安全性虚无主义是最可怕的事,其危险程度超过攻击本身。
人们曾经认为只有极高级别的敏感人士才会遭遇到最昂贵和最可怕的间谍软件,而这一假设在今年夏天被一场惊人的数据泄露所推翻;调查显示,以色列最恐怖的监视技术公司 NSO 的 Pegasus 间谍工具通过利用苹果软件的弱点,包括 iMessage 的无交互零日漏洞,渗透到全世界的记者、律师、人权捍卫者、活动家、和企业高管的 iPhone 手机中。
这是今年6月最火爆的消息之一,虽然,它并不是新闻 — — 我们的原网站有 https://start.me/w/8LRjvQ 专栏。但很少有人会思考该如何应对这种可怕的攻击。这是本文希望尝试解释的问题。
虽然NSO一直在狡辩,声称该间谍软件 “只用于打击罪犯”,但6月泄露的潜在目标清单显示,记者、活动家和政客都是被NSO的客户瞄准的对象。
大赦国际描述说,这些详细的攻击从2014年一直持续到2021年7月。一些攻击被认为是 “零点击/无交互” ,即 受害人不需要以任何特定的方式进行互动就能被成功攻击。
该间谍软件还使用了多个零日漏洞,包括运行 iOS 14.6 系统的 iPhone 12。
<aside> <img src="/icons/archery_red.svg" alt="/icons/archery_red.svg" width="40px" />
全世界的政府都在囤积零日漏洞,它可能是本世纪最强大的政治武器。这件事非常重要:这就是他们给我讲述世界末日的方式
</aside>
事实上,大赦国际报告中列出的攻击早在2018年5月就开始了 —— 也就是IYP开始报告这一系列灾难的最初时间。
<aside> <img src="/icons/archery_red.svg" alt="/icons/archery_red.svg" width="40px" />
延伸:https://iyouport.substack.com/p/130lgbt?utm_source=publication-search
延伸:https://iyouport.substack.com/p/lr-nso-pegasus-45-?utm_source=publication-search
</aside>
正如约翰霍普金斯大学的密码学家马修格林所担心的,这一披露有可能让黑客专家们陷入 “安全性虚无主义” 的境地。
安全性虚无主义认为,数字攻击已经变得如此复杂,以至于没有什么可以防止它们发生的,也无法削弱其影响。这种结论将是一个错误。
我们在解释IYP为什么采取开源情报的时候提到过中国社会的安全性虚无主义,并且这一现象至今都明显存在着,🔙 https://iyouport.substack.com/p/lr-iyp?utm_source=publication-search。
<aside> <img src="/icons/archery_red.svg" alt="/icons/archery_red.svg" width="40px" />
任何时候,知道永远比不知道要强,
我们需要冷静下来仔细思考可能的对策。
虽然说实话,除非跨国联合的革命推翻这一弥漫全球的政治武器,
否则,单纯的技术弥补并无法成为长期出路。
</aside>
首先,虚无主义正中了恶意黑客的下怀,他们最希望看到的就是目标不再试图保护自己。并且,这在事实上也是错误的。您依旧有可能抵御NSO的间谍软件 — — 例如,通过遵循操作安全规则,比如最简单的不点击未知链接,实行设备分区(如为不同的应用程序使用不同的设备),以及在移动设备上安装加密VPN,等等。这些技术对任何数量的数字攻击都是有效的。
<aside> <img src="/icons/archery_red.svg" alt="/icons/archery_red.svg" width="40px" />
激进社区用户请从这里进入:数字技术限制和最佳实践
</aside>
正如安全领域的一句经典格言所说,并没有百分百完美的安全性,但这并不是消极怠工的借口。那么,以下是一些您可以采取的实际步骤,以减少您的 “攻击面”,保护自己免受像NSO这样的间谍软件的侵害。
此外,最近,公民实验室也做了一份调查报告,有技术分析,您可以参考 🔙 https://citizenlab.ca/2021/08/bahrain-hacks-activists-with-nso-group-zero-click-iphone-exploits/