Spionprogrammet Pegasus är underrättelsetjänsternas bästa leksak – men går det att stoppa? Vi frågar Nadav Aharon-Nov, offensiv specialist och CTO på säkerhetsföretaget R-Mor.

ANNONS

I centrum för kampen mellan de som vill kommunicera anonymt och de som vill avlyssna dem finns spionprogrammet Pegasus, som utvecklats av israeliska NSO Group.

”Det är leksaken varenda underrättelseofficer vill ha”, säger en källa som har sålt in NSO:s program till länder i Mellanöstern till Financial Times.

NSO Group lyckades överlista Apple, Google och andra mobiltelefontillverkare – Pegasus kan hacka telefoner utan att målet ens behöver klicka på något eller svara på samtal och ta kontroll över den och spionera både på innehållet och med hjälp av dess kamera och mikrofon, enligt Dagens Nyheter.

Pegasus spårade ner ”dödsängeln”…

I den senaste raden av nyheter involverande Pegasus är att Nederländernas säkerhetsstjänst AIVD enligt De Volkskrant troligen använt sig av programmet 2019 för att spåra ner ”dödsängeln” Ridouan Taghi, en nederländsk och marockansk medborgare som misstänks ha beordrat över 50 mord och vara ledaren för ett kriminellt nätverk som stått för stora delar av kokainimporten till Europa.

Taghi har också kopplats till den svenska gruppen yrkesmördare ”Los Suecos” på den spanska solkusten där tre personer från Skåne nyligen dömdes till 30 års fängelse vardera i Spanien, rapporterar Sydsvenskan och Helsingborgs Dagblad.

Men programmet har också använts för att jaga annat än kriminella och NSO group har fått stark kritik för att det effektiva spionprogrammet haft diktaturer på kundlistan – exempelvis har personer nära den styckmördade saudiske journalisten Jamal Khashoggi fått sina mobiler hackade med Pegasus, enligt Amnesty International. Mordet och spionerandet misstänks ha utförts av Saudiarabiens säkerhetstjänst.

…och europeiska toppolitiker

Dagens Nyheter listar en rad andra fall där journalister och människorättsaktivister hackats. Citizen Lab har redovisat misstänkta fall av Pegasusinfektioner i inte mindre än 45 länder. Även världsledare som Frankrikes president Emanuel Macron och Spaniens premiärminister Pedro Sanchez har uppgetts fått sina telefoner infekterade med Pegasus, skriver The Guardian.

En läckt lista på 50 000 infekterade personer innehöll tio premiärministrar, tre presidenter och en kung, skriver Cnet. NSO Group har förnekat att listan har något med Pegasus att göra.

ANNONS
ANNONS

”Tidigare har NSO hävdat att Pegasus mest används för goda syften, med några enstaka misstag. Men det är uppenbart större än så. Det används huvudsakligen mot politiska motståndare och aktivister”, säger Amnestyteknikern Etienne Maynier enligt DN.

Oviss framtid för Pegasus – går det att stoppa?

Framtiden för företaget är mycket oviss, skriver DN. NSO har fått bland annat USA:s regering (trots att CIA och FBI är kunder), Meta och Apple emot sig. NSO skriver i ett mejl till DN att programmet bara ska användas för att bekämpa brott och terrorism, att den ”redan har räddat tusentals liv” och att de har ”nolltolerans” på att använda mjukvaran mot journalister och dissidenter.

Frågan är om Pegasus och liknande verktyg ens går att stoppa? Dagens PS frågade Nadav Aharon-Nov, offensiv specialist och CTO på säkerhetsföretaget R-Mor.

”Svaret är komplicerat. Det finns ingen 100 procentig säkerhet gällande attacker från sådant som Pegasus-ramverket. Och ja, det är ett ramverk, inte bara en specifik exploatering som distribueras till en enhet.”

”För att kunna försvara sig mot dessa typer av attacker, låt oss ta ett steg tillbaka och förstå målgruppen. Det är människor utan något särskilt säkerhetstänk. Okunniga personer lever sitt vardagsliv med att oroa sig om saker som inte är relevanta för just säkerhet, och energin de investerar i säkerhet i vardagen är låg. Dessa människor kommer att attackeras oavsett om det är av Pegasus eller någon annan sårbarhet.”

Lista: Så försvarar du dig

För att stoppa Pegasus-liknande ramverk, så behöver man investera tid och energi på följande saker, enligt Nadav Aharon-Nov, offensiv specialist och CTO på säkerhetsföretaget R-Mor som bjuder Dagens PS på en lista:

Uppdatera enheter och appar: Enheter måste aktivt hållas uppdaterade av individer. Det gäller inte bara uppdateringar på säkerhets- och operativsystem, man behöver också uppdatera de appar som är installerade på enheterna.

Leverantörstestning: Säljaren har ett ansvar att testa sina bibliotek och kod med ett så heuristiskt tillvägagångssätt som möjligt. Förstå att leverantörer (särskilt kinesiska/ryska leverantörer) håller bakdörrar och funktioner som skickar information tillbaka till sitt huvudkontor med information. Det är dessa funktioner som för det mesta utnyttjas.

ANNONS
ANNONS

Användarnas medvetenhet: Användarna har också ett stort ansvar. Om användare är lättlurade nog att klicka på annonser och meddelanden från SMS/WhatsApp (eller andra snabbmeddelandesystem) är de dömda. Det är svårt att bekämpa frestelsen att inte klicka på något som kan se viktigt och officiellt ut (säg en parkeringsanmälan, polisanmälan, kommunala meddelanden). Precis som man behöver utbildning för att köra bil så är det för mig konstigt att det inte är obligatoriskt med en kurs i säkerhet i den tid vi lever i. Föreställ dig bara hur många brott/bedrägeriaktiviteter vi kan eliminera med tidig utbildning i dessa ämnen (även från början av förskolor).

Applikationstestning: SLUTA ANVÄNDA APPLIKATIONER SOM INTE UNDERHÅLLS! En av de största problemen jag ser är människor som laddar ner applikationer som inte underhålls, spel som är allvarligt konstiga och applikationer i allmänhet som inte är väl understödda och underhållna. En av de mest kritiska problemen är dessa applikationer som använder exploateringsbara bibliotek och komponenter som gör att en telefon/surfplatta kan kontrolleras av angripare. Till exempel:
• iMessage & Facetime är inbyggt i iOS och är aktiverat som standard, vilket gör det till en attraktiv exploateringsvektor.

Omstart: Pegasus-infektion förlitar sig ofta på noll-klick (typ av laddning), utan persistance, så en regelbunden omstart hjälper till att rengöra enheten. Om enheten startas om dagligen måste angriparna återinfektera den upprepade gånger. Med tiden ökar detta chanserna för upptäckt.

Läs även: Storföretag är dåligt skyddade mot mejl-spoofing [Dagens PS]