Pegasus-skandalen: Alt du trenger å vite

Dagens innlegg er det mest dystre jeg noen gang har skrevet, og forhåpentligvis er det det siste i sitt slag jeg må skrive. Vi skal diskutere Pegasus-skandalen.

Jeg prøver å unngå nyhetene av psykiske årsaker, men gitt yrket mitt kunne jeg ikke unnslippe nyhetene om denne historien. Det var populært på nyhetssider rundt om i verden.

Til tross for populariteten til denne historien, har jeg funnet det vanskelig å finne en enkel og grundig forklaring på detaljene i Pegasus-skandalen. Det er derfor jeg skriver til deg i dag.

I dette innlegget skal jeg dekke alt du trenger å vite om denne hendelsen i termer som er enkle å forstå, selv om du ikke kan mye om teknologi. Jeg vil også gå inn på litt historie om dette problemet, så vel som bildet det tegner for fremtiden vår.

La oss starte med fakta du trenger å vite først.

Pegasus-skandalen: Det grunnleggende

For første halvdel av denne artikkelen skal jeg bare dekke de kritiske faktaene i denne historien. Hvis du ikke vet noe om denne skandalen, er dette et godt sted å starte.

Hva er Pegasus-skandalen?

Pegasus-skandalen er navnet som gis til et av de skumleste cybersikkerhetsbruddene i vår tid. "Pegasus" er navnet på skadelig programvare utviklet av en gruppe kjent som "NSO".

Pegasus er i stand til å infisere alle større smarttelefoner i dag. Det inkluderer iPhone 11 og iPhone 12 samt de fleste Android-smarttelefoner.

Når en enhet har blitt infisert, får Pegasus tilgang til root-tillatelser for den enheten. For de som ikke vet, refererer rottillatelser til dyp administrativ kontroll av en enhet. Dette inkluderer kameraer, mikrofoner, meldingsapper, e-post, bilder og videoer, telefonsamtaler, kontakter, kalendere og GPS-data.

Med andre ord gir rottillatelser programvare tilgang til alt. Ideelt sett er den eneste programvaren på din iPhone som har tilgang til rottillatelser iOS selv. Og den eneste personen som kan handle på disse tillatelsene er deg og (i sjeldne tilfeller som iPhone-reparasjoner) Apple.

I dette tilfellet var Pegasus imidlertid i stand til å få tilgang til og bruke (og gjorde bruk) alle disse rottillatelsene til å spionere på brukere.

Jeg prøver vanligvis å unngå negativitet, men det kan ikke bli for mye mer alvorlig enn dette. Se for deg alle de verste fryktene dine for å bli spionert på av enheten din, og det er egentlig det Pegasus har vært i stand til å oppnå.

Deltok Apple, Google og andre med vilje i Pegasus-skandalen?

Nei, Apple, Google og andre enhetsprodusenter deltok ikke bevisst i Pegasus-skandalen. I hvert fall ikke så vidt vi vet.

Basert på den beste undersøkende journalistikken som drives på dette tidspunktet, ser det ikke ut til at noen av disse store teknologiselskapene hadde noe med dette å gjøre. Om noe har disse selskapene blitt fullstendig snudd på hodet av denne nyheten.

Forhåpentligvis jobber ingeniørene ved disse virksomhetene natt og dag for å stoppe Pegasus i sporene, samt forhindre fremtidige angrep som den.

Ikke bare deltok ikke Apple og andre i dette, men Apple har kommet med uttalelser som avviser disse angrepene og hevder at iPhone fortsatt er den sikreste mobile enheten på markedet.

For å være rettferdig, iPhone sannsynligvis er fortsatt den sikreste smarttelefonen der ute. Men som vi har lært, er det kanskje ikke nok lenger. Jeg kommer nærmere inn på dette i artikkelen.

Hvem er i faresonen?

Den ene anelse om gode nyheter rundt Pegasus-skandalen (bortsett fra det faktum at historien brøt i det hele tatt) er at du sannsynligvis ikke er i faresonen. Denne programvaren ble utviklet for bruk fra myndighetene, noe som betyr at den først og fremst retter seg mot individer i politiske maktposisjoner.

Du bør personlig være bekymret for effekten av Pegasus (uavhengig av nasjonalitet) hvis du:

• Ha et politisk verv
• Er journalist (spesielt politisk)
• Ha politisk innflytelse
• Er medlem av et militær
• Arbeid for en regjering (spesielt med tilgang til sensitiv informasjon eller tillatelser)

Dataene som ble avdekket og lekket av journalistene som undersøkte denne historien (jeg skal gå nærmere inn på dem senere) viser omtrent 50 000 individer som ble berørt av denne skandalen.

For å gi deg en ide om alvorlighetsgraden av personene som ble målrettet, ble Frankrikes president Emmanuel Macron vellykket målrettet av Pegasus. Han har siden skiftet telefon.

Du er sannsynligvis trygg

Foreløpig ser dette ut til å indikere at de aller fleste mennesker rundt om i verden er trygge for Pegasus-programvare. Jeg er sikker på at mer enn 50 000 mennesker ble berørt. Men det ser ikke ut til å være en indikasjon på sivil masseovervåking i denne spesifikke saken.

Når det er sagt, jeg vil ikke råder deg til å slappe av og glemme denne historien helt. Selv om du mest sannsynlig ikke har blitt påvirket, kan konsekvensene av dette sikkert ha en innvirkning på livet ditt.

Denne programvaren (eller lignende) kan på et senere tidspunkt i historien bli distribuert på sivilt nivå i massevis. Eller en av dine politiske ledere kan bli målrettet, noe som kan påvirke din nasjonale sikkerhet.

Uansett er dette store nyheter for alle rundt om i verden. Pegasus er noen år foran ledende cybersikkerhetsforsvar. Inntil vi tar igjen, utgjør dette angrepet og andre lignende det en alvorlig trussel.

Du vil sannsynligvis ikke vite om enheten din er infisert

En av de mest bekymringsfulle aspektene ved Pegasus-skandalen er hvor vanskelig det er å finne ut hvem som er og ikke er smittet. Journalister var i stand til å gi en liste over berørte parter ved å finne og lekke lister over mål over tid. Imidlertid var de ikke i stand til å finne en måte å oppdage Pegasus malware på en persons enhet.

Vi har med andre ord en ide om hvem som ble smittet fordi navnelister er avdekket. Denne skandalen ble imidlertid ikke avslørt ved å finne skadelig programvare på mobile enheter.

Et eksempel som motvirker dette er skadelig programvare Silver Sparrow, som ble funnet motsatt. Vi var i stand til å finne den på Mac-enheter, men den ble aldri oppdaget hvor den kom fra eller hvorfor den ble brukt.

Foreløpig er det liten eller ingen måte å bekrefte eller avkrefte tilstedeværelsen av Pegasus på enheten din. Igjen, det er ekstremt usannsynlig at enheten din har blitt påvirket. Hvis du har grunn til å tro at du kan være i faresonen (dvs. du er medlem av en av målgruppene jeg dekket tidligere), så kan det være verdt å kjøpe en ny iPhone og kvitte seg med den nåværende enheten helt.

Hvordan Pegasus malware fungerer

Pegasus malware er det som er kjent som et "nullklikk"-angrep. Det betyr at brukeren av den målrettede enheten ikke trenger å gjøre noe for å bli infisert. Det kan kompromittere enheten din uten ondsinnede lenker, popup-vinduer eller andre villedende metoder. Den sendes ganske enkelt til en enhet, og kort tid etter blir enheten infisert.

Fra det vi vet så langt, ser det ut som Pegasus sendes til enheter på en av to måter.

Den første er ved å sende en lenke til brukeren via e-post, tekstmelding eller direktemeldinger (dvs. WhatsApp). Når brukeren klikker på lenken, starter infeksjonsprosessen. I dette tilfellet vil angrepet teknisk sett ikke være "nullklikk".

Den andre metoden bruker sårbarheter i vanlige apper. Dette inkluderer både vanlige tredjepartsapper (som WhatsApp) så vel som innebygde apper som Apple Music og Photos. Selv om spesifikke detaljer ikke har blitt avdekket (eller frigitt til offentligheten), ble det oppdaget det mistenkelig aktivitet skjedde i både Apple Music og Photos kort tid før Pegasus var i stand til å infisere system.

Hvordan nulldagssårbarheter fungerer

Det antas at Pegasus var i stand til å infisere iPhones gjennom innebygde iOS-apper ved å se etter "nulldagers" sårbarheter. En null-dagers sårbarhet er når en hacker begynner å fremtvinge forskjellige angrep på programvare så snart den er utgitt. På den måten kan hackeren finne en sårbarhet før utvikleren kan og utnytte den.

Enkelt sagt, når Apple lanserer en ny versjon av iOS (selv en inkrementell oppdatering som iOS 14.7) er det nesten alltid en uforutsett sårbarhet. Etter noen dager eller uker vil denne sårbarheten bli avdekket, og før noen hackere kan utnytte den, vil Apple gi ut en ny oppdatering som fjerner denne sårbarheten. Det er derfor du noen ganger får iOS-oppdateringer rygg-til-rygg.

Dessverre er det noen grupper (inkludert Pegasus sin utvikler NSO) som har ressursene og motivasjonene til å avdekke en sårbarhet samme dag som programvaren slippes.

Så de finner sårbarheten, modifiserer Pegasus for å utnytte den sårbarheten, og sender deretter Pegasus til offeret. Når Apple finner og retter sikkerhetsproblemet, er enheten allerede infisert, så oppdateringen er ineffektiv for den brukeren og andre ofre.

Det er viktig å merke seg at de fleste av sårbarhetene i Apples programvare er uunngåelige. På samme måte som det er umulig å bygge en hakkesikker lås, er det ingen måte for Apple å gi ut en versjon av iOS som er fullstendig uhackbar.

Det er derfor iPhone regnes som den "sikreste" og ikke den "helt sikre" smarttelefonen. Så Apple og co fortjener en viss mildhet sammen med (hensiktsmessig rettet) kritikken.

Litt bakgrunn om Pegasus-utvikler NSO

Det er alle detaljene du trenger å vite. Nå skal vi komme inn på noen finere punkter samt diskusjoner om virkningen av Pegasus-skandalen. La oss først utforske NSO.

Som nevnt er NSO gruppen som utviklet Pegasus-skadevaren. De er basert i Israel og har jobbet med teknologi som dette siden 2010-tallet, som er akkurat på den tiden da smarttelefoner skiftet fra en nyhet til en nødvendighet.

Ikke overraskende er den ferske historien om Pegasus ikke første gang NSO har kommet i varmt vann. Hele historien er fylt med kontroverser og, uten tvil, kriminalitet. Her er noen av de "mindre" problemene rundt NSO:

• I 2012 hyret den meksikanske regjeringen inn NSO for å hjelpe den med å holde oversikt over journalister og menneskerettighetsaktivister i Mexico (kilde)
• I 2018 ble NSO anklaget for å ha hjulpet den saudiarabiske regjeringen med å spionere på menneskerettighetsgruppen Amnesty International (kilde)
• Til tross for at NSOs Pegasus malware utelukkende er beregnet på bruk av myndigheter, forsøkte en av NSOs ansatte å selge programvaren på nettet i bytte mot kryptovaluta, som fremhever muligheten for at Pegasus faller i feil hender (selvfølgelig kan det diskuteres om det i det hele tatt er "riktige hender" for Pegasus å falle inn i) (kilde)

Andre skandaler har fulgt NSO

Større skandaler har også plaget NSO. Det har blitt saksøkt av Facebook-eide WhatsApp for å ha injisert spionprogrammer på enhetene til WhatsApp-brukere via WhatsApp-plattformen (kilde). Det påståtte angrepet rammet 1400 brukere i 20 land.

Blant disse brukerne var (du gjettet det) mange journalister og menneskerettighetsforkjempere. WhatsApp hevdet også å ha oppdaget at disse angrepene stammet fra NSO-servere. Hvis det er sant, ser det ut til å indikere at NSO brukte Pegasus direkte for å infisere disse brukerne, ikke en av NSOs klienter/kunder.

Det påstås også at Pegasus-programvaren ble brukt til å spore Jamal Khashoggi av den saudiarabiske regjeringen i månedene før drapet hans (kilde). For alle som husker var dette en internasjonalt ødeleggende forbrytelse. Å se Pegasus knyttet til det er ingen liten sak.

Kort sagt, NSO har utviklet Pegasus overvåkingsprogramvare for den israelske regjeringen det siste tiåret. Programvaren har imidlertid ikke bare blitt brukt av Israel. Den israelske regjeringen har lisensiert programvaren til andre regjeringer, som i stor grad har brukt den til å kvele og fjerne journalister, aktivister og menneskerettighetsforkjempere.

Sagt på en annen måte, ser NSO ut til å være, etter alt å dømme, en utøver av dystopiske taktikker. Dette kan være den største skandalen til nå, men det er på ingen måte en uteligger i gruppens historie.

NSO tilbakeviser påstander om Pegasus-programvaren sin

Til ingens overraskelse tilbakeviser NSO påstandene rundt Pegasus-skandalen.

Hvilke påstander tilbakeviser det? Spesifikasjoner har ikke blitt navngitt. Gruppens advokater har rett og slett avvist konsekvensene av programvaren uten å diskutere spesifikke påstander.

Alt NSOs advokater har sagt så langt er at påstandene fra journalistene som avdekket og lekket denne informasjonen er «en sammenstilling av spekulative og grunnløse antakelser».

Det er verdt å merke seg at når de ble møtt med påstandene rundt WhatsApp, var alt NSO hadde å si at "NSO Group driver ikke Pegasus-programvare for sine kunder." Med andre ord, alt det hadde å si om saken var at det kundene gjør med programvaren ikke er det virksomhet.

Så det ser ut til at NSO holder fast ved det velprøvde forsvaret "Jeg gjorde det ikke, og selv om jeg gjorde det, er det ikke min feil".

Apples sikkerhets- og personvernkrav har for alltid blitt stilt spørsmål ved

Jeg nevnte tidligere at jeg synes Apple, Google og andre fortjener litt mildhet når det kommer til denne typen angrep. Tross alt er de til en viss grad uunngåelige.

Apple har ikke makten til å stoppe globale regjeringsfinansierte organisasjoner fra å kile inn overvåkingsskadelig programvare gjennom iOS-oppdateringer. Hvis Apple kunne lage en hacksikker versjon av iOS, er jeg sikker på at det allerede ville ha gjort det.

Når det er sagt, vil jeg ikke påstå at Apple og selskapet er unntatt kritikk. Jeg har dekket personvern på AppleToolBox og andre nettsteder i lang tid fordi det uten tvil er den viktigste utfordringen teknologien står overfor i dag. Og i lang tid har Apple vært det beste mainstream-teknologiselskapet til å forhindre denne typen skandaler.

Å se hvor effektiv og utbredt Pegasus-skandalen er, bringer nye poeng inn i personverndiskusjonen.

For det første, i hvilken grad er Apple ansvarlig? Bør den endre måten den produserer enhetene og programvaren på, og i så fall hvordan?

For det andre er det trygt å si at for alle Apples beste innsats og markedsføringsslagord, er ikke iPhone skuddsikker. Den eneste måten å virkelig unngå overvåking på er å forbli en ingen og/eller leve isolert fra moderne teknologi.

For det tredje fremhever den hvordan feilfritt viktig er det for politiske tjenestemenn å våkne opp og bli utdannet om nettsikkerhet og teknologispørsmål. Mens noen lovende fremskritt begynner å skje (les her), det er for sakte. Nye forskrifter, innovasjoner og forsvar på administrativt nivå er nødvendig for å avverge den økende trusselen om nettangrep.

Opprinnelsen til grupper som NSO

NSO ser ut til å være den mest presserende trusselen mot vår digitale sikkerhet og personvern i minst de siste ti årene. Det er for mye kraft i for mange hender, som alle ser ut til å være de verste hendene som er tilgjengelige.

På samme måte som den amerikanske regjeringen fortjener kritikk når den selger våpen til dårlige aktører, bør den israelske regjeringen holdes ansvarlig for hvor og hvordan Pegasus distribueres, forutsatt at den til og med bør få lov til å distribueres, for å begynne med.

Pegasus-skandalen er selvsagt ikke den første i sitt slag. Intel og sikkerhetsskandaler har plaget USA de siste 50+ årene som grupper som FBI, NSA og CIA har brukt lignende taktikker og strategier for å målrette mot de samme gruppene som Pegasus – rettighetsaktivister og journalister.

Det er vanskelig å ikke tro at opprinnelsen til grupper som NSO begynte med inspirasjon fra spionasjen som ble utført av amerikanske og britiske myndigheter. Begge landene ble vist å være dårlige aktører på denne fronten takket være informasjonen lekket av tidligere NSA-kontraktør Edward Snowden.

Mens mange av programmene som ble avslørt av Edward Snowden har blitt (i det minste "offisielt") stengt, 2013-lekkasjen inspirerte uten tvil land som Israel og grupper som NSO til å forfølge sine mål på dette området.

I likhet med hvordan utviklingen av atombomben ble kort tid kopiert av alle andre land med ressurser til gjør det, jeg forestiller meg at det er mange Pegasus-kloner som kopierer det tidligere arbeidet til U.S.A. Myndighetene.

Hvordan Pegasus-skandalen ble avdekket

Arbeidet som er gjort for å bringe Pegasus-skandalen frem i lyset er ganske fascinerende. Det er absolutt et av de mest sofistikerte tilfellene av undersøkende journalistikk jeg noen gang har hørt om.

Etter lekkasjen av 50 000 telefonnumre i 2020 (som var knyttet til Pegasus), gikk sytten mediepublikasjoner sammen for å undersøke NSO og dets programvare. Blant disse publikasjonene er Vergen, Washington Post, Le Monde, Proceso, og Ledningen.

Totalt undersøkte 80 journalister fra disse publikasjonene denne lekkasjen i flere måneder. I løpet av den tiden samarbeidet disse journalistene med andre etterforsknings- og rettsmedisinske tjenester for å identifisere telefonnumrene, søke gjennom enhetene for skadelig programvare (når mulig), og bekreftet at enhetene ikke bare ble sporet, men ble sporet av NSOs programvare.

Høyprofilerte personer fra hele verden har blitt målrettet, inkludert Frankrikes president Emmanuel Macron, statsministeren i Egypt Mostafa Madbouly, og Barham Salih, presidenten for Irak.

Som nevnt er et flertall av de målrettede personene journalister og menneskerettighetsaktivister. Ved siden av drapet på Jamal Khashoggi er det bånd mellom Pegasus og fengslingen og torturen av den saudiske kvinnerettighetsaktivisten Loujain al-Hathloul, attentatet på meksikansk antikorrupsjonsjournalist Cecilio Pineda Birto, og lekkasje av intime bilder av Fatima Movlamli (hun var 18 år da bildene ble lekket), en motstander av lokalt autoritært styre i Aserbajdsjan.

Arbeidet utført av disse journalistene er like deler inspirerende modig og ødeleggende øyeåpnende.

Fremtiden for sikkerhet og personvern innen teknologi ser mørk ut igjen

I størstedelen av 2010-årene var det generelt akseptert at teknologien vår ble brukt til å spionere på oss. Dette ble bekreftet av Edward Snowdens lekkasje i 2013.

Etter den lekkasjen så det imidlertid ut til at ting ble stadig bedre. Apple og andre har tatt sterke holdninger til å beskytte brukernes personvern, og til tross for kynisme har det virket som disse selskapene hadde lagt pengene sine der munnen var.

I tillegg ser det ut til at USA har kansellert sine tidligere spioneringsprogrammer, og nylige rettssaker har ansett at NSAs overvåking var ulovlig og potensielt grunnlovsstridig.

Men Pegasus-skandalen ser ut til å vise at gode intensjoner på ett område ikke er lik gode intensjoner på alle områder. Reformeringen av noen dårlige skuespillere er ikke lik reformasjonen av alle dårlige skuespillere. Og det virker som, i det minste med verdens tilstand i dag, at det er lite noen kan gjøre med dette.

Etter all journalistikken som ble utført om denne skandalen, har det vært avgjørende at hvis noen ønsker å bruke Pegasus-programvaren mot deg, er det ikke noe du kan gjøre for å hindre dem i å isolere deg fra tech.

NSOs unnskyldning for å opprette og lisensiere Pegasus

Ifølge NSO er Pegasus-programvaren kun ment å brukes mot terrororganisasjoner. NSO hevder at de undersøker potensielle myndigheter før de lisensierer programvaren til dem for å redusere sjansene for at de vil bruke den til dårlige formål.

Det er imidlertid vanskelig å tro, gitt at programvaren ble lisensiert til kjente dårlige skuespillere i midten Øst, til den meksikanske regjeringen (som har en lang historie med å være motstander av aktivister), og andre. Og uavhengig av NSOs intensjoner, har programvaren blitt brukt til ondskap.

Det er vanskelig å sette en positiv vri på denne historien. Det ser ut til at de i maktposisjoner igjen har laget misbruksverktøy fra mulighetene og ressursene som makten gir. Det er en høytidelig påminnelse om at det endelige målet for regjeringer er å samle og opprettholde makt for enhver pris og i alle former. Og det er en påminnelse til innbyggerne om å være årvåkne, viljesterke og skarpe.

Interessert i flere historier som Pegasus-skandalen?

Abonner på AppleToolBox-nyhetsbrevet for å følge med på de siste nyhetene, kontroversene og alt annet Apple.