Špijunaža uređaja bez ikakvog klika?

Notifikacija sa porukom bljesne na vašem ekranu. Možda je to fotografija koju vam je neko poslao preko WhatsAppa. Možda iMessage. Bacite pogled na to i nastavite dalje. Niste ništa kliknuli. Niste ništa preuzeli. Niste ni otključali telefon.

Ali u tom djeliću sekunde, špijunski softver vojnog nivoa (spyware) upravo je inficirao vaš uređaj.

Ovo nije naučna fantastika. Dešava se upravo sada vlasnicima biznisa, direktorima, sportašima, glumcima, doktorima i svakome ko vjerovatno misli da je suviše nezanimljiv da bi bio meta.

Napad se naziva zero-click eksploatacija, odnosno nije potrebno da kliknete bilo šta da bi uređaj bio inficiran.

“ZERO-Click” znači tačno to: Nula klikova

Godinama se kibernetička obuka fokusirala na podučavanje ljudi da ne klikaju sumnjive linkove ili ne preuzimaju nepoznate priloge. Taj savjet je i dalje dobar, ali je također nepotpun. Napadi bez klika funkcionišu na način da ne morate uraditi ništa pogrešno. Sve što je potrebno je da vaš telefon radi ono za šta je i dizajniran: da automatski obrađuje dolazne poruke.

Evo kako to funkcioniše jednostavnim jezikom.

Kada vaš telefon primi poruku sa slikom, on ne čeka da je otvorite. Operativni sistem automatski počinje obrađivati tu sliku kako bi vam pokazao pregled. Ako je ta slika specijalno dizajnirana da iskoristi ranjivost u načinu na koji vaš telefon obrađuje slike, napad se dešava tokom tog automatskog generisanja pregleda. Niste ništa kliknuli. Niste ništa otvorili. Infekcija se desila potpuno u pozadini.

Bilo šta što vaš telefon automatski obrađuje postaje potencijalni vektor napada. Karakteristike koje čine pametne telefone pogodnim—pregledi poruka, ažuriranja fotografija kontakata, automatsko očitavanje media fajlova—postaju upravo mehanizmi koji dostavljaju spyware.

Razmislite o tome koliko poruka primite u toku dana. Svaka pojedinačna poruka je prilika za napad bez klika ukoliko ste nekome zanimljiva meta.

Zašto je “Nisam dovoljno važNA OSOBA” opasno razmišljanje?

Ovo je dio gdje većina ljudi prestaje obraćati pažnju. Pretpostavljaju da je sofisticirani špijunski softver (spyware) rezervisan za političare, novinare, aktiviste ili direktore Fortune 500 kompanija. Misle, “Samo vodim mali biznis” ili “Nemam vladine tajne” ili “Nikoga ne zanima moj startup”, “Moj život je dosadan” itd.

To razmišljanje će vas dovesti do kompromitacije.

Ne morate biti važni svima. Sve što je potrebno je da imate informacije koje su vrijedne nekome, da budete dio kruga drugih ljudi koje su primarna meta ili da ostvarite kontakt sa licima koja bi možda mogla biti pod istragom nekog organa vlasti.

Možda ne vodite kompaniju od milijardu dolara, ali ako pregovarate o ugovoru vrijednom pedeset hiljada dolara, taj ugovor vrijedi krađe. Ako zapošljavate za ključnu poziciju, znanje sa kime razgovarate omogućava konkurentima da se infiltriraju u vaš biznis kroz to lice. Ako planirate širenje u novi grad, znanje o tom planu omogućava nekom drugom da stigne tamo prije vas.

Solo osnivači i vlasnici malih biznisa su ranjiviji od velikih korporacija. Velike kompanije imaju sigurnosne timove, redovne revizije i planove odgovora na incidente. Mali biznisi vjerovatno imaju nekoliko laptopa, telefona i možda IT podršku koja resetuje lozinku kada je zaboravite. Pretpostavka da ste “premali za ciljanje” je upravo ono što vas čini lakom metom.

Ko zapravo postaje meta?

Podaci kompanija za mobilnu sigurnost govore jasno: zero-click spyware se značajno proširio izvan aktivista i novinara, a stopa je viša nego što je iko očekivao.

Prema globalnim analizama brojni zaraženi uređaji pripadaju ljudima koji rade u finansijama, nekretninama, logistici, zdravstvu, sportu, filmu, medijima itd. Ovo nisu obavještajni operativci ili politički disidenti. To su poslovni profesionalci sa pristupom informacijama koje je neko smatrao dovoljno vrijednim da ih kontinuirano prati, u nekim slučajevima godinama. I ne samo njih – kompletan krug ljudi iz njihovog života.

Ono što je posebno značajno je trajanje ovih infekcija.

Žrtve su bile kompromitirane tokom dužih perioda – minimalno dvije godine, a da toga nisu ni bile svjesne, što sugeriše da je onaj ko je postavio špijunski softver (spyware) dobijao korisne obavještajne podatke i želio održati pristup. Svaki sastanak, svaki poziv, svaki pregovor, svaki privatni razgovor, fotografije, video materijal, tekstualne poruke — sve praćeno i snimljeno. Čeka da bude upotrijebljeno i zloupotrijebljeno, ukoliko već nije.

Šta se dešava nakon što vam kompromituju uređaj?

Kada zero-click spyware dobije pristup vašem uređaju, obim nadzora je potpun.

Softver može pratiti sve vaše komunikacije uključujući pozive, SMS poruke, emailove i kriptirane aplikacije za razmjenu poruka. Može pristupiti vašim pohranjenim fajlovima, fotografijama, video zapisima i dokumentima na cloudu. Može aktivirati vašu kameru i mikrofon za praćenje u realnom vremenu bez ikakvog klika sa vaše strane. Može pratiti vašu GPS lokaciju kontinuirano. Može vidjeti kompletan vaš ekran, odnosno apsolutno sve što otvorite i radite na uređaju. Može vidjeti i sačuvati vaše lozinke i autentifikacijske podatke. Može snimati svaki pritisak na tastaturu kroz sve aplikacije.

Ovo znači da apsolutno sve postaje vidljivo onome ko kontroliše spyware. Povjerljive diskusije sa vašim advokatom, finansijsko stanje, zdravstveno stanje, poslovne planove, privatne fotografije vaše djece itd.

U poslovnom smislu, vrijednost konkurentskih obavještajnih podataka je očigledna. Ako vaš konkurent zna šta planirate, mogu djelovati prije vas u svakom pogledu.

Tu je također faktor opstrukcije. Ako neko zna šta pokušavate postići, mogu sistematski spriječiti da to postignete. Dobavljači odjednom nedostupni. Dozvole odgođene. Ključni zaposleni prihvataju druge ponude u posljednji trenutak. Finansiranje koje propada. Svaki pojedinačni incident izgleda kao loša sreća, ali kada se dešavaju više puta na načine koji izgledaju kao da ciljaju tačno ono na čemu radite, to nije slučajnost—to je koordinirana opstrukcija.

Za solo osnivače i male biznise, ova vrsta sistematske opstrukcije može biti fatalna.

Velike kompanije mogu apsorbovati neuspjehe i pivotirati. Startup koji izgubi svoju jednu šansu za ključno finansiranje ili kojemu se ukrade jedinstvena vrijednosna ponuda prije lansiranja možda neće preživjeti.

U personalnom smislu, obavještajni podaci služe za namjerne diskreditacije, uništavanje reputacije, psihološki teror, gubitak povjerenja, manipulaciju krugom prijatelja pa čak i porodice itd. Lica koja imaju pristup obavještajnim podacima, a nemaju etički kodeks, moralne vrijednosti niti osjećaj za ljudska prava, mogu koristiti svaku priliku za poigravanje sa svojim metama.

Detekcija je teška ali ne i nemoguća

Tradicionalni sigurnosni alati neće pronaći špijunski softver. Vaš antivirus, vaše upravljanje mobilnim uređajima, vaša zaštita krajnjih tačaka—ništa od toga nije dizajnirano da uhvati spyware državnog nivoa koji košta milione za razvoj.

Spyware se ne ponaša kao normalan malware. Ne kreira očigledne fajlove na vašem uređaju. Uglavnom funkcioniše u memoriji. Komunicira kroz kriptirane kanale koji izgledaju kao regularan mrežni promet. Dizajniran je specifično da zaobiđe sigurnosne proizvode koje biznisi tipično koriste.

Međutim, detekcija je moguća ako koristite specijalizirane alate. Kompanije poput iVerify, Kaspersky i Amnesty International razvile su forenzičke metode koje mogu identificirati zero-click spyware tražeći suptilne pokazatelje: neobične obrasce u logovima gašenja, anomalije u mrežnom prometu, bihejvioralne potpise koji se ne podudaraju sa normalnom operacijom uređaja.

Ovi alati nisu savršeni. Sofisticirani napadači konstantno evoluiraju svoje tehnike kako bi izbjegli detekciju.

Ako ste poslovni lider koji rukuje osjetljivim informacijama, redovno skeniranje sa specijaliziranim alatima za detekciju mobilnih prijetnji treba biti obavezno, ne opciono.

Druga osnovna odbrana je često restartovanje. Mnogi zero-click eksploiti održavaju perzistentnost držeći određene procese pokrenute u memoriji. Kada restartujete vaš uređaj, ti procesi se prekidaju. Napadač možda može ponovo vas inficirati sa drugim zero-click eksploitom, ali barem ih forsirate da ponovo eksploituju umjesto da održavaju kontinuiran pristup.

Ovo nije potpuno rješenje—ako su vas kompromitovali jednom, vjerovatno mogu ponovo—ali kreira prozore gdje je detekcija vjerojatnija i gdje sistemska ažuriranja mogu zakrpiti ranjivost koju eksploatišu.

Šta zaista možete učiniti po tom pitanju?

Ne postoji savršena zaštita ili odbrana protiv zero-click ranjivosti. Većina savjeta koji se pojavljuju su zapravo beskorisni.

Većina dostupnih alata za zaštitu su također od minimalne pomoći. Što detaljnije poznavanje načina na koji spyware funkcioniše, kao i potencijalne ranjivosti uređaja, kombinirano sa znanjem iz oblasti cyber sigurnosti – otvara priliku za presretanje prijetnji i eventualnog kreiranja zaštite.

Nekolicina kratkih savjeta za prvu pomoć:

Isključivanje automatske WiFi konekcije na otvorene mreže. Na ovaj način se smanjuje mogućnost da neko zloupotrijebi otvorenu mrežu i kompromituje uređaj.

Korištenje VPN-a kako bi se smanjile mogućnosti kompromitacije uređaja. Mullvad se pokazao kao dobro i pristupačno rješenje.
Alati za detekciju prijetnji – ovi alati su obično suviše skupi za male biznise, ali za veće kompanije su neprocjenjivi u zaštiti. Antivirusi ne spadaju u alate za detekciju naprednih spywarea.

“Threat-hunting” – usluge koje nude lov na prijetnje nisu skupe u odnosu na potencijalnu štetu koju bi špijunski softver mogao izazvati na poslovnom, ali i privatnom planu.

Faraday Cage – u slučajevima kada je uređaj već inficiran, a morate ga imati uz sebe, kratkoročno se može minimizirati šteta korištenjem tzv. Faraday Cage torbe koje postoje u veličinama i za mobilne uređaje i za laptope. No, to nije dugoročno rješenje.

Uređaj za specifičnu svrhu – za kritične diskusije, važne poslovne pregovore ili privatne razgovore razmotrite upotrebu namjenskog uređaja koji se koristi samo za tu svrhu i koji se redovno vraća na fabrička podešavanja. Da, ovo je nezgodno, ali može biti kratkoročno pomoći.