-
[Translated by {Iikka}{Yli-Kuivila}
(ITKST56 course assignment at JYU.FI)]
-
Herald: Hyvää huomenta C-Basesta, avaruus-
asemalta Berliinin takaa tai alapuolelta.
-
Tervetuloa 2. päivään RC3-streamiä
Aloitamme parissa
-
sekunnissa puheella "NSO Group:n Pega-
suksen nappaaminen". Tämä on
-
saanut paljon huomiota turvallisuus-
ja hakkeripiireissä kautta maailman
-
viimeisten, varmaan parin vuoden aikana.
On ollut ilmiömäisiä tapauksia:
-
murhia, kidnappauksia, journalisteja on
uhkailtu, muita tapauksia. Pahamaineinen
-
ohjelmisto, joka tekee tätä on nimeltään
Pegasus. Firma joka sitä markkinoi tunnetaan
-
lyhenteestään NSO, mitä ikinä se tarkoit-
taakaan. Itse asiassa, Amnesty
-
International IT-osastoineen on niin sano-
tusti sijoittanut paljon työtä ja vaivaa
-
havaitakseen, onko laite tartutettu
Pegasuksella vai ei. NSO markkinoi sitä
-
muiden seikkojen ohella "jäljittämättömänä".
Jäljittämättömänä niin kuin
-
ohjelmisto laitteella kuten tulemme näkemään
ja puhujamme tänään: Donncha O'Cearbhaill
-
Irlannista Amnesty International:ilta
esittelee kuinka he
-
kehittivät havaitsemistyökalut tälle ikä-
välle spywarelle, joka on niin suosittu
-
valtiollisten ryhmittymien ja muiden kes-
kuudessa kautta maailman. OK, se
-
esittelyistä, Donncha, lava ja streami
on teidän. Hyvää huomenta.
-
Donncha: Hyvää huomenta ja kiitokset tuo-
sta esittelystä. Kuten siinä mainittiin
-
haluaisin kertoa teille tänään NSO Group:n
Pegasus spyware:sta. Erityisesti
-
haluaisin selittää kuinka me Amnestyllä
olemme tutkineet Pegasusta viimeisinä
-
parina vuotena ja myös selitän ja näytän
joitakin työkalujamme, joita olemme
-
kehittäneet ja julkaisseet jotta muutkin
voivat tutkia ja havaita Pegasus-spywarea
-
mahdollisesti laitteillaan ja kansalais-
yhteiskunnan toimijoiden laitteilla.
-
Joten, nimeni on Donncha O'Cearbhaill ja
olen teknologisti Amnesty Internationalin
-
Security Lab:issä Berliinissä
pienen ryhmän kanssa jonka erikoisalaa
-
on kansalaisyhteiskuntaa ja muita ihmis-
oikeuksien puolustajia vastaan kohden-
-
nettujen uhkien, kuten spyware, kalastelu
ja muut jäljitysuhat tutkinta.
-
Kuten esittelyssä mainittiin, Pegasus on
saanut paljon huomiota viime kuukausina.
-
Olette voineet nähdäkin Pegasus Project
paljastukset, jotka julkistettiin heinä-
-
kuussa kesällä. Pegasus Project oli maail-
manlaajuinen tutkinta NSO Group:n Pegasus
-
spywareen liittyviä väärinkäytöksiä koskien.
Tutkinta perustui vuodettuun
-
50 000 kpl mahdollisen Pegasus-kohteen
listaan, joihin Amnesty Internationalilla
-
ja Forbidden Stories:lla oli pääsy.
Tätä globaalia mediatutkintaa
-
koordinoi Forbidden Stories ja siihen osal-
listui noin 80 journalistia 17:sta eri
-
tietotusvälineestä kautta maailman.
Pegasus Project:n aikana
-
Amnesty International otti teknisen kump-
panin roolin, jossa erityisfokuksena
-
oli suorittaa yksityiskohtaista, innova-
tiivista forensista analyysiä todennä-
-
köisten kohteiden laitteille. Ja tämän fo-
rensisen analyysin keinoin
-
pystyimme tunnistamaan jälkiä
Pegasuksesta, joko sen tartuttamista
-
tai maalittamista laitteista. Tämän moni-
kuukautisen projektin kuluessa Amnesty
-
Security Lab analysoi noin 67 laitetta,
ja näistä 67 mahdollisen kohteen laittee-
-
sta ainakin 37:ssa oli selkeitä jälkiä
Pegasuksen maalittamisesta tai tartunnasta.
-
Tämä on todellakin suuri määrä tartutet-
tuja laitteita. Ja nämä laitteet kuuluivat
-
journalisteille, aktivisteille, oppositio-
poliitikoille, kaikenlaisille ihmisille,
-
joita laittomasti valvottiin Pegasuksen
avulla. Kaiken kaikkiaan kaikista
-
puhelimista jotka tarkistimme,jotka olivat
iPhoneja ja joita ei ollut vaihdettu,
-
jotka olivat maalittamislistassa. enemmän
kuin 80% puhelimista sisälsi
-
jälkiä Pegasuksesta. Heinäkuussa kun
nämä jutut julkaistiin ja
-
ne korostivat sitä seikkaa että kansalais-
yhteiskunta oli hyökkäyksen kohteena:
-
kuten journalistit Unkarissa, aktivistit
Marokossa, Saudi-Arabialaiset toisin-
-
ajattelijat, myös Jamal Khashoggin perhe,
keistä tutkinta näytti että heihin oli
-
kohdistettu Pegasus-vakoiluohjelma
sekä ennen että jälkeen hänen brutaalin
-
kuoleamnsa. Joten joo, te voitte mennä ja
lukea näistä tarinoista Internetistä. Tä-
-
nään haluaisin keskittyä kuinka pääsimme
tuohon pisteeseen, kuinka kehitimme nämä
-
työkalut, kuinka kehitimme tämän meto-
dologian Pegasuksen löytämiselle. Ja myös
-
haluan selittää kuinka te voitte tehdä
tätä, tätä Pegasuksen jäljittämistä ja
-
muiden mobiili-spywarejen etsintään.
Otetaan askel taaksepäin ja kysytään, mikä
-
Pegasus itse asiassa on? Sen nimi on hyvin
tunnettu, mutta mikä tämä ohjelma itse
-
asiassa on ja kuinka se toimii? OK, eka
asia mikä pitää muistaa, on että vaikka
-
Pegasus on saanut huomiota viimeisenä
parina vuotena, se ei itse asiassa ole
-
uusi tuote. Me tiedämme, että Pegasus
on ollut olemassa NSO Group:n kehittämänä
-
ainakin vuodesta 2010 lähtien. Vasemmalla
puolella näette tämän kuvan, se on Pega-
-
suksen myyntiesitteestä vuodelta 2010
missä kuvaillaan kuinka Pegasus voidaan
-
asentaa BlackBerry-laitteille. Ja me uskom-
me, että alkuperäinen Pegasus-versio kes-
-
kittyi BlackBerryyn, koska vuonna 2010,
älypuhelimia oli paljon vähemmän kuin
-
nykyisin. BlackBerry oli avainkohde
tällaisille turvallisuusvirastoille, jotka
-
halusivat tällaista vakoiluohjelmaa
käyttää. Joten se kehittyi ajan kanssa,
-
tässä oikealla puolella näette kuvia, jotka
vuodettiin Pegasus-esitteestä joka
-
julkaistiin vuonna 2014. Ensimmäisessä
kuvassa puhutaan, kuinka Pegasus asenne-
-
taan puhelimeen. Tässä esimerkissä se
näyttää, kuinka Pegasus-tartutuslinkki
-
voidaan lähettää tekstiviestin avulla
kohdelaitteelle. Ja jos se linkki avataan,
-
niin kuinka data kerätään ja välitetään
takaisin Pegasus-ohjelmiston käyttäjälle.
-
Tämä on vain yksi esimerkki - heidän
omista kuvistaan. Tässä alla olevassa
-
ympyrässä näette vähän, mitä kaikkea
Pegasus väittää kykenevänsä valvomaan.
-
Jos katsotte, niin näette että peri-
aatteessa kaikkea laitteella. Joten,
-
se puhuu sähköpostiosoitteiden ja teksti-
viestien keräämisestä, sijaintitietojen
-
seuraamisesta, jopa kalenterin
lukemisesta ja puhelimen mikrofonin
-
hallinnasta. Vaikka tämä kuvio on aika
vanha, 6-7 vuotta vanha,
-
saatte vähän ideaa millaista dataa
Pegasus-ohjelmisto yrittää kerätä
-
puhelimelta. Periaatteessa, se kerää
kaikenlaista dataa puhelimelta,
-
joka saattaisi kiinnostaa heitä,
jotka suorittavat tällaista valvontaa.
-
Yksi tärkeä asia muistaa on, että
Pegasus spyware onnistuu saamaan
-
hyvin tavallaan syvän pääsyn puhelimeen,
joten se pystyy pääsemään kaikkialle puhe-
-
limessa mihin käyttäjällä on pääsy, ja
sen päälle vielä vähän. Joten vaikka
-
käyttäisitte pikaviestintä kuten Signalia
tai Telegrammia, mikä käyttää salausta,
-
Pegasus pääsee käsiksi tuohon dataan ja
niihin viesteihin ennemmin kuin ne
-
salataan laitteella. Joten kun tämä
vakoiluohjelma pyörii puhelimessa,
-
mikään näistä salatuista viestintäsovelluksista
ei auta, koska sillä on niin syvän tason
-
pääsy puhelimeen. Niin, tuossa on vähän
mitä Pegasus itse asiassa
-
yrittää kerätä ja mitä - ja mitä ihmiset
voivat tehdä Pegasus-ohjelmistolla.
-
Joten, mistä itse asiassa tutkinta
Pegasukseen alkoi? Joudumme palaamaan
-
niinkin kauas kuin vuoteen 2016, kun
Pegasus ensimmäisen kerran tunnistettiin
-
maailmalta, jolloin sitä kohdistettiin
aktivistiin. Tässä tapauksessa (2016)
-
Pegasuksen löysi ensin Citizen Lab.
Citizen Lab on joukko tutkijoita Kanadan
-
Toronton yliopistosta, jotka myös työsken-
televät tutkiakseen kansalaisyhteiskuntaa
-
vastaan kohdistettuja vakoiluohjelmia.
Tässä tapauksessa Arabiemiraateissa
-
vaikuttava ihmisoikeuspuolustaja Ahmed
Mansoor sai epäilyttäviä SMS-viestejä.
-
Tässä oikealla on pari kuvakaappausta
niistä. Mansoor oli varoavainen näiden vie-
-
stien suhteen, koska hän oli saanut vas-
taavia aiemmin, ja hänet oli tartutettu
-
muilla vakoiluohjelmilla, esim. Finfisher-
illä. Joten, kun hän sai näitä viesejä hän
-
oli varovainen niiden suhteen ja jakoi ne
Citizen Lab:n kanssa, joka ryhtyi
-
tutkimaan niitä. Citizen Lab tajusi
että nämä näyttivät
-
hyökkäysviesteiltä, ja he avasivat linkit
heidän omilla testipuhelimilla.
-
Kun he tekivät tämän, he saivat kiinni
hyväksikäyttömenetelmän, joka
-
välitettiin näiden linkkien avulla ja he
saivat myös kopion itse Pegasus-
-
payloadista. Eli, mitä tapahtuu
kun nämä linkit avataan web-selaimessa
-
kuten Safarissa. Kun linkki avataan,
Pegasus-palvelin palauttaa
-
jotain JavaScriptiä, jotain koodia joka
hyväksikäyttää tuntematonta vikaa Safari-
-
verkkoselaimessa ja näin manipuloimalla
Safaria ja hyväksikäyttämällä tätä
-
tuntematonta haavoittuvuutta - he saavat
oman koodinsa ajettua siinä selaimella.
-
Ja lopulta, parin muun haavoittuvuuden
he saavat enemmän käyttöoikeuksia
-
iPhonella ja voivat lopulta asentaa koko
Pegasus-payloadin.
-
Joo, kun Citizen Lab vuonna 2016 ensiksi
löysi tämän, se oli hyvin tärkeä
-
löydös ja osoitti, kuinka vakavia
uhkia kansalaisyhteiskuntaa kohtaan oli.
-
Että löytyikin ihmisiä, jotka halusivat
käyttää tällaisia erittäin
-
korkean hinnan hyväksikäyttömenetelmiä
ihmisoikeuksien puolustajiin, jotka
-
vain tekevät ihmisoikeustyötään. Valitet-
tavasti tämän jälkeen, Ahmed Mansooria
-
häiriköitiin lisää ja hänet tuomittiin
vankilaan, jossa hän yhäkin
-
vuodesta 2017 lähtien. Melkein neljä
vuotta nyt. Joten milloin me Amnestyllä
-
aloimme tutkimaan tätä? Tiimimme on tut-
kinut tällaisia uhkia jo jonkin aikaa.
-
mutta me todella aloimme keskittymään
NSO:n ja tutkimaan heitä vuonna 2018, sen
-
jälkeen kun eräs kollegamme Amnestyllä
alkoi saamaan epäilyttäviä tekstiviestejä.
-
Tämä kollega sai toukokuussa 2018 tämän
viestin jonka näette tässä vasemmalla.
-
Viesti on kirjoitettu arabiaksi ja
se väittää että eräs
-
mielenosoitus tulee tapahtumaan piakkoin
Saudi-Arabian suurlähetystön edustalla.
-
Ja siinä pyydettiin Amnestyn työntekijää
tukemaan tuota mielenosoitusta ja klik-
-
kaamaan tuota linkkiä lisätietoja varten.
Onneksi kollegamme saatuaan tämän viestin,
-
hän alkoi epäilemään sitä. Hän ajatteli
että onpas kummallista, eihän hän edes
-
tuntenut tätä ihmistä. Ja niin he jakoivat
kuvakaappauksen tuosta viestistä
-
meille Amnesty Security Lab:lle, ja me
aloimme tutkimaan asiaa. Aika nopeasti
-
ryhdyttyämme tutkimaan tätä domain-nimeä
ja serveriä, tulimme siihen tulokseen
-
että se näyttää epäilyttävältä. Ja me myös
onnistuimme tunnistamaan lisää domaineja
-
ja palvelimia, jotka liittyivät tähän
alkuperäiseen akhbar-arabia-domainiin. Ja
-
sitten aika äkkiä rupesimme havaitsemaan,
että tässä oli todellakin jotain epäilyttävää,
-
ja että ehkä se oli jonkinlainen hyökkäys-
viesti. Tuohon aikaan emme tienneet, onko
-
se välttämättä NSO group. Katsomalla näitä
alkuperäisiä, ensimmäisiä palvelimia
-
onnistuimme luomaan tavallaan sormenjäljen
jolla pystyimme tunnistamaan tämän tietyn
-
konfiguraation, joka viestissä lähetetyllä
domainilla ja palvleimella oli. Tämän
-
sormenjäljen avulla saimme suoritettua
Internet-skannauksen. Eli, luomme yhtey-
-
den jokaiseen palvelimeen Internetissä ja
lähetämme niille tietyn tyylisen pyynnön,
-
jonka avulla näemme onko muita vastaavan
konfiguraation omaavia palvelimia, jotka
-
vastaavat tätä sormenjälkeä tästä alku-
peräisestä palvelimesta. Tekemällä tätä
-
Internet-skannausta onnistuimme löytämään
600 eri domainia ympäri Internettiä, jotka
-
vastasivat tätä sormenjälkeä, ja jotka
vaikuttivat liittyvän samanlaisiin
-
hyökkäyksiin. Joten, se itse avain tämän
kaiken havainnointiin oli se, että näimme
-
että nämä domainit liittyivät itse asiassa
Pegasukseen, koska NSO Group teki erään-
-
laisen avainvirheen, tai heillä oli ydin-
prosesseissa vika infrastruktuurin pystyt-
-
tämisen suhteen. Joten mitä tapahtui:
kuten sanottu aiemmin Citizen Lab tunnisti
-
palvelimia, joita NSO Group käytti vuonna
2016. 2016 paljastuksen jälkeen NSO sulki
-
kaikki nämä domainit ja infrastruktuurin.
Ja sitten rupesivat pystyttämään uuden-
-
laista infraa, jota ei voisi linkittää
NSO Grouppiin. Onneksi he tekivät virheen,
-
sillä he uudelleenkäyttivät yhden domainin
aiemmasta infrastaan, jota he käyt-
-
tivät myös tässä uudessa infrassaan.
Löytämällä tuon yhden domainin niistä
-
aiemmista 600:sta, jotka NSO:lla olivat
olleet käytössään, pystyimme osoittamaan
-
että nämä 600 muuta domainia olivat myös
Pegasukseen liitettävissä. Joten pystyimme
-
osoittamaan että viesti, joka oli lähetet-
ty kollegallemme oli todellakin liitettä-
-
vissä Pegasukseen, ja sen pyrkimyksenä oli
oli saastuttaa hänen laitteensa. Joten
-
julkaisimme nämä löydökset elokuussa 2018,
ja siihen aikaan tunnistimme myös toisen
-
ryhmän Saudi-Arabialaisia aktivisteja,
joita oli myös maalitettu Pegasus-
-
viestillä Whatsappissa Tämän jälkeen
Amnesty International myös tuki oikeus-
-
käsittelyä Israelissa, joka pyysi Israelin
puolustusministeriötä peruuttamaan NSO:n
-
vientiluvat. Jotta estettäisiin Pegasuksen
myynti maille, jotka hyväksikäyttäisivät
-
sitä Amnestyä ja muita ihmisoikeusakti-
visteja vastaan. Valitettavasti
-
myöhemmin Israelilainen tuomioistuin hyl-
käsi tuon valituksen sanoen että Israelin
-
puolustusministeriöllä oli jo riittävät
varmennustomenpiteet, jotka estäisivät
-
NSO:n vientituotteiden myymisen maille,
jotka hyväksikäyttäisivät sitä. Tässä va-
-
semmalla alhaalla näette kuvion, joka
näyttää saatavilla olevien Pegasus-palve-
-
limien määrän tuohon aikaan. Tarkoitan,
katsokaa tätä: kun julkaisimme tämän
-
raportin NSO toimi ripeästi ja sammutti
kaikki 500-600 palvelintaan, jotka toimit-
-
tivat Pegasusta. Tämä näyttää sen että,
NSO lukee näitä tutkimuksia ja huomioivat
-
ne. He yrittävät välttää sen, että tutki-
jat, jotka tutkivat tällaisia hyväksi
-
käyttötapauksia eivät löytäisi heidän
infraansa ja palvelimiaan.
-
Tämä oli tosiaan vuonna 2018, löydettyämme
tämän hyökkäyksen
-
Amnestyn työntekijää vastaan me Amnestyllä
jatkoimme Pegasuksen tutkintaa, jotta
-
löytäisimme muita tapauksia. Havaitsimme
seuraavaksi Pegasus-maalittamista
-
Marokossa vuonna 2019. Näette sen tässä
oikealla. Tällä kertaa havaitsimme, että
-
marokkolaista ihmisoikeuspuolustaja Maati
Monjib oli toistuvasti
-
Pegasuksen kohteena. Kun tarkistimme hänen
puhelimensa, havaitsimme että hänellä oli
-
joitakin epäilyttäviä viestejä siellä,
jotka väittivät jonkinlaisen uutistapah-
-
tuman tai skandaalin tapahtuneen, ja ne
pyysivät kohdetta klikkaamaan linkkejä
-
väittäen niissä olevan lisätietoa. Kun
tutkimme näitä linkkejä, tiesimme heti
-
että kyseessä on Pegasus-linkkejä, koska
olimme jo aiemmin tunnistaneet nämä
-
domainit kuuluvan niihin 600 domainiin,
joita käytettiin jo 2018. Tässä esimer-
-
kiksi näette tässä oikealla toisessa vies-
tissä, näette domainin
-
videosdownload.co. Tiesimme että se oli
Pegasus, koska olimme aiemmin tunnista-
-
neet ja julkaisseet tämän domainin vuonna
2018. Joten nyt tiesimme että Maati oli
-
Pegasuksen kohteena, mutta tajusimme että
meidän piti tehdä lisätutkintaa, jotta
-
tietäisimme onko hänen puhelimensa todel-
lakin saastunut, joten tarvitsimme lisä-
-
tietoja hänen laitteeltaan. Kun teimme
tämän, löysimme jotain mielenkiintoista
-
Maatin puhelimesta: löysimme minkä uskoim-
me olevan todisteita uudenlaisesta kohden-
-
tamisesta. Sen sijaan, että saataisiin
kohde huijattua klikkaamaan linkkiä,
-
joka ehkä ei toimi - ehä kohde huomaa että
jotain epäilyttävää on tapahtumassa.
-
Sen sijaan näimme että he käyttivät
verkkoinjektiohyökkäystä.
-
Verkkoinjektiohyökkäys toimii näin:
injektiossa täytyy
-
olla mukana jonkinlaista laitteistoa tai
ohjelmistoa siellä, missä mobiililaite
-
käyttää verkkoa. Tämä voi olla mobiili-
verkossa tai sitten se voi olla erillis-
-
laitteistoa tai -ohjelmistoa joka pyörii
samassa Wi-Fi-verkossa kohteen
-
kanssa. Ja mitä se tekee: kun käyttäjä
selaa verkkoa
-
puhelimellaan, lopulta käyttäjä selaa ja
klikkaa jotain linkkiä joka vie
-
normaalille http-verkkosivulle. Eli ilman
https:ää. Joten kun tällainen http-pyyntö
-
tehdään, ohjelmisto joka on ylempänä ver-
kossa näkee tämän http-pyynnön.
-
Ja kun http-pyyntö tapahtuu se voi sen
sijaan että se palauttaisi oikean sisällön
-
tuohon oikeaan pyyntöön, se sen sijaan
palauttaa http uudelleenohjauksen
-
Ja http uudelleenohjaus vie puhelimen
selaimen jonnekin pahantahtoiselle
-
hyväksikäyttösivustolle, joka sitten
hakkeroi puhelimen. Maatin tapauksessa
-
löysimme että hän oli yrittänyt mennä
tarkistamaan sähköpostiaan ja hän oli
-
kirjoittanut Yahoo.fr selaimeensa. Tällöin
ylempänä verkossa oleva ohjelmisto
-
näkee tämän selväkielisen yhteyden ja
uudelleenohjaa hänen puhelimensa tähän
-
hyväksikäyttölinkkiin jonka näemme tässä
ylhäällä. Kuten näette, domain näyttää
-
epäilyttävältä: "get1tn0w.free247downlo-
ads.com". Siinä on satunnaisia merkkejä
-
lopussa, joka näyttää hyväksikäyttölinkiltä.
Tuolloin epäilimme, että tämä
-
on pegasus, ja että se on uusi tapa toi-
mittaa Pegasus ilman että käyttäjää
-
tarvitaan huijata klikkaamaan linkkiä.
Mutta emme olleet varmoja että se oli
-
Pegasus, se olisi voinut olla jokin muu
vakoiluohjelma. Onneksemme NSO auttoi
-
meitä varmistamaan että se oli Pegasus,
sillä ennen kuin julkistimme tämän
-
raportin, Amnesty kirjoitti NSO Group:lle
jakaen löydöksemme ja mielenkiintoisesti
-
päivä sen jälkeen tämä spyware-palvelin
suljettiin ja se meni offlineen.
-
Ja tämä oli viikko ennen varsinaista
raportin julkaisua. Joten se
-
tavalllaan varmisti meille että NSO todel-
lakin hallitsi tuota infrastruktuuria ja
-
he pystyivät sen sulkemaan silloin, kun
me olimme vain heidän kanssaan yksityi-
-
sesti jakaneet tämän tiedon. Vähän myöhem-
min löysimme lisää tietoa, kuinka tämä
-
hyökäys oli ehkä toteutettu: NSO eräillä
messuilla demonstroi uudenlaista laittei-
-
stoa jonka he olivat kehittäneet, näette
sen tässä oikealla olevassa valokuvassa.
-
Ja me uskomme että valokuvassa on erään-
lainen IMSI-sieppaaja tai valetukiasema,
-
joka voi pyörittää valemobiiliverkkoa. Ja
kohteen puhelin: Maati pystyisi
-
yhdistämänä tuohon valetukiasmeaan, ja
silloin tuo tukiasema
-
mahdollistaa NSO:lle puhelimen uudelleen-
ohjauksen hyväksikäyttösivuille.
-
Emme ole varmoja kuinka tämä tarkalleen
tapahtui, jos tämä oli se laite jota käy-
-
tettiin, mutta me uskomme että NSO esitte-
lee tai testaa näitä uudenlaisia taktisen
-
saastuttamisen keinoja. Tässä vaiheessa
löydöksemme olivat Marokossa - rupesimme
-
tajuamaan että SMS-viestien tarkistus,
linkkien tarkistus ja nojautuminen siihen
-
että ihmiset tulevat meille kertomaan
jostakin epäilyttävästä ei voinut toimia
-
enää jatkossa koska rupesimme näkemään
näitä nollaklikkaushyökkäyksiä. Nolla-
-
klikkaushyökkäys on siis mikä tahansa tapa
saastuttaa laite, joka ei nojaa
-
käyttäjän vuorovaikutukseen. Ei odota siis
käyttäjän klikkaavan linkkiä. Tässä
-
näemme muutamia esimerkkejä toisista
nollaklikkaushyökkäyksistä, joita on
-
löydetty viimeisten parin vuoden aikana.
Arvatakseni eräs ensimmäisistä tässä oli
-
vuona 2019, kun NSO Group kehitti hyväksi-
käyttömenetelmän WhatsAppia varten, ja
-
sitten sitä käytettiin ainakin 1400 ihmi-
stä vastaan ympäri maailmaa. Kaikki tämä,
-
miten se toimi oli näin: kohde sai yksin-
kertaisesti soiton WhatsAppissa, ja jopa
-
vastaamaton soitto mahdollisti hyväksi-
käyttömenetelmän ajamisen koneella ja
-
puhelimen saastuttamisen, ilman minkään
klikkaamista. Kuten kuvailtu aiemmin,
-
näimme näitä verkkoinjektiohyökkäyksiä, ja
sitten myöhemmin vuonna 2020, Citizen Lab
-
löysi myös iMessage-nollapäivän, jota käy-
tettiin iPhone-käyttäjien tartuttamiseen
-
ilman minkäänlaista vuorovaikutusta.
Omissa tutkinnoissamme löysimme että
-
NSO on käyttänyt erilaisia nollaklikkaus-
menetelmiä ainakin vuodesta 2017 lähtien
-
aina tämän vuoden heinäkuuhun. Joten tie-
dämme että tämä ei ole uusi tekniikka hei-
-
lle, mutta se on jotakin mitä olemme vasta
äskettäin ruvenneet löytämään
-
viimeisten parin vuoden aikana. Olemme
nähneet että NSO näkee paljon vaivaa
-
kehittääkseen näitä monimutkaisia ja hyvin
vaikuttavia nollaklikkausmenetelmiä. Nyt
-
kun tiedämme että NSO ja heidän asiakkaan-
sa käyttävät tällaisia nollaklikkaushyök-
-
käyksiä, tajusimme että meidän piti tehdä
jotain kehittyneempää jotta löytäisimme
-
tällaisen valvonnan tapauksia. Suuri
ongelma mobiililaitteilla on näkyvyyden
-
puute, siinä missä tietokoneilla ja
kannettavilla meillä on antivirus tai EDR-
-
järjestelmiä saatavilla. Mitään tuollaista
ei ollut vielä tuolloin saatavilla
-
mobiililaitteille. Joten tällaiset hyök-
käykset, erityisesti nollaklikkaushyök-
-
käykset niitä ei usein havaita. Rupesimme
tutkimaan tätä. Tajusimme että vaikka
-
mobiililaiteforensiikka oli vaikeaa, se ei
kuitenkaan ollut aivan
-
mahdotonta. Tausimme vähän yllättäen,
että iPhonet itse asiassa sallivat suht
-
hyvän näkyvyyden isoon osaan tarpeellista
dataa puhelimissa iPhone-varmuuskopioiden
-
muodossa. Ja on itse asiassa aika mah-
dollista aloittaa
-
forensinen analyysi iPhoneille.
Valitettavasti Android-laitteet ovat
-
paljon rajoitetumpia johtuen
Android-käyttöjärjestelmän rajoituksista.
-
Ei ole mahdollista saada paljoa tietoa
Android-varmuuskopiosta, joten ainoat
-
asiat joita olemme voineet tehdä Android:
lle on ollut yksinkertaisesti tarkistaa
-
SMS-viestit ja ehkä selainhistoria maalit-
tamisen jäljiltä. Mutta vieläkin, siinä on
-
paljon vähemmän dataa Androideilla ver-
rattuna iPhoneihin. Toinen suuri ongelma
-
oli että tajusimme ettei ollut mitään jul-
kisia työkaluja, joilla suorittaa käyt-
-
täjän kanssa yhteistyössä mobiililaite-
forensiikkaa. Kaikki forensiset työkalut
-
oli suunniteltu ja tehty ihmisille, jotka
haluavat tietoa puhelimista vasten omis-
-
tajan tahtoa, takavarikoiduista puhelimis-
ta siis. Ei ollut mitään työkaluja,
-
joilla tarkistaa esimerkiksi oma puhelin
vakoiluohjelmien varalta. Tässä kohtaa
-
astuu esiin Mobile Verification Toolkit.
MVT - MVT on Amnesty Internationalin
-
kehittämä julkinen työkalu ja se on
suunniteltu yksinkertaistamaan
-
mobiililaiteanalyysiä vakoiluohjelmien
jälkien löytämiseksi. Se on saatavilla
-
GitHubissa, käykää katsomassa.
Ja korostaisin vielä että
-
kaikki Pegasus-maalittamiset, joita olen
kuvaillut tässä edellisissä tapauksissa
-
ja tulen kuvailemaan, ne kaikki on
löydetty käyttämällä MVT:tä.
-
MVT siis todellakin toimii, se löytää
kehittyneitä vakoiluohejlmia, myös nolla-
-
klikkausmenetelmiä, nollapäivähyväksikäyt-
tömenetelmiä hyödyntäviä, todella sofisti-
-
koituneita ohjelmia kuten Pegasusta. Joten
kun nämä vakoiluohjelmamyyjät sanovat että
-
"Heidän tuotettaan ei voida havaita": Ne
ovat kehittyneitä, he ovat käyttäneet
-
paljon rahaa kehittääkseen niitä, mutta ne
eivät ole taikuutta. Jos olette tarpeeksi
-
huolellisia ja kattavasti tarkistatte
jälkiä: aina löytyy virheitä, joita on
-
tehty. Aina on jokin tapa jolla tunnistaa
potentiaalista epäilyttävää käytöstä
-
näillä laitteillta. MVT on kirjoitettu
Pythonilla ja se on hyvin helppo asentaa:
-
jos sinulla on PIP, sanot vain: "pip3
install mvt". Ja näin sitä käytetään,
-
supersimppeliä: tarkistaaksesi iPhonen
teet vain iPhone-varmuuskopion ja ajat
-
komennon "mvt-ios check-backup" ja
annat sille varmuuskopion kansion.
-
Tässä komennossa käytetään myös .stix-tie-
dostoa. .stix-tiedosto sisältää indikaat-
-
toreita. Ne voivat olla erilaisia kuten
domainnimiä tai IP-osoitteita tai
-
prosessinimiä joita on yhdistetty vakoilu-
ojhelmiin. MVT on
-
yleisluontoinen työkalu. Sitä voidaan
käyttää Pegasus-indikaattoreiden kanssa,
-
muttta myös muiden vakoiluohjelmien tai
haittaohjelmien tai työkalujen indikaatto-
-
reiden kanssa. MVT on modulaarinen kehys,
ja siinä on moduuleita erilaisten tieto-
-
kantojen parsintaan, kuten SMS-viestien
tai selaushistorian tai muiden laitteella
-
olevien tiedostojen tarkistukseen. Selitän
ja läpikäyn näistä moduuleista muutamia,
-
ja näytän kuinka niitä voidaan käyttää
Pegasuksen tai muiden vakoiluohjelmien
-
jälkien löytämiseen. Yksi moduuli joka on
hyvin käyttökelpoinen on SMS-moduuli,
-
se on hyvin suoraviivainen, se lukee SMS-
tietokannan iPhone-varmuuskopiosta ja
-
ottaa siitä linkit ja tarkistaa jos mikään
linkeistä vastaa tunnettuja pahoja domai-
-
neja. Tässä tapauksessa me
-
tarkistamme varmuuskopion, joka oli maali-
tettu Pegasuksella, ja me näemme että
-
siellä on monia domaineja, jtoka on liite-
tty Pegasukseen. Näemme tuossa
-
revolution-news.co, stopsms.biz ja tie-
tojemme perusteella NSO on käyttänyt täl-
-
laisia haitta-SMSiä ensisijaisesti vuosien
2016-2018 välillä. Olemme myös nähneet
-
Pegasus-linkkejä niinkin kauaa sitten kuin
vuonna 2014 ja niinkin piakkoin kuin 2020
-
Tämä on ollut aika yleistä ja minusta jos
näitä nollaklikkaushyökkäyksiä ei ole saa-
-
tavilla, näemme siltikin näitä haitta-
linkkejä SMS:n välityksellä. Toinen data-
-
lähde joka on ollut hyvin hyödyllinen jäl-
kien havaitsemissa on Safari-selaimen his-
-
toria. Olemme siis nähneet haittalinkkien
jälkiä tallentuvan
-
Safari-selaimen historiaan, erityisesti
verkkoinjektiohyökkäysten jäljiltä.
-
Tässä tapauksessa kun SMS:ssä ei ole
linkkiä, kun verkkoinjektiohyökkäys tapah-
-
tuu, hyökkäyssivuston domain tallentuu
selaimen historiaan.
-
Tarkistamalla selainhistorian, voimme
pystyä löytämään todisteita että tämä
-
hyökkäys tapahtui. Täsä oikealla näette
kuvakaappauksen, jonka otti itse asiassa
-
marokkolainen journalisti, Omar Radi, kun
häneen kohdistettiin tällainen verkkoin-
-
jetkiohyökkyäs Marokossa. Hän oli siis
selaamassa verkkoa kun hän klikkasi link-
-
iä ja sitten hänet uudelleenohjattiin
tälle verkkosivustolle. Ja kun tämä kuva-
-
kaappaus otettiin, se itse asiassa ajoi
JavaScriptiä, joka yritti hyväksikäyttää
-
hänen puhelintaa. Valitettavasti tämän
tutkimuksen julkaisun jälkeen Omar Radia
-
häiriköitiin useasti marokkolaisten viran-
omaiten toimesta ja hänet lopulta vangit-
-
tiin epäoikeudenmukaisen oikeudenkäynnin
jälkeen ja hän on tällä hetkellä vankilassa.
-
Eräs toinen tiedosto, joka on ollut hyvin
hyödyllinen tutkinnoissamme on ollut ID
-
status cache-tiedosto. ID status cache-
tiedosto on iPhoneissa ja se pitää kirjaa
-
kaikista iCloud-tileistä, jotka vuorovai-
kuttavat laitteen kanssa. Se voi olla
-
vuorovaikutusta laitteen kanssa Applen eri
palveluiden kautta, mukaan luettuna
-
iMessage, AirDrop, Apple Photos. Ja mikä
on erittäin hyödyllistä tämän suhteen on se
-
että se näyttää meille mitkä pahantahtoi-
set tilit, Pegasukseen liittyvät tilit,
-
olivat maalittaneet tiettyä laitetta. Mitä
tiedämme Pegasuksesta on se, että me
-
uskomme että nämä tilit on pystytetty ja
luotu yhden yksittäisen Pegasus-asiakkaan
-
toimesta. Kuten näette tässä ensimmäisellä
rivillä, näemme että sähköpostiosoite
-
linakeller - ja me näimme tämän - tätä
tiliä käytetään toimittamaan iMessage
-
nollapäiviä useille eri aktivisteille.
Olemme nähneet sitä käytettävän
-
hyväksikäyttömenetelmien toimittamiseen
marokkolaisille aktivisteille ja parille
-
ranskalaiselle poliittiselle henkilölle.
Joten, katsomalla mitkä yksilöt on maali-
-
tettu saman tilin toimesta, saman asiak-
kaan toimesta, pystymme päättelemään
-
jonkin verran kuka asiakas saattaa olla,
ja saamme parempaa attribuutiota hyökkäyk-
-
selle. Sama asia näissä muissa tapauksissa
näemme esimerkiksi sähköpostiosoitteen
-
jessicadavies1345. Se löydettiin kahden
eri unkarilaisen journalistin puhelimesta.
-
Sama tällä emmadavies-osoitteella, ja
taas myös tällä viimeisellä
-
osoitteella: williams enny. Löysimme tämän
kahden eri unkarilaisen yksityishenkilön
-
puhelimesta, he olivat aktivisteja. Tämä
on hyvin käyttökelpoista meille
-
tutkinnoissamme, koska se todellakin antaa
meille paremmin ideaa kuka saattaa olla
-
näiden näkemiemme hyökkäysten takana.
Äsken näytin lokeja SMS-viesteistä,
-
data- ja selainhistoriasta. Nämä näyttävät
tavallaan jälkiä maalittamisesta.
-
Ne näyttävät että näille on lähetetty
haittalinkki, mutta ne eivät näytä että
-
onko puhelin onnistuneesti saastutettu.
Joten, vielä näytän pari lokia, joita
-
voidaan käyttää juuri tuohon tarkoitukseen
- varmentamiseen onko puhelin saastutettu.
-
Eräs näistä tiedostoista, joka on ollut
hyvin hyödyllinen meille tutkinnoissamme,
-
on niin-kutsuttua datakäyttötiedosto. Data
käyttötiedosto iPhonessa tallentaa
-
tietoa, kuinka paljon mobiilidataliiken-
nettä kukin prosessi puhelimella on käyt-
-
tänyt. Joten tätä voidaan käyttää jäljit-
tämään, mitkä sovellukset puhelimella
-
käyttävät eniten mobiilidatastasi. Mutta
mikä on todella hyödyllistä
-
on se että se itse asiassa tallentaa joi-
takin Pegasuksen käyttämien prosessien
-
nimiä, ja kuinka paljon ne ovat käyttäneet
dataa. Joten, mitä tiedämme NSO:n Pega-
-
suksesta, me uskomme että kun Pegasus
asennetaan puhelimeen, se tavallaan
-
valitsee satunnaisen nimen, jota se
käyttää piiloutuakseen ollessaan ajossa
-
järjestelmässä. Läpi tutkintojemme löy-
simme noin 50 erilaista prosessinimeä,
-
joita Pegasus käytti ja joihin se yritti
piilottaa itsensä. Ja kun tunnistimme
-
nämä prosessinimet, sitten pystyimme etsi-
mään näitä Pegasuksen tunnettuja prosessi-
-
nimiä mahdollisten uhrien laitteilta.
Ja mitä tapahtui, tämä tietokanta näyttää
-
myös aiakleiman milloin prosessi on ensim-
mäisen kerran tavallaan ajettu laitteella,
-
milloin se on viimeksi nähty laitteella.
Se myös antaa jonkinlaista tietoa siitä,
-
paljonko prosessi on siirtänyt dataa.
Joissakin tapauksissa se on ollut giga-
-
tavuittain dataa, mikä osoittaa että Pega-
sus todellakin vie hyvin paljon
-
dataa laitteelta. Ja jälleen, tämä on
kaikki automatisoitu MVT:ssä,
-
jten jos tarkistata puhelimesi MVT:llä ja
Pegasus-indikaattoreillta se näyttää sel-
-
keästi jos mikään prosesseista on löytynyt
laitteelta. Toinen ominaisuus, joka on
-
ollut todella hyödyllinen meille on ollut
MVT:n aikajana-ominaisuus.
-
Aikajana toimii niin, että se ottaa kaikki
eri indikaattorit ja moduulit puhelimesta
-
ja tarkastaa ne: SMS-viestit,
tiedostojärjestelmän, ja kaikki
-
kaikki tapahtumat, kaikki SMS-viestit,
kaikki selaimella tapahtuneet kyselyt,
-
kaikki tallentuvat yhteen tiedostoon päivä
määrän kanssa jolloin ne tapahtuivat. Ja
-
näin katsomalla tätä aikajaa, voimme näh-
dä mitkä eri tapahtumat tapahtuivat suun-
-
nilleen samaan aikaan toistensa kanssa, ja
tämä voi antaa meille ideaa kuinka hyök-
-
käys todella tapahtui laitteella. Haluan
kertoa teille yhden esimerkin aikajanan
-
käytöstä. Jotta tiedätte, kuinka voitte
itse sitä käyttää teidän omissa
-
tutkimuksissanne. Tämä on itse asiassa
demonstraatio ruandalaisen aktivistin
-
puhelimelta, johon kesäkuussa 2021 kohdis-
tettiin forcedentry, iMessagen nollapäivä.
-
Niin, näemme tässä aikajanalla että noin
kello 20, 20:45 puhelin rupesi saamaan
-
push-ilmoituksia iMessagen kautta. Ja vai-
kuttaa sitlä että puhelin sai noin 46 push
-
ilmoitusta. Ja mitä näemme sitten on että
SMS-liitteitä ruvettiin kirjoittamaan pu-
-
helimeen. Viimeisellä rivillä tässä näette
että tiedosto kirjoitettiin - kirjoitet-
-
tiin SMS-liitetiedostot-kansioon. Ja jos
katsottae tätä rivin loppua, näemme että
-
se tiedosto - tiedosto joka kirjoitetaan
levylle on itse asiassa .GIF-liite. Tähän
-
aikaan ajattelimme että tämä liittyy jo-
tenkin hyväskikäyttömenetelmään. NSO oli
-
toimittanut hyväskikäyttömenetelmänsä
tuossa GIF-tiedostossa. Jos katsomme tänne
-
vähän myöhemmin aikajanalla, näemme että
noin 10 minuuttia myöhemmin, samana päi-
-
vänä, Pegasus-prosessi alkaa suorittumaan
puhelimella. Tämä otpgrefd-prosessi. Vähän
-
tämän jälkeen joitakin lisätiedostoja
kirjoitettiin levylle, ja muita Pegasus-
-
prosesseja starttasi. Katsomalla tätä
aikajanaa yhdessä näemme aika selvästi,
-
että puhelin alkoi saamaan iMessage-vies-
tejä. Nämä GIF-liitteet kirjoitettiin le-
-
vylle ja noin 10 minuuttia sen jälkeen
puhelin oli saastunut Pegasuksella.
-
Muistakaa - käyttäjä ei ollut missään
vuorovaikutuksessa - he eivät klikanneet
-
mitään linkkiä. Sikäli mitä tiedämme, he
eivät edes huomanneet mitään tapahtuvan
-
laitteellaan. Hiljaisesti vain nämä
viestit toimitettiin ja noin
-
10-20 minuutin kuluttua Pegasus
sai pääsyn laitteeseen.
-
Jaoimme nämä löydökset Applen kanssa, ja
sitten myöhemmin syyskuussa 2021,
-
Apple - Citizen Lab tunnisti kopion
tästä hyväksikäyttömenetelmästä toisella
-
laitteella - toisen aktivistin puhelimella
ja he jakoivat sen Applen kanssa ja Apple
-
paikkasi tuon haavoittuvuuden syyskuussa
2021. Tässä oli vähän siitä, miten MVT
-
toimii ja kuinka tämä metodologia toimii
tunnistaakseen Pegasuksen laitteella.
-
Siitä lähtien kun julkaisiimme forensisen
metodologiamme ja työkalumme, monet toiset
-
ryhmät ja organisaatiot ovat myös käyttä-
neet näitä työkaluja ja metodologiaa tar-
-
kistaakseen muita laitteita Pegasuksen
jällkien varalta ja ovatkin löytäneet
-
monia uusia tapauksia. Tässä oikealla
näette esimerkin eräältä toiselta vapaa-
-
ehtoisjärjestöltä, "Frontline Defender",
joka tunnisti 6 palestiinalaisten ihmisoi-
-
keuksien puolustajaa, joidenka laitteet
oli hakkeroitu Pegasuksella. Toisessa
-
tapauksessa Belgian sotilastiedustelu
käytti samanlaista metodologiaa tarkis-
-
taakseen Belgiassa toimivien journalistien
puhelimia, ja he havaitsivat että belgia-
-
laisen journalisti Peter Verlindenin
iPhone oli hakkeroitu, ja he epäilivät
-
tästä Ruandaa. Toinen tapaus, jossa rans-
kalaiset tiedusteluviranomaiset varmisti-
-
vat että useiden ranskalaisten journalis-
tien puhelimet oli hakkeroitu Pegasuksella
-
Haluaisin korostaa, että MVT:ssä on todel-
la hyödyllinen Pegasuksen jälkien tunnis-
-
tamiseen, mutta MVT on suunniteltu olemaan
geneerinen mobiiliforensiikkatyökalu. Sitä
-
voidaan käyttää Pegasus-indikaattoreiden
kanssa Pegasuksen etsintään, mutta sitä
-
voidaan myös käyttää proaktiivisesti mui-
den vakoiluohjelmien etsintään. Suositte-
-
len, että jos epäilette puhelimeenne koh-
distuneen tällaisen spywaren, että tarkis-
-
tatte sen käyttämällä MVT:tä, otatte siitä
datan ulos MVT:llä ja pureskelette sitä.
-
Jos kohde on kansalaisyhteiskunnan jäsen,
tai aktivisti niin Amnesty ja muut organi-
-
saatiot voivat mielellään auttaa tällai-
sissa tutkinnoissa. MVT on avoimen lähde-
-
koodin työkalu. Se perustuu useisiin mo-
duuleihin ja olemme aina avoinna ideoille
-
uusista moduuleista ja havaitsemismeto-
deista, joiden avulla tätä työkalua voi-
-
daan kehittää paremmin havaitsemaan uusia
uhkia. Yksi asia mikä MVT:stä pitää muis-
-
taa on se että se on kehitetty havaitse-
maan vakoiluohjelmia. Valitettavasti,
-
ihmiset, jotka kehittävät näitä vakoiluoh-
jelmia, he ovat fiksuja ihmisiä ja he lu-
-
kevat näitä raportteja ja he katsovat täl-
laisia esityksiä. Eli joka kerta, kun jul-
-
kaisemme tietoa miten näitä kansalais-
yhteiskuntaa vastaan kohdistettuja uhkia
-
voidaan havaita, spyware-yhtiöt ja -toimi-
jat yrittävät kehittää työkalujaan niin,
-
että ne välttäisivät havainnoinnin. He
yrittävät päivittää infraansa piilottamaan
-
tai paremmin häivyttämään heidän aktivi-
teettinsa. Antaakseni esimerkin, tässä nä-
-
kyy miten NSO:n oma infra on kehittynyt
ajan myötä. Näemme että kun Amnestynä jul-
-
kaisimme NSO:n infrasta raportin vuonna
2018, se suljettiin ja sitten myöhemmin
-
kahden vuoden aikana se alkoi taas pyörit-
tämään enemmän infrastruktuuria, joka taas
-
suljettiin sen löydyttyä vuonna 2021. Se
on jatkuvaa kilpavarustelua. Ja vaikka
-
nämä työkalut ovat hyödyllisiä Pegasuksen
havainnoinnissa nyt, se ei välttämättä ai-
-
na ole niin automaattista, ja on todella
tärkeää jatkaa tutkimusta uusien jälkien
-
löytämiseksi uudenlaisista hyökkäyksistä.
Millainne sitten on mobiilisypwaren tule-
-
vaisuus? Yksi asia jonka haluan sanoa uu-
delleen on, että vaikka keskitymme paljon
-
NSO Group:iin ja Pegasukseen tässä tutki-
muksessa ja esityksessä, ja heihin on koh-
-
distunut muutenkin paljon huomiota: se ei
ole ainoa mobiilivakoiluohjelma markkino-
-
illa. On monia muita pelureita, jotka
yrittävät päästä tuohon samaan markkinaan,
-
ja myös kehittävät samanlaisia vakoilutyö-
kaluja, joita sitten myyvät eri asiakkaille.
-
Olemme nähneet tämän tutkinnoissamme.
Löysimme vähintään 180 journalistia, jotka
-
olivat potentiaalisia Pegasus-kohteita ja
monia muita ihmisoikeusaktivisteja sekä
-
oppositiopoliitikkoja, joihin on kohdis-
tettu näitä työkaluja viimeisten vuosien
-
aikana. Tähän mennessä nämä uhkatoimijat
ja nämä, nämä valtiolliset virastot ovat
-
pystyneet maalittamaan aktivisteja ja kan-
salaisyhteiskuntaa ilman rankaisua mobii-
-
lilaitteiden näkyvyyden ja telemetrian
puutteellisuuden vuoksi. He ovat päässeet
-
pälkähästä, koska heitä ei ole havaittu.
Tällaiset työkalut kuten MVT auttavat pal-
-
jastamaan joitakin näistä uhista, mutta
niitä pitää käyttää laajemmin, ja niitä tu
-
lee käyttää kansalaisyhteiskunnan kanssa
enemmän, jotta todella näemme näiden uh-
-
kien laajuudeen. Ja on myös tärkeää, että
teollisuus, teknologiateollisuus ja tur-
-
vallisuusala työskentelevät läheisesti
kansalaisyhteiskunnan kanssa havaitakseen
-
ja paljastaakseen näitä uhkia, sillä vali-
tettavasti ihmiset, jotka ovat suurimmassa
-
vaarassa näiltä vakavilta hyökkäyksiltä,
ovat samoja ihmisiä jotka ovat vähiten va-
-
rustettuja niin rahallisesti kuin tekni-
sesti puolustautumaan niiltä. Yhteen-
-
vetääkseni ajattelen että näemme hyökkää-
jien keskittyvän mobiiliin. Mobiilissa on
-
kaikki data, mikään muu ei tarjoa saman-
laista näköalapaikkaa jonkun elämään ja
-
heidän sisimpiin ajatuksiinsa. Pelkästään
mikrofonin asettaminen jokaisen taskuun,
-
jonkun taskuun on niin vahva positio olla
että ajattelemme yritysten ja valtioiden
-
jatkavan tällaisten työkalujen kehittä-
mistä. Tiedämme - minä ajattelen niin että
-
nollaklikkaushyväksikäyttömenetelmät tule-
vat olemaan hyvin, hyvin haluttuja. Kun
-
Apple ja muut ovat tehneet erinomaista
työtä tehdäkseen iMessage-hyökkäyksistä
-
paljon vaikeampia, on melkein varmaa, että
tällaiset kybervalvontayritykset jatkavat
-
näiden nollaklikkaushyväskikäyttömenetel-
mien kehittämistä. Jos ei iMessageen, niin
-
ehkä joihinkin muihin chat-sovelluksiin.
Vaikka Signaliin, tai Telegramiin tai
-
WhatsAppiin, he yrittävät hyökätä toisia
sovelluksia vastaan joita aktivistit käyt-
-
tävät. Valitettavasti aktivistien ja kan-
salaisyhteiskunnan ei ole mahdollista suo-
-
jautua näiltä nollapäivähyökkäyksiltä tek-
nisesti. Joten me todellakin tarvitsemme
-
aktiivisempaa yhteistyötä kansalaisyhteis-
kunnan ja eri avainalustatoimittajien
-
kanssa tunnistaaksemme ja puolustautuak-
semme näitä uhkia vastaan. Ja me myös
-
kiireellisesti tarvitsemme parempaa sään-
telyä estääksemme tällaisten edistyneiden
-
vakoiluohjelmien myymisen valtioille ja
toimijoille, joilla on pitkä historia nii-
-
den väärinkäyttämisestä kansalaisyhteis-
kuntaa ja oppositiota vastaan. Kiitos
-
kuuntelusta ja nyt voin vastata joihinkin
kysymyksiin. Jos teillä on kysymyksiä tai
-
jos teillä on huolia valvonnasta, jos olet
kansalaisyhteiskunnan jäsen, jos olet ak-
-
tivisti niin kontaktoikaa meitä osoittees-
sa share@amensty.tech . Kiitos.
-
Herald: Kiitos Donncha. Kiitoksia C-Base:
sta. Olemme jo menneet vähän yliajalle
-
tänä varhaisena hakkeriaamuna. Joitakin
kysymyksiä on tullut sisäisesti täällä
-
meidän pienen yleisömme kesken C-Basessa.
Meillä ei ole niin paljoa aikaa jäljellä.
-
Voitko antaa meille indikaatiota: mikä on
tämän käynnissä olevan sodan tahti?
-
Tunnetko että NSO group tekee aktiivises-
ti vastatoimia MVT:tä kohtaan ja kehitys-
-
työtänne kohtaan, vai saitteko tätä kun-
niaa vielä?
-
D: Ehdottomasti, olemme nähneet viimeisen
vuoden aikana että NSO on alkanut olemaan
-
paljon huolellisempi peittääkseen foren-
siset jälkensä, ja vuodesta 2020 lähtien
-
he ovat alkaneet siivoamaan jälkiä, joita
he ovat jättäneet. Ja on selvää, että
-
he ovat tajunneet ihmisten tutkivan tätä,
ja että on riski tämän plajastumisesta,
-
ja tunnen että tämän kesän paljastusten
jälkeen he ovat olleet paljon proaktiivi-
-
semmin peittäneet joitakin näistä jäljis-
tään. Mutta kuten sanoin, NSO on vain
-
yksi yritys muiden joukossa, ja on muita
yrityksiä jotka yrittävät kilpailla tuolla
-
samalla markkinalla. Joten jos NSO kehit-
tää toimintojaan paremmiksi, niin siltikin
-
ne muut yritykset, niitä voidaan havain-
noida MVT:llä ja perustavanlaatuisesti
-
vaikka he yrittäisivät peittää joitakin
jälkiään epäonnistuneista hyökkäyksistä,
-
niitä jälkiä tulee silti jäämään lojumaan
ympräiinsä koska spywaren ei ole mahdol-
-
lista siivota kaikkia olemassaolonsa
jälkiä.
-
H: Ahaa. Joten joku voisi vaikkapa vielä
pitkänkin ajan jälkeen lopulta, vanhalta
-
laitteelta löytää jälkiä vakoiluohjelmien
käytöstä, joka voi olla pitkässä juoksussa
-
hyvinkin mielenkiintoista tietoa pimeistä
kampanjoista ja asioista. Joten, NSO ei
-
ole ainoa toimija, vaan niitä tulee ole-
maan lisää. Ajatteletko että ne ovat vain
-
tusinakopiioita markkinoilla, vai tuleeko
tulevaisuudessa olemaan uudenlaisia uhkia?
-
D: Niin, minä arvelen että on paljon monia
fiksuja ihmisiä, jotka työskentelevät
-
tuollaisille firmoille, jotka näitä työ-
kaluja kehittävät. Justiinsa aiemmin tässä
-
kuussa Citizen Lab julkaisi raportin toi-
sesta kybervakoiluyrityksestä - Cytroxista
-
joka toimii Pohjois-Makedoniasta. He myi-
vät saman tyylistä spywarea, joka käyttää
-
tavallaan yhden klikkauksen hyökkäyksiä
haittalinkkien kanssa iPhonejen ja Android
-
puhelin tartuttamiseksi. Se on yksi firma,
joka toimii samalla markkinalla. on muita-
-
kin firmoja, jotka tekevät samanlaista
toimintaa, mutta me uskomme, että NSO
-
oli ehdottomasti suurin toimija tällä
markkinalla ja he ovat investoineet paljon
-
rahaa tällaisiin nollaklikkaushaavoittu-
vuuksiin. Tähän mennessä, me emme
-
tiedä ovatko he yhtä iso ja edistynyt toi-
mija kuin NSO, mutta ajattelen että moni
-
muu yrittää ottaa NSO:n paikkaa jos he
menettävät suosiotaan.
-
H: Aivan, aivan. OK, todella paljon kii-
toksia. Meidän pitää mennä nyt RC3:n aamu-
-
ohjelmaan muutamassa sekunnissa. Kiitoksia
oikein paljon tästä mielenkiintoisesta pu-
-
heeesta tänä aamuna. Vielä: share@amnesty.
tech on osoite mihin mennä. Ja tämä on
-
luultavasti yksi niistä puheista, jonka
haluatte katsoa uudelleen media.ccc.de:ssä
-
muutaman päivän kuluttua kun se julkais-
taan. Terveisiä Irlantiin. Kiitoksia oikein
-
paljon ja toivottavasti näemme vielä tosi-
elämässä, toivon. Kiitosta. D: Kiitokset,
-
ja hyvää päivää.
-
Kaikki on lisensoitu CC 4.0:llä, ja kaikki
on yhteisölle vapaata ladata!
-
Tekstitykset luotu c3subtitles.de:llä
vuonna 2022. Liity ja auta meitä!
-
[Translated by {Iikka}{Yli-Kuivila}
(ITKST56 course assignment at JYU.FI)]
