Δημοσίευμα του The Guardian και 16 άλλων μέσων αποκαλύπτουν πώς εμπορικό κακόβουλο λογισμικό χρησιμοποιείται από αυταρχικά καθεστώτα και χρησιμοποιείται για να στοχεύουν ακτιβιστές, πολιτικούς και δημοσιογράφους. Το κακόβουλο λογισμικό που χρησιμοποιείται ονομάζεται Pegasus και πωλείται, για εκατομμύρια δολάρια, από μια ισραηλινή εταιρεία που ονομάζεται NSO Group. Το Pegasus, το οποίο είναι το πιο εξελιγμένο κακόβουλο λογισμικό που γνωρίζουμε, έχει τη δυνατότητα να εγγράφει κλήσεις, να αντιγράφει μηνύματα και να κάνει κρυφά κινηματογράφηση του κατόχου (και εκείνων που βρίσκονται κοντά) σε οποιαδήποτε συσκευή έχει παραβιαστεί από αυτό.
Τι είναι το Pegasus;
Εν ολίγοις, το Pegasus είναι εμπορικό λογισμικό υποκλοπής τύπου spyware. Σε αντίθεση με το κακόβουλο λογισμικό που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου για να βγάλουν λεφτά κλέβοντας και εξαπατώντας τα θύματά τους, το Pegasus έχει σχεδιαστεί αποκλειστικά για κατασκοπεία. Μόλις «μολύνει» κρυφά ένα smartphone (Android ή iOS), μπορεί να το μετατρέψει σε μια πλήρη συσκευή παρακολούθησης. Μηνύματα SMS, email, μηνύματα WhatsApp, iMessages και πολλά άλλα, είναι όλα ανοιχτά για ανάγνωση και αντιγραφή. Μπορεί να καταγράψει εισερχόμενες και εξερχόμενες κλήσεις, καθώς και να κλέψει όλες τις φωτογραφίες στη συσκευή. Επιπλέον, μπορεί να ενεργοποιήσει το μικρόφωνο ή / και την κάμερα και να καταγράψει αυτό που λέγεται. Όταν το συνδυάζετε με τη δυνατότητα πρόσβασης σε δεδομένα τοποθεσίας στο παρελθόν και στο παρόν, είναι σαφές ότι όσοι ακούνε στο άλλο άκρο γνωρίζουν σχεδόν όλα όσα πρέπει να γνωρίζουν για οποιονδήποτε στοχεύει. Πρέπει να γνωρίζετε ότι εάν μια κυβερνητική υπηρεσία σας στοχεύει με λογισμικό όπως το Pegasus και επιμένετε να διατηρήσετε το smartphone σας, τότε υπάρχουν λίγα πράγματα που μπορείτε να κάνετε για να το σταματήσετε.
Οι πρώτες εκδόσεις του Pegasus εντοπίστηκαν το 2016, οπότε αυτό δεν είναι κάτι καινούργιο. Ωστόσο, οι δυνατότητές του και η πολυπλοκότητά του έχουν αυξηθεί πάρα πολύ από αυτές τις πρώτες μέρες. Δεν μπορεί να αποκτήσει ο καθένας ένα αντίγραφο του Pegasus. Αυτό δεν είναι κάτι που πωλείται στο eBay ή στο dark web. Ο Όμιλος NSO το πουλάει μόνο σε κυβερνήσεις και κοστίζει εκατομμύρια για αγορά.
Ευτυχώς, αυτό σημαίνει ότι δεν είναι στα χέρια αδίστακτων συγκροτημάτων εγκληματιών στον κυβερνοχώρο ή τρομοκρατών. Στην πραγματικότητα, ο Όμιλος NSO εμπορεύεται το Pegasus ως «τεχνολογία που βοηθά τις κυβερνητικές υπηρεσίες να αποτρέψουν και να ερευνήσουν την τρομοκρατία και το έγκλημα για να σώσουν χιλιάδες ζωές σε όλο τον κόσμο». Ακούγεται ευγενικό. Εκτός βέβαια ότι το να είσαι «κυβέρνηση» δεν αποτελεί διαβεβαίωση χαρακτήρα, ηθών ή αυτοσυγκράτησης. Ορισμένες κυβερνήσεις χρησιμοποιούν το Pegasus για να στοχεύουν δημοσιογράφους, στελέχη επιχειρήσεων, θρησκευτικούς ηγέτες, ακαδημαϊκούς και αξιωματούχους συνδικάτων και έχει ακουστεί ότι οι χώρες αυτές περιλαμβάνουν την Ουγγαρία, το Μεξικό, τη Σαουδική Αραβία, την Ινδία και τα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ). Ο Όμιλος NSO παραδέχεται ότι η πραγματική λίστα πελατών του έχει πάνω από 40 χώρες, αλλά στην υπεράσπισή του, λέει ότι ελέγχει τα αρχεία των ανθρωπίνων δικαιωμάτων των πελατών. Επισημαίνει επίσης ότι το Pegasus «δεν μπορεί να χρησιμοποιηθεί για τη διεξαγωγή κυβερνοεπιτήρησης εντός των Ηνωμένων Πολιτειών και κανένας ξένος πελάτης δεν έχει λάβει ποτέ τεχνολογία που θα τους επέτρεπε να έχουν πρόσβαση σε τηλέφωνα με αριθμούς ΗΠΑ».
0-day vulnerabilities
Όλο το λογισμικό έχει σφάλματα, γνωστά ως bugs. Είναι γεγονός. Είναι επίσης γεγονός ότι ο αριθμός των bugs είναι άμεσα ανάλογος με την πολυπλοκότητα του λογισμικού. Περισσότερος κώδικας σημαίνει περισσότερα bugs. Τα περισσότερα σφάλματα είναι απλά ενοχλητικά. Για παράδειγμα κάτι στη διεπαφή χρήστη που δεν λειτουργεί όπως αναμένεται. Είναι μια λειτουργία που δεν λειτουργεί σωστά υπό συγκεκριμένες συνθήκες. Τα πιο προφανή και ενοχλητικά bugs τείνουν να επιδιορθώνονται από τους προγραμματιστές τους με μικρές «στιγμιαίες κυκλοφορίες». Θα βρείτε bugs σε παιχνίδια, σε λειτουργικά συστήματα, σε εφαρμογές Android, σε εφαρμογές iOS, σε προγράμματα Windows, σε εφαρμογές Apple Mac, σε Linux – βασικά είναι παντού.
Δυστυχώς, η χρήση λογισμικού ανοιχτού κώδικα δεν αποτελεί εγγύηση για μια εμπειρία χωρίς bugs. Όλο το λογισμικό έχει bugs. Μερικές φορές η χρήση ανοιχτού κώδικα επιδεινώνει πραγματικά το πρόβλημα, καθώς συχνά τα βασικά έργα διατηρούνται με τη βέλτιστη προσπάθεια από μια μικρή ομάδα (ή ακόμη και ένα άτομο), που εργάζεται στο έργο αφού επιστρέψει στο σπίτι από τις κανονικές δουλειές τους. Πρόσφατα εντοπίστηκαν τρία bugs που σχετίζονται με την ασφάλεια στον πυρήνα του Linux που είναι στην παραγωγή για 15 χρόνια! Και τα bugs που σχετίζονται με την ασφάλεια είναι το πραγματικό ζήτημα. Η διεπαφή χρήστη έχει πρόβλημα, θα διορθωθεί, δεν υπάρχει πρόβλημα. Αλλά όταν ένα bug έχει τη δυνατότητα να αποδυναμώσει την ασφάλεια ενός υπολογιστή, τότε η κατάσταση είναι πιο σοβαρή. Αυτά τα bugs είναι τόσο σοβαρά που η Google διαθέτει ένα πρόγραμμα επιβράβευσης που πληρώνει άτομα που μπορούν να παρουσιάσουν αδυναμία ασφάλειας στο Android, Chrome ή Google Play. Το 2020 η Google κατέβαλε κολοσσιαίες ανταμοιβές 6,7 εκατομμυρίων δολαρίων. Η Amazon, η Apple και η Microsoft έχουν όλες παρόμοια προγράμματα.
Ενώ τα μεγάλα τεχνολογικά ονόματα πληρώνουν εκατομμύρια για να καθαρίσουν αυτά τα bugs που σχετίζονται με την ασφάλεια, εξακολουθούν να υπάρχουν πολλά άγνωστα τρωτά σημεία που κρύβονται στον κώδικα Android, iOS, Windows, macOS και Linux. Ορισμένες από αυτές τις ευπάθειες είναι ευπάθειες 0 ημερών (0-day vulnerabilities) – μια ευπάθεια που είναι γνωστή σε τρίτους, αλλά δεν είναι γνωστή στον συντάκτη του λογισμικού. Ονομάζεται 0-ημέρας επειδή ο συγγραφέας είχε μηδέν ημέρες για να επιλύσει το πρόβλημα. Λογισμικό όπως το Pegasus ευδοκιμεί σε ευπάθειες 0 ημερών, όπως και άλλοι δημιουργοί κακόβουλου λογισμικού, iPhone jailbreakers και εκείνοι που κάνουν root συσκευές Android.
Η εύρεση μιας 0-day vulnerability δεν είναι εύκολη και ο καθαρισμός της είναι ακόμη πιο δύσκολος. Ωστόσο, είναι δυνατό. Το NSO Group έχει μια εξειδικευμένη ομάδα ερευνητών που διερευνούν και αναλύουν κάθε λεπτό λεπτομέρειες λειτουργικών συστημάτων όπως το Android και το iOS, για να εντοπίσουν τυχόν αδυναμίες. Αυτές οι αδυναμίες στη συνέχεια μετατρέπονται σε τρόπους για να εισχωρήσουν σε μια συσκευή, παρακάμπτοντας όλη την κανονική ασφάλεια.
Ο απώτερος στόχος είναι να χρησιμοποιήσουν τη 0-day vulnerability για να αποκτήσουν προνομιακή πρόσβαση και έλεγχο σε μια συσκευή. Μόλις επιτευχθεί κλιμάκωση προνομίων, τότε η «πόρτα» είναι ανοιχτή και επιτρέπει στο Pegasus να εγκαταστήσει ή να αντικαταστήσει εφαρμογές συστήματος, να αλλάξει ρυθμίσεις, να αποκτήσει πρόσβαση σε δεδομένα και να ενεργοποιήσει αισθητήρες που κανονικά θα απαγορεύονταν χωρίς ρητή συγκατάθεση από τον κάτοχο της συσκευής.
Για να εκμεταλλευτεί τα bugs 0 ημερών απαιτείται ένας φορέας επίθεσης, ένας τρόπος για να εκμεταλλευτεί η ανοιχτή «πόρτα». Αυτοί οι φορείς επίθεσης είναι συχνά σύνδεσμοι που αποστέλλονται σε μηνύματα SMS ή μηνύματα WhatsApp. Κάνοντας κλικ στο σύνδεσμο, ο χρήστης οδηγείται σε μια σελίδα με αρχικό «φορτίο». Το «φορτίο» έχει μία δουλειά: να δοκιμάσει και να εκμεταλλευτεί ευπάθειες 0 ημερών. Δυστυχώς, υπάρχουν επίσης παγίδες μηδενικού κλικ που δεν απαιτούν καμία αλληλεπίδραση με τον χρήστη. Για παράδειγμα, το Pegasus εκμεταλλεύτηκε ενεργά σφάλματα στο iMessage και το Facetime κατά τη διάρκεια του 2019, πράγμα που σήμαινε ότι θα μπορούσε να εγκατασταθεί σε ένα τηλέφωνο μόνο κάνοντας μια κλήση στη συσκευή προορισμού.
Ένας τρόπος να δοκιμάσετε και να εκτιμήσετε το μέγεθος του προβλήματος 0 ημερών είναι να κοιτάξετε τι έχει βρεθεί, καθώς δεν γνωρίζουμε τι δεν έχει βρεθεί. Το Android και το iOS έχουν αμφότερες τις αναφερόμενες ευπάθειες ασφαλείας. Οι ευπάθειες στην κυβερνοασφάλεια που έχουν δημοσιευτεί εκχωρούνται σε έναν αριθμό κοινών ευπαθειών και ανοιγμάτων (CVE). Για το 2020, το Android σημείωσε 859 αναφορές CVE. Το iOS είχε λιγότερες αναφορές, 304 συνολικά. Ωστόσο, από αυτές τις 304, οι 140 επέτρεψαν την μη εξουσιοδοτημένη εκτέλεση κώδικα, περισσότερο από τις 97 στο Android. Τέσσερις από τις αναφορές αφορούσαν την αξιολόγηση προνομίων στο iOS, ενώ τρεις από τις αναφορές αφορούσαν την αξιολόγηση προνομίων στο Android. Το θέμα είναι ότι ούτε το Android ούτε το iOS είναι εγγενώς ασφαλές και άνοσα από ευπάθειες 0 ημερών.
Πώς να προστατευτείτε από spyware
Το πιο δραστικό, και το πιο πρακτικό μέσο να προστατευτείτε είναι να πετάξετε το κινητό σας. Εάν ανησυχείτε πραγματικά για προοπτική κατασκοπείας, μην δώσετε σε κανέναν το μέσο να σας κατασκοπεύουν. Εάν δεν έχετε smartphone, το Pegasus δεν έχει τίποτα να επιτεθεί. Μια ελαφρώς πιο πρακτική προσέγγιση θα μπορούσε να είναι να αφήσετε το τηλέφωνό σας στο σπίτι όταν βγαίνετε ή πηγαίνετε σε ευαίσθητες συναντήσεις. Θα πρέπει επίσης να βεβαιωθείτε ότι και οι άλλοι γύρω σας δεν διαθέτουν τα smartphone τους. Μπορείτε επίσης να απενεργοποιήσετε πράγματα όπως τη κάμερα στο smartphone, όπως έδειξε ο Edward Snowden το 2016.
Εάν όλα αυτά ακούγονται πολύ δραστικά, τότε μπορείτε να κάνετε μερικά πρακτικά βήματα. Ωστόσο, πρέπει να γνωρίζετε ότι εάν μια κυβερνητική υπηρεσία σας στοχεύει με λογισμικό όπως το Pegasus και επιμένετε να διατηρήσετε το smartphone σας, τότε υπάρχουν λίγα πράγματα που μπορείτε να κάνετε για να το σταματήσετε.
- Το πιο σημαντικό πράγμα που μπορείτε να κάνετε είναι να ενημερώνετε το τηλέφωνό σας. Για χρήστες της Apple, αυτό σημαίνει ότι πάντα να εγκαθιστάτε ενημερώσεις iOS τη στιγμή που θα είναι διαθέσιμες. Για χρήστες Android, αυτό σημαίνει πρώτα την επιλογή μιας μάρκας που έχει καλό ιστορικό κυκλοφορίας ενημερώσεων και στη συνέχεια πάντα εγκατάσταση των νέων ενημερώσεων τη στιγμή που θα είναι διαθέσιμες. Σε περίπτωση αμφιβολίας επιλέξτε μια συσκευή Google, καθώς τείνουν να λαμβάνουν ενημερώσεις το γρηγορότερο.
- Δεύτερον, μην κάνετε ποτέ, και εννοούμε ποτέ, ποτέ, μην κάνετε κλικ σε έναν σύνδεσμο που σας έστειλε κάποιος, εκτός εάν είστε 100% σίγουροι, χωρίς αμφιβολία, ότι ο σύνδεσμος είναι γνήσιος και ασφαλής. Εάν υπάρχει ακόμη και μια μικρή αμφιβολία, μην το κάνετε κλικ.
- Τρίτον, μην νομίζετε ότι είστε άτρωτοι εάν είστε χρήστης iPhone. Το Pegasus στοχεύει iOS και Android. Όπως αναφέρθηκε παραπάνω, υπήρξε μια περίοδος το 2019 όταν το Pegasus εκμεταλλεύτηκε ενεργά τις ευπάθειες στο Facetime οι οποίες επέτρεψαν να εγκατασταθεί χωρίς εντοπισμό σε συσκευές iOS. Ίσως θέλετε να δείτε αυτό το βίντεο σχετικά με το πώς η κινεζική κυβέρνηση χρησιμοποίησε τρωτά σημεία στο iOS για να κατασκοπεύει ανθρώπους.
Εν τέλει,, να είστε προσεκτικοί, αλλά παραμείνετε ήρεμοι και επικεφαλής. Αυτό δεν είναι το τέλος του κόσμου (ακόμη), αλλά αγνοώντας το δεν θα βοηθήσει ούτε. Ίσως να μην νομίζετε ότι έχετε κάτι να κρύψετε, αλλά τι γίνεται με τα μέλη της οικογένειάς σας ή τους φίλους σας; Οι δημοσιογράφοι, τα στελέχη επιχειρήσεων, οι θρησκευτικοί ηγέτες, οι ακαδημαϊκοί και οι αξιωματούχοι, σπάνια δεν έχουν φίλους ή οικογένεια. Προσοχή τι λέτε και τι κάνετε.
Ακολουθήστε το Gizchina Greece στο Google News για να μαθαίνετε πρώτοι και άμεσα, όλα τα τεχνολογικά νέα! Αν ψάχνετε HOT προσφορές, κάντε εγγραφή στο κανάλι μας στο Telegram!
