A venit toamna și știu asta cu certitudine, pentru că Apple a anunțat un nou telefon: iPhone 13. Unii dintre oamenii pe care îi știu fani Apple vor deja să-l cumpere. Pentru ei, pentru tine și pentru alții am ajuns în punctul în care tu vezi articolul ăsta despre probleme. Și, da, probleme pe iPhone, ceea ce, uneori, pare greu de crezut. Glumesc, sunt o groază, nu mai fi fanboy.
Vara asta, cât așteptai desertul gratuit la terasă în Grecia și te plângeai de plaja lărgită din Mamaia, lumea cabinetelor prezidențiale fierbea un pic din cauza Pegasus. De-a lungul a cinci ani au fost urmărite peste 50 de mii de numere de telefon în 50 de țări. The Forbidden Stories și Amnesty International au cercetat problema și au dezvăluit că, dintre cei o mie de indivizi cu numerele urmărite, șase sute erau politicieni și oficiali de stat – printre ținte ar fi fost și președintele Franței Emmanuel Macron, 189 sunt jurnaliști și 85 activi. Calea de acces – Pegasus – e un produs dezvoltat de NSO Group, o companie specializată în vândut vulnerabilități informatice.
Videos by VICE
NSO Group, pe scurt, este o firmă israeliană privată care dezvoltă sau cumpără vulnerabilități în diverse sisteme. Apoi, le vinde cui plătește, cu sume între câteva sute de mii de euro și câteva milioane. În general, cei care cumpără ce vinde firma vor să spioneze alți oameni, dar să știe că au o rată de succes respectabilă când vine vorba de asta. Odată cu scandalul din vară, Amazon a anunțat că scoate NSO Group de pe serverele sale. Iar cu o zi înainte de lansarea iPhone 13, Apple a anunțat că a rezolvat una dintre găurile care permitea exploatarea de către NSO a infrastructurii iMessage.
Ce s-a vehiculat constant după dezvăluirea cazului a fost asta: amenințare „zero-click”. Așa că i-am cerut lui Costin Raiu, directorul Global Research & Analysis Team în cadrul Kaspersky, detalii despre ce înseamnă asta. Sigur te ajută ce afli mai departe, mai ales dacă vrei un telefon nou (și, în unele cazuri, ar trebui să vrei).
De hackeri și escroci online ai mai auzit, dar abia în ultimii ani se vorbește mai mult de spionaj
Când DNA a anunțat că vrea să cumpere tehnică pentru a intercepta convorbirile pe WhatsApp, a părut că doar aplicația asta are probleme. Realitatea e că majoritatea aplicațiilor și telefoanelor populare, în esență, sunt vulnerabile. Doar că depinde la ce și când. În cazul Pegasus, cel mai mediatizat moment din ultimii ani, e vorba de o rețea de spionaj gândită să lovească destul de precis, nu la grămadă. Aici vine componenta „zero-click”.
Cel mai des ai auzit, sau poate ai trecut, prin cazuri cu cel puțin un click: adică primești mesaj, dai click, gata infectarea cu un virus. Apoi, mai sunt cazurile cu două click-uri: ai un atașament în e-mail, în WhatsApp și altele, dai click să-l deschizi, mai apare un mesaj și încă un click – și gata. Cu Pegasus, și alte abordări similare, totul e fără interacțiune din partea ta.
„În cazul zero-click, mie mi-e frică de cele care pot exploata de oriunde în lume. În acest sens e celebru cazul cu apelul pe WhatsApp. Simplul efect de primire a apelului era suficient să te infecteze, iar acest tip de atacuri erau lansate noaptea, că nu vedeai. Dacă cineva necunoscut te sună pe WhatsApp poate ți se pare ciudat, dar noaptea nu vezi. Cu așa ceva, un apel, un mesaj care ajunge în inbox, e lansat un lanț de infecții. După infecție, atacatorii șterg apelul și nu mai rămâne nicio urmă. Singura șansă e să vezi acel scurt mesaj sau beep”, a explicat Costin Raiu pentru VICE. „Diferența e cât de departe trebuie să fii de țintă. Ideal pentru hackeri e ca ținta să fie oriunde în lume. Tot ce trebuie să știe e un e-mail, un cont Google, un cont Apple, un număr de telefon. În acel moment individul poate fi targetat oriunde. În cazul celor de proximitate, trebuie să fii în aceeași rețea Wi-Fi sau celulă GSM. Cele din urmă sunt fezabile dacă vrei să targetezi proteste publice. E cazul tipic cu un dispozitiv care simulează celule GSM și țintește telefoanele cu zero click-uri.”
În centrul acelui scandal cu WhatsApp a fost și NSO Group. Iar Jeff Bezos a devenit cea mai populară persoană publică vizată. Problema asta nu dispare însă cu un telefon nou, ceea ce ne duce la iPhone 13. E mai sigur față de toate cele de până la el, dar la fel de (poate chiar mai) vulnerabil – vulnerabilitatea vine fix dintr-o strategie a Apple.
Costin Raiu susține că sunt cunoscute variante de Pegasus pe Android (unde se numește Chrysaor), pentru că pe platforma asta există antiviruși. Pe iOS nu există și, implicit, firmele de securitate nu știu ce-i acolo. „Nu există deschiderea necesară din partea Apple să poți crea un antivirus și nu ai cum să detectezi astfel de infecții”, a adăugat el. Altfel spus, cum nimeni nu știe cu precizie ce-i pe-o platformă, ea e, în același timp, sută la sută sigură sau poate un dezastru.
„E însă greu de spus când «grav» devine «destul de grav». În ultima vreme a fost o rafală de dezvăluiri despre mai multe firme de tipul ăsta care produc instrumente de spionaj. E posibil ca, în realitatea, situația să fie mult mai serioasă, cu mai multe atacuri, dar noi să vedem vârful aisbergului – lipsa de vizibilitate produce un efect de obscuritate”, a adăugat Costin. Dincolo de ce face fiecare companie care îți vinde ție un telefon, există lumea deosebit de valoroasă a vulnerabilităților prin care hackerii chiar îți intră în dispozitive și au acces la aproape tot ce vor. Doar că aici apare o chestiune: prețul pe care nu și-l permite oricine.
„Estimarea mea e că numărul atacurilor cibernetice va crește, la fel și numărul țărilor care vor crea să cumpere astfel de soluții. Costul face parte dintr-un ecosistem, iar acolo prețurile vor scădea, deoarece, pe măsură ce sunt tot mai mulți clienți, automat scade costul necesar lansării acestor atacuri. Odată ce-ai pus la punct un atac care funcționează pe orice dispozitiv, îl poți vinde mai multor clienți”, a explicat acesta. „Firmele de acest gen vând pachete. Cumperi pachetul inițial, să zicem, cu 25 de infecții la un anumit preț. Vrei să mai infectezi încă 25? Mai plătești încă o sumă, dar mai mică decât cea inițială. Pentru alte o sută de dispozitive mai plătești încă o sumă – prețul scade pe măsură ce vrei să infectezi mai mult.”
Surprinzător sau nu, prețul e cel care aduce un fel de control asupra numărului de victime și de aceea în cazul scandalului Pegasus din vară vorbim de high risk individuals. „Securitatea e un compromis între viteză, uzabilitate și protecție. Dacă te concentrezi mai mult pe unul dintre ele, sunt afectate celelalte: telefonul e mai lent, interfața mai complexă sau securitatea e mai slabă. Compromisul e dificil și contează foarte mult ce vor clienții pe care îi ai”, a detaliat Costin.
„Dacă 99 la sută dintre clienți vor un telefon frumos, ușor de folosit și să meargă repede, stabilești și standardele de securitate în funcție de asta. Asta e și filosofia Apple: e bun pentru 99 la sută din oameni. Pentru cei unu la sută, unde intră orice high risk individual de la președinți de state la directori de companii, e posibil să fie mult mai dificil de securizat.”
Costin Raiu, Kaspersky
Cum ai tu grijă că – pe iPhone sau Android – nu ajungi victimă
Răspunsul, pe scurt, e acesta: n-ai cum. Poți lua tot felul de măsuri, dar cel mai important sfat pe care îl poți primi e să fii mereu vigilent. Costin susține că securitatea nu e mai slabă acum decât era în urmă cu zece sau douăzeci de ani, dar ce se întâmplă, de fapt, e că lucrurile se derulează ca într-o zonă de conflict. „E ca o călătorie pe mare într-o vreme furtunoasă. E inevitabil ca oricine, oriunde ar fi, să fie prins în aceste uragane.”
În acest sens am aflat și că acum, odată cu creșterea securizării telefoanelor, hackerii s-au adaptat. După cum mi-a spus Costin, povestea cu Pegasus e mega relevantă în acest context. „A devenit aproape imposibil să mai extragă un expert în securitate cibernetică malware și să confirme că e un malware în telefon. În cel mai bun caz găsesc urme. Acesta e și limbajul: se suspectează că au fost infectați sau că telefoanele prezintă urme.”
Ce s-a schimbat aici e că atacatorii au trecut de la infecții persistente, care rămâneau în telefon pe vecie (aproape), la cele care dispar când i se dă restart telefonului. Bine, cumva forțați, pentru că Apple și Google au schimbat protocoalele de securizare. „Pentru atacatori nu e neapărat o problemă să-l reinfecteze prin zero click. Văd că au pierdut telefonul din sistemul de control și îl reinfectează. Și pentru ei are un avantaj semnificativ. Tu, dacă suspectezi că telefonul e infectat, apelezi la cineva care se pricepe. Acea persoană tot va trebui să dea restart pentru a intra în sistem. Și atunci infecția a dispărut. Ce mai rămâne, poate, sunt niște urme, dar malware-ul dispare. Practic, n-ai cum spune dacă a fost infectat.”
Dincolo de spionaj, ransomware încă e cea mai productivă amenințare pentru toți, de la indivizi la companii, pentru că e vorba de bani. Sigur, dacă nu ești un spital din România care zice că se descurcă, revine la dosar cu șină. Lucrurile sunt însă serioase.
Ce poți face tu, contra spionajului, dar mai ales contra furtului de date, e să-ți protejezi cât mai bine datele, inclusiv cu antivirus pe telefon (când e disponibil) și prin PIN sau amprentă sau scanarea feței. Și să ai, în sfârșit, parole mai bune. Costin recomandă actualizări la zi, pentru aplicații și telefoane. Apple, de exemplu, a rezolvat gaura din iMessage. Sigur, cu întârziere, dar tot e mai bine decât nimic.
Când vine vorba de privacy, mai taie din drepturile aplicațiilor. Cele care-ți raportează locația, care vor să-ți acceseze contactele, care vor să-ți trimită SMS sau care vor să fie în permanență conectate la internet nu fac asta neapărat cu scop nobil. Costin a mai spus pe listă și un VPN pentru navigat pe internet, ca să fii cât mai puțin tu și să fii cât mai mult un individ oarecare. Poți trece și la browsere care fac o treabă ceva mai bun la protejat identitatea, cum ar fi Vivaldi, sau un motor de căutare cu același scop, cum ar fi DuckDuckGo. Nu sunt perfecte, dar sunt un pas.
Nu în ultimul rând, fii atent pe unde lași telefonul și cui i-l dai. Costin mi-a mai zis că încă sunt populare atacurile prin cablu băgat direct în telefon. Astfel de atacuri sunt practicate, în special, când trebuie să lași telefonul undeva – o poartă de securitate, la intrarea într-o sală unde n-ai voie cu el etc. Vestea bună e că pe iPhone Apple a introdus blocarea portului, dacă telefonul n-a mai fost deblocat de ceva timp. Dar mai ține și de tine să fii atent.
Toamna asta vine, ca de obicei, cu multe dispozitive conectate la internet. Vor fi și versiuni noi de iOS și Android. Și chiar un Windows nou. Lumea digitală, dacă se poate spune așa, e mai furtunoasă ca niciodată. Măcar nu face viața mai ușoară uraganelor.