0:00:01.440,0:00:02.440 [Translated by {Iikka}{Yli-Kuivila}[br](ITKST56 course assignment at JYU.FI)] 0:00:03.880,0:00:10.480 Herald: Hyvää huomenta C-Basesta, avaruus-[br]asemalta Berliinin takaa tai alapuolelta. 0:00:12.640,0:00:19.120 Tervetuloa 2. päivään RC3-streamiä[br]Aloitamme parissa 0:00:19.120,0:00:26.480 sekunnissa puheella "NSO Group:n Pega-[br]suksen nappaaminen". Tämä on 0:00:26.480,0:00:32.800 saanut paljon huomiota turvallisuus-[br]ja hakkeripiireissä kautta maailman 0:00:32.800,0:00:38.400 viimeisten, varmaan parin vuoden aikana.[br]On ollut ilmiömäisiä tapauksia: 0:00:38.400,0:00:45.720 murhia, kidnappauksia, journalisteja on[br]uhkailtu, muita tapauksia. Pahamaineinen 0:00:45.720,0:00:46.720 ohjelmisto, joka tekee tätä on nimeltään[br]Pegasus. Firma joka sitä markkinoi tunnetaan 0:00:46.720,0:00:53.280 lyhenteestään NSO, mitä ikinä se tarkoit-[br]taakaan. Itse asiassa, Amnesty 0:00:53.280,0:01:01.680 International IT-osastoineen on niin sano-[br]tusti sijoittanut paljon työtä ja vaivaa 0:01:01.680,0:01:08.240 havaitakseen, onko laite tartutettu[br]Pegasuksella vai ei. NSO markkinoi sitä 0:01:08.240,0:01:17.280 muiden seikkojen ohella "jäljittämättömänä".[br]Jäljittämättömänä niin kuin 0:01:17.280,0:01:22.640 ohjelmisto laitteella kuten tulemme näkemään[br]ja puhujamme tänään: Donncha O'Cearbhaill 0:01:22.640,0:01:28.640 Irlannista Amnesty International:ilta[br]esittelee kuinka he 0:01:29.440,0:01:34.800 kehittivät havaitsemistyökalut tälle ikä-[br]välle spywarelle, joka on niin suosittu 0:01:34.800,0:01:41.600 valtiollisten ryhmittymien ja muiden kes-[br]kuudessa kautta maailman. OK, se 0:01:41.600,0:01:50.960 esittelyistä, Donncha, lava ja streami[br]on teidän. Hyvää huomenta. 0:01:50.960,0:01:56.040 Donncha: Hyvää huomenta ja kiitokset tuo-[br]sta esittelystä. Kuten siinä mainittiin 0:01:56.040,0:02:02.080 haluaisin kertoa teille tänään NSO Group:n[br]Pegasus spyware:sta. Erityisesti 0:02:02.080,0:02:06.480 haluaisin selittää kuinka me Amnestyllä[br]olemme tutkineet Pegasusta viimeisinä 0:02:06.480,0:02:11.120 parina vuotena ja myös selitän ja näytän[br]joitakin työkalujamme, joita olemme 0:02:11.120,0:02:16.480 kehittäneet ja julkaisseet jotta muutkin[br]voivat tutkia ja havaita Pegasus-spywarea 0:02:16.480,0:02:22.480 mahdollisesti laitteillaan ja kansalais-[br]yhteiskunnan toimijoiden laitteilla. 0:02:22.480,0:02:25.840 Joten, nimeni on Donncha O'Cearbhaill ja[br]olen teknologisti Amnesty Internationalin 0:02:27.760,0:02:31.440 Security Lab:issä Berliinissä[br]pienen ryhmän kanssa jonka erikoisalaa 0:02:31.440,0:02:36.320 on kansalaisyhteiskuntaa ja muita ihmis- [br]oikeuksien puolustajia vastaan kohden- 0:02:36.320,0:02:42.640 nettujen uhkien, kuten spyware, kalastelu[br]ja muut jäljitysuhat tutkinta. 0:02:42.640,0:02:46.880 Kuten esittelyssä mainittiin, Pegasus on[br]saanut paljon huomiota viime kuukausina. 0:02:49.440,0:02:54.960 Olette voineet nähdäkin Pegasus Project[br]paljastukset, jotka julkistettiin heinä- 0:02:56.800,0:03:00.800 kuussa kesällä. Pegasus Project oli maail-[br]manlaajuinen tutkinta NSO Group:n Pegasus 0:03:00.800,0:03:05.680 spywareen liittyviä väärinkäytöksiä koskien.[br]Tutkinta perustui vuodettuun 0:03:05.680,0:03:11.520 50 000 kpl mahdollisen Pegasus-kohteen[br]listaan, joihin Amnesty Internationalilla 0:03:13.280,0:03:19.120 ja Forbidden Stories:lla oli pääsy.[br]Tätä globaalia mediatutkintaa 0:03:19.120,0:03:22.640 koordinoi Forbidden Stories ja siihen osal-[br]listui noin 80 journalistia 17:sta eri 0:03:22.640,0:03:26.960 tietotusvälineestä kautta maailman.[br]Pegasus Project:n aikana 0:03:26.960,0:03:32.400 Amnesty International otti teknisen kump-[br]panin roolin, jossa erityisfokuksena 0:03:32.400,0:03:36.960 oli suorittaa yksityiskohtaista, innova-[br]tiivista forensista analyysiä todennä- 0:03:36.960,0:03:42.160 köisten kohteiden laitteille. Ja tämän fo-[br]rensisen analyysin keinoin 0:03:42.160,0:03:46.720 pystyimme tunnistamaan jälkiä [br]Pegasuksesta, joko sen tartuttamista 0:03:46.720,0:03:51.040 tai maalittamista laitteista. Tämän moni-[br]kuukautisen projektin kuluessa Amnesty 0:03:51.040,0:03:59.360 Security Lab analysoi noin 67 laitetta,[br]ja näistä 67 mahdollisen kohteen laittee- 0:03:59.360,0:04:04.720 sta ainakin 37:ssa oli selkeitä jälkiä[br]Pegasuksen maalittamisesta tai tartunnasta. 0:04:04.720,0:04:11.760 Tämä on todellakin suuri määrä tartutet-[br]tuja laitteita. Ja nämä laitteet kuuluivat 0:04:11.760,0:04:15.360 journalisteille, aktivisteille, oppositio-[br]poliitikoille, kaikenlaisille ihmisille, 0:04:15.360,0:04:21.520 joita laittomasti valvottiin Pegasuksen[br]avulla. Kaiken kaikkiaan kaikista 0:04:21.520,0:04:24.572 puhelimista jotka tarkistimme,jotka olivat[br]iPhoneja ja joita ei ollut vaihdettu, 0:04:24.572,0:04:31.934 jotka olivat maalittamislistassa. enemmän[br]kuin 80% puhelimista sisälsi 0:04:31.934,0:04:36.711 jälkiä Pegasuksesta. Heinäkuussa kun[br]nämä jutut julkaistiin ja 0:04:36.711,0:04:42.767 ne korostivat sitä seikkaa että kansalais-[br]yhteiskunta oli hyökkäyksen kohteena: 0:04:42.777,0:04:46.440 kuten journalistit Unkarissa, aktivistit[br]Marokossa, Saudi-Arabialaiset toisin- 0:04:46.440,0:04:49.779 ajattelijat, myös Jamal Khashoggin perhe,[br]keistä tutkinta näytti että heihin oli 0:04:49.779,0:04:50.779 kohdistettu Pegasus-vakoiluohjelma[br]sekä ennen että jälkeen hänen brutaalin 0:04:50.779,0:04:56.734 kuoleamnsa. Joten joo, te voitte mennä ja[br]lukea näistä tarinoista Internetistä. Tä- 0:04:56.734,0:05:01.364 nään haluaisin keskittyä kuinka pääsimme[br]tuohon pisteeseen, kuinka kehitimme nämä 0:05:01.364,0:05:06.183 työkalut, kuinka kehitimme tämän meto-[br]dologian Pegasuksen löytämiselle. Ja myös 0:05:06.183,0:05:10.113 haluan selittää kuinka te voitte tehdä[br]tätä, tätä Pegasuksen jäljittämistä ja 0:05:10.113,0:05:14.922 muiden mobiili-spywarejen etsintään.[br]Otetaan askel taaksepäin ja kysytään, mikä 0:05:14.922,0:05:20.460 Pegasus itse asiassa on? Sen nimi on hyvin[br]tunnettu, mutta mikä tämä ohjelma itse 0:05:20.460,0:05:27.235 asiassa on ja kuinka se toimii? OK, eka[br]asia mikä pitää muistaa, on että vaikka 0:05:27.235,0:05:32.242 Pegasus on saanut huomiota viimeisenä[br]parina vuotena, se ei itse asiassa ole 0:05:32.242,0:05:37.240 uusi tuote. Me tiedämme, että Pegasus[br]on ollut olemassa NSO Group:n kehittämänä 0:05:37.240,0:05:41.197 ainakin vuodesta 2010 lähtien. Vasemmalla[br]puolella näette tämän kuvan, se on Pega- 0:05:41.197,0:05:45.100 suksen myyntiesitteestä vuodelta 2010[br]missä kuvaillaan kuinka Pegasus voidaan 0:05:45.100,0:05:52.843 asentaa BlackBerry-laitteille. Ja me uskom-[br]me, että alkuperäinen Pegasus-versio kes- 0:05:52.843,0:05:58.236 kittyi BlackBerryyn, koska vuonna 2010,[br]älypuhelimia oli paljon vähemmän kuin 0:05:58.236,0:06:03.208 nykyisin. BlackBerry oli avainkohde[br]tällaisille turvallisuusvirastoille, jotka 0:06:03.208,0:06:06.716 halusivat tällaista vakoiluohjelmaa[br]käyttää. Joten se kehittyi ajan kanssa, 0:06:06.716,0:06:11.204 tässä oikealla puolella näette kuvia, jotka[br]vuodettiin Pegasus-esitteestä joka 0:06:11.204,0:06:16.855 julkaistiin vuonna 2014. Ensimmäisessä[br]kuvassa puhutaan, kuinka Pegasus asenne- 0:06:16.855,0:06:22.825 taan puhelimeen. Tässä esimerkissä se[br]näyttää, kuinka Pegasus-tartutuslinkki 0:06:22.825,0:06:30.880 voidaan lähettää tekstiviestin avulla[br]kohdelaitteelle. Ja jos se linkki avataan, 0:06:30.880,0:06:37.440 niin kuinka data kerätään ja välitetään[br]takaisin Pegasus-ohjelmiston käyttäjälle. 0:06:37.440,0:06:42.880 Tämä on vain yksi esimerkki - heidän[br]omista kuvistaan. Tässä alla olevassa 0:06:42.880,0:06:46.320 ympyrässä näette vähän, mitä kaikkea[br]Pegasus väittää kykenevänsä valvomaan. 0:06:46.320,0:06:52.320 Jos katsotte, niin näette että peri-[br]aatteessa kaikkea laitteella. Joten, 0:06:52.320,0:06:57.360 se puhuu sähköpostiosoitteiden ja teksti-[br]viestien keräämisestä, sijaintitietojen 0:06:57.360,0:07:00.400 seuraamisesta, jopa kalenterin[br]lukemisesta ja puhelimen mikrofonin 0:07:00.400,0:07:03.520 hallinnasta. Vaikka tämä kuvio on aika[br]vanha, 6-7 vuotta vanha, 0:07:04.160,0:07:08.640 saatte vähän ideaa millaista dataa[br]Pegasus-ohjelmisto yrittää kerätä 0:07:08.640,0:07:13.680 puhelimelta. Periaatteessa, se kerää[br]kaikenlaista dataa puhelimelta, 0:07:13.680,0:07:18.320 joka saattaisi kiinnostaa heitä,[br]jotka suorittavat tällaista valvontaa. 0:07:18.320,0:07:22.880 Yksi tärkeä asia muistaa on, että [br]Pegasus spyware onnistuu saamaan 0:07:22.880,0:07:25.600 hyvin tavallaan syvän pääsyn puhelimeen,[br]joten se pystyy pääsemään kaikkialle puhe- 0:07:25.600,0:07:31.760 limessa mihin käyttäjällä on pääsy, ja [br]sen päälle vielä vähän. Joten vaikka 0:07:31.760,0:07:36.800 käyttäisitte pikaviestintä kuten Signalia[br]tai Telegrammia, mikä käyttää salausta, 0:07:36.800,0:07:41.680 Pegasus pääsee käsiksi tuohon dataan ja[br]niihin viesteihin ennemmin kuin ne 0:07:41.680,0:07:45.280 salataan laitteella. Joten kun tämä[br]vakoiluohjelma pyörii puhelimessa, 0:07:45.280,0:07:50.400 mikään näistä salatuista viestintäsovelluksista[br]ei auta, koska sillä on niin syvän tason 0:07:50.400,0:07:54.320 pääsy puhelimeen. Niin, tuossa on vähän[br]mitä Pegasus itse asiassa 0:07:54.320,0:07:58.080 yrittää kerätä ja mitä - ja mitä ihmiset[br]voivat tehdä Pegasus-ohjelmistolla. 0:07:58.080,0:08:05.280 Joten, mistä itse asiassa tutkinta[br]Pegasukseen alkoi? Joudumme palaamaan 0:08:05.280,0:08:09.920 niinkin kauas kuin vuoteen 2016, kun[br]Pegasus ensimmäisen kerran tunnistettiin 0:08:09.920,0:08:17.296 maailmalta, jolloin sitä kohdistettiin[br]aktivistiin. Tässä tapauksessa (2016) 0:08:17.296,0:08:23.640 Pegasuksen löysi ensin Citizen Lab. [br]Citizen Lab on joukko tutkijoita Kanadan 0:08:23.640,0:08:28.837 Toronton yliopistosta, jotka myös työsken-[br]televät tutkiakseen kansalaisyhteiskuntaa 0:08:28.837,0:08:35.191 vastaan kohdistettuja vakoiluohjelmia.[br]Tässä tapauksessa Arabiemiraateissa 0:08:35.191,0:08:40.241 vaikuttava ihmisoikeuspuolustaja Ahmed[br]Mansoor sai epäilyttäviä SMS-viestejä. 0:08:47.034,0:08:51.541 Tässä oikealla on pari kuvakaappausta[br]niistä. Mansoor oli varoavainen näiden vie- 0:08:51.541,0:08:56.136 stien suhteen, koska hän oli saanut vas-[br]taavia aiemmin, ja hänet oli tartutettu 0:08:56.136,0:09:00.126 muilla vakoiluohjelmilla, esim. Finfisher-[br]illä. Joten, kun hän sai näitä viesejä hän 0:09:00.126,0:09:03.934 oli varovainen niiden suhteen ja jakoi ne[br]Citizen Lab:n kanssa, joka ryhtyi 0:09:03.934,0:09:08.027 tutkimaan niitä. Citizen Lab tajusi[br]että nämä näyttivät 0:09:08.027,0:09:12.549 hyökkäysviesteiltä, ja he avasivat linkit[br]heidän omilla testipuhelimilla. 0:09:12.549,0:09:17.103 Kun he tekivät tämän, he saivat kiinni[br]hyväksikäyttömenetelmän, joka 0:09:17.103,0:09:22.305 välitettiin näiden linkkien avulla ja he[br]saivat myös kopion itse Pegasus- 0:09:22.305,0:09:27.885 payloadista. Eli, mitä tapahtuu[br]kun nämä linkit avataan web-selaimessa 0:09:32.830,0:09:38.392 kuten Safarissa. Kun linkki avataan,[br]Pegasus-palvelin palauttaa 0:09:38.392,0:09:44.108 jotain JavaScriptiä, jotain koodia joka[br]hyväksikäyttää tuntematonta vikaa Safari- 0:09:44.108,0:09:48.368 verkkoselaimessa ja näin manipuloimalla[br]Safaria ja hyväksikäyttämällä tätä 0:09:48.368,0:09:52.720 tuntematonta haavoittuvuutta - he saavat[br]oman koodinsa ajettua siinä selaimella. 0:09:52.720,0:09:58.107 Ja lopulta, parin muun haavoittuvuuden[br]he saavat enemmän käyttöoikeuksia 0:09:58.107,0:10:03.274 iPhonella ja voivat lopulta asentaa koko[br]Pegasus-payloadin. 0:10:03.274,0:10:10.800 Joo, kun Citizen Lab vuonna 2016 ensiksi[br]löysi tämän, se oli hyvin tärkeä 0:10:10.800,0:10:17.360 löydös ja osoitti, kuinka vakavia[br]uhkia kansalaisyhteiskuntaa kohtaan oli. 0:10:17.360,0:10:20.320 Että löytyikin ihmisiä, jotka halusivat[br]käyttää tällaisia erittäin 0:10:20.320,0:10:23.680 korkean hinnan hyväksikäyttömenetelmiä[br]ihmisoikeuksien puolustajiin, jotka 0:10:23.680,0:10:27.840 vain tekevät ihmisoikeustyötään. Valitet-[br]tavasti tämän jälkeen, Ahmed Mansooria 0:10:27.840,0:10:32.800 häiriköitiin lisää ja hänet tuomittiin[br]vankilaan, jossa hän yhäkin 0:10:32.800,0:10:41.604 vuodesta 2017 lähtien. Melkein neljä[br]vuotta nyt. Joten milloin me Amnestyllä 0:10:41.604,0:10:44.171 aloimme tutkimaan tätä? Tiimimme on tut-[br]kinut tällaisia uhkia jo jonkin aikaa. 0:10:44.171,0:10:49.470 mutta me todella aloimme keskittymään[br]NSO:n ja tutkimaan heitä vuonna 2018, sen 0:10:49.470,0:10:55.015 jälkeen kun eräs kollegamme Amnestyllä[br]alkoi saamaan epäilyttäviä tekstiviestejä. 0:10:55.015,0:10:59.289 Tämä kollega sai toukokuussa 2018 tämän[br]viestin jonka näette tässä vasemmalla. 0:10:59.289,0:11:03.732 Viesti on kirjoitettu arabiaksi ja [br]se väittää että eräs 0:11:03.732,0:11:08.688 mielenosoitus tulee tapahtumaan piakkoin[br]Saudi-Arabian suurlähetystön edustalla. 0:11:08.688,0:11:13.088 Ja siinä pyydettiin Amnestyn työntekijää[br]tukemaan tuota mielenosoitusta ja klik- 0:11:13.088,0:11:18.880 kaamaan tuota linkkiä lisätietoja varten.[br]Onneksi kollegamme saatuaan tämän viestin, 0:11:18.880,0:11:21.680 hän alkoi epäilemään sitä. Hän ajatteli[br]että onpas kummallista, eihän hän edes 0:11:21.680,0:11:24.960 tuntenut tätä ihmistä. Ja niin he jakoivat[br]kuvakaappauksen tuosta viestistä 0:11:24.960,0:11:29.840 meille Amnesty Security Lab:lle, ja me[br]aloimme tutkimaan asiaa. Aika nopeasti 0:11:29.840,0:11:34.560 ryhdyttyämme tutkimaan tätä domain-nimeä[br]ja serveriä, tulimme siihen tulokseen 0:11:34.560,0:11:38.880 että se näyttää epäilyttävältä. Ja me myös[br]onnistuimme tunnistamaan lisää domaineja 0:11:38.880,0:11:45.200 ja palvelimia, jotka liittyivät tähän[br]alkuperäiseen akhbar-arabia-domainiin. Ja 0:11:45.200,0:11:49.040 sitten aika äkkiä rupesimme havaitsemaan,[br]että tässä oli todellakin jotain epäilyttävää, 0:11:49.040,0:11:52.000 ja että ehkä se oli jonkinlainen hyökkäys-[br]viesti. Tuohon aikaan emme tienneet, onko 0:11:52.000,0:11:59.280 se välttämättä NSO group. Katsomalla näitä[br]alkuperäisiä, ensimmäisiä palvelimia 0:11:59.280,0:12:03.040 onnistuimme luomaan tavallaan sormenjäljen[br]jolla pystyimme tunnistamaan tämän tietyn 0:12:03.040,0:12:08.400 konfiguraation, joka viestissä lähetetyllä[br]domainilla ja palvleimella oli. Tämän 0:12:08.400,0:12:12.400 sormenjäljen avulla saimme suoritettua[br]Internet-skannauksen. Eli, luomme yhtey- 0:12:12.400,0:12:17.120 den jokaiseen palvelimeen Internetissä ja[br]lähetämme niille tietyn tyylisen pyynnön, 0:12:17.120,0:12:20.240 jonka avulla näemme onko muita vastaavan[br]konfiguraation omaavia palvelimia, jotka 0:12:20.240,0:12:24.800 vastaavat tätä sormenjälkeä tästä alku-[br]peräisestä palvelimesta. Tekemällä tätä 0:12:24.800,0:12:30.080 Internet-skannausta onnistuimme löytämään[br]600 eri domainia ympäri Internettiä, jotka 0:12:31.840,0:12:34.640 vastasivat tätä sormenjälkeä, ja jotka[br]vaikuttivat liittyvän samanlaisiin 0:12:34.640,0:12:40.560 hyökkäyksiin. Joten, se itse avain tämän[br]kaiken havainnointiin oli se, että näimme 0:12:41.280,0:12:45.360 että nämä domainit liittyivät itse asiassa[br]Pegasukseen, koska NSO Group teki erään- 0:12:45.360,0:12:49.188 laisen avainvirheen, tai heillä oli ydin-[br]prosesseissa vika infrastruktuurin pystyt- 0:12:49.188,0:12:58.189 tämisen suhteen. Joten mitä tapahtui: [br]kuten sanottu aiemmin Citizen Lab tunnisti 0:12:58.189,0:13:02.776 palvelimia, joita NSO Group käytti vuonna[br]2016. 2016 paljastuksen jälkeen NSO sulki 0:13:02.776,0:13:07.034 kaikki nämä domainit ja infrastruktuurin.[br]Ja sitten rupesivat pystyttämään uuden- 0:13:07.034,0:13:11.262 laista infraa, jota ei voisi linkittää[br]NSO Grouppiin. Onneksi he tekivät virheen, 0:13:11.262,0:13:15.019 sillä he uudelleenkäyttivät yhden domainin[br]aiemmasta infrastaan, jota he käyt- 0:13:15.019,0:13:19.800 tivät myös tässä uudessa infrassaan.[br]Löytämällä tuon yhden domainin niistä 0:13:19.800,0:13:24.666 aiemmista 600:sta, jotka NSO:lla olivat[br]olleet käytössään, pystyimme osoittamaan 0:13:24.666,0:13:28.986 että nämä 600 muuta domainia olivat myös[br]Pegasukseen liitettävissä. Joten pystyimme 0:13:28.986,0:13:33.956 osoittamaan että viesti, joka oli lähetet-[br]ty kollegallemme oli todellakin liitettä- 0:13:33.956,0:13:40.105 vissä Pegasukseen, ja sen pyrkimyksenä oli[br]oli saastuttaa hänen laitteensa. Joten 0:13:40.105,0:13:46.116 julkaisimme nämä löydökset elokuussa 2018,[br]ja siihen aikaan tunnistimme myös toisen 0:13:46.116,0:13:51.076 ryhmän Saudi-Arabialaisia aktivisteja,[br]joita oli myös maalitettu Pegasus- 0:13:51.076,0:13:56.206 viestillä Whatsappissa Tämän jälkeen[br]Amnesty International myös tuki oikeus- 0:13:56.206,0:14:01.640 käsittelyä Israelissa, joka pyysi Israelin[br]puolustusministeriötä peruuttamaan NSO:n 0:14:01.640,0:14:06.979 vientiluvat. Jotta estettäisiin Pegasuksen[br]myynti maille, jotka hyväksikäyttäisivät 0:14:06.979,0:14:12.255 sitä Amnestyä ja muita ihmisoikeusakti-[br]visteja vastaan. Valitettavasti 0:14:12.255,0:14:18.291 myöhemmin Israelilainen tuomioistuin hyl-[br]käsi tuon valituksen sanoen että Israelin 0:14:18.291,0:14:22.820 puolustusministeriöllä oli jo riittävät[br]varmennustomenpiteet, jotka estäisivät 0:14:22.820,0:14:29.965 NSO:n vientituotteiden myymisen maille,[br]jotka hyväksikäyttäisivät sitä. Tässä va- 0:14:29.965,0:14:36.240 semmalla alhaalla näette kuvion, joka[br]näyttää saatavilla olevien Pegasus-palve- 0:14:36.240,0:14:41.411 limien määrän tuohon aikaan. Tarkoitan,[br]katsokaa tätä: kun julkaisimme tämän 0:14:41.411,0:14:46.826 raportin NSO toimi ripeästi ja sammutti[br]kaikki 500-600 palvelintaan, jotka toimit- 0:14:46.826,0:14:50.875 tivat Pegasusta. Tämä näyttää sen että,[br]NSO lukee näitä tutkimuksia ja huomioivat 0:14:50.875,0:14:54.791 ne. He yrittävät välttää sen, että tutki-[br]jat, jotka tutkivat tällaisia hyväksi 0:14:54.791,0:14:58.878 käyttötapauksia eivät löytäisi heidän[br]infraansa ja palvelimiaan. 0:14:59.728,0:15:16.240 Tämä oli tosiaan vuonna 2018, löydettyämme[br]tämän hyökkäyksen 0:15:16.240,0:15:21.612 Amnestyn työntekijää vastaan me Amnestyllä[br]jatkoimme Pegasuksen tutkintaa, jotta 0:15:21.612,0:15:28.010 löytäisimme muita tapauksia. Havaitsimme[br]seuraavaksi Pegasus-maalittamista 0:15:28.010,0:15:35.462 Marokossa vuonna 2019. Näette sen tässä[br]oikealla. Tällä kertaa havaitsimme, että 0:15:35.462,0:15:40.812 marokkolaista ihmisoikeuspuolustaja Maati[br]Monjib oli toistuvasti 0:15:40.812,0:15:46.596 Pegasuksen kohteena. Kun tarkistimme hänen[br]puhelimensa, havaitsimme että hänellä oli 0:15:46.596,0:15:52.419 joitakin epäilyttäviä viestejä siellä,[br]jotka väittivät jonkinlaisen uutistapah- 0:15:52.419,0:15:57.919 tuman tai skandaalin tapahtuneen, ja ne[br]pyysivät kohdetta klikkaamaan linkkejä 0:15:57.919,0:16:02.423 väittäen niissä olevan lisätietoa. Kun[br]tutkimme näitä linkkejä, tiesimme heti 0:16:02.423,0:16:06.696 että kyseessä on Pegasus-linkkejä, koska[br]olimme jo aiemmin tunnistaneet nämä 0:16:06.696,0:16:12.013 domainit kuuluvan niihin 600 domainiin,[br]joita käytettiin jo 2018. Tässä esimer- 0:16:12.013,0:16:16.825 kiksi näette tässä oikealla toisessa vies-[br]tissä, näette domainin 0:16:16.825,0:16:22.077 videosdownload.co. Tiesimme että se oli[br]Pegasus, koska olimme aiemmin tunnista- 0:16:22.077,0:16:30.080 neet ja julkaisseet tämän domainin vuonna[br]2018. Joten nyt tiesimme että Maati oli 0:16:30.080,0:16:34.960 Pegasuksen kohteena, mutta tajusimme että[br]meidän piti tehdä lisätutkintaa, jotta 0:16:34.960,0:16:38.880 tietäisimme onko hänen puhelimensa todel-[br]lakin saastunut, joten tarvitsimme lisä- 0:16:39.680,0:16:43.200 tietoja hänen laitteeltaan. Kun teimme[br]tämän, löysimme jotain mielenkiintoista 0:16:43.200,0:16:47.920 Maatin puhelimesta: löysimme minkä uskoim-[br]me olevan todisteita uudenlaisesta kohden- 0:16:47.920,0:16:53.600 tamisesta. Sen sijaan, että saataisiin[br]kohde huijattua klikkaamaan linkkiä, 0:16:53.600,0:16:58.760 joka ehkä ei toimi - ehä kohde huomaa että[br]jotain epäilyttävää on tapahtumassa. 0:16:58.760,0:17:04.240 Sen sijaan näimme että he käyttivät[br]verkkoinjektiohyökkäystä. 0:17:04.240,0:17:08.160 Verkkoinjektiohyökkäys toimii näin:[br]injektiossa täytyy 0:17:08.160,0:17:15.040 olla mukana jonkinlaista laitteistoa tai[br]ohjelmistoa siellä, missä mobiililaite 0:17:15.040,0:17:18.960 käyttää verkkoa. Tämä voi olla mobiili-[br]verkossa tai sitten se voi olla erillis- 0:17:18.960,0:17:23.120 laitteistoa tai -ohjelmistoa joka pyörii[br]samassa Wi-Fi-verkossa kohteen 0:17:23.120,0:17:28.480 kanssa. Ja mitä se tekee: kun käyttäjä[br]selaa verkkoa 0:17:28.480,0:17:33.760 puhelimellaan, lopulta käyttäjä selaa ja[br]klikkaa jotain linkkiä joka vie 0:17:33.760,0:17:39.440 normaalille http-verkkosivulle. Eli ilman[br]https:ää. Joten kun tällainen http-pyyntö 0:17:40.160,0:17:43.440 tehdään, ohjelmisto joka on ylempänä ver-[br]kossa näkee tämän http-pyynnön. 0:17:43.440,0:17:47.520 Ja kun http-pyyntö tapahtuu se voi sen[br]sijaan että se palauttaisi oikean sisällön 0:17:47.520,0:17:51.920 tuohon oikeaan pyyntöön, se sen sijaan[br]palauttaa http uudelleenohjauksen 0:17:51.920,0:17:57.040 Ja http uudelleenohjaus vie puhelimen[br]selaimen jonnekin pahantahtoiselle 0:17:57.040,0:18:02.480 hyväksikäyttösivustolle, joka sitten[br]hakkeroi puhelimen. Maatin tapauksessa 0:18:02.480,0:18:06.160 löysimme että hän oli yrittänyt mennä[br]tarkistamaan sähköpostiaan ja hän oli 0:18:06.160,0:18:10.960 kirjoittanut Yahoo.fr selaimeensa. Tällöin[br]ylempänä verkossa oleva ohjelmisto 0:18:10.960,0:18:16.400 näkee tämän selväkielisen yhteyden ja[br]uudelleenohjaa hänen puhelimensa tähän 0:18:16.400,0:18:19.920 hyväksikäyttölinkkiin jonka näemme tässä[br]ylhäällä. Kuten näette, domain näyttää 0:18:19.920,0:18:25.200 epäilyttävältä: "get1tn0w.free247downlo-[br]ads.com". Siinä on satunnaisia merkkejä 0:18:25.200,0:18:29.244 lopussa, joka näyttää hyväksikäyttölinkiltä.[br]Tuolloin epäilimme, että tämä 0:18:29.244,0:18:33.748 on pegasus, ja että se on uusi tapa toi-[br]mittaa Pegasus ilman että käyttäjää 0:18:33.748,0:18:36.715 tarvitaan huijata klikkaamaan linkkiä.[br]Mutta emme olleet varmoja että se oli 0:18:36.715,0:18:44.021 Pegasus, se olisi voinut olla jokin muu[br]vakoiluohjelma. Onneksemme NSO auttoi 0:18:44.021,0:18:51.288 meitä varmistamaan että se oli Pegasus,[br]sillä ennen kuin julkistimme tämän 0:18:51.288,0:18:56.124 raportin, Amnesty kirjoitti NSO Group:lle[br]jakaen löydöksemme ja mielenkiintoisesti 0:18:56.124,0:19:00.470 päivä sen jälkeen tämä spyware-palvelin[br]suljettiin ja se meni offlineen. 0:19:00.470,0:19:05.609 Ja tämä oli viikko ennen varsinaista[br]raportin julkaisua. Joten se 0:19:05.609,0:19:09.280 tavalllaan varmisti meille että NSO todel-[br]lakin hallitsi tuota infrastruktuuria ja 0:19:09.280,0:19:13.316 he pystyivät sen sulkemaan silloin, kun[br]me olimme vain heidän kanssaan yksityi- 0:19:13.316,0:19:18.652 sesti jakaneet tämän tiedon. Vähän myöhem-[br]min löysimme lisää tietoa, kuinka tämä 0:19:18.652,0:19:23.854 hyökäys oli ehkä toteutettu: NSO eräillä[br]messuilla demonstroi uudenlaista laittei- 0:19:23.854,0:19:28.132 stoa jonka he olivat kehittäneet, näette[br]sen tässä oikealla olevassa valokuvassa. 0:19:28.132,0:19:33.661 Ja me uskomme että valokuvassa on erään-[br]lainen IMSI-sieppaaja tai valetukiasema, 0:19:33.661,0:19:39.827 joka voi pyörittää valemobiiliverkkoa. Ja[br]kohteen puhelin: Maati pystyisi 0:19:39.827,0:19:44.360 yhdistämänä tuohon valetukiasmeaan, ja [br]silloin tuo tukiasema 0:19:44.360,0:19:49.339 mahdollistaa NSO:lle puhelimen uudelleen-[br]ohjauksen hyväksikäyttösivuille. 0:19:49.339,0:19:54.000 Emme ole varmoja kuinka tämä tarkalleen[br]tapahtui, jos tämä oli se laite jota käy- 0:19:54.000,0:19:57.912 tettiin, mutta me uskomme että NSO esitte-[br]lee tai testaa näitä uudenlaisia taktisen 0:19:57.912,0:20:05.920 saastuttamisen keinoja. Tässä vaiheessa[br]löydöksemme olivat Marokossa - rupesimme 0:20:05.920,0:20:11.200 tajuamaan että SMS-viestien tarkistus,[br]linkkien tarkistus ja nojautuminen siihen 0:20:11.200,0:20:17.280 että ihmiset tulevat meille kertomaan[br]jostakin epäilyttävästä ei voinut toimia 0:20:17.280,0:20:21.520 enää jatkossa koska rupesimme näkemään[br]näitä nollaklikkaushyökkäyksiä. Nolla- 0:20:21.520,0:20:25.680 klikkaushyökkäys on siis mikä tahansa tapa[br]saastuttaa laite, joka ei nojaa 0:20:25.680,0:20:31.200 käyttäjän vuorovaikutukseen. Ei odota siis[br]käyttäjän klikkaavan linkkiä. Tässä 0:20:31.200,0:20:33.760 näemme muutamia esimerkkejä toisista[br]nollaklikkaushyökkäyksistä, joita on 0:20:33.760,0:20:37.440 löydetty viimeisten parin vuoden aikana.[br]Arvatakseni eräs ensimmäisistä tässä oli 0:20:37.440,0:20:43.840 vuona 2019, kun NSO Group kehitti hyväksi-[br]käyttömenetelmän WhatsAppia varten, ja 0:20:43.840,0:20:51.280 sitten sitä käytettiin ainakin 1400 ihmi-[br]stä vastaan ympäri maailmaa. Kaikki tämä, 0:20:51.280,0:20:58.400 miten se toimi oli näin: kohde sai yksin-[br]kertaisesti soiton WhatsAppissa, ja jopa 0:20:58.400,0:21:02.000 vastaamaton soitto mahdollisti hyväksi-[br]käyttömenetelmän ajamisen koneella ja 0:21:02.000,0:21:06.000 puhelimen saastuttamisen, ilman minkään[br]klikkaamista. Kuten kuvailtu aiemmin, 0:21:06.000,0:21:09.840 näimme näitä verkkoinjektiohyökkäyksiä, ja[br]sitten myöhemmin vuonna 2020, Citizen Lab 0:21:09.840,0:21:18.320 löysi myös iMessage-nollapäivän, jota käy-[br]tettiin iPhone-käyttäjien tartuttamiseen 0:21:18.320,0:21:23.680 ilman minkäänlaista vuorovaikutusta.[br]Omissa tutkinnoissamme löysimme että 0:21:23.680,0:21:30.960 NSO on käyttänyt erilaisia nollaklikkaus-[br]menetelmiä ainakin vuodesta 2017 lähtien 0:21:30.960,0:21:35.480 aina tämän vuoden heinäkuuhun. Joten tie-[br]dämme että tämä ei ole uusi tekniikka hei- 0:21:35.480,0:21:38.720 lle, mutta se on jotakin mitä olemme vasta[br]äskettäin ruvenneet löytämään 0:21:38.720,0:21:42.320 viimeisten parin vuoden aikana. Olemme[br]nähneet että NSO näkee paljon vaivaa 0:21:42.320,0:21:52.775 kehittääkseen näitä monimutkaisia ja hyvin[br]vaikuttavia nollaklikkausmenetelmiä. Nyt 0:21:52.775,0:21:56.720 kun tiedämme että NSO ja heidän asiakkaan-[br]sa käyttävät tällaisia nollaklikkaushyök- 0:21:56.720,0:22:02.000 käyksiä, tajusimme että meidän piti tehdä[br]jotain kehittyneempää jotta löytäisimme 0:22:02.000,0:22:07.160 tällaisen valvonnan tapauksia. Suuri[br]ongelma mobiililaitteilla on näkyvyyden 0:22:07.160,0:22:11.196 puute, siinä missä tietokoneilla ja[br]kannettavilla meillä on antivirus tai EDR- 0:22:11.196,0:22:14.428 järjestelmiä saatavilla. Mitään tuollaista[br]ei ollut vielä tuolloin saatavilla 0:22:14.428,0:22:18.240 mobiililaitteille. Joten tällaiset hyök-[br]käykset, erityisesti nollaklikkaushyök- 0:22:18.240,0:22:26.000 käykset niitä ei usein havaita. Rupesimme[br]tutkimaan tätä. Tajusimme että vaikka 0:22:26.000,0:22:29.600 mobiililaiteforensiikka oli vaikeaa, se ei[br]kuitenkaan ollut aivan 0:22:29.600,0:22:34.080 mahdotonta. Tausimme vähän yllättäen, [br]että iPhonet itse asiassa sallivat suht 0:22:34.080,0:22:38.960 hyvän näkyvyyden isoon osaan tarpeellista[br]dataa puhelimissa iPhone-varmuuskopioiden 0:22:38.960,0:22:43.680 muodossa. Ja on itse asiassa aika mah-[br]dollista aloittaa 0:22:43.680,0:22:48.800 forensinen analyysi iPhoneille. [br]Valitettavasti Android-laitteet ovat 0:22:48.800,0:22:52.880 paljon rajoitetumpia johtuen[br]Android-käyttöjärjestelmän rajoituksista. 0:22:52.880,0:22:58.160 Ei ole mahdollista saada paljoa tietoa[br]Android-varmuuskopiosta, joten ainoat 0:22:58.160,0:23:02.000 asiat joita olemme voineet tehdä Android:[br]lle on ollut yksinkertaisesti tarkistaa 0:23:02.000,0:23:06.880 SMS-viestit ja ehkä selainhistoria maalit-[br]tamisen jäljiltä. Mutta vieläkin, siinä on 0:23:06.880,0:23:11.760 paljon vähemmän dataa Androideilla ver-[br]rattuna iPhoneihin. Toinen suuri ongelma 0:23:11.760,0:23:15.520 oli että tajusimme ettei ollut mitään jul-[br]kisia työkaluja, joilla suorittaa käyt- 0:23:15.520,0:23:19.120 täjän kanssa yhteistyössä mobiililaite-[br]forensiikkaa. Kaikki forensiset työkalut 0:23:19.120,0:23:24.800 oli suunniteltu ja tehty ihmisille, jotka[br]haluavat tietoa puhelimista vasten omis- 0:23:24.800,0:23:28.560 tajan tahtoa, takavarikoiduista puhelimis-[br]ta siis. Ei ollut mitään työkaluja, 0:23:28.560,0:23:35.440 joilla tarkistaa esimerkiksi oma puhelin[br]vakoiluohjelmien varalta. Tässä kohtaa 0:23:35.440,0:23:40.560 astuu esiin Mobile Verification Toolkit.[br]MVT - MVT on Amnesty Internationalin 0:23:40.560,0:23:43.920 kehittämä julkinen työkalu ja se on[br]suunniteltu yksinkertaistamaan 0:23:43.920,0:23:48.720 mobiililaiteanalyysiä vakoiluohjelmien[br]jälkien löytämiseksi. Se on saatavilla 0:23:48.720,0:23:53.360 GitHubissa, käykää katsomassa.[br]Ja korostaisin vielä että 0:23:53.360,0:23:57.520 kaikki Pegasus-maalittamiset, joita olen[br]kuvaillut tässä edellisissä tapauksissa 0:23:57.520,0:24:01.600 ja tulen kuvailemaan, ne kaikki on [br]löydetty käyttämällä MVT:tä. 0:24:01.600,0:24:09.040 MVT siis todellakin toimii, se löytää[br]kehittyneitä vakoiluohejlmia, myös nolla- 0:24:09.040,0:24:14.560 klikkausmenetelmiä, nollapäivähyväksikäyt-[br]tömenetelmiä hyödyntäviä, todella sofisti- 0:24:14.560,0:24:19.280 koituneita ohjelmia kuten Pegasusta. Joten[br]kun nämä vakoiluohjelmamyyjät sanovat että 0:24:19.280,0:24:22.640 "Heidän tuotettaan ei voida havaita": Ne[br]ovat kehittyneitä, he ovat käyttäneet 0:24:22.640,0:24:27.440 paljon rahaa kehittääkseen niitä, mutta ne[br]eivät ole taikuutta. Jos olette tarpeeksi 0:24:27.440,0:24:30.240 huolellisia ja kattavasti tarkistatte[br]jälkiä: aina löytyy virheitä, joita on 0:24:30.240,0:24:35.472 tehty. Aina on jokin tapa jolla tunnistaa[br]potentiaalista epäilyttävää käytöstä 0:24:35.472,0:24:44.640 näillä laitteillta. MVT on kirjoitettu[br]Pythonilla ja se on hyvin helppo asentaa: 0:24:44.640,0:24:50.113 jos sinulla on PIP, sanot vain: "pip3 [br]install mvt". Ja näin sitä käytetään, 0:24:50.113,0:24:54.906 supersimppeliä: tarkistaaksesi iPhonen[br]teet vain iPhone-varmuuskopion ja ajat 0:24:54.906,0:25:00.005 komennon "mvt-ios check-backup" ja[br]annat sille varmuuskopion kansion. 0:25:00.005,0:25:05.301 Tässä komennossa käytetään myös .stix-tie-[br]dostoa. .stix-tiedosto sisältää indikaat- 0:25:05.301,0:25:09.959 toreita. Ne voivat olla erilaisia kuten[br]domainnimiä tai IP-osoitteita tai 0:25:09.959,0:25:15.187 prosessinimiä joita on yhdistetty vakoilu-[br]ojhelmiin. MVT on 0:25:15.187,0:25:19.648 yleisluontoinen työkalu. Sitä voidaan[br]käyttää Pegasus-indikaattoreiden kanssa, 0:25:19.648,0:25:26.134 muttta myös muiden vakoiluohjelmien tai[br]haittaohjelmien tai työkalujen indikaatto- 0:25:26.134,0:25:31.889 reiden kanssa. MVT on modulaarinen kehys,[br]ja siinä on moduuleita erilaisten tieto- 0:25:31.889,0:25:36.705 kantojen parsintaan, kuten SMS-viestien[br]tai selaushistorian tai muiden laitteella 0:25:36.705,0:25:41.368 olevien tiedostojen tarkistukseen. Selitän[br]ja läpikäyn näistä moduuleista muutamia, 0:25:41.368,0:25:46.297 ja näytän kuinka niitä voidaan käyttää[br]Pegasuksen tai muiden vakoiluohjelmien 0:25:46.297,0:25:53.640 jälkien löytämiseen. Yksi moduuli joka on[br]hyvin käyttökelpoinen on SMS-moduuli, 0:25:53.640,0:25:58.766 se on hyvin suoraviivainen, se lukee SMS-[br]tietokannan iPhone-varmuuskopiosta ja 0:25:58.766,0:26:04.283 ottaa siitä linkit ja tarkistaa jos mikään[br]linkeistä vastaa tunnettuja pahoja domai- 0:26:04.283,0:26:10.656 neja. Tässä tapauksessa me 0:26:10.656,0:26:14.707 tarkistamme varmuuskopion, joka oli maali-[br]tettu Pegasuksella, ja me näemme että 0:26:14.707,0:26:18.844 siellä on monia domaineja, jtoka on liite-[br]tty Pegasukseen. Näemme tuossa 0:26:18.844,0:26:25.221 revolution-news.co, stopsms.biz ja tie-[br]tojemme perusteella NSO on käyttänyt täl- 0:26:25.221,0:26:32.883 laisia haitta-SMSiä ensisijaisesti vuosien[br]2016-2018 välillä. Olemme myös nähneet 0:26:32.883,0:26:37.896 Pegasus-linkkejä niinkin kauaa sitten kuin[br]vuonna 2014 ja niinkin piakkoin kuin 2020 0:26:37.896,0:26:43.200 Tämä on ollut aika yleistä ja minusta jos [br]näitä nollaklikkaushyökkäyksiä ei ole saa- 0:26:43.200,0:26:51.348 tavilla, näemme siltikin näitä haitta-[br]linkkejä SMS:n välityksellä. Toinen data- 0:26:51.348,0:26:56.600 lähde joka on ollut hyvin hyödyllinen jäl-[br]kien havaitsemissa on Safari-selaimen his- 0:26:56.600,0:27:03.595 toria. Olemme siis nähneet haittalinkkien[br]jälkiä tallentuvan 0:27:03.595,0:27:09.464 Safari-selaimen historiaan, erityisesti[br]verkkoinjektiohyökkäysten jäljiltä. 0:27:09.464,0:27:14.294 Tässä tapauksessa kun SMS:ssä ei ole[br]linkkiä, kun verkkoinjektiohyökkäys tapah- 0:27:14.294,0:27:18.800 tuu, hyökkäyssivuston domain tallentuu[br]selaimen historiaan. 0:27:18.800,0:27:22.506 Tarkistamalla selainhistorian, voimme[br]pystyä löytämään todisteita että tämä 0:27:22.506,0:27:31.120 hyökkäys tapahtui. Täsä oikealla näette[br]kuvakaappauksen, jonka otti itse asiassa 0:27:31.120,0:27:38.400 marokkolainen journalisti, Omar Radi, kun[br]häneen kohdistettiin tällainen verkkoin- 0:27:38.400,0:27:43.600 jetkiohyökkyäs Marokossa. Hän oli siis[br]selaamassa verkkoa kun hän klikkasi link- 0:27:43.600,0:27:46.720 iä ja sitten hänet uudelleenohjattiin[br]tälle verkkosivustolle. Ja kun tämä kuva- 0:27:46.720,0:27:49.920 kaappaus otettiin, se itse asiassa ajoi[br]JavaScriptiä, joka yritti hyväksikäyttää 0:27:49.920,0:27:55.440 hänen puhelintaa. Valitettavasti tämän[br]tutkimuksen julkaisun jälkeen Omar Radia 0:27:55.440,0:27:59.920 häiriköitiin useasti marokkolaisten viran-[br]omaiten toimesta ja hänet lopulta vangit- 0:27:59.920,0:28:04.556 tiin epäoikeudenmukaisen oikeudenkäynnin[br]jälkeen ja hän on tällä hetkellä vankilassa. 0:28:06.806,0:28:13.199 Eräs toinen tiedosto, joka on ollut hyvin[br]hyödyllinen tutkinnoissamme on ollut ID 0:28:13.199,0:28:18.462 status cache-tiedosto. ID status cache-[br]tiedosto on iPhoneissa ja se pitää kirjaa 0:28:18.462,0:28:23.671 kaikista iCloud-tileistä, jotka vuorovai-[br]kuttavat laitteen kanssa. Se voi olla 0:28:23.671,0:28:27.408 vuorovaikutusta laitteen kanssa Applen eri[br]palveluiden kautta, mukaan luettuna 0:28:27.408,0:28:32.266 iMessage, AirDrop, Apple Photos. Ja mikä[br]on erittäin hyödyllistä tämän suhteen on se 0:28:32.266,0:28:39.282 että se näyttää meille mitkä pahantahtoi-[br]set tilit, Pegasukseen liittyvät tilit, 0:28:39.282,0:28:46.080 olivat maalittaneet tiettyä laitetta. Mitä[br]tiedämme Pegasuksesta on se, että me 0:28:46.080,0:28:51.920 uskomme että nämä tilit on pystytetty ja[br]luotu yhden yksittäisen Pegasus-asiakkaan 0:28:51.920,0:28:58.240 toimesta. Kuten näette tässä ensimmäisellä[br]rivillä, näemme että sähköpostiosoite 0:28:58.240,0:29:04.480 linakeller - ja me näimme tämän - tätä[br]tiliä käytetään toimittamaan iMessage 0:29:04.480,0:29:08.400 nollapäiviä useille eri aktivisteille.[br]Olemme nähneet sitä käytettävän 0:29:08.400,0:29:16.240 hyväksikäyttömenetelmien toimittamiseen[br]marokkolaisille aktivisteille ja parille 0:29:16.240,0:29:21.040 ranskalaiselle poliittiselle henkilölle.[br]Joten, katsomalla mitkä yksilöt on maali- 0:29:21.040,0:29:24.720 tettu saman tilin toimesta, saman asiak-[br]kaan toimesta, pystymme päättelemään 0:29:24.720,0:29:28.400 jonkin verran kuka asiakas saattaa olla, [br]ja saamme parempaa attribuutiota hyökkäyk- 0:29:28.400,0:29:33.840 selle. Sama asia näissä muissa tapauksissa[br]näemme esimerkiksi sähköpostiosoitteen 0:29:33.840,0:29:39.200 jessicadavies1345. Se löydettiin kahden[br]eri unkarilaisen journalistin puhelimesta. 0:29:39.200,0:29:44.160 Sama tällä emmadavies-osoitteella, ja [br]taas myös tällä viimeisellä 0:29:44.160,0:29:49.120 osoitteella: williams enny. Löysimme tämän[br]kahden eri unkarilaisen yksityishenkilön 0:29:50.560,0:29:58.320 puhelimesta, he olivat aktivisteja. Tämä[br]on hyvin käyttökelpoista meille 0:29:58.320,0:30:01.450 tutkinnoissamme, koska se todellakin antaa[br]meille paremmin ideaa kuka saattaa olla 0:30:01.450,0:30:10.480 näiden näkemiemme hyökkäysten takana.[br]Äsken näytin lokeja SMS-viesteistä, 0:30:10.480,0:30:15.840 data- ja selainhistoriasta. Nämä näyttävät[br]tavallaan jälkiä maalittamisesta. 0:30:15.840,0:30:19.280 Ne näyttävät että näille on lähetetty[br]haittalinkki, mutta ne eivät näytä että 0:30:19.280,0:30:23.920 onko puhelin onnistuneesti saastutettu.[br]Joten, vielä näytän pari lokia, joita 0:30:23.920,0:30:28.700 voidaan käyttää juuri tuohon tarkoitukseen[br]- varmentamiseen onko puhelin saastutettu. 0:30:28.800,0:30:32.580 Eräs näistä tiedostoista, joka on ollut[br]hyvin hyödyllinen meille tutkinnoissamme, 0:30:32.580,0:30:39.600 on niin-kutsuttua datakäyttötiedosto. Data[br]käyttötiedosto iPhonessa tallentaa 0:30:39.600,0:30:43.920 tietoa, kuinka paljon mobiilidataliiken-[br]nettä kukin prosessi puhelimella on käyt- 0:30:43.920,0:30:49.120 tänyt. Joten tätä voidaan käyttää jäljit-[br]tämään, mitkä sovellukset puhelimella 0:30:49.120,0:30:52.720 käyttävät eniten mobiilidatastasi. Mutta[br]mikä on todella hyödyllistä 0:30:52.720,0:30:56.640 on se että se itse asiassa tallentaa joi-[br]takin Pegasuksen käyttämien prosessien 0:30:56.640,0:31:01.162 nimiä, ja kuinka paljon ne ovat käyttäneet[br]dataa. Joten, mitä tiedämme NSO:n Pega- 0:31:01.162,0:31:08.160 suksesta, me uskomme että kun Pegasus[br]asennetaan puhelimeen, se tavallaan 0:31:08.160,0:31:13.666 valitsee satunnaisen nimen, jota se[br]käyttää piiloutuakseen ollessaan ajossa 0:31:13.666,0:31:18.000 järjestelmässä. Läpi tutkintojemme löy-[br]simme noin 50 erilaista prosessinimeä, 0:31:18.000,0:31:21.956 joita Pegasus käytti ja joihin se yritti[br]piilottaa itsensä. Ja kun tunnistimme 0:31:21.956,0:31:26.087 nämä prosessinimet, sitten pystyimme etsi-[br]mään näitä Pegasuksen tunnettuja prosessi- 0:31:26.087,0:31:31.599 nimiä mahdollisten uhrien laitteilta.[br]Ja mitä tapahtui, tämä tietokanta näyttää 0:31:31.599,0:31:36.141 myös aiakleiman milloin prosessi on ensim-[br]mäisen kerran tavallaan ajettu laitteella, 0:31:36.141,0:31:40.381 milloin se on viimeksi nähty laitteella. [br]Se myös antaa jonkinlaista tietoa siitä, 0:31:40.381,0:31:44.570 paljonko prosessi on siirtänyt dataa.[br]Joissakin tapauksissa se on ollut giga- 0:31:44.570,0:31:48.174 tavuittain dataa, mikä osoittaa että Pega-[br]sus todellakin vie hyvin paljon 0:31:48.174,0:31:53.494 dataa laitteelta. Ja jälleen, tämä on[br]kaikki automatisoitu MVT:ssä, 0:31:53.494,0:31:58.851 jten jos tarkistata puhelimesi MVT:llä ja[br]Pegasus-indikaattoreillta se näyttää sel- 0:31:58.851,0:32:04.799 keästi jos mikään prosesseista on löytynyt[br]laitteelta. Toinen ominaisuus, joka on 0:32:04.799,0:32:11.440 ollut todella hyödyllinen meille on ollut[br]MVT:n aikajana-ominaisuus. 0:32:11.440,0:32:17.291 Aikajana toimii niin, että se ottaa kaikki[br]eri indikaattorit ja moduulit puhelimesta 0:32:17.291,0:32:21.285 ja tarkastaa ne: SMS-viestit, [br]tiedostojärjestelmän, ja kaikki 0:32:21.285,0:32:27.119 kaikki tapahtumat, kaikki SMS-viestit, [br]kaikki selaimella tapahtuneet kyselyt, 0:32:27.119,0:32:33.228 kaikki tallentuvat yhteen tiedostoon päivä[br]määrän kanssa jolloin ne tapahtuivat. Ja 0:32:33.228,0:32:38.557 näin katsomalla tätä aikajaa, voimme näh-[br]dä mitkä eri tapahtumat tapahtuivat suun- 0:32:38.557,0:32:43.013 nilleen samaan aikaan toistensa kanssa, ja[br]tämä voi antaa meille ideaa kuinka hyök- 0:32:43.013,0:32:48.172 käys todella tapahtui laitteella. Haluan[br]kertoa teille yhden esimerkin aikajanan 0:32:48.172,0:32:52.405 käytöstä. Jotta tiedätte, kuinka voitte[br]itse sitä käyttää teidän omissa 0:32:52.405,0:32:59.885 tutkimuksissanne. Tämä on itse asiassa[br]demonstraatio ruandalaisen aktivistin 0:32:59.885,0:33:06.284 puhelimelta, johon kesäkuussa 2021 kohdis-[br]tettiin forcedentry, iMessagen nollapäivä. 0:33:06.284,0:33:13.898 Niin, näemme tässä aikajanalla että noin[br]kello 20, 20:45 puhelin rupesi saamaan 0:33:13.898,0:33:18.428 push-ilmoituksia iMessagen kautta. Ja vai-[br]kuttaa sitlä että puhelin sai noin 46 push 0:33:18.428,0:33:24.940 ilmoitusta. Ja mitä näemme sitten on että[br]SMS-liitteitä ruvettiin kirjoittamaan pu- 0:33:24.940,0:33:29.821 helimeen. Viimeisellä rivillä tässä näette[br]että tiedosto kirjoitettiin - kirjoitet- 0:33:29.821,0:33:33.642 tiin SMS-liitetiedostot-kansioon. Ja jos[br]katsottae tätä rivin loppua, näemme että 0:33:33.642,0:33:38.873 se tiedosto - tiedosto joka kirjoitetaan[br]levylle on itse asiassa .GIF-liite. Tähän 0:33:38.873,0:33:44.406 aikaan ajattelimme että tämä liittyy jo-[br]tenkin hyväskikäyttömenetelmään. NSO oli 0:33:44.406,0:33:50.465 toimittanut hyväskikäyttömenetelmänsä[br]tuossa GIF-tiedostossa. Jos katsomme tänne 0:33:50.465,0:33:56.054 vähän myöhemmin aikajanalla, näemme että[br]noin 10 minuuttia myöhemmin, samana päi- 0:33:56.054,0:34:02.095 vänä, Pegasus-prosessi alkaa suorittumaan[br]puhelimella. Tämä otpgrefd-prosessi. Vähän 0:34:02.095,0:34:06.789 tämän jälkeen joitakin lisätiedostoja[br]kirjoitettiin levylle, ja muita Pegasus- 0:34:06.789,0:34:12.059 prosesseja starttasi. Katsomalla tätä[br]aikajanaa yhdessä näemme aika selvästi, 0:34:12.059,0:34:15.544 että puhelin alkoi saamaan iMessage-vies-[br]tejä. Nämä GIF-liitteet kirjoitettiin le- 0:34:15.544,0:34:21.040 vylle ja noin 10 minuuttia sen jälkeen[br]puhelin oli saastunut Pegasuksella. 0:34:21.040,0:34:23.360 Muistakaa - käyttäjä ei ollut missään[br]vuorovaikutuksessa - he eivät klikanneet 0:34:23.360,0:34:26.320 mitään linkkiä. Sikäli mitä tiedämme, he[br]eivät edes huomanneet mitään tapahtuvan 0:34:26.320,0:34:29.120 laitteellaan. Hiljaisesti vain nämä[br]viestit toimitettiin ja noin 0:34:29.120,0:34:35.280 10-20 minuutin kuluttua Pegasus[br]sai pääsyn laitteeseen. 0:34:35.280,0:34:39.600 Jaoimme nämä löydökset Applen kanssa, ja[br]sitten myöhemmin syyskuussa 2021, 0:34:39.600,0:34:46.640 Apple - Citizen Lab tunnisti kopion[br]tästä hyväksikäyttömenetelmästä toisella 0:34:46.640,0:34:49.840 laitteella - toisen aktivistin puhelimella[br]ja he jakoivat sen Applen kanssa ja Apple 0:34:49.840,0:35:01.499 paikkasi tuon haavoittuvuuden syyskuussa[br]2021. Tässä oli vähän siitä, miten MVT 0:35:01.499,0:35:06.840 toimii ja kuinka tämä metodologia toimii[br]tunnistaakseen Pegasuksen laitteella. 0:35:06.840,0:35:12.674 Siitä lähtien kun julkaisiimme forensisen[br]metodologiamme ja työkalumme, monet toiset 0:35:12.674,0:35:18.770 ryhmät ja organisaatiot ovat myös käyttä-[br]neet näitä työkaluja ja metodologiaa tar- 0:35:18.770,0:35:24.469 kistaakseen muita laitteita Pegasuksen[br]jällkien varalta ja ovatkin löytäneet 0:35:24.469,0:35:28.796 monia uusia tapauksia. Tässä oikealla[br]näette esimerkin eräältä toiselta vapaa- 0:35:28.796,0:35:33.262 ehtoisjärjestöltä, "Frontline Defender",[br]joka tunnisti 6 palestiinalaisten ihmisoi- 0:35:33.274,0:35:39.154 keuksien puolustajaa, joidenka laitteet[br]oli hakkeroitu Pegasuksella. Toisessa 0:35:39.154,0:35:43.985 tapauksessa Belgian sotilastiedustelu[br]käytti samanlaista metodologiaa tarkis- 0:35:43.985,0:35:48.670 taakseen Belgiassa toimivien journalistien[br]puhelimia, ja he havaitsivat että belgia- 0:35:48.670,0:35:53.809 laisen journalisti Peter Verlindenin[br]iPhone oli hakkeroitu, ja he epäilivät 0:35:53.809,0:35:58.620 tästä Ruandaa. Toinen tapaus, jossa rans-[br]kalaiset tiedusteluviranomaiset varmisti- 0:35:58.620,0:36:05.952 vat että useiden ranskalaisten journalis-[br]tien puhelimet oli hakkeroitu Pegasuksella 0:36:05.952,0:36:11.187 Haluaisin korostaa, että MVT:ssä on todel-[br]la hyödyllinen Pegasuksen jälkien tunnis- 0:36:11.187,0:36:17.827 tamiseen, mutta MVT on suunniteltu olemaan[br]geneerinen mobiiliforensiikkatyökalu. Sitä 0:36:17.827,0:36:21.100 voidaan käyttää Pegasus-indikaattoreiden[br]kanssa Pegasuksen etsintään, mutta sitä 0:36:21.100,0:36:25.058 voidaan myös käyttää proaktiivisesti mui-[br]den vakoiluohjelmien etsintään. Suositte- 0:36:25.058,0:36:29.427 len, että jos epäilette puhelimeenne koh-[br]distuneen tällaisen spywaren, että tarkis- 0:36:29.427,0:36:34.442 tatte sen käyttämällä MVT:tä, otatte siitä[br]datan ulos MVT:llä ja pureskelette sitä. 0:36:34.442,0:36:38.111 Jos kohde on kansalaisyhteiskunnan jäsen, [br]tai aktivisti niin Amnesty ja muut organi- 0:36:38.111,0:36:44.270 saatiot voivat mielellään auttaa tällai-[br]sissa tutkinnoissa. MVT on avoimen lähde- 0:36:44.270,0:36:49.067 koodin työkalu. Se perustuu useisiin mo-[br]duuleihin ja olemme aina avoinna ideoille 0:36:49.067,0:36:54.368 uusista moduuleista ja havaitsemismeto-[br]deista, joiden avulla tätä työkalua voi- 0:36:54.368,0:37:03.620 daan kehittää paremmin havaitsemaan uusia[br]uhkia. Yksi asia mikä MVT:stä pitää muis- 0:37:03.620,0:37:06.738 taa on se että se on kehitetty havaitse-[br]maan vakoiluohjelmia. Valitettavasti, 0:37:06.738,0:37:10.123 ihmiset, jotka kehittävät näitä vakoiluoh-[br]jelmia, he ovat fiksuja ihmisiä ja he lu- 0:37:10.123,0:37:14.819 kevat näitä raportteja ja he katsovat täl-[br]laisia esityksiä. Eli joka kerta, kun jul- 0:37:14.819,0:37:20.352 kaisemme tietoa miten näitä kansalais-[br]yhteiskuntaa vastaan kohdistettuja uhkia 0:37:20.352,0:37:24.540 voidaan havaita, spyware-yhtiöt ja -toimi-[br]jat yrittävät kehittää työkalujaan niin, 0:37:24.540,0:37:29.689 että ne välttäisivät havainnoinnin. He[br]yrittävät päivittää infraansa piilottamaan 0:37:29.689,0:37:35.017 tai paremmin häivyttämään heidän aktivi-[br]teettinsa. Antaakseni esimerkin, tässä nä- 0:37:35.017,0:37:38.960 kyy miten NSO:n oma infra on kehittynyt[br]ajan myötä. Näemme että kun Amnestynä jul- 0:37:38.960,0:37:44.577 kaisimme NSO:n infrasta raportin vuonna[br]2018, se suljettiin ja sitten myöhemmin 0:37:44.577,0:37:49.966 kahden vuoden aikana se alkoi taas pyörit-[br]tämään enemmän infrastruktuuria, joka taas 0:37:49.966,0:37:57.702 suljettiin sen löydyttyä vuonna 2021. Se[br]on jatkuvaa kilpavarustelua. Ja vaikka 0:37:57.702,0:38:00.620 nämä työkalut ovat hyödyllisiä Pegasuksen[br]havainnoinnissa nyt, se ei välttämättä ai- 0:38:00.620,0:38:04.827 na ole niin automaattista, ja on todella[br]tärkeää jatkaa tutkimusta uusien jälkien 0:38:04.827,0:38:12.277 löytämiseksi uudenlaisista hyökkäyksistä.[br]Millainne sitten on mobiilisypwaren tule- 0:38:12.277,0:38:16.628 vaisuus? Yksi asia jonka haluan sanoa uu-[br]delleen on, että vaikka keskitymme paljon 0:38:16.628,0:38:20.298 NSO Group:iin ja Pegasukseen tässä tutki-[br]muksessa ja esityksessä, ja heihin on koh- 0:38:20.298,0:38:24.064 distunut muutenkin paljon huomiota: se ei[br]ole ainoa mobiilivakoiluohjelma markkino- 0:38:24.064,0:38:28.680 illa. On monia muita pelureita, jotka[br]yrittävät päästä tuohon samaan markkinaan, 0:38:28.680,0:38:34.750 ja myös kehittävät samanlaisia vakoilutyö-[br]kaluja, joita sitten myyvät eri asiakkaille. 0:38:34.750,0:38:41.735 Olemme nähneet tämän tutkinnoissamme.[br]Löysimme vähintään 180 journalistia, jotka 0:38:41.735,0:38:45.280 olivat potentiaalisia Pegasus-kohteita ja[br]monia muita ihmisoikeusaktivisteja sekä 0:38:45.280,0:38:50.157 oppositiopoliitikkoja, joihin on kohdis-[br]tettu näitä työkaluja viimeisten vuosien 0:38:50.157,0:38:55.907 aikana. Tähän mennessä nämä uhkatoimijat[br]ja nämä, nämä valtiolliset virastot ovat 0:38:55.907,0:39:00.992 pystyneet maalittamaan aktivisteja ja kan-[br]salaisyhteiskuntaa ilman rankaisua mobii- 0:39:00.992,0:39:05.222 lilaitteiden näkyvyyden ja telemetrian[br]puutteellisuuden vuoksi. He ovat päässeet 0:39:05.222,0:39:08.668 pälkähästä, koska heitä ei ole havaittu. [br]Tällaiset työkalut kuten MVT auttavat pal- 0:39:08.668,0:39:13.489 jastamaan joitakin näistä uhista, mutta[br]niitä pitää käyttää laajemmin, ja niitä tu 0:39:13.489,0:39:18.781 lee käyttää kansalaisyhteiskunnan kanssa[br]enemmän, jotta todella näemme näiden uh- 0:39:18.781,0:39:23.505 kien laajuudeen. Ja on myös tärkeää, että[br]teollisuus, teknologiateollisuus ja tur- 0:39:23.505,0:39:27.296 vallisuusala työskentelevät läheisesti[br]kansalaisyhteiskunnan kanssa havaitakseen 0:39:27.296,0:39:32.478 ja paljastaakseen näitä uhkia, sillä vali-[br]tettavasti ihmiset, jotka ovat suurimmassa 0:39:32.478,0:39:36.204 vaarassa näiltä vakavilta hyökkäyksiltä,[br]ovat samoja ihmisiä jotka ovat vähiten va- 0:39:36.204,0:39:43.120 rustettuja niin rahallisesti kuin tekni-[br]sesti puolustautumaan niiltä. Yhteen- 0:39:43.120,0:39:49.440 vetääkseni ajattelen että näemme hyökkää-[br]jien keskittyvän mobiiliin. Mobiilissa on 0:39:49.440,0:39:52.080 kaikki data, mikään muu ei tarjoa saman-[br]laista näköalapaikkaa jonkun elämään ja 0:39:52.080,0:39:56.400 heidän sisimpiin ajatuksiinsa. Pelkästään[br]mikrofonin asettaminen jokaisen taskuun, 0:39:56.400,0:40:01.680 jonkun taskuun on niin vahva positio olla[br]että ajattelemme yritysten ja valtioiden 0:40:01.680,0:40:07.120 jatkavan tällaisten työkalujen kehittä-[br]mistä. Tiedämme - minä ajattelen niin että 0:40:07.120,0:40:11.520 nollaklikkaushyväksikäyttömenetelmät tule-[br]vat olemaan hyvin, hyvin haluttuja. Kun 0:40:11.520,0:40:15.920 Apple ja muut ovat tehneet erinomaista[br]työtä tehdäkseen iMessage-hyökkäyksistä 0:40:15.920,0:40:19.920 paljon vaikeampia, on melkein varmaa, että[br]tällaiset kybervalvontayritykset jatkavat 0:40:19.920,0:40:24.480 näiden nollaklikkaushyväskikäyttömenetel-[br]mien kehittämistä. Jos ei iMessageen, niin 0:40:24.480,0:40:30.080 ehkä joihinkin muihin chat-sovelluksiin.[br]Vaikka Signaliin, tai Telegramiin tai 0:40:30.080,0:40:37.166 WhatsAppiin, he yrittävät hyökätä toisia[br]sovelluksia vastaan joita aktivistit käyt- 0:40:37.166,0:40:42.101 tävät. Valitettavasti aktivistien ja kan-[br]salaisyhteiskunnan ei ole mahdollista suo- 0:40:42.101,0:40:47.034 jautua näiltä nollapäivähyökkäyksiltä tek-[br]nisesti. Joten me todellakin tarvitsemme 0:40:47.034,0:40:51.577 aktiivisempaa yhteistyötä kansalaisyhteis-[br]kunnan ja eri avainalustatoimittajien 0:40:51.577,0:40:56.189 kanssa tunnistaaksemme ja puolustautuak-[br]semme näitä uhkia vastaan. Ja me myös 0:40:56.189,0:41:00.790 kiireellisesti tarvitsemme parempaa sään-[br]telyä estääksemme tällaisten edistyneiden 0:41:00.790,0:41:07.217 vakoiluohjelmien myymisen valtioille ja [br]toimijoille, joilla on pitkä historia nii- 0:41:07.217,0:41:12.978 den väärinkäyttämisestä kansalaisyhteis-[br]kuntaa ja oppositiota vastaan. Kiitos 0:41:12.978,0:41:17.750 kuuntelusta ja nyt voin vastata joihinkin[br]kysymyksiin. Jos teillä on kysymyksiä tai 0:41:17.750,0:41:20.680 jos teillä on huolia valvonnasta, jos olet[br]kansalaisyhteiskunnan jäsen, jos olet ak- 0:41:20.680,0:41:24.868 tivisti niin kontaktoikaa meitä osoittees-[br]sa share@amensty.tech . Kiitos. 0:41:24.868,0:41:30.602 Herald: Kiitos Donncha. Kiitoksia C-Base:[br]sta. Olemme jo menneet vähän yliajalle 0:41:30.602,0:41:37.033 tänä varhaisena hakkeriaamuna. Joitakin[br]kysymyksiä on tullut sisäisesti täällä 0:41:37.033,0:41:42.736 meidän pienen yleisömme kesken C-Basessa.[br]Meillä ei ole niin paljoa aikaa jäljellä. 0:41:42.736,0:41:47.686 Voitko antaa meille indikaatiota: mikä on[br]tämän käynnissä olevan sodan tahti? 0:41:47.686,0:41:53.558 Tunnetko että NSO group tekee aktiivises-[br]ti vastatoimia MVT:tä kohtaan ja kehitys- 0:41:53.558,0:41:57.533 työtänne kohtaan, vai saitteko tätä kun-[br]niaa vielä? 0:41:57.533,0:42:04.998 D: Ehdottomasti, olemme nähneet viimeisen[br]vuoden aikana että NSO on alkanut olemaan 0:42:04.998,0:42:11.084 paljon huolellisempi peittääkseen foren-[br]siset jälkensä, ja vuodesta 2020 lähtien 0:42:11.084,0:42:14.915 he ovat alkaneet siivoamaan jälkiä, joita[br]he ovat jättäneet. Ja on selvää, että 0:42:14.915,0:42:17.781 he ovat tajunneet ihmisten tutkivan tätä,[br]ja että on riski tämän plajastumisesta, 0:42:17.781,0:42:20.990 ja tunnen että tämän kesän paljastusten[br]jälkeen he ovat olleet paljon proaktiivi- 0:42:20.990,0:42:25.781 semmin peittäneet joitakin näistä jäljis-[br]tään. Mutta kuten sanoin, NSO on vain 0:42:25.781,0:42:30.800 yksi yritys muiden joukossa, ja on muita[br]yrityksiä jotka yrittävät kilpailla tuolla 0:42:30.800,0:42:35.120 samalla markkinalla. Joten jos NSO kehit-[br]tää toimintojaan paremmiksi, niin siltikin 0:42:35.120,0:42:38.825 ne muut yritykset, niitä voidaan havain-[br]noida MVT:llä ja perustavanlaatuisesti 0:42:38.825,0:42:44.324 vaikka he yrittäisivät peittää joitakin[br]jälkiään epäonnistuneista hyökkäyksistä, 0:42:44.324,0:42:48.065 niitä jälkiä tulee silti jäämään lojumaan[br]ympräiinsä koska spywaren ei ole mahdol- 0:42:48.065,0:42:51.440 lista siivota kaikkia olemassaolonsa[br]jälkiä. 0:42:51.440,0:42:57.437 H: Ahaa. Joten joku voisi vaikkapa vielä[br]pitkänkin ajan jälkeen lopulta, vanhalta 0:42:57.437,0:43:03.465 laitteelta löytää jälkiä vakoiluohjelmien[br]käytöstä, joka voi olla pitkässä juoksussa 0:43:03.465,0:43:09.870 hyvinkin mielenkiintoista tietoa pimeistä[br]kampanjoista ja asioista. Joten, NSO ei 0:43:09.870,0:43:15.360 ole ainoa toimija, vaan niitä tulee ole-[br]maan lisää. Ajatteletko että ne ovat vain 0:43:15.360,0:43:20.690 tusinakopiioita markkinoilla, vai tuleeko[br]tulevaisuudessa olemaan uudenlaisia uhkia? 0:43:20.690,0:43:24.811 D: Niin, minä arvelen että on paljon monia[br]fiksuja ihmisiä, jotka työskentelevät 0:43:24.811,0:43:29.580 tuollaisille firmoille, jotka näitä työ-[br]kaluja kehittävät. Justiinsa aiemmin tässä 0:43:29.580,0:43:34.180 kuussa Citizen Lab julkaisi raportin toi-[br]sesta kybervakoiluyrityksestä - Cytroxista 0:43:34.180,0:43:40.759 joka toimii Pohjois-Makedoniasta. He myi-[br]vät saman tyylistä spywarea, joka käyttää 0:43:40.759,0:43:45.002 tavallaan yhden klikkauksen hyökkäyksiä[br]haittalinkkien kanssa iPhonejen ja Android 0:43:45.002,0:43:50.256 puhelin tartuttamiseksi. Se on yksi firma,[br]joka toimii samalla markkinalla. on muita- 0:43:50.256,0:43:54.869 kin firmoja, jotka tekevät samanlaista[br]toimintaa, mutta me uskomme, että NSO 0:43:54.869,0:43:58.766 oli ehdottomasti suurin toimija tällä[br]markkinalla ja he ovat investoineet paljon 0:43:58.766,0:44:04.575 rahaa tällaisiin nollaklikkaushaavoittu-[br]vuuksiin. Tähän mennessä, me emme 0:44:04.575,0:44:07.579 tiedä ovatko he yhtä iso ja edistynyt toi-[br]mija kuin NSO, mutta ajattelen että moni 0:44:07.579,0:44:11.769 muu yrittää ottaa NSO:n paikkaa jos he[br]menettävät suosiotaan. 0:44:11.769,0:44:19.466 H: Aivan, aivan. OK, todella paljon kii-[br]toksia. Meidän pitää mennä nyt RC3:n aamu- 0:44:19.466,0:44:26.754 ohjelmaan muutamassa sekunnissa. Kiitoksia[br]oikein paljon tästä mielenkiintoisesta pu- 0:44:26.754,0:44:33.970 heeesta tänä aamuna. Vielä: share@amnesty.[br]tech on osoite mihin mennä. Ja tämä on 0:44:33.970,0:44:38.931 luultavasti yksi niistä puheista, jonka[br]haluatte katsoa uudelleen media.ccc.de:ssä 0:44:38.931,0:44:45.760 muutaman päivän kuluttua kun se julkais-[br]taan. Terveisiä Irlantiin. Kiitoksia oikein 0:44:45.760,0:44:51.280 paljon ja toivottavasti näemme vielä tosi-[br]elämässä, toivon. Kiitosta. D: Kiitokset, 0:44:52.500,0:44:53.500 ja hyvää päivää. 0:44:54.720,0:45:03.000 Kaikki on lisensoitu CC 4.0:llä, ja kaikki[br]on yhteisölle vapaata ladata! 0:45:03.000,0:45:03.570 Tekstitykset luotu c3subtitles.de:llä[br]vuonna 2022. Liity ja auta meitä! 0:45:03.571,0:45:03.841 [Translated by {Iikka}{Yli-Kuivila}[br](ITKST56 course assignment at JYU.FI)]