15:02
23/7/2019

Znów robi się głośno o izraelskiej firmie NSO Group, której flagowe narzędzie szpiegowskie – Pegasus – miało wcześniej służyć do “ataku na WhatsAppa“.  Teraz sprzedawany rządom trojan miał zyskać możliwość wykradania danych z usług chmurowych Google, Facebooka, Apple, Amazona i Microsoftu.

Informacja o nowych możliwościach Pegasusa pochodzi (znów!) od Financial Timesa. Dziennikarze tej gazety rozmawiali z ludźmi, którzy mieli okazję zapoznać się z najnowszą ofertą NSO Group i mogli przekazać pewne dokumenty do analizy. Szczegóły znajdziecie w tekście pt. Israeli group’s spyware ‘offers keys to Big Tech’s cloud’

Przypomnijmy, że NSO Group całkiem otwarcie rozwija technologię “umożliwiającą rządom i organom ścigania przeciwdziałanie i śledzenie terroryzmu i przestępstw”.

W artykule FT znalazły się następujące istotne informacje.

  1. Nowa funkcja Pegasusa umożliwiająca dostęp do chmury ma działać w oparciu “kopiowanie kluczy uwierzytelniania usług takich jak Google Drive, Facebook Messenger oraz iCloud (…) z zainfekowanego urządzenia”. To z kolei pozwala serwerowi na podszycie się pod telefon (włącznie z jego lokalizacją), co ma dawać dostęp do usługi chmurowej bez wywołania 2FA lub ostrzeżenia e-mailowego.
  2. Rozwiązanie ma działać na różnych urządzeniach, włączając w to nowe iPhony i smartfony z Androidem. Dostęp do chmury ma być możliwy nawet po usunięciu Pegasusa z zaatakowanego urządzenia (o ile użytkownik nie wyloguje się z usługi i nie zmieni haseł).
  3. Jedno z takich rozwiązań mogło zostać przygotowane dla służb Ugandy.
  4. Rzecznik NSO Group nie zaprzeczył. Oświadczył jedynie, że firma nie tworzy ani nie sprzedaje narzędzi do masowego pobierania danych z chmury, usług czy jakiejkolwiek innej infrastruktury. Wydaje się zatem, że nowa funkcja Pegasusa może być używana przy szpiegowaniu konkretnych osób (por. Jak wykryto ślady rządowego trojana na smartfonach w Polsce?).

Jeśli to wszystko jest prawdą to Google, Facebook, Microsoft, Apple i Amazon mają pewien problem. Na razie firmy bronią bezpieczeństwa swoich chmur w licznych oświadczeniach dla prasy (nie tylko dla FT).

Ciężko też jednoznacznie co Pegasus rozumie pod pojęciem klucze. Czy chodzi o ciasteczka, tokeny SSO, czy o klucze API? Warto zwrócić uwagę, że każda chmura musi po czymś rozpoznać urządzenie — nie będzie przecież przy każdym odwołaniu prosiła o login i hasło. Dlatego większość back-endów aplikacji (w chmurze) przyznaje aplikacjom tymczasowe tokeny. Aby go uzyskać trzeba podać login, hasło a często takę drugi składnik, nawet U2F. Ale po uzyskaniu tokena, dostęp staje się zaufany — często jako “krotka”, token ważny jest tylko z tym konkretnym User-Agentem (który można podrobić) albo inną charakterystyczną cechą urządzenia lub rzadziej z tym konkretnym adresem IP. Jeśli więc ktoś “zhackuje” nam urządzenie, to może pozyskać zarówno token, jak i ustalić jakie parametry urządzenia trzeba zasymulować, aby móc je “wirtualnie” sklonować. Warto więc raz na jakiś czas się przelogować (co unieważnia token) — to może odciąć dostęp osobom, które token przechwyciły. Warto też patrzeć na logi w chmurach — skąd nawiązywano z naszym kontem ostatnie połączenia.

Amazon stwierdził, iż nie ma żadnych dowodów na naruszenie bezpieczeństwa jego chmury. W podobnym tonie odpowiedziała firma Google. Microsoft podkreślił, że jego technologia ulega ciągłym zmianom, ale też użytkownicy muszą zadbać o dobry stan swoich urządzeń. Apple przyznała, że pewne specjalistyczne narzędzia umożliwiają atak na małą liczbę smartfonów jej produkcji, ale firma nie wierzy w możliwość atakowania iCloud na większą skalę. Facebook stwierdził, że sprawdza prawdopodobieństwo doniesień.

Chmura jest problemowa. Tak czy owak

Z pewnym zainteresowaniem zauważamy, że chmury albo budzą strach albo… w ogóle nie pamiętamy jak często nam towarzyszą.

Gdy w zeszłym tygodniu komentowaliśmy dla licznych mediów sprawę FaceAppa, niektórzy dziennikarze byli autentycznie zdziwieni tym, że taka aplikacja musi korzystać z chmury (“Naprawdę? Musi? Ale dlaczego?”). Mamy wrażenie, że w ludziach dopiero rodzi się świadomość, iż chmura stanowi nieodłączny element większości technologii mobilnych.

Firma CheckPoint opublikowała niedawno godny uwagi raport o bezpieczeństwie chmur. Co ciekawe, aż 15% firm przepytanych przez CheckPoint potwierdziło, że miał u nich miejsce jakiś incydent związany z bezpieczeństwem chmurowym. Co czwarta firma nie potrafi nawet ocenić czy mogło do czegoś takiego dojść.

źródło: CLOUD SECURITY REPORT 2019, Checkpoint

Z raportu wynika też, że firmy często obawiają się nieuprawnionego dostępu do kont oraz błędów konfiguracyjnych, które mogą narazić dane na ujawnienie (por. Wyciekła baza producenta rozwiązań “smart home” z lokalizacjami, nazwiskami i hasłami). Jednak najwięcej strachu wzbudza malware i ransomware. Dlatego właśnie wśród priorytetów bezpieczeństwa przyjętych przez firmy na pierwszym miejscu znalazła się ochrona przed złośliwym oprogramowaniem.

Co robić? Jak żyć?

Powtórzymy to co już pisaliśmy. Jeśli nie współpracujecie z dysydentami i nie mieszacie się w sprawy innych państw to prawdopodobnie nikt nie użyje przeciwko wam rozwiązań w stylu Pegasusa. Przypomnimy też, że rządy i służby mają interes w minimalizowaniu korzystania z podobnych narzędzi bo spada wówczas możliwość wykrycia tych działań.

Niezależnie od powyższego pamiętajcie, że korzystanie z chmury wiąże się z pewnymi ryzykami. W wielu wypadkach do wycieku informacji dochodzi z powodu zwykłego niedbalstwa lub pomyłki wynikającej z braku wiedzy o poprawnej konfiguracji.

Musimy niestety przyjąć do wiadomości, że istnieje coś takiego jak “przemysł inwigilacji”, a NSO Group jest tylko jedną z wielu firm na tym niemałym już rynku. Jakoś tak się złożyło, że niedawno mieliśmy wyciek z SyTechu, który pracował dla rosyjskich służb. Nawet bez takich wycieków, co jakiś czas, opinia publiczna dowiaduje się o nowinkach z tej branży. Materiały promocyjne, ulotki, instrukcje czy katalogi po prostu trudno utrzymać w tajemnicy. Ostatecznie chyba każdemu sprzedawcy zależy na rozgłosie :).

Przeczytaj także:

16 komentarzy

Dodaj komentarz
  1. Dlaczego taka aplikacja musi korzystać z chmury?

    • By mogły je wszystkie służby inwigilować:)

    • Aplikacje pokroju FaceApp (pomijając ewentualne śledzenie użytkowników, itd.), czyli działające na urządzeniach mobilnych, a dające dostęp do jakiejś “wow!-funkcjonalności” używają chmury do wykonywania dużej ilości skomplikowanych obliczeń, z którymi telefon długo by się zmagał. Taki FaceApp ma zapewne po stronie chmury wytrenowaną dość potężną sieć neuronową, który na podstawie jednego zdjęcia może wygenerować potencjalne zdjęcia osoby sprzed 20 lat lub 20 lat starszej, etc. Telefon ma za mało mocy i pojemności, aby trenować i przechowywać taką sieć. To tak w dużym uproszczeniu. ;)

    • @MoroS
      A to nie jest tak, że o ile do trenowania sieci faktycznie moc jest potrzena tak już do algorytmu wymyślonego przez tą sieć już często nie?

      Może bardziej chodzi o to, żeby zachować w tajemnicy algorytm, a jakby się po stronie klienta robiło, to każdy mógłby go poznać?

    • @ MoroS
      Co ty się tak przyczepiłeś do aplikacji FaceApp? Jeżeli sugerujesz, że Rosyjska aplikacja FaceApp może szpiegować TO DOBRZE BY BYŁO PRZEDSTAWIĆ JAKIEŚ DOWODY, a nie na zasadach trollowania.

    • Jednym z powodów powstania chmury było inwigilowanie obywateli. Po co służby żydowskie mają same zbierać informacje na temat obywatela jak prościej stworzyć takiego FB, google, MS, gdzie będziemy te dane sami udostępniać.

    • Dokonanie predykcji lub generacji przy użyciu głębokiej sieci neuronowej wiąże się z wykonaniem połowy obliczeń dla jednej obserwacji treningowej. Wydaje się, że jest to mało, ale sam ostateczny proces uczenia może trwać tygodniami na GPU, które pozwalają urównoleglać obliczenia na nieporównywalnie większą skalę niż CPU na komputerze, czy w smartfonie.

      W przypadku generowania obrazu GANem, przeprocesowanie jednego generowania na GPU może spokojnie trwać dwie minuty, a co dopiero na CPU.

      Drugą rzeczą jest wielkość modelu. Głębokie sieci o benchmarkowej architekturze zajmują często ponad 8GB więc ich odpalenie na urządzeniu końcowym często odpada.

    • Co do zachowania tajemnicy, to również jest to istotne. Istnieją algorytmy, które redukują sieć w taki sposób, że waży mniej, nie da się jej skutecznie douczyć czy wykorzystać do podobnego zastosowania, ale nigdy nie wiesz, czy nie powstanie do nich jakiś algorytm reverse engineering.

    • Musi z chmury, bo fon ma za mało CPU/RAM, żeby obrobić obraz. Pozostaje pytanie: czym użyszkodnik płaci za moc obliczeniową wynajętą przez autorów apki… bo chyba charytatywnie nie działają?

  2. CLICKBAIT!

    Trza było napisać: Pegasus wykrada klucze API do chmur.

    Już myślałem, że zerżnęli od tyłu amazona z guglem i mikrosoftem pospołu. Albo że znaleźli jakiś spectremelthammer do przeskakiwania z wirtualki na wirtualkę. A tu tylko klucze do pokoju nauczycielskiego woźnemu podwędzili, jak zwykle.

  3. Jestem stary i przestarzały. Po przeczytaniu nagłówka: “co te Nintendo?”

    • No, you’re breathtaking! ;-)

  4. Mam gdzieś PEGASUSA na strychu. Chce ktoś odkupić? ;)

    • Ile kosztuje roczna licencja na Pegasusa ?

  5. Ziew… wystarczy wylaczyc opcje “nie wymagaj ponownego logowania na tym komputerze” i po problemie…

  6. A co to jest “WhatsAppa”. Żarcik. Generalnie te Messengery WhatsAppy to istne wirusy na własne życzenie, czasem to niczego nie rozumiem ;)

Odpowiadasz na komentarz Paweł P.

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: