Software-ul de spionaj mobil Pegasus - cum funcţionează şi cum vă puteţi proteja? (II)

Deşi este posibil să nu putem preveni întotdeauna exploatarea şi infectarea unui dispozitiv mobil, putem încerca să facem ca acest lucru să fie cât mai dificil pentru atacatori.

Cum facem acest lucru în practică? Iată o listă de verificare simplă:

• -Pe iOS :

a) Reporniţi zilnic

Conform cercetărilor Amnesty şi CitizenLab, lanţul de infectare Pegasus se bazează adesea pe 0-clicuri zilnice fără persistenţă, astfel încât o repornire regulată curăţă dispozitivul.

Dacă dispozitivul este repornit zilnic, atacatorii vor trebui să îl reinfecteze din nou şi din nou. Pe termen lung, acest lucru creşte şansele de detectare; poate apărea o eroare sau pot fi instalate aplicaţii simple care să dezvăluie o infecţie de natură invizibilă.

De fapt, nu este vorba doar de teorie, ci şi de practică - am analizat un caz în care un dispozitiv mobil a fost ţinta unui exploit 0-click (probabil FORŢA). Proprietarul dispozitivului şi-a repornit dispozitivul în mod regulat şi a făcut acest lucru în termen de 24 de ore de la atac. Atacatorii au încercat să atace de mai multe ori, dar în cele din urmă au renunţat, după ce au fost loviţi de mai multe ori în timpul repornirii.

b) Dezactivaţi iMessage

iMessage este integrat în iOS şi este activat în mod implicit, ceea ce îl face un vector de exploatare interesant. Deoarece este activat în mod implicit, este un mecanism de livrare principal pentru şirurile 0-clic.

Timp de mulţi ani, exploit-urile iMessage au fost la mare căutare, cu câştiguri semnificative pentru firmele de brokeraj "exploit". "În ultimele luni, am observat o creştere a numărului de exploatări iOS, în principal a canalelor Safari şi iMessage, dezvoltate şi vândute de hackeri din întreaga lume. Piaţa zero-day este atât de inundată de exploit-uri iOS încât am început recent să respingem unele (dintre ele)", a scris Chaouki Bekrar, fondatorul Zerodium, în 2019 pentru WIRED.

Ne dăm seama că acest lucru poate fi foarte dificil pentru unii (mai târziu), dar dacă Pegasus şi alte programe malware APT mobile de vârf se numără printre modelele de ameninţare care vă preocupă, acesta este un compromis care merită făcut.

c) Dezactivaţi Facetime

La fel ca mai sus.

d) Păstraţi dispozitivul mobil actualizat; instalaţi cele mai recente patch-uri iOS imediat ce sunt disponibile

Nu toată lumea îşi poate permite să folosească vulnerabilităţi de tip 0-day. De fapt, cele mai multe dintre kiturile de exploatare pentru iOS despre care ştim vizează vulnerabilităţi care au fost deja remediate. Cu toate acestea, mulţi oameni folosesc telefoane mai vechi şi amână actualizările din diverse motive.

Dacă vreţi să fiţi în faţa (unor) hackeri sponsorizaţi de stat, actualizaţi-vă sistemul de operare cât mai curând posibil şi învăţaţi să nu aveţi nevoie de emoticoane pentru a instala patch-uri.

e) Nu faceţi niciodată clic pe linkurile primite în mesajele SMS

Este un sfat simplu, dar eficient. Nu toţi clienţii Pegasus îşi pot permite să cumpere lanţuri 0-day de mai multe milioane de dolari, aşa că se bazează pe exploatări cu un singur clic.

Acestea sosesc sub forma unui mesaj, uneori prin SMS, dar şi prin alte servicii de mesagerie sau chiar prin e-mail. Dacă primiţi un SMS interesant (sau un mesaj prin orice alt serviciu de chat) cu un link, deschideţi-l pe un computer de birou, de preferinţă folosind TOR Browser sau un sistem de operare securizat nepersistent, cum ar fi Tails.

f) Navigaţi pe internet cu un browser non-nativ, cum ar fi Firefox Focus, în loc de Safari sau Chrome

Deşi toate browserele de pe iOS folosesc cam acelaşi motor de căutare, Webkit, unele exploatări nu funcţionează bine (a se vedea cazul APT LightRighter / TwoSailJunk) pe unele browsere alternative:

• Şiruri de caractere ale agentului de utilizator pe iOS din Chrome (stânga) /Firefox (dreapta):

g) Utilizaţi întotdeauna un VPN care vă maschează adresa IP şi traficul de date

Unele exploatări sunt transmise prin atacuri MitM prin intermediul operatorului GSM, atunci când navigaţi pe site-uri HTTP sau prin deturnarea DNS. Utilizând un VPN pentru a vă masca adresa IP şi traficul de date, este dificil pentru operatorul de telefonie mobilă să vă vizeze direct pe internet.

De asemenea, complică procesul de direcţionare dacă atacatorii deţin controlul asupra fluxului de date, de exemplu în roaming.

Fiţi conştienţi de faptul că nu toate VPN-urile sunt la fel şi nu toate VPN-urile sunt bune de utilizat. Fără a evidenţia un anumit VPN, iată câteva lucruri de care trebuie să ţineţi cont atunci când cumpăraţi un abonament VPN:Cumpărarea înseamnă exact asta - nu există VPN-uri "gratuite".

·Căutaţi servicii care acceptă plăţi în criptomonede;

·Căutaţi servicii care nu vă cer să furnizaţi informaţii de înregistrare ;

·Încercaţi să evitaţi aplicaţiile VPN - utilizaţi în schimb instrumente open source, cum ar fi WireGuard şi OpenVPN şi profiluri VPN ;

·Evitaţi serviciile VPN noi şi căutaţi servicii bine cunoscute, care există de ceva timp.

h) Instalaţi o aplicaţie de securitate care verifică şi avertizează dacă dispozitivul dumneavoastră este jailbroken

Frustraţi de faptul că sunt loviţi în spate de nenumărate ori, atacatorii vor implementa în cele din urmă un mecanism de persistenţă şi vor "sparge dispozitivul" (accesând ilegal tot conţinutul acestuia). În acest caz, şansele de a-i prinde pe băieţii răi sunt de zece ori mai mari şi putem profita de faptul că dispozitivul a fost "jailbroken".

i) Efectuaţi o copie de rezervă a iTunes o dată pe lună

Acest lucru permite ca infecţiile să fie diagnosticate şi descoperite ulterior, utilizând minunatul pachet MVT al Amnesty.

j) Declanşaţi deseori sysdiags şi salvaţi-le în copii de rezervă externe

Instrumentele criminalistice vă pot ajuta să stabiliţi ulterior dacă aţi fost vizat. Declanşarea unui sysdiag (o aplicaţie care permite o diagnosticare completă a sistemului şi a conţinutului) depinde de modelul de telefon.

De exemplu, pe unele iPhone-uri, trebuie doar să apăsaţi simultan tastele VOL Up + Down + Power. Este posibil să trebuiască să vă jucaţi cu aceste taste de mai multe ori până când telefonul emite un semnal sonor.

Odată ce sysdiag-ul este creat, acesta va apărea în diagnosticare în secţiunea "date analitice":

• - 2. Pe Android

a) Reporniţi zilnic

Persistenţa pe cele mai recente versiuni de Android este dificilă, multe APT-uri şi furnizori de exploit evită persistenţa!

b) Păstraţi telefonul la zi; instalaţi cele mai recente patch-uri

c) Nu faceţi niciodată clic pe linkurile primite în mesajele SMS

d) Navigaţi pe internet cu un alt browser, cum ar fi Firefox Focus, în loc de Chrome

e) Folosiţi întotdeauna un VPN care vă maschează adresa IT şi traficul de date

Unele exploatări sunt răspândite prin atacuri MitM asupra operatorilor GSM, în timpul navigării pe site-uri HTTP sau prin deturnarea DNS.

f) Instalaţi o suită de securitate care scanează pentru malware şi verifică şi avertizează dacă dispozitivul este jailbroken

La un nivel mai sofisticat, verificaţi-vă întotdeauna traficul de reţea folosind IOC-uri în direct. O configuraţie bună ar putea include un VPN Wireguard permanent conectat la un server pe care îl controlaţi, care utilizează pihole pentru a filtra lucrurile rele şi înregistrează tot traficul pentru o inspecţie ulterioară.

• Un joc cu scor zero?

Ryan Naraine, un cunoscut comentator de securitate, a declarat: "iMessage şi FaceTime - acestea sunt motivele pentru care oamenii folosesc iPhone-uri!" Şi are dreptate: iMessage şi FaceTime sunt două dintre cele mai bune adăugiri pe care Apple le-a făcut la ecosistemul său.

Din fericire, Apple a îmbunătăţit semnificativ sandbox-ul de securitate care protejează iMessage cu BlastDoor în iOS 14. Cu toate acestea, exploit-ul FORCEDENTRY folosit de NSO pentru a livra Pegasus a ocolit BlastDoor şi, bineînţeles, niciun dispozitiv de securitate nu este 100% sigur de a fi piratat.

• Deci, vă întrebaţi care este cea mai bună variantă a celor două lumi?

Unele persoane, printre care mă număr şi eu, au mai multe telefoane - unul cu iMessage dezactivat şi un iPhone "honeypot" cu iMessage activat. Ambele sunt, desigur, asociate cu acelaşi ID Apple şi acelaşi număr de telefon. Dacă cineva decide să mă vizeze în acest fel, există şanse să ajungă în telefonul honeypot.

• Nu tăceţi dacă sunteţi supravegheaţi...

Desigur, se pot urma aceste recomandări la literă şi totuşi să fie infectat. Din păcate, aceasta este realitatea în care trăim astăzi. Atunci când cineva ne spune că a fost vizat de spyware mobil, îi spunem să se gândească la aceste întrebări:

·Cine v-a vizat şi de ce?

·Încercaţi să înţelegeţi ce v-a adus în atenţia celor mari. Puteţi evita acest lucru în viitor, comportându-vă mai discret?

·Puteţi vorbi despre asta?

Acest lucru a dus în cele din urmă la prăbuşirea multor companii de supraveghere, prin publicitatea negativă pe care astfel de cazuri au creat-o pentru acestea, ca atunci când mulţi reporteri şi jurnalişti raportează abuzurile şi expun minciunile şi abaterile generate de un jucător din acest domeniu.

Dacă aţi fost vizat, încercaţi să găsiţi un jurnalist şi să vă spuneţi povestea.

• Schimbaţi dispozitivul

Dacă eraţi pe iOS, încercaţi să treceţi la Android pentru o perioadă de timp. Dacă eraţi pe Android, treceţi la iOS. Acest lucru îi poate deruta pe atacatori pentru o perioadă de timp; de exemplu, se ştie că unii actori de ameninţări au cumpărat sisteme de operare care funcţionează numai pe o anumită marcă de telefon şi sistem de operare.

Cumpăraţi un dispozitiv secundar, de preferinţă sub GrapheneOS, pentru comunicaţii securizate. Utilizaţi-l cu o cartelă preplătită sau conectaţi-vă doar prin Wifi şi TOR în modul avion.

Evitaţi mesajele în care trebuie să furnizaţi numărul de telefon contactelor dumneavoastră. Odată ce un atacator are numărul dumneavoastră de telefon, vă poate ţinti cu uşurinţă prin intermediul mai multor mesageri diferiţi - iMessage, WhatsApp, Signal, Telegram, deoarece toate sunt legate de numărul dvs. de telefon.

O nouă alegere interesantă este Session, care vă direcţionează automat mesajele printr-o reţea de tip Onion şi nu depinde de numerele de telefon.

Încercaţi să intraţi în contact cu un cercetător în domeniul securităţii din zona dumneavoastră şi discutaţi în mod constant despre cele mai bune practici. Împărtăşiţi-le datele, mesajele suspecte sau intrările în sistem imediat ce vi se pare că ceva este ciudat.

Siguranţa nu este niciodată o soluţie unică şi instantanee care să ofere o garanţie de 100%; gândiţi-vă la ea ca la un râu, unde trebuie să vă adaptaţi navigaţia la viteză, curenţi şi obstacole.

La final, aş vrea să vă las cu un gând. Dacă sunteţi ţinta unor actori în slujba unor state naţionale, înseamnă că sunteţi important.

Nu uitaţi: este bine să fii important, dar este mult mai important să fii drăguţ.

Singuri suntem slabi, împreună suntem puternici.

Poate că lumea este distrusă, dar cred că trăim într-un moment în care încă putem face diferenţa.

Potrivit unui raport al Comitetului pentru Protecţia Jurnaliştilor (CPJ), 293 de jurnalişti au fost încarceraţi în 2021, cel mai mare număr înregistrat vreodată de CPJ de când a început să facă înregistrări, în 1992.

Depinde de noi să modelăm cum va arăta lumea peste zece ani pentru noi, pentru copiii noştri şi pentru copiii copiilor noştri.