Spionprogram och zero day-marknaden

Under det gångna året har det släppts flera kritiska säkerhetsuppdateringarna till iOS och macOS. Några av de sårbarheter som säkerhetsuppdateringarna ämnat att täppa till är förknippade med den skadliga koden (spyware) Pegasus. Produkten Pegasus är en programsvit som säljs av det israeliska cybersäkerhetsföretaget NSO Group till flera nationer och brottsbekämpande myndigheter världen över och har involverat flera olika sårbarheter under åren.

Det denna veckas blogg kommer belysa är riskerna förknippade med att en sådan här tjänst existerar på marknaden. Pegasus och NSO Group kommer användas som exempel på hur dessa tjänster har använts och syftet med blogginlägget är inte att peka ut specifika företag utan är avsett att belysa riskerna som liknande företag och programsviter utgör och varför ett behov av reglering är nödvändigt.

Bakgrund

NSO Group startades 2010 av tre ex-medlemmar av Unit 8200 vilket är Israels motsvarighet till NSA. Bokstäverna NSO kommer från företagets grundare (Niv, Shalev och Omri). Företaget har specialiserat sig på att utveckla avlyssningsprogramvara (spyware) för mobiltelefoner genom att utnyttja sårbarheter i applikationer och telefoner. Den produkt som framförallt är förknippad med NSO är Pegasus. Mjukvarans utförsel ur Israel kräver ett exporttillstånd från den israeliska försvarsmakten då det klassas som ett vapen [10].

Pegasus upptäcktes av Citizen Lab i augusti 2016 men flera indikatorer i koden tyder på att Pegasus använts sedan 2013. Flertalet nyhetsartiklar har rapporterat att programsviten är äldre än så, källor har rapporterar att Förenade Arabemiraten har använt Pegasus sedan 2013 samt att Panama använt produkten sedan 2012.

Pegasus kan installeras på flera olika operativsystem och är inte en enskild sårbarhet utan en programsvit som utnyttjar flera olika sårbarheter i det operativsystem som angrips. Infektionsvektorer inkluderar bland annat att klicka på länkar samt så kallade zero-click sårbarheter som inte kräver interaktion från användaren.

Efter att programsviten har installerats på ett offers enhet kan Pegasus användas för att exekvera godtycklig kod, extrahera information så som webbhistorik, meddelanden och foton samt inhämta information från kommunikationsapplikationer som exempelvis Gmail, Viber, Facebook, WhatsApp och Skype.

Det finns flera exempel på företag utöver NSO Group som levererar denna typ av produkt till länder världen över. Nedan listas ytterligare två företag som utvecklar och säljer liknande tjänster:

• Hacking Team (nuvarande Memento Labs): Sålde och utvecklade i huvudsak två plattformar, Da Vinci och Galileo som bland annat kunde samla in mail och SMS, spela in samtal, aktivera mikrofon eller webbkamera, infektera ett offers dator UEFI BIOS med ett rootkit och extrahera WiFi-lösenord.
• Lench IT Solutions PLC: Marknadsför en produkt kallat FinFisher som bland annat kan ta kontroll över offers datorer.

Användning av Pegasus

NSO deklarerar att Pegasus är avsett för att upptäcka och stoppa terrorister och brott. Men det finns exempel då kunder till NSO har använt Pegasus för att förtrycka opposition, människorättsaktivister eller journalister. NSO påstår att de blockerar och stänger av organisationer eller nationer som missbrukar programvaran men rapporter tyder på att så är oftast inte fallet och NSO säger sig själva inte ha insyn i vad deras kunder gör.

Kända fall kopplade till användningen av Pegasus är:

• Mexiko, där Pegasus har använts mot journalister av regeringstjänstemän med kopplingar till drogkarteller [3]. I Mexiko användes Pegasus även för att lokalisera ”El Chapo”[2].
• Saudiarabien, mördades en journalist (Jamal Khashoggi) till följd av avlyssning genom Pegasus [4].
• Förenade Arabemiraten, premiärministern Shejk Mohammed bin Rashid al-Maktoum gav instruktioner att spionera på prinsessan Haya bint al-Hussein med Pegasus till följd av en påstådd vårdnadstvist [5]

Dilemma

Utöver företag som utvecklar programvara för att utnyttja sårbarheter för marknadsföring mot brottsbekämpande myndigheter och nationer finns det en öppen marknad för att sälja och köpa sårbarheter. Generellt inom sårbarhetsforskning tillämpas ansvarsfull rapportering av sårbarheter till de berörda företagen. Det innebär att säkerhetsforskare som upptäckt en sårbarhet rapporterar sårbarheten till det berörda företaget som då får en tidsfrist för att åtgärda sårbarheten innan säkerhetsforskaren får skriva en artikel om fyndet samt ersättning för sitt arbete.

På den öppna marknaden (exempelvis Zerodium) säljer säkerhetsforskare istället sitt fynd till Zerodium som säljer det till högsta budgivare. Det innebär att den upptäckta sårbarheten kan köpas av underrättelsemyndigheter, företag liknande NSO Group eller till det berörda mjukvaruföretaget där sårbarheten upptäcktes. Säljs en sårbarhet till ett företag som utvecklar övervakningsprogram, kan företaget paketera in sårbarheten i egna programsviter och sälja till andra nationer och brottsbekämpande myndigheter. Det är en lukrativ marknad att sälja denna typ av mjukvara, enligt [9] så kostar exempelvis Pegasus $500 00 att installera och $650 000 att ta sig in i 10 enheter samt som det tillkommer en underhållskostnad på 17% av den årliga totala kostnaden.

Det finns såklart en stor efterfrågan av denna typ av produkter där det är möjligt att kunna få GPS-positioner samt avlyssna personer, framförallt inom brottsbekämpande myndigheter. Det möjliggör för poliser att kunna hitta och avlyssna kriminella och på så sätt vara mer proaktiva i brottsbekämpningen. Genom Pegasus kunde exempelvis ”El Chapo”, Sinaloa-kartellens ledare, lokaliseras. Det finns även andra exempel där rättskipande myndigheter har utnyttjat sårbarheter i protokoll för att kunna avlyssna kriminellas kommunikation, bland annat FBI:s falska krypteringsapplikation An0m och Encrochat.

Det som försvårar hela situationen är att mjukvaruföretag inte betalar tillräckligt med pengar till säkerhetsforskare eller till och med stämmer dem vid upptäckt av nya sårbarheter [7]. Detta gör att säkerhetsforskare går till marknader så som Zerodium för att sälja sina upptäckta sårbarheter för att få betalt för sin forskning. För att minska skadan som den här typen av produkter kan åsamka behöver mjukvaruföretag öka sin utbetalning till säkerhetsforskare samt instifta ”bug bounty” program som tillåter säkerhetsforskare att ansvarsfullt rapportera funna sårbarheter.

Denna typ av mjukvaror är att betrakta som vapen och då det inte finns internationell lagstiftning/reglering som reglerar denna typ av mjukvaror måste vi förlita oss på den etiska och moraliska kompassen av de företag som säljer dessa produkter. Detta ska ställas i förhållande till att de länder som köper dessa produkter kan ha en annan uppfattning av vilka som är illvilliga aktörer än det som beskrivs i den allmänna förklaringen om de mänskliga rättigheter, exempelvis människorättsaktivister och journalister.   

Slutsats

Trots att dessa programvaror i många fall används för ett gott syfte finns det en risk att dessa programvaror missbrukas. Företag kan inte tillåtas sälja sådana här produkter utan tillsyn från internationella organ och lagstiftning måste tillkomma kring användandet/försäljning av dessa produkter. De ska betraktas som vapen och därför hanteras som sådana och hamna under samma lagstiftning och hårda reglering. Vidare behöver mjukvaruföretag erbjuda högre ersättningar till säkerhetsforskare och instifta ett ”bug bounty” program som ger säkerhetsforskare möjligheten att rapportera in funna sårbarheter.

Referenser och vidare läsning

[1] – https://www.nsogroup.com/about-us/

[2] – https://www.ynetnews.com/articles/0,7340,L-5444330,00.html

[3] – https://thewire.in/world/the-pegasus-project-has-exposed-the-magnitude-of-mexicos-surveillance-problem

[4] – https://www.theguardian.com/world/2021/jul/18/nso-spyware-used-to-target-family-of-jamal-khashoggi-leaked-data-shows-saudis-pegasus

[5] – https://www.reuters.com/world/middle-east/dubais-sheikh-mohammed-ordered-phones-ex-wife-lawyers-be-hacked-uk-court-says-2021-10-06/

[6] – https://www.nyteknik.se/sakerhet/hundratals-gripna-efter-att-fbi-skapat-falsk-krypteringsapp-7016280

[7] – https://www.zdnet.com/article/chilling-effect-lawsuits-threaten-security-research-need-it-most/

[8] – https://www.business-humanrights.org/en/latest-news/nso-group-lawsuit-re-hacking-whatsapp-users/

[9] – https://www.nytimes.com/2016/09/03/technology/nso-group-how-spy-tech-firms-let-governments-see-everything-on-a-smartphone.html [10] – https://www.theguardian.com/news/2021/jul/22/israel-examine-spyware-export-rules-should-be-tightened-nso-group-pegasus