В последние несколько лет в борьбе за защиту наиболее уязвимых сообществ ключевую роль играет команда из дюжины экспертов по цифровой безопасности, базирующихся в основном в Коста-Рике, Маниле и Тунисе. Они работают в некоммерческой организации Access Now со штаб-квартирой в Нью-Йорке, а именно в её службе поддержки по цифровой безопасности.
Их миссия — быть командой, к которой могут обратиться журналисты, правозащитники и диссиденты, если они подозревают, что были взломаны, например, с помощью шпионского ПО, созданного такими компаниями, как NSO Group, Intellexa или Paragon.
“Идея состоит в том, чтобы предоставить круглосуточный сервис для гражданского общества и журналистов, чтобы они могли обратиться, когда у них произойдет… инцидент в области кибербезопасности”, — рассказал TechCrunch Хассен Сельми, руководитель группы реагирования на инциденты в службе поддержки.
По словам Билла Марчака, старшего научного сотрудника Citizen Lab при Университете Торонто, который занимается расследованием шпионского ПО уже около 15 лет, служба поддержки Access Now является “передовым ресурсом” для журналистов и других лиц, которые могли быть атакованы или взломаны с помощью шпионского ПО.
Служба поддержки стала важнейшим каналом для жертв. Настолько, что когда Apple отправляет своим пользователям так называемое “уведомление об угрозе”, предупреждая их о том, что они стали мишенью шпионского ПО, технологический гигант уже давно направляет жертв к следователям Access Now.
В разговоре с TechCrunch Сельми описал сценарий, когда кто-то получает одно из этих уведомлений об угрозе, и Access Now может помочь жертвам.
“Иметь кого-то, кто мог бы объяснить им это, сказать им, что они должны делать, чего не должны делать, что это значит… Это большое облегчение для них”, — сказал Сельми.
По мнению нескольких экспертов по цифровым правам, которые расследовали случаи шпионского ПО и ранее беседовали с TechCrunch, Apple в целом придерживается правильного подхода, даже если со стороны это выглядит как перекладывание ответственности триллионным технологическим гигантом на небольшую команду некоммерческих работников.
Упоминание Apple в уведомлениях, по словам Сельми, стало “одной из самых больших вех” для службы поддержки.
Сельми и его коллеги в настоящее время рассматривают около 1000 случаев предполагаемых атак государственного шпионского ПО в год. Около половины этих случаев перерастают в реальные расследования, и только около 5% из них, около 25, приводят к подтвержденному случаю заражения шпионским ПО, по словам директора службы поддержки Мохаммеда Аль-Маскати.
Когда Сельми начинал эту работу в 2014 году, Access Now расследовала всего около 20 случаев предполагаемых атак шпионского ПО в месяц.
В то время в каждом часовом поясе работали три или четыре человека в Коста-Рике, Маниле и Тунисе, что позволяло им иметь кого-то онлайн в течение всего дня. Сейчас команда не намного больше, в службе поддержки работает менее 15 человек. В службе поддержки больше людей в Европе, на Ближнем Востоке, в Северной Африке и Африке к югу от Сахары, учитывая, что это горячие точки для случаев шпионского ПО, по словам Сельми.
Увеличение числа случаев, как объяснил Сельми, связано с несколькими обстоятельствами. Во-первых, служба поддержки сейчас более известна, поэтому она привлекает больше людей. Затем, поскольку государственное шпионское ПО становится глобальным и более доступным, потенциально больше случаев злоупотреблений. Наконец, команда службы поддержки провела большую работу по охвату потенциально целевых групп населения, выявляя случаи злоупотреблений, которые они, возможно, не обнаружили бы в противном случае.
Когда кто-то обращается в службу поддержки, как рассказал TechCrunch Сельми, её следователи сначала подтверждают получение, затем проводят первую проверку, чтобы увидеть, входит ли человек, обратившийся к ним, в мандат организации, то есть является ли он частью гражданского общества — а не, например, руководителем бизнеса или законодателем. Затем следователи оценивают дело в порядке приоритетности. Если дело является приоритетным, следователи задают вопросы, например, почему человек считает, что он был целью (если не было уведомления), и какое устройство у него есть, что помогает установить, какую информацию следователям может потребоваться собрать с устройства жертвы.
После первоначальной, ограниченной проверки устройства, выполненной удаленно через Интернет, обработчики и следователи службы поддержки могут попросить жертву отправить больше данных, таких как полная резервная копия их устройства, чтобы провести более тщательный анализ на предмет признаков вторжений.
“Для каждого известного вида эксплойта, который использовался в последние пять лет, у нас есть процесс проверки этого эксплойта”, — сказал Сельми, имея в виду известные методы взлома.
“Мы более или менее знаем, что нормально, а что нет”, — сказал Сельми.
Обработчики Access Now, которые управляют связью и часто говорят на языке жертвы, также дадут жертве советы о том, что делать, например, приобрести другое устройство или принять другие меры предосторожности.
Каждый случай, который рассматривает некоммерческая организация, уникален. “Это отличается от человека к человеку, от культуры к культуре”, — сказал TechCrunch Сельми. “Я думаю, что мы должны проводить больше исследований, привлекать больше людей — не только технических специалистов — чтобы знать, как обращаться с такими жертвами”.
Сельми сказал, что служба поддержки также поддерживает аналогичные следственные группы в некоторых регионах мира, обмениваясь документацией, знаниями и инструментами в рамках коалиции под названием CiviCERT, глобальной сети организаций, которые могут помочь членам гражданского общества, подозревающим, что они стали мишенью шпионского ПО.
Сельми сказал, что эта сеть также помогла охватить журналистов и других лиц в местах, куда в противном случае они не смогли бы добраться.
“Независимо от того, где они находятся, [жертвы] имеют людей, с которыми они могут поговорить и которым могут сообщить”, — сказал TechCrunch Сельми. “То, что эти люди говорят на их языке и знают их контекст, очень помогло”.
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
9/9
Автор – Lorenzo Franceschi-Bicchierai
