WEBVTT 00:00:01.440 --> 00:00:02.440 [Translated by {Iikka}{Yli-Kuivila} (ITKST56 course assignment at JYU.FI)] 00:00:03.880 --> 00:00:10.480 Herald: Hyvää huomenta C-Basesta, avaruus- asemalta Berliinin takaa tai alapuolelta. 00:00:12.640 --> 00:00:19.120 Tervetuloa 2. päivään RC3-streamiä Aloitamme parissa 00:00:19.120 --> 00:00:26.480 sekunnissa puheella "NSO Group:n Pega- suksen nappaaminen". Tämä on 00:00:26.480 --> 00:00:32.800 saanut paljon huomiota turvallisuus- ja hakkeripiireissä kautta maailman 00:00:32.800 --> 00:00:38.400 viimeisten, varmaan parin vuoden aikana. On ollut ilmiömäisiä tapauksia: 00:00:38.400 --> 00:00:45.720 murhia, kidnappauksia, journalisteja on uhkailtu, muita tapauksia. Pahamaineinen 00:00:45.720 --> 00:00:46.720 ohjelmisto, joka tekee tätä on nimeltään Pegasus. Firma joka sitä markkinoi tunnetaan 00:00:46.720 --> 00:00:53.280 lyhenteestään NSO, mitä ikinä se tarkoit- taakaan. Itse asiassa, Amnesty 00:00:53.280 --> 00:01:01.680 International IT-osastoineen on niin sano- tusti sijoittanut paljon työtä ja vaivaa 00:01:01.680 --> 00:01:08.240 havaitakseen, onko laite tartutettu Pegasuksella vai ei. NSO markkinoi sitä 00:01:08.240 --> 00:01:17.280 muiden seikkojen ohella "jäljittämättömänä". Jäljittämättömänä niin kuin 00:01:17.280 --> 00:01:22.640 ohjelmisto laitteella kuten tulemme näkemään ja puhujamme tänään: Donncha O'Cearbhaill 00:01:22.640 --> 00:01:28.640 Irlannista Amnesty International:ilta esittelee kuinka he 00:01:29.440 --> 00:01:34.800 kehittivät havaitsemistyökalut tälle ikä- välle spywarelle, joka on niin suosittu 00:01:34.800 --> 00:01:41.600 valtiollisten ryhmittymien ja muiden kes- kuudessa kautta maailman. OK, se 00:01:41.600 --> 00:01:50.960 esittelyistä, Donncha, lava ja streami on teidän. Hyvää huomenta. 00:01:50.960 --> 00:01:56.040 Donncha: Hyvää huomenta ja kiitokset tuo- sta esittelystä. Kuten siinä mainittiin 00:01:56.040 --> 00:02:02.080 haluaisin kertoa teille tänään NSO Group:n Pegasus spyware:sta. Erityisesti 00:02:02.080 --> 00:02:06.480 haluaisin selittää kuinka me Amnestyllä olemme tutkineet Pegasusta viimeisinä 00:02:06.480 --> 00:02:11.120 parina vuotena ja myös selitän ja näytän joitakin työkalujamme, joita olemme 00:02:11.120 --> 00:02:16.480 kehittäneet ja julkaisseet jotta muutkin voivat tutkia ja havaita Pegasus-spywarea 00:02:16.480 --> 00:02:22.480 mahdollisesti laitteillaan ja kansalais- yhteiskunnan toimijoiden laitteilla. 00:02:22.480 --> 00:02:25.840 Joten, nimeni on Donncha O'Cearbhaill ja olen teknologisti Amnesty Internationalin 00:02:27.760 --> 00:02:31.440 Security Lab:issä Berliinissä pienen ryhmän kanssa jonka erikoisalaa 00:02:31.440 --> 00:02:36.320 on kansalaisyhteiskuntaa ja muita ihmis- oikeuksien puolustajia vastaan kohden- 00:02:36.320 --> 00:02:42.640 nettujen uhkien, kuten spyware, kalastelu ja muut jäljitysuhat tutkinta. 00:02:42.640 --> 00:02:46.880 Kuten esittelyssä mainittiin, Pegasus on saanut paljon huomiota viime kuukausina. 00:02:49.440 --> 00:02:54.960 Olette voineet nähdäkin Pegasus Project paljastukset, jotka julkistettiin heinä- 00:02:56.800 --> 00:03:00.800 kuussa kesällä. Pegasus Project oli maail- manlaajuinen tutkinta NSO Group:n Pegasus 00:03:00.800 --> 00:03:05.680 spywareen liittyviä väärinkäytöksiä koskien. Tutkinta perustui vuodettuun 00:03:05.680 --> 00:03:11.520 50 000 kpl mahdollisen Pegasus-kohteen listaan, joihin Amnesty Internationalilla 00:03:13.280 --> 00:03:19.120 ja Forbidden Stories:lla oli pääsy. Tätä globaalia mediatutkintaa 00:03:19.120 --> 00:03:22.640 koordinoi Forbidden Stories ja siihen osal- listui noin 80 journalistia 17:sta eri 00:03:22.640 --> 00:03:26.960 tietotusvälineestä kautta maailman. Pegasus Project:n aikana 00:03:26.960 --> 00:03:32.400 Amnesty International otti teknisen kump- panin roolin, jossa erityisfokuksena 00:03:32.400 --> 00:03:36.960 oli suorittaa yksityiskohtaista, innova- tiivista forensista analyysiä todennä- 00:03:36.960 --> 00:03:42.160 köisten kohteiden laitteille. Ja tämän fo- rensisen analyysin keinoin 00:03:42.160 --> 00:03:46.720 pystyimme tunnistamaan jälkiä Pegasuksesta, joko sen tartuttamista 00:03:46.720 --> 00:03:51.040 tai maalittamista laitteista. Tämän moni- kuukautisen projektin kuluessa Amnesty 00:03:51.040 --> 00:03:59.360 Security Lab analysoi noin 67 laitetta, ja näistä 67 mahdollisen kohteen laittee- 00:03:59.360 --> 00:04:04.720 sta ainakin 37:ssa oli selkeitä jälkiä Pegasuksen maalittamisesta tai tartunnasta. 00:04:04.720 --> 00:04:11.760 Tämä on todellakin suuri määrä tartutet- tuja laitteita. Ja nämä laitteet kuuluivat 00:04:11.760 --> 00:04:15.360 journalisteille, aktivisteille, oppositio- poliitikoille, kaikenlaisille ihmisille, 00:04:15.360 --> 00:04:21.520 joita laittomasti valvottiin Pegasuksen avulla. Kaiken kaikkiaan kaikista 00:04:21.520 --> 00:04:24.572 puhelimista jotka tarkistimme,jotka olivat iPhoneja ja joita ei ollut vaihdettu, 00:04:24.572 --> 00:04:31.934 jotka olivat maalittamislistassa. enemmän kuin 80% puhelimista sisälsi 00:04:31.934 --> 00:04:36.711 jälkiä Pegasuksesta. Heinäkuussa kun nämä jutut julkaistiin ja 00:04:36.711 --> 00:04:42.767 ne korostivat sitä seikkaa että kansalais- yhteiskunta oli hyökkäyksen kohteena: 00:04:42.777 --> 00:04:46.440 kuten journalistit Unkarissa, aktivistit Marokossa, Saudi-Arabialaiset toisin- 00:04:46.440 --> 00:04:49.779 ajattelijat, myös Jamal Khashoggin perhe, keistä tutkinta näytti että heihin oli 00:04:49.779 --> 00:04:50.779 kohdistettu Pegasus-vakoiluohjelma sekä ennen että jälkeen hänen brutaalin 00:04:50.779 --> 00:04:56.734 kuoleamnsa. Joten joo, te voitte mennä ja lukea näistä tarinoista Internetistä. Tä- 00:04:56.734 --> 00:05:01.364 nään haluaisin keskittyä kuinka pääsimme tuohon pisteeseen, kuinka kehitimme nämä 00:05:01.364 --> 00:05:06.183 työkalut, kuinka kehitimme tämän meto- dologian Pegasuksen löytämiselle. Ja myös 00:05:06.183 --> 00:05:10.113 haluan selittää kuinka te voitte tehdä tätä, tätä Pegasuksen jäljittämistä ja 00:05:10.113 --> 00:05:14.922 muiden mobiili-spywarejen etsintään. Otetaan askel taaksepäin ja kysytään, mikä 00:05:14.922 --> 00:05:20.460 Pegasus itse asiassa on? Sen nimi on hyvin tunnettu, mutta mikä tämä ohjelma itse 00:05:20.460 --> 00:05:27.235 asiassa on ja kuinka se toimii? OK, eka asia mikä pitää muistaa, on että vaikka 00:05:27.235 --> 00:05:32.242 Pegasus on saanut huomiota viimeisenä parina vuotena, se ei itse asiassa ole 00:05:32.242 --> 00:05:37.240 uusi tuote. Me tiedämme, että Pegasus on ollut olemassa NSO Group:n kehittämänä 00:05:37.240 --> 00:05:41.197 ainakin vuodesta 2010 lähtien. Vasemmalla puolella näette tämän kuvan, se on Pega- 00:05:41.197 --> 00:05:45.100 suksen myyntiesitteestä vuodelta 2010 missä kuvaillaan kuinka Pegasus voidaan 00:05:45.100 --> 00:05:52.843 asentaa BlackBerry-laitteille. Ja me uskom- me, että alkuperäinen Pegasus-versio kes- 00:05:52.843 --> 00:05:58.236 kittyi BlackBerryyn, koska vuonna 2010, älypuhelimia oli paljon vähemmän kuin 00:05:58.236 --> 00:06:03.208 nykyisin. BlackBerry oli avainkohde tällaisille turvallisuusvirastoille, jotka 00:06:03.208 --> 00:06:06.716 halusivat tällaista vakoiluohjelmaa käyttää. Joten se kehittyi ajan kanssa, 00:06:06.716 --> 00:06:11.204 tässä oikealla puolella näette kuvia, jotka vuodettiin Pegasus-esitteestä joka 00:06:11.204 --> 00:06:16.855 julkaistiin vuonna 2014. Ensimmäisessä kuvassa puhutaan, kuinka Pegasus asenne- 00:06:16.855 --> 00:06:22.825 taan puhelimeen. Tässä esimerkissä se näyttää, kuinka Pegasus-tartutuslinkki 00:06:22.825 --> 00:06:30.880 voidaan lähettää tekstiviestin avulla kohdelaitteelle. Ja jos se linkki avataan, 00:06:30.880 --> 00:06:37.440 niin kuinka data kerätään ja välitetään takaisin Pegasus-ohjelmiston käyttäjälle. 00:06:37.440 --> 00:06:42.880 Tämä on vain yksi esimerkki - heidän omista kuvistaan. Tässä alla olevassa 00:06:42.880 --> 00:06:46.320 ympyrässä näette vähän, mitä kaikkea Pegasus väittää kykenevänsä valvomaan. 00:06:46.320 --> 00:06:52.320 Jos katsotte, niin näette että peri- aatteessa kaikkea laitteella. Joten, 00:06:52.320 --> 00:06:57.360 se puhuu sähköpostiosoitteiden ja teksti- viestien keräämisestä, sijaintitietojen 00:06:57.360 --> 00:07:00.400 seuraamisesta, jopa kalenterin lukemisesta ja puhelimen mikrofonin 00:07:00.400 --> 00:07:03.520 hallinnasta. Vaikka tämä kuvio on aika vanha, 6-7 vuotta vanha, 00:07:04.160 --> 00:07:08.640 saatte vähän ideaa millaista dataa Pegasus-ohjelmisto yrittää kerätä 00:07:08.640 --> 00:07:13.680 puhelimelta. Periaatteessa, se kerää kaikenlaista dataa puhelimelta, 00:07:13.680 --> 00:07:18.320 joka saattaisi kiinnostaa heitä, jotka suorittavat tällaista valvontaa. 00:07:18.320 --> 00:07:22.880 Yksi tärkeä asia muistaa on, että Pegasus spyware onnistuu saamaan 00:07:22.880 --> 00:07:25.600 hyvin tavallaan syvän pääsyn puhelimeen, joten se pystyy pääsemään kaikkialle puhe- 00:07:25.600 --> 00:07:31.760 limessa mihin käyttäjällä on pääsy, ja sen päälle vielä vähän. Joten vaikka 00:07:31.760 --> 00:07:36.800 käyttäisitte pikaviestintä kuten Signalia tai Telegrammia, mikä käyttää salausta, 00:07:36.800 --> 00:07:41.680 Pegasus pääsee käsiksi tuohon dataan ja niihin viesteihin ennemmin kuin ne 00:07:41.680 --> 00:07:45.280 salataan laitteella. Joten kun tämä vakoiluohjelma pyörii puhelimessa, 00:07:45.280 --> 00:07:50.400 mikään näistä salatuista viestintäsovelluksista ei auta, koska sillä on niin syvän tason 00:07:50.400 --> 00:07:54.320 pääsy puhelimeen. Niin, tuossa on vähän mitä Pegasus itse asiassa 00:07:54.320 --> 00:07:58.080 yrittää kerätä ja mitä - ja mitä ihmiset voivat tehdä Pegasus-ohjelmistolla. 00:07:58.080 --> 00:08:05.280 Joten, mistä itse asiassa tutkinta Pegasukseen alkoi? Joudumme palaamaan 00:08:05.280 --> 00:08:09.920 niinkin kauas kuin vuoteen 2016, kun Pegasus ensimmäisen kerran tunnistettiin 00:08:09.920 --> 00:08:17.296 maailmalta, jolloin sitä kohdistettiin aktivistiin. Tässä tapauksessa (2016) 00:08:17.296 --> 00:08:23.640 Pegasuksen löysi ensin Citizen Lab. Citizen Lab on joukko tutkijoita Kanadan 00:08:23.640 --> 00:08:28.837 Toronton yliopistosta, jotka myös työsken- televät tutkiakseen kansalaisyhteiskuntaa 00:08:28.837 --> 00:08:35.191 vastaan kohdistettuja vakoiluohjelmia. Tässä tapauksessa Arabiemiraateissa 00:08:35.191 --> 00:08:40.241 vaikuttava ihmisoikeuspuolustaja Ahmed Mansoor sai epäilyttäviä SMS-viestejä. 00:08:47.034 --> 00:08:51.541 Tässä oikealla on pari kuvakaappausta niistä. Mansoor oli varoavainen näiden vie- 00:08:51.541 --> 00:08:56.136 stien suhteen, koska hän oli saanut vas- taavia aiemmin, ja hänet oli tartutettu 00:08:56.136 --> 00:09:00.126 muilla vakoiluohjelmilla, esim. Finfisher- illä. Joten, kun hän sai näitä viesejä hän 00:09:00.126 --> 00:09:03.934 oli varovainen niiden suhteen ja jakoi ne Citizen Lab:n kanssa, joka ryhtyi 00:09:03.934 --> 00:09:08.027 tutkimaan niitä. Citizen Lab tajusi että nämä näyttivät 00:09:08.027 --> 00:09:12.549 hyökkäysviesteiltä, ja he avasivat linkit heidän omilla testipuhelimilla. 00:09:12.549 --> 00:09:17.103 Kun he tekivät tämän, he saivat kiinni hyväksikäyttömenetelmän, joka 00:09:17.103 --> 00:09:22.305 välitettiin näiden linkkien avulla ja he saivat myös kopion itse Pegasus- 00:09:22.305 --> 00:09:27.885 payloadista. Eli, mitä tapahtuu kun nämä linkit avataan web-selaimessa 00:09:32.830 --> 00:09:38.392 kuten Safarissa. Kun linkki avataan, Pegasus-palvelin palauttaa 00:09:38.392 --> 00:09:44.108 jotain JavaScriptiä, jotain koodia joka hyväksikäyttää tuntematonta vikaa Safari- 00:09:44.108 --> 00:09:48.368 verkkoselaimessa ja näin manipuloimalla Safaria ja hyväksikäyttämällä tätä 00:09:48.368 --> 00:09:52.720 tuntematonta haavoittuvuutta - he saavat oman koodinsa ajettua siinä selaimella. 00:09:52.720 --> 00:09:58.107 Ja lopulta, parin muun haavoittuvuuden he saavat enemmän käyttöoikeuksia 00:09:58.107 --> 00:10:03.274 iPhonella ja voivat lopulta asentaa koko Pegasus-payloadin. 00:10:03.274 --> 00:10:10.800 Joo, kun Citizen Lab vuonna 2016 ensiksi löysi tämän, se oli hyvin tärkeä 00:10:10.800 --> 00:10:17.360 löydös ja osoitti, kuinka vakavia uhkia kansalaisyhteiskuntaa kohtaan oli. 00:10:17.360 --> 00:10:20.320 Että löytyikin ihmisiä, jotka halusivat käyttää tällaisia erittäin 00:10:20.320 --> 00:10:23.680 korkean hinnan hyväksikäyttömenetelmiä ihmisoikeuksien puolustajiin, jotka 00:10:23.680 --> 00:10:27.840 vain tekevät ihmisoikeustyötään. Valitet- tavasti tämän jälkeen, Ahmed Mansooria 00:10:27.840 --> 00:10:32.800 häiriköitiin lisää ja hänet tuomittiin vankilaan, jossa hän yhäkin 00:10:32.800 --> 00:10:41.604 vuodesta 2017 lähtien. Melkein neljä vuotta nyt. Joten milloin me Amnestyllä 00:10:41.604 --> 00:10:44.171 aloimme tutkimaan tätä? Tiimimme on tut- kinut tällaisia uhkia jo jonkin aikaa. 00:10:44.171 --> 00:10:49.470 mutta me todella aloimme keskittymään NSO:n ja tutkimaan heitä vuonna 2018, sen 00:10:49.470 --> 00:10:55.015 jälkeen kun eräs kollegamme Amnestyllä alkoi saamaan epäilyttäviä tekstiviestejä. 00:10:55.015 --> 00:10:59.289 Tämä kollega sai toukokuussa 2018 tämän viestin jonka näette tässä vasemmalla. 00:10:59.289 --> 00:11:03.732 Viesti on kirjoitettu arabiaksi ja se väittää että eräs 00:11:03.732 --> 00:11:08.688 mielenosoitus tulee tapahtumaan piakkoin Saudi-Arabian suurlähetystön edustalla. 00:11:08.688 --> 00:11:13.088 Ja siinä pyydettiin Amnestyn työntekijää tukemaan tuota mielenosoitusta ja klik- 00:11:13.088 --> 00:11:18.880 kaamaan tuota linkkiä lisätietoja varten. Onneksi kollegamme saatuaan tämän viestin, 00:11:18.880 --> 00:11:21.680 hän alkoi epäilemään sitä. Hän ajatteli että onpas kummallista, eihän hän edes 00:11:21.680 --> 00:11:24.960 tuntenut tätä ihmistä. Ja niin he jakoivat kuvakaappauksen tuosta viestistä 00:11:24.960 --> 00:11:29.840 meille Amnesty Security Lab:lle, ja me aloimme tutkimaan asiaa. Aika nopeasti 00:11:29.840 --> 00:11:34.560 ryhdyttyämme tutkimaan tätä domain-nimeä ja serveriä, tulimme siihen tulokseen 00:11:34.560 --> 00:11:38.880 että se näyttää epäilyttävältä. Ja me myös onnistuimme tunnistamaan lisää domaineja 00:11:38.880 --> 00:11:45.200 ja palvelimia, jotka liittyivät tähän alkuperäiseen akhbar-arabia-domainiin. Ja 00:11:45.200 --> 00:11:49.040 sitten aika äkkiä rupesimme havaitsemaan, että tässä oli todellakin jotain epäilyttävää, 00:11:49.040 --> 00:11:52.000 ja että ehkä se oli jonkinlainen hyökkäys- viesti. Tuohon aikaan emme tienneet, onko 00:11:52.000 --> 00:11:59.280 se välttämättä NSO group. Katsomalla näitä alkuperäisiä, ensimmäisiä palvelimia 00:11:59.280 --> 00:12:03.040 onnistuimme luomaan tavallaan sormenjäljen jolla pystyimme tunnistamaan tämän tietyn 00:12:03.040 --> 00:12:08.400 konfiguraation, joka viestissä lähetetyllä domainilla ja palvleimella oli. Tämän 00:12:08.400 --> 00:12:12.400 sormenjäljen avulla saimme suoritettua Internet-skannauksen. Eli, luomme yhtey- 00:12:12.400 --> 00:12:17.120 den jokaiseen palvelimeen Internetissä ja lähetämme niille tietyn tyylisen pyynnön, 00:12:17.120 --> 00:12:20.240 jonka avulla näemme onko muita vastaavan konfiguraation omaavia palvelimia, jotka 00:12:20.240 --> 00:12:24.800 vastaavat tätä sormenjälkeä tästä alku- peräisestä palvelimesta. Tekemällä tätä 00:12:24.800 --> 00:12:30.080 Internet-skannausta onnistuimme löytämään 600 eri domainia ympäri Internettiä, jotka 00:12:31.840 --> 00:12:34.640 vastasivat tätä sormenjälkeä, ja jotka vaikuttivat liittyvän samanlaisiin 00:12:34.640 --> 00:12:40.560 hyökkäyksiin. Joten, se itse avain tämän kaiken havainnointiin oli se, että näimme 00:12:41.280 --> 00:12:45.360 että nämä domainit liittyivät itse asiassa Pegasukseen, koska NSO Group teki erään- 00:12:45.360 --> 00:12:49.188 laisen avainvirheen, tai heillä oli ydin- prosesseissa vika infrastruktuurin pystyt- 00:12:49.188 --> 00:12:58.189 tämisen suhteen. Joten mitä tapahtui: kuten sanottu aiemmin Citizen Lab tunnisti 00:12:58.189 --> 00:13:02.776 palvelimia, joita NSO Group käytti vuonna 2016. 2016 paljastuksen jälkeen NSO sulki 00:13:02.776 --> 00:13:07.034 kaikki nämä domainit ja infrastruktuurin. Ja sitten rupesivat pystyttämään uuden- 00:13:07.034 --> 00:13:11.262 laista infraa, jota ei voisi linkittää NSO Grouppiin. Onneksi he tekivät virheen, 00:13:11.262 --> 00:13:15.019 sillä he uudelleenkäyttivät yhden domainin aiemmasta infrastaan, jota he käyt- 00:13:15.019 --> 00:13:19.800 tivät myös tässä uudessa infrassaan. Löytämällä tuon yhden domainin niistä 00:13:19.800 --> 00:13:24.666 aiemmista 600:sta, jotka NSO:lla olivat olleet käytössään, pystyimme osoittamaan 00:13:24.666 --> 00:13:28.986 että nämä 600 muuta domainia olivat myös Pegasukseen liitettävissä. Joten pystyimme 00:13:28.986 --> 00:13:33.956 osoittamaan että viesti, joka oli lähetet- ty kollegallemme oli todellakin liitettä- 00:13:33.956 --> 00:13:40.105 vissä Pegasukseen, ja sen pyrkimyksenä oli oli saastuttaa hänen laitteensa. Joten 00:13:40.105 --> 00:13:46.116 julkaisimme nämä löydökset elokuussa 2018, ja siihen aikaan tunnistimme myös toisen 00:13:46.116 --> 00:13:51.076 ryhmän Saudi-Arabialaisia aktivisteja, joita oli myös maalitettu Pegasus- 00:13:51.076 --> 00:13:56.206 viestillä Whatsappissa Tämän jälkeen Amnesty International myös tuki oikeus- 00:13:56.206 --> 00:14:01.640 käsittelyä Israelissa, joka pyysi Israelin puolustusministeriötä peruuttamaan NSO:n 00:14:01.640 --> 00:14:06.979 vientiluvat. Jotta estettäisiin Pegasuksen myynti maille, jotka hyväksikäyttäisivät 00:14:06.979 --> 00:14:12.255 sitä Amnestyä ja muita ihmisoikeusakti- visteja vastaan. Valitettavasti 00:14:12.255 --> 00:14:18.291 myöhemmin Israelilainen tuomioistuin hyl- käsi tuon valituksen sanoen että Israelin 00:14:18.291 --> 00:14:22.820 puolustusministeriöllä oli jo riittävät varmennustomenpiteet, jotka estäisivät 00:14:22.820 --> 00:14:29.965 NSO:n vientituotteiden myymisen maille, jotka hyväksikäyttäisivät sitä. Tässä va- 00:14:29.965 --> 00:14:36.240 semmalla alhaalla näette kuvion, joka näyttää saatavilla olevien Pegasus-palve- 00:14:36.240 --> 00:14:41.411 limien määrän tuohon aikaan. Tarkoitan, katsokaa tätä: kun julkaisimme tämän 00:14:41.411 --> 00:14:46.826 raportin NSO toimi ripeästi ja sammutti kaikki 500-600 palvelintaan, jotka toimit- 00:14:46.826 --> 00:14:50.875 tivat Pegasusta. Tämä näyttää sen että, NSO lukee näitä tutkimuksia ja huomioivat 00:14:50.875 --> 00:14:54.791 ne. He yrittävät välttää sen, että tutki- jat, jotka tutkivat tällaisia hyväksi 00:14:54.791 --> 00:14:58.878 käyttötapauksia eivät löytäisi heidän infraansa ja palvelimiaan. 00:14:59.728 --> 00:15:16.240 Tämä oli tosiaan vuonna 2018, löydettyämme tämän hyökkäyksen 00:15:16.240 --> 00:15:21.612 Amnestyn työntekijää vastaan me Amnestyllä jatkoimme Pegasuksen tutkintaa, jotta 00:15:21.612 --> 00:15:28.010 löytäisimme muita tapauksia. Havaitsimme seuraavaksi Pegasus-maalittamista 00:15:28.010 --> 00:15:35.462 Marokossa vuonna 2019. Näette sen tässä oikealla. Tällä kertaa havaitsimme, että 00:15:35.462 --> 00:15:40.812 marokkolaista ihmisoikeuspuolustaja Maati Monjib oli toistuvasti 00:15:40.812 --> 00:15:46.596 Pegasuksen kohteena. Kun tarkistimme hänen puhelimensa, havaitsimme että hänellä oli 00:15:46.596 --> 00:15:52.419 joitakin epäilyttäviä viestejä siellä, jotka väittivät jonkinlaisen uutistapah- 00:15:52.419 --> 00:15:57.919 tuman tai skandaalin tapahtuneen, ja ne pyysivät kohdetta klikkaamaan linkkejä 00:15:57.919 --> 00:16:02.423 väittäen niissä olevan lisätietoa. Kun tutkimme näitä linkkejä, tiesimme heti 00:16:02.423 --> 00:16:06.696 että kyseessä on Pegasus-linkkejä, koska olimme jo aiemmin tunnistaneet nämä 00:16:06.696 --> 00:16:12.013 domainit kuuluvan niihin 600 domainiin, joita käytettiin jo 2018. Tässä esimer- 00:16:12.013 --> 00:16:16.825 kiksi näette tässä oikealla toisessa vies- tissä, näette domainin 00:16:16.825 --> 00:16:22.077 videosdownload.co. Tiesimme että se oli Pegasus, koska olimme aiemmin tunnista- 00:16:22.077 --> 00:16:30.080 neet ja julkaisseet tämän domainin vuonna 2018. Joten nyt tiesimme että Maati oli 00:16:30.080 --> 00:16:34.960 Pegasuksen kohteena, mutta tajusimme että meidän piti tehdä lisätutkintaa, jotta 00:16:34.960 --> 00:16:38.880 tietäisimme onko hänen puhelimensa todel- lakin saastunut, joten tarvitsimme lisä- 00:16:39.680 --> 00:16:43.200 tietoja hänen laitteeltaan. Kun teimme tämän, löysimme jotain mielenkiintoista 00:16:43.200 --> 00:16:47.920 Maatin puhelimesta: löysimme minkä uskoim- me olevan todisteita uudenlaisesta kohden- 00:16:47.920 --> 00:16:53.600 tamisesta. Sen sijaan, että saataisiin kohde huijattua klikkaamaan linkkiä, 00:16:53.600 --> 00:16:58.760 joka ehkä ei toimi - ehä kohde huomaa että jotain epäilyttävää on tapahtumassa. 00:16:58.760 --> 00:17:04.240 Sen sijaan näimme että he käyttivät verkkoinjektiohyökkäystä. 00:17:04.240 --> 00:17:08.160 Verkkoinjektiohyökkäys toimii näin: injektiossa täytyy 00:17:08.160 --> 00:17:15.040 olla mukana jonkinlaista laitteistoa tai ohjelmistoa siellä, missä mobiililaite 00:17:15.040 --> 00:17:18.960 käyttää verkkoa. Tämä voi olla mobiili- verkossa tai sitten se voi olla erillis- 00:17:18.960 --> 00:17:23.120 laitteistoa tai -ohjelmistoa joka pyörii samassa Wi-Fi-verkossa kohteen 00:17:23.120 --> 00:17:28.480 kanssa. Ja mitä se tekee: kun käyttäjä selaa verkkoa 00:17:28.480 --> 00:17:33.760 puhelimellaan, lopulta käyttäjä selaa ja klikkaa jotain linkkiä joka vie 00:17:33.760 --> 00:17:39.440 normaalille http-verkkosivulle. Eli ilman https:ää. Joten kun tällainen http-pyyntö 00:17:40.160 --> 00:17:43.440 tehdään, ohjelmisto joka on ylempänä ver- kossa näkee tämän http-pyynnön. 00:17:43.440 --> 00:17:47.520 Ja kun http-pyyntö tapahtuu se voi sen sijaan että se palauttaisi oikean sisällön 00:17:47.520 --> 00:17:51.920 tuohon oikeaan pyyntöön, se sen sijaan palauttaa http uudelleenohjauksen 00:17:51.920 --> 00:17:57.040 Ja http uudelleenohjaus vie puhelimen selaimen jonnekin pahantahtoiselle 00:17:57.040 --> 00:18:02.480 hyväksikäyttösivustolle, joka sitten hakkeroi puhelimen. Maatin tapauksessa 00:18:02.480 --> 00:18:06.160 löysimme että hän oli yrittänyt mennä tarkistamaan sähköpostiaan ja hän oli 00:18:06.160 --> 00:18:10.960 kirjoittanut Yahoo.fr selaimeensa. Tällöin ylempänä verkossa oleva ohjelmisto 00:18:10.960 --> 00:18:16.400 näkee tämän selväkielisen yhteyden ja uudelleenohjaa hänen puhelimensa tähän 00:18:16.400 --> 00:18:19.920 hyväksikäyttölinkkiin jonka näemme tässä ylhäällä. Kuten näette, domain näyttää 00:18:19.920 --> 00:18:25.200 epäilyttävältä: "get1tn0w.free247downlo- ads.com". Siinä on satunnaisia merkkejä 00:18:25.200 --> 00:18:29.244 lopussa, joka näyttää hyväksikäyttölinkiltä. Tuolloin epäilimme, että tämä 00:18:29.244 --> 00:18:33.748 on pegasus, ja että se on uusi tapa toi- mittaa Pegasus ilman että käyttäjää 00:18:33.748 --> 00:18:36.715 tarvitaan huijata klikkaamaan linkkiä. Mutta emme olleet varmoja että se oli 00:18:36.715 --> 00:18:44.021 Pegasus, se olisi voinut olla jokin muu vakoiluohjelma. Onneksemme NSO auttoi 00:18:44.021 --> 00:18:51.288 meitä varmistamaan että se oli Pegasus, sillä ennen kuin julkistimme tämän 00:18:51.288 --> 00:18:56.124 raportin, Amnesty kirjoitti NSO Group:lle jakaen löydöksemme ja mielenkiintoisesti 00:18:56.124 --> 00:19:00.470 päivä sen jälkeen tämä spyware-palvelin suljettiin ja se meni offlineen. 00:19:00.470 --> 00:19:05.609 Ja tämä oli viikko ennen varsinaista raportin julkaisua. Joten se 00:19:05.609 --> 00:19:09.280 tavalllaan varmisti meille että NSO todel- lakin hallitsi tuota infrastruktuuria ja 00:19:09.280 --> 00:19:13.316 he pystyivät sen sulkemaan silloin, kun me olimme vain heidän kanssaan yksityi- 00:19:13.316 --> 00:19:18.652 sesti jakaneet tämän tiedon. Vähän myöhem- min löysimme lisää tietoa, kuinka tämä 00:19:18.652 --> 00:19:23.854 hyökäys oli ehkä toteutettu: NSO eräillä messuilla demonstroi uudenlaista laittei- 00:19:23.854 --> 00:19:28.132 stoa jonka he olivat kehittäneet, näette sen tässä oikealla olevassa valokuvassa. 00:19:28.132 --> 00:19:33.661 Ja me uskomme että valokuvassa on erään- lainen IMSI-sieppaaja tai valetukiasema, 00:19:33.661 --> 00:19:39.827 joka voi pyörittää valemobiiliverkkoa. Ja kohteen puhelin: Maati pystyisi 00:19:39.827 --> 00:19:44.360 yhdistämänä tuohon valetukiasmeaan, ja silloin tuo tukiasema 00:19:44.360 --> 00:19:49.339 mahdollistaa NSO:lle puhelimen uudelleen- ohjauksen hyväksikäyttösivuille. 00:19:49.339 --> 00:19:54.000 Emme ole varmoja kuinka tämä tarkalleen tapahtui, jos tämä oli se laite jota käy- 00:19:54.000 --> 00:19:57.912 tettiin, mutta me uskomme että NSO esitte- lee tai testaa näitä uudenlaisia taktisen 00:19:57.912 --> 00:20:05.920 saastuttamisen keinoja. Tässä vaiheessa löydöksemme olivat Marokossa - rupesimme 00:20:05.920 --> 00:20:11.200 tajuamaan että SMS-viestien tarkistus, linkkien tarkistus ja nojautuminen siihen 00:20:11.200 --> 00:20:17.280 että ihmiset tulevat meille kertomaan jostakin epäilyttävästä ei voinut toimia 00:20:17.280 --> 00:20:21.520 enää jatkossa koska rupesimme näkemään näitä nollaklikkaushyökkäyksiä. Nolla- 00:20:21.520 --> 00:20:25.680 klikkaushyökkäys on siis mikä tahansa tapa saastuttaa laite, joka ei nojaa 00:20:25.680 --> 00:20:31.200 käyttäjän vuorovaikutukseen. Ei odota siis käyttäjän klikkaavan linkkiä. Tässä 00:20:31.200 --> 00:20:33.760 näemme muutamia esimerkkejä toisista nollaklikkaushyökkäyksistä, joita on 00:20:33.760 --> 00:20:37.440 löydetty viimeisten parin vuoden aikana. Arvatakseni eräs ensimmäisistä tässä oli 00:20:37.440 --> 00:20:43.840 vuona 2019, kun NSO Group kehitti hyväksi- käyttömenetelmän WhatsAppia varten, ja 00:20:43.840 --> 00:20:51.280 sitten sitä käytettiin ainakin 1400 ihmi- stä vastaan ympäri maailmaa. Kaikki tämä, 00:20:51.280 --> 00:20:58.400 miten se toimi oli näin: kohde sai yksin- kertaisesti soiton WhatsAppissa, ja jopa 00:20:58.400 --> 00:21:02.000 vastaamaton soitto mahdollisti hyväksi- käyttömenetelmän ajamisen koneella ja 00:21:02.000 --> 00:21:06.000 puhelimen saastuttamisen, ilman minkään klikkaamista. Kuten kuvailtu aiemmin, 00:21:06.000 --> 00:21:09.840 näimme näitä verkkoinjektiohyökkäyksiä, ja sitten myöhemmin vuonna 2020, Citizen Lab 00:21:09.840 --> 00:21:18.320 löysi myös iMessage-nollapäivän, jota käy- tettiin iPhone-käyttäjien tartuttamiseen 00:21:18.320 --> 00:21:23.680 ilman minkäänlaista vuorovaikutusta. Omissa tutkinnoissamme löysimme että 00:21:23.680 --> 00:21:30.960 NSO on käyttänyt erilaisia nollaklikkaus- menetelmiä ainakin vuodesta 2017 lähtien 00:21:30.960 --> 00:21:35.480 aina tämän vuoden heinäkuuhun. Joten tie- dämme että tämä ei ole uusi tekniikka hei- 00:21:35.480 --> 00:21:38.720 lle, mutta se on jotakin mitä olemme vasta äskettäin ruvenneet löytämään 00:21:38.720 --> 00:21:42.320 viimeisten parin vuoden aikana. Olemme nähneet että NSO näkee paljon vaivaa 00:21:42.320 --> 00:21:52.775 kehittääkseen näitä monimutkaisia ja hyvin vaikuttavia nollaklikkausmenetelmiä. Nyt 00:21:52.775 --> 00:21:56.720 kun tiedämme että NSO ja heidän asiakkaan- sa käyttävät tällaisia nollaklikkaushyök- 00:21:56.720 --> 00:22:02.000 käyksiä, tajusimme että meidän piti tehdä jotain kehittyneempää jotta löytäisimme 00:22:02.000 --> 00:22:07.160 tällaisen valvonnan tapauksia. Suuri ongelma mobiililaitteilla on näkyvyyden 00:22:07.160 --> 00:22:11.196 puute, siinä missä tietokoneilla ja kannettavilla meillä on antivirus tai EDR- 00:22:11.196 --> 00:22:14.428 järjestelmiä saatavilla. Mitään tuollaista ei ollut vielä tuolloin saatavilla 00:22:14.428 --> 00:22:18.240 mobiililaitteille. Joten tällaiset hyök- käykset, erityisesti nollaklikkaushyök- 00:22:18.240 --> 00:22:26.000 käykset niitä ei usein havaita. Rupesimme tutkimaan tätä. Tajusimme että vaikka 00:22:26.000 --> 00:22:29.600 mobiililaiteforensiikka oli vaikeaa, se ei kuitenkaan ollut aivan 00:22:29.600 --> 00:22:34.080 mahdotonta. Tausimme vähän yllättäen, että iPhonet itse asiassa sallivat suht 00:22:34.080 --> 00:22:38.960 hyvän näkyvyyden isoon osaan tarpeellista dataa puhelimissa iPhone-varmuuskopioiden 00:22:38.960 --> 00:22:43.680 muodossa. Ja on itse asiassa aika mah- dollista aloittaa 00:22:43.680 --> 00:22:48.800 forensinen analyysi iPhoneille. Valitettavasti Android-laitteet ovat 00:22:48.800 --> 00:22:52.880 paljon rajoitetumpia johtuen Android-käyttöjärjestelmän rajoituksista. 00:22:52.880 --> 00:22:58.160 Ei ole mahdollista saada paljoa tietoa Android-varmuuskopiosta, joten ainoat 00:22:58.160 --> 00:23:02.000 asiat joita olemme voineet tehdä Android: lle on ollut yksinkertaisesti tarkistaa 00:23:02.000 --> 00:23:06.880 SMS-viestit ja ehkä selainhistoria maalit- tamisen jäljiltä. Mutta vieläkin, siinä on 00:23:06.880 --> 00:23:11.760 paljon vähemmän dataa Androideilla ver- rattuna iPhoneihin. Toinen suuri ongelma 00:23:11.760 --> 00:23:15.520 oli että tajusimme ettei ollut mitään jul- kisia työkaluja, joilla suorittaa käyt- 00:23:15.520 --> 00:23:19.120 täjän kanssa yhteistyössä mobiililaite- forensiikkaa. Kaikki forensiset työkalut 00:23:19.120 --> 00:23:24.800 oli suunniteltu ja tehty ihmisille, jotka haluavat tietoa puhelimista vasten omis- 00:23:24.800 --> 00:23:28.560 tajan tahtoa, takavarikoiduista puhelimis- ta siis. Ei ollut mitään työkaluja, 00:23:28.560 --> 00:23:35.440 joilla tarkistaa esimerkiksi oma puhelin vakoiluohjelmien varalta. Tässä kohtaa 00:23:35.440 --> 00:23:40.560 astuu esiin Mobile Verification Toolkit. MVT - MVT on Amnesty Internationalin 00:23:40.560 --> 00:23:43.920 kehittämä julkinen työkalu ja se on suunniteltu yksinkertaistamaan 00:23:43.920 --> 00:23:48.720 mobiililaiteanalyysiä vakoiluohjelmien jälkien löytämiseksi. Se on saatavilla 00:23:48.720 --> 00:23:53.360 GitHubissa, käykää katsomassa. Ja korostaisin vielä että 00:23:53.360 --> 00:23:57.520 kaikki Pegasus-maalittamiset, joita olen kuvaillut tässä edellisissä tapauksissa 00:23:57.520 --> 00:24:01.600 ja tulen kuvailemaan, ne kaikki on löydetty käyttämällä MVT:tä. 00:24:01.600 --> 00:24:09.040 MVT siis todellakin toimii, se löytää kehittyneitä vakoiluohejlmia, myös nolla- 00:24:09.040 --> 00:24:14.560 klikkausmenetelmiä, nollapäivähyväksikäyt- tömenetelmiä hyödyntäviä, todella sofisti- 00:24:14.560 --> 00:24:19.280 koituneita ohjelmia kuten Pegasusta. Joten kun nämä vakoiluohjelmamyyjät sanovat että 00:24:19.280 --> 00:24:22.640 "Heidän tuotettaan ei voida havaita": Ne ovat kehittyneitä, he ovat käyttäneet 00:24:22.640 --> 00:24:27.440 paljon rahaa kehittääkseen niitä, mutta ne eivät ole taikuutta. Jos olette tarpeeksi 00:24:27.440 --> 00:24:30.240 huolellisia ja kattavasti tarkistatte jälkiä: aina löytyy virheitä, joita on 00:24:30.240 --> 00:24:35.472 tehty. Aina on jokin tapa jolla tunnistaa potentiaalista epäilyttävää käytöstä 00:24:35.472 --> 00:24:44.640 näillä laitteillta. MVT on kirjoitettu Pythonilla ja se on hyvin helppo asentaa: 00:24:44.640 --> 00:24:50.113 jos sinulla on PIP, sanot vain: "pip3 install mvt". Ja näin sitä käytetään, 00:24:50.113 --> 00:24:54.906 supersimppeliä: tarkistaaksesi iPhonen teet vain iPhone-varmuuskopion ja ajat 00:24:54.906 --> 00:25:00.005 komennon "mvt-ios check-backup" ja annat sille varmuuskopion kansion. 00:25:00.005 --> 00:25:05.301 Tässä komennossa käytetään myös .stix-tie- dostoa. .stix-tiedosto sisältää indikaat- 00:25:05.301 --> 00:25:09.959 toreita. Ne voivat olla erilaisia kuten domainnimiä tai IP-osoitteita tai 00:25:09.959 --> 00:25:15.187 prosessinimiä joita on yhdistetty vakoilu- ojhelmiin. MVT on 00:25:15.187 --> 00:25:19.648 yleisluontoinen työkalu. Sitä voidaan käyttää Pegasus-indikaattoreiden kanssa, 00:25:19.648 --> 00:25:26.134 muttta myös muiden vakoiluohjelmien tai haittaohjelmien tai työkalujen indikaatto- 00:25:26.134 --> 00:25:31.889 reiden kanssa. MVT on modulaarinen kehys, ja siinä on moduuleita erilaisten tieto- 00:25:31.889 --> 00:25:36.705 kantojen parsintaan, kuten SMS-viestien tai selaushistorian tai muiden laitteella 00:25:36.705 --> 00:25:41.368 olevien tiedostojen tarkistukseen. Selitän ja läpikäyn näistä moduuleista muutamia, 00:25:41.368 --> 00:25:46.297 ja näytän kuinka niitä voidaan käyttää Pegasuksen tai muiden vakoiluohjelmien 00:25:46.297 --> 00:25:53.640 jälkien löytämiseen. Yksi moduuli joka on hyvin käyttökelpoinen on SMS-moduuli, 00:25:53.640 --> 00:25:58.766 se on hyvin suoraviivainen, se lukee SMS- tietokannan iPhone-varmuuskopiosta ja 00:25:58.766 --> 00:26:04.283 ottaa siitä linkit ja tarkistaa jos mikään linkeistä vastaa tunnettuja pahoja domai- 00:26:04.283 --> 00:26:10.656 neja. Tässä tapauksessa me 00:26:10.656 --> 00:26:14.707 tarkistamme varmuuskopion, joka oli maali- tettu Pegasuksella, ja me näemme että 00:26:14.707 --> 00:26:18.844 siellä on monia domaineja, jtoka on liite- tty Pegasukseen. Näemme tuossa 00:26:18.844 --> 00:26:25.221 revolution-news.co, stopsms.biz ja tie- tojemme perusteella NSO on käyttänyt täl- 00:26:25.221 --> 00:26:32.883 laisia haitta-SMSiä ensisijaisesti vuosien 2016-2018 välillä. Olemme myös nähneet 00:26:32.883 --> 00:26:37.896 Pegasus-linkkejä niinkin kauaa sitten kuin vuonna 2014 ja niinkin piakkoin kuin 2020 00:26:37.896 --> 00:26:43.200 Tämä on ollut aika yleistä ja minusta jos näitä nollaklikkaushyökkäyksiä ei ole saa- 00:26:43.200 --> 00:26:51.348 tavilla, näemme siltikin näitä haitta- linkkejä SMS:n välityksellä. Toinen data- 00:26:51.348 --> 00:26:56.600 lähde joka on ollut hyvin hyödyllinen jäl- kien havaitsemissa on Safari-selaimen his- 00:26:56.600 --> 00:27:03.595 toria. Olemme siis nähneet haittalinkkien jälkiä tallentuvan 00:27:03.595 --> 00:27:09.464 Safari-selaimen historiaan, erityisesti verkkoinjektiohyökkäysten jäljiltä. 00:27:09.464 --> 00:27:14.294 Tässä tapauksessa kun SMS:ssä ei ole linkkiä, kun verkkoinjektiohyökkäys tapah- 00:27:14.294 --> 00:27:18.800 tuu, hyökkäyssivuston domain tallentuu selaimen historiaan. 00:27:18.800 --> 00:27:22.506 Tarkistamalla selainhistorian, voimme pystyä löytämään todisteita että tämä 00:27:22.506 --> 00:27:31.120 hyökkäys tapahtui. Täsä oikealla näette kuvakaappauksen, jonka otti itse asiassa 00:27:31.120 --> 00:27:38.400 marokkolainen journalisti, Omar Radi, kun häneen kohdistettiin tällainen verkkoin- 00:27:38.400 --> 00:27:43.600 jetkiohyökkyäs Marokossa. Hän oli siis selaamassa verkkoa kun hän klikkasi link- 00:27:43.600 --> 00:27:46.720 iä ja sitten hänet uudelleenohjattiin tälle verkkosivustolle. Ja kun tämä kuva- 00:27:46.720 --> 00:27:49.920 kaappaus otettiin, se itse asiassa ajoi JavaScriptiä, joka yritti hyväksikäyttää 00:27:49.920 --> 00:27:55.440 hänen puhelintaa. Valitettavasti tämän tutkimuksen julkaisun jälkeen Omar Radia 00:27:55.440 --> 00:27:59.920 häiriköitiin useasti marokkolaisten viran- omaiten toimesta ja hänet lopulta vangit- 00:27:59.920 --> 00:28:04.556 tiin epäoikeudenmukaisen oikeudenkäynnin jälkeen ja hän on tällä hetkellä vankilassa. 00:28:06.806 --> 00:28:13.199 Eräs toinen tiedosto, joka on ollut hyvin hyödyllinen tutkinnoissamme on ollut ID 00:28:13.199 --> 00:28:18.462 status cache-tiedosto. ID status cache- tiedosto on iPhoneissa ja se pitää kirjaa 00:28:18.462 --> 00:28:23.671 kaikista iCloud-tileistä, jotka vuorovai- kuttavat laitteen kanssa. Se voi olla 00:28:23.671 --> 00:28:27.408 vuorovaikutusta laitteen kanssa Applen eri palveluiden kautta, mukaan luettuna 00:28:27.408 --> 00:28:32.266 iMessage, AirDrop, Apple Photos. Ja mikä on erittäin hyödyllistä tämän suhteen on se 00:28:32.266 --> 00:28:39.282 että se näyttää meille mitkä pahantahtoi- set tilit, Pegasukseen liittyvät tilit, 00:28:39.282 --> 00:28:46.080 olivat maalittaneet tiettyä laitetta. Mitä tiedämme Pegasuksesta on se, että me 00:28:46.080 --> 00:28:51.920 uskomme että nämä tilit on pystytetty ja luotu yhden yksittäisen Pegasus-asiakkaan 00:28:51.920 --> 00:28:58.240 toimesta. Kuten näette tässä ensimmäisellä rivillä, näemme että sähköpostiosoite 00:28:58.240 --> 00:29:04.480 linakeller - ja me näimme tämän - tätä tiliä käytetään toimittamaan iMessage 00:29:04.480 --> 00:29:08.400 nollapäiviä useille eri aktivisteille. Olemme nähneet sitä käytettävän 00:29:08.400 --> 00:29:16.240 hyväksikäyttömenetelmien toimittamiseen marokkolaisille aktivisteille ja parille 00:29:16.240 --> 00:29:21.040 ranskalaiselle poliittiselle henkilölle. Joten, katsomalla mitkä yksilöt on maali- 00:29:21.040 --> 00:29:24.720 tettu saman tilin toimesta, saman asiak- kaan toimesta, pystymme päättelemään 00:29:24.720 --> 00:29:28.400 jonkin verran kuka asiakas saattaa olla, ja saamme parempaa attribuutiota hyökkäyk- 00:29:28.400 --> 00:29:33.840 selle. Sama asia näissä muissa tapauksissa näemme esimerkiksi sähköpostiosoitteen 00:29:33.840 --> 00:29:39.200 jessicadavies1345. Se löydettiin kahden eri unkarilaisen journalistin puhelimesta. 00:29:39.200 --> 00:29:44.160 Sama tällä emmadavies-osoitteella, ja taas myös tällä viimeisellä 00:29:44.160 --> 00:29:49.120 osoitteella: williams enny. Löysimme tämän kahden eri unkarilaisen yksityishenkilön 00:29:50.560 --> 00:29:58.320 puhelimesta, he olivat aktivisteja. Tämä on hyvin käyttökelpoista meille 00:29:58.320 --> 00:30:01.450 tutkinnoissamme, koska se todellakin antaa meille paremmin ideaa kuka saattaa olla 00:30:01.450 --> 00:30:10.480 näiden näkemiemme hyökkäysten takana. Äsken näytin lokeja SMS-viesteistä, 00:30:10.480 --> 00:30:15.840 data- ja selainhistoriasta. Nämä näyttävät tavallaan jälkiä maalittamisesta. 00:30:15.840 --> 00:30:19.280 Ne näyttävät että näille on lähetetty haittalinkki, mutta ne eivät näytä että 00:30:19.280 --> 00:30:23.920 onko puhelin onnistuneesti saastutettu. Joten, vielä näytän pari lokia, joita 00:30:23.920 --> 00:30:28.700 voidaan käyttää juuri tuohon tarkoitukseen - varmentamiseen onko puhelin saastutettu. 00:30:28.800 --> 00:30:32.580 Eräs näistä tiedostoista, joka on ollut hyvin hyödyllinen meille tutkinnoissamme, 00:30:32.580 --> 00:30:39.600 on niin-kutsuttua datakäyttötiedosto. Data käyttötiedosto iPhonessa tallentaa 00:30:39.600 --> 00:30:43.920 tietoa, kuinka paljon mobiilidataliiken- nettä kukin prosessi puhelimella on käyt- 00:30:43.920 --> 00:30:49.120 tänyt. Joten tätä voidaan käyttää jäljit- tämään, mitkä sovellukset puhelimella 00:30:49.120 --> 00:30:52.720 käyttävät eniten mobiilidatastasi. Mutta mikä on todella hyödyllistä 00:30:52.720 --> 00:30:56.640 on se että se itse asiassa tallentaa joi- takin Pegasuksen käyttämien prosessien 00:30:56.640 --> 00:31:01.162 nimiä, ja kuinka paljon ne ovat käyttäneet dataa. Joten, mitä tiedämme NSO:n Pega- 00:31:01.162 --> 00:31:08.160 suksesta, me uskomme että kun Pegasus asennetaan puhelimeen, se tavallaan 00:31:08.160 --> 00:31:13.666 valitsee satunnaisen nimen, jota se käyttää piiloutuakseen ollessaan ajossa 00:31:13.666 --> 00:31:18.000 järjestelmässä. Läpi tutkintojemme löy- simme noin 50 erilaista prosessinimeä, 00:31:18.000 --> 00:31:21.956 joita Pegasus käytti ja joihin se yritti piilottaa itsensä. Ja kun tunnistimme 00:31:21.956 --> 00:31:26.087 nämä prosessinimet, sitten pystyimme etsi- mään näitä Pegasuksen tunnettuja prosessi- 00:31:26.087 --> 00:31:31.599 nimiä mahdollisten uhrien laitteilta. Ja mitä tapahtui, tämä tietokanta näyttää 00:31:31.599 --> 00:31:36.141 myös aiakleiman milloin prosessi on ensim- mäisen kerran tavallaan ajettu laitteella, 00:31:36.141 --> 00:31:40.381 milloin se on viimeksi nähty laitteella. Se myös antaa jonkinlaista tietoa siitä, 00:31:40.381 --> 00:31:44.570 paljonko prosessi on siirtänyt dataa. Joissakin tapauksissa se on ollut giga- 00:31:44.570 --> 00:31:48.174 tavuittain dataa, mikä osoittaa että Pega- sus todellakin vie hyvin paljon 00:31:48.174 --> 00:31:53.494 dataa laitteelta. Ja jälleen, tämä on kaikki automatisoitu MVT:ssä, 00:31:53.494 --> 00:31:58.851 jten jos tarkistata puhelimesi MVT:llä ja Pegasus-indikaattoreillta se näyttää sel- 00:31:58.851 --> 00:32:04.799 keästi jos mikään prosesseista on löytynyt laitteelta. Toinen ominaisuus, joka on 00:32:04.799 --> 00:32:11.440 ollut todella hyödyllinen meille on ollut MVT:n aikajana-ominaisuus. 00:32:11.440 --> 00:32:17.291 Aikajana toimii niin, että se ottaa kaikki eri indikaattorit ja moduulit puhelimesta 00:32:17.291 --> 00:32:21.285 ja tarkastaa ne: SMS-viestit, tiedostojärjestelmän, ja kaikki 00:32:21.285 --> 00:32:27.119 kaikki tapahtumat, kaikki SMS-viestit, kaikki selaimella tapahtuneet kyselyt, 00:32:27.119 --> 00:32:33.228 kaikki tallentuvat yhteen tiedostoon päivä määrän kanssa jolloin ne tapahtuivat. Ja 00:32:33.228 --> 00:32:38.557 näin katsomalla tätä aikajaa, voimme näh- dä mitkä eri tapahtumat tapahtuivat suun- 00:32:38.557 --> 00:32:43.013 nilleen samaan aikaan toistensa kanssa, ja tämä voi antaa meille ideaa kuinka hyök- 00:32:43.013 --> 00:32:48.172 käys todella tapahtui laitteella. Haluan kertoa teille yhden esimerkin aikajanan 00:32:48.172 --> 00:32:52.405 käytöstä. Jotta tiedätte, kuinka voitte itse sitä käyttää teidän omissa 00:32:52.405 --> 00:32:59.885 tutkimuksissanne. Tämä on itse asiassa demonstraatio ruandalaisen aktivistin 00:32:59.885 --> 00:33:06.284 puhelimelta, johon kesäkuussa 2021 kohdis- tettiin forcedentry, iMessagen nollapäivä. 00:33:06.284 --> 00:33:13.898 Niin, näemme tässä aikajanalla että noin kello 20, 20:45 puhelin rupesi saamaan 00:33:13.898 --> 00:33:18.428 push-ilmoituksia iMessagen kautta. Ja vai- kuttaa sitlä että puhelin sai noin 46 push 00:33:18.428 --> 00:33:24.940 ilmoitusta. Ja mitä näemme sitten on että SMS-liitteitä ruvettiin kirjoittamaan pu- 00:33:24.940 --> 00:33:29.821 helimeen. Viimeisellä rivillä tässä näette että tiedosto kirjoitettiin - kirjoitet- 00:33:29.821 --> 00:33:33.642 tiin SMS-liitetiedostot-kansioon. Ja jos katsottae tätä rivin loppua, näemme että 00:33:33.642 --> 00:33:38.873 se tiedosto - tiedosto joka kirjoitetaan levylle on itse asiassa .GIF-liite. Tähän 00:33:38.873 --> 00:33:44.406 aikaan ajattelimme että tämä liittyy jo- tenkin hyväskikäyttömenetelmään. NSO oli 00:33:44.406 --> 00:33:50.465 toimittanut hyväskikäyttömenetelmänsä tuossa GIF-tiedostossa. Jos katsomme tänne 00:33:50.465 --> 00:33:56.054 vähän myöhemmin aikajanalla, näemme että noin 10 minuuttia myöhemmin, samana päi- 00:33:56.054 --> 00:34:02.095 vänä, Pegasus-prosessi alkaa suorittumaan puhelimella. Tämä otpgrefd-prosessi. Vähän 00:34:02.095 --> 00:34:06.789 tämän jälkeen joitakin lisätiedostoja kirjoitettiin levylle, ja muita Pegasus- 00:34:06.789 --> 00:34:12.059 prosesseja starttasi. Katsomalla tätä aikajanaa yhdessä näemme aika selvästi, 00:34:12.059 --> 00:34:15.544 että puhelin alkoi saamaan iMessage-vies- tejä. Nämä GIF-liitteet kirjoitettiin le- 00:34:15.544 --> 00:34:21.040 vylle ja noin 10 minuuttia sen jälkeen puhelin oli saastunut Pegasuksella. 00:34:21.040 --> 00:34:23.360 Muistakaa - käyttäjä ei ollut missään vuorovaikutuksessa - he eivät klikanneet 00:34:23.360 --> 00:34:26.320 mitään linkkiä. Sikäli mitä tiedämme, he eivät edes huomanneet mitään tapahtuvan 00:34:26.320 --> 00:34:29.120 laitteellaan. Hiljaisesti vain nämä viestit toimitettiin ja noin 00:34:29.120 --> 00:34:35.280 10-20 minuutin kuluttua Pegasus sai pääsyn laitteeseen. 00:34:35.280 --> 00:34:39.600 Jaoimme nämä löydökset Applen kanssa, ja sitten myöhemmin syyskuussa 2021, 00:34:39.600 --> 00:34:46.640 Apple - Citizen Lab tunnisti kopion tästä hyväksikäyttömenetelmästä toisella 00:34:46.640 --> 00:34:49.840 laitteella - toisen aktivistin puhelimella ja he jakoivat sen Applen kanssa ja Apple 00:34:49.840 --> 00:35:01.499 paikkasi tuon haavoittuvuuden syyskuussa 2021. Tässä oli vähän siitä, miten MVT 00:35:01.499 --> 00:35:06.840 toimii ja kuinka tämä metodologia toimii tunnistaakseen Pegasuksen laitteella. 00:35:06.840 --> 00:35:12.674 Siitä lähtien kun julkaisiimme forensisen metodologiamme ja työkalumme, monet toiset 00:35:12.674 --> 00:35:18.770 ryhmät ja organisaatiot ovat myös käyttä- neet näitä työkaluja ja metodologiaa tar- 00:35:18.770 --> 00:35:24.469 kistaakseen muita laitteita Pegasuksen jällkien varalta ja ovatkin löytäneet 00:35:24.469 --> 00:35:28.796 monia uusia tapauksia. Tässä oikealla näette esimerkin eräältä toiselta vapaa- 00:35:28.796 --> 00:35:33.262 ehtoisjärjestöltä, "Frontline Defender", joka tunnisti 6 palestiinalaisten ihmisoi- 00:35:33.274 --> 00:35:39.154 keuksien puolustajaa, joidenka laitteet oli hakkeroitu Pegasuksella. Toisessa 00:35:39.154 --> 00:35:43.985 tapauksessa Belgian sotilastiedustelu käytti samanlaista metodologiaa tarkis- 00:35:43.985 --> 00:35:48.670 taakseen Belgiassa toimivien journalistien puhelimia, ja he havaitsivat että belgia- 00:35:48.670 --> 00:35:53.809 laisen journalisti Peter Verlindenin iPhone oli hakkeroitu, ja he epäilivät 00:35:53.809 --> 00:35:58.620 tästä Ruandaa. Toinen tapaus, jossa rans- kalaiset tiedusteluviranomaiset varmisti- 00:35:58.620 --> 00:36:05.952 vat että useiden ranskalaisten journalis- tien puhelimet oli hakkeroitu Pegasuksella 00:36:05.952 --> 00:36:11.187 Haluaisin korostaa, että MVT:ssä on todel- la hyödyllinen Pegasuksen jälkien tunnis- 00:36:11.187 --> 00:36:17.827 tamiseen, mutta MVT on suunniteltu olemaan geneerinen mobiiliforensiikkatyökalu. Sitä 00:36:17.827 --> 00:36:21.100 voidaan käyttää Pegasus-indikaattoreiden kanssa Pegasuksen etsintään, mutta sitä 00:36:21.100 --> 00:36:25.058 voidaan myös käyttää proaktiivisesti mui- den vakoiluohjelmien etsintään. Suositte- 00:36:25.058 --> 00:36:29.427 len, että jos epäilette puhelimeenne koh- distuneen tällaisen spywaren, että tarkis- 00:36:29.427 --> 00:36:34.442 tatte sen käyttämällä MVT:tä, otatte siitä datan ulos MVT:llä ja pureskelette sitä. 00:36:34.442 --> 00:36:38.111 Jos kohde on kansalaisyhteiskunnan jäsen, tai aktivisti niin Amnesty ja muut organi- 00:36:38.111 --> 00:36:44.270 saatiot voivat mielellään auttaa tällai- sissa tutkinnoissa. MVT on avoimen lähde- 00:36:44.270 --> 00:36:49.067 koodin työkalu. Se perustuu useisiin mo- duuleihin ja olemme aina avoinna ideoille 00:36:49.067 --> 00:36:54.368 uusista moduuleista ja havaitsemismeto- deista, joiden avulla tätä työkalua voi- 00:36:54.368 --> 00:37:03.620 daan kehittää paremmin havaitsemaan uusia uhkia. Yksi asia mikä MVT:stä pitää muis- 00:37:03.620 --> 00:37:06.738 taa on se että se on kehitetty havaitse- maan vakoiluohjelmia. Valitettavasti, 00:37:06.738 --> 00:37:10.123 ihmiset, jotka kehittävät näitä vakoiluoh- jelmia, he ovat fiksuja ihmisiä ja he lu- 00:37:10.123 --> 00:37:14.819 kevat näitä raportteja ja he katsovat täl- laisia esityksiä. Eli joka kerta, kun jul- 00:37:14.819 --> 00:37:20.352 kaisemme tietoa miten näitä kansalais- yhteiskuntaa vastaan kohdistettuja uhkia 00:37:20.352 --> 00:37:24.540 voidaan havaita, spyware-yhtiöt ja -toimi- jat yrittävät kehittää työkalujaan niin, 00:37:24.540 --> 00:37:29.689 että ne välttäisivät havainnoinnin. He yrittävät päivittää infraansa piilottamaan 00:37:29.689 --> 00:37:35.017 tai paremmin häivyttämään heidän aktivi- teettinsa. Antaakseni esimerkin, tässä nä- 00:37:35.017 --> 00:37:38.960 kyy miten NSO:n oma infra on kehittynyt ajan myötä. Näemme että kun Amnestynä jul- 00:37:38.960 --> 00:37:44.577 kaisimme NSO:n infrasta raportin vuonna 2018, se suljettiin ja sitten myöhemmin 00:37:44.577 --> 00:37:49.966 kahden vuoden aikana se alkoi taas pyörit- tämään enemmän infrastruktuuria, joka taas 00:37:49.966 --> 00:37:57.702 suljettiin sen löydyttyä vuonna 2021. Se on jatkuvaa kilpavarustelua. Ja vaikka 00:37:57.702 --> 00:38:00.620 nämä työkalut ovat hyödyllisiä Pegasuksen havainnoinnissa nyt, se ei välttämättä ai- 00:38:00.620 --> 00:38:04.827 na ole niin automaattista, ja on todella tärkeää jatkaa tutkimusta uusien jälkien 00:38:04.827 --> 00:38:12.277 löytämiseksi uudenlaisista hyökkäyksistä. Millainne sitten on mobiilisypwaren tule- 00:38:12.277 --> 00:38:16.628 vaisuus? Yksi asia jonka haluan sanoa uu- delleen on, että vaikka keskitymme paljon 00:38:16.628 --> 00:38:20.298 NSO Group:iin ja Pegasukseen tässä tutki- muksessa ja esityksessä, ja heihin on koh- 00:38:20.298 --> 00:38:24.064 distunut muutenkin paljon huomiota: se ei ole ainoa mobiilivakoiluohjelma markkino- 00:38:24.064 --> 00:38:28.680 illa. On monia muita pelureita, jotka yrittävät päästä tuohon samaan markkinaan, 00:38:28.680 --> 00:38:34.750 ja myös kehittävät samanlaisia vakoilutyö- kaluja, joita sitten myyvät eri asiakkaille. 00:38:34.750 --> 00:38:41.735 Olemme nähneet tämän tutkinnoissamme. Löysimme vähintään 180 journalistia, jotka 00:38:41.735 --> 00:38:45.280 olivat potentiaalisia Pegasus-kohteita ja monia muita ihmisoikeusaktivisteja sekä 00:38:45.280 --> 00:38:50.157 oppositiopoliitikkoja, joihin on kohdis- tettu näitä työkaluja viimeisten vuosien 00:38:50.157 --> 00:38:55.907 aikana. Tähän mennessä nämä uhkatoimijat ja nämä, nämä valtiolliset virastot ovat 00:38:55.907 --> 00:39:00.992 pystyneet maalittamaan aktivisteja ja kan- salaisyhteiskuntaa ilman rankaisua mobii- 00:39:00.992 --> 00:39:05.222 lilaitteiden näkyvyyden ja telemetrian puutteellisuuden vuoksi. He ovat päässeet 00:39:05.222 --> 00:39:08.668 pälkähästä, koska heitä ei ole havaittu. Tällaiset työkalut kuten MVT auttavat pal- 00:39:08.668 --> 00:39:13.489 jastamaan joitakin näistä uhista, mutta niitä pitää käyttää laajemmin, ja niitä tu 00:39:13.489 --> 00:39:18.781 lee käyttää kansalaisyhteiskunnan kanssa enemmän, jotta todella näemme näiden uh- 00:39:18.781 --> 00:39:23.505 kien laajuudeen. Ja on myös tärkeää, että teollisuus, teknologiateollisuus ja tur- 00:39:23.505 --> 00:39:27.296 vallisuusala työskentelevät läheisesti kansalaisyhteiskunnan kanssa havaitakseen 00:39:27.296 --> 00:39:32.478 ja paljastaakseen näitä uhkia, sillä vali- tettavasti ihmiset, jotka ovat suurimmassa 00:39:32.478 --> 00:39:36.204 vaarassa näiltä vakavilta hyökkäyksiltä, ovat samoja ihmisiä jotka ovat vähiten va- 00:39:36.204 --> 00:39:43.120 rustettuja niin rahallisesti kuin tekni- sesti puolustautumaan niiltä. Yhteen- 00:39:43.120 --> 00:39:49.440 vetääkseni ajattelen että näemme hyökkää- jien keskittyvän mobiiliin. Mobiilissa on 00:39:49.440 --> 00:39:52.080 kaikki data, mikään muu ei tarjoa saman- laista näköalapaikkaa jonkun elämään ja 00:39:52.080 --> 00:39:56.400 heidän sisimpiin ajatuksiinsa. Pelkästään mikrofonin asettaminen jokaisen taskuun, 00:39:56.400 --> 00:40:01.680 jonkun taskuun on niin vahva positio olla että ajattelemme yritysten ja valtioiden 00:40:01.680 --> 00:40:07.120 jatkavan tällaisten työkalujen kehittä- mistä. Tiedämme - minä ajattelen niin että 00:40:07.120 --> 00:40:11.520 nollaklikkaushyväksikäyttömenetelmät tule- vat olemaan hyvin, hyvin haluttuja. Kun 00:40:11.520 --> 00:40:15.920 Apple ja muut ovat tehneet erinomaista työtä tehdäkseen iMessage-hyökkäyksistä 00:40:15.920 --> 00:40:19.920 paljon vaikeampia, on melkein varmaa, että tällaiset kybervalvontayritykset jatkavat 00:40:19.920 --> 00:40:24.480 näiden nollaklikkaushyväskikäyttömenetel- mien kehittämistä. Jos ei iMessageen, niin 00:40:24.480 --> 00:40:30.080 ehkä joihinkin muihin chat-sovelluksiin. Vaikka Signaliin, tai Telegramiin tai 00:40:30.080 --> 00:40:37.166 WhatsAppiin, he yrittävät hyökätä toisia sovelluksia vastaan joita aktivistit käyt- 00:40:37.166 --> 00:40:42.101 tävät. Valitettavasti aktivistien ja kan- salaisyhteiskunnan ei ole mahdollista suo- 00:40:42.101 --> 00:40:47.034 jautua näiltä nollapäivähyökkäyksiltä tek- nisesti. Joten me todellakin tarvitsemme 00:40:47.034 --> 00:40:51.577 aktiivisempaa yhteistyötä kansalaisyhteis- kunnan ja eri avainalustatoimittajien 00:40:51.577 --> 00:40:56.189 kanssa tunnistaaksemme ja puolustautuak- semme näitä uhkia vastaan. Ja me myös 00:40:56.189 --> 00:41:00.790 kiireellisesti tarvitsemme parempaa sään- telyä estääksemme tällaisten edistyneiden 00:41:00.790 --> 00:41:07.217 vakoiluohjelmien myymisen valtioille ja toimijoille, joilla on pitkä historia nii- 00:41:07.217 --> 00:41:12.978 den väärinkäyttämisestä kansalaisyhteis- kuntaa ja oppositiota vastaan. Kiitos 00:41:12.978 --> 00:41:17.750 kuuntelusta ja nyt voin vastata joihinkin kysymyksiin. Jos teillä on kysymyksiä tai 00:41:17.750 --> 00:41:20.680 jos teillä on huolia valvonnasta, jos olet kansalaisyhteiskunnan jäsen, jos olet ak- 00:41:20.680 --> 00:41:24.868 tivisti niin kontaktoikaa meitä osoittees- sa share@amensty.tech . Kiitos. 00:41:24.868 --> 00:41:30.602 Herald: Kiitos Donncha. Kiitoksia C-Base: sta. Olemme jo menneet vähän yliajalle 00:41:30.602 --> 00:41:37.033 tänä varhaisena hakkeriaamuna. Joitakin kysymyksiä on tullut sisäisesti täällä 00:41:37.033 --> 00:41:42.736 meidän pienen yleisömme kesken C-Basessa. Meillä ei ole niin paljoa aikaa jäljellä. 00:41:42.736 --> 00:41:47.686 Voitko antaa meille indikaatiota: mikä on tämän käynnissä olevan sodan tahti? 00:41:47.686 --> 00:41:53.558 Tunnetko että NSO group tekee aktiivises- ti vastatoimia MVT:tä kohtaan ja kehitys- 00:41:53.558 --> 00:41:57.533 työtänne kohtaan, vai saitteko tätä kun- niaa vielä? 00:41:57.533 --> 00:42:04.998 D: Ehdottomasti, olemme nähneet viimeisen vuoden aikana että NSO on alkanut olemaan 00:42:04.998 --> 00:42:11.084 paljon huolellisempi peittääkseen foren- siset jälkensä, ja vuodesta 2020 lähtien 00:42:11.084 --> 00:42:14.915 he ovat alkaneet siivoamaan jälkiä, joita he ovat jättäneet. Ja on selvää, että 00:42:14.915 --> 00:42:17.781 he ovat tajunneet ihmisten tutkivan tätä, ja että on riski tämän plajastumisesta, 00:42:17.781 --> 00:42:20.990 ja tunnen että tämän kesän paljastusten jälkeen he ovat olleet paljon proaktiivi- 00:42:20.990 --> 00:42:25.781 semmin peittäneet joitakin näistä jäljis- tään. Mutta kuten sanoin, NSO on vain 00:42:25.781 --> 00:42:30.800 yksi yritys muiden joukossa, ja on muita yrityksiä jotka yrittävät kilpailla tuolla 00:42:30.800 --> 00:42:35.120 samalla markkinalla. Joten jos NSO kehit- tää toimintojaan paremmiksi, niin siltikin 00:42:35.120 --> 00:42:38.825 ne muut yritykset, niitä voidaan havain- noida MVT:llä ja perustavanlaatuisesti 00:42:38.825 --> 00:42:44.324 vaikka he yrittäisivät peittää joitakin jälkiään epäonnistuneista hyökkäyksistä, 00:42:44.324 --> 00:42:48.065 niitä jälkiä tulee silti jäämään lojumaan ympräiinsä koska spywaren ei ole mahdol- 00:42:48.065 --> 00:42:51.440 lista siivota kaikkia olemassaolonsa jälkiä. 00:42:51.440 --> 00:42:57.437 H: Ahaa. Joten joku voisi vaikkapa vielä pitkänkin ajan jälkeen lopulta, vanhalta 00:42:57.437 --> 00:43:03.465 laitteelta löytää jälkiä vakoiluohjelmien käytöstä, joka voi olla pitkässä juoksussa 00:43:03.465 --> 00:43:09.870 hyvinkin mielenkiintoista tietoa pimeistä kampanjoista ja asioista. Joten, NSO ei 00:43:09.870 --> 00:43:15.360 ole ainoa toimija, vaan niitä tulee ole- maan lisää. Ajatteletko että ne ovat vain 00:43:15.360 --> 00:43:20.690 tusinakopiioita markkinoilla, vai tuleeko tulevaisuudessa olemaan uudenlaisia uhkia? 00:43:20.690 --> 00:43:24.811 D: Niin, minä arvelen että on paljon monia fiksuja ihmisiä, jotka työskentelevät 00:43:24.811 --> 00:43:29.580 tuollaisille firmoille, jotka näitä työ- kaluja kehittävät. Justiinsa aiemmin tässä 00:43:29.580 --> 00:43:34.180 kuussa Citizen Lab julkaisi raportin toi- sesta kybervakoiluyrityksestä - Cytroxista 00:43:34.180 --> 00:43:40.759 joka toimii Pohjois-Makedoniasta. He myi- vät saman tyylistä spywarea, joka käyttää 00:43:40.759 --> 00:43:45.002 tavallaan yhden klikkauksen hyökkäyksiä haittalinkkien kanssa iPhonejen ja Android 00:43:45.002 --> 00:43:50.256 puhelin tartuttamiseksi. Se on yksi firma, joka toimii samalla markkinalla. on muita- 00:43:50.256 --> 00:43:54.869 kin firmoja, jotka tekevät samanlaista toimintaa, mutta me uskomme, että NSO 00:43:54.869 --> 00:43:58.766 oli ehdottomasti suurin toimija tällä markkinalla ja he ovat investoineet paljon 00:43:58.766 --> 00:44:04.575 rahaa tällaisiin nollaklikkaushaavoittu- vuuksiin. Tähän mennessä, me emme 00:44:04.575 --> 00:44:07.579 tiedä ovatko he yhtä iso ja edistynyt toi- mija kuin NSO, mutta ajattelen että moni 00:44:07.579 --> 00:44:11.769 muu yrittää ottaa NSO:n paikkaa jos he menettävät suosiotaan. 00:44:11.769 --> 00:44:19.466 H: Aivan, aivan. OK, todella paljon kii- toksia. Meidän pitää mennä nyt RC3:n aamu- 00:44:19.466 --> 00:44:26.754 ohjelmaan muutamassa sekunnissa. Kiitoksia oikein paljon tästä mielenkiintoisesta pu- 00:44:26.754 --> 00:44:33.970 heeesta tänä aamuna. Vielä: share@amnesty. tech on osoite mihin mennä. Ja tämä on 00:44:33.970 --> 00:44:38.931 luultavasti yksi niistä puheista, jonka haluatte katsoa uudelleen media.ccc.de:ssä 00:44:38.931 --> 00:44:45.760 muutaman päivän kuluttua kun se julkais- taan. Terveisiä Irlantiin. Kiitoksia oikein 00:44:45.760 --> 00:44:51.280 paljon ja toivottavasti näemme vielä tosi- elämässä, toivon. Kiitosta. D: Kiitokset, 00:44:52.500 --> 00:44:53.500 ja hyvää päivää. 00:44:54.720 --> 00:45:03.000 Kaikki on lisensoitu CC 4.0:llä, ja kaikki on yhteisölle vapaata ladata! 00:45:03.000 --> 00:45:03.570 Tekstitykset luotu c3subtitles.de:llä vuonna 2022. Liity ja auta meitä! 00:45:03.571 --> 00:45:03.841 [Translated by {Iikka}{Yli-Kuivila} (ITKST56 course assignment at JYU.FI)]