Narzędzie, co to potrafi każdego Facebooka, Google, Apple, Amazona zhackować . . .

Data: 29.08.2019 11:13

Autor: ziemianin

niebezpiecznik.pl

#codziennaprasowka #informacje #wiadomosci #spyware #hacking

Znów robi się głośno o izraelskiej firmie NSO Group, której flagowe narzędzie szpiegowskie – Pegasus – miało wcześniej służyć do “ataku na WhatsAppa“. Teraz sprzedawany rządom trojan miał zyskać możliwość wykradania danych z usług chmurowych Google, Facebooka, Apple, Amazona i Microsoftu.

Narzędzie, co to potrafi każdego Facebooka, Google, Apple, Amazona zhackować . . .

Informacja o nowych możliwościach Pegasusa pochodzi (znów!) od Financial Timesa. Dziennikarze tej gazety rozmawiali z ludźmi, którzy mieli okazję zapoznać się z najnowszą ofertą NSO Group i mogli przekazać pewne dokumenty do analizy. Szczegóły znajdziecie w tekście pt. Israeli group’s spyware ‘offers keys to Big Tech’s cloud’.

Przypomnijmy, że NSO Group całkiem otwarcie rozwija technologię “umożliwiającą rządom i organom ścigania przeciwdziałanie i śledzenie terroryzmu i przestępstw”.

W artykule FT znalazły się następujące istotne informacje.

Nowa funkcja Pegasusa umożliwiająca dostęp do chmury ma działać w oparciu “kopiowanie kluczy uwierzytelniania usług takich jak Google Drive, Facebook Messenger oraz iCloud (…) z zainfekowanego urządzenia”. To z kolei pozwala serwerowi na podszycie się pod telefon (włącznie z jego lokalizacją), co ma dawać dostęp do usługi chmurowej bez wywołania 2FA lub ostrzeżenia e-mailowego.

Rozwiązanie ma działać na różnych urządzeniach, włączając w to nowe iPhony i smartfony z Androidem. Dostęp do chmury ma być możliwy nawet po usunięciu Pegasusa z zaatakowanego urządzenia (o ile użytkownik nie wyloguje się z usługi i nie zmieni haseł).

Jedno z takich rozwiązań mogło zostać przygotowane dla służb Ugandy.

Rzecznik NSO Group nie zaprzeczył. Oświadczył jedynie, że firma nie tworzy ani nie sprzedaje narzędzi do masowego pobierania danych z chmury, usług czy jakiejkolwiek innej infrastruktury. Wydaje się zatem, że nowa funkcja Pegasusa może być używana przy szpiegowaniu konkretnych osób (por. Jak wykryto ślady rządowego trojana na smartfonach w Polsce?).

Jeśli to wszystko jest prawdą to Google, Facebook, Microsoft, Apple i Amazon mają pewien problem. Na razie firmy bronią bezpieczeństwa swoich chmur w licznych oświadczeniach dla prasy (nie tylko dla FT).

Ciężko też jednoznacznie co Pegasus rozumie pod pojęciem klucze. Czy chodzi o ciasteczka, tokeny SSO, czy o klucze API? Warto zwrócić uwagę, że każda chmura musi po czymś rozpoznać urządzenie — nie będzie przecież przy każdym odwołaniu prosiła o login i hasło. Dlatego większość back-endów aplikacji (w chmurze) przyznaje aplikacjom tymczasowe tokeny. Aby go uzyskać trzeba podać login, hasło a często takę drugi składnik, nawet U2F. Ale po uzyskaniu tokena, dostęp staje się zaufany — często jako “krotka”, token ważny jest tylko z tym konkretnym User-Agentem (który można podrobić) albo inną charakterystyczną cechą urządzenia lub rzadziej z tym konkretnym adresem IP. Jeśli więc ktoś “zhackuje” nam urządzenie, to może pozyskać zarówno token, jak i ustalić jakie parametry urządzenia trzeba zasymulować, aby móc je “wirtualnie” sklonować. Warto więc raz na jakiś czas się przelogować (co unieważnia token) — to może odciąć dostęp osobom, które token przechwyciły. Warto też patrzeć na logi w chmurach — skąd nawiązywano z naszym kontem ostatnie połączenia.

Amazon stwierdził, iż nie ma żadnych dowodów na naruszenie bezpieczeństwa jego chmury. W podobnym tonie odpowiedziała firma Google. Microsoft podkreślił, że jego technologia ulega ciągłym zmianom, ale też użytkownicy muszą zadbać o dobry stan swoich urządzeń. Apple przyznała, że pewne specjalistyczne narzędzia umożliwiają atak na małą liczbę smartfonów jej produkcji, ale firma nie wierzy w możliwość atakowania iCloud na większą skalę. Facebook stwierdził, że sprawdza prawdopodobieństwo doniesień.

Chmura jest problemowa. Tak czy owak

Z pewnym zainteresowaniem zauważamy, że chmury albo budzą strach albo… w ogóle nie pamiętamy jak często nam towarzyszą.

Gdy w zeszłym tygodniu komentowaliśmy dla licznych mediów sprawę FaceAppa, niektórzy dziennikarze byli autentycznie zdziwieni tym, że taka aplikacja musi korzystać z chmury (“Naprawdę? Musi? Ale dlaczego?”). Mamy wrażenie, że w ludziach dopiero rodzi się świadomość, iż chmura stanowi nieodłączny element większości technologii mobilnych.

Firma CheckPoint opublikowała niedawno godny uwagi raport o bezpieczeństwie chmur. Co ciekawe, aż 15% firm przepytanych przez CheckPoint potwierdziło, że miał u nich miejsce jakiś incydent związany z bezpieczeństwem chmurowym. Co czwarta firma nie potrafi nawet ocenić czy mogło do czegoś takiego dojść.

Z raportu wynika też, że firmy często obawiają się nieuprawnionego dostępu do kont oraz błędów konfiguracyjnych, które mogą narazić dane na ujawnienie (por. Wyciekła baza producenta rozwiązań “smart home” z lokalizacjami, nazwiskami i hasłami). Jednak najwięcej strachu wzbudza malware i ransomware. Dlatego właśnie wśród priorytetów bezpieczeństwa przyjętych przez firmy na pierwszym miejscu znalazła się ochrona przed złośliwym oprogramowaniem.

Co robić? Jak żyć?

Powtórzymy to co już pisaliśmy. Jeśli nie współpracujecie z dysydentami i nie mieszacie się w sprawy innych państw to prawdopodobnie nikt nie użyje przeciwko wam rozwiązań w stylu Pegasusa. Przypomnimy też, że rządy i służby mają interes w minimalizowaniu korzystania z podobnych narzędzi bo spada wówczas możliwość wykrycia tych działań.

Niezależnie od powyższego pamiętajcie, że korzystanie z chmury wiąże się z pewnymi ryzykami. W wielu wypadkach do wycieku informacji dochodzi z powodu zwykłego niedbalstwa lub pomyłki wynikającej z braku wiedzy o poprawnej konfiguracji.

Musimy niestety przyjąć do wiadomości, że istnieje coś takiego jak “przemysł inwigilacji”, a NSO Group jest tylko jedną z wielu firm na tym niemałym już rynku. Jakoś tak się złożyło, że niedawno mieliśmy wyciek z SyTechu, który pracował dla rosyjskich służb. Nawet bez takich wycieków, co jakiś czas, opinia publiczna dowiaduje się o nowinkach z tej branży. Materiały promocyjne, ulotki, instrukcje czy katalogi po prostu trudno utrzymać w tajemnicy. Ostatecznie chyba każdemu sprzedawcy zależy na rozgłosie :).

Brak komentarzy