Staatstrojan Pegasus; We Moeten De Hele Bewakingsindustrie In Vraag Stellen INDIGNATIE AI & Politiek

Spread the love en help Indignatie

Inhoud

De spionagesoftware Pegasus is gevonden op de apparaten van journalisten en activisten over de hele wereld. Techbedrijven en overheden moeten nu handelen, vindt IT-beveiligingsonderzoeker Claudio Guarnieri. De destructieve surveillance-industrie kan zo niet doorgaan.

Claudio Guarnieri is een IT-beveiligingsonderzoeker en leidt het Security Lab van Amnesty International . Het internationale team deed het technische werk voor het Pegagus-project en ontwikkelde tools om de Pegasus- spionagesoftware op smartphones te ontdekken en te analyseren. Deze tekst verscheen voor het eerst in zijn nieuwsbrief en blog onder de licentie CC BY-NC-SA 4.0 . Vertaling door netzpolitik.org.

Mijn nieuwsbrief over IT – beveiliging en bewaking is de afgelopen zes maanden inactief geweest . Het was niet alleen dat ik te veel bezig was met de inhoud van dit nummer. Ik had ook geen enkele prikkel om te schrijven. Na twaalf jaar in IT-beveiliging te hebben gewerkt, waaronder tien jaar voor het maatschappelijk middenveld, had ik het gevoel dat ik geen ruzie meer had. Niet omdat alle problemen waarmee ik te maken heb, zijn opgelost – integendeel. Maar omdat alles waar ik over zou kunnen schrijven of spreken op een conferentie alleen maar als een gebroken plaat kon klinken.

Iedereen die zich met deze onderwerpen bezighoudt, herhaalt al jaren tot vervelens toe dat journalisten en activisten bijzonder kwetsbaar zijn voor cyberaanvallen en dat de verdedigingsmaatregelen die hen ter beschikking staan gezien hun tegenstanders ontoereikend zijn. We hebben herhaaldelijk gewaarschuwd dat de commercialisering van surveillance de weg vrijmaakt voor systematisch misbruik.

Weinigen luisterden; de meesten waren gewoon onverschillig. Elk nieuw rapport, elke nieuwe zaak trof me als onbeduidend dat ik me begon af te vragen of het aandringen iets anders dient dan ons eigen ego.

Maar toen kwam de gelegenheid om dat allemaal opnieuw in vraag te stellen.

Het Pegasus-project

Maanden van complexe en zorgvuldige onderzoeken hebben tientallen onwettige bewakingsdoelen blootgelegd en naar talloze andere verwezen. Het Pegasus-project werpt licht op het gebruik van Pegasus, spionagesoftware van de surveillanceprovider NSO Group. Mijn team bij Amnesty International, het Security Lab, is een technische partner geweest voor 16 mediaorganisaties in een gezamenlijke inspanning om het valse verhaal van gerichte surveillance voor eens en voor altijd op te ruimen.

Bedrijven als NSO willen ons doen geloven dat tools zoals Pegasus essentieel zijn voor de bescherming tegen terrorisme en georganiseerde misdaad, en dat incidenteel misbruik slechts anekdotisch is. Dit verhaal is gebaseerd op de geheimen en leugens van een ondoorzichtige industrie die te machtig en ongereguleerd is. Het Pegasus Project onthult een veel donkerdere realiteit.

Het gaat niet om één, het gaat om velen. Het gaat niet alleen om Omar Radi of Ahmed Mansoor, maar om iedereen die zich uitspreekt tegen autoritair bewind. Het gaat niet om uitzonderingen, het gaat om de norm. Het gaat niet om dit of dat veiligheidsbericht, het gaat om het falen van een heel ecosysteem.

De dimensie van het probleem gaat verloren tussen koppen en Twitter-opmerkingen. Zoals ik de media heb uitgelegd, voel ik me door onze dagelijkse ontdekkingen van nieuwe gecompromitteerde apparaten als een pestdokter in 1300: eigenlijk nutteloos en alleen daar om het aantal doden te registreren. We vonden forensische sporen van een spyware-infectie op bijna elke iPhone die we analyseerden en die gegevens uit de relevante periode bevatten.

Brenger van slecht nieuws

Ondanks mijn jarenlange ervaring in het omgaan met geïnfecteerde apparaten, daagde dit project me ook mentaal uit. Het is klote om slecht nieuws te brengen aan alle journalisten en activisten die op hun apparaten en apps hebben vertrouwd voor de veiligheid van hun familie, vrienden, collega’s en bronnen.

‘Het spijt me, uw telefoon lijkt tot … minuten geleden geïnfecteerd te zijn geweest.’

“Ja, het is heel goed mogelijk dat uw gesprekken zijn opgenomen …”

“Ja, helaas hadden die ook kunnen worden opgenomen via versleutelde berichten-apps…”

“Ik kan enkele corrigerende maatregelen voorstellen, maar helaas kunnen we niet veel doen om toekomstige aanvallen zoals deze te voorkomen…”

Ik moest mezelf zo vaak herhalen dat ik uiteindelijk mijn antwoorden begon te formuleren.

Het was moeilijk om de plotselinge angst van de getroffenen te verdragen, het instinctieve gevoel van pijn en zorgen over wie er nog meer bedreigd werd door deze spionagesoftware. Wat nog erger was, ik kon er niets aan doen dat het nog een keer gebeurde. Sommige werden slechts enkele dagen nadat ze voor het eerst werden ontdekt opnieuw gecompromitteerd. Voor anderen die ervoor kozen om hun apparaten weg te doen, werden de vervangende apparaten ook enkele uren nadat ze waren ingesteld geïnfecteerd.

Een wake-up call

Ik hoop dat het Pegasus-project niet alleen een wake-up call is voor hoe destructief de surveillance-industrie is geworden. Maar ook voor hoe ontoereikend de beschikbare beschermende maatregelen zijn. Het is een mythe dat alleen bijzondere mensen worden blootgesteld aan bedreigingen van dit kaliber. We hebben dit kunnen aantonen aan de hand van de talrijke gevallen waarop om schokkend banale redenen het doelwit was. Leveranciers kunnen zich er dan ook niet meer van afpraten niet voldoende te investeren in de bescherming van hun producten. Smartphones zijn voor velen een reddingsboei.

Ongetwijfeld zal het oplossen van deze of gene kwetsbaarheid NSO en anderen er niet van weerhouden om meer zero-day-kwetsbaarheden te vinden en aan hun arsenaal toe te voegen. Apple, Google, Microsoft en Co. moeten hun cruciale rol erkennen in deze markt van geïndustrialiseerde onzekerheid. U moet meer investeren om aanvalsvectoren af te sluiten, het moeilijker te maken om exploits te leveren en kwaadaardig gedrag te detecteren. Als je nog geen teams hebt om gerichte bedreigingen voor het maatschappelijk middenveld te onderzoeken en tegen te gaan, is het nu tijd om er een samen te stellen.

Er zou geen handvol Amnesty International- of Citizen Lab-onderzoekers nodig moeten zijn om deze gevallen aan het licht te brengen. Zeker als je bedenkt dat we geen toegang hebben tot telemetriegegevens, geen bevoorrechte toegang, geen inzicht in de interne systemen van het systeem. We hebben alleen de kleine diagnostische gegevens die de eindapparaten leveren.

Krijg weer controle over de apparaten

Het feit dat Pegasus zo lang de onverdiende reputatie genoot van ondetecteerbaar te zijn, was niet te wijten aan een of andere duistere, geheime magie van NSO. Het was omdat het zo moeilijk is om mobiele apparaten te onderzoeken. Dat zelfs techneuten het controleren van de telefoons van activisten hebben opgegeven. Mijn team probeert dat te veranderen door onze methoden en tools openbaar te maken. En we zullen blijven samenwerken met techneuten, journalisten en activisten om de controle over onze apparaten terug te krijgen.

Het verzamelen van forensisch bewijs is echter nog moeilijker dan het zou moeten zijn. Voor iPhones hebben we een bruikbaar proces ontwikkeld, maar met de meeste Android-toestellen tasten we nog in het duister. Fabrikanten zouden gebruikers meer mogelijkheden moeten bieden om diagnostische informatie te verzamelen om de integriteit van hun apparaten te controleren en mogelijke sporen van compromissen te identificeren.

Wat we nu hebben is niet genoeg.

De behoeften van risicogroepen gaan verder dan die van de meeste eindgebruikers. Terwijl laatstgenoemden zo min mogelijk wrijvingsverliezen willen, is het van cruciaal belang dat eerstgenoemden worden geïnformeerd: een gerichte aanval kan een belangrijke indicator zijn die meer voorzichtigheid vereist. Voor degenen die hun leven of dat van anderen riskeren, gebeuren de aanslagen niet in een vacuüm. Als hun apparaten beter kunnen worden gecontroleerd, kan dit uiteindelijk een leven redden.

En wat is het volgende?

De onthullingen van het Pegasus Project moeten een duidelijke indicatie zijn dat de zaken vanaf hier moeten veranderen.

De technologiesector moet goed kijken en diep graven om deze problemen op te lossen. Het is een moeilijke taak, maar zeker een die de grootste bedrijven ter wereld aankunnen, toch? Misschien zou ik volgend najaar, in plaats van een telefoon met een absurde hoeveelheid camera’s en pixels, graag een betaalbaarder en veiliger apparaat hebben dat we kunnen vertrouwen.

Tegelijkertijd moeten regeringen degenen helpen die ten onrechte zijn aangevallen. En ze moeten degenen vasthouden die deze aanvallen hebben uitgevoerd en mogelijk hebben gemaakt. Surveillancebedrijven kunnen zich niet langer schikken naar de respectieve apparaten van “nationale veiligheid” en repressieve staten over de hele wereld bewapenen. Hun blijk van goede wil en hun inzet voor mensenrechten zijn een farce. Stop ze voordat de schade onherstelbaar wordt.

We moeten de hele bewakingsindustrie uitdagen en de ongereguleerde markt in bedwang houden. Tot dusver leek een wereldwijd moratorium op de verkoop van spyware een utopie, maar nu voelt het nodig om ons wat tijd te gunnen totdat passende politieke en technologische veranderingen zijn ontwikkeld om met deze chaos om te gaan.