Meduza की सह-संस्थापक का फोन Pegasus से संक्रमित
(meduza.io)- Meduza की सह-संस्थापक और प्रकाशक Galina Timchenko का iPhone 10 फ़रवरी 2023 को Pegasus से संक्रमित हुआ, और यह रूसी पत्रकार को निशाना बनाए जाने का पहला पुष्ट मामला बना
- Access Now और Citizen Lab के विश्लेषण के अनुसार, हमलावर माइक्रोफोन, कैमरा, मेमोरी, फ़ोटो, कैलेंडर, पते और encrypted messenger conversations तक देख सकता था; संक्रमण संभवतः HomeKit·iMessage के जरिए PWNYOURHOME vulnerability से जुड़ा था
- संक्रमण के अगले दिन Timchenko ने Berlin में निर्वासित रूसी स्वतंत्र मीडिया से जुड़े लोगों के साथ एक बंद सेमिनार में हिस्सा लिया, और उस समय उनका फोन listening device की तरह इस्तेमाल किया जा सकता था
- NSO Group का कहना है कि वह Pegasus को अपराध और आतंकवाद से निपटने के उद्देश्य से केवल सरकारी ग्राहकों को बेचता है, लेकिन Access Now और Citizen Lab ने Latvia, Estonia, Germany आदि यूरोपीय देशों में इसके इस्तेमाल के संदेह और सीमाओं के बाहर निगरानी की संभावना को मुद्दा बताया
- हमले के पीछे कौन था और उद्देश्य क्या था, यह तय नहीं हो पाया; Timchenko का मामला यूरोप में पत्रकारों को राष्ट्रीय सुरक्षा खतरे की तरह देखने की प्रवृत्ति और commercial spyware regulation में खालीपन को उजागर करता है
Apple threat alert से संक्रमण की पुष्टि तक
- 22 जून 2023 को Galina Timchenko को Apple से state-sponsored attackers से जुड़ा threat alert मिला और उन्होंने इसे Meduza की tech टीम को भेजा
- Apple की threat notifications ऐसी alerts हैं जो तब भेजी जाती हैं जब कोई user “कौन है या क्या करता है” इस वजह से व्यक्तिगत रूप से निशाना बनाया गया हो
- Apple बताता है कि state-sponsored attacks बेहद जटिल होते हैं, इनके विकास में लाखों डॉलर लगते हैं, और अक्सर इनकी उम्र कम होती है
- Timchenko को आए alert में संबंधित देश का नाम नहीं बताया गया
- Meduza के tech head ने बाहरी सहायता मांगी
- Access Now एक non-profit organization है जो दुनिया भर के users के digital civil rights और security practices का समर्थन करती है
- Citizen Lab University of Toronto की research lab है, जो civil society को निशाना बनाने वाली digital espionage activities की जांच करती है
- Access Now और Citizen Lab ने Timchenko के device data को collect कर fast जांच की, और पुष्टि की कि iPhone 10 फ़रवरी 2023 को Pegasus से संक्रमित हुआ था
Pegasus को मिली access permissions
- Pegasus संक्रमण ने हमलावर को Timchenko के iPhone पर पूरी access दे दी
- माइक्रोफोन, कैमरा और मेमोरी तक access संभव
- घर का पता, calendar, photos और encrypted messenger conversations देखना संभव
- screen को सीधे देखते हुए message लिखे जाने के समय ही पढ़ना संभव
- emails, text messages, images और files download करना संभव
- user के लिए infection रोकना या उसे notice करना मुश्किल होता है
- Pegasus, Apple द्वारा default-installed apps समेत सिर्फ एक vulnerable application होने पर भी device hack कर सकता है
- infected device को user द्वारा पहचानना भी आसान नहीं होता
- Timchenko ने देखा था कि iPhone सामान्य से ज्यादा गर्म हुआ था, लेकिन उन्होंने सोचा कि यह नए charger की वजह से है
- Citizen Lab के अनुसार हमलावर ने संभवतः HomeKit और iMessage के जरिए घुसपैठ की
- researchers को Pegasus के unique digital traces मिले
- इस्तेमाल की गई vulnerability PWNYOURHOME लगती है, जो iPhone में built-in HomeKit feature को निशाना बनाती है और spyware install करने के लिए iMessage का दुरुपयोग करती है
- John Scott-Railton ने कहा कि यह हमला उन devices पर भी संभव है जहां HomeKit enabled नहीं है
Berlin की बंद meeting और infection timing
- infection की तारीख 10 फ़रवरी 2023, Timchenko के Berlin में बंद meeting में शामिल होने से एक दिन पहले थी
- 11 फ़रवरी को Timchenko और Meduza editor-in-chief Ivan Kolpakov ने निर्वासन में रह रहे रूसी independent media representatives के साथ Berlin में एक closed seminar में हिस्सा लिया
- seminar का आयोजन Redkollegia journalism award committee ने किया था
- media managers और lawyers ने Russia की पूर्ण censorship और journalists व activists पर repression के बीच Russia-related काम चलाने से जुड़े legal issues पर चर्चा की
- दो सप्ताह पहले Russia के Prosecutor General ने Meduza को “undesirable organization” घोषित कर उसकी reporting को illegal बना दिया था
- Timchenko के meeting में शामिल होने तक Pegasus पहले से चल रहा था
- हमलावर फोन के microphone को remotely on कर आसपास की बातचीत record कर सकता था
- camera भी इसी तरह on किया जा सकता था
- Access Now की Natalia Krapiva के अनुसार Timchenko का फोन रूसी पत्रकारों की plans सुनने के लिए listening device की तरह इस्तेमाल हुआ हो सकता था
रूसी पत्रकार को निशाना बनाने का पहला पुष्ट मामला
- Timchenko का मामला रूसी journalist के खिलाफ Pegasus इस्तेमाल का पहला पुष्ट मामला है
- Access Now ने रूस से आए करीब 20 journalists और activists के phones की जांच की और कई malware पाए, लेकिन पहले Pegasus की पुष्टि नहीं हुई थी
- Citizen Lab के John Scott-Railton ने समझाया कि ऐसा spyware log files छिपा सकता है और अपने traces मिटा सकता है, इसलिए infection identify करना कठिन है
- Citizen Lab और Lookout Security ने 2016 में पहली बार Pegasus के अस्तित्व के traces सार्वजनिक किए
- उस समय की report में कहा गया कि NSO Group का “remote monitoring solution” UAE के human rights activist Ahmed Mansoor की surveillance में इस्तेमाल हुआ था
- Citizen Lab Pegasus operations के लिए जरूरी servers और infected devices से collect की गई information पहुंचने वाले servers को track करता है
- Access Now ने समझाया कि Pegasus किसी simple product से ज्यादा service जैसा है, और NSO Group client countries को operational training देता है
NSO Group और Pegasus की लागत व बिक्री संरचना
- NSO Group दावा करता है कि Pegasus को “terrorists, criminals, child sex offenders” की surveillance के लिए ही design किया गया है
- कंपनी Pegasus को केवल state customers को बेचती है
- co-founders में Israeli military intelligence agency और Mossad से जुड़े लोग शामिल हैं
- NSO Group सख्त human rights policy का दावा करता है, लेकिन कई governments ने critics और political opponents को निशाना बनाने में Pegasus का इस्तेमाल किया है
- Citizen Lab के John Scott-Railton के अनुसार Pegasus access की cost “tens of millions of dollars, or more” है
- Mexico government ने Pegasus technology पर कम से कम 61 million dollars खर्च किए
- Mexico ने इसका इस्तेमाल criminals और civil society figures, दोनों की निगरानी में किया
- Access Now की Natalia Krapiva के अनुसार NSO Group contracts एक निश्चित संख्या की simultaneous infections की अनुमति देने वाले model पर होते हैं
- उदाहरण के लिए, 20-person infection package का मतलब है कि एक समय में 20 लोगों की निगरानी की जा सकती है
- Biden administration ने November 2021 में NSO Group को US technology प्राप्त न कर सकने वाली federal blacklist में डाल दिया
- यह कदम Pegasus Project consortium द्वारा spyware के व्यापक दुरुपयोग का खुलासा करने के कुछ महीने बाद उठाया गया
Russia, Kazakhstan, Azerbaijan की संभावना
- माना जाता है कि NSO Group Pegasus को US या Russian phone numbers के खिलाफ इस्तेमाल होने से रोकता है
- 2020 में Pegasus designers ने कहा था कि संक्रमित phone physically US के अंदर स्थित नहीं हो सकता, और US border के अंदर प्रवेश करते ही software self-destruct करने के लिए बना है
- 2019 में जब Estonia ने Pegasus access खरीदा, तब बताया गया कि NSO Group ने Russian targets पर इसके इस्तेमाल पर रोक लगाई थी
- NSO Group दावा करता रहा है कि Russia और China ऐसे देश हैं जो “कभी customer नहीं बन सकते”
- कंपनी कहती है कि वह संभावित customers के human rights, corruption, safety, financial और abuse history की समीक्षा करती है
- जनवरी 2023 में CEO Yaron Shohat ने कहा कि वह US और Israel के allied governments को supply करने वाले core business पर केंद्रित है
- Andrey Soldatov के अनुसार Russian intelligence agencies global spy technology market में buyer नहीं बल्कि seller हैं, और foreign spyware को लेकर बेहद paranoid हैं
- Pegasus से चुराया गया data NSO Group ecosystem के servers पर भेजा जाता है, यह भी Russian agencies के लिए बोझ हो सकता है
- Russia की FSB ने Meduza के Pegasus-related सवालों का जवाब नहीं दिया
- Access Now ने एक temporary theory के रूप में Kazakhstan या Azerbaijan द्वारा Moscow के अनुरोध पर हमला किए जाने की संभावना पर विचार किया
- दोनों देशों को Pegasus customers माना जाता है
- Uzbekistan को उस अवधि में Pegasus customer नहीं माना जाता
- हालांकि researchers की जानकारी के अनुसार Kazakhstan और Azerbaijan ने Europe में Pegasus attacks नहीं किए हैं, और infection के समय Timchenko Germany में थीं
- Citizen Lab ने Kazakhstan द्वारा सीमा के बाहर Pegasus इस्तेमाल करने का evidence नहीं देखा
- Azerbaijan विदेश में Pegasus इस्तेमाल करता है, लेकिन researchers ने जिस देश का record किया है वह केवल Armenia है
Latvia, Estonia, Germany पर Pegasus के संदेह
- Timchenko के infected iPhone में Latvian SIM card था
- Citizen Lab ने 2018 में Latvia में Pegasus-related activity पहली बार दर्ज की, और experts मानते हैं कि Riga अब भी NSO Group products इस्तेमाल करता है
- Access Now Latvia की intelligence agency द्वारा हमला किए जाने की संभावना को भी खारिज नहीं करता
- infection से दो महीने पहले Latvia ने एक और निर्वासित Russian media outlet TV Rain को “national security and public order के लिए threat” मानते हुए उसका local broadcasting license रद्द कर दिया था
- हालांकि Citizen Lab ने Riga द्वारा Latvia के बाहर targets पर Pegasus से attack करने का कोई case observe नहीं किया, और Timchenko Berlin में थीं जब infection हुआ
- Latvia State Security Service ने जवाब दिया कि उसके पास Timchenko smartphone attack की संभावना से जुड़ी information नहीं है
- Pegasus इस्तेमाल, overseas target surveillance आदि अन्य सवालों पर उसने operational information की confidentiality का हवाला देते हुए जवाब नहीं दिया
- Estonia ने 2019 में Pegasus access खरीदा था, इसकी पुष्टि हो चुकी है, और Citizen Lab भी इसे support करता है
- Scott-Railton ने कहा कि उन्होंने Estonia को Germany सहित कई EU countries में cross-border targets infect करते हुए track किया
- Germany की Federal Criminal Police Office ने 2019 में Pegasus access हासिल की और 2021 में ही खरीद को स्वीकार किया
- बताया जाता है कि Germany misuse रोकने के लिए कुछ features blocked वाला version इस्तेमाल करता है, लेकिन actual working method नहीं समझाता
- Krapiva ने कहा कि European Data Protection Supervisor की report Pegasus के मूल रूप ही नहीं, बल्कि Pegasus के किसी भी रूप को EU law के साथ fundamentally incompatible मानती है
Europe में commercial spyware की समस्या
- Scott-Railton के अनुसार Timchenko का Berlin infection दिखाता है कि Europe की Pegasus problem solve नहीं हुई है
- Germany ने commercial spyware के फैलाव और misuse से निपटने के लिए joint statement पर sign नहीं किया
- उस statement पर Denmark, France, Sweden सहित 11 countries ने sign किया
- Access Now ने बताया कि Russian anti-war emigration के नए centers बने Latvia, Estonia, Germany, Netherlands—ये चारों EU member states Pegasus users होने के संदेह में हैं
- EU PEGA Committee ने कहा कि EU के भीतर Pegasus users के रूप में कम से कम 14 member states और 22 operators हैं
- NSO Group के केवल Hungary और Poland contracts समाप्त हुए हैं
- Access Now Timchenko attack को पिछले एक साल में Europe में हुए ऐसे कम से कम चौथे case के रूप में देखता है
- Meduza को अन्य incidents के details पता हैं, लेकिन victims public disclosure नहीं चाहते
- Krapiva के अनुसार Europe में journalists को threat की तरह treat करने की tendency EU law में भी दिखने लगी है
- उन्होंने warning दी कि European Media Freedom Act के कुछ wording France और Sweden आदि के नेतृत्व में कमजोर किए जाने से national security के आधार पर journalist surveillance को justify किया जा सकता है
NSO Group की प्रतिक्रिया और accountability का सवाल
- NSO Group ने इस पर जवाब नहीं दिया कि उसे Timchenko attack के बारे में पता था या कौन-सा customer intrusion कर सकता था
- company spokesperson ने कहा कि Pegasus केवल US और Israel के allies, खासकर Western European countries को बेचा जाता है, और उद्देश्य crime और terrorism से निपटना है
- NSO Group ने जोर दिया कि वह abuse के सभी credible allegations की जांच करता है, लेकिन यह नहीं बताया कि Timchenko case पर internal investigation करने को तैयार है या नहीं
- The New York Times ने जनवरी 2022 में report किया कि Pegasus system complaint आने पर सभी attacks को record करता है, और customer permission हो तो NSO post-fact forensic analysis कर सकता है
- जुलाई 2022 में NSO Group के legal और compliance head ने European Parliament committee में कहा कि internal investigations के चलते 8 contracts समाप्त किए गए
- Access Now की Krapiva ने कहा कि सैकड़ों victims के बाद उनका निष्कर्ष है कि NSO की internal review process या तो मौजूद नहीं है या दिखावे के लिए है
Timchenko और Meduza की मौजूदा स्थिति
- intrusion के बाद Timchenko ने नया phone खरीदा, और संक्रमित हुआ iPhone भी साथ रखती हैं
- Citizen Lab ने पुष्टि की कि उस device पर Pegasus अब installed नहीं है
- Timchenko ने कहा कि उन्होंने उस device को souvenir की तरह रखने का फैसला किया है
- जून 2023 के बाद experts ने Meduza के दर्जनों employees के phones का analysis किया
- हमलावर कौन-सी specific information ढूंढ रहा था, यह अब तक पता नहीं है
- Meduza के tech head Alexey ने कहा कि motive पता चलने तक worst assume करना चाहिए
- उनके अनुसार Russia द्वारा infection order किए जाने की संभावना और गंभीर परिणामों को खारिज नहीं किया जा सकता
- Timchenko ने कहा कि आगे वे lawyers की सलाह के अनुसार काम करेंगी और चुप नहीं रहेंगी
infection का संदेह होने पर क्या करें
- अगर आपको लगता है कि आप spyware surveillance के निशाने पर हैं, तो संभावित attack evidence preserve करने के लिए device backup करना और Access Now से संपर्क करना recommended है
- iPhone backup guide: Apple Support
- Android backup guide: Google Support
- Access Now निम्न conditions को spyware infection confirm करने के reasonable grounds मानता है
- अगर पहले state agencies द्वारा persecution झेलना पड़ा हो
- अगर आप या आपका कोई करीबी पहले से digital attack का target बना हो
- Apple, Google, Meta जैसी बड़ी tech companies से malware attack की संभावना का alert मिला हो
- SMS, messenger या email से suspicious message मिला हो
- account में “unusual login attempts” दिखे हों
1 टिप्पणियां
Hacker News की राय
क्या Apple जानता है, या उसे अंदाज़ा भी है, कि यह समस्या कितनी गंभीर हो सकती है? NSO zero-days खरीदने पर जितना भी पैसा खर्च करता हो, Apple जैसी कंपनी bug bounty को इतना बढ़ा नहीं सकती कि उन्हें वैध रास्ते पर खींच लाए? लेख से ही यह भी साफ नहीं है कि installation के लिए user action ज़रूरी था या नहीं। अगर ज़रूरी नहीं है, तो जिसे भी state-sponsored surveillance का थोड़ा भी शक हो, उसे क्या करना चाहिए? फोन इस्तेमाल ही न करना, या second-hand खरीदे devices लगातार बदलते रहना, ज़्यादा सुरक्षित लगता है
Pegasus कई articles में बताए गए किसी एक hacking actor की तरह नहीं है, बल्कि phone root privileges होने पर data डाउनलोड करने वाली services का bundle और zero-days का ऐसा भंडार है जिसकी गहराई पता नहीं। शायद zero-days बदलने तक Pegasus कभी-कभी कुछ घंटों, दिनों या हफ्तों तक काम भी न करता हो। leaked materials से इतना पता है कि वे zero-click और click-based exploits का mix इस्तेमाल करते हैं और कई phone operating systems support करते हैं
उनकी hacking क्षमता शायद काफी बढ़ा-चढ़ाकर बताई गई है। smooth customer support के लिए वे सारे zero-days खरीदते हों और खुद एक भी न खोजते हों, ऐसा भी हो सकता है। iPhone के लिए zero-click zero-day की कीमत करीब 2 million dollars है[1], और NSO जैसे contracts वाली company ऐसे कई खरीद सकती है। media उन्हें super hackers जैसा दिखाती है, यह पूरी तरह बढ़ा-चढ़ाकर कहना है; असल में वे corrupt businessmen के group के ज़्यादा करीब हैं, जिन्हें राज्यों से पैसा निकालना आ गया है
[1] https://arstechnica.com/information-technology/2019/01/zerod...
एक exploit developer भी साल में कई weaponized zero-days बना सकता है, और वे ऐसा काम करने वाले developer को सिर्फ एक ही नहीं रखेंगे, इसलिए dozens vulnerabilities जमा कर रखी होने की संभावना बड़ी है। कुछ public vulnerabilities से overlap होकर बेकार हो जाएँगी, लेकिन यह मानना सही है कि एक को block करने पर भी उनके पास दूसरा ready रखा होगा
Apple bounty बढ़ाकर उन्हें legal side में ला सकता है या नहीं, यह अच्छा सवाल है, लेकिन NSO की price range में शायद मुश्किल है। Apple competitive amount offer कर सकता है, लेकिन bug bounty work कहीं ज़्यादा risky है। किस्मत खराब हो, या vulnerability पहले से reported वाली से overlap कर जाए, या vendor मुश्किलें खड़ी करे, तो लंबे समय काम करने के बाद भी पैसा नहीं मिल सकता। Apple भी इस मामले में बदनाम है
अगर state-sponsored surveillance का शक हो, तो शुरुआत में कई phones इस्तेमाल करना बेहतर हो सकता है। SMS/MMS के बजाय authenticated protocols इस्तेमाल करें, और यह बात ही बेतुकी है कि कोई भी आपके phone पर unwanted data भेज सके। मैं होता तो known contacts को outgoing calls करने के अलावा cellular service भी पूरी तरह बंद रखता
यह हैरानी की बात है कि high-risk reporting करने वाले journalists इसे default से on नहीं रखते। ऐसे non-interaction exploits में से काफी vulnerabilities, जैसे message मिलते ही चलने वाले image decoder bugs, के जरिए चलते हैं, लेकिन Lockdown Mode on होने पर रुक जाते हैं। Lockdown Mode और भी features disable करता है। मैं उत्सुक हूँ कि क्या किसी ने Lockdown Mode enabled phone के compromised होने का evidence देखा है। मेरा मतलब यह नहीं कि यह असंभव है, बस सचमुच जानना चाहता हूँ
समय के साथ journalism को लेकर cynic हो चुके लोग भी Saudi Arabia या Morocco जैसे regimes का सामना करने के लिए journalists जो मौत और डर झेलते हैं, उसे देखकर विनम्र हुए बिना नहीं रह सकते। Pegasus Jamal Khashoggi और उनकी प्रेमिका के रूप में याद की जाने वाली व्यक्ति के phones में भी था
NSO अगर अपनी सारी in-house production जला भी दे, तो जिन vulnerability brokers को मैं जानता हूँ, वे कई million dollars वाले दर्जनों inventory तैयार रखे हुए हैं। यह कोई secret भी नहीं है। brokers US में legally incorporated companies चलाते हैं और governments, companies, और Microsoft व Apple जैसे unsafe products बनाने वाले vendors को बेचते हैं। Apple जानता है कि वह ऐसे products जारी कर रहा है जिनमें known critical security flaws दर्जनों से सैकड़ों तक हैं
Apple सभी zero-days नहीं खरीदता, इसके दो कारण हैं। पहला, पैसे से security नहीं खरीदी जा सकती। दूसरा, benefit cost से बड़ा नहीं है
serious security पैसे से solve नहीं होती। Apple अभी persistence वाले zero-click remote code execution के लिए 1 million dollars[1], और Lockdown Mode में वही काम करने पर 2 million dollars देता है। यह लगभग एक Tomahawk cruise missile की कीमत है। क्योंकि ऐसे security flaws खोजने में करीब 1–3 engineer-years लगते हैं, bounty लगभग labor cost के स्तर पर set है। अगर वे M1 Abrams tank की कीमत जितने, यानी 10 million dollars, दें, तो ROI 10 गुना हो जाएगा और नई reports की बाढ़ आ जाएगी। क्योंकि 1 million dollars के स्तर पर detect होने वाली flaws की तुलना में 10 million dollars के स्तर पर detect की जा सकने वाली flaws कहीं ज़्यादा हैं
लेकिन nation-states को deter करना हो तो कम से कम F-16 की कीमत, यानी 100 million dollars के स्तर तक जाना होगा। जब कुछ million dollars के स्तर पर ही known security flaws दर्जनों से सैकड़ों तक हैं, तो 100 million dollars के स्तर पर लगभग निश्चित रूप से हजारों से लेकर tens of thousands vulnerabilities होंगी। इसलिए state-sponsored attackers से बचने के लिए उन्हें पैसे देकर खरीद लेने का तरीका, अगर संभव भी हो, तो trillions से tens of trillions dollars तक खर्च कर सकता है। शुरू से security के लिए design न किए गए iOS या Windows जैसे systems को बाद में harden करने की strategy में, कुछ million dollars की range से आगे वास्तव में सफल हुई जगहें लगभग नहीं हैं
Apple zero-day खरीदकर आखिर क्या हासिल करता है? हज़ारों security flaws रिपोर्ट होने के बावजूद लोग iPhone खरीदते रहते हैं। Apple को बस Lockdown Mode जैसी नई marketing बनानी होती है और सब लोग निश्चिंत हो जाते हैं। जिस कंपनी ने हमेशा ऐसे products बनाए हैं जो state-sponsored attackers को जिस स्तर की ज़रूरत होती है उसके सौवें हिस्से तक भी नहीं पहुँचते, जब वही “इस बार हम सच में कर दिखाएँगे” जैसा प्रचार-वाक्य देती है, तो लोग उसे मान लेते हैं। Apple खुद भी अपने प्रचार पर भरोसा नहीं करता, यह इस बात से दिखता है कि Lockdown Mode bounty को सामान्य iOS के 1 million डॉलर से दोगुना, यानी 2 million डॉलर रखा गया। यह अब भी एक tank की कीमत के पाँचवें हिस्से के बराबर है। क्या state-sponsored attackers किसी tank के एक हिस्से की कीमत से डरेंगे? McDonald’s का एक store खोलने में इससे ज़्यादा खर्च आता है। Apple, Microsoft, Amazon, Google, Cisco, Crowdstrike जैसी कंपनियों को बस झूठ बोलना होता है, और अजीब बात है कि लोग हज़ारवीं बार भी उन पर भरोसा कर लेते हैं, जिससे उनकी sales सुरक्षित रहती है
Commercial IT systems मध्यम स्तर की funding वाले attackers के सामने भी पूरी तरह सुरक्षित नहीं हैं। अगर कोई operation 1 million डॉलर से अधिक मूल्य का है या targeted attack का जोखिम है, तो चाहे आप कितने भी और कौन-से systems इस्तेमाल करें, उन्हें 100% vulnerable मानना चाहिए। अगर यह स्वीकार्य नहीं है, तो connectivity वाले standard commercial IT systems का उपयोग नहीं करना चाहिए। अफसोस, फिलहाल यही एकमात्र समाधान है जो काम करता है। यह compromise स्वीकार करना है या नहीं, यह हर व्यक्ति को खुद तय करना होगा
[1] https://security.apple.com/bounty/categories/
निकट भविष्य में किसी समय शीर्षक में “मोबाइल फोन” की जगह कार आ जाएगी और नतीजा और भी त्रासद होगा
सोच रहा हूँ Tesla zero-day की कीमत कितनी होगी
लोग मोबाइल फोन को अपने ही विस्तार की तरह साथ लेकर चलते हैं, लेकिन कार A पॉइंट से B पॉइंट तक ले जाने का साधन है
और अधिकतर आधुनिक कारों में Secure Gateway[1] होता है, जो इंटरनेट से लगभग जुड़ा नहीं होता; इससे connected systems को इंजन, powertrain, brakes जैसे कार के बाकी हिस्सों तक केवल सीमित network access मिलता है। इसलिए मुझे लगता है कि दूर से बड़े पैमाने पर हमला होने की संभावना कम है
[1] https://blackberry.qnx.com/en/ultimate-guides/software-defin...
ग्रीक मिथक वाला अर्थ दिलचस्प नहीं है? Pegasus Medusa के खून से पैदा हुआ था
“आखिर Meduza ही क्यों? क्या वह कोई फिसलनभरा और अप्रिय जीव नहीं है?” इस सवाल पर पत्रकार ने जवाब दिया कि पत्रकार आम तौर पर अप्रिय, फिसलनभरे होते हैं और उन्हें पसंद करने वाले बहुत कम होते हैं—और यही काम की प्रकृति है। उन्होंने यह भी कहा कि Medusa किसी को एक नजर में पत्थर बना देती है, यह बात भी पत्रकारों से मेल खाती है। हालांकि सच कहें तो नाम संयोग से चुना गया था। वे प्राचीन ग्रीस के ऐसे राक्षस का नाम रखना चाहते थे जिसका सिर काट दिया गया था लेकिन जो फिर जीवित हो गया; ‘Meduza’ चुनने के बाद याद आया कि वह असल में Hydra था, लेकिन तब तक देर हो चुकी थी
1: https://meduza.io/cards/zaday-vopros-meduze, #75
मुझे जिज्ञासा है कि Apple Pegasus जैसे malware का पता चलने पर किसे सूचित करे और किसे नहीं, यह कैसे तय करता है
उस व्यक्ति को बताना सही था
लेकिन अगर वह व्यक्ति कहीं कम प्रसिद्ध होता तो? मसलन किसी लोकतांत्रिक देश में रहने वाला आम नागरिक? क्या Apple को पता होता है कि निशाना किसने बनाया? अगर पता होता है, तो क्या कोई मानदंड है जैसे “चीन या रूस हो तो सूचित करें”? अगर ऐसा है, तो चीन या रूस किसी लोकतांत्रिक देश के paid proxy का इस्तेमाल करके वही काम करें तो क्या होगा?
सवाल बहुत हो रहे हैं। और अगर Apple ऐसे malware का पता लगा सकता है, तो local app से तुरंत alert क्यों नहीं आता? फोन के लिए antivirus जैसा कुछ। ऐसा कुछ पहले से होना चाहिए, वरना उन्हें पता कैसे चला होगा?
संभव है कि उन्हें ऐसे accounts जैसी जानकारी मिलती हो जो malicious messages भेजने के लिए जाने जाते हैं, और फिर server logs खंगालकर देखते हों कि वे किस तक पहुँचे
अगर कोई पत्रकार या activist खुद को ऐसे लोगों का target मानता है, तो वह व्यावहारिक रूप से क्या कदम उठा सकता है, यह जानना चाहता हूँ
हर app के लिए अलग device इस्तेमाल करने का तरीका है, जैसे WhatsApp, Telegram, Signal को अलग-अलग रखना। web frontend इस्तेमाल करके फोन बंद रखने का तरीका भी है, हालांकि नहीं पता कि यह सभी apps में संभव है या नहीं। devices को समय-समय पर discard करके second-hand बेच देना और नया device या used phone खरीदना भी एक तरीका है। device का इस्तेमाल केवल ज्यादा सुरक्षित माहौल में मिलने का समय तय करने के लिए करें, फोन पर बोलें या text न भेजें, और हमेशा मानकर चलें कि device compromised है
और sanctions NGO पर नहीं, NSO पर होने चाहिए। ये लोग कचरा हैं
अलग-अलग gear साथ ले जाने की जगह भी कम पड़ेगी। सीमा पार करते समय इतने सारे phones को border control या customs को समझाना पड़ेगा, जिससे काफी दिलचस्प हालात बन सकते हैं
इसे ठीक ऐसे attacks रोकने के लिए design किया गया है, और पुष्टि हुई है कि अगर Lockdown Mode चालू होता तो यह attack विफल हो जाता
और पक्का करना हो तो iMessage बंद कर दें और iCloud का बिल्कुल इस्तेमाल न करें
GrapheneOS की तरह attack surface को लगातार घटाते हुए, app installation या Google services से जुड़े compromises को भी पूरी तरह हटाने वाला रूप
मूलतः ऐसा फोन जिसमें encrypted messaging और camera/microphone तक access सिर्फ बेहद नियंत्रित conditions में हो, बस इतना ही
अगर restrictions ज्यादा हों तो popularity भी सीमित रहेगी, जिससे उसे target करने की cost के मुकाबले value लगभग नहीं रहेगी; और जिन थोड़े लोगों को सच में protection चाहिए, उन्हें ऐसी sacrifices के बदले ज्यादा मजबूत protection मिल सकती है
अगर यह सभी messages निकाल रहा हो और अक्सर screen captures ले रहा हो, तो outgoing traffic छिपाना काफी मुश्किल होगा। encryption तो करेगा, लेकिन data volume छिपाना मुश्किल है
अगर शुरुआत से ही फोन को minimal configuration में lock down रखा जाए तो यह और आसान है, क्योंकि बाहर traffic generate करने वाले apps कम होंगे
Ivan Kolpakov की यह बात कि “मैं सचमुच स्तब्ध था कि हम गंभीरता से इस संभावना पर चर्चा कर रहे हैं कि किसी यूरोपीय देश ने यह किया हो सकता है” मुझे भोली कम लगती है; असली मुद्दा यह है कि उस घटना से पहले उन्होंने जांच ही नहीं की थी कि यूरोपीय देश वास्तव में इस संदर्भ में क्या करते हैं
अगर पहले जांच की होती तो वे स्तब्ध नहीं, चिंतित होते
एक और संभावना यह है कि यह “स्तब्धता” फिल्म Casablanca वाली स्तब्धता है
Rick: किस आधार पर तुम मुझे बंद कर सकते हो?
Captain Renault: मैं स्तब्ध हूँ, स्तब्ध, कि यहाँ जुआ हो रहा है!
[croupier Renault को नोटों की गड्डी देता है]
Croupier: आपकी winnings हैं, सर
Captain Renault: ओह, बहुत-बहुत धन्यवाद
मुझे जिज्ञासा है कि क्या Pegasus को खुद-ब-खुद फैलने से रोकने वाली कोई चीज़ है, या फिर इसे ज़रूर targeted attack के रूप में ही install करना पड़ता है
infection है या नहीं, यह जांचने के लिए scan करने का कोई तरीका भी है क्या?
जिन vulnerabilities को इससे जुड़ा बताया गया है, उनमें से कुछ wormable भी हो सकती हैं। हालांकि व्यवहार में Pegasus जैसे malware के operators के पास uncontrolled spread से बचने की practical वजह होती है। undiscovered और unpatched vulnerabilities को छिपा रहना ज़रूरी होता है, जबकि unlimited spread से उनके पकड़े और analyse किए जाने की संभावना बहुत बढ़ जाती है—यानी “सोने के अंडे देने वाली मुर्गी” को मारने जैसा
इसलिए कम-से-कम अभी के लिए, उम्मीद यही है कि Pegasus के सभी installs targeted attacks का नतीजा होंगे। दूसरी तरफ, अगर tool leak हो जाए और कई actors के लिए आसानी से इस्तेमाल करना संभव हो जाए, तो incentives बदल सकते हैं, और उनमें से कोई दुनिया भर के unpatched devices को infect करने वाला worm बना सकता है
ऐसा code लिखना अपेक्षाकृत सरल होगा। target के सभी contacts को iMessage पर exploit भेजो और इसे repeat करो
लेकिन इसका उल्टा असर होगा। Pegasus का मुख्य selling point targeted surveillance है, और ऐसे exploits बहुत महंगे होते हैं। uncontrolled spread जल्दी detect हो जाएगा और कीमती resources जला देगा
अगर ऐसे exploits सस्ते होते, तो target की पूरी address book पर auto-attack करके social graph निकालने वाला variant justify किया जा सकता था, लेकिन फिर ज्यादातर बेकार भारी-भरकम data को analyse करने की समस्या खड़ी हो जाती
technically Pegasus खुद को दोबारा भेजकर दूसरे devices को infect कर सकता है, लेकिन यह business model से मेल नहीं खाता, इसलिए नहीं लगता कि NSO नियमित रूप से ऐसा करेगा
Amnesty International का एक tool भी है जो इसे detect कर सकता है, या कभी कर सकता था: https://github.com/mvt-project/mvt
हालांकि यह एक प्रतिस्पर्धा जैसा मामला है, इसलिए पुरानी जानकारी अब valid न हो सकती है। फिर भी infection के लिए बहुत महंगे zero-days इस्तेमाल होते हैं, और discover होने पर वे जल्दी patch हो जाएंगे, इसलिए मुझे लगता है कि आगे भी self-spreading feature डालने की संभावना कम है
क्योंकि किसी को target करने का यह सबसे आसान और तेज़ तरीका है। इसके अलावा target को अलग से identify करने की प्रक्रिया ज्यादा जटिल हो जाएगी। इसलिए Lockdown Mode के साथ-साथ अगर phone पर कोई भी number active न रखा जाए और सामान्य security precautions follow किए जाएं, तो theoretically पर्याप्त protection मिल सकती है। आखिरकार जवाब यही है कि smartphone इस्तेमाल न किया जाए
मुझे जिज्ञासा है कि वह phone Lockdown Mode में था या नहीं
क्या किसी को पता है कि Lockdown Mode ऐसे ज्यादातर zero-days को रोकने में कितना effective है?
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
“हम मानते हैं, और Apple की Security Engineering and Architecture team ने भी पुष्टि की है, कि Lockdown Mode इस specific attack को block करता है”
https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
“एक छोटी अवधि के दौरान, जिन targets ने iOS 16 का Lockdown Mode feature enable किया था, उन्हें उनके device पर PWNYOURHOME exploit attempt होने पर real-time warning मिली। संभव है कि NSO Group ने बाद में इस real-time warning को bypass करने का तरीका निकाल लिया हो, लेकिन हमने Lockdown Mode enabled devices पर PWNYOURHOME के सफल इस्तेमाल का कोई मामला नहीं देखा”
क्या ऐसे attacks को router level पर काम करने वाले personal deep packet inspector या simple packet capture tool से detect नहीं किया जा सकता?
एक और simple solution deep packet inspection या network analyser built-in वाला DIY portable router हो सकता है
https://citizenlab.ca/wp-content/uploads/2020/11/Annotated-B...