L’anomenada CatalanGate, l’operació d’espionatge que ha afectat a diversos polítics independentistes catalans, ha popularitzat el nom del programa Pegasus, un software desenvolupat per l’empresa de ciberintel·ligència israeliana NSO Group. Està classificat per Israel com una arma i qualsevol exportació de la tecnologia ha de ser aprovada pel govern. I de fet a la web de la companyia s’indica que els seus productes només poden ser utilitzats per serveis d’intel·ligència governamentals i cossos policials per combatre el crim i el terrorisme.
Però, què hi ha darrere d’aquest software? Què el fa tan perillós?
Pegasus és un malware (Programa maliciós) del tipus spyware (Programa espia) semblant en funcionalitats i prestacions als que poden utilitzar els ciberdelinqüents per realitzar els seus ciberatacs, que permeten espiar trucades telefòniques, registres de trucades, SMS enviats i rebuts, àudio i vídeo com si fos un walkie-talkie. A més també permet exfiltrar missatges, trucades, correus, logs..., d’aplicacions com Gmail, Facebook, Facetime, Calendar, WhatsApp, Skype o Telegram.
El que diferencia Pegasus de la resta de malwares és la sofisticació de les vulnerabilitats (zero-day) utilitzades i dels atacs (zero-click) utilitzats per a explotar-les, a més de la professionalitat en la modularitat i optimització del codi, la seva capacitat d’actualització, l’ús de tècniques d’ofuscació i xifrat per a no ser detectat, la capacitat de monitorització del telèfon i la capacitat d’autodestrucció i esborrat de proves de la seva presència.
Què són les vulnerabilitats? Ens podem protegir?
Les vulnerabilitats són forats de seguretat que podem trobar en dispositius, sistemes operatius, programes, firmwares... i que poden ser explotades per un atacant per aconseguir l’accés al dispositiu, fer-se amb el seu control i instal·lar el malware que l’atacant vulgui.
Per evitar que les vulnerabilitats conegudes puguin ser explotades és molt important mantenir els nostres dispositius actualitzats, instal·lant les actualitzacions de seguretat que els fabricants publiquen el més aviat possible. Fer-ho és com vacunar el nostre dispositiu contra aquella vulnerabilitat de manera que quan un atacant intenti explotar aquella vulnerabilitat l’atac no tindrà èxit i aquest quedarà neutralitzat, ja que el nostre equip estarà immunitzat contra aquell atac.
Malauradament la seguretat total no existeix i cada dia apareixen noves vulnerabilitats, de manera que equips considerats segurs deixen de ser-ho. El problema és quan aquestes noves vulnerabilitats, conegudes com a Zero-Day, són descobertes pels cibercriminals que se les guarden i enlloc de comunicar-les al fabricant per a que les corregeixin, i desenvolupen exploits (atacs) capaços d’explotar la vulnerabilitat per a fer-se el control amb el dispositiu.
Quines bones pràctiques hauríem de seguir?
- Instal·lar aplicacions només de les botigues oficials: com Google Play per Android o l’Apple App Store per iOS.
- Revisar els permisos de les aplicacions instal·lades i esborrar les aplicacions que fa temps que no utilitzem.
- Activar el bloqueig del dispositiu sempre que no l’estiguem fent servir, amb un PIN, contrasenya segura o millor amb sistemes biomètrics com l’empremta dactilar o el reconeixement facial.
- Mantenir actualitzat el sistema operatiu i les aplicacions instal·lades al dispositiu, no utilitzar dispositius antics que ja no reben actualitzacions.
- No utilitzar dispositius modificats mitjançant tècniques de rootejat o de Jail Break, que eliminen una capa de seguretat.
- Instal·lar un antivirus en dispositius Android, en iOS no hi ha antivirus per la naturalesa del sistema operatiu.
- Utilitzar solucions MDM en els dispositius empresarials per disposar de control sobre les aplicacions que es poden instal·lar o executar.
- Xifrar el dispositiu amb una contrasenya segura.
- Desconfiar d’aplicacions gratuïtes d’antivirus o que permeten analitzar o desinfectar el dispositiu.
- Activar la localització i l’esborrat segur remot en cas de pèrdua o robatori del dispositiu.
- Formar a tots els treballadors a detectar atacs d’enginyeria social, desconfiar de qualsevol enllaç que rebem i en especial si estan escurçats, desconfiar dels codis QR, utilitzar aplicacions que permetin veure l’enllaç i no l’obrin automàticament.
- No connectar-se a WiFis públiques, sempre que sigui possible utilitzar les dades mòbils. Si no hi ha més remei que utilitzar una WiFi pública utilitzar una VPN amb un proveïdor de confiança.
