- El iPhone de Galina Timchenko, cofundadora y editora de Meduza, fue infectado con Pegasus el 10 de febrero de 2023, en el primer caso confirmado contra una periodista rusa
- Según el análisis de Access Now y Citizen Lab, el atacante pudo ver el micrófono, la cámara, la memoria, las fotos, el calendario, la libreta de direcciones e incluso conversaciones en mensajería cifrada; la infección parece estar vinculada a la vulnerabilidad PWNYOURHOME a través de HomeKit·iMessage
- Al día siguiente de la infección, Timchenko asistió en Berlín a un seminario privado con integrantes de medios independientes rusos en el exilio, y en ese momento el teléfono pudo haber sido usado como dispositivo de escucha
- NSO Group afirmó que solo vende Pegasus a clientes gubernamentales con fines de combate al crimen y al terrorismo, pero Access Now y Citizen Lab señalan sospechas de uso dentro de Europa, en países como Letonia, Estonia y Alemania, así como la posibilidad de vigilancia transfronteriza
- No se identificó al autor ni el objetivo del ataque, y el caso de Timchenko deja ver la tendencia en Europa de tratar a periodistas como amenazas a la seguridad nacional, además del vacío regulatorio sobre el spyware comercial
De la alerta de amenaza de Apple a la confirmación de la infección
- El 22 de junio de 2023, Galina Timchenko recibió de Apple una alerta de amenaza relacionada con state-sponsored attackers y la compartió con el equipo técnico de Meduza
- Las threat notifications de Apple se envían cuando un usuario fue seleccionado individualmente como objetivo por “quién es o qué hace”
- Apple explica que los ataques patrocinados por Estados son extremadamente complejos, cuestan millones de dólares desarrollarlos y muchas veces tienen una vida útil corta
- La notificación que recibió Timchenko no indicaba qué país estaba involucrado
- El responsable técnico de Meduza pidió apoyo externo
- Access Now es una organización sin fines de lucro que apoya los derechos digitales y las prácticas de seguridad de usuarios en todo el mundo
- Citizen Lab es un laboratorio de investigación de la Universidad de Toronto que investiga actividades de espionaje digital contra la sociedad civil
- Access Now y Citizen Lab recopilaron datos del dispositivo de Timchenko e hicieron una revisión rápida, confirmando que el iPhone había sido infectado con Pegasus el 10 de febrero de 2023
Qué acceso obtuvo Pegasus
- La infección con Pegasus daba al atacante acceso total al iPhone de Timchenko
- Acceso al micrófono, la cámara y la memoria
- Posibilidad de ver la dirección de su casa, su calendario, fotos y conversaciones en mensajería cifrada
- Posibilidad de ver la pantalla en tiempo real y leer mensajes en el momento en que se escribían
- Posibilidad de descargar correos, mensajes de texto, imágenes y archivos
- Es difícil que el usuario pueda impedir o detectar la infección
- Pegasus puede hackear un dispositivo con que exista una sola aplicación vulnerable, incluso si se trata de una app preinstalada por Apple
- Tampoco es fácil para el usuario notar que el dispositivo fue infectado
- Timchenko recordó que su iPhone a veces se sentía más caliente de lo normal, pero pensó que era por un cargador nuevo
- Citizen Lab considera posible que el atacante haya entrado a través de HomeKit e iMessage
- Los investigadores hallaron rastros digitales característicos de Pegasus
- La vulnerabilidad utilizada parece ser PWNYOURHOME, que apunta a la función HomeKit integrada del iPhone y aprovecha iMessage para instalar el spyware
- John Scott-Railton señaló que este ataque también puede funcionar en dispositivos donde HomeKit no está activado
La reunión privada en Berlín y el momento de la infección
- La fecha de infección, el 10 de febrero de 2023, fue un día antes de que Timchenko asistiera a una reunión privada en Berlín
- El 11 de febrero, Timchenko y el editor en jefe de Meduza, Ivan Kolpakov, participaron en un seminario privado en Berlín junto con representantes de medios rusos independientes en el exilio
- El seminario fue organizado por el comité del premio periodístico Redkollegia
- Directivos de medios y abogados discutieron los problemas legales de operar actividades relacionadas con Rusia en medio de la censura total y la represión contra periodistas y activistas
- Dos semanas antes, la fiscalía general rusa había declarado a Meduza una “undesirable organization”, volviendo ilegal su labor periodística
- Pegasus ya estaba activo cuando Timchenko asistió a la reunión
- El atacante podía encender de forma remota el micrófono del teléfono para grabar conversaciones alrededor
- La cámara también podía activarse del mismo modo
- Natalia Krapiva, de Access Now, considera que el teléfono de Timchenko pudo haber sido usado como dispositivo de escucha para espiar los planes de periodistas rusos
Primer caso confirmado contra una periodista rusa
- El caso de Timchenko es el primer uso confirmado de Pegasus contra una periodista rusa
- Access Now examinó los teléfonos de unas 20 periodistas y activistas de origen ruso y encontró varios tipos de malware, pero antes no había confirmado Pegasus
- John Scott-Railton, de Citizen Lab, explicó que este tipo de spyware puede ocultar archivos de registro y borrar sus propias huellas, lo que dificulta identificar la infección
- Citizen Lab y Lookout Security revelaron por primera vez rastros de la existencia de Pegasus en 2016
- En ese momento, el informe señalaba que la “remote monitoring solution” de NSO Group había sido usada para vigilar al activista de derechos humanos emiratí Ahmed Mansoor
- Citizen Lab rastrea los servidores necesarios para operar Pegasus y los servidores a los que llega la información extraída de los dispositivos infectados
- Access Now explica que Pegasus se parece más a un servicio que a un simple producto, y que NSO Group capacita a los países clientes para operarlo
NSO Group y la estructura de costos y ventas de Pegasus
- NSO Group sostiene que Pegasus fue diseñado exclusivamente para vigilar a “terroristas, criminales y abusadores sexuales infantiles”
- La empresa dice que solo vende Pegasus a clientes estatales
- Entre sus cofundadores hay exmiembros de la inteligencia militar israelí y del Mossad
- Aunque NSO Group presume una estricta política de derechos humanos, varios gobiernos han usado Pegasus para apuntar contra críticos y rivales políticos
- John Scott-Railton, de Citizen Lab, dijo que el costo de acceso a Pegasus es de “decenas de millones de dólares, o más”
- El gobierno de México gastó al menos 61 millones de dólares en tecnología Pegasus
- México la usó para vigilar tanto a criminales como a integrantes de la sociedad civil
- Según Natalia Krapiva, de Access Now, los contratos de NSO Group permiten un cierto número de infecciones simultáneas
- Por ejemplo, un paquete para infectar a 20 personas significa que se puede vigilar a 20 personas al mismo tiempo
- En noviembre de 2021, la administración Biden incluyó a NSO Group en una lista negra federal que le impide recibir tecnología estadounidense
- La medida llegó meses después de que el consorcio Pegasus Project expusiera el uso abusivo y extendido del spyware
Posibilidades: Rusia, Kazajistán y Azerbaiyán
- Se sabe que NSO Group impide que Pegasus se use contra números telefónicos de Estados Unidos o Rusia
- En 2020, diseñadores de Pegasus dijeron que un teléfono infectado no podía estar físicamente dentro de Estados Unidos y que, si entraba al territorio estadounidense, el software se autodestruía
- Cuando Estonia compró acceso a Pegasus en 2019, NSO Group presuntamente le prohibió usarlo contra objetivos rusos
- NSO Group ha afirmado que Rusia y China son países que “nunca podrían ser clientes”
- La empresa dice revisar el historial de derechos humanos, corrupción, seguridad, finanzas y abusos de sus posibles clientes
- En enero de 2023, el CEO Yaron Shohat dijo que la empresa estaba enfocada en su negocio principal de suministro a gobiernos aliados de Estados Unidos e Israel
- Andrey Soldatov considera que los servicios de inteligencia rusos son vendedores, no compradores, en el mercado global de tecnología de espionaje, y que son extremadamente paranoicos frente al spyware extranjero
- El hecho de que los datos robados con Pegasus se envíen a servidores dentro del ecosistema de NSO Group también podría ser un problema para las agencias rusas
- El FSB ruso no respondió las preguntas de Meduza sobre Pegasus
- Access Now evaluó como teoría provisional la posibilidad de que Kazajistán o Azerbaiyán hayan realizado el ataque a pedido de Moscú
- Ambos países son considerados sospechosos de ser clientes de Pegasus
- Uzbekistán no era considerado cliente de Pegasus en ese periodo
- Sin embargo, hasta donde saben los investigadores, Kazajistán y Azerbaiyán no habían ejecutado ataques con Pegasus en Europa, y Timchenko estaba en Alemania cuando fue infectada
- Citizen Lab no ha visto evidencia de que Kazajistán use Pegasus fuera de sus fronteras
- Azerbaiyán sí usa Pegasus en el extranjero, pero el único país documentado por los investigadores ha sido Armenia
Sospechas sobre Letonia, Estonia y Alemania
- El iPhone infectado de Timchenko tenía una SIM letona
- Citizen Lab documentó por primera vez actividad relacionada con Pegasus en Letonia en 2018, y expertos creen que Riga sigue usando productos de NSO Group
- Access Now no descarta que una agencia de inteligencia letona haya realizado el ataque
- Dos meses antes de la infección, Letonia revocó la licencia de transmisión local de otro medio ruso en el exilio, TV Rain, al considerarlo una “amenaza para la seguridad nacional y el orden público”
- Sin embargo, Citizen Lab no ha observado casos en que Riga use Pegasus contra objetivos fuera de Letonia, y Timchenko fue infectada cuando estaba en Berlín
- El Servicio de Seguridad del Estado de Letonia respondió que no tenía información sobre un posible ataque al smartphone de Timchenko
- No respondió otras preguntas, como si usa Pegasus o si vigila objetivos en el extranjero, citando la confidencialidad de la información operativa
- Se confirmó que Estonia compró acceso a Pegasus en 2019, y Citizen Lab también respalda esa información
- Scott-Railton dijo que habían rastreado a Estonia infectando objetivos transfronterizos en varios países de la UE, incluida Alemania
- La Oficina Federal de Investigación Criminal de Alemania obtuvo acceso a Pegasus en 2019 y solo reconoció la compra en 2021
- Se sabe que Alemania usa una versión con algunas funciones desactivadas para evitar abusos, pero no ha explicado cómo funciona realmente
- Krapiva dijo que un informe del Supervisor Europeo de Protección de Datos considera que no solo la versión original de Pegasus, sino cualquier forma de Pegasus, es difícilmente compatible con la legislación de la UE en términos fundamentales
El problema del spyware comercial en Europa
- Scott-Railton considera que la infección de Timchenko en Berlín demuestra que el problema de Pegasus en Europa no está resuelto
- Alemania no firmó la declaración conjunta para responder a la proliferación y el abuso del spyware comercial
- La declaración fue firmada por 11 países, entre ellos Denmark, France y Sweden
- Access Now señala que cuatro Estados miembros de la UE —Latvia, Estonia, Germany y Netherlands—, convertidos en nuevos centros de la emigración rusa contraria a la guerra, son todos sospechosos de usar Pegasus
- El comité PEGA de la UE indicó que dentro de la Unión hay al menos 14 Estados miembros y 22 operadores usuarios de Pegasus
- Solo se han cancelado los contratos de NSO Group con Hungary y Poland
- Access Now considera el ataque contra Timchenko como al menos el cuarto caso similar ocurrido en Europa durante el último año
- Meduza conoce detalles de otros casos, pero las víctimas no quieren hacerlos públicos
- Krapiva cree que en Europa empieza a aparecer incluso en la legislación de la UE una tendencia a tratar a periodistas como amenazas
- Advirtió que parte del texto del European Media Freedom Act fue debilitado, principalmente por impulso de France y Sweden, de manera que podría justificarse la vigilancia de periodistas con el argumento de la seguridad nacional
La respuesta de NSO Group y el problema de la responsabilidad
- NSO Group no respondió a preguntas sobre si sabía del ataque contra Timchenko ni sobre qué cliente pudo haber ejecutado la intrusión
- Un portavoz de la empresa dijo que Pegasus solo se vende a aliados de Estados Unidos e Israel, especialmente países de Europa occidental, y que su objetivo es combatir el crimen y el terrorismo
- NSO Group subrayó que investiga todas las acusaciones creíbles de abuso, pero no aclaró si está dispuesto a abrir una investigación interna sobre el caso de Timchenko
- The New York Times informó en enero de 2022 que el sistema Pegasus registra todos los ataques cuando se presenta una queja y que, con autorización del cliente, NSO puede hacer análisis forense posterior
- En julio de 2022, el responsable legal y de cumplimiento de NSO Group dijo ante una comisión del Parlamento Europeo que ocho contratos habían sido cancelados tras investigaciones internas
- Krapiva, de Access Now, dijo que después de cientos de víctimas concluyeron que los procesos internos de revisión de NSO son inexistentes o meramente cosméticos
La situación actual de Timchenko y Meduza
- Tras la intrusión, Timchenko compró un teléfono nuevo y sigue llevando consigo también el iPhone que había sido infectado
- Citizen Lab confirmó que Pegasus ya no está instalado en ese dispositivo
- Timchenko dijo que decidió conservarlo como recuerdo
- Desde junio de 2023, expertos han analizado los teléfonos de decenas de integrantes del personal de Meduza
- Aún no se sabe qué información específica buscaba el atacante
- Alexey, responsable técnico de Meduza, dijo que deben asumir el peor escenario hasta conocer la motivación
- Considera que no se puede descartar que Rusia haya encargado la infección ni que esto pueda tener consecuencias graves
- Timchenko dijo que actuará según el consejo de sus abogados y que no guardará silencio
Qué hacer cuando se sospecha una infección
- Si una persona cree estar bajo vigilancia con spyware, se recomienda hacer un respaldo del dispositivo para preservar la evidencia posible del ataque y contactar a Access Now
- Guía para respaldo de iPhone: Soporte de Apple
- Guía para respaldo de Android: Soporte de Google
- Access Now considera que las siguientes condiciones son una base razonable para confirmar una posible infección con spyware
- Haber sufrido persecución previa por parte de organismos estatales
- Que la persona o alguien cercano ya haya sido objetivo de un ataque digital
- Haber recibido de grandes tecnológicas como Apple, Google o Meta una alerta sobre posible ataque con malware
- Haber recibido mensajes sospechosos por SMS, mensajería o correo electrónico
- Haber visto “unusual login attempts” en una cuenta
1 comentarios
Opiniones de Hacker News
¿Apple sabe, o al menos intuye, qué tan grave podría ser este problema? Sea cual sea la cantidad de dinero que NSO gaste en comprar zero-days, ¿no podría Apple subir lo suficiente sus recompensas por bugs como para atraerlos hacia el lado legal? Solo con el artículo no queda claro si la instalación requirió alguna acción del usuario. Si no la requirió, ¿qué debería hacer alguien que tenga la más mínima sospecha de estar bajo vigilancia patrocinada por un Estado? Parece más seguro no usar teléfono, o ir cambiando constantemente entre dispositivos comprados de segunda mano.
Pegasus no es un único actor de hacking, como lo describen muchos artículos, sino un conjunto de servicios que descargan datos cuando se tiene acceso root al teléfono, junto con un depósito de zero-days de profundidad desconocida. Quizás haya momentos en que Pegasus no funcione durante horas, días o semanas hasta que reemplazan un zero-day. Por los materiales filtrados se sabe que mezclan exploits de cero clic y con clic, y que dan soporte a varios sistemas operativos móviles.
Es muy probable que sus capacidades de hacking estén exageradas. Para facilitar la atención al cliente, podrían comprar todos sus zero-days y no encontrar ninguno por cuenta propia. Un zero-day de cero clic para iPhone vale alrededor de 2 millones de dólares[1], y una empresa con contratos como los de NSO puede comprar muchos de esos. Que la prensa los pinte como superhackers es pura exageración; en realidad se parecen más a un grupo de empresarios corruptos que descubrieron cómo sacarle dinero a los Estados.
[1] https://arstechnica.com/information-technology/2019/01/zerod...
Un solo desarrollador de exploits puede crear varios zero-days armados en un año, y no tendría sentido que ellos tengan a una sola persona haciendo ese trabajo, así que es muy probable que hayan acumulado decenas de vulnerabilidades. Algunas se perderán al solaparse con vulnerabilidades públicas, pero lo correcto es asumir que, aunque se bloquee una, tienen otra esperando.
La pregunta de si Apple puede subir las recompensas para atraerlos al lado legal es buena, pero a los precios de NSO probablemente sea difícil. Apple podría ofrecer montos competitivos, pero trabajar con programas de recompensas por bugs es mucho más riesgoso. Si tienes mala suerte, si se solapa con una vulnerabilidad ya reportada o si el proveedor se pone difícil, puedes trabajar mucho tiempo y no cobrar nada. Apple también tiene mala fama en ese aspecto.
Si sospechas vigilancia patrocinada por un Estado, para empezar quizá sea mejor usar varios teléfonos. Usar protocolos autenticados en lugar de SMS/MMS, y el simple hecho de que cualquiera pueda enviar datos no deseados a tu teléfono no tiene sentido. Yo directamente mantendría apagado el servicio celular salvo cuando fuera a hacer llamadas salientes a contactos conocidos.
Me sorprende que periodistas que hacen coberturas de alto riesgo no lo tengan activado por defecto. Muchos de estos exploits sin interacción pasan por vulnerabilidades como decodificadores de imágenes que se ejecutan en el momento en que se recibe un mensaje, pero con Lockdown Mode activado quedan bloqueados. Lockdown Mode también desactiva otras funciones. Me pregunto si alguien ha visto pruebas de que un teléfono con Lockdown Mode activado haya sido comprometido. No digo que sea imposible; simplemente me da curiosidad.
Incluso alguien que se haya vuelto cínico con el periodismo con el paso del tiempo no puede sino sentirse humilde al ver la muerte y el miedo que soportan los periodistas para enfrentarse a regímenes como los de Arabia Saudita o Marruecos. Pegasus también estaba en los teléfonos de Jamal Khashoggi y de la persona recordada como su pareja.
Incluso si NSO quemara toda su producción interna, los brokers de vulnerabilidades que conozco tienen preparadas decenas de piezas de inventario de varios millones de dólares. Esto ni siquiera es secreto. Los brokers operan empresas constituidas legalmente en Estados Unidos y venden a gobiernos, empresas y proveedores que fabrican productos inseguros, como Microsoft y Apple. Apple sabe que lanza productos con decenas o cientos de fallas de seguridad críticas conocidas.
Hay dos razones por las que Apple no compra todos los zero-days. Primero, no se puede comprar seguridad con dinero. Segundo, el beneficio no supera el costo.
La seguridad seria no se resuelve con dinero. Apple paga actualmente 1 millón de dólares[1] por ejecución remota de código de cero clic con persistencia, y 2 millones si se logra lo mismo en Lockdown Mode. Es más o menos el precio de un misil de crucero Tomahawk. Como encontrar este tipo de fallas de seguridad toma entre 1 y 3 años-ingeniero, la recompensa queda fijada aproximadamente al nivel del costo laboral. Si pagaran 10 millones de dólares, más o menos el precio de un tanque M1 Abrams, el retorno sobre la inversión se multiplicaría por 10 y habría una avalancha de nuevos reportes. Porque hay muchas más fallas detectables al nivel de 10 millones de dólares que al nivel de 1 millón.
Pero para disuadir a Estados habría que llegar al menos al nivel de 100 millones de dólares, el precio de un F-16. Si ya hay decenas o cientos de fallas de seguridad conocidas incluso al nivel de unos pocos millones de dólares, al nivel de 100 millones casi con seguridad habría miles o decenas de miles de vulnerabilidades. Por lo tanto, aunque fuera posible protegerse de atacantes patrocinados por Estados comprándolas con dinero, podría costar billones o decenas de billones de dólares. En realidad, casi nadie ha tenido éxito más allá del rango de varios millones de dólares con una estrategia de reforzar a posteriori sistemas que no fueron diseñados para la seguridad, como iOS o Windows.
¿Qué obtiene Apple al comprar zero-days? Aunque se reporten miles de fallas de seguridad, la gente sigue comprando iPhone. A Apple le basta con crear nuevo marketing como Lockdown Mode para que todos se queden tranquilos. Cuando una empresa que solo ha fabricado productos que no llegan ni a una centésima parte del nivel que necesitan los atacantes respaldados por Estados saca un mensaje publicitario de que “esta vez sí lo logrará”, la gente lo acepta. Que ni Apple cree en su propia promoción queda claro en que fijó la recompensa de Lockdown Mode en 2 millones de dólares, el doble del millón de dólares de iOS normal. Sigue siendo una quinta parte del precio de un tanque. ¿Un atacante respaldado por un Estado se va a asustar por el costo de una parte de un tanque? Abrir un local de McDonald’s cuesta más. Empresas como Apple, Microsoft, Amazon, Google, Cisco y Crowdstrike solo tienen que mentir y, curiosamente, la gente les cree incluso por milésima vez, protegiendo así sus ventas
Los sistemas comerciales de TI no son completamente seguros ni siquiera frente a atacantes con financiamiento medio. Si hay una operación que vale más de 1 millón de dólares o existe riesgo de ataque dirigido, hay que asumir que cualquier sistema, por más que uses varios, es 100% vulnerable. Si eso no es aceptable, no deberías usar sistemas comerciales estándar de TI con conectividad. Es lamentable, pero es la única solución que funciona actualmente. Cada quien debe decidir si acepta ese compromiso
[1] https://security.apple.com/bounty/categories/
En algún momento del futuro cercano, la palabra “celular” del título se cambiará por auto, y el resultado será más trágico
Me pregunto cuánto costará un zero-day de Tesla
La gente lleva el celular como una extensión de sí misma, pero el auto es un medio para llevarte del punto A al punto B
Además, la mayoría de los autos modernos tienen un Secure Gateway[1] casi sin conexión a Internet, que permite que los sistemas conectados solo tengan acceso limitado a la red del resto del vehículo, como el motor, el tren motriz y los frenos. Por eso creo que la posibilidad de ataques remotos a gran escala es baja
[1] https://blackberry.qnx.com/en/ultimate-guides/software-defin...
¿No es interesante el sentido mitológico griego? Pegasus nació de la sangre de Medusa
A la pregunta “¿Por qué Meduza? ¿No es una criatura resbalosa y desagradable?”, el periodista respondió que, en general, los periodistas son desagradables, resbalosos y casi nadie los quiere, y que esa es la esencia del trabajo. También dijo que el hecho de que Medusa convierta a su objetivo en piedra de una sola mirada encaja con los periodistas. Aunque, para ser honesto, dijo que el nombre se eligió por casualidad. Querían ponerle el nombre de un monstruo de la antigua Grecia al que le cortaron la cabeza pero volvió a la vida; eligieron ‘Meduza’ y luego recordaron que en realidad era Hydra, pero ya era tarde
1: https://meduza.io/cards/zaday-vopros-meduze, #75
Me pregunto cómo decide Apple a quién avisarle y a quién no cuando detecta malware como Pegasus
Hicieron bien en avisarle a esa persona
Pero ¿qué habría pasado si fuera alguien mucho menos famoso? Por ejemplo, una persona común que vive en un país democrático. ¿Apple sabe quién la puso en la mira? Si lo sabe, ¿tiene algún criterio tipo “si es China o Rusia, avisamos”? Si es así, ¿qué pasaría si China o Rusia hicieran lo mismo usando agentes pagos en países democráticos?
Son demasiadas preguntas. Y si Apple puede detectar este malware, ¿por qué no llega una alerta inmediata desde una app local? Algo como un antivirus para celulares. Eso ya debería existir; si no, ¿cómo se enteraron?
Probablemente reciban información como cuentas conocidas por haber enviado mensajes maliciosos y luego revisen los logs del servidor para ver a quién llegaron
Me pregunto qué medidas prácticas puede tomar un periodista o activista que cree ser objetivo de este tipo de gente
Una opción es usar un dispositivo distinto para cada app, por ejemplo separar WhatsApp, Telegram y Signal. También se podría usar el frontend web y mantener el celular apagado, aunque no sé si funciona con todas las apps. Otra opción es desechar los dispositivos periódicamente, venderlos usados y comprar equipos nuevos o usados. El dispositivo debería usarse solo para coordinar encuentros en entornos más seguros; no hablarle al teléfono ni enviar mensajes, y asumir siempre que está comprometido
Y las sanciones deberían ser contra NSO, no contra las ONG. Son basura
Tampoco habría mucho espacio para cargar con otros equipos. Al cruzar fronteras, tener que explicar tantos celulares al control fronterizo o a la aduana seguramente daría lugar a situaciones bastante interesantes
Fue diseñado exactamente para bloquear este tipo de ataques, y se confirmó que este ataque habría fallado si Lockdown Mode hubiera estado activado
Para estar aún más seguro, se puede desactivar iMessage y no usar iCloud en absoluto
Algo parecido a GrapheneOS, reduciendo continuamente la superficie de ataque, pero eliminando por completo las concesiones relacionadas con instalar apps o usar servicios de Google
Básicamente, un celular con mensajería cifrada y acceso a la cámara y al micrófono solo bajo condiciones muy controladas; nada más
Si las restricciones son fuertes, su popularidad también será limitada, así que casi no valdrá la pena atacarlo en términos de costo-beneficio, y para el pequeño grupo que realmente necesita protección podría ofrecer una defensa más fuerte que justifique esos sacrificios
Si extraen todos los mensajes y hacen capturas de pantalla con frecuencia, sería bastante difícil ocultar el tráfico saliente. Lo cifrarían, pero la cantidad de datos sería difícil de esconder
Sería más fácil todavía si, desde el principio, el celular estuviera bloqueado con una configuración mínima, porque habría pocas apps generando tráfico hacia afuera
Creo que la frase de Ivan Kolpakov, “me impactó mucho que estemos discutiendo seriamente que un país europeo podría haber hecho esto”, más que ingenua, muestra que el problema principal es que antes de ese incidente no habían investigado qué hacen realmente los países europeos en este contexto
Si lo hubieran investigado de antemano, no se habrían impactado: se habrían preocupado
Otra posibilidad es que ese “impacto” sea un impacto al estilo de la película Casablanca
Rick: ¿Con qué pretexto pueden clausurarme?
Capitán Renault: ¡Estoy impactado, impactado de descubrir que aquí se juega!
[El crupier le entrega a Renault un fajo de dinero]
Crupier: Sus ganancias, señor
Capitán Renault: Ah, muchas gracias
Me pregunto si hay algo que impida que Pegasus se propague por sí solo, o si necesariamente tiene que instalarse mediante un ataque dirigido.
¿También habrá alguna forma de escanear para comprobar si hay infección?
Algunas de las vulnerabilidades que se sabe que están relacionadas podrían ser convertibles en gusano. Sin embargo, en la práctica, los operadores de malware como Pegasus tienen razones prácticas para evitar una propagación no controlada. Necesitan que las vulnerabilidades no descubiertas ni parcheadas sigan ocultas, y una propagación ilimitada aumenta mucho la probabilidad de que sean descubiertas y analizadas, matando así a la “gallina de los huevos de oro”.
Por lo tanto, al menos por ahora, esperaría que todas las instalaciones de Pegasus sean resultado de ataques dirigidos. En cambio, si la herramienta se filtra y queda disponible fácilmente para varios actores, los incentivos cambiarían, y alguno de ellos podría crear un gusano que infecte dispositivos de todo el mundo que no hayan sido parcheados.
Escribir ese código sería relativamente simple: enviar el exploit por iMessage a todos los contactos del objetivo y repetir.
Pero eso sería contraproducente. El principal punto de venta de Pegasus es la vigilancia dirigida, y estos exploits son muy caros. Una propagación no controlada se detectaría más rápido y quemaría recursos valiosos.
Si estos exploits fueran baratos, podría justificarse una variante que atacara automáticamente toda la libreta de direcciones del objetivo para extraer su red social, pero luego aparecería el problema de tener que analizar una enorme cantidad de datos en su mayoría inútiles.
Técnicamente, Pegasus podría reenviarse a sí mismo e infectar otros dispositivos, pero no encaja con su modelo de negocio, así que no creo que NSO lo haga de forma regular.
Amnesty International también tiene, o al menos tuvo, una herramienta que puede detectarlo: https://github.com/mvt-project/mvt
Dicho eso, esto es una carrera, así que la información pasada puede que ya no sea válida. Aun así, como usan zero-days muy caros para la infección y estos se parchearían rápidamente si se descubren, creo que seguirá siendo poco probable que incorporen una función de autopropagación.
Es porque es la forma más fácil y rápida de apuntar a alguien como objetivo. Fuera de eso, el proceso de aislar al objetivo se volvería más complejo. Por lo tanto, además de Lockdown Mode, si no tienes ningún número activo en el teléfono y sigues las precauciones de seguridad habituales, en teoría podrías estar suficientemente protegido. En última instancia, la respuesta es no usar un smartphone.
Me pregunto si ese teléfono estaba en Lockdown Mode.
¿Alguien sabe qué tan efectivo es Lockdown Mode para bloquear la mayoría de estos zero-days?
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
“Creemos que Lockdown Mode bloquea este ataque específico, como también confirmó el equipo de Security Engineering and Architecture de Apple”.
https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
“Durante un breve período, los objetivos que tenían activada la función Lockdown Mode de iOS 16 recibían advertencias en tiempo real cuando se producía en sus dispositivos un intento de exploit PWNYOURHOME. Si bien NSO Group puede haber ideado posteriormente una forma de eludir estas advertencias en tiempo real, no hemos visto ningún caso en el que PWNYOURHOME se haya usado con éxito en un dispositivo con Lockdown Mode activado”.
¿No podrían detectarse estos ataques con un inspector profundo de paquetes personal a nivel de router, o con una herramienta simple de captura de paquetes?
Otra solución simple podría ser un router portátil DIY con inspección profunda de paquetes o un analizador de red incorporado.
https://citizenlab.ca/wp-content/uploads/2020/11/Annotated-B...