با تاخیر درب انبار را روی پگاسوس بستیم

مردم از گزارش هایی مبنی بر استفاده از ابزار نظارت گروه NSO Pegasus برای جاسوسی از روزنامه نگاران ، مخالفان سیاسی و دیگر مخالفان رژیم در سراسر جهان می ترسند. خسته کننده است و ارزش بحث دارد. اما چرا ما شوکه شده ایم؟

من در زمینه امنیت اطلاعات تخصص دارم. با موارد بزرگ مانند نظارت بر دولت-ملت ، این به معنی تجزیه و تحلیل انگیزه های دولت-ملت است. به عبارت دیگر ، من از تئوری بازی (مسلماً توسط آماتورها) استفاده می کنم. در مورد Pegasus ، نظریه بازی روشن است: برخی از شرکتها موظف به توسعه نرم افزارهای نظارتی بودند ، برخی از دولتهای کمتر سختگیرانه موظف به خرید آن بودند و در نهایت آنها دستگیر می شدند.

بسیاری از رسانه هایی که خوانده ام در مورد تاثیرات اجتماعی هک تلفن های هوشمند افرادی فکر کرده اند که اکثر ما معتقدیم لیاقت آن را ندارند. برای من ، این تمرین ذهنی یک تمرین خوب است. اما ورزش سالم نیاز به فرم خوب دارد. برای ضربه زدن به همه گروه های عضلانی ، بیایید در مورد سازنده Pegasus ، ماهر و هدف او فکر کنیم.

یک جانور افسانه ای که برای جنگ سایبری پرورش داده شده است

پگاسوس پیش از این برای بررسی عموم به زیر کانون توجه داغ کشیده شده بود. مهم نیست که NSO چقدر منحصر به فرد می تواند به شما بگوید ، Pegasus دسته نرم افزاری است که به خوبی شناخته شده است. در سال 2015 ، شرکت فناوری نظارت ایتالیایی Hacking Team ، از قضا هک شد و مشاهده کرد که کد منبع آن به صورت آنلاین برای همه جهان نشت کرده است. یک سال قبل از آن ، کد منبع FinFisher گاما نیز حذف شد.

نگاهی به دهان این اسب پرنده نشان می دهد که می تواند همه کارهایی را انجام دهد که دولت “نظارت” می تواند به آن امیدوار باشد. Pegasus می تواند عکس ها ، پیام ها ، ضبط های صوتی و تصویری ، لیست مخاطبین و گذرواژه های دستگاه های آلوده را ضبط کند. یک فروشگاه سخت افزاری از طریق پیام کوتاه با پیوند بار ایجاد می کند. با این حال ، ترفند واقعی این است که کاربر حتی نمی تواند آن را ببیند ، زیرا می تواند از کشوی اعلانات و برنامه پیام کوتاه جلوگیری کند.

احتمالاً می توانید حدس بزنید چرا این برنامه وجود دارد. یافتن یک نهاد دولتی غیرممکن است که نتواند از تلفن های هدف خود برای شناسایی تهدیدات امنیت ملی استفاده کند. با این حال ، هر کشوری نمی تواند در خانه ابزار جاسوسی ایجاد کند. وارد گروه NSO و دوستان شوید.

مسئله این نیست که هر کشوری به طور منطقی “تهدید” را می داند. حتی رژیم های اقتدارگرا باید از شهروندان خود محافظت کنند – آنها بیشتر مراقب خود هستند.

واضح است که NSO انتظار داشت تبلیغات بدی را متحمل شود اگر یک فرد قوی محصولات خود را بر معترضان مسالمت آمیز تحریک کند. برای جلوگیری از این امر ، NSO قسم خورده است که به دولتهای سرکوب کننده نمی فروشد. هوش مصنوعی ادعا می کند که لیستی از 50،000 شماره تلفن هدف از Pegasus دارد که ثابت می کند NSO این کار را انجام می دهد.

این قطعاً ممکن است درست باشد ، اما هیچ یک از دو طرف شواهدی برای اثبات قاطع پرونده خود ارائه نکرده اند. از یک جهت ، چگونه می توان مطمئن بود که سیستم های موجود در لیست بلوک NSO به طور قانونی نرم افزار را خریداری کرده اند (یعنی آن را خریداری کرده اند)؟ هک یا مهندسی معکوس ابزارها قطعاً امکان پذیر است. آیا کسی در شرکت می تواند نسخه ها را هک کرده و آنها را به صورت غیرقانونی بفروشد؟

فرض بر این است که لیستی از 50،000 شماره به دست آمده است که نشان می دهد NSO هوایی نیست. در حال حاضر مشخص نیست که چگونه فهرست هوش مصنوعی تدوین شده است. ممکن است این سازمان افشاگر یا هکری را که لیست را فاش کرده است بپوشاند ، اما ما نمی توانیم این منطق را فرض کنیم.

یک نظریه این است که هر واحد فرماندهی Pegasus لیست هدف خود را به NSO منتقل می کند ، و اینکه کسی لیست هدف ترکیبی NSO را لو داده یا سرقت کرده است. NSO هر دلیلی برای طراحی Pegasus برای این کار دارد.

1. اجرای ممنوعیت سرکوبگر دولت را ممکن می سازد. در غیر این صورت ، چگونه مطمئن می شوید که برنامه شما بیش از دیدن اهداف ، افراد اشتباه را هدف قرار نمی دهد؟ صدای هوش مصنوعی نشان می دهد که NSO واقعاً اهمیتی نمی دهد ، اما دشوار است که استدلال شود که NSO حتی می تواند بدون این عملکرد هر گونه تلاش لازم را انجام دهد.
2. اگر اسناد اسنودن چیزی به ما می آموزد ، این است که تواناترین نیروهای اطلاعاتی قرن بیست و یکم آنهایی هستند که از بخش خصوصی داخلی خود استفاده می کنند. NSA شرکت های آمریکایی با دسترسی جهانی را سرقت کرد و آنها را مجبور کرد که اطلاعات خود را بدست آورند.
3. چرا کسی باید فکر کند که اسرائیل ، با یکی از تهاجمی ترین سازمان های اطلاعاتی دفاعی در جهان ، همین کار را نمی کند؟ اطلاعات اسرائیل از دارایی های دفن شده NSO بسیار سود خواهد برد. یا NSO قبلاً این داده ها را دریافت کرده است و توسط اطلاعات اسرائیلی درخواست یا سرقت شده است ، یا اطلاعات اسرائیلی کدی را برای جمع آوری آنها وارد کرده است.

ادعای NSO مبنی بر اینکه “هیچ اطلاعاتی در مورد جزئیات فرایندهای نظارت بر مشتری ندارد” این نظریه را پیچیده می کند و با این ایده که NSO اصلاً مشتریان را دنبال می کند ، در تضاد است.

با این حال ، یک درس دیگر برف نشان داد که دانشمند هوش بازی های کلمه ای را دوست دارد که به او امکان می دهد با توجه به یک تعریف داخلی دردناک و عذاب آور از اصطلاحات رایج ، اظهارات فنی صحیح انجام دهد.

به عنوان مثال ، NSA ادعا می کند که داده های آمریکایی ها را فقط با جمع آوری آنها “جمع آوری” نمی کند ، زیرا در اصطلاح NSA ، “جمع آوری” به این معنی است که یک تحلیلگر انسانی در NSA در حال بررسی داده ها است. چرا فروشنده محصولات نظارت خصوصی همین کار را نمی کند؟

مظنونین معمول در اینترنت

مانند همه محصولات ، ابزارهایی مانند Pegasus به دلیل خریدار وجود دارند. به طور خاص ، پگاسوس به اندازه کافی قدرتمند است که می تواند با بودجه های هژمونی زیرمنطقه ، به مشتریان قابلیت های اطلاعات ملی قابل احترامی را ارائه دهد. کشورهایی که نمی توانند با منابع ایالات متحده یا چین مطابقت داشته باشند ، همچنان می خواهند با سگ های بزرگ در کنترل بدوند.

همانطور که قبلاً ذکر شد ، رژیم های غیر دموکراتیک دارای شهروندانی هستند که باید از آنها نیز محافظت شود. این مشاهده هیچ ایرادی ندارد ، بنابراین دولتها بر آن تکیه می کنند تا به فعالیتهای خود هوایی از مشروعیت بخشند.

کدام فروشنده سخت افزاری نظارتی به آن نه می گوید؟ فروشندگان فناوری های نظارتی کارشناسان ژئوپلیتیک نیستند ، بنابراین آنچه ممکن است برای ناظران خارجی یک جناح سیاسی معمولی به نظر برسد ، ممکن است تهدیدی وجودی برای ملت باشد یا بالعکس. البته خریداران اسلحه با قصد مخرب معمولاً آن را تبلیغ نمی کنند.

این کار پیچیده ای است زیرا معیار سنتی “فروش به این مشتری خلاف قانون است” زمانی مبهم می شود که دولت مشتری باشد – مانند قاضی درد ، آنها قانون هستند.

دولتهای خودکامه تعاریف ملایم تری نسبت به آنچه تهدیدی برای امنیت به شمار می رود ، نسبت به کشورهای دموکراتیک اعمال می کنند.

بسیاری از شرکت های فناوری آمریکایی در چین فعالیت نمی کنند زیرا با وجود قانونی بودن کامل آنها بر اساس قوانین چین ، از همکاری با درخواست های دولت چین برای دریافت اطلاعات خود سر باز می زنند. این به این دلیل نیست که شرکت های آمریکایی نمی خواهند به شهروندان چینی کمک کنند تا از حملات خشونت آمیز در امان بمانند ، بلکه به این دلیل است که دولت چین هرگونه انتقاد آشکار از دولت را به عنوان تهدید ایمنی طبقه بندی می کند.

هنگامی که کشوری با تعهد مشکوک به حقوق بشر ، نرم افزارهای جاسوسی خود را بدست آورد ، طیف بی سیم محدودیت دارد. آنها احتمالاً همانطور که قول داده بودند ، به دنبال افراد بد محلی می گردند. اما در نهایت ، آنها می خواهند مانند دیگران دیدنی های خود را در خارج آموزش دهند.

این در اصل جاسوسی در طول تاریخ بوده است: ببینید مرد دیگر چه خوب یا بد برای شکست آنها عمل می کند. به طور سنتی ، هر خارجی با قدرت سیاسی یا مالی یک هدف اطلاعاتی معتبر است.

این واقعیت که مکرون در لیست عفو بین الملل قرار داشت نشان می دهد که از ابزارهای NSO برای اطلاعات سیگنال های خارجی استفاده می شود. می توان گفت که بسیار بعید است که فرانسه از مکرون جاسوسی کرده باشد. با این حال ، مطمئناً سایر کشورها علاقه مند خواهند بود که بدانند رهبر یک قدرت متوسط ​​غربی چه می خواهد.

آیا اگر بتوانید از کسی در هر مکانی جاسوسی کنید ، جلوی جنایتکاران خشن محلی را می گیرید؟

همانطور که کشورها ارتباطات انتقادی ، زیرساخت های تجاری و مدنی خود را به صورت آنلاین به صورت آنلاین انتقال دادند ، این مقطع اجتناب ناپذیر بود. اقتصاد فناوری دیجیتال فقط این اجتناب ناپذیری را تسریع کرده است.

Pegasus یک نقطه غیرقابل انکار است که در آن فروشندگان دستگاه های نظارتی خصوصی به کشورها اجازه جاسوسی می دهند که در غیر این صورت نمی توانستند. این یک مثال عالی از پویایی متمایز امنیت اطلاعات است که بروس اشنایر در جدیدترین کتاب خود با نام “اینجا را کلیک کنید تا همه را بکشید” نشان می دهد.

برای اقتباس از مثال او ، اگر کشوری جاسوس نخبه ای داشته باشد که بتواند اطلاعات را از هر جایی استخراج کند ، آن شخص هنوز می تواند در یک زمان فقط از یک کشور جاسوسی کند و نمی تواند مهارت های خود را به سرعت به دیگران منتقل کند. اما سوء استفاده ها را می توان در یک ابزار جاسوسی قرار داد ، در اختیار هر کسی قرار داد و سپس به طور همزمان در برابر اهداف هر کاربر قرار داد.

در ابتدا ، فقط کشورهای پیشرفته نظامی می توانستند قابلیت های نظارت دیجیتالی را توسعه دهند. در حال حاضر ، هکر مشتاق می تواند تجارت خود را با ابزارهای نقطه و شلیک انجام دهد و هر کشوری که از آنها استفاده می کند ، نظارت ناچیزی از هزینه را ارائه دهد. این واقعیت های اقتصادی به طور پیوسته در حال توسعه بود – ما هنوز در حال حاضر متوجه آنها هستیم.

عدم وجود کنوانسیون ژنو در فضای مجازی

این واقعیت که این حقایق سخت منطقی هستند برای هیچ کس آنها را نرم تر نمی کند. بررسی دقیق پیامدهای برنامه های همه جا مانند پگاسوس ، دنیای تکان دهنده تری را نشان می دهد که مصرف کنندگان اخبار معمولی تصور می کنند.

برخی از نوشته های تحلیل پگاسوس که خواندم از این که خوانندگان مشتاق تقویت امنیت خود هستند ، قدردانی می کردند ، زیرا آنها با قطع “بهترین شیوه ها” مانند تنظیم گذرواژه های منحصر به فرد با آنتروپی بالا ، استفاده از برنامه های پیام رسانی رمزگذاری شده و اجتناب از پیوندهای مشکوک به نتیجه رسیدند. متأسفانه ، این توانایی قبلی پگاسوس را برای به خطر انداختن سیستم عامل های کاملاً وصله دار بدون تعامل کاربر نادیده می گیرد.

مهمتر از همه ، همانطور که در گذشته اشاره کردم ، اکثر کاربران هرگز مورد حمله افرادی مانند Pegasus قرار نخواهند گرفت ، بنابراین نگرانی اتلاف وقت است.

بر اساس مدل قیمت گذاری NSO ، Pegasus برای نظارت جمعی مناسب نیست. با توجه به دهها هزار دلار برای هر هدف ، نظارت بر گروهی از میلیون ها نفر از جمعیت بسیار پرهزینه است ، اما برای پیگیری لیست هدف اولویت دار چند صد نفری مفید است. اگر رعایت کنید و تسلیم شوید – اکثر مردم انجام می دهند – خوب خواهید بود.

دلیل دیگری که من فکر می کنم ما شاهد گزارش های انفجاری هستیم این است که چانه زدن بر روی یک دستگاه بسیار روشن تر از مشاهده غیرفعال ستون فقرات اینترنت یا سوئیچ های ارتباطی است.

آژانس های اطلاعاتی در سراسر جهان از جمع آوری داده ها در حال انتقال به جمع آوری داده ها در حالت خواب تبدیل شده اند ، زیرا استفاده از رمزگذاری اطلاعات قبلی را چندان مفید نکرده است. بوییدن بسته ها در هوا یا از طریق سیم همیشه اولین انتخاب سازمان های اطلاعاتی بوده است فقط به این دلیل که راحت ترین کار بوده است. از لحاظ تاریخی ، آژانس های اطلاعاتی نیز دستگاه ها را هدف قرار داده اند ، اما معمولاً فقط افراد برتر را مورد هدف قرار داده اند.

اما اکنون که بسیاری از ترافیک رمزگذاری شده است ، منطقی است که بر نقاط پایانی آنها تمرکز کنیم. تمام داده های آن چت های رمزگذاری شده سر به سر بر روی دستگاه های فرستنده و گیرنده است ، در حالی که دستگاه روشن است و بالغ می شود ، رمزگشایی می شود. دلیلی وجود دارد که به آن رمزگذاری “end-to-end” می گویند و نه “end-end-end”.

به صلح سایبری فرصت می دهیم؟

هدف من در اینجا این نیست که نگران نباشم و بمب دیجیتالی را دوست داشته باشم ، بلکه نگرانی م productثر است. شاید NSO مجبور باشد مشتریان خود را با دقت بیشتری انتخاب کند ، اما ما نمی توانیم روی آن حساب کنیم. در مورد افرادی که ایمیل های شما خوانده می شوند بسیار مراقب باشید و مشتریان مشاغل خود را به جایی دیگر ببرند.

ما مردم عادی چه می کنیم؟ کمتر از آنچه ما می خواهیم ، اما هیچ چیز. اگر این به ما چیزی می آموزد ، این است که ما باید محدودیت دستگاه های خود را درک کنیم. برنامه های پیام رسانی رمزگذاری شده از داده های منتقل شده در اینترنت محافظت می کند ، اما این چیزی نیست که ابزارهای جاسوسی پیچیده مورد هدف قرار می دهند. استثنائاتی مانند stingrays وجود دارد ، اما شاید متوجه شده باشید که عناوین stingray این روزها چندان رایج نیستند.

تلفن شما سزاوار اعتماد شما به موارد واقعاً حساس نیست. در مورد ، من نمی دانم که متخصصان امنیت اطلاعات معاملات بانکی را با تلفن های خود انجام می دهند ، و من نیز نمی دانم.

اگر فکر می کنید جاسوسی NSO که مشتریان خود را قادر به انجام این کار می کند عالی نیست ، برای بازیکنان کارت قرمز کافی نیست – قوانین بازی باید تغییر کند. دوباره ، NSO نزدیک و خریداران فروشندگان جدیدی پیدا خواهند کرد. در حالی که اینترنت از مرزها فراتر می رود ، قوانین نمی توانند. فروشندگان مانیتور در هر کجا که کسب و کار قانونی است ، مغازه ایجاد می کنند.

برای صفحه دیگری (تحت اللفظی) “برای کشتن همه اینجا را کلیک کنید” نگرش نسبت به تحقیقات و افشای آسیب پذیری باید تغییر کند. اگر دولتها آسیب پذیری ها را به جای ذخیره آنها نشان دهند ، می توان آنها را وصله کرد و از استفاده همه آنها (یا سوء استفاده از آنها) جلوگیری کرد. و اگر قوانین از محققان خوش فکر حمایت کنند ، ما سگهای شکاری خواهیم داشت که آسیب پذیری ها را پیدا می کنند.

تا آن زمان ، تا زمانی که باید پول به دست آورد و مقامات تنظیم کننده آن می توانند پاداش دریافت کنند ، یک نهاد نگهبان می فروشد ، یک نهاد دیگر را خریداری می کند و یک نهاد دیگر اجازه می دهد این اتفاق بیفتد.

نظرات بیان شده در این مقاله نظرات نویسنده است و الزاماً منعکس کننده نظرات شبکه خبری امارات متحده عربی نیست.