- O iPhone de Galina Timchenko, cofundadora e publisher da Meduza, foi infectado pelo Pegasus em 10 de fevereiro de 2023, tornando-se o primeiro caso confirmado contra uma jornalista russa
- Segundo análises da Access Now e do Citizen Lab, o atacante podia acessar microfone, câmera, memória, fotos, agenda, contatos e até conversas em mensageiros criptografados; a infecção parece estar ligada à vulnerabilidade PWNYOURHOME via HomeKit·iMessage
- No dia seguinte à infecção, Timchenko participou em Berlim de um seminário privado com representantes da mídia independente russa no exílio, e o celular poderia ter sido usado como um dispositivo de escuta
- O NSO Group afirma que vende o Pegasus apenas para clientes governamentais com fins de combate ao crime e ao terrorismo, mas Access Now e Citizen Lab apontam suspeitas de uso na Europa, em países como Letônia, Estônia e Alemanha, além da possibilidade de vigilância além das fronteiras
- O autor do ataque e seu objetivo não foram identificados, e o caso de Timchenko expõe a tendência de tratar jornalistas como ameaça à segurança nacional na Europa e o vazio regulatório sobre spyware comercial
Do alerta de ameaça da Apple à confirmação da infecção
- Em 22 de junho de 2023, Galina Timchenko recebeu da Apple um alerta de ameaça relacionado a state-sponsored attackers e o encaminhou à equipe técnica da Meduza
- As threat notifications da Apple são alertas enviados quando o usuário é alvo individual por causa de “quem é ou do que faz”
- A Apple informa que ataques patrocinados por Estados são extremamente sofisticados, custam milhões de dólares para desenvolver e muitas vezes têm vida útil curta
- O alerta recebido por Timchenko não indicava qual Estado estaria envolvido
- O responsável técnico da Meduza pediu apoio externo
- A Access Now é uma organização sem fins lucrativos que apoia direitos digitais e práticas de segurança de usuários no mundo todo
- O Citizen Lab é um laboratório de pesquisa da Universidade de Toronto que investiga espionagem digital contra a sociedade civil
- Access Now e Citizen Lab coletaram dados do dispositivo de Timchenko e fizeram uma análise rápida, confirmando que o iPhone havia sido infectado pelo Pegasus em 10 de fevereiro de 2023
O nível de acesso obtido pelo Pegasus
- A infecção pelo Pegasus dava ao atacante acesso total ao iPhone de Timchenko
- Acesso ao microfone, à câmera e à memória
- Visualização de endereço residencial, agenda, fotos e conversas em mensageiros criptografados
- Possibilidade de ver a tela diretamente e ler mensagens no momento em que eram digitadas
- Download de e-mails, SMS, imagens e arquivos
- É difícil para o usuário impedir ou perceber a infecção
- O Pegasus consegue invadir o aparelho se houver apenas um aplicativo vulnerável, inclusive apps instalados por padrão pela Apple
- Também não é fácil para o usuário notar que o dispositivo foi comprometido
- Timchenko havia percebido que o iPhone ficava mais quente que o normal, mas achou que fosse por causa de um carregador novo
- O Citizen Lab considera que o atacante pode ter invadido o aparelho via HomeKit e iMessage
- Os pesquisadores encontraram rastros digitais característicos do Pegasus
- A vulnerabilidade usada parece ser a PWNYOURHOME, que mira o recurso HomeKit embutido no iPhone e explora o iMessage para instalar o spyware
- John Scott-Railton afirmou que esse ataque também funciona em aparelhos com o HomeKit desativado
A reunião privada em Berlim e o momento da infecção
- A data da infecção, 10 de fevereiro de 2023, foi um dia antes de Timchenko participar de uma reunião privada em Berlim
- Em 11 de fevereiro, Timchenko e o editor-chefe da Meduza, Ivan Kolpakov, participaram em Berlim de um seminário fechado com representantes da mídia independente russa no exílio
- O seminário foi organizado pelo comitê do prêmio jornalístico Redkollegia
- Gestores de veículos e advogados discutiram questões legais para manter atividades ligadas à Rússia em meio à censura total e à repressão contra jornalistas e ativistas
- Duas semanas antes, o procurador-geral da Rússia havia classificado a Meduza como “undesirable organization”, tornando sua cobertura ilegal
- O Pegasus já estava ativo quando Timchenko participou da reunião
- O atacante podia ligar remotamente o microfone do telefone e gravar conversas ao redor
- A câmera também podia ser ativada da mesma forma
- Natalia Krapiva, da Access Now, considera que o telefone de Timchenko pode ter sido usado como um dispositivo de escuta para espionar os planos de jornalistas russos
Primeiro caso confirmado contra jornalista russa
- O caso Timchenko é o primeiro caso confirmado de uso do Pegasus contra uma jornalista russa
- A Access Now analisou os celulares de cerca de 20 jornalistas e ativistas russos e encontrou vários malwares, mas antes não havia confirmado Pegasus
- John Scott-Railton, do Citizen Lab, explica que esse tipo de spyware consegue ocultar arquivos de log e esconder seus próprios rastros, dificultando a identificação da infecção
- Citizen Lab e Lookout Security revelaram pela primeira vez evidências da existência do Pegasus em 2016
- Na época, um relatório apontou que a “remote monitoring solution” do NSO Group havia sido usada para vigiar o ativista de direitos humanos Ahmed Mansoor, dos Emirados Árabes Unidos
- O Citizen Lab rastreia os servidores necessários à operação do Pegasus e os servidores para onde chegam as informações coletadas dos aparelhos infectados
- A Access Now explica que o Pegasus se parece mais com um serviço do que com um simples produto, e que o NSO Group fornece treinamento operacional aos países clientes
NSO Group e a estrutura de custos e vendas do Pegasus
- O NSO Group afirma que o Pegasus foi projetado exclusivamente para vigiar “terroristas, criminosos e abusadores sexuais de crianças”
- A empresa diz vender o Pegasus apenas para clientes estatais
- Entre os cofundadores há ex-integrantes da inteligência militar israelense e do Mossad
- Embora o NSO Group diga seguir políticas rígidas de direitos humanos, vários governos usaram o Pegasus para atingir críticos e adversários políticos
- John Scott-Railton, do Citizen Lab, diz que o custo do acesso ao Pegasus é de “dezenas de milhões de dólares, ou mais”
- O governo do México gastou pelo menos US$ 61 milhões em tecnologia Pegasus
- O México a usou para vigiar tanto criminosos quanto integrantes da sociedade civil
- Segundo Natalia Krapiva, da Access Now, os contratos do NSO Group funcionam permitindo um certo número de infecções simultâneas
- Por exemplo, um pacote para 20 infecções significa poder monitorar 20 pessoas ao mesmo tempo
- Em novembro de 2021, o governo Biden colocou o NSO Group em uma blacklist federal que impede o acesso a tecnologia dos EUA
- A medida veio meses depois de o consórcio Pegasus Project expor o uso abusivo em larga escala do spyware
Possibilidades envolvendo Rússia, Cazaquistão e Azerbaijão
- Segundo informações conhecidas sobre o NSO Group, o Pegasus não seria usado contra números de telefone dos EUA ou da Rússia
- Em 2020, os criadores do Pegasus afirmaram que celulares infectados não poderiam estar fisicamente nos EUA e que o software se autodestruiria ao entrar no território americano
- Quando a Estônia comprou acesso ao Pegasus em 2019, o NSO Group teria proibido seu uso contra alvos russos
- O NSO Group afirma há tempos que Rússia e China são países que “jamais poderiam ser clientes”
- A empresa diz analisar histórico de direitos humanos, corrupção, segurança, situação financeira e abusos dos potenciais clientes
- Em janeiro de 2023, o CEO Yaron Shohat disse que o foco estava no negócio principal de fornecer a governos aliados dos EUA e de Israel
- Andrey Soldatov considera que os serviços de inteligência russos, no mercado global de tecnologia de espionagem, são vendedores e não compradores, além de extremamente paranoicos em relação a spyware estrangeiro
- O fato de os dados roubados com Pegasus serem enviados a servidores do ecossistema do NSO Group também pode ser problemático para órgãos russos
- O FSB da Rússia não respondeu às perguntas da Meduza sobre o Pegasus
- A Access Now considerou provisoriamente a hipótese de que Cazaquistão ou Azerbaijão possam ter realizado o ataque a pedido de Moscou
- Os dois países são suspeitos de serem clientes do Pegasus
- O Uzbequistão não era considerado cliente do Pegasus naquele período
- Ainda assim, pelo que os pesquisadores sabem, Cazaquistão e Azerbaijão nunca realizaram ataques com Pegasus na Europa, e Timchenko estava na Alemanha quando foi infectada
- O Citizen Lab diz não ter visto evidências de uso transfronteiriço do Pegasus pelo Cazaquistão
- O Azerbaijão usa Pegasus no exterior, mas o único país documentado pelos pesquisadores é a Armênia
Suspeitas sobre Letônia, Estônia e Alemanha
- O iPhone infectado de Timchenko tinha um SIM da Letônia
- O Citizen Lab registrou pela primeira vez atividade ligada ao Pegasus na Letônia em 2018, e especialistas acreditam que Riga ainda usa produtos do NSO Group
- A Access Now não descarta a possibilidade de que um serviço de inteligência letão tenha realizado o ataque
- Dois meses antes da infecção, a Letônia havia cassado a licença de transmissão local da TV Rain, outro veículo russo no exílio, por considerá-la uma “ameaça à segurança nacional e à ordem pública”
- No entanto, o Citizen Lab afirma não ter observado Riga usar Pegasus contra alvos fora da Letônia, e Timchenko foi infectada quando estava em Berlim
- O Serviço de Segurança do Estado da Letônia respondeu que não tinha informações sobre um possível ataque ao smartphone de Timchenko
- Não respondeu a outras perguntas, como uso de Pegasus e vigilância de alvos no exterior, citando sigilo operacional
- Foi confirmado que a Estônia comprou acesso ao Pegasus em 2019, algo também sustentado pelo Citizen Lab
- Scott-Railton afirmou ter rastreado a Estônia infectando alvos além-fronteira em vários países da UE, incluindo a Alemanha
- O Departamento Federal de Investigação Criminal da Alemanha obteve acesso ao Pegasus em 2019 e só admitiu a compra em 2021
- A Alemanha afirma usar uma versão com algumas funções desativadas para evitar abusos, mas não explica como isso funciona na prática
- Krapiva diz que um relatório da Autoridade Europeia para a Proteção de Dados conclui que não apenas o Pegasus original, mas qualquer forma de Pegasus, é fundamentalmente difícil de conciliar com a legislação da UE
O problema do spyware comercial na Europa
- Scott-Railton considera que a infecção de Timchenko em Berlim mostra que o problema europeu com o Pegasus está longe de ser resolvido
- A Alemanha não assinou a declaração conjunta voltada a enfrentar a proliferação e o abuso de spyware comercial
- O texto foi assinado por 11 países, incluindo Denmark, France e Sweden
- A Access Now destaca que quatro Estados-membros da UE que se tornaram novos centros da migração russa antiguerra — Latvia, Estonia, Germany e Netherlands — são todos suspeitos de usar Pegasus
- O PEGA Committee da UE afirmou que há pelo menos 14 Estados-membros e 22 operadores usuários de Pegasus dentro da União Europeia
- Apenas os contratos do NSO Group com Hungary e Poland foram encerrados até agora
- A Access Now considera o ataque a Timchenko como pelo menos o quarto caso semelhante ocorrido na Europa no último ano
- A Meduza conhece detalhes de outros casos, mas as vítimas não querem torná-los públicos
- Krapiva avalia que a tendência de tratar jornalistas como ameaça já começa a aparecer também no direito da UE
- Ela alerta que o enfraquecimento de partes do European Media Freedom Act, liderado por países como France e Sweden, pode acabar justificando vigilância contra jornalistas sob a alegação de segurança nacional
A resposta do NSO Group e a questão da responsabilidade
- O NSO Group não respondeu se sabia do ataque a Timchenko nem qual cliente poderia ter executado a invasão
- Um porta-voz da empresa afirmou que o Pegasus é vendido apenas a aliados dos EUA e de Israel, especialmente países da Europa Ocidental, e com finalidade de combate ao crime e ao terrorismo
- O NSO Group ressaltou que investiga todas as alegações confiáveis de abuso, mas não informou se está disposto a abrir investigação interna sobre o caso Timchenko
- O The New York Times noticiou em janeiro de 2022 que o sistema Pegasus registra todos os ataques quando há uma reclamação, e que, com autorização do cliente, o NSO pode fazer análise forense posterior
- Em julho de 2022, o chefe jurídico e de compliance do NSO Group disse a uma comissão do Parlamento Europeu que investigações internas levaram ao encerramento de oito contratos
- Krapiva, da Access Now, diz ter concluído, após centenas de vítimas, que o processo interno de revisão do NSO ou não existe ou serve apenas de fachada
A situação atual de Timchenko e da Meduza
- Timchenko comprou um telefone novo após a invasão e ainda carrega consigo o iPhone que foi infectado
- O Citizen Lab confirmou que o Pegasus já não está mais instalado no aparelho
- Timchenko disse que decidiu guardar o dispositivo como uma lembrança
- Desde junho de 2023, especialistas analisaram os telefones de dezenas de funcionários da Meduza
- Ainda não se sabe qual informação específica o atacante buscava
- Alexey, responsável técnico da Meduza, disse que é preciso assumir o pior até entender a motivação
- Ele considera que não é possível descartar que a Rússia tenha encomendado a infecção nem suas possíveis consequências graves
- Timchenko afirmou que seguirá a orientação de advogados daqui para frente e que não ficará em silêncio
O que fazer em caso de suspeita de infecção
- Se você acredita estar sendo monitorado por spyware, é recomendável fazer backup do dispositivo e entrar em contato com a Access Now para preservar possíveis evidências do ataque
- Instruções para backup no iPhone: Suporte Apple
- Instruções para backup no Android: Suporte Google
- A Access Now considera os seguintes pontos como base razoável para suspeitar de infecção por spyware
- Ter histórico de perseguição por órgãos estatais
- Você ou alguém próximo já ter sido alvo de ataques digitais
- Ter recebido alertas de grandes empresas de tecnologia, como Apple, Google ou Meta, sobre possível ataque com malware
- Ter recebido mensagens suspeitas por SMS, mensageiros ou e-mail
- Ter visto “unusual login attempts” em suas contas
1 comentários
Comentários do Hacker News
Será que a Apple sabe, ou ao menos tem noção, do quão grave esse problema pode ser? Não importa quanto dinheiro a NSO gaste comprando zero-days, uma empresa como a Apple não poderia aumentar o suficiente as recompensas por bugs para atraí-los para o lado legítimo? Só pela matéria, também não fica claro se a instalação exigia alguma ação do usuário. Se não exigia, o que alguém minimamente suspeito de estar sob vigilância patrocinada por um Estado deveria fazer? Parece mais seguro simplesmente não usar celular, ou ficar trocando de aparelho comprado usado
Pegasus não é um único agente hacker, como muitos artigos descrevem, mas um conjunto de serviços que baixam dados quando se tem acesso root ao telefone, além de um estoque de zero-days de profundidade desconhecida. Talvez haja períodos de horas, dias ou semanas em que o Pegasus não funcione até que troquem o zero-day. Pelo material vazado, sabe-se que eles combinam exploits sem clique e com clique, e que dão suporte a vários sistemas operacionais móveis
A capacidade de hacking deles provavelmente é exagerada. Para oferecer um suporte ao cliente sem atritos, eles podem simplesmente comprar todos os zero-days e não encontrar nenhum por conta própria. Um zero-day sem clique para iPhone vale cerca de US$ 2 milhões[1], e uma empresa com contratos como a NSO pode comprar muitos desses. A imprensa retratá-los como super hackers é puro exagero; na prática, eles se parecem mais com um grupo de empresários corruptos que descobriram como extrair dinheiro de Estados
[1] https://arstechnica.com/information-technology/2019/01/zerod...
Um único desenvolvedor de exploits consegue criar vários zero-days armamentizados por ano; como não há chance de eles terem só uma pessoa fazendo esse tipo de trabalho, é bem provável que tenham acumulado dezenas de vulnerabilidades. Algumas vão desaparecer por se sobreporem a vulnerabilidades públicas, mas o correto é presumir que, mesmo que uma seja bloqueada, eles têm outra aguardando
A pergunta sobre se a Apple poderia aumentar as recompensas e atraí-los para o lado legítimo é boa, mas acho que provavelmente é difícil na faixa de preços da NSO. A Apple poderia oferecer valores competitivos, mas trabalhar com bug bounty é muito mais arriscado. Se você der azar, se a vulnerabilidade coincidir com uma já reportada, ou se o fornecedor for exigente, pode trabalhar por muito tempo e acabar sem receber. A Apple também tem fama ruim nesse aspecto
Se houver suspeita de vigilância patrocinada por Estado, para começar talvez seja melhor usar vários celulares. Usar protocolos autenticados em vez de SMS/MMS, e a própria ideia de qualquer pessoa poder enviar dados indesejados para o seu telefone não faz sentido. No meu caso, acho que deixaria até o serviço celular totalmente desligado, exceto quando fosse fazer ligações para contatos conhecidos
É surpreendente que jornalistas que fazem reportagens de alto risco não o deixem ativado por padrão. Muitos desses exploits sem interação passam por vulnerabilidades em componentes como decodificadores de imagem, executadas no momento em que uma mensagem é recebida, mas isso é bloqueado quando o Lockdown Mode está ativado. O Lockdown Mode também desativa outros recursos. Fico curioso se alguém já viu evidências de um telefone com Lockdown Mode ativado ter sido comprometido. Não estou dizendo que seja impossível; é só curiosidade mesmo
Mesmo quem se tornou cínico em relação ao jornalismo com o passar do tempo acaba ficando humilde ao ver a morte e o medo que jornalistas suportam para enfrentar regimes como os da Arábia Saudita ou do Marrocos. O Pegasus também estava nos telefones de Jamal Khashoggi e da pessoa lembrada como sua noiva
Mesmo que a NSO queime toda a produção própria, os corretores de vulnerabilidades que conheço mantêm em estoque dezenas de itens de alguns milhões de dólares. Isso nem é segredo. Esses corretores operam empresas legalmente constituídas nos EUA e vendem para governos, empresas e fornecedores que fabricam produtos inseguros, como Microsoft e Apple. A Apple sabe que está lançando produtos com dezenas a centenas de falhas de segurança críticas conhecidas
Há dois motivos pelos quais a Apple não compra todos os zero-days. Primeiro, não dá para comprar segurança com dinheiro. Segundo, o benefício não supera o custo
Segurança séria não se resolve com dinheiro. Atualmente, a Apple paga US$ 1 milhão[1] por execução remota de código sem clique com persistência, e US$ 2 milhões se a mesma coisa for feita no Lockdown Mode. É mais ou menos o preço de um míssil de cruzeiro Tomahawk. Como encontrar essas falhas de segurança leva algo em torno de 1 a 3 engenheiro-anos, a recompensa é definida aproximadamente no nível do custo de mão de obra. Se pagassem US$ 10 milhões, algo como o preço de um tanque M1 Abrams, o retorno sobre investimento se tornaria 10 vezes maior e haveria uma enxurrada de novos relatos. Isso porque há muito mais falhas detectáveis no nível de US$ 10 milhões do que no nível de US$ 1 milhão
Mas, para dissuadir Estados, seria preciso chegar a pelo menos US$ 100 milhões, o preço de um F-16. Como já existem dezenas a centenas de falhas de segurança conhecidas mesmo na faixa de alguns milhões de dólares, no nível de US$ 100 milhões quase certamente haveria milhares a dezenas de milhares de vulnerabilidades. Portanto, tentar se proteger de atacantes patrocinados por Estados comprando tudo com dinheiro, mesmo que fosse possível, poderia custar trilhões a dezenas de trilhões de dólares. Praticamente ninguém teve sucesso além da faixa de alguns milhões de dólares com a estratégia de reforçar depois um sistema que não foi projetado para segurança desde o início, como iOS ou Windows
O que a Apple ganha comprando zero-days? Mesmo que milhares de falhas de segurança sejam reportadas, as pessoas continuam comprando iPhones. Basta a Apple criar um novo marketing como o Lockdown Mode e todo mundo fica tranquilo. Quando uma empresa que sempre fez produtos que não chegam nem a 1% do nível necessário contra invasores patrocinados por Estados lança o slogan de que “desta vez vai conseguir de verdade”, as pessoas aceitam. O fato de a própria Apple não acreditar na própria propaganda fica evidente ao definir a recompensa do Lockdown Mode em US$ 2 milhões, o dobro de US$ 1 milhão do iOS comum. Ainda assim, é um quinto do preço de um tanque. Será que um invasor patrocinado por um Estado se assusta com o preço de parte de um tanque? Abrir uma única loja do McDonald’s custa mais. Empresas como Apple, Microsoft, Amazon, Google, Cisco e Crowdstrike só precisam mentir e, estranhamente, as pessoas acreditam até na milésima vez, protegendo a receita
Sistemas comerciais de TI não são totalmente seguros nem contra invasores com financiamento mediano. Se houver uma operação que valha mais de US$ 1 milhão ou risco de ataque direcionado, é preciso considerar qualquer sistema, não importa quais nem quantos sejam usados, 100% vulnerável. Se isso for inaceitável, não se deve usar sistemas comerciais padrão de TI com conectividade. Infelizmente, essa é a única solução que funciona atualmente. Cabe a cada um decidir se aceita essa concessão
[1] https://security.apple.com/bounty/categories/
Em algum momento no futuro próximo, o “celular” do título será substituído por carro, e o resultado será mais trágico
Fico curioso para saber quanto valeria um zero-day da Tesla
As pessoas levam o celular como uma extensão de si mesmas, mas o carro é um meio de levá-las do ponto A ao ponto B
E a maioria dos carros modernos tem um Secure Gateway[1] quase não conectado à internet, que permite aos sistemas conectados apenas acesso limitado à rede do restante do veículo, como motor, trem de força e freios. Por isso, acho baixa a possibilidade de ataques remotos em larga escala
[1] https://blackberry.qnx.com/en/ultimate-guides/software-defin...
O significado na mitologia grega não é interessante? Pegasus nasceu do sangue da Medusa
À pergunta “por que Meduza? Não é uma criatura escorregadia e desagradável?”, a jornalista respondeu que jornalistas em geral são desagradáveis, escorregadios e quase ninguém gosta deles, e que essa é a essência do trabalho. Ela também disse que o fato de a Medusa transformar o alvo em pedra com um único olhar combina com jornalistas. Mas, sendo sincera, disse que o nome foi escolhido por acaso. Queriam dar o nome de um monstro da Grécia Antiga que teve a cabeça cortada mas voltou à vida; escolheram “Meduza” e depois se lembraram de que, na verdade, era a Hidra, mas já era tarde
1: https://meduza.io/cards/zaday-vopros-meduze, #75
Fico curioso sobre como a Apple decide quem notificar e quem não notificar quando detecta malware como o Pegasus
Foi bom terem avisado essa pessoa
Mas e se ela fosse muito menos famosa? Por exemplo, uma pessoa comum vivendo em um país democrático? A Apple sabe quem a colocou na mira? Se souber, haverá critérios do tipo “avisamos se for a China ou a Rússia”? Nesse caso, o que acontece se a China ou a Rússia fizerem a mesma coisa usando um intermediário pago em um país democrático?
Acabei com perguntas demais. E, se a Apple consegue detectar esse tipo de malware, por que um app local não envia uma notificação imediatamente? Algo como um antivírus para celular. Isso já deveria existir; se não, como eles souberam?
Talvez o método seja receber informações como contas conhecidas por enviar mensagens maliciosas e vasculhar os logs do servidor para ver a quem elas chegaram
Fico pensando que medidas práticas um jornalista ou ativista que acredita ser alvo desse tipo de gente poderia tomar
Há a abordagem de usar um dispositivo diferente para cada app, por exemplo separar WhatsApp, Telegram e Signal. Também dá para usar front-ends web e deixar o celular desligado, embora eu não saiba se isso funciona para todos os apps. Outra opção é descartar os dispositivos periodicamente, vendê-los usados e comprar aparelhos novos ou usados. O dispositivo deveria ser usado apenas para marcar encontros em um ambiente mais seguro, sem falar ao telefone nem enviar mensagens, e sempre partindo do princípio de que ele foi comprometido
E as sanções deveriam ser contra a NSO, não contra ONGs. Eles são lixo
Também faltaria espaço para carregar outros equipamentos. Ao atravessar fronteiras, ter que explicar tantos celulares ao controle de fronteira ou à alfândega provavelmente renderia situações bem interessantes
Ele foi projetado exatamente para impedir ataques assim, e foi confirmado que este ataque também teria falhado se o Lockdown Mode estivesse ativado
Para ter ainda mais certeza, basta desativar o iMessage e não usar o iCloud de forma alguma
Algo semelhante ao GrapheneOS, reduzindo continuamente a superfície de ataque, mas eliminando completamente também as concessões relacionadas à instalação de apps e aos serviços do Google
Basicamente, um celular com mensagens criptografadas e acesso à câmera e ao microfone apenas sob condições muito controladas; é só isso
Se as restrições forem grandes, a popularidade também será limitada, então quase não valerá a pena o custo de mirar nele, e para a pequena minoria que realmente precisa de proteção ele poderá oferecer uma defesa mais forte, suficiente para compensar esses sacrifícios
Se ele extrai todas as mensagens e faz capturas de tela com frequência, deve ser bem difícil esconder o tráfego de saída. Pode até criptografar, mas é difícil esconder o volume de dados
Fica mais fácil ainda se, para começo de conversa, o celular estiver bloqueado em uma configuração mínima, porque haverá poucos apps gerando tráfego para fora
Acho que a fala de Ivan Kolpakov, “fiquei realmente chocado com o fato de estarmos discutindo seriamente que um país europeu poderia ter feito isso”, não é tanto ingenuidade; o ponto principal é que, antes desse caso, ele não tinha investigado o que os países europeus de fato fazem nesse contexto
Se tivesse investigado antes, não teria ficado chocado, e sim preocupado
Outra possibilidade é que esse “choque” seja um choque ao estilo do filme Casablanca
Rick: Com que fundamento você pode fechar meu estabelecimento?
Capitão Renault: Estou chocado, chocado ao descobrir que há jogo aqui!
[O crupiê entrega a Renault um maço de dinheiro]
Crupiê: Seus ganhos, senhor
Capitão Renault: Ah, muito obrigado mesmo
Fico me perguntando se há algo que impeça o Pegasus de se espalhar sozinho, ou se ele necessariamente precisa ser instalado por meio de um ataque direcionado
Também existe alguma forma de escanear para verificar se houve infecção?
Algumas das vulnerabilidades supostamente relacionadas poderiam até ser transformáveis em worm. Na prática, porém, os operadores de malware como o Pegasus têm motivos práticos para evitar uma disseminação descontrolada. Vulnerabilidades ainda não descobertas e não corrigidas precisam continuar escondidas; uma disseminação ilimitada aumentaria muito a chance de descoberta e análise, matando a “galinha dos ovos de ouro”
Portanto, pelo menos por enquanto, eu esperaria que todas as instalações do Pegasus fossem resultado de ataques direcionados. Por outro lado, se a ferramenta vazar e ficar fácil para vários agentes usá-la, os incentivos mudam, e algum deles poderia criar um worm que infectasse dispositivos do mundo todo que ainda não tivessem sido corrigidos
Escrever esse tipo de código seria relativamente simples. Bastaria enviar o exploit por iMessage para todos os contatos do alvo e repetir
Mas isso seria contraproducente. O principal argumento de venda do Pegasus é a vigilância direcionada, e esses exploits são muito caros. Uma disseminação descontrolada seria detectada mais rapidamente e queimaria recursos valiosos
Se esses exploits fossem baratos, talvez se justificasse uma variante que atacasse automaticamente toda a agenda de contatos do alvo para mapear redes sociais, mas aí surgiria o problema de analisar uma quantidade enorme de dados, em sua maior parte inúteis
Tecnicamente, o Pegasus poderia se reenviar e infectar outros dispositivos, mas isso não combina com o modelo de negócios, então não acho provável que a NSO faça isso regularmente
A Amnesty International também tem, ou teve em algum momento, uma ferramenta capaz de detectá-lo: https://github.com/mvt-project/mvt
Dito isso, isto é uma corrida, então informações antigas podem não ser mais válidas. Ainda assim, como a infecção usa zero-days muito caros e eles seriam rapidamente corrigidos se descobertos, acho improvável que passem a incluir um recurso de autopropagação
Porque é a forma mais fácil e rápida de mirar alguém como alvo. Fora isso, o processo de isolar o alvo ficaria mais complexo. Portanto, além do Lockdown Mode, não manter nenhum número ativo no celular e seguir precauções gerais de segurança poderia, em teoria, ser suficiente para se proteger. No fim das contas, a resposta é não usar smartphone
Fico me perguntando se aquele celular estava em Lockdown Mode
Alguém sabe quão eficaz é o Lockdown Mode para bloquear a maioria desses zero-days?
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
“Acreditamos, e a equipe de Security Engineering and Architecture da Apple também confirmou, que o Lockdown Mode bloqueia este ataque específico”
https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
“Por um curto período, alvos que haviam ativado o recurso Lockdown Mode do iOS 16 receberam alertas em tempo real quando tentativas do exploit PWNYOURHOME ocorreram em seus dispositivos. Embora seja possível que o NSO Group tenha posteriormente criado uma forma de contornar esses alertas em tempo real, não vimos nenhum caso em que o PWNYOURHOME tenha sido usado com sucesso em um dispositivo com o Lockdown Mode ativado”
Será que ataques como esse não poderiam ser detectados com um inspetor profundo de pacotes pessoal no nível do roteador, ou com uma ferramenta simples de captura de pacotes?
Outra solução simples poderia ser um roteador portátil DIY com inspeção profunda de pacotes ou analisador de rede embutido
https://citizenlab.ca/wp-content/uploads/2020/11/Annotated-B...