Tehnografi.com - Технологические новости, обзоры и советы

О шпионском ПО Pegasus Apple говорит всю правду

Когда дело доходит до вопросов безопасности и конфиденциальности, Apple, как правило, справляется с задачей намного лучше, чем ее конкуренты, хотя, по общему признанию, из эгоистичных маркетинговых соображений. Сравнивая iOS от Apple и Android от Google, трудно не заметить, что, по крайней мере, Apple добросовестно пытается быть ориентированной на безопасность и конфиденциальность, по сравнению с Google, который предпочитает продавать рекламу и все, что может придумать.

Тем не менее, Apple, как известно, искажает и искажает правду, опуская уместную справочную информацию и контекст, когда это удобно. Помните антенну-ворота? Шумиха с батарейными воротами?

Однако сегодня я оказался в неловком положении, говоря, что Apple на самом деле ведет себя честно. Я имею в виду последнюю шпионскую шумиху об iPhone, которую Джонни Эванс из Computerworld довольно хорошо заснял на прошлой неделе. В двух словах, NSO Group, израильская фирма, которая позиционирует себя как компания, предлагающая «наблюдение как услугу», создала атаку без щелчка, которая позволила установить шпионское ПО на iPhone. Amnesty International выявила не менее 180 журналистов по всему миру, которых сбил Пегас.

Но есть важное предостережение для обычных пользователей iPhone: это была чрезвычайно целенаправленная атака, которая вряд ли затронет их.

Ответ Apple сводится к «как мы можем бороться с чем-то подобным?»

В частности, взгляните на заявление компании об инциденте от Ивана Крстича, главы отдела безопасности и архитектуры Apple:

«Apple безоговорочно осуждает кибератаки на журналистов, правозащитников и других лиц, стремящихся сделать мир лучше. Уже более десяти лет Apple лидирует в области инноваций в области безопасности, и в результате исследователи в области безопасности соглашаются, что iPhone — самый безопасный, самое безопасное потребительское мобильное устройство на рынке. Атаки, подобные описанным, очень изощренны, их разработка стоит миллионы долларов, часто имеют короткий срок действия и используются для нападения на конкретных людей. Хотя это означает, что они не представляют угрозы для подавляющее большинство наших пользователей, мы продолжаем неустанно работать, чтобы защитить всех наших клиентов, и мы постоянно добавляем новые средства защиты для их устройств и данных».

На английском языке это утверждение примерно переводится как «Вау! Это атака на уровне государства против одного человека — по имени. У нас все хорошо, конечно, и у iPhone лучшая защита из всех мобильных устройств. нам кровавый прорыв. Потребительские мобильные устройства могли бы остановить эту многомиллионную атаку. Кроме того, такие атаки довольно редки. Мы защищаем пользователей от тех атак, с которыми на самом деле столкнется 99,99% из них».

Это справедливое замечание.

Потребительские устройства не защищены, как это необходимо для важных военных, правительственных или даже корпоративных проектов. BlackBerry прошлых лет был особенно безопасным — для своего времени — но он не был даже немного закаленным. Помните, что президент Обама любил свой BlackBerry, и его сотрудники службы безопасности не позволяли ему пользоваться им до тех пор, пока его возможности не были строго ограничены.

Точно так же, как сегодня немногие корпоративные платформы безопасности могут блокировать постоянные атаки со стороны государства — по крайней мере, ненадолго — нереалистично делать вид, что обычный iPhone может защитить от массированной атаки, направленной на устройство одного человека.

Это основная предпосылка всей кибербезопасности. Большинство злоумышленников в какой-то степени рациональны и практичны, у них есть свой бизнес и прибыль. Как правило, у них есть сотни активных целей, и они могут оправдать затраты только на атаку одной в течение такого времени, пока не появится смысл сдаться и перейти к следующей цели. Любое лицо или компания должны иметь средства защиты, соответствующие размерам атак, которые с наибольшей вероятностью могут их затронуть.

Если у злоумышленника есть контракт на проникновение в ваш личный телефон и ему выделен бюджет в размере 25 миллионов долларов, он может позволить команде злоумышленников взломать ваше устройство 50 различными способами 24/7 в течение нескольких недель, пока они не доберутся до цели. Ни одно потребительское устройство не было разработано, чтобы выдержать такой уровень атаки, потому что это редко приносит прибыль злоумышленникам.

В данном случае было.

Таким образом, в то время как заголовки были сосредоточены на том, как обычно безопасные устройства Apple и iOS были атакованы, в этом случае ясно, что Apple не сделала ничего плохого. Он действовал надлежащим образом, учитывая обстоятельства (и почти наверняка пытается выяснить, что произошло, и закрыть все недостатки, позволившие установить Pegasus в первую очередь).

© 2021 IDG Communications, Inc.