На протяжении более десяти лет десятки журналистов и правозащитников подвергались преследованиям и хакерским атакам со стороны правительств по всему миру. Полицейские и шпионы в Эфиопии, Греции, Венгрии, Индии, Мексике, Польше, Саудовской Аравии и Объединенных Арабских Эмиратах, среди прочих, использовали сложные шпионские программы для взлома телефонов этих жертв, которые порой также сталкивались с реальным насилием: запугиванием, преследованиями, а в крайних случаях даже убийствами.
В последние несколько лет в борьбе за защиту этих групп населения с повышенным риском ключевую роль сыграла команда из десятка экспертов по цифровой безопасности, в основном из Коста-Рики, Манилы и Туниса, а также других мест. Они работают в некоммерческой организации Access Now со штаб-квартирой в Нью-Йорке, а именно на ее горячей линии по цифровой безопасности.
Их миссия — стать командой, к которой журналисты, правозащитники и диссиденты могут обратиться, если подозревают, что их аккаунты были взломаны, например, с помощью шпионского ПО, разработанного такими компаниями, как NSO Group, Intellexa или Paragon.
«Идея состоит в том, чтобы предоставить эту круглосуточную услугу гражданскому обществу и журналистам, чтобы они могли обращаться к нам всякий раз, когда у них возникает… инцидент в сфере кибербезопасности», — сказал TechCrunch Хассен Сельми, руководитель группы реагирования на инциденты в Helpline.
По словам Билла Марчака, старшего научного сотрудника Citizen Lab при Университете Торонто, который занимается исследованием шпионского ПО почти 15 лет, горячая линия Access Now является «передовым ресурсом» для журналистов и других лиц, которые могли стать жертвами атак или взлома с использованием шпионского ПО.
Телефонная линия поддержки стала важнейшим каналом связи для жертв. Настолько важным, что когда Apple отправляет своим пользователям так называемое «уведомление об угрозе», предупреждающее их о том, что они стали жертвами шпионского ПО, используемого коммерческими организациями, технологический гигант уже давно направляет жертв к следователям Access Now.
В беседе с TechCrunch Селми описал сценарий, в котором кто-то получает одно из таких уведомлений об угрозе, и в котором Access Now может помочь жертвам.
«Наличие человека, который может им все объяснить, рассказать, что им следует делать, чего делать не следует, что это значит… Это для них большое облегчение», — сказал Сельми.
По мнению нескольких экспертов по цифровым правам, которые расследовали случаи распространения шпионского ПО и ранее беседовали с TechCrunch, Apple в целом придерживается правильного подхода, даже если внешне это выглядит как перекладывание ответственности триллионным технологическим гигантом на небольшую группу сотрудников некоммерческой организации.
По словам Сельми, упоминание Apple в уведомлениях стало «одной из важнейших вех» для службы поддержки.
Сельми и его коллеги сейчас расследуют около 1000 случаев предполагаемых атак правительственного шпионского ПО в год. По словам Мохаммеда Аль-Маскати, директора горячей линии, примерно половина этих случаев перерастает в реальные расследования, и только около 5% из них, примерно 25, приводят к подтвержденному случаю заражения шпионским ПО.
Когда Сельми начала эту работу в 2014 году, Access Now расследовала всего около 20 случаев предполагаемых атак шпионского ПО в месяц.
В то время в Коста-Рике, Маниле и Тунисе в каждом часовом поясе работало по три-четыре человека, что позволяло им держать кого-то онлайн в течение всего дня. Сейчас команда ненамного больше, в ней работает менее 15 человек. По словам Сельми, в Европе, на Ближнем Востоке, в Северной Африке и странах Африки к югу от Сахары работает больше специалистов, поскольку эти регионы являются очагами распространения шпионского ПО.
Сельми объяснила, что увеличение числа случаев связано с несколькими обстоятельствами. Во-первых, горячая линия стала более известной, поэтому привлекает больше людей. Во-вторых, поскольку правительственное шпионское ПО распространяется по всему миру и становится более доступным, потенциально увеличивается количество случаев злоупотреблений. Наконец, команда горячей линии активизировала работу с потенциально целевыми группами населения, выявляя случаи злоупотреблений, которые они могли бы не обнаружить иным способом.
Связаться с нами
Вы получили уведомление от Apple, Google или WhatsApp о том, что стали жертвой шпионского ПО? Или у вас есть информация о создателях шпионского ПО? Мы будем рады получить от вас информацию. С любого устройства, кроме рабочего, вы можете безопасно связаться с Лоренцо Франчески-Биккьераи через Signal по номеру +1 917 257 1382, или через Telegram и Keybase @lorenzofb, или по электронной почте.
Как рассказал Сельми изданию TechCrunch, когда кто-то обращается на горячую линию, следователи сначала подтверждают получение обращения, а затем проводят проверку, соответствует ли человек, обратившийся в службу, мандату организации, то есть является ли он представителем гражданского общества, а не, например, руководителем предприятия или законодателем. Затем следователи оценивают дело в порядке приоритетности. Если дело получает приоритет, следователи задают вопросы, например, почему человек считает, что стал жертвой (если уведомления не было), и какое устройство он использует, что помогает определить, какую информацию следователям может потребоваться получить с устройства жертвы.
После первоначальной, ограниченной проверки устройства, проведенной удаленно через интернет, операторы и следователи службы поддержки могут попросить жертву отправить дополнительные данные, например, полную резервную копию устройства, для проведения более тщательного анализа на предмет признаков взлома.
«Для каждого известного типа уязвимостей, использовавшихся за последние пять лет, у нас есть процедура проверки этих уязвимостей», — сказал Сельми, имея в виду известные методы взлома.
«Мы более или менее знаем, что является нормой, а что нет», — сказал Сельми.
Сотрудники Access Now, которые управляют связью и часто говорят на языке жертвы, также дают жертве советы о том, что делать дальше, например, стоит ли приобрести другое устройство или принять другие меры предосторожности.
Каждый случай, который рассматривает эта некоммерческая организация, уникален. «Это индивидуально для каждого человека, для каждой культуры», — сказала Селми в интервью TechCrunch. «Я думаю, нам следует провести больше исследований, привлечь к этому больше людей — не только технических специалистов — чтобы они знали, как работать с такими жертвами».
Сельми заявила, что горячая линия также оказывает поддержку аналогичным следственным группам в некоторых регионах мира, обмениваясь документацией, знаниями и инструментами в рамках коалиции CiviCERT, глобальной сети организаций, которые могут помочь членам гражданского общества, подозревающим, что они стали жертвами шпионского программного обеспечения.
Сельми сказал, что эта сеть также помогла связаться с журналистами и другими людьми в местах, куда иначе они не смогли бы добраться.
«Независимо от того, где они находятся, у [жертв] есть люди, с которыми они могут поговорить и сообщить о случившемся», — сказала Сельми в интервью TechCrunch. «То, что эти люди говорят на их языке и понимают их ситуацию, очень помогает».
Источник: techcrunch.com
