image

EFF: Pegasus-spyware laat zien dat veiligere telefoons nodig zijn

vrijdag 23 juli 2021, 09:58 door Redactie, 22 reacties

Het bestaan van spyware zoals Pegasus laat zien dat er veiligere telefoons en andere apparaten nodig zijn, zo stelt de Amerikaanse burgerrechtenbeweging EFF. Hoewel de Pegasus-spyware al zeker sinds 2016 via zeroday-aanvallen wordt verspreid ontstond er deze week wereldwijd ophef na berichtgeving door mediaorganisaties, onderzoekscollectief Forbidden Stories en Amnesty International. Volgens onderzoekers is Pegasus gebruikt tegen telefoons van onder andere journalisten, activisten en politici over de hele wereld.

Om Pegasus te installeren wordt onder andere gebruikgemaakt van zerodaylekken in het besturingssysteem van smartphones. "Het staat buiten kijf dat we echt veilige toestellen nodig hebben. Hoewel elke software bugs kan bevatten en malware daar misbruik van kan maken, kunnen we veel beter. Om beter te kunnen, hebben we de volledige steun van onze overheden nodig", zegt Cindy Cohn van de EFF.

"Het is alleen beschamend dat de Amerikaanse overheid alsmede veel andere buitenlandse overheden in de Five Eyes en elders meer geïnteresseerd zijn in hun eigen eenvoudige, heimelijke toegang tot onze toestellen dan dat ze zijn in de echte veiligheid van onze apparaten", gaat Cohn verder. Ze merkt op dat teveel democratische en naar democratie neigende landen de verspreiding van malware zoals Pegasus faciliteren omdat ze het tegen hun eigen vijanden willen kunnen gebruiken.

"Totdat overheden wereldwijd niet meer in de weg staan en veiligheid voor ons allemaal ondersteunen, waaronder verantwoording en compensatie voor slachtoffers, zullen dit soort schandalen blijven plaatsvinden", stelt Cohn. "Overheden moeten erkennen dat de vijandigheid van inlichtingen- en opsporingsdiensten richting de veiligheid van toestellen gevaarlijk is voor hun eigen burgers, omdat een toestel niet kan zeggen of de malware waarmee het is geïnfecteerd afkomstig is van de good guys of de bad guys."

Het zijn echter niet alleen overheden die hier een rol spelen. Ook de fabrikanten moeten beter. "Apple doet zijn best, maar het probleem is dat ze niet zo hard hun best doen als hun reputatie doet vermoeden", zegt Matthew Green, cryptograaf en hoogleraar aan de Johns Hopkins University, tegenover Wired. Ook iOS-beveiligingsonderzoeker Will Strafach stelt dat Apple meer kan doen om iOS-toestellen op de aanwezigheid van spyware te onderzoeken.

Reacties (22)
23-07-2021, 10:10 door Anoniem
ben benieuwd hoeveel telefoons van de politie het Pegasus-spyware hebben want die mogen ze ook prive gebruiken smartphone hebben is een keuze
23-07-2021, 10:14 door Anoniem
daar zit je dan met je iPhone van 1000 jeuro's met jarenlange beveiligingsupdates denkende dat je veilig zit
23-07-2021, 10:25 door Anoniem
Dus je hebt een telefoon nodig met zo weinig mogelijk functionaliteiten, geen smartphone dus, wanneer er een verbinding gemaakt moet worden dan moet die verbinding altijd end-to-end versleutelt worden.

Alleen zerodays houdt je niet tegen.
23-07-2021, 10:38 door Anoniem
Volgens onderzoekers is Pegasus gebruikt tegen telefoons van onder andere journalisten, activisten en politici over de hele wereld.

Hoe meer politici deze en soortgelijke spyware op hun toestellen krijgen, hoe groter de prolitiek druk zal worden om toestellen beter te beveiligen.
Eigen belang is nog altijd het beste drukmiddel om iets gedaan te krijgen van politici.
Ze hebben teveel te verbergen. :-)


Tot die tijd voor journalisten en activisten:
Ga er van uit dat je toestel lekt. Doe er dus niets op dat je geheim wilt houden.
Paranoia is je vriend.
23-07-2021, 11:25 door Anoniem
die is er al Nokia 3310
23-07-2021, 11:27 door Anoniem
Daarom laat ik niet toe dat mijn identiteit, mijn medische data en mijn bankiergedrag op dat "speelgoed" komt. Het is TE onveilig. Die overdaad ook aan mogelijkheden - ik zou liever stevig en veel vet willen wegsnijden! Minder is veiliger.
23-07-2021, 12:26 door Anoniem



Tot die tijd voor journalisten en activisten:
Ga er van uit dat je toestel lekt. Doe er dus niets op dat je geheim wilt houden.
Paranoia is je vriend.


dit zullen normale mensen nooit snappen want ze weten niet hoe security werkt
23-07-2021, 13:58 door Anoniem
Door Anoniem: daar zit je dan met je iPhone van 1000 jeuro's met jarenlange beveiligingsupdates denkende dat je veilig zit

Sterker nog, daar zit je dan met je IPhone van 1000 Euro met een niet geupdated IOS versie (draait nog vanaf IOS versie toen de phone aangekocht werd) en dan ben je zo de sjaak.
Probeer die mensen (en dat zijn er veel!) maar eens ervan te overtuigen dat updates noodzakelijk zijn en als mensen het niet gaan doen dan gaan bedrijven dat doen, kijk maar naar Microsoft.
23-07-2021, 15:59 door Anoniem
Door Anoniem: die is er al Nokia 3310
No cure for the stoopid (atleast not knowing what you don't know).

Ook die draaien software en bevatten netwerk interfaces. Alleen zijn ze ancient en brak. Statelijke actoren kunnen zonder veel moeite zeroclick exploits uitrollen voor deze Nokia's. Ik kan me herinneren dat ik circa 4 jaar terug een news stuk las dat deze telefoons vaak gebreached werden via SMS zeroclick exploits en dat daar een heel groot netwerk europese politici mee bespioneerd werd. Dit, omdat hun beheerders en zei zelf dachten zoals jij.
23-07-2021, 16:10 door Anoniem
Na het rapport van AI (Amnesty International) gelezen te hebben over Pegasus, moet ik zeggen dat we hier te maken hebben met een uiterst gekwalificeerde operatie die zeker niet door beginnelingen is uitgedacht.

1) Pegasus maakt voornamelijk gebruik van iPhones om binnen te komen. De vraag is wat Apple nog kan doen als blijkt dat de crashrapporten die Pegasus veroorzaakt, stelselmatig door de spyware onderdrukt worden. Apple weet daardoor niet of er iets aan de hand is met een iPhone die door Pegasus is overgenomen.

2) Er wordt door Pegasus gebruik (misbruik) gemaakt van 0-days die in verschillende onderdelen van een iPhone kunnen zitten en dus ook via verschillende applicaties op het systeem te vinden zijn. Ook het uitbreken uit de sandbox behoorde tot de mogelijkheden van Pegasus, inclusief een jailbreak.

3) Providers die servers hebben, moeten ogenblikkelijk de servers en accounts van de Pegasus operators neerhalen. Amazon heeft dit direct gedaan nadat AI hier melding van maakte. Naar mijn idee zou er wereldwijd deze opschoonactie moeten gaan plaatsvinden. En daarbij mogen de Domain Name Servers (DNS) niet vergeten worden.

4) Pegasus kan de laatste iOS van Apple compromitteren. Gelukkig heeft Amnesty International alle gegevens van hun forensische zoektocht naar deze spyware aan Apple overhandigd. Die is nu aan de slag gegaan om de ontdekte kwetsbaarheden dicht te gooien.

5) Pegasus kan ook Android moeiteloos compromitteren, maar hier zit een adder onder het gras. Forensisch is het veelal moeilijker om vast te stellen hoe Pegasus op dit platform te werk is gegaan. Apple is wat dat betreft makkelijker doorzoekbaar. Voor Android is dat gewoon lastiger.

Hoewel Pegasus niet in Nederland is gedetecteerd, is het AI wel opgevallen dat een aantal servers hiervoor in Nederland gebruikt worden. Wie precies zijn deze hostingbedrijven? Graag zou ik willen zien dat deze servers ogenblikkelijk worden opgeschoont. Ik neem aan dat AI daarover de nodige informatie beschikt om deze hostingbedrijven op aan te spreken.
23-07-2021, 18:02 door Anoniem
Door Anoniem: daar zit je dan met je iPhone van 1000 jeuro's met jarenlange beveiligingsupdates denkende dat je veilig zit
Wanneer ze bij Apple echt iets gaven om jouw privacy, hadden ze allang standaard een firewall (interactief) ingebouwd.
23-07-2021, 20:18 door Anoniem
Door Anoniem:
Door Anoniem: daar zit je dan met je iPhone van 1000 jeuro's met jarenlange beveiligingsupdates denkende dat je veilig zit
Wanneer ze bij Apple echt iets gaven om jouw privacy, hadden ze allang standaard een firewall (interactief) ingebouwd.
Security is niet alleen een Firewall. Was dat maar waar.
23-07-2021, 20:35 door Anoniem
Door Anoniem:
Door Anoniem: die is er al Nokia 3310
No cure for the stoopid (atleast not knowing what you don't know).

Ook die draaien software en bevatten netwerk interfaces. Alleen zijn ze ancient en brak. Statelijke actoren kunnen zonder veel moeite zeroclick exploits uitrollen voor deze Nokia's. Ik kan me herinneren dat ik circa 4 jaar terug een news stuk las dat deze telefoons vaak gebreached werden via SMS zeroclick exploits en dat daar een heel groot netwerk europese politici mee bespioneerd werd. Dit, omdat hun beheerders en zei zelf dachten zoals jij.


veiligere telefoons nodig

dummy telefoons zijn toch echt veiligere telefoon dan met een die op internet kan en sms kan je uitzetten
23-07-2021, 20:53 door Anoniem
Waarom geen gebruik van een mobiele telefoon
zonder camera en mic scheelt al heel wat.

Waarom moeilijk doen als het makkelijk kan,
oh wacht nee dat kan niet,anders doe je niet meer mee
en wordt je niet geaccepteerd in de digitale maatschappij

The Matrix
24-07-2021, 12:32 door Anoniem
"Het staat buiten kijf dat we echt veilige toestellen nodig hebben. Hoewel elke software bugs kan bevatten en malware daar misbruik van kan maken, kunnen we veel beter. Om beter te kunnen, hebben we de volledige steun van onze overheden nodig", zegt Cindy Cohn van de EFF.

Maar heeft die Cindy dan niet in de gaten dat de overheden juist de KLANT zijn van deze malware en dus afhankelijk
zijn van die bugs? ALS er ooit al iets van de overheden te verwachten zou zijn om telefoons veiliger te maken, dan zal
dat zondermeer gepaard gaan aan een eis van diezelfde overheden om een formeel gedefinieerde backdoor te hebben.
24-07-2021, 16:53 door Anoniem
Door Anoniem: Waarom geen gebruik van een mobiele telefoon
zonder camera en mic scheelt al heel wat.

Waarom moeilijk doen als het makkelijk kan,
oh wacht nee dat kan niet,anders doe je niet meer mee
en wordt je niet geaccepteerd in de digitale maatschappij

The Matrix

Interessant;

Hallo. Hallo! Hallllooohoooo!!!

Mmm... duidelijk dat ze me niet horen daar, aan de andere kant. Zal wel weer een netwerkstoring zijn.

Of nee, wacht, geen mic in mijn telefoon, was ik even helemaal vergeten!
25-07-2021, 17:31 door Anoniem
Sterker nog, daar zit je dan met je IPhone van 1000 Euro met een niet geupdated IOS versie (draait nog vanaf IOS versie toen de phone aangekocht werd) en dan ben je zo de sjaak.

Ook de nieuwste iOS-versies zijn kwetsbaar.

Overigens wel eens ogevallen hoe snel er een jailbrake is als er een nieuwe iaoS-versie beschikbaar komt?
25-07-2021, 21:11 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: daar zit je dan met je iPhone van 1000 jeuro's met jarenlange beveiligingsupdates denkende dat je veilig zit
Wanneer ze bij Apple echt iets gaven om jouw privacy, hadden ze allang standaard een firewall (interactief) ingebouwd.
Security is niet alleen een Firewall. Was dat maar waar.

Het gebruik van een adaptieve firewall is op zich een goed idee, maar uit de informatie van het Citizen Lab blijkt dat de malafide domeinen van de psyware operatoren vaak wijzigen en dus meestal slechts kortstondig bestaan. De 'deny list' van een dergelijke firewall op je iPhone zou snel achter gaan lopen op de realiteit.
26-07-2021, 14:33 door Anoniem
Heel simpel. Mijd alles waar smart voor staat, apparaten moeten niet slim zijn of zelf nadenken. ;-) Wij werken met vijf Nokia 3310i's. Bij ons komt geen smartphone binnen. Ook het woord app is volstrekt taboe, die flauwekul hebben wij niet nodig. . In de praktijk blijkt dat wij al deze uitbreidingen totaal niet nodig hebben. Een telefoon is een leuterpantoffel, je medische en bancaire hebben en houden en andere pruttel hoort daar niet in thuis.

Wij beheren ca. 70 websites, dus wij leiden geen digibetair bestaan. Om deze reden hebben wij de KNAB er ook uitgebonjourd : "wij zijn een online bank dus u moet onze app gebruiken". Niks mee te maken. Graag of geens niet. En het scheelt veel tijd en kopzorgen.
28-07-2021, 08:57 door Anoniem
Zelf heb ik een Nokia 105 in gebruik. Deze heb ik nu inmiddels 1.5 jaar en ik mis mijn smartphone totaal niet. Tegenwoordig heb je wel een printer nodig voor de QR code’s als je je entree kaarten wilt laten zien bij binnenkomst van bijv. Dierentuin. Gisteren naar dierentuin geweest en ze hadden geen fysieke menukaart meer. Ipv daarvan hadden ze wel een grote QR code afgedrukt en op de tafel geplakt voor het bekijken van het menu op je smartphone.

Ik kreeg laatst wel de opmerking van een collega dat ik mij afzonder van de maatschappij en dat ik zo niet meer kan deelnemen omdat alles via de smartphone gaat.
30-08-2021, 18:55 door Anoniem
Een juridische analyse van biometrische
massasurveillance praktijken in Duitsland,
Nederland en Polen

https://edri.org/our-work/new-edri-report-reveals-depths-of-biometric-mass-surveillance-in-germany-the-netherlands-and-poland/

Index
...
4. Pegasus Spyware ........................ 124
4.1 An overview ........................... 124
4.2 Legal Analysis .................... 126
4.2.1 Surveillance Oversight .......... 126
4.2.2 The Inadequacy of Domestic Law .. 127
4.2.3 Mass Surveillance Concerns ...... 129
4.2.4 Human Rights Concerns ........... 130
5. Conclusion ............................. 132

A report of European Digital Rights (EDRi.org)

https://edri.org/wp-content/uploads/2021/07/EDRI_RISE_REPORT.pdf
14-09-2021, 14:04 door Anoniem
Door Anoniem: die is er al Nokia 3310

dat is nog veeeeel gevaarlijker
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.