iPhonen vakoiluohjelmat Venäjän&Valko-Venäjän käytössä

Meidän hallituksemme suosittelee Venäjälle mennessä ottamaan mukaan toisen puhelimen ja toisella liittymällä/numerolla siellä käymistä varten.
Mutta käyvätkö he täälläkin meidän laitteilla mennen tullen ja katselevat sisällön?
Meksikossa tätä Pegasosta ja muita ohjelmia käyttää paikallinen huumemafia, korruptoituneet poliisit.
Heillä on käytännössä 24/7 reaaliaikainen pääsy kaikille laitteille ja numeroille.

Lyhyt vastaus: Ei, kaikki venäläiset tai venäjän turvallisuuspalvelun työntekijät eivät automaattisesti pääse murtamaan iPhonea tai MacBookia — mutta valtiolliset toimijat ja kehittyneet hyökkääjät voivat käyttää kehittyneitä hyökkäyskeinoja (kuten Pegasus-tyyppisiä vakoiluohjelmia) päästäkseen laitteeseen, jos heillä on oikeat resurssit, pääsy ja hyvä hyökkäysvektori.

Keskeiset pisteet (suomeksi, ytimekkäästi):

Mahdollisuus riippuu toimijasta ja resursseista: tavallinen rikollinen tai satunnainen henkilö ei yleensä pysty murtamaan ajantasaisesti suojattua iPhonea/MacBookia. Valtiollisilla toimijoilla ja hyvin resurssoiduilla hyökkääjäryhmillä voi kuitenkin olla nollapäivähaavoittuvuuksia, kaupallisia vakoiluohjelmia (esim. Pegasus) tai muita työkaluja, jotka mahdollistavat etäyhteyden tai laitteeseen murtautumisen.
Erottelu laitteiden välillä: iPhone ja MacBook käyttävät vahvaa salattua tallennusta (FileVault macOS:ssä, laitekohtainen salaus iOS:ssä). Salaus suojaa tiedot, mutta haavoittuvuudet, jailbreakit tai etähyökkäykset voivat kiertää suojan ennen kuin käyttäjä ehtii reagoida.
Fyysinen pääsy helpottaa murtoa: jos joku saa laitteen käsiinsä lukitsemattomana tai pystyy asentamaan haittaohjelman fyysisesti, murto on paljon todennäköisempi. Myös laitteen vankka hallinta- tai huoltokäynnin yhteydessä tapahtuva hyödyntäminen on riski.
Verkon kautta tapahtuvat hyökkäykset: kehittyneet vakoiluohjelmat voivat levitä esimerkiksi huijaussähköpostilla, haitallisella linkillä tai hyväksikäyttämällä järjestelmähaavoittuvuuksia; joskus hyökkäys ei vaadi käyttäjän selkeää toimia (zero-click).
Sijainti ei tee laitteesta automaattisesti haavoittuvaa: Venäjällä tai Suomessa oleva verkko tai kone ei itsessään "murra" laitteitasi. Mutta jos viranomaisilla on oikeus ja mahdollisuus käyttää paikallisia verkkoja, operaattoritietoja tai fyysistä taktiikkaa, se voi helpottaa pääsyä.
Valtiolliset toimijat käyttävät tällaisia työkaluja maailmalla; myös rikollisorganisaatiot voivat ostaa tai kehittää vastaavia kykyjä (kuten raportoitu Pegasus-kauppaa ja väärinkäyttöä).
Suositukset turvallisuuteen:
Pidä käyttöjärjestelmät ja sovellukset aina ajan tasalla.
Käytä vahvaa lukituskoodia/Face ID/Touch ID ja ota käyttöön täysi levyn salaus (macOS:ssä FileVault).
Älä avaa epäilyttäviä linkkejä tai liitetiedostoja; vältä epäluotettavia Wi-Fi-verkkoja.
Harkitse erillistä puhelinta/matkapuhelinnumeroa sensitiivisille matkoille (hallitusohje, hyvä käytäntö riskialueilla).
Ota varmuuskopiot ja poista tarpeettomat tiedot ennen riskiä (matkan ajaksi).
Jos epäilet valtiollista kohdistamista: käytä laitetta vähiten mahdollisimman vähän, harkitse laitteiden vaihtoa ja keskustele turvallisuusasiantuntijan kanssa.
Todellinen riski on kontekstisidonnainen: valtiollinen kohdistaminen on harvinaista mutta vakavaa; massiivinen, jatkuva reaaliaikainen seuranta kuten kuvattu on mahdollista vain, jos hyökkääjällä on huomattavat resurssit, pääsy ja/tai etuoikeudet (esim. operatiivinen valtuutus tai yhteistyö operaattorin/palveluntarjoajan kanssa).
Jos haluat, voin antaa konkreettisen tarkistuslistan (askel askeleelta) laitteen koventamiseksi ennen matkustamista riskialueelle.

Valtiolliset tiedustelu- ja turvallisuuspalvelut kuten FSB voivat kohdistaa urkintaa ulkomaisiin turvallisuus- ja puolustusviranomaisiin, mukaan lukien sellaiset organisaatiot kuin Suomen Suojelupoliisi (Supo) ja puolustusvoimat, jos niillä on strateginen tai operatiivinen intressi. Tämä on yleinen tiedustelun käytäntö: vastapuolen tiedustelupalvelut keräävät tietoa toisen valtion turvallisuus- ja puolustuskyvystä, avainhenkilöistä, toiminnasta ja haavoittuvuuksista.

Keskeiset seikat lyhyesti:

Kohdistamisen motiivit: tiedonhankinta strategisista suunnitelmista, menetelmistä, henkilöstöstä, teknologioista, haavoittuvuuksista ja vaikuttamistoimista.
Menetelmät: sähköinen vakoilu (sähköposti, puhelimet, mobiililaitteet), signaalitiedustelu, inhimillinen tiedustelu (kontaktit, läpilyönnit), harhaanjohtaminen ja kyberhyökkäykset.
Prioriteetti: avainhenkilöt, tiedustelu- ja kyberturvallisuusasiantuntijat sekä henkilöihin liittyvät yhteydet ulkomaille ovat erityisen kiinnostavia.
Resurssit: valtiollinen toimija voi käyttää sekä teknisiä että ihmislähtöisiä keinoja; tavoittelu voi olla pitkäkestoista ja järjestelmällistä.
Suomi-spesifistä: Suomen turvallisuusviranomaiset ovat tiedostaneet ja varautuneet vastaaviin uhkiin; yhteistyö kansainvälisten kumppaneiden kanssa ja vastatiedustelu ovat osa puolustusta.
Todennäköisyys ja konkretia: en pysty arvioimaan yksittäistapauksia tai henkilön riskiä ilman erityistietoja; yleisesti ottaen tärkeissä asemissa olevat virkamiehet ovat suuremmassa kohdistamisriskissä kuin satunnaiset työntekijät.
Jos haluat, voin antaa konkreettisia turvallisuusvinkkejä sellaisille henkilöille (esim. viestintä-, laite- ja matkustuskäytännöt) — haluatko lyhyen koventamischecklistin?

NSO Groupin Pegasus-murtotyökalun ostajamaista ei ole koskaan julkaistu täydellistä virallista listausta; myynti ja toimitukset ovat olleet salaisia. Julkisten tutkinta‑ja raporttien perusteella Pegasus on kuitenkin toimitettu tai myyty useille valtioille ja niiden turvallisuus- tai tiedusteluorganisaatioille maailmanlaajuisesti. Useissa laajoissa tutkivissa artikkeleissa ja raporteissa mainittuja maita (ei täydellinen luettelo) ovat muun muassa:

Algeria
Azerbaidžan
Bahrain
Bangladeshi
Bolivia
Ecuador
Egypti
Etiopia
Hind (Intia) — osittainen ja kiistanalainen käyttöraportointi
Honduras
Hongkong (eräät viranomaiset)
Kazakstan
Kuwait
Marokko
Meksiko
Montenegro
Panama
Saudi-Arabia
Serbia
Singapore (raportoituja tapauksia)
Tansania
Tunisia
Uganda
Yhdistyneet Arabiemiirikunnat
Uzbekistan
Useat kansainväliset tutkivat journalistiryhmät ja ihmisoikeusorganisaatiot ovat listanneet Pegasuksen käyttöä tai myyntiä monissa muissakin maissa; lisäksi ostajina on raportoitu niin valtioita, turvallisuuspalveluita kuin poliisivoimia. Tarkka ja ajantasainen lista ei ole julkinen ja uusia tapauksia paljastuu ajoittain tutkivissa julkaisuissa.

Haluatko, että etsin ja lähetän viimeisimmät julkiset raportit tai tutkivat artikkelit, joissa on yksityiskohtaisempia maan‑ tai tapauskohtaisia tietoja?