1 poin oleh GN⁺ 2023-09-14 | 1 komentar | Bagikan ke WhatsApp
  • iPhone milik Galina Timchenko, salah satu pendiri sekaligus penerbit Meduza, terinfeksi Pegasus pada 10 Februari 2023, menjadi kasus pertama yang terkonfirmasi terhadap jurnalis Rusia
  • Analisis Access Now dan Citizen Lab menunjukkan penyerang dapat mengakses mikrofon, kamera, memori, foto, kalender, alamat, hingga percakapan di messenger terenkripsi; infeksi tersebut tampaknya terkait dengan kerentanan PWNYOURHOME melalui HomeKit·iMessage
  • Keesokan hari setelah infeksi, Timchenko menghadiri seminar tertutup di Berlin bersama para pekerja media independen Rusia di pengasingan, dan saat itu ponselnya dapat digunakan seperti alat penyadap
  • NSO Group menyatakan Pegasus hanya dijual kepada pelanggan pemerintah untuk tujuan penanggulangan kejahatan dan terorisme, tetapi Access Now dan Citizen Lab menyoroti dugaan penggunaan di Eropa seperti Latvia, Estonia, dan Jerman, serta kemungkinan pengawasan lintas batas
  • Pelaku dan tujuan serangan belum dipastikan; kasus Timchenko mengungkap tren di Eropa yang memperlakukan jurnalis sebagai ancaman keamanan nasional serta celah regulasi spyware komersial

Dari peringatan ancaman Apple hingga konfirmasi infeksi

  • Pada 22 Juni 2023, Galina Timchenko menerima peringatan ancaman dari Apple terkait state-sponsored attackers dan meneruskannya ke tim teknis Meduza
  • threat notifications dari Apple adalah peringatan yang dikirim ketika pengguna menjadi target individual karena “siapa mereka atau apa yang mereka lakukan”
    • Apple menjelaskan bahwa serangan yang didukung negara sangat kompleks, sering membutuhkan biaya jutaan dolar untuk dikembangkan, dan kerap berumur pendek
    • Peringatan yang diterima Timchenko tidak menyebut negara terkait
  • Kepala teknologi Meduza meminta dukungan eksternal
    • Access Now adalah organisasi nirlaba yang mendukung hak sipil digital dan praktik keamanan pengguna di seluruh dunia
    • Citizen Lab adalah laboratorium riset di University of Toronto yang menyelidiki aktivitas spionase digital terhadap masyarakat sipil
  • Access Now dan Citizen Lab mengumpulkan data perangkat Timchenko dan melakukan pemeriksaan cepat, lalu mengonfirmasi bahwa iPhone tersebut terinfeksi Pegasus pada 10 Februari 2023

Hak akses yang diperoleh Pegasus

  • Infeksi Pegasus memberi penyerang akses penuh ke iPhone Timchenko
    • Dapat mengakses mikrofon, kamera, dan memori
    • Dapat melihat alamat rumah, kalender, foto, dan percakapan di messenger terenkripsi
    • Dapat melihat layar secara langsung dan membaca pesan saat sedang ditulis
    • Dapat mengunduh email, pesan teks, gambar, dan file
  • Sulit bagi pengguna untuk mencegah atau menyadari infeksi
    • Pegasus dapat meretas perangkat hanya dengan satu aplikasi rentan, termasuk aplikasi bawaan Apple
    • Pengguna juga tidak mudah menyadari bahwa perangkatnya sudah terinfeksi
    • Timchenko pernah merasa iPhone-nya lebih hangat dari biasanya, tetapi mengira penyebabnya adalah charger baru
  • Citizen Lab melihat kemungkinan penyerang menyusup melalui HomeKit dan iMessage
    • Para peneliti menemukan jejak digital khas Pegasus
    • Kerentanan yang digunakan tampaknya adalah PWNYOURHOME, yang menargetkan fitur HomeKit bawaan iPhone dan menyalahgunakan iMessage untuk memasang spyware
    • John Scott-Railton mengatakan serangan ini dapat terjadi bahkan pada perangkat yang tidak mengaktifkan HomeKit

Rapat tertutup di Berlin dan waktu infeksi

  • Tanggal infeksi, 10 Februari 2023, adalah sehari sebelum Timchenko menghadiri rapat tertutup di Berlin
  • Pada 11 Februari, Timchenko dan pemimpin redaksi Meduza Ivan Kolpakov menghadiri seminar tertutup di Berlin bersama para pekerja media independen Rusia di pengasingan
    • Seminar tersebut diselenggarakan oleh komite penghargaan jurnalistik Redkollegia
    • Para pengelola media dan pengacara membahas persoalan hukum dalam menjalankan pekerjaan terkait Rusia di tengah sensor total Rusia serta penindasan terhadap jurnalis dan aktivis
    • Dua minggu sebelumnya, Jaksa Agung Rusia menetapkan Meduza sebagai “undesirable organization”, sehingga aktivitas pemberitaannya menjadi ilegal
  • Pegasus sudah berjalan ketika Timchenko menghadiri rapat tersebut
    • Penyerang dapat menyalakan mikrofon ponsel dari jarak jauh untuk merekam percakapan sekitar
    • Kamera juga dapat dinyalakan dengan cara yang sama
    • Natalia Krapiva dari Access Now menilai ponsel Timchenko mungkin telah digunakan sebagai alat penyadap untuk menguping rencana para jurnalis Rusia

Kasus pertama yang terkonfirmasi terhadap jurnalis Rusia

  • Kasus Timchenko adalah penggunaan Pegasus pertama yang terkonfirmasi terhadap jurnalis Rusia
  • Access Now memeriksa ponsel sekitar 20 jurnalis dan aktivis asal Rusia dan menemukan beberapa malware, tetapi sebelumnya belum pernah mengonfirmasi Pegasus
  • John Scott-Railton dari Citizen Lab menjelaskan bahwa spyware seperti ini dapat menyembunyikan file log dan jejaknya sendiri, sehingga infeksi sulit diidentifikasi
  • Citizen Lab dan Lookout Security pertama kali mengungkap jejak keberadaan Pegasus pada 2016
    • Laporan saat itu menyatakan “remote monitoring solution” milik NSO Group digunakan untuk mengawasi aktivis hak asasi manusia Uni Emirat Arab, Ahmed Mansoor
  • Citizen Lab melacak server yang diperlukan untuk operasi Pegasus dan server tempat informasi yang dikumpulkan dari perangkat terinfeksi dikirim
    • Access Now menjelaskan bahwa Pegasus lebih menyerupai layanan daripada sekadar produk, dan NSO Group menyediakan pelatihan operasional kepada negara pelanggan

NSO Group serta struktur biaya dan penjualan Pegasus

  • NSO Group mengklaim Pegasus dirancang khusus untuk memantau “teroris, kriminal, dan pelaku kejahatan seksual terhadap anak”
  • Perusahaan hanya menjual Pegasus kepada pelanggan negara
    • Para pendirinya mencakup mantan personel badan intelijen militer Israel dan Mossad
    • NSO Group mengedepankan kebijakan hak asasi manusia yang ketat, tetapi berbagai pemerintah telah menggunakan Pegasus untuk menargetkan pengkritik dan lawan politik
  • John Scott-Railton dari Citizen Lab mengatakan biaya akses Pegasus mencapai “puluhan juta dolar, atau lebih”
    • Pemerintah Meksiko menghabiskan setidaknya 61 juta dolar AS untuk teknologi Pegasus
    • Meksiko menggunakannya untuk mengawasi baik kriminal maupun tokoh masyarakat sipil
  • Menurut Natalia Krapiva dari Access Now, kontrak NSO Group mengizinkan sejumlah infeksi simultan tertentu
    • Misalnya, paket infeksi untuk 20 orang berarti dapat mengawasi 20 orang sekaligus
  • Pemerintahan Biden memasukkan NSO Group ke daftar hitam federal pada November 2021 sehingga tidak dapat menerima teknologi AS
    • Langkah ini diambil beberapa bulan setelah konsorsium Pegasus Project mengungkap penyalahgunaan spyware secara luas

Kemungkinan Rusia, Kazakhstan, dan Azerbaijan

  • NSO Group diketahui berupaya mencegah Pegasus digunakan untuk menargetkan nomor telepon AS atau Rusia
    • Pada 2020, para perancang Pegasus mengatakan ponsel terinfeksi tidak dapat berada secara fisik di wilayah AS, dan jika masuk ke dalam perbatasan AS, perangkat lunaknya dirancang untuk menghancurkan diri
    • Ketika Estonia membeli akses Pegasus pada 2019, NSO Group dilaporkan melarang penggunaannya terhadap target Rusia
  • NSO Group selama ini menyatakan Rusia dan China adalah negara yang “tidak akan pernah bisa menjadi pelanggan”
    • Perusahaan mengatakan mereka meninjau riwayat hak asasi manusia, korupsi, keamanan, keuangan, dan penyalahgunaan calon pelanggan
    • Pada Januari 2023, CEO Yaron Shohat mengatakan perusahaan berfokus pada bisnis inti memasok pemerintah sekutu AS dan Israel
  • Andrey Soldatov menilai badan intelijen Rusia di pasar teknologi spionase global berperan sebagai penjual, bukan pembeli, dan sangat paranoid terhadap spyware asing
    • Fakta bahwa data yang dicuri lewat Pegasus dikirim ke server dalam ekosistem NSO Group juga dapat menjadi beban bagi lembaga Rusia
    • FSB Rusia tidak menjawab pertanyaan Meduza terkait Pegasus
  • Access Now meninjau teori sementara bahwa Kazakhstan atau Azerbaijan mungkin melakukan serangan atas permintaan Moskow
    • Kedua negara tersebut diduga sebagai pelanggan Pegasus
    • Uzbekistan tidak dianggap sebagai pelanggan Pegasus pada periode tersebut
  • Namun sejauh yang diketahui para peneliti, Kazakhstan dan Azerbaijan belum pernah menjalankan serangan Pegasus di Eropa, sementara Timchenko berada di Jerman saat terinfeksi
    • Citizen Lab belum melihat bukti Kazakhstan menggunakan Pegasus di luar perbatasannya
    • Azerbaijan menggunakan Pegasus di luar negeri, tetapi satu-satunya negara yang tercatat oleh para peneliti adalah Armenia

Dugaan Pegasus di Latvia, Estonia, dan Jerman

  • iPhone Timchenko yang terinfeksi memakai kartu SIM Latvia
  • Citizen Lab pertama kali mencatat aktivitas terkait Pegasus di Latvia pada 2018, dan para pakar menilai Riga masih menggunakan produk NSO Group
    • Access Now juga tidak menutup kemungkinan serangan dilakukan oleh badan intelijen Latvia
    • Dua bulan sebelum infeksi, Latvia mencabut lisensi siaran lokal media Rusia lain di pengasingan, TV Rain, dengan alasan “ancaman terhadap keamanan nasional dan ketertiban umum”
  • Namun Citizen Lab tidak pernah mengamati kasus Riga menyerang target di luar Latvia dengan Pegasus, dan Timchenko terinfeksi ketika berada di Berlin
    • Badan Keamanan Negara Latvia menjawab bahwa mereka tidak memiliki informasi terkait kemungkinan serangan terhadap ponsel pintar Timchenko
    • Mereka tidak menjawab pertanyaan lain, termasuk apakah menggunakan Pegasus dan apakah mengawasi target di luar negeri, dengan alasan kerahasiaan informasi operasional
  • Estonia dipastikan membeli akses Pegasus pada 2019, dan Citizen Lab juga mendukung temuan ini
    • Scott-Railton mengatakan mereka melacak Estonia menginfeksi target lintas batas di beberapa negara Uni Eropa, termasuk Jerman
  • Kantor Kepolisian Kriminal Federal Jerman memperoleh akses Pegasus pada 2019 dan baru mengakui pembelian tersebut pada 2021
    • Jerman diketahui menggunakan versi dengan sebagian fungsi dinonaktifkan untuk mencegah penyalahgunaan, tetapi tidak menjelaskan cara kerjanya secara nyata
    • Krapiva mengatakan laporan European Data Protection Supervisor menilai bukan hanya bentuk asli Pegasus, melainkan bentuk Pegasus apa pun, pada dasarnya sulit selaras dengan hukum Uni Eropa

Masalah spyware komersial di Eropa

  • Scott-Railton menilai infeksi Timchenko di Berlin menunjukkan masalah Pegasus di Eropa belum terselesaikan
  • Jerman tidak menandatangani pernyataan bersama untuk menanggapi penyebaran dan penyalahgunaan spyware komersial
    • Pernyataan tersebut ditandatangani 11 negara, termasuk Denmark, Prancis, dan Swedia
  • Access Now menunjukkan bahwa empat negara anggota Uni Eropa yang menjadi pusat baru imigrasi anti-perang Rusia—Latvia, Estonia, Jerman, dan Belanda—semuanya diduga sebagai pengguna Pegasus
  • EU PEGA Committee menyatakan ada setidaknya 14 negara anggota dan 22 operator pengguna Pegasus di dalam Uni Eropa
    • Hanya kontrak NSO Group dengan Hungaria dan Polandia yang sudah dihentikan
  • Access Now melihat serangan terhadap Timchenko sebagai setidaknya kasus serupa keempat yang terjadi di Eropa dalam satu tahun terakhir
    • Meduza mengetahui detail kasus-kasus lain, tetapi para korban tidak ingin dipublikasikan
  • Krapiva menilai kecenderungan memperlakukan jurnalis sebagai ancaman di Eropa mulai tampak juga dalam hukum Uni Eropa
    • Ia memperingatkan bahwa beberapa rumusan dalam European Media Freedom Act melemah, terutama karena Prancis dan Swedia, sehingga pengawasan terhadap jurnalis dapat dibenarkan atas dasar keamanan nasional

Tanggapan NSO Group dan persoalan tanggung jawab

  • NSO Group tidak menjawab pertanyaan apakah mereka mengetahui serangan terhadap Timchenko, atau pelanggan mana yang mungkin menjalankan penyusupan tersebut
  • Juru bicara perusahaan menyatakan Pegasus hanya dijual kepada sekutu AS dan Israel, khususnya negara-negara Eropa Barat, dengan tujuan menanggulangi kejahatan dan terorisme
  • NSO Group menegaskan bahwa mereka menyelidiki semua dugaan penyalahgunaan yang kredibel, tetapi tidak menyatakan apakah siap melakukan investigasi internal atas kasus Timchenko
  • The New York Times melaporkan pada Januari 2022 bahwa sistem Pegasus mencatat semua serangan ketika ada keluhan, dan dengan izin pelanggan, NSO dapat melakukan analisis forensik setelah kejadian
    • Pada Juli 2022, kepala hukum dan kepatuhan NSO Group mengatakan kepada komite Parlemen Eropa bahwa 8 kontrak telah diakhiri melalui investigasi internal
  • Krapiva dari Access Now mengatakan setelah ratusan korban, ia menyimpulkan bahwa prosedur peninjauan internal NSO tidak ada atau hanya untuk pencitraan

Kondisi Timchenko dan Meduza saat ini

  • Timchenko membeli ponsel baru setelah penyusupan, dan tetap membawa iPhone yang pernah terinfeksi
    • Citizen Lab mengonfirmasi bahwa Pegasus tidak lagi terpasang di perangkat tersebut
    • Timchenko mengatakan ia memutuskan menyimpan perangkat itu seperti suvenir
  • Sejak Juni 2023, para pakar menganalisis ponsel puluhan staf Meduza
  • Belum diketahui informasi spesifik apa yang diincar penyerang
    • Kepala teknologi Meduza, Alexey, mengatakan sampai motifnya diketahui, mereka harus mengasumsikan skenario terburuk
    • Ia menilai tidak bisa menyingkirkan kemungkinan Rusia memerintahkan infeksi tersebut dan konsekuensi yang serius
  • Timchenko menyatakan akan bertindak sesuai nasihat pengacara ke depannya dan tidak akan bungkam

Tindakan saat dicurigai terinfeksi

  • Jika yakin sedang diawasi spyware, disarankan mencadangkan perangkat untuk mempertahankan bukti kemungkinan serangan dan menghubungi Access Now
  • Access Now memandang kondisi berikut sebagai dasar yang wajar untuk memeriksa infeksi spyware
    • Pernah mengalami persekusi oleh lembaga negara
    • Anda atau orang dekat sudah pernah menjadi target serangan digital
    • Menerima peringatan kemungkinan serangan malware dari perusahaan teknologi besar seperti Apple, Google, atau Meta
    • Menerima pesan mencurigakan melalui SMS, messenger, atau email
    • Menemukan “unusual login attempts” pada akun

1 komentar

 
GN⁺ 2023-09-14
Komentar di Hacker News
  • Saya penasaran seberapa besar kemungkinan NSO saat ini menyimpan sekitar 20 zero-day yang siap dikerahkan begitu kerentanan ditemukan dan ditambal
    Apakah Apple tahu, atau setidaknya punya gambaran, seberapa serius masalah ini bisa menjadi? Berapa pun uang yang dipakai NSO untuk membeli zero-day, bukankah Apple seharusnya bisa menaikkan bug bounty cukup tinggi untuk menarik mereka ke jalur legal? Dari artikel saja juga tidak jelas apakah pemasangannya membutuhkan tindakan dari pengguna. Kalau tidak perlu, apa yang harus dilakukan orang yang sedikit saja mencurigai dirinya menjadi sasaran pengawasan yang didukung negara? Tampaknya lebih aman untuk tidak memakai ponsel sama sekali, atau terus berganti perangkat bekas yang dibeli
    • Dari penjelasan yang pernah saya lihat di HN, komentar ini tampaknya paling tepat membedah NSO
      Pegasus bukan satu aktor peretas seperti yang digambarkan banyak artikel, melainkan sekumpulan layanan yang mengunduh data saat memiliki akses root ke ponsel, plus gudang zero-day yang kedalamannya tidak diketahui. Mungkin saja ada masa ketika Pegasus tidak berfungsi selama berjam-jam, berhari-hari, atau berminggu-minggu sampai zero-day diganti. Dari materi yang bocor diketahui bahwa mereka mencampur eksploit tanpa klik dan berbasis klik, serta mendukung beberapa sistem operasi ponsel
      Kemampuan peretasan mereka kemungkinan besar dilebih-lebihkan. Demi dukungan pelanggan yang mulus, bisa saja mereka membeli semua zero-day dan tidak menemukan satu pun sendiri. Zero-day tanpa klik untuk iPhone bernilai sekitar 2 juta dolar[1], dan perusahaan dengan kontrak seperti NSO bisa membeli banyak yang seperti itu. Media menggambarkan mereka seperti super hacker, padahal itu murni berlebihan; kenyataannya mereka lebih mirip sekelompok pebisnis korup yang menemukan cara memeras uang dari negara
      [1] https://arstechnica.com/information-technology/2019/01/zerod...
    • Menurut saya cukup besar kemungkinan NSO saat ini punya beberapa stok zero-day yang bisa langsung dipakai pada hari kerentanan ditemukan dan ditambal
      Satu pengembang exploit saja bisa membuat beberapa zero-day yang sudah di-weaponize dalam setahun, dan tidak mungkin mereka hanya punya satu pengembang yang mengerjakan hal seperti itu, jadi besar kemungkinan mereka menimbun puluhan kerentanan. Sebagian akan gugur karena tumpang tindih dengan kerentanan publik, tetapi masuk akal untuk menganggap bahwa meskipun satu ditutup, mereka sudah menyiapkan yang lain
      Pertanyaan apakah Apple bisa menaikkan bounty untuk menarik mereka ke jalur legal itu bagus, tetapi pada kisaran harga NSO, saya rasa sulit. Apple bisa saja menawarkan angka yang kompetitif, tetapi pekerjaan bug bounty jauh lebih berisiko. Kalau nasib buruk, atau tumpang tindih dengan kerentanan yang sudah dilaporkan, atau vendor bersikap rewel, orang bisa bekerja lama tanpa dibayar. Apple juga cukup terkenal buruk dalam hal itu
      Jika mencurigai adanya pengawasan yang didukung negara, mungkin lebih baik mulai dengan memakai beberapa ponsel. Gunakan protokol terautentikasi alih-alih SMS/MMS, dan fakta bahwa siapa pun bisa mengirim data yang tidak diinginkan ke ponsel itu sendiri tidak masuk akal. Kalau saya, layanan seluler juga akan saya matikan sepenuhnya kecuali saat melakukan panggilan keluar ke kontak yang dikenal
    • Saya sama sekali tidak melihat Lockdown Mode di artikel, padahal ini fitur yang dipromosikan agar pengguna dalam posisi seperti ini bisa mengurangi permukaan serangan
      Mengejutkan bahwa jurnalis yang melakukan peliputan berisiko tinggi tidak mengaktifkannya secara default. Banyak exploit tanpa interaksi seperti ini melewati kerentanan seperti image decoder yang dieksekusi begitu pesan diterima, tetapi akan diblokir bila Lockdown Mode aktif. Lockdown Mode juga menonaktifkan fungsi lain. Saya penasaran apakah ada yang pernah melihat bukti ponsel dengan Lockdown Mode aktif berhasil disusupi. Bukan berarti itu mustahil; saya hanya penasaran
    • Buku Pegasus karya Laurent Richard membahas kesulitan yang dialami para jurnalis yang mengungkap daftar bocoran Pegasus dan lebih dari 50 ribu target kepada dunia
      Bahkan orang yang semakin sinis terhadap jurnalisme seiring waktu akan dibuat rendah hati melihat kematian dan ketakutan yang harus ditanggung jurnalis untuk melawan rezim seperti Arab Saudi atau Maroko. Pegasus juga ada di ponsel Jamal Khashoggi dan orang yang dikenang sebagai kekasihnya
    • NSO mungkin memegang sekitar 3–10 zero-day tanpa klik
      Bahkan kalau NSO membakar semua produksi internalnya, broker kerentanan yang saya kenal punya puluhan stok bernilai jutaan dolar. Ini bukan rahasia. Para broker menjalankan perusahaan yang didirikan secara legal di AS dan menjualnya kepada pemerintah, perusahaan, serta vendor seperti Microsoft dan Apple yang membuat produk tidak aman. Apple tahu bahwa mereka merilis produk dengan puluhan hingga ratusan cacat keamanan kritis yang diketahui
      Ada dua alasan Apple tidak membeli semua zero-day. Pertama, keamanan tidak bisa dibeli dengan uang. Kedua, manfaatnya tidak lebih besar daripada biayanya
      Keamanan yang serius tidak bisa diselesaikan dengan uang. Saat ini Apple membayar 1 juta dolar[1] untuk eksekusi kode jarak jauh tanpa klik dengan persistensi, dan 2 juta dolar jika hal yang sama dilakukan di Lockdown Mode. Itu kira-kira harga satu rudal jelajah Tomahawk. Karena menemukan cacat keamanan seperti ini memakan sekitar 1–3 engineer-year, nilai bounty kira-kira ditetapkan setara biaya tenaga kerja. Jika mereka membayar 10 juta dolar, kira-kira harga satu tank M1 Abrams, ROI akan menjadi 10 kali lipat dan laporan baru akan membanjir. Sebab ada jauh lebih banyak cacat yang bisa terdeteksi pada level 10 juta dolar dibanding cacat yang terdeteksi pada level 1 juta dolar
      Namun untuk menghalangi negara, setidaknya harus naik ke level 100 juta dolar, harga satu F-16. Kalau pada level beberapa juta dolar saja sudah ada puluhan hingga ratusan cacat keamanan yang diketahui, pada level 100 juta dolar hampir pasti ada ribuan hingga puluhan ribu kerentanan. Jadi, bahkan jika pendekatan membeli semuanya demi perlindungan dari penyerang yang didukung negara itu mungkin, biayanya bisa mencapai triliunan hingga puluhan triliun dolar. Pada dasarnya hampir tidak ada yang berhasil melewati kisaran beberapa juta dolar dengan strategi menambal belakangan sistem seperti iOS atau Windows yang sejak awal tidak dirancang untuk keamanan

Apa yang sebenarnya didapat Apple dengan membeli zero-day? Meski ribuan celah keamanan dilaporkan, orang tetap terus membeli iPhone. Apple cukup membuat pemasaran baru seperti Lockdown Mode, dan semua orang merasa tenang. Ketika perusahaan yang selama ini hanya membuat produk yang bahkan tidak mencapai 1/100 dari tingkat yang dibutuhkan penyerang yang didukung negara mengeluarkan slogan promosi bahwa “kali ini benar-benar akan berhasil”, orang-orang menerimanya. Bahwa Apple sendiri tidak memercayai promosinya terlihat dari penetapan hadiah Lockdown Mode sebesar 2 juta dolar, dua kali lipat dari 1 juta dolar untuk iOS biasa. Itu masih hanya seperlima harga satu tank. Apakah penyerang yang didukung negara akan takut pada harga sebagian tank? Biaya membuka satu gerai McDonald’s saja lebih mahal. Perusahaan seperti Apple, Microsoft, Amazon, Google, Cisco, dan Crowdstrike hanya perlu berbohong, dan anehnya orang-orang tetap percaya bahkan untuk yang keseribu kalinya, sehingga pendapatan mereka terlindungi
Sistem TI komersial tidak sepenuhnya aman bahkan dari penyerang dengan pendanaan menengah. Jika ada operasi bernilai lebih dari 1 juta dolar atau risiko serangan tertarget, sistem apa pun yang digunakan, berapa pun jumlahnya, harus dianggap 100% rentan. Jika itu tidak dapat diterima, jangan gunakan sistem TI komersial standar yang memiliki konektivitas. Sayangnya, itulah satu-satunya solusi yang saat ini bekerja. Apakah akan menerima kompromi itu adalah keputusan masing-masing
[1] https://security.apple.com/bounty/categories/

  • Pada suatu titik dalam waktu dekat, kata “ponsel” di judul akan berganti menjadi mobil, dan akibatnya akan lebih tragis
    Saya penasaran berapa harga zero-day Tesla

    • Mungkin nilainya lebih rendah daripada ponsel
      Orang membawa ponsel seperti perpanjangan diri mereka, tetapi mobil hanyalah sarana untuk membawa dari titik A ke titik B
      Dan sebagian besar mobil modern memiliki Secure Gateway[1] yang hampir tidak terhubung ke internet, sehingga sistem yang terhubung hanya mendapat akses jaringan terbatas ke bagian lain kendaraan seperti mesin, powertrain, dan rem. Jadi saya kira kemungkinan serangan jarak jauh berskala besar rendah
      [1] https://blackberry.qnx.com/en/ultimate-guides/software-defin...
    • Ini sudah terjadi: https://www.youtube.com/watch?v=MK0SrxBC1xs
  • Menarik juga makna mitologi Yunaninya, bukan? Pegasus lahir dari darah Medusa

    • Awalnya saya kira ‘Meduza’ berasal dari bahasa Rusia /meduza/, yaitu ubur-ubur, tetapi ternyata memang merujuk pada Medusa dalam mitologi Yunani(1)
      Saat ditanya “Mengapa Meduza? Bukankah itu makhluk licin dan menjijikkan?”, sang jurnalis menjawab bahwa jurnalis pada umumnya menjijikkan, licin, hampir tidak ada yang menyukai mereka, dan itulah inti pekerjaannya. Ia juga mengatakan fakta bahwa Medusa bisa mengubah objek menjadi batu dengan sekali pandang cocok dengan jurnalis. Namun, sejujurnya, katanya nama itu dipilih secara kebetulan. Mereka ingin memakai nama monster Yunani kuno yang dipenggal tetapi hidup kembali, lalu memilih ‘Meduza’; setelah itu baru ingat bahwa sebenarnya itu Hydra, tetapi sudah terlambat
      1: https://meduza.io/cards/zaday-vopros-meduze, #75
  • Saya penasaran bagaimana Apple memutuskan siapa yang diberi tahu dan siapa yang tidak ketika mendeteksi malware seperti Pegasus
    Memberi tahu orang tersebut adalah tindakan yang benar
    Namun bagaimana jika orang itu jauh kurang terkenal? Misalnya orang biasa yang tinggal di negara demokratis? Apakah Apple tahu siapa yang menargetkannya? Jika tahu, apakah ada kriteria seperti “beri tahu kalau pelakunya Tiongkok atau Rusia”? Jika begitu, apa jadinya kalau Tiongkok atau Rusia memakai agen bayaran di negara demokratis untuk melakukan hal yang sama?
    Jadi terlalu banyak pertanyaan. Dan kalau Apple bisa mendeteksi malware semacam ini, mengapa tidak ada notifikasi langsung dari aplikasi lokal? Semacam antivirus untuk ponsel. Seharusnya hal seperti itu sudah ada; kalau tidak, bagaimana mereka bisa tahu?

    • Saya tidak tahu persis cara kerjanya, tetapi sepertinya biayanya terlalu besar untuk dijalankan langsung di perangkat
      Kemungkinan mereka menerima informasi seperti akun yang diketahui mengirim pesan berbahaya, lalu menelusuri log server untuk memastikan siapa saja yang menerimanya
  • Saya penasaran langkah praktis apa yang bisa diambil jurnalis atau aktivis yang percaya dirinya menjadi target orang-orang seperti ini
    Ada cara memakai perangkat berbeda untuk tiap aplikasi, misalnya memisahkan WhatsApp, Telegram, dan Signal. Bisa juga memakai frontend web dan mematikan ponsel, meski saya tidak tahu apakah itu bisa untuk semua aplikasi. Ada juga cara membuang perangkat secara berkala, menjualnya sebagai barang bekas, lalu membeli perangkat baru atau ponsel bekas. Perangkat hanya dipakai untuk membuat janji bertemu di lingkungan yang lebih aman, tidak berbicara ke ponsel atau mengirim pesan teks, dan selalu menganggap perangkat sudah disusupi
    Dan yang harus diberi sanksi adalah NSO, bukan NGO. Mereka sampah

    • Kalau begitu, sepertinya tidak banyak waktu tersisa untuk melakukan jurnalisme sungguhan
      Ruang untuk membawa perangkat lain juga akan kurang. Saat melintasi perbatasan, harus menjelaskan semua ponsel itu kepada kontrol perbatasan atau bea cukai; pasti akan cukup menarik
    • Di iOS, cukup aktifkan Lockdown Mode
      Mode ini dirancang persis untuk mencegah serangan semacam ini, dan sudah dikonfirmasi bahwa serangan ini akan gagal jika Lockdown Mode aktif
      Agar lebih pasti, matikan iMessage dan jangan gunakan iCloud sama sekali
    • Hal seperti ini juga tampaknya tidak buruk sebagai proyek open source
      Mirip GrapheneOS, terus mengurangi permukaan serangan, tetapi juga sepenuhnya menghapus kompromi terkait pemasangan aplikasi atau layanan Google
      Pada dasarnya ponsel yang hanya menyediakan pesan terenkripsi serta akses ke kamera dan mikrofon dalam kondisi yang sangat terkendali; kurang lebih hanya itu
      Jika batasannya besar, popularitasnya juga terbatas sehingga hampir tidak bernilai dibanding biaya untuk dijadikan target, dan bagi segelintir orang yang benar-benar membutuhkan perlindungan, pengorbanan seperti itu bisa memberi perlindungan yang lebih kuat
    • Sangat mungkin ada cara untuk mendeteksi infeksi dengan cepat juga. Caranya dengan terus memantau semua lalu lintas jaringan
      Jika semua pesan diekstraksi dan tangkapan layar sering diambil, akan cukup sulit menyembunyikan trafik keluar. Enkripsi mungkin dipakai, tetapi volume data sulit disembunyikan
      Ini akan lebih mudah jika sejak awal ponsel dikunci dalam konfigurasi minimal, karena hanya sedikit aplikasi yang menghasilkan trafik keluar
  • Menurut saya, ucapan Ivan Kolpakov bahwa ia “benar-benar terkejut bahwa mereka secara serius mendiskusikan kemungkinan negara Eropa melakukan hal ini” bukan soal ia naif, melainkan masalah utamanya adalah sebelum kejadian itu ia tidak menyelidiki apa yang sebenarnya dilakukan negara-negara Eropa dalam konteks seperti ini
    Jika sudah menyelidikinya lebih dulu, ia tidak akan terkejut, melainkan khawatir
    Kemungkinan lain, “keterkejutan” ini adalah keterkejutan ala film Casablanca
    Rick: Atas dasar apa kau bisa menutup tempatku?
    Captain Renault: Aku terkejut, terkejut mengetahui ada perjudian di sini!
    [Seorang krupier menyerahkan setumpuk uang kepada Renault]
    Croupier: Kemenangan Anda, Tuan
    Captain Renault: Oh, terima kasih banyak

  • Saya penasaran apakah ada sesuatu yang mencegah Pegasus menyebar sendiri, atau apakah ia harus selalu dipasang melalui serangan tertarget
    Apakah ada juga cara untuk memindai guna memastikan apakah perangkat terinfeksi?

    • Tidak ada alasan teknis yang mencegah Pegasus menyebar sendiri
      Beberapa kerentanan yang diketahui terkait dengannya bahkan mungkin bisa dijadikan worm. Namun dalam praktiknya, operator malware seperti Pegasus punya alasan praktis untuk menghindari penyebaran yang tidak terkendali. Kerentanan yang belum ditemukan dan belum ditambal harus tetap tersembunyi, sedangkan penyebaran tanpa batas akan sangat meningkatkan kemungkinan ditemukan dan dianalisis—sama saja membunuh “angsa bertelur emas”
      Jadi, setidaknya untuk saat ini, saya memperkirakan semua pemasangan Pegasus adalah hasil serangan tertarget. Sebaliknya, jika alatnya bocor dan menjadi mudah digunakan oleh banyak pelaku, insentifnya akan berubah, dan salah satu dari mereka bisa saja membuat worm yang menginfeksi perangkat di seluruh dunia yang belum ditambal
    • Pegasus tidak memiliki kode penyebaran mandiri bawaan
      Menulis kode semacam itu relatif sederhana. Kirim exploit lewat iMessage ke semua kontak target, lalu ulangi
      Namun itu justru kontraproduktif. Nilai jual utama Pegasus adalah pengawasan terhadap target, dan exploit seperti ini sangat mahal. Penyebaran yang tidak terkendali akan lebih cepat terdeteksi dan membakar sumber daya berharga
      Jika exploit semacam ini murah, mungkin bisa dibenarkan membuat varian yang otomatis menyerang seluruh buku alamat target untuk menggali jejaring sosialnya, tetapi setelah itu muncul masalah harus menganalisis data dalam jumlah sangat besar yang sebagian besar tidak berguna
    • Model bisnis NSO tampaknya didasarkan pada eksklusivitas kelas sangat tinggi dan sejumlah sangat kecil pelanggan korporat
      Secara teknis Pegasus bisa saja mengirim ulang dirinya sendiri untuk menginfeksi perangkat lain, tetapi karena tidak sesuai dengan model bisnisnya, saya rasa NSO tidak akan melakukannya secara rutin
    • Dari yang pernah saya baca, Pegasus tidak punya kemampuan menyebar sendiri dan harus dipasang lewat serangan tertarget
      Amnesty International juga memiliki, atau setidaknya dulu memiliki, alat yang bisa mendeteksinya: https://github.com/mvt-project/mvt
      Namun ini adalah perlombaan, jadi informasi lama mungkin sudah tidak berlaku. Meski begitu, karena infeksi memakai zero-day yang sangat mahal dan akan cepat ditambal jika ditemukan, saya tetap berpikir kecil kemungkinan mereka akan menambahkan fitur penyebaran mandiri ke depannya
    • Sejauh yang saya tahu, nomor telepon adalah titik masuknya
      Karena itu cara termudah dan tercepat untuk menargetkan seseorang. Di luar itu, proses memilah target akan menjadi lebih rumit. Jadi, selain mengaktifkan Lockdown Mode, jika tidak ada nomor apa pun yang aktif di ponsel dan tetap mengikuti langkah-langkah keamanan umum, secara teori itu bisa cukup melindungi. Pada akhirnya, jawabannya adalah tidak memakai smartphone
  • Saya penasaran apakah ponsel tersebut berada dalam Lockdown Mode
    Ada yang tahu seberapa efektif Lockdown Mode dalam menahan sebagian besar zero-day seperti ini?

    • Ponsel itu tidak dalam Lockdown Mode. Karena kalau diaktifkan, serangannya akan terblokir
      https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
      “Kami meyakini, sebagaimana juga dikonfirmasi oleh tim Security Engineering and Architecture Apple, bahwa Lockdown Mode memblokir serangan khusus ini”
      https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
      “Dalam waktu singkat, target yang mengaktifkan fitur Lockdown Mode di iOS 16 menerima peringatan waktu nyata ketika upaya exploit PWNYOURHOME terjadi pada perangkat mereka. NSO Group mungkin setelah itu telah merancang cara untuk melewati peringatan waktu nyata ini, tetapi kami belum melihat kasus PWNYOURHOME berhasil digunakan pada perangkat dengan Lockdown Mode aktif”
  • Bukankah serangan seperti ini bisa dideteksi dengan deep packet inspector pribadi di tingkat router, atau alat packet capture sederhana?
    Solusi sederhana lainnya mungkin berupa router portabel DIY dengan deep packet inspection atau penganalisis jaringan bawaan