Wellicht het grootste verhaal van 2021 – een onderzoek door The Guardian en 16 andere mediaorganisaties, gepubliceerd in juli – suggereerde dat meer dan 30.000 mensenrechtenactivisten, journalisten en advocaten over de hele wereld het doelwit van Pegasus kunnen zijn geweest. Pegasus is zogeheten “legale surveillancesoftware” ontwikkeld door het Israëlische bedrijf NSO. In het rapport, dat de naam Pegasus Project draagt, wordt beweerd dat de malware op grote schaal is verspreid via een verscheidenheid aan exploits, waaronder verschillende iOS zero-click zero-days.
Op basis van forensische analyse van talrijke mobiele apparaten heeft het Security Lab van Amnesty International vastgesteld dat de software herhaaldelijk op onrechtmatige wijze werd gebruikt voor surveillance. Op de lijst van beoogde personen staan 14 wereldleiders en vele andere activisten, voorvechters van de mensenrechten, dissidenten en oppositiefiguren.
Later in juli brachten vertegenwoordigers van de Israëlische regering een bezoek aan de kantoren van de NSO als onderdeel van een onderzoek naar de beweringen. In oktober gaf het Indiase Hooggerechtshof een technische commissie opdracht onderzoek te doen naar het gebruik van Pegasus om zijn burgers te bespioneren. Apple kondigde in november aan dat het juridische stappen onderneemt tegen NSO Group voor het ontwikkelen van software die zijn gebruikers “schadelijke malware en spyware” aanreikt. Daarnaast publiceerde Reuters in december dat de telefoons van het Amerikaanse ministerie van Buitenlandse Zaken waren gehackt met de NSO Pegasus-malware, waar voor was gewaarschuwd door Apple.
De afgelopen maanden heb ik veel vragen gekregen van bezorgde gebruikers over de hele wereld over hoe ze hun mobiele apparaten tegen Pegasus en andere soortgelijke tools en malware kunnen beschermen. In het huidige artikel proberen we hierop in te gaan, met de kanttekening dat geen enkele lijst van verdedigingstechnieken ooit volledig kan zijn. Naarmate aanvallers hun modus operandi veranderen, moeten ook de beschermingstechnieken worden aangepast.
Hoe u zich beschermt tegen Pegasus en andere geavanceerde mobiele spyware
Allereerst moet worden gezegd dat Pegasus een toolkit is die tegen betrekkelijk hoge prijzen aan landen wordt verkocht. De kosten van een volledige implementatie kunnen gemakkelijk oplopen tot miljoenen euro’s. Ook andere mobiele APT-malware kan worden ingezet via zero-click 0-day exploits. Deze zijn extreem duur – als voorbeeld: Zerodium, een exploit brokerage-bedrijf betaalt tot 2,5 miljoen dollar voor een Android-zero-click-infectieketen met persistentie:
Vanaf het begin wordt een belangrijke conclusie getrokken: cyberspionage door nationale staten is een enorm onderneming. Wanneer een bedreiger het zich kan veroorloven miljoenen, mogelijk tientallen miljoenen of zelfs honderden miljoenen euro’s te besteden aan zijn of haar offensieve programma’s, is het zeer onwaarschijnlijk dat een doelwit het kan voorkomen om besmet te raken. Eenvoudiger gezegd: als u het doelwit van zo iemand bent, is het niet de vraag of u besmet kunt raken, maar is het in feite een kwestie van tijd en middelen voordat u besmet raakt.
Nu het goede nieuws: de ontwikkeling van exploits en offensieve cyberoorlogsvoering zijn vaak eerder een kunst dan een exacte wetenschap. Exploits moeten worden afgestemd op specifieke OS-versies en hardware en kunnen gemakkelijk worden gedwarsboomd door nieuwe uitgaves van besturingssystemen, nieuwe mitigatietechnieken of zelfs kleine zaken zoals willekeurige gebeurtenissen.
Met dat in het achterhoofd is besmetting en targeting ook een kwestie van kosten en het de aanvallers moeilijker maken. Hoewel we niet altijd kunnen voorkomen dat het mobiele apparaat met succes wordt uitgebuit en geïnfecteerd, kunnen we wel proberen het de aanvallers zo moeilijk mogelijk te maken.
Hoe doen we dat in de praktijk? Hier vindt u een simpele checklist.
Hoe u zich op iOS tegen geavanceerde spyware beschermt
Start dagelijks opnieuw op. Volgens onderzoek van Amnesty International en Citizen Lab berust de infectieketen van Pegasus vaak op zero-click 0-days zonder persistentie, dus regelmatig herstarten helpt het apparaat schoon te maken. Als het apparaat dagelijks opnieuw wordt opgestart, moeten de aanvallers het steeds opnieuw infecteren. Na verloop van tijd vergroot dit de kans op detectie; er kan een crash optreden of er kunnen artefacten worden gelogd die de heimelijke aard van de infectie verraden. Dit is niet alleen theorie, maar ook praktijk – wij hebben één geval geanalyseerd waarbij een mobiel apparaat het doelwit was van een zero-click exploit (waarschijnlijk FORCEDENTRY). De eigenaar van het apparaat herstartte zijn apparaat regelmatig en deed dat ook in de volgende 24 uur na de aanval. De aanvallers probeerden hen nog een paar keer te raken, maar gaven het uiteindelijk op nadat ze een aantal keer door reboots eruit waren geschopt.
NoReboot: een valse reboot om voet aan de grond te krijgen in het systeem
Deactiveer iMessage. iMessage is ingebouwd in iOS en is standaard ingeschakeld, waardoor het een aantrekkelijke exploitatievector is. Omdat iMessage standaard is ingeschakeld, is het een geweldig leveringsmechanisme voor zero-click-ketens en jarenlang was er veel vraag naar iMessage-exploits, met buitengewone uitbetalingen bij exploit brokerage-bedrijven. “De laatste maanden zien we een toename van het aantal iOS-exploits, voornamelijk Safari- en iMessage-ketens, die ontwikkeld en verkocht worden door onderzoekers van over de hele wereld. De zero-day-markt wordt zó overspoeld met iOS-exploits dat we onlangs zijn begonnen met het weigeren van enkele (van) hen,”zo schreef Chaouki Bekrar, de oprichter van Zerodium, in 2019 aan WIRED. We beseffen dat het leven zonder iMessage voor sommigen erg moeilijk kan zijn (daarover later meer), maar als Pegasus en andere mobiele APT-malware van topklasse in uw dreigingsmodel zitten, is dit een afweging die de moeite waard is.
Schakel Facetime uit. Hetzelfde advies als hierboven.
Houd het mobiele apparaat up-to-date; installeer de nieuwste iOS-patches zodra deze uitkomen. Niet iedereen kan zich zero-click 0-day’s veroorloven, en veel van de iOS-exploitkits die we zien, zijn gericht op reeds gepatchte kwetsbaarheden. Toch hebben veel mensen oudere telefoons en stellen ze updates om verschillende redenen uit. Als u (ten minste sommige) hackers van de natiestaten voor wilt zijn, update dan zo snel mogelijk en leer uzelf dat u geen emoji’s nodig hebt om de patches te installeren.
Klik nooit op links die u in berichten ontvangt. Dit is een eenvoudig maar doeltreffend advies. Niet alle Pegasus-klanten kunnen het zich veroorloven zero-click 0-day-ketens te kopen die miljoenen kosten, en dus vertrouwen zij op 1-click-exploits. Deze komen binnen in de vorm van een bericht, soms per sms, maar ook via andere messengers of zelfs e-mail. Als u een interessante sms ontvangt (of een bericht via een andere messenger) met daarin een link, open deze dan op een desktop computer, bij voorkeur met TOR Browser, of beter nog met een veilig niet-persistent besturingssysteem zoals Tails.
Surf op het internet met een andere browser, zoals Firefox Focus in plaats van Safari of Chrome. Ondanks het feit dat alle browsers op iOS vrijwel dezelfde engine gebruiken (Webkit), werken sommige exploits niet goed (zie LightRighter/TwoSailJunk APT-geval) op sommige alternatieve browsers:
User agent strings op iOS van Safari, Chrome- en Firefox Focus-browsers:
- Safari: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.1 Mobile/15E148 Safari/604.1
- Chrome: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/96.0.4664.53 Mobile/15E148 Safari/604.1
- Firefox Focus: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) FxiOS/39 Mobile/15E148 Version/15.0
Gebruik altijd een VPN die uw verkeer maskeert. Sommige exploits worden verspreid via MitM-aanvallen van gsm-operatoren, bij het surfen op HTTP-sites of door DNS-hijacking. Het gebruik van een VPN om het verkeer te maskeren maakt het voor uw gsm-operator moeilijk om u rechtstreeks via het internet te bereiken. Het bemoeilijkt ook het targeting-proces als de aanvallers controle hebben over uw datastroom, bijvoorbeeld tijdens roaming. Houd er rekening mee dat niet alle VPN’s hetzelfde zijn en dat niet elke VPN voldoet. Zonder de voorkeur te geven aan een specifieke VPN-provider, volgen er hier een paar zaken om rekening mee te houden als u op zoek gaat naar een VPN-abonnement met anonimiteit als een topprioriteit:how-to-protect-from-pegasus-spyware
- Kopen betekent simpelweg dat het niet gaat om — “gratis” VPN’s.
- Zoek naar diensten die u met cryptocurrency kunt betalen.
- Zoek naar diensten die niet vereisen dat u registratie-informatie verstrekt.
- Probeer VPN-apps te vermijden – gebruik in plaats daarvan open-source tools zoals OpenVPN, WireGuard en VPN-profielen.
- Vermijd nieuwe VPN-diensten en ga op zoek naar gevestigde diensten die al een tijdje bestaan.
Installeer een beveiligingstoepassing die controleert en waarschuwt of het apparaat is gejailbreakt. Gefrustreerd door het keer op keer buiten geschopt worden, zullen de aanvallers uiteindelijk een persistentie-mechanisme implementeren en uw apparaat daarbij jailbreaken. Dit is waar de kans om ze te pakken te krijgen wordt vertienvoudigd en we gebruik kunnen maken van het feit dat het apparaat jailbroken is.
Maak één keer per maand een iTunes-back-up. hierdoor kunnen infecties later worden gediagnosticeerd en opgespoord, door gebruik te maken van het geweldige MVT-pakket van Amnesty International (hierover later meer).
Activeer sysdiags vaak en bewaar ze op externe back-ups. Forensische artefacten kunnen u helpen later vast te stellen of u doelwit bent geweest. Het activeren van een sysdiag hangt af van het telefoonmodel – op sommige iPhones gebeurt dit bijvoorbeeld door Volume omhoog + Volume omlaag + Power tegelijkertijd in te drukken. Misschien moet u hier een paar keer mee spelen, totdat de telefoon zoemt. Zodra de sysdiag is aangemaakt, zal deze in diagnostiek verschijnen:
Hoe u zich op Android tegen geavanceerde spyware beschermt
Een soortgelijke lijst voor Android-gebruikers (voor details en redeneringen, zie de lijst voor iOS hierboven):
- Start dagelijks opnieuw op. Persistentie op de nieuwste Android versies is moeilijk, veel APT’s en exploit-verkopers vermijden persistentie zelfs helemaal!
- Houd uw telefoon up-to-date en installeer de nieuwste patches.
- Klik nooit op links in sms-berichten.
- Surf op het internet met alternatieve browsers, zoals Firefox Focus in plaats van de standaardoptie Chrome.
- Gebruik altijd een VPN die uw verkeer maskeert. Sommige exploits worden verspreid via MitM-aanvallen van gsm-operatoren, bij het surfen op HTTP-sites of door DNS-hijacking.
- Installeer een beveiligingssuite die scant op malware en controleert en waarschuwt als het apparaat rooted
Op een meer geavanceerd niveau (zowel voor iOS als Android): controleer altijd uw netwerkverkeer met behulp van live IoC’s. Een goede set-up zou een Wireguard always-on VPN naar een server onder uw controle kunnen zijn, die pihole gebruikt om slechte dingen uit te filteren en al het verkeer voor verdere inspectie logt.
Leven zonder iMessage
Ik sprak mijn vriend Ryan Naraine onlangs, en hij zei — “iMessage en FaceTime zijn dé redenen waarom mensen iPhones gebruiken” en hij heeft natuurlijk gelijk. Ik ben zelf al sinds 2008 iPhone-gebruiker en vind dat iMessage en FaceTime twee van de beste dingen zijn die Apple aan dit ecosysteem heeft toegevoegd. Toen ik besefte dat dit ook enkele van de meest misbruikte functies zijn waarmee natiestaten uw telefoon kunnen bespioneren, probeerde ik te ontsnappen aan dat Hotel California van iMessage. Het moeilijkste? De familie ervan overtuigen om het ook niet meer te gebruiken. Hoe verrassend het ook mag klinken, dit was een van de moeilijkste dingen in dit hele verhaal over veiligheid.
Eerst probeerde ik iedereen over te laten stappen op Telegram. Dat ging niet erg goed. Daarna werd Signal beter en beter en voerde deze dienst ook videogesprekken en groepsgesprekken in. Na verloop van tijd verhuisden meer en meer vrienden naar Signal. En dit werkte ook goed met mijn familie. Ik zeg niet dat u per se hetzelfde moet doen. Misschien kun je iMessage blijven gebriuken en gelukkig en malwareloos leven – eerlijk is eerlijk, Apple heeft de beveiligings-sandbox rond iMessage enorm verbeterd met BlastDoor in iOS 14. Niettemin heeft de FORCEDENTRY-exploit die NSO gebruikte om Pegasus te leveren BlastDoor omzeild, en natuurlijk is er geen enkele beveiligingsfunctie ooit 100% hack-proof.
Dus, wat is het beste van beide werelden, zult u zich afvragen? Sommige mensen, waaronder ikzelf, hebben meerdere telefoons – één waarop iMessage is uitgeschakeld, en een “honeypot”-iPhone waarop iMessage is ingeschakeld. Beide zijn netjes gekoppeld aan hetzelfde Apple ID en telefoonnummer. Als iemand besluit mij op deze manier aan te vallen, is de kans groot dat hij in de honeypot-telefoon terechtkomt.
Hoe u Pegasus en andere geavanceerde mobiele malware kunt detecteren
Het opsporen van infectiesporen van Pegasus en andere geavanceerde mobiele malware is erg lastig, en wordt ook nog eens bemoeilijkt door de beveiligingskenmerken van moderne besturingssystemen zoals iOS en Android. Op basis van onze waarnemingen wordt dit verder bemoeilijkt door de inzet van niet-persistente malware, die na een herstart bijna geen sporen nalaat. Aangezien veel forensische frameworks een jailbreak van het toestel vereisen, die op zijn beurt een reboot vereist, resulteert dit in het verwijderen van de malware uit het geheugen tijdens het opnieuw opstarten.
Momenteel kunnen er verschillende methoden worden gebruikt voor de detectie van Pegasus en andere mobiele malware. De MVT (Mobile Verification Toolkit) van Amnesty International is gratis, open source en stelt technologen en onderzoekers in staat mobiele telefoons te inspecteren op tekenen van infectie. MVT wordt verder gestimuleerd door een lijst van IoC’s (indicators of compromise) die zijn verzameld uit geruchtmakende zaken en beschikbaar zijn gesteld door Amnesty International.
Wat moet u doen als u geïnfecteerd bent met Pegasus?
Dus u hebt al deze aanbevelingen zorgvuldig opgevolgd en toch bent u geïnfecteerd. Helaas is dat vandaag de dag de realiteit waar we in leven. Het spijt me voor u, werkelijk. Misschien bent u helemaal geen slechterik – integendeel, ik weet zeker dat u een van de goeden bent. Misschien hebt u zich uitgesproken tegen machtige personen, of deelgenomen aan enkele protesten tegen een twijfelachtige beslissing van bepaalde politieke figuren, of gewoon encryptiesoftware gebruikt of op het verkeerde moment op de verkeerde plaats geweest. Bekijk het echter van de zonnige kant: u weet dat u geïnfecteerd bent, omdat artefacten en kennis u in staat stelden dat vast te stellen. Denk aan de volgende zaken:
- Wie heeft het op u gemunt en waarom? Probeer uit te zoeken wat het was dat u onder de aandacht van de grote jongens bracht. Is dit iets dat u in de toekomst kunt vermijden door minder opvallend gedrag?
- Kunt u zich erover uitspreken? Wat uiteindelijk veel beveiligingsbedrijven ten val bracht, was slechte publiciteit. Verslaggevers en journalisten die over misstanden schrijven en de leugens, wandaden en al het kwaad aan het licht brengen. Probeer als u getroffen bent een journalist te vinden om uw verhaal kwijt te kunnen.
- Verander van apparaat— als u op iOS zat, probeer dan even over te stappen op een Android-apparaat. Als u op Android zat, stap dan over op iOS. Dit kan aanvallers enige tijd in verwarring brengen; van sommige dreigingsactoren is bijvoorbeeld bekend dat zij exploitatiesystemen hebben gekocht die alleen werken op een bepaald merk telefoon en OS.
- Neem een tweede apparaat, dat bij voorkeur op GrapheneOS draait, voor veilige communicatie. Gebruik er een prepaidkaart in, of maak alleen verbinding via wifi en TOR in de vliegtuigmodus.
- Vermijd messengers waarbij u uw telefoonnummer aan uw contacten moet geven. Als een aanvaller eenmaal uw telefoonnummer heeft, kunnen ze u via deze weg gemakkelijk benaderen via veel verschillende messengers – iMessage, WhatsApp, Signal, Telegram: ze zijn allemaal aan uw telefoonnummer gebonden. Een interessante nieuwe keuze hier is Session, dat uw berichten automatisch door een Onion-achtig netwerk stuurt en niet afhankelijk is van telefoonnummers.
- Probeer in contact te komen met een beveiligingsonderzoeker in uw regio en bespreek voortdurend best practices. Deel artefacten, verdachte berichten of logs wanneer u denkt dat er iets vreemds aan de hand is. Beveiliging is nooit een pasklare oplossing die voor 100% waterdicht is; zie het als een stromende rivier waarbij u uw koers moet aanpassen aan de snelheid, de stroming en de obstakels.
Ik hoop u aan het einde van dit verhaal aan het volgende denkt. Als u het doelwit bent van nationale staten, betekent dit dat u belangrijk bent. En onthoud: het is aardig om belangrijk te zijn, maar het is belangrijker om aardig te zijn. In ons eentje zijn we zwak, maar samen staan we sterk. De wereld mag dan kapot zijn, maar ik geloof dat we in een tijd leven waarin we nog dingen kunnen veranderen. Volgens een rapport van de non-profitgroep Committee to Protect Journalists werden er in 2021 293 journalisten gevangengezet, het hoogste aantal dat CPJ ooit heeft gerapporteerd sinds ze in 1992 begonnen met het bijhouden van dee gegevens. Het is aan ons om te bepalen hoe de wereld er over 10 jaar zal uitzien voor ons, voor onze kinderen, en hun kinderen.
Jullie, de mensen hebben de macht, de macht om machines te maken. De kracht om geluk te creëren! Jullie, de mensen, hebben de macht om dit leven vrij en mooi te maken, om van dit leven een prachtig avontuur te maken.
Laten we dan – in naam van de democratie – die macht gebruiken – laten we ons allemaal verenigen. Laten we strijden voor een nieuwe wereld – een fatsoenlijke wereld die mensen de kans geeft om te werken – die de jeugd een toekomst geeft en ouderen zekerheid biedt. Door dit soort beloften, zijn er bruten aan de macht gekomen. Maar ze logen! Zij komen die beloftes niet na. En dat zal ook nooit gebeuren!
Dictators bevrijden zichzelf, maar ze maken slaven van het volk! Laten we nu vechten om die belofte in te lossen! Laten we strijden voor de bevrijding van de wereld – voor het slechten van nationale grenzen – voor het slechten van hebzucht, haat en onverdraagzaamheid. Laten we strijden voor een wereld van rede, een wereld waarin wetenschap en vooruitgang leiden tot het geluk van alle mensen. Strijders! In naam van de democratie, laat ons allen verenigen!
Laatste speech van The Great Dictator
Deze post verscheen oorspronkelijk als een reeks opiniestukken in Dark Reading (deel 1, deel 2).