по защите данных предупредил: «Откровения, сделанные в отношении шпионского ПО Pegasus, подняли очень серьезные вопросы о возможном влиянии современных инструментов шпионского ПО на основные права, в частности, на права на неприкосновенность частной жизни и защиту данных».

Это не значит, что нет законных причин для исследования безопасности. Недостатки существуют в любой системе, и нам нужна мотивация людей для их выявления; обновления безопасности вообще не существовали бы без усилий различных исследователей безопасности. Яблоко выплаты до шестизначной суммы исследователям, которые выявляют уязвимости в его системах.

Что происходит дальше?

Ранее в этом году надзорный орган ЕС по защите данных призвал запретить использование печально известного программного обеспечения Pegasus от NSO Group. На самом деле призыв пошел дальше, прямо требуя «запрета на разработку и развертывание шпионского ПО с возможностями Pegasus».

NSO Group теперь, по-видимому, выставлен на продажу.

Ассоциация ЕС также сказал что в случае, если такие эксплойты использовались в исключительных ситуациях, такое использование должно требовать, чтобы такие компании, как NSO, подвергались регулирующему надзору. В рамках этого они должны уважать законодательство ЕС, судебный надзор, уголовно-процессуальные права и соглашаться на отказ от импорта нелегальной разведывательной информации, политическое злоупотребление национальной безопасностью и поддержку гражданского общества.

Другими словами, эти компании нуждаются в приведении в соответствие.

Что ты можешь сделать

После разоблачений о NSO Group в прошлом году Apple опубликовал следующие рекомендации по передовой практике помочь снизить такие риски.

• Обновите устройства до последней версии программного обеспечения, которое включает последние исправления безопасности.
• Защитите устройства паролем.
• Используйте двухфакторную аутентификацию и надежный пароль для Apple ID.
• Установите apps из магазина приложений.
• Используйте надежные и уникальные пароли в Интернете.
• Не нажимайте на ссылки или вложения от неизвестных отправителей.

Пожалуйста, следуйте за мной Twitter, или присоединяйтесь ко мне в Бар и гриль AppleHolic и Обсуждения Apple группы на MeWe.