Paragon je pomotoma naložil fotografijo svoje nadzorne plošče vohunske programske opreme

Paragon Solutions, izraelsko podjetje za tehnologijo nadzora, je pomotoma razkrilo svojo nadzorno ploščo vohunske programske opreme na fotografiji, ki je pricurljala v javnost – napaka, ki natančno razkriva, kako so strukturirane sofisticirane operacije komercialne vohunske programske opreme in zakaj digitalna zasebnost ostaja ena najbolj perečih skrbi za podjetja in posameznike. To nenamerno razkritje ponuja okno brez primere v notranje delovanje vohunske programske opreme na ravni podjetja in ima pomembne posledice za to, kako organizacije razmišljajo o varnosti, suverenosti podatkov in preglednosti delovanja.

Kaj je Paragonova razkrita nadzorna plošča dejansko razkrila?

Fotografija, ki naj bi bila posredovana interno, preden je bila nenamerno objavljena, je prikazovala vmesnik nadzorne plošče, ki operaterjem očitno omogoča spremljanje tarč v realnem času, upravljanje okužb naprav in pridobivanje podatkov iz več profilov žrtev hkrati. Vmesnik je podoben vrsti čistih, uporabniku prijaznih nadzornih plošč SaaS, ki jih gradijo zakonita podjetja za programsko opremo – ravno zaradi tega je tako zaskrbljujoč.

Paragon, izdelovalec orodja za vohunsko programsko opremo Graphite, se predstavlja kot prodajalec "zakonitega prestrezanja", ki prodaja izključno državnim strankam. Vendar razkrita slika spodkopava nepreglednost, na katero se zanašajo ta podjetja. Za razliko od Pegasusa skupine NSO, ki so ga obsežno dokumentirali raziskovalci Citizen Laba, je Paragonu uspelo ostati razmeroma skromen. To se je spremenilo, ko je ta slika začela krožiti med varnostnimi raziskovalci in novinarji.

Nadzorna plošča naj bi prikazala:

• Indikatorji stanja ciljne naprave, ki prikazujejo stanja okužbe in pridobivanja podatkov v realnem času
• Vmesnik za upravljanje z več cilji, ki lahko upravlja sočasne operacije nadzora
• Dnevniki prestrezanja komunikacije, vključno s šifriranimi podatki aplikacije za sporočanje
• Moduli za sledenje geolokaciji z zgodovinskim preslikavo gibanja
• Administrativni nadzor za uvajanje in prekinitev sej vohunske programske opreme na daljavo

Kakšna je Paragonova vohunska programska oprema Graphite v primerjavi z drugimi komercialnimi orodji za nadzor?

Komercialna vohunska programska oprema deluje v mračni pravni sivi coni in Paragon v tem prostoru še zdaleč ni edini. NSO Group, Intellexa (proizvajalci Predatorja) in Hacking Team (pred lastno katastrofalno kršitvijo leta 2015) vsi predstavljajo razred prodajalcev, ki prodajajo digitalno orožje državnim akterjem pod krinko zakonitih orodij za prestrezanje. Kar odlikuje Graphite, je njegova prijavljena zmožnost ogrožanja naprav s popolnoma posodobljenima različicama iOS in Android – tako imenovana izkoriščanja brez klika, ki ne zahtevajo nobene interakcije s tarčo.

Slika plošče, ki je pricurljala v javnost, nakazuje, da je Paragonovo orodje zrelo, dobro financirano in operativno sofisticirano. Izpopolnjenost vmesnika je opomnik, da za vsako operacijo nadzora stoji skupina izdelkov, proces zagotavljanja kakovosti in funkcija uspeha stranke – isti gradniki katerega koli zakonitega posla s programsko opremo, ki je preurejen za prikrito zbiranje obveščevalnih podatkov.

"Najnevarnejša orodja za nadzor sploh niso videti nevarna. Izgledajo kot programska oprema za produktivnost. Puščanje Paragona je opomnik, da so operativne varnostne napake - ne samo tehnične - tiste, zaradi katerih so ti programi na koncu izpostavljeni javnemu nadzoru."

Zakaj se takšne operativne varnostne napake kar naprej dogajajo v obveščevalnih podjetjih?

To bi bilo enostavno zavrniti kot preprosto človeško napako, vendar vzorec operativnih varnostnih napak v industriji nadzora kaže na nekaj globljega. Organizacije, ki delujejo v tajnosti, pogosto razvijejo napačen občutek imunosti – domnevajo, da so njihovi lastni notranji procesi enako varni, ker nadzorujejo tajna orodja. Niso.

V primeru Paragona nenamerno nalaganje verjetno odraža enake pritiske, s katerimi se sooča vsako hitro rastoče tehnološko podjetje: interne ekipe si delijo dokumentacijo, posnetke zaslona v orodjih za sodelovanje, posnetke zaslona v diapozitivih, posnetke zaslona v materialih za vkrcanje. V obsegu postane katera koli od teh stičnih točk potencialni vektor puščanja. Ironija je, da so podjetja, ki izdelujejo najbolj invazivna orodja za nadzor na svetu, pogosto izpostavljena enakim običajnim operativnim napakam kot katera koli druga programska družba.

Ta incident poudarja načelo, ki velja v vseh panogah: operativna preglednost znotraj organizacije – v kombinaciji z jasnimi kontrolami dostopa, politikami ravnanja s podatki in internimi komunikacijskimi protokoli – ni izbirna. To je infrastruktura za preživetje.

Kakšne so širše posledice za poslovno zasebnost in varnost podatkov?

Za vodje podjetij in operaterje je uhajanje Paragona študija primera z neposrednim pomenom onkraj geopolitike. Iste kategorije ranljivosti, ki so razkrile Paragonova notranja orodja – nenadzorovana skupna raba posnetkov zaslona, neustrezna stopnja dostopa, nezadostna notranja varnostna kultura – so prisotne v tisočih podjetjih, ki uporabljajo zakonite, vsakdanje programske platforme.

Sodobna podjetja upravljajo z ogromnimi količinami občutljivih podatkov: zapisi strank, finančni podatki, lastniški delovni tokovi in komunikacije. Vprašanje ni, ali je vaše podjetje tarča nadzora, ampak ali je vaše notranje upravljanje podatkov dovolj robustno, da prepreči nenamerno razkritje sredstev, ki jih morate varovati. Platforma za poslovno upravljanje, ki konsolidira operacije v oddelkih, mora po svoji zasnovi te pomisleke obravnavati arhitekturno – ne kot naknadna misel.

Ključne lekcije iz incidenta Paragon, ki veljajo za katero koli podjetje:

• Revizija, ki ima dostop do občutljivih sistemskih nadzornih plošč in omejitev na tiste, ki jih je treba vedeti
• Implementirajte nadzor posnetkov zaslona in snemanja zaslona v okoljih z visoko stopnjo varnosti
• Usposobite ekipe o higieni ravnanja s podatki, zlasti glede notranje dokumentacije
• Uporabljajte platforme z vgrajenim nadzorom dostopa na podlagi vlog in beleženjem nadzora

Kako se lahko podjetja zaščitijo v svetu, kjer so orodja za vohunsko programsko opremo komercialno dostopna?

Osnova so higiena naprave, posodobitve programske opreme in omrežne arhitekture ničelnega zaupanja. Vendar je organizacijska plast enako pomembna. Podjetja potrebujejo centralizirane operativne platforme, ki dajejo administratorjem vpogled v to, kdo dostopa do česa, kdaj in od kod – brez ustvarjanja novih težav z nadzorom. Cilj je transparentno notranje upravljanje, ne nadzor v senci lastne ekipe.

Mewayz, 207-modulni poslovni operacijski sistem, ki ga uporablja več kot 138.000 podjetij po vsem svetu, je zgrajen na točno tem principu. Centraliziranje vašega CRM-ja, trženja, vsebine, kadrovske službe, financ in operacij na eno samo upravljano platformo zmanjša širjenje, ki povzroča nenamerno uhajanje informacij. Ko podatki živijo v petnajstih nepovezanih orodjih, imate petnajstkratno površino izpostavljenosti. Konsolidacija ni samo igra učinkovitosti – je varnostna drža.

Pogosto zastavljena vprašanja

Kaj je vohunska programska oprema Paragon in kdo jo uporablja?

Paragon Solutions je izraelsko podjetje za kibernetski nadzor, ki razvija Graphite, komercialno platformo vohunske programske opreme, ki se trži državnim strankam za "zakonito prestrezanje". Po poročilih ga uporabljajo organi kazenskega pregona in obveščevalne službe v različnih državah, čeprav njegov celoten seznam strank ni bil javno potrjen.

Ali je komercialna vohunska programska oprema, kot je Graphite, zakonita?

Zakonitost komercialne vohunske programske opreme se razlikuje glede na jurisdikcijo in primer uporabe. Prodajalci, kot je Paragon, delujejo v zakonsko sivi coni in trdijo, da se njihova orodja prodajajo samo preverjenim vladnim strankam za zakonite obveščevalne namene. Vendar pa so dokumentirane zlorabe drugih prodajalcev na istem trgu – vključno s skupino NSO – spodbudile večji regulativni nadzor v EU in ZDA.

Kaj naj podjetja naredijo za zaščito pred grožnjami vohunske programske opreme?

Podjetja bi morala dati prednost posodabljanju vseh naprav, uvajanju rešitev za upravljanje mobilnih naprav (MDM), uveljavljanju večfaktorske avtentikacije in uporabi centraliziranih poslovnih platform z robustnim nadzorom dostopa in revizijskim beleženjem. Zmanjšanje širjenja orodij in konsolidacija operacij na enotni upravljani platformi znatno zmanjšata vašo površino izpostavljenosti.

Uhajanje Paragona je opomnik, da so tudi najbolj tajne tehnološke operacije ranljive za najbolj človeške napake. Ne glede na to, ali izvajate vladni obveščevalni program ali rastoče podjetje e-trgovine, operativna disciplina in centralizirano upravljanje podatkov nista neobvezna dodatka – sta temeljna infrastruktura. Če vaše podjetje še vedno upravlja operacije v zbirki nepovezanih orodij, je zdaj čas za konsolidacijo.

Prevzemite nadzor nad svojimi poslovnimi operacijami z Mewayzom — 207 integriranimi moduli, že od 19 $/mesec. Začnite svojo pot na app.mewayz.com in še danes zgradite bolj varno, učinkovito in razširljivo podjetje.