Uluslararası Af Örgütü, İsrailli şirket NSO Group’un dünya çapında insan hakları aktivistlerini, gazetecileri ve avukatları gözetlemek için kullandığı “yasal gözetim yazılımı” Pegasus’un 37 cihazda bulunduğunu bildirdi. El Salvador’da 35 gazeteci geçen Kasım kadar geç.
Geçtiğimiz birkaç ay boyunca, dünya çapındaki ilgili kullanıcılardan mobil cihazlarını Pegasus ve diğer benzer araçlardan ve kötü amaçlı yazılımlardan nasıl koruyacakları konusunda çok sayıda soru aldım. Öncelikle, hiçbir savunma tekniği listesinin asla ayrıntılı olamayacağı konusunda sizi uyarmama izin verin. Ek olarak, saldırganlar çalışma tarzlarını değiştirdikçe, savunma tekniklerinin de buna uyum sağlaması gerekir.
Pegasus’un ulus-devletlere nispeten yüksek fiyatlarla satılan bir araç olduğunu söyleyerek başlamalıyız. Tam bir dağıtımın maliyeti kolayca milyonlarca dolara ulaşabilir. Benzer şekilde, diğer gelişmiş kalıcı tehdit (APT) mobil kötü amaçlı yazılımları, sıfır tıklamalı sıfır gün açıkları yoluyla dağıtılabilir. Bunlar ayrıca son derece pahalıdır – örneğin, bir istismar aracılık firması olan Zerodium, kalıcı bir Android sıfır tıklama enfeksiyon zinciri için 2,5 milyon ABD dolarına kadar ödeme yapar.
Baştan itibaren önemli bir sonuca varıyoruz – ulus devlet destekli siber casusluk büyük ölçüde kaynak yoğun bir çabadır. Bir tehdit aktörü, saldırgan programlarına milyonlarca, on milyonlarca ve hatta yüz milyonlarca dolar harcamayı göze alabiliyorsa, bir hedefin virüs bulaşmaktan kaçınması pek olası değildir. Açıkça söylemek gerekirse: Bu, enfekte olup olmamanızla ilgili bir soru değil, enfekte olmanızdan önce sadece bir zaman ve kaynak meselesi.
Şimdi iyi haber için – istismar geliştirme ve saldırgan siber savaş, genellikle kesin bir bilimden çok bir sanattır. Açıkların belirli işletim sistemi sürümleri ve donanımı için ayarlanması gerekir ve bunlar yeni işletim sistemleri, yeni azaltma teknikleri ve hatta küçük rastgele olaylar tarafından kolayca engellenebilir.
Bunu akılda tutarak, enfeksiyondan kaçınmak aynı zamanda saldırganlar için işleri daha pahalı ve zor hale getirir. Mobil cihazımızın başarılı bir şekilde istismar edilmesini ve bulaşmasını her zaman engelleyemesek de, bunu saldırganlar için mümkün olduğunca zorlaştırmaya çalışabiliriz. Bunu pratikte nasıl yaparız? İşte basit bir kontrol listesi:
Apple iOS Cihazlarında
Günlük olarak yeniden başlatın. Af Örgütü ve CitizenLab’ın araştırmasına göre, Pegasus enfeksiyon zinciri genellikle hiçbir kalıcılık olmaksızın sıfır tıklamayla sıfır günlere dayanır, bu nedenle düzenli yeniden başlatma, cihazı temizlemeye yardımcı olur. Cihaz her gün yeniden başlatılırsa, saldırganların cihaza tekrar tekrar bulaştırması gerekecektir. Zamanla, bu tespit şansını artırır; gizli enfeksiyonun doğasını açığa çıkaran bir çökme veya artefaktlar kaydedilebilir. Bu sadece teori değil, pratiktir – bir mobil cihazın sıfır tıklamayla (muhtemelen FORCEDENTRY) hedeflendiği bir durumu analiz ettik. Cihaz sahibi, cihazını düzenli olarak yeniden başlattı ve bunu saldırıyı takip eden 24 saat içinde yaptı. Saldırganlar onları birkaç kez daha hedeflemeye çalıştılar, ancak yeniden başlatmalar yoluyla birkaç kez tekmelendikten sonra sonunda pes ettiler.
iMessage’ı devre dışı bırak. iMessage, iOS’ta yerleşiktir ve varsayılan olarak etkindir, bu da onu çekici bir sömürü vektörü haline getirir. Varsayılan olarak etkinleştirildiğinden, sıfır tıklama zincirleri için en iyi dağıtım mekanizmasıdır. Uzun yıllar boyunca, iMessage istismarları yüksek talep gördü ve istismar komisyonculuğu şirketlerinde en yüksek ödemeler yapıldı. “Son birkaç ay boyunca, dünyanın her yerinden araştırmacılar tarafından geliştirilen ve satılan, çoğunlukla Safari ve iMessage zincirleri olmak üzere iOS açıklarının sayısında bir artış gözlemledik. Sıfır gün piyasası, iOS açıklarından o kadar çok yararlanıyor ki, biz Zerodium’un kurucusu, yakın zamanda bazılarını (bazılarını) reddetmeye başladım. Chaouki Bekrar 2019’da Wired’a cevap yazdı. Bunun bazıları için (daha sonra) çok zor olabileceğinin farkındayız, ancak Pegasus ve diğer ileri teknoloji APT mobil kötü amaçlı yazılımları tehdit modelinizdeyse, bu almaya değer bir ödünleşimdir.
Facetime’ı devre dışı bırakın. Yukarıdaki ile aynı.
Mobil cihazı güncel tutun. En son iOS yamalarını çıkar çıkmaz yükleyin. Tüm saldırganlar sıfır tıklamayla sıfır günleri karşılayamaz; Gördüğümüz iOS istismar kitlerinin çoğu, zaten yamalı güvenlik açıklarını hedef alıyor. Yine de birçok kişi eski telefonları kullanıyor ve çeşitli nedenlerle güncellemeleri erteliyor. (Bazı) ulus devlet bilgisayar korsanlarının önünde olmak istiyorsanız, mümkün olan en kısa sürede güncelleyin ve kendinize öğretin. yamaları yüklemek için emojilere gerek yok.
SMS mesajları yoluyla alınan bağlantılara asla tıklamayın. Bu basit bir tavsiyedir, ancak etkilidir. Çoğu bilgisayar korsanı, sıfır tıklama zincirlerinin maliyetinden tasarruf etmek için tek tıklamayla açıklardan yararlanmaya güvenir. Bunlar bir mesaj biçiminde gelir – bazen SMS ile, ayrıca diğer haberciler ve hatta e-posta yoluyla. Bağlantı içeren ilginç bir SMS (veya başka bir mesaj) alırsanız, tercihen TOR Tarayıcı veya Tails gibi kalıcı olmayan güvenli bir işletim sistemi kullanarak bir masaüstü bilgisayarda açın.
Firefox Focus gibi alternatif bir tarayıcı ile internette gezinin. iOS’taki tüm tarayıcıların hemen hemen aynı WebKit oluşturma motorunu kullanmasına rağmen, bazı istismarlar iyi çalışmıyor (bkz. LightRighter / TwoSailJunk) bazı alternatif tarayıcılarda.
Chrome’dan iOS’ta kullanıcı aracısı dizeleri: Mozilla/5.0 (iPhone; Mac OS X gibi CPU iPhone OS 15_1) AppleWebKit/605.1.15 (KHTML, Gecko gibi) CriOS/96.0.4664.53 Mobil/15E148 Safari/604.1
Firefox Focus’tan iOS’ta kullanıcı aracısı dizeleri: Mozilla/5.0 (iPhone; Mac OS X gibi CPU iPhone OS 15_1) AppleWebKit/605.1.15 (KHTML, Gecko gibi) FxiOS/39 Mobile/15E148 Sürüm/15.0
Her zaman trafiğinizi maskeleyen bir VPN kullanın. Bazı açıklardan yararlanmalar, HTTP sitelerinde gezinirken veya DNS ele geçirme yoluyla GSM operatörü MitM saldırıları aracılığıyla sağlanır. Trafiği maskelemek için bir VPN kullanmak, GSM operatörünüzün sizi doğrudan İnternet üzerinden hedeflemesini zorlaştırır. Saldırganların dolaşım sırasında olduğu gibi veri akışınızı kontrol etmesi durumunda da hedefleme sürecini karmaşık hale getirir. Tüm VPN’lerin aynı olmadığını ve her VPN’nin kullanımının uygun olmadığını unutmayın. Belirli bir VPN’i tercih etmeden, bir VPN aboneliği satın alırken göz önünde bulundurulması gereken birkaç nokta:
- “Satın alma” tam da bu anlama gelir – “ücretsiz” VPN yok
- Kripto para birimleriyle ödeme kabul eden hizmetleri arayın
- Herhangi bir kayıt bilgisi vermenizi gerektirmeyen hizmetleri arayın
- VPN uygulamalarından kaçınmaya çalışın – bunun yerine WireGuard ve OpenVPN gibi açık kaynaklı araçları ve VPN profillerini kullanın
- Yeni VPN hizmetlerinden kaçının ve bir süredir var olan yerleşik hizmetleri arayın
Cihazın jailbreak’li olup olmadığını kontrol eden ve uyaran bir güvenlik uygulaması kurun. Tekrar tekrar atılmaktan bıkan saldırganlar, sonunda bir kalıcılık mekanizması kuracak ve bu süreçte cihazınızı jailbreak yapacak. Bu, onları yakalama şansının on kat arttığı yerdir ve cihazın jailbreak’li olması gerçeğinden yararlanabiliriz.
Ayda bir iTunes yedeklemesi yapın. Bu, harika yöntemleri kullanarak enfeksiyonları daha sonra teşhis etmenize ve bulmanızı sağlar. Af Örgütü’nden MVT paketi.
Sistem tanılarını sık sık tetikleyin ve bunları harici yedeklemelere kaydedin. Adli tıp eserleri, daha sonra hedef alınıp alınmadığınızı belirlemenize yardımcı olabilir. Bir sysdiag’i tetiklemek telefon modeline bağlıdır; örneğin, bazı iPhone’larda bunu VOL Yukarı + Aşağı + Güç tuşlarına aynı anda basarak yaparsınız. Telefon titreyene kadar bununla birkaç kez oynamanız gerekebilir. Sysdiag oluşturulduktan sonra, tanılamada görünecektir:
Android Cihazlarda
Günlük olarak yeniden başlatın. En son Android sürümlerinde kalıcılık zordur; birçok APT ve istismar satıcısı, herhangi bir ısrardan kaçınır!
Telefonunuzu güncel tutun. En son yamaları yükleyin.
SMS mesajlarında gelen bağlantılara asla tıklamayın.
Alternatif bir tarayıcı ile internette gezinin. Yine, Chrome yerine Firefox Focus kullanmayı deneyin.
Her zaman trafiğinizi maskeleyen bir VPN kullanın. Bazı açıklardan yararlanmalar, HTTP sitelerinde gezinirken veya DNS ele geçirme yoluyla GSM operatörü MitM saldırıları aracılığıyla sağlanır.
Kötü amaçlı yazılımları tarayan ve cihazın jailbreak’li olup olmadığını kontrol eden ve uyaran bir güvenlik paketi kurun.
Daha sofistike bir düzeyde, her zaman canlı IOC’leri kullanarak ağ trafiğinizi kontrol edin. İyi bir kurulum, kontrolünüz altındaki bir sunucuya bir Wireguard her zaman açık VPN içerebilir. pi-deliği kötü şeyleri filtrelemek ve daha fazla inceleme için tüm trafiği günlüğe kaydetmek için.
Abi Bu Hiç Mantıklı Değil! iMessage’sız Hayat Yeşildir ve Emojisizdir.
Ah evet, seni duyuyorum – orada bizzat bulundum. Dün arkadaşım Ryan Naraine ile konuşurken, “iMessage ve FaceTime – bunlar en insanların iPhone kullanmasının nedenleri!” ve kesinlikle, o haklı. Ben kendim 2008’den beri bir iPhone kullanıcısıyım ve iMessage ve FaceTime’ın Apple’ın bu ekosisteme eklediği en büyük iki şey olduğunu düşünüyorum. Bunların aynı zamanda ulus devletlerin telefonunuzu gözetlemesine izin veren en çok kullanılan özelliklerden bazıları olduğunu fark ettiğimde, iMessage’dan kaçmaya çalıştım. Kaliforniya oteli. En zor şey? Ailenin de kullanmayı bırakmasını sağlamak. Kulağa şaşırtıcı gelse de bu, tüm bu güvenlik destanındaki en zor şeylerden biriydi.
İlk başta herkesi Telegram’a geçirmeye çalıştım. Bu pek iyi gitmedi. Ardından, Signal görüntülü aramalar ve grup aramaları uygulayarak daha iyi hale geldi. Zamanla, daha fazla arkadaş Signal’e geçmeye başladı. Ve bu benim ailemde de işe yaradı.
Senin de aynısını yapman gerektiğini söylemiyorum. Belki de bu uygulamaları etkin durumda tutabilir, mutlu ve kötü amaçlı yazılımlardan arınmış bir şekilde yaşayabilirsiniz – doğrusunu söylemek gerekirse Apple, iMessage çevresindeki güvenlik sanal alanı iOS 14’te BlastDoor ile. Bununla birlikte, ZORLA SUÇ NSO, Pegasus’u atlanmış BlastDoor’u sunmak için kullanılırdı ve elbette hiçbir güvenlik özelliği hiçbir zaman %100 hack geçirmez değildir.
Öyleyse, her iki dünyanın da en iyisi nedir, sorabilirsiniz? Ben de dahil olmak üzere bazı kişilerin birden fazla iPhone’u var – biri iMessage’ın devre dışı bırakıldığı ve iMessage’ın etkinleştirildiği bir “bal küpü” iPhone. Her ikisi de aynı Apple kimliği ve telefon numarasıyla ilişkilendirilir. Biri beni bu şekilde hedeflemeye karar verirse, büyük ihtimalle bal küpü telefona düşecekler.
Kendi durumum için maliyetleri ve faydaları tarttığımı unutmayın. Bu tür saldırılar yaşadım ve bu nedenle yeniden hedef olabileceğimi biliyorum. Bu yüksek risk seviyesinden kaçınmak için daha fazla çaba sarf edeceğim ve hem yararlı hem de eğlenceli bulduğum özelliklerden daha fazla fedakarlık yapacağım. Bir ulus devletin sizi fark etmesine ve sizi düşman olarak görmesine neden olacak eylemlerde bulunuyorsanız, telefonunuzu mümkün olduğunca kilitlemek isteyebilirsiniz.
Aksi takdirde, belki sadece bir bal küpü kurun.