چگونه از پگاسوس و سایر نرم افزارهای جاسوسی پیشرفته محافظت کنیم

احتمالاً بزرگترین داستان سال 2021 – تحقیقات گاردین و 16 سازمان رسانه ای دیگر که در ژوئیه منتشر شد – نشان می دهد که بیش از 30000 فعال حقوق بشر، روزنامه نگار و وکیل در سراسر جهان ممکن است با استفاده از پگاسوس هدف قرار گرفته باشند. Pegasus یک نرم افزار به اصطلاح "نرم افزار نظارت قانونی" است که توسط شرکت اسرائیلی NSO توسعه یافته است. این گزارش که پروژه پگاسوس نامیده می‌شود، ادعا می‌کند که بدافزار به طور گسترده از طریق انواع سوء استفاده‌ها، از جمله چندین روز صفر کلیک صفر iOS، مستقر شده است. نرم افزار به طور مکرر به شیوه ای توهین آمیز برای نظارت مورد استفاده قرار گرفت. فهرست افراد مورد هدف شامل 14 رهبر جهان و بسیاری دیگر از فعالان، مدافعان حقوق بشر، مخالفان و چهره های مخالف است. در ماه اکتبر، دادگاه عالی هند یک کمیته فنی را مأمور کرد تا درباره استفاده از پگاسوس برای جاسوسی از شهروندانش تحقیق کند. اپل در ماه نوامبر اعلام کرد که علیه NSO Group به دلیل توسعه نرم افزاری که کاربرانش را با "بدافزارهای مخرب و جاسوس افزارها" هدف قرار می دهد، اقدام قانونی می کند. آخرین اما نه کم اهمیت، در ماه دسامبر، رویترز منتشر کرد که تلفن های وزارت خارجه ایالات متحده با بدافزار NSO Pegasus هک شده اند، همانطور که اپل هشدار داده بود. از دستگاه های تلفن همراه خود در برابر Pegasus و سایر ابزارها و بدافزارهای مشابه محافظت می کنند. ما سعی داریم در مقاله حاضر به این موضوع بپردازیم، با توجه به اینکه هیچ فهرستی از تکنیک های دفاعی نمی تواند جامع باشد. علاوه بر این، زمانی که مهاجمان شیوه عملکرد خود را تغییر می‌دهند، تکنیک‌های حفاظتی نیز باید تطبیق داده شوند. ایالت ها با قیمت های نسبتاً بالا هزینه استقرار کامل ممکن است به راحتی به میلیون ها دلار برسد. به طور مشابه، سایر بدافزارهای تلفن همراه APT ممکن است از طریق اکسپلویت های صفر روزه با کلیک صفر استفاده شوند. اینها بسیار گران هستند – به عنوان مثال، Zerodium، یک شرکت کارگزاری اکسپلویت تا 2.5 میلیون دلار برای یک زنجیره عفونت بدون کلیک اندروید با ماندگاری پرداخت می کند:

پیامک با پیوند مخربی که برای هدف قرار دادن یک فعال سیاسی استفاده می شود. منبع: Citizen Lab

اینترنت را با مرورگر دیگری مانند Firefox Focus به جای Safari یا Chrome مرور کنید. علیرغم این واقعیت که همه مرورگرهای iOS تقریباً از یک موتور Webkit استفاده می‌کنند، برخی از اکسپلویت‌ها به خوبی کار نمی‌کنند (مورد LightRighter / TwoSailJunk APT را ببینید) در برخی از مرورگرهای جایگزین: «Safari» را در رشته عامل کاربر بررسی کنید

رشته‌های عامل کاربر در iOS از مرورگرهای Safari، Chrome و Firefox Focus:

• Safari: Mozilla/5.0 (iPhone؛ CPU iPhone OS 15_1 مانند Mac OS X) AppleWebKit/0. .15 (KHTML، مانند Gecko) نسخه/15.1 Mobile/15E148 Safari/604.1
• Chrome: Mozilla/5.0 (iPhone؛ CPU iPhone OS 15_1 مانند Mac OS X) AppleWebKit/605.1.15 like) 96.0.4664.53 Mobile/15E148 Safari/604.1
• فوکوس فایرفاکس: Mozilla/5.0 (iPhone؛ CPU iPhone OS 15_1 مانند Mac OS X) AppleWebKit/605.1.15 (KHTML/FreeFox، مانند Mobile/5.14Geck)

همیشه از VPN استفاده کنید که ترافیک شما را پنهان می کند. برخی از سوء استفاده‌ها از طریق حملات MitM اپراتور GSM، هنگام مرور سایت‌های HTTP یا با ربودن DNS ارائه می‌شوند. استفاده از VPN برای پنهان کردن ترافیک، هدف قرار دادن مستقیم شما از طریق اینترنت را برای اپراتور GSM دشوار می کند. همچنین اگر مهاجمان کنترل جریان داده شما را داشته باشند، مانند زمانی که در رومینگ هستید، فرآیند هدف گیری را پیچیده می کند. لطفاً توجه داشته باشید که همه VPN ها یکسان نیستند و استفاده از هیچ VPN مناسب نیست. بدون طرفداری از هیچ ارائه‌دهنده VPN خاصی، در اینجا چند نکته وجود دارد که باید در هنگام خرید اشتراک VPN با ناشناس بودن اولویت اصلی را در نظر بگیرید:

• خرید دقیقاً به این معنی است — بدون VPN «رایگان».
• به دنبال خدماتی باشید که می‌توانید پرداخت با ارزهای رمزنگاری شده را بپذیرید.
• به دنبال خدماتی باشید که نیازی به ارائه اطلاعات ثبت نامی از شما ندارند. از سرویس‌های VPN جدید اجتناب کنید و به دنبال سرویس‌های تاسیس‌شده‌ای باشید که برای مدتی در دسترس بوده‌اند.

یک برنامه امنیتی را نصب کنید که بررسی می‌کند و در صورت جیلبریک بودن دستگاه هشدار می‌دهد. مهاجمان که از بارها و بارها لگد زدن ناامید شده‌اند، در نهایت مکانیزم پایداری را به کار می‌گیرند و دستگاه شما را در این فرآیند جیلبریک می‌کنند. اینجاست که شانس گرفتن آنها ده برابر افزایش می یابد و ما می توانیم از این واقعیت که دستگاه جیلبریک شده است استفاده کنیم. این امکان تشخیص و یافتن عفونت‌ها را در آینده فراهم می‌کند، از طریق استفاده از بسته فوق‌العاده MVT از عفو بین‌الملل (در ادامه در مورد آن بیشتر خواهد شد). مصنوعات پزشکی قانونی می توانند به شما کمک کنند تا در زمان دیگری مشخص کنید که آیا هدف قرار گرفته اید یا خیر. راه اندازی sysdiag به مدل گوشی بستگی دارد – برای مثال، در برخی از آیفون ها، این کار با فشار دادن همزمان صدا + کاهش صدا + پاور انجام می شود. ممکن است لازم باشد چند بار با آن بازی کنید، تا زمانی که تلفن وزوز کند. هنگامی که sysdiag ایجاد شد، در عیب‌یابی ظاهر می‌شود:

چگونه از نرم‌افزارهای جاسوسی پیشرفته در Android محافظت کنیم

(برای کاربران اندرویدی یک لیست مشابه جزئیات و استدلال فهرستی را برای iOS در بالا بررسی کنید):

• هر روز راه اندازی مجدد کنید. تداوم در آخرین نسخه‌های اندروید دشوار است، بسیاری از APTها و فروشندگان سوءاستفاده به هیچ وجه از تداوم اجتناب می‌کنند!
• تلفن را به‌روز نگه دارید. آخرین وصله‌ها را نصب کنید.
• هرگز روی پیوندهای دریافتی در پیام‌های متنی کلیک نکنید.
• به‌جای کروم پیش‌فرض، با مرورگر دیگری مانند Firefox Focus در اینترنت مرور کنید.
• همیشه از VPN استفاده کنید که ترافیک شما را پنهان می‌کند. . برخی از سوء استفاده‌ها از طریق حملات MitM اپراتور GSM، هنگام مرور سایت‌های HTTP یا با ربودن DNS ارائه می‌شوند.
• یک مجموعه امنیتی را نصب کنید که بدافزار را اسکن می‌کند و بررسی می‌کند و در صورت روت بودن دستگاه هشدار می‌دهد.

در سطح پیچیده‌تری – هر دو. برای iOS و Android — همیشه ترافیک شبکه خود را با استفاده از IoCهای زنده بررسی کنید. یک راه‌اندازی خوب ممکن است شامل یک VPN همیشه روشن Wireguard برای سروری تحت کنترل شما باشد، که از سوراخ برای فیلتر کردن موارد بد استفاده می‌کند و تمام ترافیک را برای بازرسی بیشتر ثبت می‌کند. اخیراً به دوستم Ryan Naraine، و او گفت – "iMessage و FaceTime – اینها دلایلی هستند که مردم از آیفون استفاده می کنند!" و مطمئناً حق با اوست من خودم از سال 2008 کاربر آیفون هستم و فکر می کنم iMessage و FaceTime دو مورد از بهترین چیزهایی بودند که اپل به این اکوسیستم اضافه کرد. وقتی متوجه شدم که اینها نیز برخی از پر استفاده ترین ویژگی هایی هستند که به دولت های ملی اجازه می دهد تلفن شما را جاسوسی کنند، سعی کردم از هتل iMessage کالیفرنیا فرار کنم. سخت ترین چیز؟ وادار کردن خانواده به توقف استفاده از آن. هر چند ممکن است تعجب آور به نظر برسد، این یکی از سخت ترین چیزها در کل این حماسه امنیتی بود.

در ابتدا سعی کردم همه را به تلگرام. این خیلی خوب پیش نرفت سپس، سیگنال بهتر و بهتر شد، تماس های تصویری و تماس گروهی را پیاده سازی کرد. با گذشت زمان، دوستان بیشتری شروع به حرکت به سیگنال کردند. و این برای خانواده من نیز به خوبی کار کرد. من نمی گویم شما باید همین کار را انجام دهید. شاید بتوانید iMessage را فعال نگه دارید و با خوشحالی و بدون بدافزار زندگی کنید – حقیقتاً، اپل با BlastDoor در iOS 14 سیستم ایمنی اطراف iMessage را تا حد زیادی بهبود بخشید. این ویژگی همیشه 100٪ ضد هک است.

بنابراین، ممکن است بپرسید بهترین هر دو جهان چیست؟ برخی از افراد، از جمله من، چندین تلفن داریم – یکی که iMessage در آن غیرفعال است و یک iPhone "honeypot" که iMessage در آن فعال است. هر دو به خوبی با Apple ID و شماره تلفن یکسان مرتبط هستند. اگر کسی تصمیم بگیرد من را به این طریق هدف قرار دهد، احتمال زیادی وجود دارد که در تلفن هانی پات قرار بگیرد. و با ویژگی های امنیتی سیستم عامل های مدرن مانند iOS و Android پیچیده است. بر اساس مشاهدات ما، این امر با استقرار بدافزارهای غیردائمی که تقریباً هیچ اثری پس از راه اندازی مجدد باقی نمی گذارد، پیچیده تر می شود. از آنجایی که بسیاری از چارچوب‌های پزشکی قانونی به جیلبریک دستگاه نیاز دارند، که به نوبه خود نیاز به راه‌اندازی مجدد دارد، این منجر به حذف بدافزار از حافظه در طول راه‌اندازی مجدد می‌شود.

در حال حاضر، روش‌های مختلفی را می‌توان برای شناسایی Pegasus و سایر بدافزارهای تلفن همراه استفاده کرد. MVT (Mobile Verification Toolkit) از عفو بین‌الملل رایگان و منبع باز است و به فن‌آوران و محققان اجازه می‌دهد تا تلفن‌های همراه را از نظر علائم عفونت بررسی کنند. MVT با فهرستی از IoC ها (شاخص های سازش) که از موارد با سابقه جمع آوری شده و توسط عفو بین الملل در دسترس قرار گرفته است، تقویت می شود. با دقت و هنوز آلوده شد. متأسفانه این واقعیتی است که امروزه در آن زندگی می کنیم. من برای شما احساس می کنم، واقعا شما ممکن است اصلاً پسر بدی نباشید – برعکس، من مطمئن هستم که شما یکی از افراد خوب هستید. شاید شما علیه افراد قدرتمند صحبت کرده اید، یا در برخی اعتراضات علیه تصمیم مشکوک برخی از شخصیت های سیاسی شرکت کرده اید، یا به سادگی از نرم افزار رمزگذاری استفاده کرده اید یا در زمان نامناسبی در مکان اشتباه بوده اید. به جنبه مثبت نگاه کنید – می دانید که آلوده شده اید، زیرا مصنوعات و دانش به شما اجازه می دهد آن را تعیین کنید. به موارد زیر فکر کنید:

• چه کسی و چرا شما را هدف قرار داد؟ سعی کنید بفهمید چه چیزی شما را مورد توجه بزرگان قرار داده است. آیا این چیزی است که می توانید در آینده از طریق رفتارهای مخفیانه تر از آن اجتناب کنید؟
• آیا می توانید در مورد آن صحبت کنید؟ چیزی که در نهایت باعث سقوط بسیاری از شرکت های نظارتی شد، تبلیغات بد بود. خبرنگاران و روزنامه نگاران در مورد سوء استفاده ها و افشای دروغ ها، تخلفات و همه شرارت ها می نویسند. اگر مورد هدف قرار گرفته‌اید، سعی کنید روزنامه‌نگاری را پیدا کنید و داستان خود را به او بگویید.
• دستگاه خود را تغییر دهید — اگر از iOS استفاده می‌کردید، سعی کنید برای مدتی به Android بروید. اگر اندرویدی بودید، به iOS بروید. این ممکن است مهاجمان را برای مدتی سردرگم کند. برای مثال، برخی از عوامل تهدید، سیستم‌های بهره‌برداری را خریداری کرده‌اند که فقط روی یک برند خاص از تلفن و سیستم‌عامل کار می‌کنند. از یک کارت پیش‌پرداخت در آن استفاده کنید، یا در حالت هواپیما فقط از طریق Wi-Fi و TOR متصل شوید. هنگامی که یک مهاجم شماره تلفن شما را داشته باشد، به راحتی می تواند شما را در بسیاری از پیام رسان های مختلف از طریق این مورد هدف قرار دهد – iMessage، WhatsApp، سیگنال، تلگرام، همه آنها به شماره تلفن شما مرتبط هستند. یک انتخاب جدید جالب در اینجا Session است که به طور خودکار پیام‌های شما را از طریق شبکه‌ای به سبک Onion هدایت می‌کند و به شماره تلفن‌ها تکیه نمی‌کند.
• سعی کنید با یک محقق امنیتی در منطقه خود تماس بگیرید و دائماً در مورد بهترین شیوه‌ها بحث کنید. هر زمان که فکر می کنید چیزی عجیب و غریب است، مصنوعات، پیام های مشکوک یا گزارش ها را به اشتراک بگذارید. امنیت هرگز یک راه حل عکس فوری نیست که 100٪ اثبات شود. به آن مانند نهری فکر کنید که در جریان است و باید قایقرانی خود را بسته به سرعت، جریان ها و موانع تنظیم کنید. اگر هدف دولت‌های ملی قرار می‌گیرید، به این معنی است که شما مهم هستید. به یاد داشته باشید: مهم بودن خوب است، اما خوب بودن مهم تر است. تنها، ما ضعیفیم، با هم، ما قوی هستیم. جهان ممکن است شکسته باشد، اما من معتقدم که ما در زمانی زندگی می کنیم که هنوز می توانیم چیزها را تغییر دهیم. بر اساس گزارشی از گروه غیرانتفاعی کمیته حمایت از روزنامه نگاران، در سال 2021، 293 روزنامه نگار زندانی شدند که بالاترین رقمی است که CPJ از زمان شروع ردیابی آن در سال 1992 تاکنون گزارش داده است. در 10 سال آینده، برای فرزندان ما و فرزندانمان. قدرت ایجاد شادی! شما، مردم، این قدرت را دارید که این زندگی را آزاد و زیبا کنید، و این زندگی را به یک ماجراجویی شگفت انگیز تبدیل کنید. بیایید برای دنیایی جدید بجنگیم – دنیایی شایسته که به مردان فرصتی برای کار می دهد – که به جوانان آینده و پیری امنیت می دهد. با وعده این چیزها، وحشی ها به قدرت رسیده اند. اما دروغ می گویند! آنها به این وعده عمل نمی کنند. آنها هرگز نمی توانند!

  دیکتاتورها خود را آزاد می کنند اما مردم را به بردگی می کشند! حالا برای تحقق این وعده مبارزه کنیم! بیایید برای رهایی جهان – برای از بین بردن موانع ملی – برای از بین بردن طمع، نفرت و عدم تحمل مبارزه کنیم. بیایید برای دنیای عقل بجنگیم، دنیایی که علم و پیشرفت به سعادت همه انسان ها منجر شود. سربازان! به نام دموکراسی، بیایید همه متحد شویم!

  سخنرانی پایانی از دیکتاتور بزرگ

  این پست در ابتدا به عنوان مجموعه ای از مقالات در Dark Reading (قسمت 1، قسمت 2) منتشر شد.

  (function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0];if(d.getElementById(id)){return}js=d.createElement(s);js.id= id;js.src="https://connect.facebook.net/en_US/all.js";fjs.parentNode.insertBefore(js,fjs)}(document,"script","facebook-jssdk "))؛