Velika lekcija iz hakiranja Bezosa: Svatko može biti meta

Možda ne mislite da biste mogli biti u istoj ligi s Jeffom Bezosom kada je u pitanju meta hakiranja. Vjerojatno ne, ali vi – i otprilike bilo tko drugi – i dalje biste mogli biti ranjivi na napad sličan onome koji su očito doživjeli osnivač Amazona i vlasnik Washington Posta.

Dvojica američkih stručnjaka ovaj tjedan pozvali su Sjedinjene Države da istraže vjerojatno hakiranje Bezosovog telefona, koje bi mogao imati veze s prestolonasljednikom Saudijske Arabije Mohammedom bin Salmanom.

Naručeno forenzičko izvješće utvrdilo je sa “srednjom do visokom pouzdanosti” da je Bezosov iPhone X ugrožen video MP4 datotekom koju je dobio od princa u svibnju 2018. godine.

Kasnije je Bezos javno istupio o hakiranju nakon što je tabloid National Enquirer zaprijetio da će objaviti Bezosove privatne fotografije ako ne pozove privatnu istragu o hakiranju njegovog telefona. Nije jasno jesu li ta dva događaja povezana. Saudijci su negirali bilo kakvu umiješanost u navodno hakiranje.

Događaji bi mogli potencijalno utjecati na američko-saudijske odnose. U petak je senator Ron Wyden, Oregonski demokrat, rekao da traži od Agencije za nacionalnu sigurnost da razmotri sigurnost službenika Bijele kuće koji su, možda, mogli komunicirati s prestolonasljednikom, posebno preko osobnih uređaja. Jared Kushner, pomoćnik Bijele kuće i zet predsjednika Donalda Trumpa, su komunicirali s prestolonasljednikom preko WhatsApp aplikacije.

Wyden je nazive Bezosovih hakira nazvao “izvanredno zlobnim” i rekao kako mogu imati “zapanjujuće posljedice na nacionalnu sigurnost”.

Ali mogli bi odjeknuti i na osobnoj razini. Kako troškovi hakiranja opadaju, dok se mogućnosti za kopanje po životima ljudi preko interneta umnožava, sve će više ljudi vjerojatno završiti kao meta, čak i ako nisu najbogatiji pojedinci na svijetu.

Konačno, to se svodi na jednostavnu lekciju: budite oprezni s kim razgovarate – i što koristite za razgovor s njima.
“Ljudi moraju izaći stila razmišljanja prema kojem njih nitko ne bi harao”, rekla je Katie Moussouris, osnivačica i izvršna direktorica Luta Securitya. “Ne morate biti određena meta ili velika riba da biste se našli na milosti oportunističkog napadača.”

WhatsApp, koji je u vlasništvu Facebooka, općenito se smatra sigurnim načinom razmjenjivanja privatnih mrežnih poruka zbog činjenice da šifrira poruke i pozive enkripcijom tako da ih mogu razumjeti samo pošiljatelji i primatelji. Ono što mnogi ljudi možda nisu shvatili je da i ova aplikacija, poput gotovo svih servisa za razmjenu poruka, može poslužiti kao vodič za zlonamjerni softver.

Međutim, to šifriranje nije od pomoći ako pouzdan kontakt nađe način da pomoću te veze provali u operativni sustav mobilnog uređaja. U stvari, sigurnosni softver ne može otkriti zaraženu privitak dok je kriptiran, a aplikacije poput WhatsAppa ne pretražuju zlonamjerni softver čak ni kada datoteke dešifriraju.

Korisnici WhatsAppa mogu onemogućiti automatsko preuzimanje fotografija, videozapisa i drugih medija, što se događa prema zadanim postavkama, osim ako korisnik ne poduzme te mjere.

Ostale aplikacije za razmjenu poruka vjerojatno su također ranjive.

Princ Mohammed razmijenio je brojeve s Bezosom tijekom američkog putovanja u proljeće 2018. Tijekom istog posjeta, princ se susreo i s drugim tehničkim rukovoditeljima, uključujući izvršne direktore Googlea, Applea i Palantira, kao i slavnim ljudima iz svijeta sporta i zabave, te akademskim vođama. Osnivač Virgin Group Richard Branson sa saudijskom je delegacijom obišao zračnu i svemirsku luku Mojave u pustinji sjeverno od Los Angelesa.

Google i Apple ovog tjedna nisu odgovorili na upite o tome jesu li njihovi rukovoditelji razmijenili osobne kontakt infomracije tijekom tog putovanja. Palantir Technologies potvrdio je da se njegov izvršni direktor Alex Karp sastao s princom, ali rekao je da oni nikada ne dijele osobne poruke. Virgin Group rekla je da to gleda.

Istraživač kibernetičke sigurnosti za UC Berkeley Bill Marczak upozorio je da još uvijek nema uvjerljivih dokaza da je saudijski video zlonamjeran, dodajući da bi moglo biti prerano donositi šire zaključke o tome. Mnogi drugi sigurnosni stručnjaci također su doveli u pitanje izvještaj forenzičara na kojem američki dužnosnici temelje svoje zaključke.

No, Marczak je rekao da je općenito dobar savjet “uvijek biti na oprezu zbog sumnjivih veza ili poruka koje zvuče previše dobro da bi bile istinite.”

Čak i oprez oko izbjegavanja sumnjivih veza možda nije dovoljno dobar za suzbijanje špijunskog softvera – posebno za visoke ciljeve poput disidenata, novinara i bogatih rukovoditelja. Prošle godine hakeri su iskoristili grešku WhatsApp kako bi daljinski oteli desetine telefona i preuzeli kontrolu nad njihovim kamerama i mikrofonima, a da korisnik ne mora ništa kliknuti da bi ih pustio unutra.

U takvim slučajevima, rekao je Marczak, “ne treba biti interakcija dijela osobe na koju se cilja.”