Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:blockchain:nso_hack [2020/01/10 04:06]
amilasincic [Sources] 		racfor_wiki:blockchain:nso_hack [2024/12/05 12:24] (trenutno)
Redak 10: Redak 10:
  
 U svibnju 2019., kompanija za razmjenu poruka Whatsapp tvrdila je da je NSO razvio špijunski softver koji cilja njihovu uslugu Whatsapp poziva pomoću kojeg ubace svoj softver na uređaj žrtve te tako dobre pristup svi podacima sa žrtvinog uređaja. U svibnju 2019., kompanija za razmjenu poruka Whatsapp tvrdila je da je NSO razvio špijunski softver koji cilja njihovu uslugu Whatsapp poziva pomoću kojeg ubace svoj softver na uređaj žrtve te tako dobre pristup svi podacima sa žrtvinog uređaja.
- 
  
 ====== NSO aplikacije ====== ====== NSO aplikacije ======
Redak 23: Redak 22:
  
 {{https://citizenlab.ca/wp-content/uploads/2018/09/Artboard-1-WP.png?nolink&605x381}} {{https://citizenlab.ca/wp-content/uploads/2018/09/Artboard-1-WP.png?nolink&605x381}}
- 
  
 ===== Chrysaor ===== ===== Chrysaor =====
Redak 48: Redak 46:
  
 ====== WhatsApp ====== ====== WhatsApp ======
-WhatsApp je mobilna aplikacija koja omogućava izmjenu poruka (uključujući razgovore u 4 oka, grupne razgovore, slike, videe, glasovne poruke i dokumente) i Whastapp pozive svugdje u svijetu putem mobilnog interneta pametnim telefonima. Usluga se ne naplaćuje.Tvrtku WhatsApp Inc. su 2009. osnovali Jan Koum i Brian Acton u kalifornijskom gradu Santa Clara. + 
-Dana 19. veljače 2014. Facebook kupuje mobilnu aplikaciju WhatsApp za 19 milijardi američkih dolara.+WhatsApp je mobilna aplikacija koja omogućava izmjenu poruka (uključujući razgovore u 4 oka, grupne razgovore, slike, videe, glasovne poruke i dokumente) i Whastapp pozive svugdje u svijetu putem mobilnog interneta pametnim telefonima. Usluga se ne naplaćuje.Tvrtku WhatsApp Inc. su 2009. osnovali Jan Koum i Brian Acton u kalifornijskom gradu Santa Clara. Dana 19. veljače 2014. Facebook kupuje mobilnu aplikaciju WhatsApp za 19 milijardi američkih dolara.
  
 Poruke, pozivi i video pozivi između pošiljatelja i primatelja koji koriste WhatsApp klijentski softver pušten nakon 31. ožujka 2016. su šifrirani end-to-end enkripcijom. Poruke, pozivi i video pozivi između pošiljatelja i primatelja koji koriste WhatsApp klijentski softver pušten nakon 31. ožujka 2016. su šifrirani end-to-end enkripcijom.
Redak 70: Redak 68:
  
 ==== WhatsApp hack ==== ==== WhatsApp hack ====
-{{https://i.ytimg.com/vi/_2be9gcmjjQ/maxresdefault.jpg?nolink&640x384|i.ytimg.com_vi_2be9gcmjjq_maxresdefault.jpg}} 
-Za razliku od Pegasusa i Chryosaora koji su potpuni softveri za špijuniranje i praćenje “hakiranje” WhatsAppa ima malo drugačiju dimenziju. Unutar VOIP programa pronađena je ranjivost (CVE-2019-3568) koja omogućava izvođenje proizvoljnog niza naredbi tako što se koristi buffer overflow pomoću specijano napisanih SRTCP (Secure Real-time Transport Protocol) paketa. SRTCP pakete je moguće slati primjerice prilikom poziva. Važno je napomenuti da se osoba ni ne treba javiti već sam pokušaj uspostave poziva je dovoljan. Tako za korištenje ranjivosti osoba koju se cilja ne treba ništa napraviti već je dovoljno da je spojena na internet. Ranjive WhatsApp verzije su vjerojatno sve starije od v2.19.134 za WhatsApp za Android, WhatsApp Business za Android starije od v2.19.44, WhatsApp i WhatsApp Business za iOS starije od v2.19.51. 
  
-===Potencijalni scenariji ===+{{https://i.ytimg.com/vi/_2be9gcmjjQ/maxresdefault.jpg?nolink&640x384|i.ytimg.com_vi_2be9gcmjjq_maxresdefault.jpg}}Za razliku od Pegasusa i Chryosaora koji su potpuni softveri za špijuniranje i praćenje “hakiranje” WhatsAppa ima malo drugačiju dimenziju. Unutar VOIP programa pronađena je ranjivost (CVE-2019-3568) koja omogućava izvođenje proizvoljnog niza naredbi tako što se koristi buffer overflow pomoću specijano napisanih SRTCP (Secure Real-time Transport Protocol) paketa. SRTCP pakete je moguće slati primjerice prilikom poziva. Važno je napomenuti da se osoba ni ne treba javiti već sam pokušaj uspostave poziva je dovoljan. Tako za korištenje ranjivosti osoba koju se cilja ne treba ništa napraviti već je dovoljno da je spojena na internet. Ranjive WhatsApp verzije su vjerojatno sve starije od v2.19.134 za WhatsApp za Android, WhatsApp Business za Android starije od v2.19.44, WhatsApp i WhatsApp Business za iOS starije od v2.19.51. 
 + 
 +=== Potencijalni scenariji ===
  
 Zlonamjerna osoba uputi poziv ciljanoj osobi koju želi špijunirati u gluho doba noći. Mobilni uređaj ni ne zazvoni jer se poziv odmah prekine. Prilikom toga, na uređaj se instalira maliciozni softver Pegasus koji potom izbriše tragove poziva i svoga postojanja ne počne pratiti osobu. Zlonamjerna osoba uputi poziv ciljanoj osobi koju želi špijunirati u gluho doba noći. Mobilni uređaj ni ne zazvoni jer se poziv odmah prekine. Prilikom toga, na uređaj se instalira maliciozni softver Pegasus koji potom izbriše tragove poziva i svoga postojanja ne počne pratiti osobu.
Redak 85: Redak 83:
 Problem s trenutnim sustavom nagrađivanja je to što su nagrade dobra motivacija za hobiste ali nedovoljno dobre za angažman profesionalaca. Tako najveća moguća nagrada za neke od poznatijih kompaniji iznosi: Problem s trenutnim sustavom nagrađivanja je to što su nagrade dobra motivacija za hobiste ali nedovoljno dobre za angažman profesionalaca. Tako najveća moguća nagrada za neke od poznatijih kompaniji iznosi:
  
-- Facebook: max not specified, max single payout $50,000 ([[https://www.facebook.com/whitehat/|https://www.facebook.com/whitehat/]])+- Facebook: max not specified, max single payout $50,000 [9]
  
-- Microsoft: $300,000 ([[https://www.microsoft.com/en-us/msrc/bounty|https://www.microsoft.com/en-us/msrc/bounty]])+- Microsoft: $300,000 [10]
  
-- Amazon: not specified ([[https://aws.amazon.com/security/vulnerability-reporting/|https://aws.amazon.com/security/vulnerability-reporting/]])+- Amazon: not specified [11]
  
-- Google: $31,337 ([[https://www.google.com/about/appsecurity/reward-program/|https://www.google.com/about/appsecurity/reward-program/]])+- Google: $31,337 [12]
  
-- Netflix: $20,000 ([[https://bugcrowd.com/netflix|https://bugcrowd.com/netflix]])+- Netflix: $20,000 [13]
  
-- Pentagon: $15,000 ([[https://www.hackerone.com/hack-the-pentagon|https://www.hackerone.com/hack-the-pentagon]])+- Pentagon: $15,000 [14]
  
-- Apple: $200,000 ([[https://support.apple.com/en-us/HT201220|https://support.apple.com/en-us/HT201220]])+- Apple: $200,000 [15]
  
-Osim kompanija i Europska unija se odlučila uključiti u slične programe tako da je za 20 projekta otvorenog koda (open source) osigurala više od 210,000 eura za nagrade za pronađene ranjivosti ([[https://ec.europa.eu/info/news/eu-fossa-bug-bounties-full-force-2019-apr-05_en|https://ec.europa.eu/info/news/eu-fossa-bug-bounties-full-force-2019-apr-05_en]]).+Osim kompanija i Europska unija se odlučila uključiti u slične programe tako da je za 20 projekta otvorenog koda (open source) osigurala više od 210,000 eura za nagrade za pronađene ranjivosti [16].
  
-Koliko god te brojke zvuče dobro i obećavajuće nisu ni blizu vrijednostima koje kompanije, vlade i pojedinci nude za slične stvari. Tako primjerice Zerodium, kompanija slična NSO-u nudi vrtoglavih 2.5 milijuna dolara za "zero-click" rootanje (jailbreak) Android te 1.5 milijuna dolara za iOS uređaje. ([[https://www.wired.com/story/android-zero-day-more-than-ios-zerodium/|https://www.wired.com/story/android-zero-day-more-than-ios-zerodium/]]Osim Zerodiuma, Crowdfense, start up podržan od strane Ujedinjenih Arapskih Emirata je također objavio svoj grafikon cijena. Kroz te grafove jasno je vidljivo da kompanije koje proizvode softver ne mogu ni približno parirati kompanijama koje žele zlorabiti "rupe" u njihovim proizvodima.+Koliko god te brojke zvuče dobro i obećavajuće nisu ni blizu vrijednostima koje kompanije, vlade i pojedinci nude za slične stvari. Tako primjerice Zerodium, kompanija slična NSO-u nudi vrtoglavih 2.5 milijuna dolara za "zero-click" rootanje (jailbreak) Android te 1.5 milijuna dolara za iOS uređaje. [17] Osim Zerodiuma, Crowdfense, start up podržan od strane Ujedinjenih Arapskih Emirata je također objavio svoj grafikon cijena. Kroz te grafove jasno je vidljivo da kompanije koje proizvode softver ne mogu ni približno parirati kompanijama koje žele zlorabiti "rupe" u njihovim proizvodima.
  
 {{https://media.wired.com/photos/5d6ec125c9ac8d000838acc5/master/w_1600,c_limit/security_android_stickers.jpg?nolink&640x459|Zerodium grafikon cijena}}{{https://9to5mac.com/wp-content/uploads/sites/6/2018/04/1524678783718-group-52x.png?nolink&640x397|Crowdfense grafikon cijena}} {{https://media.wired.com/photos/5d6ec125c9ac8d000838acc5/master/w_1600,c_limit/security_android_stickers.jpg?nolink&640x459|Zerodium grafikon cijena}}{{https://9to5mac.com/wp-content/uploads/sites/6/2018/04/1524678783718-group-52x.png?nolink&640x397|Crowdfense grafikon cijena}}
  
-Potvrdu vrijednosti zero-day ranjivosti i alata kojih ih iskorištava mogla se vidjeti kad je bivši zaposlenik NSOa ukrao izvorni kod Pegasusa te pokušao ga prodati na Dark Webu za 50 milijuna dolara. https://www.zdnet.com/article/former-nso-employee-steals-flogs-phone-hacking-tools-for-50-million/ +Potvrdu vrijednosti zero-day ranjivosti i alata kojih ih iskorištava mogla se vidjeti kad je bivši zaposlenik NSOa ukrao izvorni kod Pegasusa te pokušao ga prodati na Dark Webu za 50 milijuna dolara [18].
  
 ==== Negativni utjecaj na svakodnevni život ==== ==== Negativni utjecaj na svakodnevni život ====
Redak 112: Redak 109:
 NSO i slične kompanije tvrde da razvijaju proizvode radi sigurnosti, spašavanja života i spriječavanja terorističkih napada. Tako NSO primjerice prije prodaje programa prvo treba pitati Izraelsku vladu, odnosno ministarstvo obrane. Tek po dopuštenju NSO smije prodavati svoj softver. Kako je Pegasus pronađen u 45 država, od kojih većina nije u NATOu, te na popisu ima mnogo pozantih po kršenju ljudskih prava i praćenju vlastitih građana vidljivo je da je primarni uvjet prodaje financijske prirode. Neke od poznatijih afera gdje su države potencijalno kršile vlastite zakone vezanih uz Pegasus: NSO i slične kompanije tvrde da razvijaju proizvode radi sigurnosti, spašavanja života i spriječavanja terorističkih napada. Tako NSO primjerice prije prodaje programa prvo treba pitati Izraelsku vladu, odnosno ministarstvo obrane. Tek po dopuštenju NSO smije prodavati svoj softver. Kako je Pegasus pronađen u 45 država, od kojih većina nije u NATOu, te na popisu ima mnogo pozantih po kršenju ljudskih prava i praćenju vlastitih građana vidljivo je da je primarni uvjet prodaje financijske prirode. Neke od poznatijih afera gdje su države potencijalno kršile vlastite zakone vezanih uz Pegasus:
  
-- Meksiko: prisluškivanje [[https://citizenlab.ca/2017/07/mexico-disappearances-nso/|internacionalne istraživačke grupe]], [[https://citizenlab.ca/2017/08/lawyers-murdered-women-nso-group/|novinara]], [[https://citizenlab.ca/2017/06/reckless-exploit-mexico-nso/|branitelje ljudskih prava]], [[https://citizenlab.ca/2017/06/more-mexican-nso-targets/|političke opoziciji,]] …+- Meksiko: prisluškivanje internacionalne istraživačke grupe [19], novinara [20], branitelje ljudskih prava [21], političke opoziciji [22]
  
-- Ujedinjeni Arapski Emirati: prisluškivanje [[https://citizenlab.ca/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/|Ahmeda Mansoora]], borca za ljudska prava+- Ujedinjeni Arapski Emirati: prisluškivanje Ahmeda Mansoora [23], borca za ljudska prava
  
-- Saudijska Arabija: skupljanje dokaza [[https://www.theguardian.com/world/2018/aug/22/saudi-arabia-seeks-its-first-death-penalty-against-a-female-human-rights-activist|za smrtnu presudu]] petorici boraca za ljudska prava+- Saudijska Arabija: skupljanje dokaza za smrtnu presudu [24] petorici boraca za ljudska prava
  
-- Indija: [[https://gadgets.ndtv.com/apps/news/whatsapp-hack-pegasus-spyware-israel-india-journalists-activists-2125264|više od 1400 korisnika]] WhatsAppa, većinom novinari i borci za ljudska prava+- Indija: više od 1400 korisnika [25] WhatsAppa, većinom novinari i borci za ljudska prava
  
 ==== Hrvatska i alati za praćenje ==== ==== Hrvatska i alati za praćenje ====
  
 Nakon što je HackingTeam, kompanija koja prodaje softver za praćenje 2015 bila hakirana, osoba koja se je domogla njihovih podataka objavila je 400GB materijala, ponajviše mailova i izvornog koda. Iz mailova koji su procurili i kasnije završili na WikiLeaksu jasno je vidljivo da su hrvatske agencije za provođenje zakona bile u aktivnom kontaktu i pregovarale o ponudi. Vidljivo je i da su agencije dobile nekoliko licenci za testiranje kao i prisustvovali na nekoliko radionica. Hrvatskim agencijama programi su trebali biti prodani putem hrvatskih partnerskih agencija. U mailovima se također vidi da talijanski HackingTeam surađuje sa sličnim organizacijama kao i NSO te potencijalno prodaju i ista rješenja. Do kupnje, kako kažu u mailovim nije došlo radi nedostatka financijskih sredstava te radi parlamentarnih (2011) i predsjedničkih (2014) izbora koji su bili u to vrijeme[6][7][8] Nakon što je HackingTeam, kompanija koja prodaje softver za praćenje 2015 bila hakirana, osoba koja se je domogla njihovih podataka objavila je 400GB materijala, ponajviše mailova i izvornog koda. Iz mailova koji su procurili i kasnije završili na WikiLeaksu jasno je vidljivo da su hrvatske agencije za provođenje zakona bile u aktivnom kontaktu i pregovarale o ponudi. Vidljivo je i da su agencije dobile nekoliko licenci za testiranje kao i prisustvovali na nekoliko radionica. Hrvatskim agencijama programi su trebali biti prodani putem hrvatskih partnerskih agencija. U mailovima se također vidi da talijanski HackingTeam surađuje sa sličnim organizacijama kao i NSO te potencijalno prodaju i ista rješenja. Do kupnje, kako kažu u mailovim nije došlo radi nedostatka financijskih sredstava te radi parlamentarnih (2011) i predsjedničkih (2014) izbora koji su bili u to vrijeme[6][7][8]
- 
  
 ====== Sources ====== ====== Sources ======
  
-[1] [[https://faq.whatsapp.com/general/28030015/|Whastapp. End-to-end encryption, pristupano: prosinac 2019]]+[1] [[https://faq.whatsapp.com/general/28030015/|Whastapp. End-to-end encryption]], pristupano: siječanj 2020 
 + 
 +[2] [[https://www.kaspersky.com/resource-center/definitions/zero-day-exploit|What is Zero Day Exploit?]], pristupano: siječanj 2020 
 + 
 +[3] [[http://www.cogtech.usc.edu/publications/kirschner_Sweller_Clark.pdf|Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006]], pristupano: prosinac 2019 
 + 
 +[4[[https://www.zdnet.com/article/chilling-effect-lawsuits-threaten-security-research-need-it-most/|Lawsuits threaten infosec research — just when we need it most]], pristupano: siječanj 2020 
 + 
 +[5] [[https://hackerone.com/leaderboard/all-time|HackerOne All Time Leaderboard]], pristupano: siječanj 2020 
 + 
 +[6] [[https://wikileaks.org/hackingteam/emails/emailid/438838|R: reseller in Croatia]], pristupano: siječanj 2020 
 + 
 +[7][[https://wikileaks.org/hackingteam/emails/emailid/439072|RE: reseller in Croatia]], pristupano: siječanj 2020 
 + 
 +[8] [[https://medium.com/@beyourownreason/croatia-kosovo-macedonia-slovenia-montenegro-627abbf0c61|Hacking Team:Croatia, Kosovo, Macedonia, Slovenia, Montenegro]], pristupano: siječanj 2020 
 + 
 +[9] [[https://www.facebook.com/whitehat/|Facebook whitehat]], pristupano: siječanj 2020 
 + 
 +[10] [[https://www.microsoft.com/en-us/msrc/bounty|Microsoft Bounty]], pristupano: siječanj 2020 
 + 
 +[11] [[https://aws.amazon.com/security/vulnerability-reporting/|Amazon Vulnerability reporting]], pristupano: siječanj 2020 
 + 
 +[12] [[https://www.google.com/about/appsecurity/reward-program/|Google Reward program]], pristupano: siječanj 2020 
 + 
 +[13] [[https://bugcrowd.com/netflix|Netflix]], pristupano: siječanj 2020 
 + 
 +[14] [[https://www.hackerone.com/hack-the-pentagon|Hack the Pentagon]], pristupano: siječanj 2020 
 + 
 +[15] [[https://support.apple.com/en-us/HT201220|Apple Hack]], pristupano: siječanj 2020 
 + 
 +[16] [[https://ec.europa.eu/info/news/eu-fossa-bug-bounties-full-force-2019-apr-05_en|EU Fossa Bounties full force 2019 apr 05]], pristupano: siječanj 2020 
 + 
 +[17] [[https://www.wired.com/story/android-zero-day-more-than-ios-zerodium/|Android zero day more than iOS zerodium]], pristupano: siječanj 2020 
 + 
 +[18] [[https://www.zdnet.com/article/former-nso-employee-steals-flogs-phone-hacking-tools-for-50-million/|Former NSO employee steals flogs phone hacking tools for 50 million]], pristupano: siječanj 2020 
 + 
 +[19] [[https://citizenlab.ca/2017/07/mexico-disappearances-nso/|Investigation Into Mexican Mass Disappearance Targeted with NSO Spyware]], pristupano: siječanj 2020
  
-[2] [[https://www.kaspersky.com/resource-center/definitions/zero-day-exploit|What is Zero Day Exploit?, pristupano: siječanj 2020]]+[20] [[https://citizenlab.ca/2017/08/lawyers-murdered-women-nso-group/|Lawyers for Murdered Mexican Women’s Families Targeted with NSO Spyware]], pristupano: siječanj 2020
  
-[3] [[http://www.cogtech.usc.edu/publications/kirschner_Sweller_Clark.pdf|KirschnerP. ASweller, J. and ClarkR. E. Why minimal guidance during instruction does not workAn analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006]]+[21] [[https://citizenlab.ca/2017/06/reckless-exploit-mexico-nso/|Mexican JournalistsLawyers, and a Child Targeted with NSO Spyware]]pristupanosiječanj 2020
  
-[4] [[https://www.zdnet.com/article/chilling-effect-lawsuits-threaten-security-research-need-it-most/|Lawsuits threaten infosec research — just when we need it most]]+[22] [[https://citizenlab.ca/2017/06/more-mexican-nso-targets/|Senior Mexican Legislators and Politicians Targeted with NSO Spyware]], pristupano: siječanj 2020
  
-[5] [[https://hackerone.com/leaderboard/all-time|HackerOne All Time Leaderboard]]+[23] [[https://citizenlab.ca/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/|NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defender]], pristupano: siječanj 2020
  
-[6] [[https://wikileaks.org/hackingteam/emails/emailid/438838|R: reseller in Croatia]]+[24] [[https://www.theguardian.com/world/2018/aug/22/saudi-arabia-seeks-its-first-death-penalty-against-a-female-human-rights-activist|Saudi Arabia seeks death penalty against female human rights activist]], pristupano: siječanj 2020
  
-[7] [[https://wikileaks.org/hackingteam/emails/emailid/439072|RE: reseller in Croatia]]+[25] [[https://gadgets.ndtv.com/apps/news/whatsapp-hack-pegasus-spyware-israel-india-journalists-activists-2125264|WhatsApp Says Israeli Spyware Used to Target Indian Journalists, Activists]], pristupano: siječanj 2020
  
-[8] [[https://medium.com/@beyourownreason/croatia-kosovo-macedonia-slovenia-montenegro-627abbf0c61|Hacking Team:Croatia, Kosovo, Macedonia, Slovenia, Montenegro]]+[26]
  
  
racfor_wiki/blockchain/nso_hack.1578629202.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0