Het Pegasus-schandaal: alles wat u moet weten

De post van vandaag is de meest strenge die ik ooit heb geschreven, en hopelijk is het de laatste in zijn soort die ik moet schrijven. We gaan het hebben over het Pegasus-schandaal.

Ik doe mijn best om het nieuws om geestelijke gezondheidsredenen te vermijden, maar gezien mijn beroep kon ik niet aan het nieuws van dit verhaal ontsnappen. Het was trending op nieuwssites over de hele wereld.

Ondanks de populariteit van dit verhaal, vond ik het moeilijk om een ​​eenvoudige en grondige uitleg te vinden van de details van het Pegasus-schandaal. Daarom schrijf ik je vandaag.

In dit bericht ga ik alles bespreken wat je moet weten over dit incident in termen die gemakkelijk te begrijpen zijn, zelfs als je niet veel weet over technologie. Ik zal ook ingaan op een beetje geschiedenis over dit onderwerp, evenals het beeld dat het schetst voor onze toekomst.

Laten we beginnen met de feiten die u eerst moet weten.

Het Pegasus-schandaal: de basis

Voor de eerste helft van dit artikel ga ik alleen de kritische feiten van dit verhaal behandelen. Als je niets weet over dit schandaal, is dit een goede plek om te beginnen.

Wat is het Pegasus-schandaal?

Het Pegasus-schandaal is de naam die wordt gegeven aan een van de engste cybersecurity-inbreuken van onze tijd. "Pegasus" is de naam van malware die is ontwikkeld door een groep die bekend staat als "NSO".

Pegasus is in staat om elk groot smartphoneapparaat van tegenwoordig te infecteren. Dat omvat de iPhone 11 en iPhone 12, evenals de meeste Android-smartphones.

Zodra een apparaat is geïnfecteerd, krijgt Pegasus toegang tot rootrechten voor dat apparaat. Voor degenen die het niet weten, verwijzen root-machtigingen naar diepgaande administratieve controle van een apparaat. Dat omvat camera's, microfoons, berichten-apps, e-mails, foto's en video's, telefoontjes, contacten, agenda's en GPS-gegevens.

Met andere woorden, rootrechten geven software toegang tot alles. In het ideale geval is iOS zelf de enige software op uw iPhone die toegang heeft tot rootrechten. En de enige persoon die op die machtigingen kan reageren, ben jij en (in zeldzame gevallen, zoals iPhone-reparaties) Apple.

In dit geval was Pegasus echter in staat toegang te krijgen tot en te gebruiken (en deed gebruik) al deze root-rechten om gebruikers te bespioneren.

Normaal probeer ik negativiteit te vermijden, maar veel serieuzer dan dit kan het niet worden. Stel je al je ergste angsten voor om bespied te worden door je apparaat, en dat is eigenlijk wat Pegasus heeft kunnen bereiken.

Hebben Apple, Google en anderen opzettelijk deelgenomen aan het Pegasus-schandaal?

Nee, Apple, Google en andere apparaatfabrikanten hebben niet bewust deelgenomen aan het Pegasus-schandaal. Althans niet voor zover wij weten.

Op basis van de beste onderzoeksjournalistiek die op dit moment wordt uitgevoerd, lijkt het erop dat geen van deze grote technologiebedrijven hier iets mee te maken had. Deze bedrijven zijn in ieder geval volledig op hun kop gezet door dit nieuws.

Hopelijk werken de technici van deze bedrijven dag en nacht om Pegasus te stoppen en toekomstige soortgelijke aanvallen te voorkomen.

Niet alleen hebben Apple en anderen hier niet aan deelgenomen, maar Apple heeft verklaringen afgelegd die deze aanvallen afwijzen en beweren dat de iPhone nog steeds het veiligste mobiele apparaat op de markt is.

Om eerlijk te zijn, de iPhone waarschijnlijk is nog steeds de veiligste smartphone die er is. Maar zoals we hebben geleerd, is dat misschien niet meer genoeg. Ik zal hier verder in het artikel op ingaan.

Wie loopt er gevaar?

Het enige vermoeden van goed nieuws rond het Pegasus-schandaal (afgezien van het feit dat het verhaal überhaupt brak) is dat je waarschijnlijk geen risico loopt. Deze software is ontwikkeld voor gebruik door de overheid, wat betekent dat het voornamelijk gericht is op individuen in posities met politieke macht.

U moet zich persoonlijk zorgen maken over de effecten van Pegasus (ongeacht uw nationaliteit) als u:

• Een politiek ambt bekleden
• Ben een journalist (vooral een politieke)
• Politieke invloed behouden
• Zijn een lid van een leger
• Werk voor een overheid (vooral met toegang tot gevoelige informatie of machtigingen)

De gegevens die werden ontdekt en gelekt door de journalisten die dit verhaal hebben onderzocht (ik zal er later meer op ingaan), tonen ongeveer 50.000 personen die door dit schandaal werden getroffen.

Om u een idee te geven van de ernst van de personen die het doelwit waren, werd de Franse president Emmanuel Macron met succes aangevallen door Pegasus. Sindsdien heeft hij zijn telefoon veranderd.

Je bent waarschijnlijk veilig

Voorlopig lijkt dit erop te wijzen dat de overgrote meerderheid van de mensen over de hele wereld veilig is voor Pegasus-software. Ik weet zeker dat meer dan 50.000 mensen werden getroffen. Maar er lijkt in dit specifieke geval geen aanwijzing te zijn voor massale civiele surveillance.

Dat gezegd hebbende, ik zou niet raad je aan om te ontspannen en dit verhaal helemaal te vergeten. Hoewel u hoogstwaarschijnlijk niet bent getroffen, kunnen de gevolgen hiervan zeker een impact hebben op uw leven.

Deze software (of vergelijkbare software) zou op een later moment in de geschiedenis massaal op civiel niveau kunnen worden ingezet. Of een van uw politieke leiders kan het doelwit zijn, wat gevolgen kan hebben voor uw nationale veiligheid.

Hoe dan ook, dit is groot nieuws voor iedereen over de hele wereld. Pegasus loopt een paar jaar voor op toonaangevende cyberbeveiligingssystemen. Totdat we onze achterstand inhalen, vormen deze aanval en andere soortgelijke aanvallen een serieuze bedreiging.

U weet waarschijnlijk niet of uw apparaat is geïnfecteerd

Een van de meest zorgwekkende aspecten van het Pegasus-schandaal is hoe moeilijk het is om te achterhalen wie wel en niet geïnfecteerd is. Journalisten konden een lijst van getroffen partijen aanleveren door in de loop van de tijd lijsten met doelen te vinden en te lekken. Ze konden echter geen manier vinden om Pegasus-malware op het apparaat van een persoon te detecteren.

Met andere woorden, we hebben een idee van wie er besmet is omdat er lijsten met namen zijn blootgelegd. Dit schandaal werd echter niet aan het licht gebracht door de malware op mobiele apparaten te vinden.

Een voorbeeld dat dit tegengaat is: de Silver Sparrow-malware, die tegenovergesteld werd gevonden. We konden het vinden op Mac-apparaten, maar het werd nooit ontdekt waar het vandaan kwam of waarom het werd gebruikt.

Voorlopig is er weinig tot geen manier om de aanwezigheid van Pegasus op uw apparaat te bevestigen of te ontkennen. Nogmaals, het is uiterst onwaarschijnlijk dat uw apparaat is getroffen. Als u echter reden hebt om aan te nemen dat u risico loopt (d.w.z. u bent lid van een van de doelgroepen die ik eerder behandeld), dan is het misschien de moeite waard om een ​​nieuwe iPhone te kopen en je huidige apparaat weg te doen volledig.

Hoe de Pegasus-malware werkt

Pegasus-malware is een zogenaamde 'zero-click'-aanval. Dat betekent dat de gebruiker van het doelapparaat niets hoeft te doen om geïnfecteerd te raken. Het kan uw apparaat in gevaar brengen zonder schadelijke links, pop-ups of andere misleidende methoden. Het wordt gewoon naar een apparaat gestuurd en kort daarna is het apparaat geïnfecteerd.

Van wat we tot nu toe weten, lijkt het erop dat Pegasus op twee manieren naar apparaten wordt verzonden.

De eerste is door een link naar de gebruiker te sturen via e-mail, sms of instant messaging (d.w.z. WhatsApp). Zodra de gebruiker op de link klikt, begint het infectieproces. In dit geval zou de aanval technisch gezien geen "zero-click" zijn.

De tweede methode maakt gebruik van kwetsbaarheden in veelvoorkomende apps. Dit omvat zowel algemene apps van derden (zoals WhatsApp) als ingebouwde apps zoals Apple Music en Foto's. Hoewel specifieke details niet zijn onthuld (of openbaar zijn gemaakt), werd ontdekt dat: verdachte activiteit vond plaats in zowel Apple Music als Foto's kort voordat Pegasus de systeem.

Hoe zero-day-kwetsbaarheden werken

Er wordt aangenomen dat Pegasus iPhones kon infecteren via ingebouwde iOS-apps door te zoeken naar "zero-day"-kwetsbaarheden. Een zero-day kwetsbaarheid is wanneer een hacker verschillende aanvallen op software begint te forceren zodra deze is vrijgegeven. Op die manier kan de hacker een kwetsbaarheid vinden voordat de ontwikkelaar deze kan misbruiken.

Simpel gezegd, wanneer Apple een nieuwe versie van iOS uitbrengt (zelfs een incrementele update zoals iOS 14.7), is er bijna altijd een onvoorziene kwetsbaarheid. Na een paar dagen of weken zal dat beveiligingslek worden ontdekt en voordat hackers het kunnen misbruiken, zal Apple een nieuwe update uitbrengen die dit beveiligingslek verwijdert. Daarom krijg je soms back-to-back iOS-updates.

Helaas zijn er enkele groepen (waaronder Pegasus' ontwikkelaar NSO) die de middelen en motivatie hebben om een ​​kwetsbaarheid te ontdekken op dezelfde dag dat de software wordt vrijgegeven.

Ze vinden de kwetsbaarheid, passen Pegasus aan om die kwetsbaarheid te misbruiken en sturen Pegasus vervolgens naar het slachtoffer. Tegen de tijd dat Apple de kwetsbaarheid vindt en patcht, is het apparaat al geïnfecteerd, dus de patch is niet effectief voor die gebruiker en andere slachtoffers.

Het is belangrijk op te merken dat de meeste kwetsbaarheden in de software van Apple onvermijdelijk zijn. Op dezelfde manier dat het onmogelijk is om een ​​​​pick-proof slot te bouwen, is er geen manier voor Apple om een ​​versie van iOS uit te brengen die volledig onhackbaar is.

Dat is de reden waarom iPhone wordt beschouwd als de "meest veilige" en niet de "volledig veilige" smartphone. Dus Apple en co verdienen een beetje clementie samen met de (gepast gerichte) kritiek.

Wat achtergrondinformatie over Pegasus-ontwikkelaar NSO

Dat zijn alle details die u moet weten. Nu gaan we in op enkele fijnere punten en discussies over de impact van het Pegasus-schandaal. Laten we eerst eens kijken naar NSO.

Zoals gezegd is NSO de groep die de Pegasus-malware heeft ontwikkeld. Ze zijn gevestigd in Israël en werken al sinds de jaren 2010 aan dit soort technologie, precies rond de tijd dat smartphones van een nieuwigheid naar een noodzaak verschoven.

Het is niet verwonderlijk dat het recente verhaal over Pegasus niet de eerste keer is dat NSO in heet water is beland. De hele geschiedenis is gevuld met controverse en, aantoonbaar, misdaad. Hier zijn enkele van de "kleinere" problemen rond NSO:

• In 2012 huurde de Mexicaanse regering NSO in om journalisten en mensenrechtenactivisten in Mexico in de gaten te houden (bron)
• In 2018 werd NSO beschuldigd van het helpen van de Saoedi-Arabische regering bij het spioneren van mensenrechtengroep Amnesty International (bron)
• Ondanks dat de Pegasus-malware van NSO uitsluitend bedoeld is voor gebruik door overheden, heeft een van de medewerkers van NSO geprobeerd de software online te verkopen in ruil voor cryptocurrency, waarbij de mogelijkheid wordt benadrukt dat Pegasus in verkeerde handen valt (natuurlijk is het de vraag of er zelfs "juiste handen" zijn voor Pegasus vallen in) (bron)

Andere schandalen volgden NSO

Grotere schandalen hebben ook de NSO geteisterd. WhatsApp is aangeklaagd door Facebook-eigendom WhatsApp voor het injecteren van zijn spyware op de apparaten van WhatsApp-gebruikers via het WhatsApp-platform (bron). De vermeende aanval trof 1.400 gebruikers in 20 landen.

Onder die gebruikers waren (je raadt het al) talloze journalisten en mensenrechtenverdedigers. WhatsApp beweerde ook te hebben ontdekt dat deze aanvallen afkomstig waren van NSO-servers. Als dat waar is, lijkt dat erop te wijzen dat NSO Pegasus rechtstreeks heeft gebruikt om deze gebruikers te infecteren, en niet een van de klanten/klanten van NSO.

Er wordt ook beweerd dat de Pegasus-software werd gebruikt om Jamal Khashoggi te volgen door de Saoedi-Arabische regering in de maanden voorafgaand aan zijn moord (bron). Voor iedereen die het zich herinnert, was dit een internationaal verwoestende misdaad. Pegasus ermee verbonden zien is geen kleinigheid.

Kortom, NSO heeft de afgelopen tien jaar de Pegasus-bewakingssoftware voor de Israëlische regering ontwikkeld. De software is echter niet alleen door Israël gebruikt. De Israëlische regering heeft de software in licentie gegeven aan andere regeringen, die het grotendeels hebben gebruikt om journalisten, activisten en mensenrechtenverdedigers te verstikken en te verwijderen.

Anders gezegd, de NSO lijkt in alle opzichten een dader van dystopische tactieken te zijn. Dit is misschien het grootste schandaal tot nu toe, maar het is geenszins een uitbijter in de geschiedenis van de groep.

NSO weerlegt beweringen over Pegasus-software

Tot niemands verbazing weerlegt NSO de beweringen rond het Pegasus-schandaal.

Welke beweringen weerlegt het? Bijzonderheden zijn niet genoemd. De advocaten van de groep hebben eenvoudigweg de gevolgen van de software ontkend zonder specifieke beschuldigingen te bespreken.

Alle advocaten van de NSO hebben tot nu toe gezegd dat de beweringen van de journalisten die deze informatie hebben ontdekt en gelekt "een compilatie zijn van speculatieve en ongegronde veronderstellingen".

Het is vermeldenswaard dat NSO, toen ze werden geconfronteerd met de beschuldigingen rond WhatsApp, alleen maar te zeggen had: “NSO Group exploiteert de Pegasus-software voor haar klanten.” Met andere woorden, het enige wat het hierover te zeggen had, was dat wat zijn klanten met zijn software doen niet van hem is bedrijf.

Het lijkt er dus op dat NSO vasthoudt aan de beproefde verdediging van "Ik heb het niet gedaan, en zelfs als ik het deed, het is niet mijn schuld".

Apple's beveiligings- en privacyclaims zijn voor altijd in twijfel getrokken

Ik heb eerder gezegd dat ik vind dat Apple, Google en anderen een beetje clementie verdienen als het gaat om dit soort aanvallen. Ze zijn tenslotte tot op zekere hoogte onvermijdelijk.

Apple heeft niet de macht om te voorkomen dat wereldwijde, door de overheid gefinancierde organisaties bewakingsmalware via iOS-updates blokkeren. Als Apple een hackbestendige versie van iOS zou kunnen maken, weet ik zeker dat het dat al zou hebben gedaan.

Dat gezegd hebbende, zou ik niet beweren dat Apple en het bedrijf vrijgesteld zijn van kritiek. Ik ben al heel lang bezig met privacy op AppleToolBox en andere websites, omdat dit misschien wel de belangrijkste uitdaging is waarmee technologie tegenwoordig wordt geconfronteerd. En lange tijd is Apple het beste mainstream technologiebedrijf geweest in het voorkomen van dit soort schandalen.

Door te zien hoe effectief en wijdverbreid het Pegasus-schandaal is, komen er nieuwe punten in de privacydiscussie.

Ten eerste, in hoeverre is Apple verantwoordelijk? Moet het de manier veranderen waarop het zijn apparaten en software produceert, en zo ja, hoe?

Ten tweede is het veilig om te zeggen dat, ondanks alle inspanningen en marketingslogans van Apple, je iPhone niet kogelvrij is. De enige manier om surveillance echt te vermijden, is door een niemand te blijven en/of geïsoleerd te leven van moderne technologie.

Ten derde laat het zien hoe: feilloos het is belangrijk dat politieke functionarissen wakker worden en voorlichting krijgen over cyberbeveiliging en technische kwesties. Hoewel er enige veelbelovende vooruitgang begint te gebeuren (lees hier), het is te traag. Nieuwe regelgeving, innovaties en verdediging op bestuurlijk niveau zijn nodig om de groeiende dreiging van cyberaanvallen af ​​te wenden.

De oorsprong van groepen als de NSO

De NSO lijkt de meest urgente bedreiging voor onze digitale veiligheid en privacy van de afgelopen tien jaar. Het is te veel kracht in te veel handen, die allemaal de slechtste handen lijken te zijn die er zijn.

Op dezelfde manier dat de Amerikaanse regering kritiek verdient wanneer ze wapens verkoopt aan slechte actoren, zou de Israëlische regering dat moeten doen verantwoordelijk worden gehouden voor waar en hoe Pegasus wordt gedistribueerd, ervan uitgaande dat het zelfs mag worden gedistribueerd, om te beginnen met.

Natuurlijk is het Pegasus-schandaal niet het eerste in zijn soort. Intel en veiligheidsschandalen hebben de VS de afgelopen 50+ jaar geteisterd als groepen zoals de FBI, NSA en CIA soortgelijke tactieken en strategieën hebben gebruikt om zich op dezelfde groepen te richten als Pegasus – rechtenactivisten en journalisten.

Het is moeilijk om niet te denken dat de oorsprong van groepen zoals NSO begon met inspiratie van de spionage die werd uitgevoerd door de Amerikaanse en Britse regeringen. Beide landen bleken slechte actoren op dit front dankzij de informatie die was gelekt door voormalig NSA-aannemer Edward Snowden.

Hoewel veel van de programma's die door Edward Snowden zijn ontmaskerd (althans "officieel") zijn afgesloten, het lek van 2013 inspireerde ongetwijfeld landen als Israël en groepen zoals NSO om hun doelen op dit gebied na te streven.

Vergelijkbaar met hoe de ontwikkeling van de atoombom kort werd gekopieerd door elk ander land met de middelen om doe, stel ik me voor dat er veel Pegasus-klonen zijn die het eerdere werk van de V.S. kopiëren. regering.

Hoe het Pegasus-schandaal werd ontdekt

Het werk dat is gedaan om het Pegasus-schandaal aan het licht te brengen, is behoorlijk fascinerend. Het is zeker een van de meest verfijnde voorbeelden van onderzoeksjournalistiek waar ik ooit van heb gehoord.

Na het uitlekken van 50.000 telefoonnummers in 2020 (die gekoppeld waren aan Pegasus) bundelden zeventien mediapublicaties de handen ineen om onderzoek te doen naar NSO en haar software. Onder deze publicaties zijn: de bewaker, De Washington Post, Le Monde, proces, en De draad.

In totaal hebben 80 journalisten van deze publicaties maandenlang onderzoek gedaan naar dit lek. Gedurende die tijd werkten deze journalisten samen met andere onderzoeks- en forensische diensten om de telefoonnummers te identificeren, te zoeken door de apparaten op malware (indien mogelijk), en bevestigde dat de apparaten niet alleen werden gevolgd, maar ook werden gevolgd door NSO's software.

Bekende personen van over de hele wereld zijn het doelwit geweest, waaronder de president van Frankrijk Emmanuel Macron, de premier van Egypte Mostafa Madbouly, en Barham Salih, de president van Irak.

Zoals vermeld, zijn de meeste van de doelwitten journalisten en mensenrechtenactivisten. Naast de moord op Jamal Khashoggi zijn er banden tussen Pegasus en de gevangenneming en marteling van de Saoedische vrouwenrechtenactiviste Loujain al-Hathloul, de moord op de Mexicaanse anticorruptiejournalist Cecilio Pineda Birto, en het lekken van intieme foto's van Fatima Movlamli (ze was 18 toen de foto's lekten), een tegenstander van het lokale autoritaire bewind in Azerbeidzjan.

Het werk dat door deze journalisten is voltooid, is even inspirerend moedig en verwoestend eye-opening.

De toekomst van beveiliging en privacy in technologie ziet er opnieuw somber uit

In het grootste deel van de jaren 2010 werd algemeen aanvaard dat onze technologie werd gebruikt om ons te bespioneren. Dit werd bevestigd door het lek van Edward Snowden in 2013.

Na dat lek leek het er echter op dat het steeds beter ging. Apple en anderen hebben een krachtig standpunt ingenomen over het beschermen van de privacy van hun gebruikers, en ondanks cynisme leek het erop dat deze bedrijven hun geld op de plaats hadden gezet.

Bovendien lijkt de VS hun eerdere spionageprogramma's te hebben geannuleerd, en in recente rechtszaken is geoordeeld dat het toezicht door de NSA illegaal en mogelijk ongrondwettelijk was.

Maar het Pegasus-schandaal lijkt aan te tonen dat goede bedoelingen op één gebied niet gelijk staan ​​aan goede bedoelingen op alle gebieden. De hervorming van sommige slechte actoren is niet gelijk aan de hervorming van alle slechte actoren. En het lijkt erop, tenminste met de toestand van de wereld van vandaag, dat niemand hier iets aan kan doen.

Na alle journalistiek die over dit schandaal is gevoerd, is het overtuigend gebleven dat als iemand wil gebruiken de Pegasus-software tegen je, er is niets dat je kunt doen om te voorkomen dat ze jezelf isoleren van techniek.

Het excuus van de NSO voor het maken en licentiëren van Pegasus

Volgens de NSO is de Pegasus-software alleen bedoeld om te worden gebruikt tegen terroristische organisaties. NSO beweert dat het potentiële regeringen onderzoekt voordat ze de software aan hen in licentie geven om de kans te verkleinen dat ze het voor slechte doeleinden zullen gebruiken.

Dat is echter moeilijk te geloven, aangezien de software in licentie is gegeven aan bekende slechte acteurs in het Midden Oost, aan de Mexicaanse regering (die een lange geschiedenis heeft van vijandigheid tegenover activisten), en anderen. En wat de bedoelingen van NSO ook zijn, de software is kwaadaardig gebruikt.

Het is moeilijk om een ​​positieve draai aan dit verhaal te geven. Het lijkt erop dat, nogmaals, degenen in machtsposities misbruik hebben gemaakt van de kansen en middelen die macht biedt. Het is een plechtige herinnering dat het uiteindelijke doel van regeringen is om tegen elke prijs en in alle vormen macht te verzamelen en te behouden. En het is een herinnering aan burgers om waakzaam, eigenzinnig en scherp te blijven.

Geïnteresseerd in meer verhalen zoals het Pegasus-schandaal?

Abboneer op de AppleToolBox-nieuwsbrief om op de hoogte te blijven van het laatste nieuws, controverses en alle andere dingen van Apple.