Securitatea online… Prezența online a devenit pentru tinerele generații un loc comun… Mulți, prea mulți dintre tineri nu sunt interesați decât de a se manifesta, cât mai plenar, online, exhibându-și aspectele propriei vieți…
Între timp, în spatele cortinei, au loc bătălii ale căror consecințe le vor simți ulterior…
În acest context, ce putem afla, printre altele? Păi, ar trebui, spre exemplu, să cunoaștem numele „Pegasus”. Pegasus și mai ales, numele producătorului acestui sistem de aplicații, NSO Group Technologies, despre care, Claudio Guarnieri spune că e un grup „infam”. Aplicația lor a fost folosită împotriva activiștilor pentru drepturile omului, a jurnaliștilor și dizidenților din Emiratele Arabe Unite, Mexic, Arabia Saudită și mai recent din Maroc. Fenomenul absolut îngrijorător al hacking-ului rău-voitor înflorește pe o piață încurajată inclusiv de guverne ce-și doresc „controlul”.
Titluri pe pagină
Victimele sunt ademenite prin mesaje, uneori cu tentă politică. Spre exemplu, activistul Maati Monjib and Abdessadak El Bouchattaoui era tentat cu un mesaj de genul:
Ierusalimul va rămâne capitala Palestinei! Salvați orașul sfânt prin semnarea acestei petiții: [link spre exploit]
Cel mai frecvent, mesajele sunt proiectate și altfel. De exemplu, următorul text pretinde a fi o ofertă specială al unui mare lanț de săli de sport din Maroc:
Continuă în mod excepțional de azi Black Friday la CityClub! Ultima șansă de a obține 15 luni de fitness la 1633!
Mâine va fi prea târziu
STOPSMS: [link spre exploit]
Un lucru interesant de sesizat ar fi că, prin trimiterea repetată a unor astfel de mesaje și iritarea țintei, link-ul spre exploit e oferit la un moment dat în spatele opțiunii de a nu mai primi astfel de mesaje. Deoarece trimiterea de SMS-uri poate lăsa prea multe urme, oamenii NSO au căutat în 2019 inclusiv slăbiciuni ale WhatsApp sai iMessage pentru a-și planta codul malware. Dar pentru că inventivitatea celor ce ne iau la țintă nu are limite, e posibil ca de la anul, instrumentele de atac să arate cu totul altfel…
Atacuri injectate în rețea
Analizarea telefonului lui Monjib, a dus la identificarea câtorva vizite suspicioase în istoricul de navigare al Safari, ce provin din conexiuni inițiate cu text în clar, precum https://yahoo.fr, care, în mai puțin de 3 ms au fost redirecționate la URL-uri precum
hxxps://bun54l2b67.get1tn0w.free247downloads[.]com:30495/szev4hz
Notă: URL-ul este editat cu „hxxps://” pentru a evita click-uri accidentale.
Într-una din situații, la câteva secunde după această vizită, a fost generat un proces suspect și toate folderele care conțin jurnalele de erori (crash logs) ale aplicațiilor păreau a fi fost șterse. Aceste jurnale (ce pot fi vizualizate direct de pe telefon, navigând la Settings > Privacy > Analytics > Analytics Data) conțin detalii despre erorile aplicațiilor, precum și în cazul exploit-urilor ar fi probe pentru identificarea vulnerabilității abuzate. Un atacator ar avea cu siguranță interesul de a se asigura ca astfel de înregistrări să nu fie disponibile cercetătorilor de securitate sau producătorului Apple, pentru eventuale corecții viitoare (patch-uri). Aceste jurnale sunt în mod normal stocate pe termen nelimitat, cu excepția cazului în care iPhone este sincronizat cu iTunes; pare astfel că ștergerea lor din telefonul lui Monjib, imediat după ceea ce pare a fi o redirecționare web rău intenționată, este dovada a ceea ce ar putea fi un atac de injectare de rețea (network injection attack – a se vedea, spre exemplu Application Protection Report 2019, Episode 3: Web Injection Attacks Get Meaner).
De fapt, ce s-a întâmplat?
Dacă e corectă ipoteza atacului, Monjib încerca să viziteze yahoo.fr pentru a-și accesa cutia poștală de pe telefon, dar conexiunea sa la Internet fiind monitorizată era automat deturnat ori de câte ori vizita o pagină web necriptată (în acest caz http://yahoo.fr, dar putea fi orice adresă a unui site fără TLS) în scopul de a injecta o redirecționare și a forța Safari-ul lui Monjib să viziteze un server de exploatare. În caz de succes, serverul de exploatare ar avea efect de levier pe o vulnerabilitate din Safari și în cele din urmă ar instala un spyware.
Procesul de exploatare ar fi similar trimiterii de link-uri rău intenționate prin SMS, dar prin aceste rețele automate de redirecționare atacatorii nu trebuie să se bazeze pe succesul ispitirii victimei pentru a da click pe link-uri, totul petrecându-se programatic.
Prin urmare, acest vector de atac este mult mai fiabil, fără a lăsa, practic, urme vizibile. Din acest motiv, injecțiile de rețea sunt, de asemenea, foarte greu de identificat și, documente și, mai ales, de reprodus.
Această formă de atac nu este nouă. FinFisher și HackingTeam, de exemplu, oferă, de asemenea, capabilități similare pentru clienții lor (cu FinFly ISP și respectiv Infection Proxy). O broșură scurgeri de la NSO Group detaliază, de asemenea, această capacitate în ceea ce ei numesc „Tactical Network Element“.
În loc de concluzie, consecințe
Aceste cazuri de abuz, nu sunt incidente izolate, devenind deja un model foarte bine documentat. Deși platforme mai puțin sofisticate de atac, cum ar fi cele de tip phishing și malware mai mai simplu, reprezintă o amenințare mai mare pentru societatea civilă, opțiunile mai sofisticate, precum Pegasus, reprezintă opțiuni ale atacatorilor mai inventivi și mai determinați.
Îngrijorările sunt legate de faptul că astfel de atacuri vor deveni tot mai greu de detectat, cu șanse mai mici de apărare. În acest joc de a șoarecele și pisica, vânzătorii de tehnologie de consum trebuie să investească în securitatea produsele lor, în lumina realității că acestea sunt utilizate în mod egal de către utilizatorii obișnuiți, dar și de persoane fizice expuse riscului. În cele din urmă, deoarece aceste atacuri devin mai greu de dezvoltat, creșterea costurilor lor este esențială pentru a reduce cazurile de abuz. Între timp, chiar oficiali ONU cer un moratoriu privind vânzarea tehnologiei de supraveghere, în scopul evitării violării drepturile omului.
Dar, odată deschisă această cutie a Pandorei, odată creată piața aplicațiilor intruzive, odată ce însăși guvernele apelează la aceste oferte, e greu de presupus că lucrurile s-ar îndrepta. Tendințele de control global al populației și de anihilare a oricărei voci care clamează protejarea vieții private, denunțând atentatele la drepturile individuale se vor manifesta tot mai intens.
Ce ne rămâne de făcut? O mai bună informare individuală și sprijinirea comunității dezvoltatorilor de aplicații open source (așa cum însuși Snowden ne vorbea despre TOR) pot fi două dintre opțiunile posibile…
Bibliografie:
Moroccan Human Rights Defenders Targeted with NSO Group’s Spyware