در قسمت های قبل گزارش گوگل در خصوص عرضه کنندگان جاسوس افزارهای تجاری (CSV) ، به تعریف جاسوس افزار و سه تن از قربانیان جاسوس افزار پگاسوس و ماهیت ، محصولات، کمپین ها و زنجیره اکسپلویتهای مورد استفاده CSVها پرداختیم. در قسمت چهارم و آخر این سری از پست ها، نگاهی به اقداماتی که صنعت، دولت و جامعه میتونه در برابر این تهدیدات انجام بده، انداختیم. برای مشاهده سایر قسمتها میتونید از لینکهای زیر استفاده کنید :
- قسمت اول : جاسوس افزارها و قربانیان
- قسمت دوم: درک CSVها
- قسمت سوم: محصولات و کمپین های CSVها
- قسمت چهارم: اقدامات امنیتی
جاسوس افزارهایی که محصولات گوگل رو هدف قرار دادن :
CSVها تهدیدی برای کاربران گوگل هستن و گوگل متعهده که روی این تهدیدات اختلال ایجاد کنه و از کاربراش محافظت کنه. وقتی گوگل آسیب پذیری هایی که CSV ها ازشون استفاده میکنن رو دریافت میکنه، اونارو اصلاح میکنه . این کارش علاوه بر اینکه از کاربراش محافظت میکنه، از استفاده ی CSVها و مشتریاشون از این آسیب پذیری ها هم جلوگیری میکنه.
CSVها تقریبا پشت نیمی از 0Dayهایی شناخته شده ای هستن که محصولات گوگل رو هدف قرار دادن. از اواسط 2014 تا 2023 ، محققا 72 اکسپلویت 0day رو کشف کردن که محصولات گوگل از جمله کروم و اکوسیستم اندروید رو هدف قرار دادن. عمده آسیب پذیری ها روی مولفه های اندروید و OEMها بودن.
محققای TAG ، تونستن 35 مورد از اکسپلویتهای 0Day که کشف کردن رو به CSVها مرتبط کنن. البته این در نظر بگیرید که اینا برای اکسپلویت های 0Day هستن که کشف شدن. تعداد دقیق اکسپلویتهای 0Day که توسط CSVها توسعه داده شدن قطعا بالاتر از این مقادیره چون ممکنه یسری اکسپلویت همچنان برای محققا ناشناخته باشن، اکسپلویتها شناخته شده باشن اما محققا نتونستن به گروهی منتسبش کنن و آسیب پذیری هایی که قبل از اینکه نشانه هایی از اکسپلویت شدنشون در اهدافی وجود داشته باشه، اصلاح شدن.
برای مثال در سال 2022، محققای TAG یه فریمورک اکسپلویتینگ توسعه داده شده توسط Variston رو آنالیز کردن. در زمان آنالیز ، این فریمورک از آسیب پذیری های NDay کروم، فایرفاکس و دیفندر ویندوز استفاده میکرد. اما محققا مشکوک هستن که Variston یا مشتریاش، از این اکسپلویتها قبل از اینکه اصلاح بشن، بعنوان 0Day استفاده کردن.
با گذشت زمان، محققا تونستن به کشف آسیب پذیری های 0Day از جمله اونایی که مرتبط با CSVها هستن، سرعت بدن. از سال 2019 تا 2023 ، محققای TAG ، تونستن 53 اکسپلویت 0Day کشف کنن که 33 موردش توسط CSVها توسعه داده شده بود. همونطور که قبلا اشاره شده، پیشرفت کشف اکسپلویت های 0Day به یه فاکتور وابسته نیست و ترکیبی از عوامل مختلفی مانند پیشرفت ها و پسرفت های امنیتی (مثلا نقص در تست نرم افزار یا افزایش پیچیدگی در سیستم های نرم افزاری و … ) است. یکی از عوامل مهم ، شیوه ی افشای عمومی آسیب پذیری ها توسط سازندگان هستش، که اگه آسیب پذیری اکسپلویت شده باشه، در گزارشات بهش اشاره میکنن. گوگل معتقده که این شیوه یه تغییر مثبته و به روشن شدن میزان پیشرفت صنعت CSVها و کاربران در معرض خطر کمک میکنه.
هدف قرار دادن کاربران گوگل سخت تر میشه :
اغلب وقتی CSVها محصولی رو به مشتریان دولتی می فروشن، تضمین میکنن که ایمپلنت جاسوس افزار روی دستگاه کار میکنه و مشتری برای یه مدت معینی به دستگاه دسترسی داره. با این حال این فرایند بستگی به این داره که زنجیره اکسپلویت روی دستگاه و برنامه های هدف کار کنه. زنجیره اکسپلویت ها گرون هستن و توسعه اونا هم سخته. وقتی گوگل و محققین امنیتی ، آسیب پذیری هایی رو کشف و افشاء میکنن، روی روند کار CSVها اختلال ایجاد میکنن و چرخه توسعه اونارو هزینه بر میکنن.
وقتی آسیب پذیری هایی که در زنجیره اکسپلویت CSVها استفاده شدن، کشف و اصلاح میشن، این کار نه تنها منجر به حفاظت از کاربران میشه، باعث اختلال در توافقات CSVها و مشتریان ، عدم پرداخت هزینه توسط مشتری و افزایش هزینه برای ادامه کار برای CSVها میشه.
مثلا در یه مورد، Intellexa هفته ها طول کشید تا بتونه یه اکسپلویت رو جایگزین یه آسیب پذیری اصلاح شده در کروم کنه. در 14 آوریل 2023، گوگل اصلاحیه هایی رو برای CVE-2023-2033 و CVE-2023-2136 منتشر کرد که Intellexa ازشون در یه زنجیره اکسپلویت 0Day استفاده کرده بود. بعد از بروزرسانی ، یه وقفه ی 45 روزه برای فعالیت مشتریان Intellexa رخ داد که در نهایت اواخر ماه مه ، Intellexa با توسعه ی یه زیروی جدید برای نسخه ی 113 کروم، منجر به از سر گیری فعالیت مشتریاش شد. محققای TAG اکسپلویت جدید رو کشف کردن و کروم در عرض 4 روز ، دوباره اصلاح شد. مشتریان Intellexa ، کمتر از یک هفته میتونستن از این اکسپلویت استفاده کنن، چون گوگل این آسیب پذیری رو با شناسه CVE-2023-3079 در 5 ژوئن اصلاح کرد. با شناسایی و اصلاح آسیب پذیری ، محققا میتونن زنجیره های اکسپلویتی که مهاجمین به اونا وابسته هستن رو بشکنن و باعث ایجاد اختلال و جلوگیری از حمله به کاربران بشن.
گوگل به سرمایه گذاری در شناسایی و دفاع در برابر چنین تهدیداتی ادامه میده تا نه تنها این عملیات رو سریع شناسایی و روشون اختلال ایجاد کنه، بلکه تا حد امکان توسعه رو هم دشوارتر کنه. همچنین گوگل گفته که روی شفافیت گزارش ها هم متعهد هستش و در صورتی که آسیب پذیری بعنوان 0Day استفاده شده باشه ، اونو بهمراه جزییات فنی ، در گزارش هاش قید میکنیه.
گسترش قابلیت ها :
تا وقتی تقاضا برای قابلیت های جاسوسی وجود داشته باشه، مشوق هایی برای CSVها برای ادامه ی توسعه و فروش ابزارهاشون ، صنعتی که به کاربران با ریسک بالا و جامعه در کل آسیب میزنه، وجود داره. CSVها گسترش ابزارهای هک خطرناک در سراسر دنیا رو فراهم میکنن. توسعه و نگهداری ابزارهای نطارتی پر هزینه هست و مارکت CSVها به هر نهادی اجازه میده تا به جای توسعه یا علاوه بر توسعه ابزارهای خودش ، بتونه به ابزارهای نظارتی pay-to-play و دسترسی کامل از راه دور ، به راحتی دسترسی داشته باشه.
توانایی داشتن چنین ابزارهای نظارتی ، احتمال به خطر افتادن کاربران رو افزایش میده. همچنین امکان خرید یه ابزار نظارتی از CSVها ، استفاده از جاسوس افزارها رو علیه کاربران با ریسک بالا، عادی میکنه. ارائه ی دسترسی تضمین شده به دستگاه قربانی ، بار هزینه و بی آبرویی برای مشتری دولتی رو ،به CSVها منتقل میکنه. این تغییر هزینه، ممکنه احتمال استفاده از این ابزارهارو افزایش بده. از اونجایی که مشتریان دولتی ، ابزارهایی رو از CSVها خریداری میکنن، استفاده از جاسوس افزارها بطور فزاینده ای عادی میشه.
تغییر تاکتیک و ادامه فعالیت CSVها:
افشای فعالیت های CSVها یا اقدامات قانونی مستقیم، برای محدود کردن فعالیت های CSVها کافی نیست. مثلا فعالیت های NSO Group در اوایل سال 2015 ، بطور عمومی گزارش شد و در ادامه به لیست US Entity List اضافه شدن و شرکت های فناوری مانند متا در سال 2019 و اپل در سال 2021 ، اقدامات قانونی علیه این گروه انجام دادن. اما NSO Group همچنان در حال فروش و توسعه جاسوس افزارهاش هست و حتی در مه 2023 ، با مدیریت جدیدی فعالیت هاش رو ادامه میده.
بمنطور جلوگیری از بررسی های عمومی ، CSVها ممکنه چندین بار نام های خودشون رو تغییر بدن. مثلا Citizen Lab نحوه ی تغییر CSV اسرائیلی که با نام Candiru رهگیری میشه رو شناسایی و منتشر کرده .
در پاسخ به اقدامات قانونی مستقیم، CSVها مجبور میشن بی سر و صدا کار کنن یا عملیاتشون رو متوقف کنن. در یه مورد، CSV فرانسوی Nexa Technologies ، یکی از اعضای موسس، Intellexa Alliance ، در پاسخ به کیفرخواست، اسم خودش رو از همه ی موارد عمومی که به Intellexa اشاره میکرد، حذف کرد. در ژوئن 2021، چهار مدیر اجرایی توسط واحد جنایات علیه بشریت و جنایات جنگی دادگاه قضایی پاریس ، به جرم همدستی در اعمال آزار و اذیت از طریق فروش جاسوس افزار به دولت های لیبی و مصر متهم شدن. در حالیکه Nexa Technologies همچنان در حال فعالیت هست، اما مشخصات کمتری رو ازش میشه پیدا کرد.
Gamma یه CSV مستقر در مونیخ که جاسوس افزار FinFisher رو توسعه داده، در فوریه 2022 وقتی داشتن تحقیقاتی رو روی معاملات تجاریش انجام میدادن، اعلام ورشکستی کرد. این شرکت بحث برانگیز، جاسوس افزارهارو به حکومت های سرکوبگر می فروخت تا ازش برای هدف قرار دادن مخالفان ، روزنامه نگاران و مدافعان حقوق بشر استفاده کنن. با این حال ، شرکت ممکنه همچنان در حال فعالیت باشه یا با ابزارهای مختلف یا نام های مختلف برگرده.
در حالیکه CSV ها تاکتیک های خودشون رو عوض میکنن و به فعالیت خودشون ادامه میدن، نظارت عمومی روی اقدامات اونا، منجر به ایجاد اختلال ، تاخیر یا توقف فعالیت اونا میشه. این هم باعث جلوگیری از حمله علیه کاربران میشه و هم تبلیغ و فروش محصولاتشون رو سختتر میکنه. گوگل همچنین بیان کرده که علاوه بر نظارت عمومی، از اقدامات دولتی که منجر به مهار، گسترش جاسوس افزارها و قابلیت های خطرناکی که، ایمنی اکوسیستم اینترنت رو تهدید میکنن و اعتمادی که یه جامعه ی دیجیتالی پویا و فراگیر بهش وابسته هستن رو تهدید میکنه، استقبال میکنن.
فراخوان برای اقدام :
گوگل معتقده که ، زمان اون رسیده که دولت، صنعت و جامعه با هم متحد بشن، تا ساختارهای مشوق CSVها ، که امکان گسترش اونارو میدن رو تغییر بدن. بعنوان یه نشونه مثبت، چندین ابتکار داخلی و بین المللی در دو سال گذشته انجام شده ، اما باید متکی بر اون ساختار ساخته بشن و تبدیل به اقدام پایدار بشن.
در آگوست 2023، بایدن رئیس جمهور آمریکا، فرمان اجرایی رو صادر کرد که استفاده عملیاتی دولت آمریکا از جاسوس افزارهای تجاری که خطری برای امنیت ملی بهمراه داره یا توسط بازیگران تهدید خارجی برای نقض حقوق بشر در سراسر جهان مورد استفاده قرار میگیره رو محدود میکنه. این یه قدم خوبی هستش و گوگل ، دولت آمریکا رو تشویق میکنه تا اطلاعاتی در خصوص اجرای اون منتشر کنه. درک بیشتر اقداماتی که دولت آمریکا برای مقابله با تهدیدات انجام میده و انتشار عمومی آنالیز خطرات ناشی از سازندگان، منجر به ایجاد یه واکنش بین المللی میشه.
گوگل همچنین از تحریم NSO Group ، Candiru و Intellexa توسط آمریکا استقبال کرده و معتقده که کشورهای دیگه هم باید روی گسترش این تحریمها کار کنن. دولت آمریکا همچنین باید روی شفافیت بیشتر هم کار کنه از جمله تعیین الزامات شفاف بیشتر برای صنعت نظارت خودش و با بازنگری و افشای استفاده خودش از این ابزارها، خودش رو بعنوان یه الگو معرفی کنه. همچنین دولت آمریکا باید برای محدود کردن امکان فعالیت CSVها در آمریکا و دریافت سرمایه گذار آمریکایی ، تحریم های بیشتری رو اعمال کنه. همونطور که تا اینجا شاهدش بودیم، مضرات این صنعت بیشتر از فواید اونه.
جرکت به سمت ایجاد قوانین علیه سوء استفاده از جاسوس افزارهای تجاری در حال افزایشه و این حرکت باید حفظ بشه. در اجلاس Summit for Democracy در مارس 2023 ، 35 کشور، اصول اساسی استفاده مسئولانه دولتها از فناوری های نطارتی رو تصویب کردن. همچنین دولتهای استرالیا، کانادا، کاستاریکا ، دانمارک، فرانسه، نیوزلند ، نروژ ، سوئد ، سوئیس، بریتانیا و آمریکا بیانیه ی مشترک درباره تلاش برای مقابله با گسترش و سوء استفاده از جاسوس افزارهای تجاری منتشر کردن.
دولتها متعهد شدن که شیوه هایی رو برای استفاده از جاسوس افزارهای تجاری توسط دولت های خودشون ایجاد کنن، جلوی کاربرانی که از اونها بعنوان یه ابزار مخرب استفاده میکنن رو بگیرن و اصلاحاتی رو در صنعت انجام بدن. این تعهدات اگرچه امیدوار کننده است اما اقدام ملموسی تاکنون انجام نشده. گوگل دولتهای دیگه رو تشویق میکنه تا با الگو گرفتن از آمریکا، به تعهدات خودشون عمل کنن و استفاده از جاسوس افزارهای تجاری رو که منجر به نقض حقوق بشر میشه رو ممنوع اعلام کنن.
در نهایت گوگل از دولت آمریکا خواسته تا از طریق تلاش های دیپلماتیک منجر به همکاری دولت هایی که برخی از این سازندگان جاسوس افزار مشکل دار در اونجا مستقر هستن و کسایی که از این ابزارها استفاده میکنن،بشه تا با انجام اقدامات حمایتی ، آسیب های ناشی از این صنعت رو به حداقل برسونن. با توجه به اینکه اغلب CSVها مارکتشون رو بین المللی کردن، توانایی هر دولت برای تاثیرگذاری روی این صنعت محدوده و فقط از طریق یه تلاش بین المللی و هماهنگ میشه خطر این تهدید رو کاهش داد.
اقدامات گوگل برای محافظت از کاربران :
گوگل برای مقابله با تهدیدات جدی علیه کاربراش، سرمایه گذاری زیادی میکنه. در دنیای مدرن، ما باید به دستگاههایی که هر روز ازشون استفاده میکنیم، اعتماد داشته باشیم و اطمینان حاصل کنیم که بازیگران تهدید به اکسپلویتها دسترسی ندارن. در حالیکه گوگل برای مبارزه با این تهدیدات در سطح فنی عمل میکنه، ارائه دهندگان این قابلیت ها بصورت علنی فعالیت میکنن. گوگل متعهد به رهبری صنعت برای شناسایی و مختل کردن این تهدیدهاست.
گوگل گفته که در همه محصولاتش از ویژگی های امنیتی و حفاظتی پیشرو در صنعت استفاده میکنه تا کاربراش رو ایمن نگه داره :
- Safe Browsing یه سرویس پیشرو در صنعت برای شناسایی سایتهای ناامنه و آسیب های احتمالی رو به کاربران و صاحبان سایتها اطلاع میده.
- سرویس جیمیل یسری اقدامات امنیتی روش انجام دادن تا جلوی جعل، فیشینگ و اسپم رو بگیرن.
- برای محافظت از کاربران با ریسک بالا، گوگل Advanced Protection Program (APP) رو ارائه میده که بالاترین درجه امنیت اکانتها در گوگله.
- برای اندروید و کروم در طول چرخه ی توسعه اشون، تحت یه برنامه امنیتی دقیق قرار میده و معتقده که محصولات نرم افزاری باید دارای طراحی امن باشن.
- همچنین یسری ابزار دیگه رو هم برای جلوگیری از حملات روی دستگاههای اندروید توسعه دادن. مثلا Google Play Protect یه محافظ بدافزار داخلی برای اندرویده که از هوش مصنوعی گوگل استفاده میکنه و دستگاه رو اسکن میکنه تا برنامه های بالقوه مضر رو شناسایی کنه.
- گوگل همچنین یه فرایند پاسخ به حوادث جامع هم ایجاد کرده. علاوه بر این، اگه فعالیت مخربی رو هم کشف کنه ، علاوه بر اینکه اقداماتی برای مقابله با اون تهدید برای حفاظت از کاربراش انجام میده، با انتشار یه گزارش عمومی منجر به افزایش آگاهی و کمک به کل اکوسیستم میشه.
- بمنظور رسیدگی به آسیب های صنعت CSV، گوگل با سایر شرکتهای فناوری بمنظور شناسایی و رسیدگی به اکسپلویتهایی که توسط CSVها استفاده میشن، همکاری میکنه.
- گوگل همچنین اعلام کرده که دنبال کاهش آسیب پذیری و محافظت از محققان امنیتی هستش. گوگل از اقداماتی برای کوتاه کردن چرخه ی شناسایی و اقدامات کاهشی آسیب پذیری ها حمایت میکنه و در عین حال آسیب پذیری هایی که بطور گسترده مورد اکسپلویت قرار گرفتن رو بررسی میکنه. سیاست TAG گزارش سریع آسیب پذیری ها به سازندگان هستش. Project Zero یکی از اجزای حیاتی این استراتژیه که شفافیت و اصلاح بموقع آسیب پذیری ها رو ارتقاء میده.
- برنامه ی vulnerability rewards program (VRP) گوگل میلیون ها دلار به محققین پرداخت کرده که در تامین امنیت دستگاهها و پلتفرم های گوگل مشارکت کردن. گوگل همچنین برای کمک به تامین مالی و حمایت از جامعه ی تحقیقاتی ، به محققای امنیتی کمک های مالی تحقیقاتی ارائه میده.
همه ی اینا بخشی از یه استراتژی بزرگتر برای حفاظت از محصولات و کاربران گوگل و همچنین کل اینترنت هستش.
برای دسترسی به سایر قسمتهای این مقاله میتونید از لینک های زیر استفاده کنید :
- قسمت اول : جاسوس افزارها و قربانیان
- قسمت دوم: درک CSVها
- قسمت سوم: محصولات و کمپین های CSVها
- قسمت چهارم: اقدامات امنیتی
گزارش 50 صفحه ای گوگل رو هم میتونید از این لینک یا از کانالمون دریافت کنید.