1 Punkte von GN⁺ 2023-09-14 | 1 Kommentare | Auf WhatsApp teilen
  • Das iPhone von Galina Timchenko, Mitgründerin und Verlegerin von Meduza, wurde am 10. Februar 2023 mit Pegasus infiziert – der erste bestätigte Fall gegen eine russische Journalistin
  • Laut Analysen von Access Now und Citizen Lab konnte der Angreifer Mikrofon, Kamera, Speicher, Fotos, Kalender, Adressen und sogar Gespräche in verschlüsselten Messengern einsehen; die Infektion steht offenbar mit der PWNYOURHOME-Schwachstelle über HomeKit·iMessage in Verbindung
  • Einen Tag nach der Infektion nahm Timchenko in Berlin an einem nicht öffentlichen Seminar mit Vertreterinnen und Vertretern russischer unabhängiger Exilmedien teil; das Telefon konnte damals wie eine Abhörwanze genutzt worden sein
  • NSO Group erklärte, Pegasus nur an staatliche Kunden zur Bekämpfung von Kriminalität und Terrorismus zu verkaufen, doch Access Now und Citizen Lab sehen mögliche Einsätze in Europa, unter anderem in Lettland, Estland und Deutschland, sowie die Möglichkeit grenzüberschreitender Überwachung als Problem
  • Weder Akteur noch Zweck des Angriffs wurden identifiziert; der Fall Timchenko zeigt jedoch den Trend in Europa, Journalistinnen und Journalisten als Bedrohung der nationalen Sicherheit zu behandeln, sowie die Regulierungslücke bei kommerzieller Spyware

Von Apples Warnmeldung bis zur Bestätigung der Infektion

  • Am 22. Juni 2023 erhielt Galina Timchenko von Apple eine Warnmeldung zu state-sponsored attackers und leitete sie an das Technikteam von Meduza weiter
  • Apples threat notifications werden verschickt, wenn Nutzende wegen „who they are or what they do“ individuell ins Visier geraten
    • Apple weist darauf hin, dass staatlich unterstützte Angriffe extrem komplex seien, in der Entwicklung Millionen Dollar kosteten und oft nur eine kurze Lebensdauer hätten
    • Die an Timchenko gesendete Warnung nannte keinen beteiligten Staat
  • Der technische Leiter von Meduza bat um externe Unterstützung
    • Access Now ist eine gemeinnützige Organisation, die weltweit die digitalen Bürgerrechte und Sicherheitspraktiken von Nutzerinnen und Nutzern unterstützt
    • Citizen Lab ist ein Forschungsinstitut der Universität Toronto, das digitale Spionage gegen die Zivilgesellschaft untersucht
  • Access Now und Citizen Lab sammelten Gerätedaten von Timchenko und führten eine schnelle Prüfung durch; dabei bestätigten sie, dass das iPhone am 10. Februar 2023 mit Pegasus infiziert wurde

Welche Zugriffsrechte Pegasus erlangte

  • Eine Pegasus-Infektion verschafft Angreifern vollständigen Zugriff auf Timchenkos iPhone
    • Zugriff auf Mikrofon, Kamera und Speicher möglich
    • Einsicht in Wohnadresse, Kalender, Fotos und Gespräche in verschlüsselten Messengern möglich
    • Nachrichten konnten in dem Moment gelesen werden, in dem sie auf dem Bildschirm geschrieben wurden
    • E-Mails, SMS, Bilder und Dateien konnten heruntergeladen werden
  • Für Nutzende ist es schwer, eine Infektion zu verhindern oder zu bemerken
    • Pegasus kann ein Gerät kompromittieren, wenn nur eine einzige anfällige Anwendung vorhanden ist, auch wenn sie von Apple vorinstalliert wurde
    • Für den Nutzer ist ein infiziertes Gerät nur schwer zu erkennen
    • Timchenko bemerkte zwar, dass ihr iPhone wärmer als gewöhnlich wurde, hielt dies aber für eine Folge eines neuen Ladegeräts
  • Citizen Lab geht davon aus, dass der Angreifer über HomeKit und iMessage eingedrungen sein könnte
    • Die Forschenden entdeckten für Pegasus typische digitale Spuren
    • Die verwendete Schwachstelle scheint PWNYOURHOME zu sein, die die integrierte HomeKit-Funktion des iPhones angreift und iMessage zur Installation der Spyware missbraucht
    • John Scott-Railton erklärte, dass dieser Angriff auch auf Geräten möglich sei, bei denen HomeKit nicht aktiviert ist

Das vertrauliche Treffen in Berlin und der Zeitpunkt der Infektion

  • Der Infektionstag, der 10. Februar 2023, war einen Tag vor Timchenkos Teilnahme an einem vertraulichen Treffen in Berlin
  • Am 11. Februar nahmen Timchenko und Meduza-Chefredakteur Ivan Kolpakov an einem nicht öffentlichen Seminar in Berlin mit Vertreterinnen und Vertretern unabhängiger russischer Exilmedien teil
    • Veranstalter war das Komitee des Redkollegia-Journalistenpreises
    • Medienmanager und Anwälte diskutierten rechtliche Fragen bei der Arbeit zu Russland unter umfassender russischer Zensur und Repression gegen Journalistinnen, Journalisten und Aktivisten
    • Zwei Wochen zuvor hatte die russische Generalstaatsanwaltschaft Meduza zu einer „undesirable organization“ erklärt und damit die Berichterstattung kriminalisiert
  • Pegasus war bereits aktiv, als Timchenko an dem Treffen teilnahm
    • Der Angreifer konnte das Mikrofon des Telefons aus der Ferne einschalten und Gespräche in der Umgebung aufzeichnen
    • Auch die Kamera konnte auf dieselbe Weise aktiviert werden
    • Natalia Krapiva von Access Now hält es für möglich, dass Timchenkos Telefon als Abhörgerät genutzt wurde, um die Pläne russischer Journalistinnen und Journalisten auszuspähen

Erster bestätigter Fall gegen russische Journalistinnen und Journalisten

  • Der Fall Timchenko ist der erste bestätigte Einsatz von Pegasus gegen eine russische Journalistin
  • Access Now untersuchte die Handys von rund 20 Journalistinnen, Journalisten und Aktivisten aus Russland und fand mehrere Arten von Malware, hatte zuvor jedoch kein Pegasus nachweisen können
  • John Scott-Railton von Citizen Lab erklärte, dass solche Spyware Log-Dateien verbergen und ihre Spuren selbst verschleiern könne, wodurch Infektionen schwer zu identifizieren seien
  • Citizen Lab und Lookout Security machten 2016 erstmals Spuren der Existenz von Pegasus öffentlich
    • Der damalige Bericht stellte fest, dass die „remote monitoring solution“ von NSO Group zur Überwachung des Menschenrechtsaktivisten Ahmed Mansoor in den Vereinigten Arabischen Emiraten eingesetzt wurde
  • Citizen Lab verfolgt die für den Pegasus-Betrieb nötigen Server sowie die Server, auf denen von infizierten Geräten gesammelte Informationen ankommen
    • Access Now erklärt, dass Pegasus eher einem Service als einem einfachen Produkt gleiche und NSO Group Kundenstaaten in der Bedienung schule

NSO Group und Kosten- und Vertriebsmodell von Pegasus

  • NSO Group behauptet, Pegasus sei ausschließlich zur Überwachung von „Terroristen, Kriminellen und Kindesmissbrauchstätern“ entwickelt worden
  • Das Unternehmen verkauft Pegasus nur an staatliche Kunden
    • Zu den Mitgründern gehören frühere Mitglieder israelischer Militärgeheimdienste und des Mossad
    • NSO Group verweist auf strenge Menschenrechtsrichtlinien, doch mehrere Regierungen haben Pegasus eingesetzt, um Kritiker und politische Gegner ins Visier zu nehmen
  • John Scott-Railton von Citizen Lab sagte, der Preis für den Zugriff auf Pegasus liege bei „Zehnern von Millionen Dollar oder mehr“
    • Die mexikanische Regierung gab mindestens 61 Millionen US-Dollar für Pegasus-Technologie aus
    • Mexiko setzte sie sowohl gegen Kriminelle als auch gegen Personen aus der Zivilgesellschaft ein
  • Laut Natalia Krapiva von Access Now erlauben NSO-Group-Verträge eine bestimmte Zahl gleichzeitiger Infektionen
    • Ein Paket für 20 Infektionen bedeutet beispielsweise, dass gleichzeitig 20 Personen überwacht werden können
  • Die Biden-Regierung setzte NSO Group im November 2021 auf eine US-Bundes-Blacklist, die den Zugang zu amerikanischer Technologie ausschließt
    • Dies geschah einige Monate nach den Enthüllungen des Pegasus-Project-Konsortiums über den massenhaften Missbrauch der Spyware

Mögliche Rollen von Russland, Kasachstan und Aserbaidschan

  • NSO Group ist dafür bekannt, Pegasus nicht gegen US-amerikanische oder russische Telefonnummern einsetzen zu lassen
    • 2020 erklärten die Entwickler von Pegasus, dass sich ein infiziertes Telefon nicht physisch in den USA befinden könne und dass sich die Software selbst zerstöre, wenn das Gerät die US-Grenze überschreite
    • Als Estland 2019 Zugang zu Pegasus kaufte, soll NSO Group den Einsatz gegen russische Ziele untersagt haben
  • NSO Group hat wiederholt erklärt, Russland und China könnten „niemals Kunden werden“
    • Das Unternehmen prüfe potenzielle Kunden auf Menschenrechte, Korruption, Sicherheit, Finanzen und Missbrauchshistorie
    • Im Januar 2023 sagte CEO Yaron Shohat, man konzentriere sich auf das Kerngeschäft mit Regierungen, die Verbündete der USA und Israels seien
  • Andrey Soldatov meint, russische Geheimdienste seien auf dem globalen Spionagetechnologiemarkt eher Verkäufer als Käufer und gegenüber ausländischer Spyware extrem paranoid
    • Dass mit Pegasus gestohlene Daten an Server im Ökosystem der NSO Group gesendet werden, könnte für russische Behörden ebenfalls ein Hindernis sein
    • Der russische FSB beantwortete Fragen von Meduza zu Pegasus nicht
  • Access Now prüfte als vorläufige Theorie die Möglichkeit, dass Kasachstan oder Aserbaidschan auf Bitte Moskaus den Angriff ausführten
    • Beide Länder gelten als mutmaßliche Pegasus-Kunden
    • Usbekistan galt in diesem Zeitraum nicht als Pegasus-Kunde
  • Soweit den Forschenden bekannt ist, haben Kasachstan und Aserbaidschan jedoch in Europa bislang keine Pegasus-Angriffe durchgeführt, und Timchenko befand sich zum Zeitpunkt der Infektion in Deutschland
    • Citizen Lab hat keine Hinweise gesehen, dass Kasachstan Pegasus außerhalb der eigenen Grenzen einsetzt
    • Aserbaidschan nutzt Pegasus im Ausland, doch das einzige von den Forschenden dokumentierte Zielland ist Armenien

Verdacht gegen Lettland, Estland und Deutschland

  • In Timchenkos infiziertem iPhone befand sich eine lettische SIM-Karte
  • Citizen Lab dokumentierte 2018 erstmals Pegasus-bezogene Aktivitäten in Lettland, und Fachleute gehen davon aus, dass Riga noch immer Produkte der NSO Group nutzt
    • Access Now schließt auch nicht aus, dass lettische Geheimdienste hinter dem Angriff stecken könnten
    • Zwei Monate vor der Infektion entzog Lettland dem anderen russischen Exilmedium TV Rain die Sendelizenz vor Ort mit der Begründung, es stelle eine „Bedrohung für die nationale Sicherheit und die öffentliche Ordnung“ dar
  • Citizen Lab hat jedoch keine Fälle beobachtet, in denen Riga Ziele außerhalb Lettlands mit Pegasus angegriffen hätte, und Timchenko wurde infiziert, als sie sich in Berlin aufhielt
    • Der lettische Staatssicherheitsdienst erklärte, keine Informationen über einen möglichen Angriff auf Timchenkos Smartphone zu haben
    • Weitere Fragen, etwa zur Nutzung von Pegasus oder zur Überwachung von Zielen im Ausland, beantwortete er unter Verweis auf die Vertraulichkeit operativer Informationen nicht
  • Es ist bestätigt, dass Estland 2019 Zugang zu Pegasus kaufte; Citizen Lab stützt dies ebenfalls
    • Scott-Railton sagte, man habe verfolgt, wie Estland grenzüberschreitend Ziele in mehreren EU-Staaten, darunter Deutschland, infizierte
  • Das deutsche Bundeskriminalamt erhielt 2019 Zugang zu Pegasus und räumte den Kauf erst 2021 ein
    • Deutschland soll eine Version mit deaktivierten Funktionen zur Missbrauchsvermeidung nutzen, erläutert jedoch nicht, wie diese tatsächlich arbeitet
    • Krapiva sagte, ein Bericht des Europäischen Datenschutzbeauftragten komme zu dem Schluss, dass nicht nur die ursprüngliche Form von Pegasus, sondern jede Form von Pegasus grundsätzlich schwer mit EU-Recht vereinbar sei

Das Problem kommerzieller Spyware in Europa

  • Scott-Railton sieht in Timchenkos Infektion in Berlin einen Beleg dafür, dass Europas Pegasus-Problem nicht gelöst ist
  • Deutschland unterzeichnete keine gemeinsame Erklärung zum Vorgehen gegen die Verbreitung und den Missbrauch kommerzieller Spyware
    • Unterzeichnet haben 11 Staaten, darunter Denmark, France und Sweden
  • Access Now weist darauf hin, dass alle vier EU-Mitgliedstaaten Latvia, Estonia, Germany und Netherlands, die zu neuen Zentren der russischen Antikriegs-Emigration geworden sind, als mutmaßliche Pegasus-Nutzer gelten
  • Der EU-PEGA-Ausschuss erklärte, es gebe innerhalb der EU mindestens 14 Mitgliedstaaten und 22 Betreiber, die Pegasus nutzten
    • Beendet wurden lediglich die Verträge der NSO Group mit Hungary und Poland
  • Access Now betrachtet den Angriff auf Timchenko als mindestens den vierten ähnlichen Fall in Europa innerhalb des vergangenen Jahres
    • Meduza kennt Details zu weiteren Fällen, doch die Betroffenen wollen sie nicht öffentlich machen
  • Krapiva meint, dass die Tendenz, Journalistinnen und Journalisten in Europa als Bedrohung zu behandeln, inzwischen auch im EU-Recht sichtbar werde
    • Sie warnt, dass durch die Abschwächung einiger Formulierungen im European Media Freedom Act, vor allem auf Betreiben von France und Sweden, die Überwachung von Journalistinnen und Journalisten unter Berufung auf die nationale Sicherheit gerechtfertigt werden könnte

Die Reaktion der NSO Group und die Frage der Verantwortung

  • NSO Group beantwortete keine Fragen dazu, ob dem Unternehmen der Angriff auf Timchenko bekannt war oder welcher Kunde die Intrusion ausgeführt haben könnte
  • Ein Unternehmenssprecher erklärte, Pegasus werde nur an Verbündete der USA und Israels, insbesondere in Westeuropa, verkauft und diene der Bekämpfung von Kriminalität und Terrorismus
  • NSO Group betonte, allen glaubhaften Missbrauchsvorwürfen nachzugehen, sagte jedoch nicht, ob man im Fall Timchenko zu einer internen Untersuchung bereit sei
  • Die New York Times berichtete im Januar 2022, dass das Pegasus-System bei Beschwerden alle Angriffe protokolliere und NSO mit Zustimmung des Kunden eine nachträgliche forensische Analyse durchführen könne
    • Im Juli 2022 sagte der Leiter für Recht und Compliance der NSO Group vor einem Ausschuss des Europäischen Parlaments, interne Untersuchungen hätten zur Kündigung von acht Verträgen geführt
  • Krapiva von Access Now sagte, man sei nach Hunderten von Betroffenen zu dem Schluss gekommen, dass die internen Prüfverfahren von NSO entweder nicht existierten oder nur der Fassade dienten

Die aktuelle Situation von Timchenko und Meduza

  • Timchenko kaufte nach dem Eindringen ein neues Handy und trägt das infizierte iPhone weiterhin bei sich
    • Citizen Lab bestätigte, dass Pegasus auf diesem Gerät nicht mehr installiert ist
    • Timchenko sagte, sie werde das Gerät wie ein Souvenir aufbewahren
  • Seit Juni 2023 haben Expertinnen und Experten die Handys von Dutzenden Meduza-Mitarbeitenden analysiert
  • Es ist weiterhin unklar, auf welche konkreten Informationen der Angreifer abzielte
    • Meduzas technischer Leiter Alexey sagte, man müsse vom schlimmsten Fall ausgehen, bis das Motiv bekannt sei
    • Er schließt nicht aus, dass Russland die Infektion in Auftrag gegeben haben könnte und dass die Folgen schwerwiegend sein könnten
  • Timchenko erklärte, sie werde sich künftig nach juristischem Rat richten und nicht schweigen

Was tun bei Verdacht auf eine Infektion

  • Wer glaubt, von Spyware überwacht zu werden, sollte das Gerät sichern, um mögliche Angriffsspuren zu erhalten, und Access Now kontaktieren
  • Access Now sieht die folgenden Umstände als vernünftige Grundlage für den Verdacht auf eine Spyware-Infektion
    • Frühere Verfolgung durch staatliche Stellen
    • Die betroffene Person oder nahestehende Menschen waren bereits Ziel digitaler Angriffe
    • Warnungen großer Tech-Unternehmen wie Apple, Google oder Meta über mögliche Malware-Angriffe
    • Verdächtige Nachrichten per SMS, Messenger oder E-Mail
    • Feststellung von „unusual login attempts“ im eigenen Konto

1 Kommentare

 
GN⁺ 2023-09-14
Meinungen auf Hacker News
  • Ich frage mich, wie wahrscheinlich es ist, dass NSO derzeit etwa 20 Zero-Days auf Vorrat hat, die sie sofort einsetzen können, sobald Schwachstellen entdeckt und gepatcht werden.
    Weiß Apple, wie gravierend dieses Problem sein könnte, oder hat das Unternehmen zumindest eine Ahnung davon? Egal wie viel Geld NSO für Zero-Days ausgibt: Könnte Apple seine Bug Bounties nicht weit genug erhöhen, um diese Leute auf die legale Seite zu ziehen? Aus dem Artikel geht nicht klar hervor, ob für die Installation eine Nutzeraktion nötig war. Falls nicht: Was sollte jemand tun, bei dem auch nur der geringste Verdacht auf staatlich unterstützte Überwachung besteht? Es scheint sicherer, gar kein Handy zu benutzen oder ständig gebrauchte Geräte zu wechseln.
    • Von den Erklärungen, die ich früher auf HN gesehen habe, scheint dieser Kommentar NSO am besten zu sezieren.
      Pegasus ist nicht ein einzelner Hacking-Akteur, wie es in vielen Artikeln dargestellt wird, sondern ein Bündel von Diensten, die bei Root-Zugriff auf ein Handy Daten herunterladen, plus ein Vorrat an Zero-Days unbekannter Tiefe. Vielleicht gibt es sogar Zeiten, in denen Pegasus stunden-, tage- oder wochenlang nicht funktioniert, bis ein Zero-Day ausgetauscht wird. Aus den geleakten Unterlagen ist bekannt, dass sie eine Mischung aus Zero-Click- und Click-Exploits verwenden und mehrere mobile Betriebssysteme unterstützen.
      Ihre Hacking-Fähigkeiten sind wahrscheinlich stark übertrieben. Für reibungslosen Kundensupport kaufen sie vielleicht alle Zero-Days ein und finden selbst keinen einzigen. Ein Zero-Click-Zero-Day für das iPhone ist rund 2 Millionen US-Dollar wert[1], und eine Firma mit Verträgen wie NSO kann viele davon kaufen. Dass die Medien sie wie Super-Hacker darstellen, ist reine Übertreibung; tatsächlich sind sie eher eine Gruppe korrupter Geschäftsleute, die herausgefunden hat, wie man Staaten Geld abnimmt.
      [1] https://arstechnica.com/information-technology/2019/01/zerod...
    • Ich halte es für ziemlich wahrscheinlich, dass NSO derzeit mehrere Zero-Day-Reserven hat, die sie genau an dem Tag einsetzen können, an dem eine Schwachstelle entdeckt und gepatcht wird.
      Schon ein einzelner Exploit-Entwickler kann pro Jahr mehrere waffenfähige Zero-Days bauen, und sie werden wohl kaum nur einen Entwickler für solche Arbeit beschäftigen; daher ist es sehr wahrscheinlich, dass sie Dutzende Schwachstellen auf Vorrat haben. Einige werden durch Überschneidungen mit öffentlich bekannt gewordenen Schwachstellen wegfallen, aber man sollte davon ausgehen, dass sie nach dem Schließen einer Lücke schon die nächste bereithalten.
      Ob Apple die Prämien erhöhen und sie auf die legale Seite ziehen kann, ist eine gute Frage, aber bei den Preisniveaus von NSO dürfte das schwierig sein. Apple könnte zwar konkurrenzfähige Beträge anbieten, doch Bug-Bounty-Arbeit ist viel riskanter. Wenn man Pech hat, sich die Lücke mit einer bereits gemeldeten überschneidet oder der Vendor sich schwierig anstellt, kann man lange arbeiten und trotzdem kein Geld bekommen. Apple ist in dieser Hinsicht ebenfalls ziemlich berüchtigt.
      Wenn man staatlich unterstützte Überwachung vermutet, ist es zunächst vielleicht besser, mehrere Handys zu verwenden. Statt SMS/MMS sollte man authentifizierte Protokolle nutzen; allein die Tatsache, dass jeder unerwünschte Daten an ein Handy senden kann, ist absurd. Ich würde den Mobilfunkdienst wohl komplett ausschalten, außer wenn ich ausgehende Anrufe an bekannte Kontakte tätige.
    • Im Artikel habe ich Lockdown Mode überhaupt nicht gesehen, obwohl diese Funktion für Nutzer in einer solchen Lage damit beworben wird, die Angriffsfläche zu reduzieren.
      Es überrascht mich, dass Journalisten, die Hochrisiko-Recherchen durchführen, ihn nicht standardmäßig aktiviert haben. Viele solcher Zero-Interaction-Exploits laufen über Schwachstellen wie Image-Decoder, die beim Empfang einer Nachricht ausgeführt werden; mit aktiviertem Lockdown Mode werden sie blockiert. Lockdown Mode deaktiviert auch weitere Funktionen. Ich frage mich, ob schon einmal Beweise für eine Kompromittierung eines Handys mit aktiviertem Lockdown Mode gesehen wurden. Ich meine nicht, dass es unmöglich ist, ich bin nur neugierig.
    • Laurent Richards Buch Pegasus behandelt die Schwierigkeiten der Journalisten, die die geleakte Pegasus-Liste und mehr als 50.000 Zielpersonen an die Öffentlichkeit brachten.
      Selbst wer mit der Zeit zynisch gegenüber Journalismus geworden ist, kann angesichts des Todes und der Angst, die Journalisten aushalten, um Regimen wie Saudi-Arabien oder Marokko entgegenzutreten, nur demütig werden. Pegasus befand sich auch auf den Handys von Jamal Khashoggi und der Person, an die man sich als seine Verlobte erinnert.
    • NSO hat vermutlich etwa 3 bis 10 Zero-Click-Zero-Days in der Hand.
      Selbst wenn NSO seinen gesamten Eigenbestand verbrennt: Die Schwachstellenbroker, die ich kenne, halten Dutzende Bestände im Wert von jeweils mehreren Millionen Dollar bereit. Das ist nicht einmal ein Geheimnis. Broker betreiben legal in den USA gegründete Firmen und verkaufen an Regierungen, Unternehmen sowie an Vendoren wie Microsoft und Apple, die unsichere Produkte herstellen. Apple weiß, dass es Produkte ausliefert, die Dutzende bis Hunderte bekannter kritischer Sicherheitsmängel enthalten.
      Es gibt zwei Gründe, warum Apple nicht alle Zero-Days aufkauft. Erstens kann man Sicherheit nicht mit Geld kaufen. Zweitens ist der Nutzen nicht größer als die Kosten.
      Ernsthafte Sicherheit lässt sich nicht mit Geld lösen. Apple zahlt derzeit 1 Million US-Dollar[1] für eine persistente Zero-Click-Remote-Code-Ausführung und 2 Millionen US-Dollar, wenn dasselbe im Lockdown Mode gelingt. Das entspricht ungefähr dem Preis einer Tomahawk-Marschflugkörperrakete. Da das Finden solcher Sicherheitslücken etwa 1 bis 3 Ingenieurjahre dauert, liegt die Prämie grob auf Höhe der Personalkosten. Würde man 10 Millionen US-Dollar zahlen, also ungefähr den Preis eines M1-Abrams-Panzers, läge der Return on Investment bei dem Zehnfachen, und neue Meldungen würden hereinfluten. Denn es gibt deutlich mehr Schwachstellen, die bei einem Niveau von 10 Millionen US-Dollar auffindbar werden, als solche, die bei einem Niveau von 1 Million US-Dollar entdeckt werden.
      Um Staaten abzuschrecken, müsste man aber mindestens auf das Niveau von 100 Millionen US-Dollar gehen, also den Preis einer F-16. Da es schon im Bereich von einigen Millionen Dollar Dutzende bis Hunderte bekannter Sicherheitslücken gibt, gäbe es im Bereich von 100 Millionen Dollar mit ziemlicher Sicherheit Tausende bis Zehntausende Schwachstellen. Sich durch Aufkaufen gegen staatlich unterstützte Angreifer schützen zu wollen, würde daher, selbst wenn es möglich wäre, Billionen bis Dutzende Billionen Dollar kosten. Mit der Strategie, Systeme wie iOS oder Windows, die nicht für Sicherheit entworfen wurden, nachträglich abzusichern, hat jenseits des Bereichs von einigen Millionen Dollar praktisch niemand Erfolg gehabt.

Was hat Apple davon, Zero-Days aufzukaufen? Selbst wenn Tausende Sicherheitslücken gemeldet werden, kaufen die Leute weiter iPhones. Apple muss nur neues Marketing wie den Lockdown Mode erfinden, und alle fühlen sich sicher. Wenn ein Unternehmen, das bisher nur Produkte gebaut hat, die nicht einmal ein Hundertstel des Niveaus erreichen, das staatlich unterstützte Angreifer brauchen, mit dem Werbespruch kommt: „Diesmal schaffen wir es wirklich“, nehmen die Leute das hin. Dass Apple seiner eigenen Werbung selbst nicht glaubt, zeigt sich daran, dass das Kopfgeld für den Lockdown Mode auf 2 Millionen Dollar festgesetzt wurde – doppelt so viel wie die 1 Million Dollar für normales iOS. Das ist immer noch ein Fünftel des Preises eines Panzers. Wird ein staatlich unterstützter Angreifer vor dem Preis eines Teils eines Panzers zurückschrecken? Eine McDonald’s-Filiale zu eröffnen kostet mehr. Unternehmen wie Apple, Microsoft, Amazon, Google, Cisco und Crowdstrike müssen nur lügen, und seltsamerweise glauben die Leute es ihnen auch beim tausendsten Mal noch, sodass der Umsatz geschützt bleibt
Kommerzielle IT-Systeme sind selbst gegenüber Angreifern mit mittlerer Finanzierung nicht vollständig sicher. Wenn es eine Operation gibt, die mehr als 1 Million Dollar wert ist, oder wenn das Risiko eines gezielten Angriffs besteht, sollte man jedes System, egal wie viele davon eingesetzt werden, als zu 100 % verwundbar betrachten. Wenn das nicht akzeptabel ist, sollte man keine standardmäßigen kommerziellen IT-Systeme mit Konnektivität verwenden. Bedauerlich, aber derzeit ist das die einzige funktionierende Lösung. Ob man diesen Kompromiss eingeht, muss jeder selbst entscheiden
[1] https://security.apple.com/bounty/categories/

  • Irgendwann in naher Zukunft wird im Titel „Handy“ durch Auto ersetzt werden, und die Folgen werden tragischer sein.
    Ich frage mich, wie viel ein Tesla-Zero-Day kosten würde.

    • Wahrscheinlich weniger wert als einer fürs Handy.
      Menschen tragen ihr Handy wie eine Erweiterung ihrer selbst mit sich herum, aber ein Auto ist ein Mittel, das einen von Punkt A nach Punkt B bringt.
      Und die meisten modernen Autos haben ein Secure Gateway[1], das kaum mit dem Internet verbunden ist und verbundenen Systemen nur eingeschränkten Netzwerkzugriff auf den Rest des Fahrzeugs wie Motor, Antriebsstrang und Bremsen gibt. Deshalb halte ich groß angelegte Remote-Angriffe für eher unwahrscheinlich.
      [1] https://blackberry.qnx.com/en/ultimate-guides/software-defin...
    • Ist bereits passiert: https://www.youtube.com/watch?v=MK0SrxBC1xs
  • Ist die Bedeutung aus der griechischen Mythologie nicht interessant? Pegasus wurde aus dem Blut der Medusa geboren.

    • Ich dachte ursprünglich, „Meduza“ komme vom russischen /meduza/, also Qualle, aber tatsächlich war damit die Medusa aus der griechischen Mythologie gemeint (1).
      Auf die Frage „Warum ausgerechnet Meduza? Ist das nicht ein glitschiges und unangenehmes Wesen?“ antwortete der Journalist, Journalisten seien im Allgemeinen unangenehm, glitschig und kaum jemand möge sie, und genau das sei der Kern der Arbeit. Außerdem passe zu Journalisten, dass Medusa ihr Gegenüber mit einem Blick zu Stein erstarren lässt. Ehrlich gesagt sei der Name aber zufällig gewählt worden. Man wollte den Namen eines enthaupteten, aber wieder auferstandenen Monsters aus dem antiken Griechenland verwenden, entschied sich für „Meduza“ und erinnerte sich danach, dass das eigentlich Hydra war – aber da war es schon zu spät.
      1: https://meduza.io/cards/zaday-vopros-meduze, #75
  • Ich frage mich, wie Apple entscheidet, wen es informiert und wen nicht, wenn es Malware wie Pegasus erkennt.
    Es war gut, diese Person zu benachrichtigen.
    Aber was, wenn die Person deutlich weniger bekannt gewesen wäre? Zum Beispiel ein normaler Mensch in einem demokratischen Land? Weiß Apple, wer sie ins Visier genommen hat? Falls ja, gibt es dann Kriterien wie „wenn es China oder Russland ist, benachrichtigen wir“? Und wenn ja, was passiert, wenn China oder Russland einen bezahlten Mittelsmann in einem demokratischen Land dafür einsetzen, genau dasselbe zu tun?
    Das wirft zu viele Fragen auf. Und wenn Apple solche Malware erkennen kann, warum gibt es dann nicht sofort eine Benachrichtigung in einer lokalen App? So etwas wie ein Antivirus fürs Handy. Das müsste es doch eigentlich schon geben; falls nicht, wie haben sie es dann erfahren?

    • Ich weiß nicht, wie es tatsächlich funktioniert, aber direkt auf dem Gerät wäre es vermutlich zu teuer.
      Wahrscheinlich erhalten sie Informationen wie Accounts, von denen bekannt ist, dass sie bösartige Nachrichten verschickt haben, und durchsuchen dann Server-Logs, um zu sehen, wen sie erreicht haben.
  • Ich frage mich, welche praktischen Maßnahmen Journalisten oder Aktivisten ergreifen können, die glauben, Ziel solcher Leute zu sein.
    Man könnte für jede App ein anderes Gerät verwenden, also etwa je eines für WhatsApp, Telegram und Signal. Man kann auch Web-Frontends nutzen und das Handy ausgeschaltet lassen, wobei ich nicht weiß, ob das bei allen Apps funktioniert. Man könnte Geräte regelmäßig entsorgen, gebraucht verkaufen und ein neues oder gebrauchtes Telefon kaufen. Man sollte das Gerät nur verwenden, um Treffen in sichereren Umgebungen zu verabreden, nicht ins Telefon sprechen oder Nachrichten schreiben und immer davon ausgehen, dass es kompromittiert ist.
    Und nicht NGOs sollten sanktioniert werden, sondern NSO. Das sind Abschaum.

    • Dann bliebe vermutlich nicht mehr viel Zeit für echte journalistische Arbeit.
      Auch der Platz, um die zusätzlichen Geräte mit sich herumzutragen, dürfte knapp werden. Beim Grenzübertritt all diese Handys der Grenzkontrolle oder dem Zoll zu erklären, dürfte ziemlich interessant werden.
    • Unter iOS reicht es, Lockdown Mode einzuschalten.
      Er wurde genau dafür entwickelt, solche Angriffe zu verhindern, und es wurde bestätigt, dass auch dieser Angriff gescheitert wäre, wenn Lockdown Mode aktiviert gewesen wäre.
      Wenn man noch sicherer gehen will, schaltet man iMessage aus und nutzt iCloud überhaupt nicht.
    • So etwas wirkt auch nicht schlecht als Open-Source-Projekt.
      Ähnlich wie GrapheneOS würde man die Angriffsfläche weiter reduzieren, aber auch die Kompromisse rund um App-Installation und Google-Dienste vollständig entfernen.
      Im Grunde ein Handy, das nur verschlüsselte Nachrichten sowie Zugriff auf Kamera und Mikrofon unter sehr kontrollierten Bedingungen erlaubt – mehr nicht.
      Wenn die Einschränkungen groß sind, bleibt auch die Beliebtheit begrenzt, sodass es sich als Ziel kaum lohnt; den wenigen, die wirklich Schutz brauchen, könnte es dafür stärkeren Schutz bieten, für den sie solche Opfer in Kauf nehmen.
    • Wahrscheinlich gibt es auch Möglichkeiten, Infektionen schnell zu erkennen: indem man den gesamten Netzwerk-Traffic kontinuierlich beobachtet.
      Wenn alle Nachrichten abgegriffen und häufig Screenshots gemacht werden, dürfte es ziemlich schwer sein, den ausgehenden Traffic zu verstecken. Verschlüsseln kann man ihn, aber die Datenmenge lässt sich schwer verbergen.
      Noch einfacher ist es, wenn man das Handy von Anfang an auf eine Minimalkonfiguration beschränkt, weil es dann weniger Apps gibt, die Traffic nach außen erzeugen.
  • Ivan Kolpakovs Aussage, er sei „wirklich schockiert, dass ernsthaft diskutiert wird, ein europäischer Staat könnte das getan haben“, wirkt auf mich weniger naiv; das eigentliche Problem ist eher, dass er vor diesem Vorfall nicht untersucht hatte, was europäische Staaten in solchen Kontexten tatsächlich tun.
    Hätte er das vorher untersucht, wäre er nicht schockiert gewesen, sondern besorgt.
    Eine andere Möglichkeit ist, dass dieser „Schock“ ein Schock im Stil des Films Casablanca ist.
    Rick: Mit welcher Begründung können Sie mich schließen?
    Captain Renault: Ich bin schockiert, schockiert, dass hier Glücksspiel stattfindet!
    [Ein Croupier überreicht Renault ein Bündel Geld]
    Croupier: Ihr Gewinn, Sir.
    Captain Renault: Oh, vielen Dank.

  • Ich frage mich, ob es etwas gibt, das Pegasus daran hindert, sich selbst zu verbreiten, oder ob es zwingend durch einen gezielten Angriff installiert werden muss.
    Gibt es auch eine Möglichkeit, per Scan zu prüfen, ob man infiziert ist?

    • Es gibt keinen technischen Grund, der Pegasus daran hindern würde, sich selbst zu verbreiten.
      Einige der Schwachstellen, die damit in Verbindung gebracht werden, könnten möglicherweise wormable sein. In der Praxis haben die Betreiber von Malware wie Pegasus jedoch handfeste Gründe, eine unkontrollierte Ausbreitung zu vermeiden. Unentdeckte und ungepatchte Schwachstellen müssen weiter verborgen bleiben; unbegrenzte Verbreitung erhöht die Wahrscheinlichkeit von Entdeckung und Analyse stark und würde damit die „Gans, die goldene Eier legt“, schlachten.
      Daher ist zumindest derzeit davon auszugehen, dass jede Pegasus-Installation das Ergebnis eines gezielten Angriffs ist. Wenn das Tool dagegen geleakt würde und für mehrere Akteure leicht nutzbar wäre, würden sich die Anreize ändern, und einer von ihnen könnte einen Wurm bauen, der weltweit ungepatchte Geräte infiziert.
    • Pegasus hat keinen Code zur Selbstverbreitung eingebaut.
      Solchen Code zu schreiben wäre vergleichsweise einfach: Man schickt den Exploit per iMessage an alle Kontakte des Ziels und wiederholt das Ganze.
      Aber das wäre kontraproduktiv. Der zentrale Verkaufsaspekt von Pegasus ist gezielte Überwachung, und solche Exploits sind extrem teuer. Unkontrollierte Ausbreitung würde schneller entdeckt und wertvolle Ressourcen verbrennen.
      Wenn solche Exploits billig wären, ließe sich vielleicht eine Variante rechtfertigen, die automatisch das gesamte Adressbuch des Ziels angreift, um dessen soziales Netzwerk auszuwerten. Danach hätte man aber das Problem, riesige Mengen größtenteils nutzloser Daten analysieren zu müssen.
    • Das Geschäftsmodell von NSO scheint auf extremer Exklusivität und einer sehr kleinen Zahl von Unternehmenskunden zu beruhen.
      Technisch könnte Pegasus sich zwar selbst erneut versenden und andere Geräte infizieren, aber das passt nicht zum Geschäftsmodell, daher glaube ich nicht, dass NSO so etwas regelmäßig tun würde.
    • Soweit ich früher gelesen habe, kann Pegasus sich nicht selbst verbreiten und muss durch einen gezielten Angriff installiert werden.
      Amnesty International hat bzw. hatte auch ein Tool, mit dem sich das erkennen lässt: https://github.com/mvt-project/mvt
      Allerdings ist das ein Wettrennen, daher sind frühere Informationen möglicherweise nicht mehr gültig. Trotzdem glaube ich, dass sie auch künftig eher keine Selbstverbreitungsfunktion einbauen werden, weil für die Infektion sehr teure Zero-Days verwendet werden, die nach Entdeckung schnell gepatcht würden.
    • Soweit ich weiß, ist die Telefonnummer der Einstiegspunkt.
      Das ist der einfachste und schnellste Weg, jemanden ins Visier zu nehmen. Alles andere würde den Prozess der Zielidentifikation komplizierter machen. Daher könnte man sich theoretisch ausreichend schützen, wenn man zusätzlich zum Lockdown Mode keine Nummer auf dem Telefon aktiviert und allgemeine Sicherheitsvorkehrungen beachtet. Letztlich ist die Antwort, kein Smartphone zu benutzen.
  • Ich frage mich, ob das betreffende Telefon im Lockdown Mode war.
    Weiß jemand, wie effektiv der Lockdown Mode dabei ist, die meisten solcher Zero-Days zu blockieren?

    • Das Telefon war nicht im Lockdown Mode. Denn wenn er aktiviert gewesen wäre, hätte er den Angriff blockiert.
      https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
      „Wir glauben, wie auch Apples Security Engineering and Architecture Team bestätigt hat, dass der Lockdown Mode diesen konkreten Angriff blockiert.“
      https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
      „Über einen kurzen Zeitraum hinweg erhielten Ziele, die die Lockdown-Mode-Funktion von iOS 16 aktiviert hatten, Echtzeitwarnungen, wenn auf ihrem Gerät ein PWNYOURHOME-Exploit-Versuch erfolgte. Die NSO Group könnte später eine Methode entwickelt haben, diese Echtzeitwarnung zu umgehen, wir haben jedoch keinen Fall gesehen, in dem PWNYOURHOME erfolgreich gegen ein Gerät mit aktiviertem Lockdown Mode eingesetzt wurde.“
  • Könnte man solche Angriffe nicht mit einem persönlichen Deep Packet Inspector auf Router-Ebene oder einem einfachen Packet-Capture-Tool erkennen?
    Eine weitere einfache Lösung könnte ein selbstgebauter tragbarer Router mit integrierter Deep Packet Inspection oder Netzwerkanalyse sein.