Det här är den obehagliga sanningen – vissa attacker är det mycket svårt att skydda sig mot

av | jul 27, 2021 | Säkerhet

Nyligen avslöjades att NSO Group använde mjukvaror, spionprogram (Pegasus) som exploaterade okända säkerhetshål för att infektera iPhone och iOS-enheter med avlyssningsprogram. Pegasus har använts i attacker mot människorättsadvokater, journalister och demokratiförespråkare i attacker som det är mycket svårt att skydda sig mot.

Efter det att informationen om attackerna och en stor lista med telefonnummer blivit kända – avslöjade av Amnesty International – så uttalade sig Apple och fördömde attackerna men konstaterade också att det är svårt att skydda sig mot den här typen av riktade, precisa typen av attacker.

Trots att Apple både faktamässigt och tekniskt har rätt så har Apple fått kritik. Det ställs krav på att Apple måste göra något och göra mer men då glöms bort vad detta handlar om, vilken typ av attack det är, vem som utför dem och de pengar som läggs ned på att lyckas att genomföra dem.

Flera tankar

För att landa rätt här så krävs att en, två eller fler tankar hålls i minnet och att debatten nyanseras och att saker sorteras ut så att vi vet vad vi diskuterar.

Apple måste göra mer – absolut, Apple måste försöka skapa tekniska lösningar som gör det möjligt att snabbt åtgärda den här typen av attacker som bygger på nya, hittills okända buggar. Det gör Apple. Nyligen lades ett ramverk till i iOS just för detta men utvecklingen av den typen av skydd kan ta tid så Apple lär inte ha allt på plats direkt.

Vi ska kunna ställa höga krav på Apple – utan minsta tvekan och Apple ställer höga krav på sig själva.

När vi nu kommit hit så är det inte oviktig att också gå igenom vilken typ av attacker som vi diskuterar.

Buggar

Attacken genomförs med kunskap en eller flera buggar i iOS som inte rapporterats till Apple. Det är okända, ”Zero-Day” buggar som NSO Group bevakar och gör sitt yttersta för att att dölja.

Den som genomför attacken har lagt ned mycket stora summor, det kan röra sig om miljoner dollar för att utveckla ett attackverktyg – Pegasus.

Attackerna görs mycket riktat – mot en mindre grupp användare och vi vet inte om de skräddarsys för varje enskild användare och varje attack.

En riktad attack med ett specialutvecklad attackverktyg som kostat betydande summor att utveckla och det det används okända buggar som NSO Group mycket väl kan ha köpt in – även det för stora summor.

Vanliga användare

Lägg ihop allt det och du får en typ av attack som knappast berör vanliga användare, vilket var det Apple sa i sin kommentar. Det är också en typ av sofistikerad, avancerad attack som det är mycket svårt att skydda sig mot, vilket också var det Apple sa i sin kommentar.

Utifrån det vi vet är det mycket märkligt att flera medier dragit slutsatsen att Apples tal om säkerhet är överdrivet, att Apple inte alls är kapabla att skydda sin användare och att allt bara handlar om marknadsföring. Det är lika logiskt som att hävda att Volvos säkerhetsarbete bara är smart PR därför att Volvo inte har samma höga säkerhet som en Formel 1-bil och en Volvo-bil klarar inte att skydda föraren i lika våldsamma krascher som en Formel 1-bil klarar.

En iPhone är en konsumentprodukt med mycket hög säkerhet i jämförelse med konkurrenterna men det är inte en dedikerad, skyddad säkerhetstelefon. Det senare hade sannolikt krävts för att kunna skydda mot en riktad, avancerad och sofistikerad attack av den typ som är aktuell i detta fall. I en sån telefon hade det inte funnits en app likt iMessage. I en sådan telefon hade en rad funktioner stängts ned och plockats bort.

Vilken liga

Här handlar det om vilken nivå, vilken liga vi vill spela i och hur många funktioner vi vill ha. En säkerhetstelefon har ett minimum av funktioner och ett specialutvecklad operativsystem. Det är en telefon som de flesta av oss förmodligen skulle vägra att använda – vi skulle i vart fall inte ha köpt en sån telefon.

Är hela det här resonemanget nu bara ursäktar för att sopa undan kritiken mot Apple?

Nej, delar av kritiken är befogad. Det som nu hänt visar att Apple måste göra mer men med det sagt – vi diskuterar en konsumentprodukter med allt vad det innebär i form av krav på appar, tjänster och funktioner.

Det är skillnad på äpplen och päron.

0 kommentarer


Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________

De senaste inläggen: