Likhita Banerji (tv) er rådgiver inden for teknologi og menneskerettigheder i Amnesty International og Raed Labassi er teknologisk ekspert. Foto: Magnus Møller

spyware

Tech-detektiv: Intet operativsystem er sikkert

Det er så godt som umuligt at beskytte sig mod avanceret spyware, der kan forvandle mobiltelefoner til spionenheder. Det konkluderer Amnesty Internationals digitale efterforskere, der var med til at afsløre massivt misbrug af overvågningsværktøjet Pegasus.

Moderne mobiltelefoner er på mange måder det perfekte aflytningsudstyr. En lille spion i lommestørrelse med både GPS-modtager, mikrofon, kamera, batteri og en trådløs dataforbindelse.

Amnesty International har de seneste år kortlagt adskillige avancerede cyberangreb, der havde til formål at udspionere intetanende mennesker via deres egne mobiltelefoner. Helt central for det omfattende efterforskningsarbejde er Amnestys tech-afdeling, Security Lab, der forsker i og rådgiver om ulovlig, målrettet overvågning.

Raed Labassi er teknologisk ekspert og en del af Amnestys såkaldte Disrupting Surveillance-team i tech-afdelingen. Hans arbejde indebærer at undersøge og afsløre ulovlig brug af målrettet overvågningsteknologi mod menneskerettighedsforkæmpere og yde støtte til ofre for digitale angreb baseret på disse teknologier. Da han og hans kollega Likhita Banerji kort før sommerferien holdt et oplæg i PROSA, mødte Prosabladet dem for at høre mere om deres arbejdsmetoder.

En trojansk hest

Flere medier, blandt andet den britiske avis The Guardian, kunne i juli 2021 afslører regeringsspionage i et næsten ufatteligt omfang i det såkaldte Pegasus-projekt. Avisen kunne berette, hvordan en database med 50.000 potentielle ofre for et overvågningsværktøj ved navn Pegasus i 2020 var blevet lækket til en række medier fra ti forskellige lande. Medierne gik sammen og fik adgang til databasen og begyndte at kontakte folk på listen, heriblandt den franske præsident, medlemmer af demokratisk valgte regeringer og en lang række diplomater, aktivister og advokater. Flere gik med til at udlevere deres mobiltelefon, og det er her, Amnestys tech-detektiver som Raed Labassi kommer ind i billedet. Det blev deres opgave at foretage tekniske undersøgelser af telefonerne for at finde ud af, om de var blevet angrebet, og i Amnestys tech-laboratorium udviklede man en metode til at afgøre, om en telefon er inficeret med et spionprogram. Amnesty udgav sidste år på baggrund af det arbejde rapporten ‘Forensic Methodology Report: How to catch NSO Group’s Pegasus’.

Det er det israelske firma NSO Group, som står bag Pegasus. Det er et spyware-produkt, der i det skjulte indsamler informationer om et offer. Pegasus – navnet på en bevinget hest i græsk mytologi – gør brug af de sensorer, som telefonerne er udstyret med. Med Pegasus kan man eksempelvis overvåge offerets position via for eksempel GPS eller med skjulte lydoptagelser via mikrofonen.

Hvis du udvikler nye beskyttelses­mekanismer og nye privacy-tiltag, finder angriberne en måde at bryde dem på
- Raed Labassi, teknologisk ekspert, Amnesty International

Paradoksalt nok er de svært privatlivsinvaderende produkter som Pegasus dukket op, i takt med at elektronisk kommunikation generelt er blevet mere sikker. For i kølvandet på Edward Snowdens afsløringer af massiv amerikansk overvågning af datatrafik kom der øget fokus på at sikre data i transit. Mange steder resulterede det i end-to-end-kryptering, hvor data kun befinder sig i et ukrypteret – og dermed menneskeligt forståeligt format – på selve enheden. Altså i dette tilfælde en mobiltelefon.

Det betyder også, at hvis en efterretningstjeneste, en politimyndighed eller et autoritært regime vil vide, hvad en bestemt person foretager sig, så nytter det ikke at tappe data fra et eller andet kabel. Det er selve enheden, hvor data ligger i klartekst, der skal knækkes.

Og det er her, NSO Group og andre lignende virksomheder kommer ind i billedet.
– Hvis du udvikler nye beskyttelsesmekanismer og nye privacy-tiltag, finder angriberne en måde at bryde dem på. Og spyware-branchen, særligt malwaren målrettet mobile enheder, gør angriberne i stand til at omgå de beskyttelsestiltag, som er introduceret med end-to-end-kryptering, forklarer Raed Labassi.

Kræver lovgivning

NSO Group markedsfører sig som et firma, der ”skaber teknologi, som hjælper statslige myndigheder med at forebygge og efterforske terrorisme og kriminalitet for at redde tusindvis af liv kloden rundt”.

Det kan lyde som en ærværdig mission at klæde eksempelvis danske politimyndigheder teknologisk på til at kunne efterforske og forhindre terrorisme og organiseret kriminalitet. Men problemet er som nævnt, at værktøjer som Pegasus dukker op i helt andre sammenhænge. Pegasus-projektet afslørede eksempelvis, at spywaren var købt af lande som Aserbajdsjan, Rwanda og Saudi-Arabien. Derfor kan Amnesty konkludere, at Pegasus ikke kun bliver brugt til at bekæmpe kriminalitet og terrorisme. Værktøjet bliver beviseligt også brugt til udemokratisk og ulovlig overvågning.

Amnestys rapport

Amnesty International udgav sidste år rapporten ’Forensic Methodology Report: How to catch NSO Group’s Pegasus’. Du kan finde den i sin fulde længde på Amnestys hjemmeside, hvis du søger på rapportens navn.

Der mangler simpelthen lovgivning på området, mener Likhita Banerji, der er rådgiver og researcher inden for teknologi og menneskerettigheder i Amnesty.

Lovgivning der skal sikre, at værktøjer som Pegasus ikke havner i hænderne på autoritære regimer, som kan bruge produktet til at overvåge og undertrykke blandt andre politiske modstandere.
– Vi opfordrer til et moratorium, indtil lovgivningen kan følge med, siger Likhita Banerji.

Det vil blandt andet betyde national lovgivning mod overvågning og eksportkontrol med produkter som Pegasus, uddyber hun.

0-dag

Det er altid en god idé at holde sit styresystem og sine apps opdaterede, så sikkerhedshuller bliver lukket, efterhånden som de bliver opdaget. Men sammenlignet med gængse ransomware-angreb, der nyder godt af dårligt opsatte mailsystemer og fejlkonfigurerede Active Directories, er Pegasus og deslige langt giftigere.

For uanset hvor omhyggelig indehaveren af en mobiltelefon måtte være, er det meget svært – grænsende til det umulige – at gardere sig mod den form for spyware-angreb, som Pegasus repræsenterer.

Produkter som Pegasus inficerer telefoner via såkaldte 0-dags-sårbarheder i software, forklarer Raed Labassi. Det vil sige sårbarheder, som hverken Google, Apple eller Facebook kender til. Derfor er hullerne i softwaren heller ikke lukket.
– Ærlig talt, det handler ikke om sikkert eller usikkert. Over for denne spyware er intet operativsystem sikkert, fordi de (der laver spyware som Pegasus, red.) bruger 0-dags-exploits og har mange ressourcer. Uanset om du bruger iOS eller Android, er du ikke sikker mod denne trussel, siger han.

Ærlig talt, det handler ikke om sikkert eller usikkert. Over for denne spyware er intet operativsystem sikkert
- Raed Labassi, teknologisk ekspert, Amnesty International

En exploit er betegnelsen for en kode, der kan udnytte konkrete sårbarheder. Det er på ingen måde trivielt at finde og udnytte den slags sårbarheder. Derfor er der også mange penge at tjene, hvis man ligger inde med en sådan exploit. Raed Labassi har blandt andet kendskab til en Black Hat-konference i 2019, hvor en 0-clicks-sårbarhed i besked-apps som WhatsApp, Signal og iMessage på daværende tidspunkt kunne handles for cirka 1,5 million dollar, svarende til cirka 10,4 millioner kroner.

0-click

Heldigvis er de færreste interessante nok til at retfærdiggøre et angreb, der involverer den slags ressourcer. Det skal også ses i lyset af, at når en 0-dags-sårbarhed anvendes i forbindelse med et angreb, så er der en risiko for, at sikkerhedshullet bliver opdaget og patched. Og dermed mister sårbarheden en stor del af sin værdi.

Den mindre gode nyhed er dog begrebet 0-click-sårbarheder.

Gennem årene har Amnesty International set en udvikling, hvor angreb via Pegasus er skiftet fra at være links i eksempelvis sms-beskeder til at være 0-click-angreb. Det vil sige, at brugeren slet ikke behøver at foretage sig noget, før enheden bliver hacket.

Et hack kunne eksempelvis være via en særligt udformet WhatsApp-besked, der udnytter et ikke-offentligt kendt hul i den populære besked-app. Netop sådan et hul (CVE-2019-3568) blev opdaget og lukket i 2019. Efterfølgende lagde WhatsApp-ejeren Facebook (nu Meta) sag an mod NSO Group for at have udnyttet sårbarheden mod 1.400 brugere af beskedtjenesten.

En historie, som blandt andre magasinet The Register skrev om.

Udfordringen med 0-click-angreb er selvsagt, at mens brugere, der modtager en sms, kan opfordres til aldrig at klikke på links, er der ikke meget, brugeren kan gøre, når det gælder 0-click-angreb.

Udviklingen væk fra sms-angreb og over til 0-click har betydet, at Amnesty har skiftet tilgang, når det skal opklares, hvorvidt aktivisters telefoner er blevet udsat for Pegasus. Hvor det før var nok at se på, om en bruger havde modtaget en sms med et løjerligt link, er det nu nødvendigt for Amnestys tech-detektiver at have adgang til selve enheden og de data, der ligger på den. Eksempelvis for at kunne se, om der kører en mistænkelig proces på telefonen.

Android vs. iOS

Selv om hverken Android- eller iOS-brugere kan føle sig sikre mod værktøjer som Pegasus, gør det faktisk en forskel for efterforskningsarbejdet, hvorvidt din telefon har det ene eller det andet styresystem, forklarer Raed Labassi.
– Vi har mere indblik i iOS-enheder på grund af designet, siger han.

Det betyder, at det er muligt at få indblik i logfiler og anden systemdiagnostik. Og det gør det også muligt at sige noget om, hvorvidt enheden er hacket eller har været det.
– Men på Android er det mere vanskeligt at udvikle en ensartet forensic-tilgang, siger han.

Der er ifølge Raed Labassi to problemer med Android. For det første er der ikke de samme mængder logfiler og andet, der kan give Amnestys digitale efterforskere en idé om, hvad der er foregået på telefonen. For det andet findes der rigtig mange forskellige Android-versioner. Det vil sige, at Samsung kører med en tilpasset version, mens LG kører med en anden og så videre. Og det gør det vanskeligt at scanne enheder for malware som Pegasus på en ensartet måde.

Modstridende hensyn

Generelt kunne Raed Labassi godt ønske sig, at både Google og Apple gjorde mere ud af, at deres respektive styresystemer lagrede data på en måde, så efterforskningsarbejdet med at identificere, hvilke ulykker der er sket på en mobiltelefon, blev lettere. Det kunne eksempelvis være historiske data, der viste, hvilke processer der tidligere har kørt på enheden.

Faktisk har der været et eksempel på, at efterforskernes arbejde på iOS er blevet vanskeligere med tiden. Før iOS 14.7 lå der således en ID Status Cache-fil på Apples-enheder, der indeholdt informationer om, hvilke iCloud-konti der havde interageret med enheden og eksempelvis forsøgt at hacke den. Men fra iOS 14.7 er disse infoer altså ikke længere tilgængelige.
– Så det reducerer vores indsigt i, hvilke typer konti der har kontaktet enheden over iMessage, siger Raed Labassi.

Uanset om du bruger iOS eller Android, er du ikke sikker mod denne trussel
- Raed Labassi, Amnesty International

Apples forklaring på, hvorfor informationerne ikke længere er tilgængelige, er bekymringer om mobiltelefonejerens privatliv.
– Så det er ikke sort og hvidt. De har deres egne bekymringer, og vi har vores. Vi forsøger at skubbe på fra vores side. Nogle gange flugter vores interesser, andre gange gør de ikke, siger Raed Labassi.

Forskellene i sporbarhed på henholdsvis Android og iOS er i øvrigt også forklaringen på, hvorfor Amnestys rapport om Pegasus primært omhandler angreb på iOS. Det er bestemt ikke, fordi Android ikke kan blive hacket. Det er bare sværere for tech-detektiverne at se, hvornår og om det er sket.

Efter således at have fået slået fast, at det er så godt som umuligt teknisk at sikre sig mod angreb fra værktøjer om Pegasus, og at det ovenikøbet kan være sin sag at vide, om ens telefon faktisk er hacket eller har været det, kan Prosabladets udsendte ikke dy sig for at spørge Raed Labassi, om hans telefon kunne være hacket nu, uden han ved det.
– Ja, lyder det korte svar fra Amnestys tekniske ekspert på området.

Prosabladet har henvendt sig til NSO Group med en række spørgsmål. NSO Group har ikke ladet høre fra sig inden deadline.