- iPhone của Galina Timchenko, đồng sáng lập kiêm nhà xuất bản của Meduza, đã bị nhiễm Pegasus vào ngày 10/2/2023, trở thành trường hợp đầu tiên được xác nhận nhắm vào một nhà báo Nga
- Theo phân tích của Access Now và Citizen Lab, kẻ tấn công có thể xem micro, camera, bộ nhớ, ảnh, lịch, địa chỉ, thậm chí cả các cuộc trò chuyện trên trình nhắn tin mã hóa; vụ lây nhiễm có vẻ liên quan đến lỗ hổng PWNYOURHOME thông qua HomeKit·iMessage
- Ngày sau khi bị nhiễm, Timchenko tham dự một hội thảo kín tại Berlin cùng các đại diện truyền thông độc lập Nga lưu vong, và khi đó điện thoại có thể đã được dùng như một thiết bị nghe lén
- NSO Group nói rằng họ chỉ bán Pegasus cho khách hàng chính phủ nhằm mục đích chống tội phạm và khủng bố, nhưng Access Now và Citizen Lab coi các nghi vấn sử dụng tại châu Âu như Latvia, Estonia, Đức, cùng khả năng giám sát xuyên biên giới, là vấn đề đáng lo ngại
- Chủ thể và mục đích của cuộc tấn công chưa được xác định; vụ Timchenko cho thấy xu hướng ở châu Âu coi nhà báo là mối đe dọa an ninh quốc gia và khoảng trống trong quản lý spyware thương mại
Từ cảnh báo mối đe dọa của Apple đến xác nhận bị nhiễm
- Ngày 22/6/2023, Galina Timchenko nhận được cảnh báo mối đe dọa liên quan đến state-sponsored attackers từ Apple và chuyển thông tin này cho đội kỹ thuật của Meduza
- threat notifications của Apple là cảnh báo được gửi khi người dùng trở thành mục tiêu riêng lẻ vì “họ là ai hoặc họ làm gì”
- Apple cho biết các cuộc tấn công được nhà nước hậu thuẫn rất phức tạp, thường tốn hàng triệu đô la để phát triển và có vòng đời ngắn
- Cảnh báo gửi cho Timchenko không nêu quốc gia liên quan
- Giám đốc kỹ thuật của Meduza đã yêu cầu hỗ trợ từ bên ngoài
- Access Now là tổ chức phi lợi nhuận hỗ trợ quyền công dân số và thực hành bảo mật của người dùng trên toàn thế giới
- Citizen Lab là phòng nghiên cứu thuộc Đại học Toronto, điều tra hoạt động gián điệp số nhằm vào xã hội dân sự
- Access Now và Citizen Lab thu thập dữ liệu thiết bị của Timchenko để kiểm tra nhanh và xác nhận iPhone đã bị nhiễm Pegasus vào ngày 10/2/2023
Quyền truy cập mà Pegasus giành được
- Việc nhiễm Pegasus trao cho kẻ tấn công toàn quyền truy cập iPhone của Timchenko
- Có thể truy cập micro, camera và bộ nhớ
- Có thể xem địa chỉ nhà, lịch, ảnh và các cuộc trò chuyện trên trình nhắn tin mã hóa
- Có thể nhìn trực tiếp màn hình và đọc tin nhắn ngay khi chúng được soạn
- Có thể tải xuống email, tin nhắn văn bản, hình ảnh và tệp
- Người dùng khó ngăn chặn hoặc nhận biết việc lây nhiễm
- Pegasus có thể hack thiết bị chỉ cần có một ứng dụng dễ bị tấn công, kể cả ứng dụng được Apple cài sẵn
- Người dùng cũng không dễ nhận ra thiết bị đã bị nhiễm
- Timchenko từng thấy iPhone ấm hơn bình thường nhưng nghĩ là do bộ sạc mới
- Citizen Lab cho rằng kẻ tấn công có thể đã xâm nhập qua HomeKit và iMessage
- Các nhà nghiên cứu phát hiện dấu vết số đặc trưng của Pegasus
- Lỗ hổng được sử dụng có vẻ là PWNYOURHOME, nhắm vào tính năng HomeKit tích hợp trong iPhone và lạm dụng iMessage để cài spyware
- John Scott-Railton cho biết cuộc tấn công này có thể thực hiện ngay cả trên thiết bị chưa bật HomeKit
Cuộc họp kín ở Berlin và thời điểm lây nhiễm
- Ngày bị nhiễm, 10/2/2023, là một ngày trước khi Timchenko tham dự cuộc họp kín tại Berlin
- Ngày 11/2, Timchenko và tổng biên tập Meduza Ivan Kolpakov tham dự hội thảo kín ở Berlin cùng các đại diện truyền thông độc lập Nga lưu vong
- Hội thảo do hội đồng giải báo chí Redkollegia tổ chức
- Các quản lý cơ quan báo chí và luật sư thảo luận các vấn đề pháp lý khi vận hành công việc liên quan đến Nga trong bối cảnh Nga kiểm duyệt toàn diện và đàn áp nhà báo, nhà hoạt động
- Hai tuần trước đó, Tổng công tố Nga chỉ định Meduza là “undesirable organization”, khiến hoạt động đưa tin của họ trở thành bất hợp pháp
- Pegasus đã chạy khi Timchenko tham dự cuộc họp
- Kẻ tấn công có thể bật micro điện thoại từ xa để ghi âm các cuộc trò chuyện xung quanh
- Camera cũng có thể được bật theo cách tương tự
- Natalia Krapiva của Access Now cho rằng điện thoại của Timchenko có thể đã được dùng như một thiết bị nghe lén để nghe lỏm kế hoạch của các nhà báo Nga
Trường hợp đầu tiên được xác nhận nhắm vào nhà báo Nga
- Vụ Timchenko là trường hợp đầu tiên được xác nhận Pegasus được sử dụng nhằm vào một nhà báo Nga
- Access Now đã kiểm tra điện thoại của khoảng 20 nhà báo và nhà hoạt động gốc Nga, phát hiện nhiều mã độc, nhưng trước đó chưa xác nhận được Pegasus
- John Scott-Railton của Citizen Lab giải thích rằng loại spyware này có thể ẩn tệp log và che giấu dấu vết của chính nó, khiến việc nhận diện lây nhiễm trở nên khó khăn
- Citizen Lab và Lookout Security lần đầu công bố dấu vết về sự tồn tại của Pegasus vào năm 2016
- Báo cáo khi đó cho biết “remote monitoring solution” của NSO Group được dùng để giám sát nhà hoạt động nhân quyền UAE Ahmed Mansoor
- Citizen Lab theo dõi các máy chủ cần thiết cho hoạt động của Pegasus và các máy chủ nhận thông tin thu thập từ thiết bị bị nhiễm
- Access Now giải thích Pegasus giống một dịch vụ hơn là một sản phẩm đơn thuần, và NSO Group cung cấp đào tạo vận hành cho các quốc gia khách hàng
NSO Group và chi phí, mô hình bán Pegasus
- NSO Group tuyên bố Pegasus được thiết kế chỉ để giám sát “khủng bố, tội phạm và tội phạm tình dục trẻ em”
- Công ty chỉ bán Pegasus cho khách hàng nhà nước
- Các đồng sáng lập bao gồm những người từng thuộc cơ quan tình báo quân đội Israel và Mossad
- NSO Group nêu cao chính sách nhân quyền nghiêm ngặt, nhưng nhiều chính phủ đã dùng Pegasus để nhắm vào người chỉ trích và đối thủ chính trị
- John Scott-Railton của Citizen Lab nói chi phí để có quyền truy cập Pegasus là “hàng chục triệu đô la, hoặc hơn”
- Chính phủ Mexico đã chi ít nhất 61 triệu đô la cho công nghệ Pegasus
- Mexico dùng công nghệ này để giám sát cả tội phạm lẫn các nhân vật trong xã hội dân sự
- Theo Natalia Krapiva của Access Now, hợp đồng NSO Group cho phép một số lượng lây nhiễm đồng thời nhất định
- Ví dụ, gói lây nhiễm 20 người có nghĩa là có thể giám sát 20 người cùng lúc
- Chính quyền Biden đưa NSO Group vào danh sách đen liên bang, cấm tiếp nhận công nghệ Mỹ, vào tháng 11/2021
- Đây là động thái diễn ra vài tháng sau khi liên minh Pegasus Project phanh phui việc spyware này bị lạm dụng trên diện rộng
Khả năng liên quan đến Nga, Kazakhstan, Azerbaijan
- NSO Group được cho là ngăn Pegasus được sử dụng nhắm vào số điện thoại Mỹ hoặc Nga
- Năm 2020, những người thiết kế Pegasus cho biết điện thoại bị nhiễm không thể nằm trong lãnh thổ Mỹ về mặt vật lý, và phần mềm sẽ tự hủy nếu đi vào biên giới Mỹ
- Khi Estonia mua quyền truy cập Pegasus vào năm 2019, NSO Group được cho là đã cấm sử dụng nó nhắm vào các mục tiêu Nga
- NSO Group từng tuyên bố Nga và Trung Quốc là những quốc gia “tuyệt đối không thể trở thành khách hàng”
- Công ty cho biết họ xem xét nhân quyền, tham nhũng, an toàn, tài chính và lịch sử lạm dụng của khách hàng tiềm năng
- Tháng 1/2023, CEO Yaron Shohat nói công ty tập trung vào mảng kinh doanh cốt lõi là cung cấp cho chính phủ các đồng minh của Mỹ và Israel
- Andrey Soldatov cho rằng các cơ quan tình báo Nga là bên bán chứ không phải bên mua trên thị trường công nghệ gián điệp toàn cầu, và cực kỳ hoang tưởng với spyware nước ngoài
- Việc dữ liệu bị Pegasus đánh cắp được gửi đến các máy chủ trong hệ sinh thái NSO Group cũng có thể là gánh nặng đối với các cơ quan Nga
- FSB của Nga không trả lời câu hỏi của Meduza liên quan đến Pegasus
- Access Now xem xét như một giả thuyết tạm thời khả năng Kazakhstan hoặc Azerbaijan đã tấn công theo yêu cầu của Moscow
- Hai nước này bị nghi là khách hàng của Pegasus
- Uzbekistan không được coi là khách hàng của Pegasus trong giai đoạn đó
- Tuy nhiên, theo hiểu biết của các nhà nghiên cứu, Kazakhstan và Azerbaijan chưa từng thực hiện tấn công Pegasus ở châu Âu, và Timchenko đang ở Đức khi bị nhiễm
- Citizen Lab chưa thấy bằng chứng Kazakhstan sử dụng Pegasus bên ngoài biên giới
- Azerbaijan có dùng Pegasus ở nước ngoài, nhưng quốc gia mà các nhà nghiên cứu ghi nhận chỉ là Armenia
Nghi vấn Pegasus tại Latvia, Estonia và Đức
- iPhone bị nhiễm của Timchenko có gắn thẻ SIM Latvia
- Citizen Lab lần đầu ghi nhận hoạt động liên quan đến Pegasus ở Latvia vào năm 2018, và các chuyên gia cho rằng Riga hiện vẫn sử dụng sản phẩm của NSO Group
- Access Now không loại trừ khả năng cơ quan tình báo Latvia đã tấn công
- Hai tháng trước khi lây nhiễm, Latvia hủy giấy phép phát sóng địa phương của một cơ quan truyền thông Nga lưu vong khác, TV Rain, vì coi đây là “mối đe dọa đối với an ninh quốc gia và trật tự công cộng”
- Tuy nhiên, Citizen Lab chưa quan sát thấy trường hợp Riga dùng Pegasus tấn công mục tiêu ngoài Latvia, còn Timchenko bị nhiễm khi đang ở Berlin
- Cơ quan An ninh Nhà nước Latvia trả lời rằng họ không có thông tin liên quan đến khả năng điện thoại thông minh của Timchenko bị tấn công
- Cơ quan này không trả lời các câu hỏi khác, như có sử dụng Pegasus hay không và có giám sát mục tiêu ở nước ngoài hay không, với lý do bảo mật thông tin tác chiến
- Estonia được xác nhận đã mua quyền truy cập Pegasus vào năm 2019, và Citizen Lab cũng ủng hộ điều này
- Scott-Railton nói đã theo dõi việc Estonia lây nhiễm các mục tiêu ngoài biên giới tại nhiều quốc gia EU, bao gồm Đức
- Cơ quan Cảnh sát Hình sự Liên bang Đức có được quyền truy cập Pegasus vào năm 2019, nhưng đến năm 2021 mới thừa nhận việc mua này
- Đức được cho là sử dụng phiên bản đã chặn một số chức năng để ngăn lạm dụng, nhưng không giải thích cách nó vận hành trên thực tế
- Krapiva nói báo cáo của Giám sát viên Bảo vệ Dữ liệu châu Âu cho rằng không chỉ nguyên bản Pegasus mà bất kỳ dạng Pegasus nào cũng khó tương thích về căn bản với luật EU
Vấn đề spyware thương mại ở châu Âu
- Scott-Railton cho rằng việc Timchenko bị nhiễm ở Berlin cho thấy vấn đề Pegasus ở châu Âu chưa được giải quyết
- Đức không ký tuyên bố chung nhằm ứng phó với sự lan rộng và lạm dụng spyware thương mại
- Tuyên bố này có 11 quốc gia ký, gồm Denmark, France, Sweden
- Access Now chỉ ra rằng cả bốn quốc gia thành viên EU đã trở thành trung tâm mới của cộng đồng di cư phản chiến Nga — Latvia, Estonia, Germany, Netherlands — đều bị nghi là người dùng Pegasus
- EU PEGA Committee cho biết trong EU có ít nhất 14 quốc gia thành viên và 22 nhà vận hành sử dụng Pegasus
- Chỉ các hợp đồng của NSO Group với Hungary và Poland đã bị chấm dứt
- Access Now xem vụ tấn công Timchenko là ít nhất trường hợp tương tự thứ tư xảy ra tại châu Âu trong năm qua
- Meduza biết chi tiết các vụ khác nhưng nạn nhân không muốn công khai
- Krapiva cho rằng xu hướng coi nhà báo là mối đe dọa ở châu Âu đang bắt đầu xuất hiện cả trong luật EU
- Bà cảnh báo rằng một số câu chữ trong European Media Freedom Act đã bị làm yếu đi, chủ yếu bởi France và Sweden, có thể biện minh cho việc giám sát nhà báo dựa trên lý do an ninh quốc gia
Phản hồi của NSO Group và vấn đề trách nhiệm
- NSO Group không trả lời câu hỏi liệu họ có biết vụ tấn công Timchenko hay không, và khách hàng nào có thể đã thực hiện cuộc xâm nhập
- Người phát ngôn công ty nói Pegasus chỉ được bán cho các đồng minh của Mỹ và Israel, đặc biệt là các quốc gia Tây Âu, với mục đích chống tội phạm và khủng bố
- NSO Group nhấn mạnh họ điều tra mọi cáo buộc lạm dụng đáng tin cậy, nhưng không nói liệu có sẵn sàng mở điều tra nội bộ về vụ Timchenko hay không
- The New York Times đưa tin vào tháng 1/2022 rằng hệ thống Pegasus ghi lại mọi cuộc tấn công khi có khiếu nại, và nếu được khách hàng cho phép, NSO có thể thực hiện phân tích pháp chứng sau đó
- Tháng 7/2022, người phụ trách pháp lý và tuân thủ của NSO Group nói trước một ủy ban Nghị viện châu Âu rằng 8 hợp đồng đã bị chấm dứt sau điều tra nội bộ
- Krapiva của Access Now nói sau hàng trăm nạn nhân, bà kết luận quy trình rà soát nội bộ của NSO hoặc không tồn tại, hoặc chỉ mang tính trình diễn
Tình hình hiện tại của Timchenko và Meduza
- Timchenko đã mua điện thoại mới sau vụ xâm nhập và vẫn mang theo chiếc iPhone từng bị nhiễm
- Citizen Lab xác nhận Pegasus không còn được cài trên thiết bị đó
- Timchenko nói bà quyết định giữ thiết bị như một vật kỷ niệm
- Từ tháng 6/2023, các chuyên gia đã phân tích điện thoại của hàng chục nhân viên Meduza
- Hiện vẫn chưa rõ kẻ tấn công nhắm đến thông tin cụ thể nào
- Alexey, giám đốc kỹ thuật của Meduza, nói rằng cho đến khi biết động cơ, phải giả định tình huống xấu nhất
- Ông cho rằng không thể loại trừ khả năng Nga đã đặt hàng vụ lây nhiễm và những hậu quả nghiêm trọng
- Timchenko cho biết bà sẽ hành động theo lời khuyên của luật sư và sẽ không im lặng
Cách ứng phó khi nghi ngờ bị lây nhiễm
- Nếu tin rằng mình đang bị spyware giám sát, nên sao lưu thiết bị để bảo toàn bằng chứng tấn công có thể có và liên hệ Access Now
- Hướng dẫn sao lưu iPhone: Hỗ trợ Apple
- Hướng dẫn sao lưu Android: Hỗ trợ Google
- Access Now xem các điều kiện sau là cơ sở hợp lý để xác nhận lây nhiễm spyware
- Từng bị cơ quan nhà nước đàn áp trong quá khứ
- Bản thân hoặc người thân cận đã từng là mục tiêu của tấn công số
- Nhận được cảnh báo khả năng bị tấn công bằng mã độc từ các công ty công nghệ lớn như Apple, Google, Meta
- Nhận được tin nhắn đáng ngờ qua SMS, trình nhắn tin hoặc email
- Phát hiện “unusual login attempts” trong tài khoản
1 bình luận
Ý kiến trên Hacker News
Apple có biết, hoặc ít nhất có hình dung được, vấn đề này có thể nghiêm trọng đến mức nào không? Dù NSO chi bao nhiêu tiền để mua zero-day, với tầm của Apple chẳng phải họ có thể tăng bug bounty đủ cao để kéo những người đó về phía hợp pháp sao? Chỉ đọc bài thì cũng không rõ việc cài đặt có cần hành động từ người dùng hay không. Nếu không cần, những ai dù chỉ hơi nghi ngờ mình bị giám sát do nhà nước hậu thuẫn thì nên làm gì? Có vẻ an toàn hơn nếu đơn giản là không dùng điện thoại, hoặc liên tục đổi sang các thiết bị mua cũ
Pegasus không phải là một chủ thể hack đơn lẻ như nhiều bài báo mô tả, mà là một tập hợp dịch vụ tải dữ liệu xuống khi có quyền root trên điện thoại, cùng một kho zero-day không rõ sâu đến đâu. Có thể cũng có những lúc Pegasus không hoạt động trong vài giờ, vài ngày hoặc vài tuần cho đến khi họ thay zero-day. Từ các tài liệu bị rò rỉ, ta biết họ dùng kết hợp exploit không cần nhấp và có nhấp, đồng thời hỗ trợ nhiều hệ điều hành điện thoại
Năng lực hack của họ có lẽ đã bị thổi phồng rất nhiều. Để hỗ trợ khách hàng trơn tru, có thể họ mua toàn bộ zero-day và không tự tìm ra cái nào. Zero-day không cần nhấp cho iPhone có giá khoảng 2 triệu USD[1], và một công ty có các hợp đồng như NSO có thể mua được rất nhiều thứ như vậy. Việc truyền thông mô tả họ như siêu hacker hoàn toàn là cường điệu; thực tế họ gần với một nhóm doanh nhân tham nhũng đã biết cách moi tiền từ các nhà nước hơn
[1] https://arstechnica.com/information-technology/2019/01/zerod...
Một nhà phát triển exploit đơn lẻ cũng có thể tạo ra vài zero-day đã được vũ khí hóa mỗi năm, mà họ chắc chắn không chỉ có một lập trình viên làm việc đó, nên khả năng họ đã tích lũy hàng chục lỗ hổng là rất lớn. Một số sẽ mất tác dụng vì trùng với lỗ hổng được công khai, nhưng nên giả định rằng nếu chặn được một cái thì họ đã có cái khác chờ sẵn
Câu hỏi liệu Apple có thể tăng tiền thưởng để kéo họ về phía hợp pháp là câu hỏi hay, nhưng tôi nghĩ với mức giá của NSO thì có lẽ khó. Apple có thể đưa ra khoản tiền cạnh tranh, nhưng làm bug bounty rủi ro hơn nhiều. Nếu kém may mắn, hoặc lỗ hổng trùng với cái đã được báo cáo, hoặc vendor gây khó dễ, bạn có thể làm rất lâu mà vẫn không được trả tiền. Apple cũng khá khét tiếng về mặt đó
Nếu nghi ngờ bị giám sát do nhà nước hậu thuẫn, trước hết có thể nên dùng nhiều điện thoại. Dùng giao thức đã xác thực thay vì SMS/MMS; bản thân việc bất kỳ ai cũng có thể gửi dữ liệu không mong muốn tới điện thoại của bạn đã là vô lý. Nếu là tôi, tôi thậm chí sẽ tắt hẳn dịch vụ di động, trừ khi cần gọi đi tới các liên hệ đã biết
Thật đáng ngạc nhiên khi các nhà báo làm những phóng sự rủi ro cao không bật nó mặc định. Nhiều exploit không cần tương tác kiểu này đi qua các lỗ hổng như bộ giải mã ảnh, vốn chạy ngay khi nhận tin nhắn, nhưng sẽ bị chặn nếu bật Lockdown Mode. Lockdown Mode cũng vô hiệu hóa các tính năng khác. Tôi tò mò liệu đã có ai thấy bằng chứng một điện thoại bật Lockdown Mode bị xâm nhập chưa. Không phải nói là bất khả thi, tôi chỉ đơn giản là tò mò
Ngay cả những người theo thời gian đã trở nên hoài nghi với báo chí cũng sẽ phải khiêm nhường khi thấy cái chết và nỗi sợ mà các nhà báo chịu đựng để đối đầu với các chế độ như Ả Rập Xê Út hay Maroc. Pegasus cũng có trên điện thoại của Jamal Khashoggi và người được nhớ đến là hôn thê của ông
Ngay cả nếu NSO đốt hết số họ tự sản xuất, các broker lỗ hổng mà tôi biết vẫn có sẵn hàng chục món tồn kho trị giá vài triệu USD. Đây cũng chẳng phải bí mật. Các broker vận hành những công ty được thành lập hợp pháp tại Mỹ và bán cho chính phủ, doanh nghiệp, cũng như các vendor tạo ra sản phẩm không an toàn như Microsoft và Apple. Apple biết rằng họ đang tung ra các sản phẩm có hàng chục đến hàng trăm lỗi bảo mật nghiêm trọng đã được biết đến
Có hai lý do Apple không mua hết zero-day. Thứ nhất, không thể mua bảo mật bằng tiền. Thứ hai, lợi ích không lớn hơn chi phí
Bảo mật nghiêm túc không thể giải quyết bằng tiền. Apple hiện trả 1 triệu USD[1] cho thực thi mã từ xa không cần nhấp có tính bền vững, và 2 triệu USD nếu làm được điều tương tự trong Lockdown Mode. Mức đó tương đương giá một quả tên lửa hành trình Tomahawk. Vì cần khoảng 1–3 năm-kỹ sư để tìm ra những lỗi bảo mật như vậy, tiền thưởng được đặt xấp xỉ mức chi phí nhân công. Nếu trả 10 triệu USD, khoảng giá của một xe tăng M1 Abrams, tỷ suất hoàn vốn sẽ tăng gấp 10 lần và số báo cáo mới sẽ đổ về ồ ạt. Lý do là số lỗi có thể phát hiện ở mức 10 triệu USD lớn hơn rất nhiều so với số lỗi được phát hiện ở mức 1 triệu USD
Nhưng để răn đe một quốc gia, phải lên ít nhất mức 100 triệu USD, tức giá của một chiếc F-16. Vì ngay ở mức vài triệu USD đã có hàng chục đến hàng trăm lỗi bảo mật được biết đến, nên ở mức 100 triệu USD gần như chắc chắn sẽ có hàng nghìn đến hàng chục nghìn lỗ hổng. Vì vậy, nếu muốn được bảo vệ khỏi tác nhân tấn công do nhà nước hậu thuẫn bằng cách dùng tiền mua hết, dù có khả thi thì cũng có thể tốn hàng nghìn tỷ đến hàng chục nghìn tỷ USD. Về cơ bản, gần như chưa có ai thành công vượt quá phạm vi vài triệu USD với chiến lược gia cố hậu kỳ cho các hệ thống vốn không được thiết kế vì bảo mật, như iOS hay Windows
Apple được gì khi mua các zero-day? Dù có hàng nghìn lỗ hổng bảo mật được báo cáo, người ta vẫn tiếp tục mua iPhone. Apple chỉ cần tạo ra một kiểu marketing mới như Lockdown Mode là mọi người yên tâm. Khi một công ty vốn chỉ làm ra những sản phẩm còn chưa đạt nổi 1/100 mức cần thiết trước các kẻ tấn công được nhà nước hậu thuẫn đưa ra thông điệp quảng bá rằng “lần này chúng tôi sẽ thực sự làm được”, người ta vẫn chấp nhận điều đó. Việc Apple cũng không tin vào lời tự quảng bá của mình thể hiện ở chỗ họ đặt tiền thưởng cho Lockdown Mode là 2 triệu USD, gấp đôi mức 1 triệu USD của iOS thông thường. Con số đó vẫn chỉ bằng một phần năm giá của một chiếc xe tăng. Liệu kẻ tấn công được nhà nước hậu thuẫn có sợ mức giá bằng một phần của xe tăng không? Mở một cửa hàng McDonald’s còn tốn nhiều tiền hơn. Những công ty như Apple, Microsoft, Amazon, Google, Cisco, Crowdstrike chỉ cần nói dối, và kỳ lạ là đến lần thứ một nghìn người ta vẫn tin, nhờ đó doanh thu được bảo vệ
Các hệ thống CNTT thương mại không thể hoàn toàn an toàn ngay cả trước những kẻ tấn công có nguồn lực tài chính ở mức trung bình. Nếu có một chiến dịch trị giá hơn 1 triệu USD, hoặc có nguy cơ bị tấn công có chủ đích, thì dù dùng hệ thống nào, bao nhiêu hệ thống đi nữa, cũng phải xem là 100% dễ bị tổn thương. Nếu không thể chấp nhận điều đó, thì không nên dùng các hệ thống CNTT thương mại tiêu chuẩn có khả năng kết nối. Đáng tiếc là hiện tại đó là giải pháp duy nhất có hiệu quả. Có chấp nhận sự đánh đổi đó hay không là việc mỗi người tự quyết
[1] https://security.apple.com/bounty/categories/
Vào một thời điểm nào đó trong tương lai gần, “điện thoại” trong tiêu đề sẽ được thay bằng ô tô, và hậu quả sẽ còn bi thảm hơn
Không biết zero-day của Tesla sẽ có giá bao nhiêu
Người ta mang điện thoại bên mình như một phần nối dài của chính họ, còn ô tô chỉ là phương tiện đưa họ từ điểm A đến điểm B
Và hầu hết ô tô hiện đại đều có Secure Gateway[1] gần như không kết nối Internet, khiến các hệ thống có kết nối chỉ có quyền truy cập mạng hạn chế tới phần còn lại của xe như động cơ, hệ truyền động, phanh. Vì vậy tôi nghĩ khả năng tấn công từ xa trên diện rộng là thấp
[1] https://blackberry.qnx.com/en/ultimate-guides/software-defin...
Ý nghĩa theo thần thoại Hy Lạp thú vị nhỉ? Pegasus được sinh ra từ máu của Medusa
Khi được hỏi “Tại sao lại là Meduza? Chẳng phải đó là một sinh vật trơn tuột và khó chịu sao?”, nhà báo trả lời rằng nhà báo nói chung khó chịu, trơn tuột và hầu như chẳng ai thích, và đó là bản chất của công việc. Họ cũng nói việc Medusa biến đối tượng thành đá chỉ bằng một cái nhìn cũng hợp với nhà báo. Tuy nhiên, nói thật thì cái tên này được chọn tình cờ. Họ định lấy tên một quái vật Hy Lạp cổ đại bị chặt đầu nhưng sống lại, rồi chọn “Meduza”; sau đó mới nhớ ra thực ra đó là Hydra, nhưng đã quá muộn
1: https://meduza.io/cards/zaday-vopros-meduze, #75
Tôi tự hỏi Apple quyết định thế nào về việc sẽ thông báo cho ai và không thông báo cho ai khi phát hiện phần mềm độc hại như Pegasus
Việc họ thông báo cho người đó là đúng
Nhưng nếu người đó kém nổi tiếng hơn nhiều thì sao? Ví dụ một người bình thường sống ở một nước dân chủ? Apple có biết ai đã nhắm mục tiêu không? Nếu biết, liệu có tiêu chí kiểu “nếu là Trung Quốc hoặc Nga thì thông báo” không? Nếu vậy, nếu Trung Quốc hoặc Nga thuê một bên đại diện trả phí ở một nước dân chủ để làm điều tương tự thì sao?
Quá nhiều câu hỏi. Và nếu Apple có thể phát hiện loại phần mềm độc hại này thì tại sao không có thông báo ngay từ một ứng dụng cục bộ? Kiểu như phần mềm diệt virus cho điện thoại. Đáng lẽ đã phải có thứ như vậy rồi; nếu không thì làm sao họ biết được?
Có khả năng họ nhận được thông tin như các tài khoản được biết là đã gửi tin nhắn độc hại, rồi lục nhật ký máy chủ để xem chúng đã tới được những ai
Tôi tự hỏi một nhà báo hay nhà hoạt động tin rằng mình là mục tiêu của những người như vậy có thể thực hiện biện pháp thực tế nào
Có cách dùng thiết bị khác nhau cho từng ứng dụng, ví dụ tách riêng WhatsApp, Telegram, Signal. Cũng có thể dùng giao diện web và tắt điện thoại, dù không biết có áp dụng được với mọi ứng dụng không. Cũng có cách định kỳ vứt thiết bị đi, bán lại đồ cũ rồi mua thiết bị mới hoặc điện thoại cũ khác. Chỉ dùng thiết bị để hẹn gặp ở môi trường an toàn hơn, không nói vào điện thoại hay nhắn tin, và luôn giả định rằng nó đã bị xâm nhập
Và lẽ ra phải có lệnh trừng phạt với NSO, chứ không phải với NGO. Bọn họ là rác rưởi
Cũng sẽ thiếu chỗ để mang theo thiết bị khác. Khi qua biên giới, việc phải giải thích đống điện thoại đó với kiểm soát biên giới hoặc hải quan chắc sẽ khá thú vị
Nó được thiết kế chính xác để chặn những cuộc tấn công như thế này, và đã được xác nhận rằng cuộc tấn công này cũng sẽ thất bại nếu Lockdown Mode được bật
Muốn chắc hơn nữa thì tắt iMessage và hoàn toàn không dùng iCloud
Tương tự GrapheneOS, tiếp tục giảm bề mặt tấn công, nhưng loại bỏ hoàn toàn cả các nhượng bộ liên quan đến cài ứng dụng hay dịch vụ Google
Về cơ bản chỉ là một chiếc điện thoại có nhắn tin mã hóa và chỉ cho phép truy cập camera/micro trong những điều kiện được kiểm soát rất chặt, vậy thôi
Nếu hạn chế nhiều thì độ phổ biến cũng bị giới hạn, khiến giá trị so với chi phí để nhắm mục tiêu gần như không đáng kể; đồng thời với số ít người thật sự cần được bảo vệ, nó có thể cung cấp mức bảo vệ mạnh hơn đáng để đánh đổi
Nếu nó rút hết mọi tin nhắn và thường xuyên chụp màn hình, việc che giấu lưu lượng gửi ra sẽ khá khó. Có thể nó sẽ mã hóa, nhưng khó che giấu lượng dữ liệu
Ngay từ đầu nếu khóa điện thoại ở cấu hình tối thiểu thì còn dễ hơn, vì có ít ứng dụng tạo lưu lượng ra ngoài
Tôi nghĩ câu nói của Ivan Kolpakov rằng “tôi thật sự sốc khi thấy người ta nghiêm túc thảo luận rằng một quốc gia châu Âu có thể đã làm việc này” không hẳn là ngây thơ; vấn đề cốt lõi là trước vụ đó, ông ấy đã không điều tra xem các quốc gia châu Âu thực sự làm gì trong bối cảnh như thế này
Nếu đã điều tra trước, ông ấy hẳn sẽ lo lắng chứ không sốc
Một khả năng khác là cú “sốc” này là kiểu sốc trong phim Casablanca
Rick: Dựa vào đâu mà ông có thể đóng cửa chỗ tôi?
Captain Renault: Tôi sốc, sốc khi biết ở đây có cờ bạc!
[Người chia bài đưa cho Renault một xấp tiền]
Croupier: Tiền thắng của ngài đây, thưa ngài
Captain Renault: À, cảm ơn rất nhiều
Tôi thắc mắc liệu có gì ngăn Pegasus tự lây lan hay không, hay nó bắt buộc phải được cài đặt bằng tấn công có chủ đích
Có cách nào quét để kiểm tra xem có bị nhiễm không?
Một số lỗ hổng được cho là có liên quan thậm chí có thể worm hóa. Tuy nhiên, trên thực tế, các bên vận hành mã độc như Pegasus có lý do thực dụng để tránh việc lan truyền ngoài tầm kiểm soát. Những lỗ hổng chưa bị phát hiện và chưa được vá cần tiếp tục được giữ kín; việc lây lan không giới hạn sẽ làm tăng mạnh khả năng bị phát hiện và phân tích, chẳng khác nào giết “con ngỗng đẻ trứng vàng”
Vì vậy, ít nhất ở thời điểm hiện tại, có thể dự đoán mọi trường hợp cài đặt Pegasus đều là kết quả của tấn công có chủ đích. Ngược lại, nếu công cụ bị rò rỉ và nhiều tác nhân có thể dễ dàng sử dụng, động cơ sẽ thay đổi, và một trong số họ có thể tạo ra worm lây nhiễm các thiết bị chưa vá trên toàn thế giới
Việc viết loại mã đó có lẽ tương đối đơn giản. Chỉ cần gửi exploit qua iMessage tới tất cả liên hệ của mục tiêu rồi lặp lại
Nhưng làm vậy sẽ phản tác dụng. Điểm bán hàng cốt lõi của Pegasus là giám sát mục tiêu, và những exploit như thế này cực kỳ đắt đỏ. Lan truyền không kiểm soát sẽ khiến nó bị phát hiện nhanh hơn và đốt cháy tài nguyên quý giá
Nếu những exploit này rẻ, có thể biện minh cho một biến thể tự động tấn công toàn bộ danh bạ của mục tiêu để khai thác mạng quan hệ xã hội, nhưng sau đó lại nảy sinh vấn đề phải phân tích một lượng dữ liệu khổng lồ mà phần lớn là vô dụng
Về mặt kỹ thuật, Pegasus có thể tự gửi lại chính nó để lây nhiễm thiết bị khác, nhưng điều đó không phù hợp với mô hình kinh doanh, nên có lẽ NSO sẽ không thường xuyên làm vậy
Amnesty International cũng có, hoặc từng có, một công cụ có thể phát hiện điều này: https://github.com/mvt-project/mvt
Tuy nhiên đây là một cuộc chạy đua, nên thông tin cũ có thể không còn hiệu lực. Dù vậy, vì việc lây nhiễm dùng zero-day rất đắt đỏ và nếu bị phát hiện thì sẽ nhanh chóng được vá, tôi cho rằng họ vẫn khó có khả năng đưa tính năng tự lây lan vào
Vì đó là cách dễ nhất và nhanh nhất để nhắm mục tiêu một người. Ngoài ra, quá trình tách riêng mục tiêu sẽ phức tạp hơn. Vì vậy, về lý thuyết, nếu bật Lockdown Mode, không kích hoạt bất kỳ số nào trên điện thoại và tuân thủ các biện pháp phòng ngừa bảo mật thông thường thì có thể đủ để được bảo vệ. Rốt cuộc, câu trả lời là không dùng smartphone
Tôi thắc mắc chiếc điện thoại đó có bật Lockdown Mode hay không
Có ai biết Lockdown Mode hiệu quả đến mức nào trong việc chặn phần lớn các zero-day kiểu này không?
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
“Chúng tôi tin rằng Lockdown Mode chặn cuộc tấn công cụ thể này, như nhóm Security Engineering and Architecture của Apple cũng đã xác nhận”
https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
“Trong một khoảng thời gian ngắn, các mục tiêu đã bật tính năng Lockdown Mode của iOS 16 nhận được cảnh báo theo thời gian thực khi một nỗ lực exploit PWNYOURHOME xảy ra trên thiết bị. Dù NSO Group sau đó có thể đã nghĩ ra cách vượt qua cảnh báo thời gian thực này, chúng tôi chưa thấy trường hợp nào PWNYOURHOME được sử dụng thành công trên thiết bị đã bật Lockdown Mode”
Liệu những cuộc tấn công như vậy có thể bị phát hiện bằng bộ kiểm tra gói tin sâu cá nhân hoạt động ở cấp router, hoặc một công cụ bắt gói tin đơn giản không?
Một giải pháp đơn giản khác có thể là router di động DIY tích hợp kiểm tra gói tin sâu hoặc bộ phân tích mạng
https://citizenlab.ca/wp-content/uploads/2020/11/Annotated-B...