Кібербезпека: основи
Виявляється, хакнути смартфон без жодної участі користувача можна не тільки через завантаження файла у спільні чати, а й простим дзвінком у месенджері.
Нещодавно Meta, якій належить WhatsApp, поділилася деталями ураження більш ніж 100 абонентів цього месенджеру внаслідок застосування проти них супер елітного комплексу Pegasus, розробленого ізраїльською компанією NGO Group. Сталося це у 2019 році, закрили вразливість у 2020-му і наразі вона вже не працює. Хоча не для всіх, але про це згодом.
Зараз розкажу, як таке стало можливим, чи досі є актуальними загрози і що робити.
Отже, як відбувалася ця атака у 2019 на деяких користувачів у WhatsApp.
NGO Group брала доступний код WhatsApp, розбирала його на молекули (extracting, decompiling and reverse-engineering WhatsApp’s code), створювала свої «інсталяційні сервери WhatsApp» (WIS) і відправляла через них спеціально сформовані шкідливі запити (malformed messages) на справжні сервери WhatsApp від імені начебто легітимного користувача. І таким чином встановлювали свого шпигунського агента. Там ще багато технічних подробиць: про сигнальні сервери, автентифікацію та CVE-2019-3568, але то більше для технічних фахівців (гуглити zero-click incoming call WhatsApp
Pegasus).
Звісно, 99,99% користувачів месенджерів навряд чи стануть жертвами Пегасів чи інших Графітів – переважно через астрономічно високу вартість таких хакерських інструментів. Ціна зараження одного абонента – від кількох десятків до кількох сотень тисяч доларів, тому абсолютній більшості це не загрожує.
Але розслабляти булочки поки рано. Тому що загрози можуть залишатися актуальними ще багато років, навіть після виявлення. Поясню на прикладі.
Життєвий цикл будь-якого елітного шкідливого софта (malware) приблизно такий: спочатку про нього ніхто не знає крім розробника і він продається заможним (переважно державним) клієнтам за багато мільйонів доларів. Клієнти його застосовують проти своїх ворогів (жертв) і з часом ця малварь «палиться» (детектується) і тому її статус знижується з топового «0-day» (вразливість нульового дня) до вже поюзаного «1-day». Відповідно з різким зниженням ціни.
Тобто на цьому етапі (1-day) про цю вразливість знають не лише лиш всі (С), а вузьке коло фахівців. Але досить скоро статус ще більш різко знижується, про вразливість дізнається майже уся світова кібербезпека і її опис разом із способами захисту з’являється приблизно скрізь.
Розроблені засоби захисту від такої вразливості доставляються користувачам через «патчі» – оновлення як самих застосунків, так і операційних систем.
І пересічному користувачу, щоб захиститися від раніше високорівневих, а тепер вже «сміттєвих» загроз, достатньо всього лише завантажити усі оновлення.
Але наразі багато користувачів не роблять навіть такої простої операції. Не роблять з різних причин: від банального «а я не знав» до свідомого «не дозволю мене підслуховувати».
Також бувають випадки, коли оновлення ОС може призвести до часткової або повної непрацездатності операційної системи смартфону, здебільшого тимчасової. А то й до повного крашу системи. І для декого це є аргументом не оновлюватися. Можу сказати, що подібні випадки трапляються раз на кілька років, а нормальні оновлення, які усувають старі вразливості – приблизно раз на місяць (плюс-мінус). Тому з огляду на все це моя порада така: оновлювати усе і завжди, але через день-два після виходу свіжого патчу, коли можливі проблеми оновлення вже виявлять та пофіксять.
До речі, і про патчі, і про інші правила особистого кіберзахисту (зокрема про рекомендовані месенджери), я повільно й детально розказую на моєму власному онлайн-курсі.
Але чим мене зацікавила саме ця історія.
Деталі цієї атаки з’ясувалися аж за 5 років після її проведення. А це означає, що можливості хакерів, актуальні сьогодні – теж розкриються через роки. І найімовірніше, про більшість з них невідомо сьогодні навіть самим розробникам месенджерів.
А ще подібні техніки можуть донині успішно «працювати» у менш просунутих месенджерах. А у майже ніяк не захищених типу телеграма чи дискорда – там взагалі страшно уявити, що коїться.
Тому порадив би не відповідати на дзвінки від незнайомців у месенджерах: легальний абонент може спочатку написати повідомлення, представитися і пояснити, що хоче. Якщо щось не так – можна просто заблокувати.
Дзвінки зі звичайної стільникової мережі навряд чи можуть нести суттєву загрозу – просто через застарілість технології – але не раджу передзвонювати на пропущені з незнайомих номерів. Кому дуже треба – той набере ще раз.
Спам-дзвінки слід просто блокувати у телефоні.
Загалом порад у мене багато і всі не розкажеш у короткому дописі. Тому я зібрав усе в окремому курсі.
Наприкінці скажу окремо про WhatsApp: цей випадок не означає, що цей месенджер – несек’юрий, скоріше навпаки: виявив складну атаку, подав до суду на NGO Group, попередив користувачів про загрозу ще у 2019, та й має наскрізне шифрування за замовчуванням. Далеко не найгірший месенджер.
А найбільш сек’юрні месенджери, як на мене, такі: це Signal, Threema, Wire, Session, SimpleX. Категорично не рекомендую Telegram.
Принагідно закликаю усіх навчатися базовій кібербезпеці – і навчати цьому дітей.