O istnieniu oprogramowania szpiegującego Pegasus wiedziało i wie coraz więcej osób. Po odkryciu listy z ponad 50 000 numerami telefonów podsłuchiwanych przy jego pomocy, śledztwo prowadzone było przez dziennikarzy z 16 największych agencji informacyjnych z 10 krajów, koordynowane przez Forbidden Stories (ang. Zakazane Historie), organizację non-profit z siedzibą w Paryżu, i wspierane przez Amnesty International. „Biedny” Pegasus podpadł prawie wszystkim.
W ciągu kilku miesięcy żmudnej pracy dziennikarze przejrzeli i przeanalizowali wspomnianą listę, numer po numerze, starając się poznać tożsamość właścicieli telefonów i ustalić, jak ich urządzenia są inwigilowane przez Pegasusa. W ramach śledztwa udało się powiązać z numerami ponad tysiąc urzędników państwowych, dziennikarzy, biznesmenów, obrońców praw człowieka oraz osób niewygodnych w ten czy inny sposób.
Dane te zostały następnie przeanalizowane w laboratorium Amnesty International. W przypadku trzydziestu siedmiu znaleziono dowody inwigilacji oprogramowaniem Pegasus. Analiza wykazała także, że wiele włamań lub prób włamań nastąpiło wkrótce po wpisaniu numeru telefonu na listę – niektóre w ciągu kilku sekund – co sugeruje związek pomiędzy listą a działaniami inwigilacyjnymi.
Czym to jest „oprogramowanie szpiegujące” i kto go używa?
Oprogramowanie szpiegujące, bo przecież nie samym Pegasusem dysponują władze i przestępcy, to bardzo ogólny termin określający kategorię złośliwych kodów, które mają za zadanie zbieranie informacji z komputerów, telefonów oraz innych urządzeń inwigilowanych osób.
Oprogramowanie takie może być stosunkowo proste i wykorzystywać dobrze znane podatności, czyli słabsze strony aplikacji, do włamywania się do słabiej chronionych urządzeń. Jednak niektóre programy szpiegujące są bardziej wyrafinowane i opierają się na mało znanych, za to nienaprawionych błędach. A te pozwalają inwigilować nawet najnowsze smartfony wyposażone w zaawansowane środki bezpieczeństwa.
Najbardziej wyrafinowane oprogramowanie szpiegowskie jest zazwyczaj używane przez organy ścigania lub służby wywiadowcze. Jednak w praktyce jest dostępne dla każdego, kto jest w stanie za nie zapłacić. I to niemało. Od dawna podejrzewa się , że do oprogramowania szpiegującego mają dostęp także grupy terrorystyczne i organizacje przestępcze.
Jakie dane może gromadzić oprogramowanie szpiegujące?
Wyrafinowane oprogramowanie szpiegujące może mieć dostęp do całego inwigilowanego urządzenia. W przeciwieństwie do tradycyjnych, „poczciwych” podsłuchów, które umożliwiają monitorowanie połączeń w czasie rzeczywistym, oprogramowanie szpiegujące może mieć dostęp do e-maili, postów w mediach społecznościowych, dzienników połączeń, a nawet wiadomości w szyfrowanych aplikacjach typu Signal.
Może także określić lokalizację użytkownika, a także to, czy dana osoba pozostaje bez ruchu, czy się przemieszcza i w jakim kierunku. Może zbierać kontakty, nazwiska użytkowników, hasła, notatki i dokumenty. Pozwala dobrać się do zdjęć, filmów i nagrań. Może też aktywować mikrofony i kamery. I to bez włączania jakichkolwiek wskaźników aktywności mikrofonu czy kamery.
Zasadniczo, oprogramowanie tego typu pozwala poznać każde działanie i wszystkie dane użytkownika telefonu. Może nawet podrzucać pliki, np. z pornografią dziecięcą, co zostało wykorzystane przez hinduski rząd w przypadku aktywisty Rony Wilsona.
Dlaczego szyfrowanie nie zatrzymuje Pegasusa?
Teoretycznie szyfrowanie end-to-end, wykorzystywane przez np. przez usługi VPN lub aplikacje typu Signal, chroni transmisję danych pomiędzy urządzeniami i zabezpiecza je przed atakami typu man-in-the-middle, w których haker przechwytuje wiadomości przesyłane pomiędzy nadawcą a odbiorcą.
Ten sposób zabezpieczenia transmisji stał się bardzo popularny po ujawnieniu szeregu informacji Agencji Bezpieczeństwa Narodowego przez Edwarda Snowdena w 2013 roku, ponieważ utrudnia agencjom rządowym prowadzenie masowej inwigilacji poprzez monitorowanie ruchu internetowego. Dlatego właśnie np. Signal został zakazany przez chińskie władze.
Jednak szyfrowanie end-to-end nie jest przydatne w przypadku ataków na punkty końcowe, czyli komputery, tablety, telefony, czy routery. Gdy zaszyfrowana wiadomość dotrze do inwigilowanego urządzenia jest dekodowana i staje się czytelna dla użytkownika. Oraz osób wykorzystujących oprogramowanie szpiegujące.
Czym jest NSO?
NSO Group to założona w 2010 roku prywatna firma z siedzibą w Izraelu będąca producentem jednego z najlepszych oprogramowań szpiegujących, Pegasusa, używanego do inwigilowania iPhone’ów i urządzeń z systemem Android.
Klientami NSO są rządy i agencje bezpieczeństwa. Sama firma twierdzi, że ma obecnie 60 klientów w 40 krajach.
Kto jest klientem NSO?
Firma unika odpowiedzi na to pytanie jak ognia, powołując się na umowy o zachowaniu poufności.
Jednak Citizen Lab udokumentowało infekcje Pegasusem w 45 krajach. Na liście znajdują się: Algieria, Arabia Saudyjska, Bahrajn, Bangladesz, Brazylia, Egipt, Francja, Grecja, Indie, Irak, Izrael, Jemen, Jordania, Kanada, Katar, Kazachstan, Kenia, Kuwejt, Kirgistan, Łotwa, Liban, Libia, Meksyk, Maroko, Holandia, Oman, Pakistan, Palestyna, oczywiście Polska, RPA, Rwanda, Singapur, Stany Zjednoczone, Szwajcaria, Tadżykistan, Tajlandia, Togo, Tunezja, Turcja, Uganda, Uzbekistan, Wielka Brytania, Wybrzeże Kości Słoniowej, Zambia i Zjednoczone Emiraty Arabskie.
I chociaż obecność zainfekowanych telefonów niekoniecznie oznacza, że rząd danego kraju jest klientem NSO, to znając mentalność większości polityków i służb, z dużym prawdopodobieństwem można twierdzić, że jednak nie oparli się pokusie.
Samo NSO twierdzi, że Pegasus powinien być używany wyłącznie przeciwko „podejrzanym przestępcom i terrorystom”. Tyle teorii, ponieważ w czasie śledztwa prowadzonego w ramach projektu Pegasus ustalono, że był on wykorzystywany głównie do szpiegowania polityków, dziennikarzy, aktywistów walczących o prawa człowieka oraz osób niebinarnych.
Czy polskie prawo chroni przed podsłuchem?
W większości krajów świata istnieje pewna ochrona prawna przed zakusami rządów i służb. Jednak w Polsce kwestia podsłuchów jest uregulowana właściwie tylko teoretycznie. Służby, chcąc założyć podsłuch, muszą zwrócić się z prośbą do sądu. Jednak te ostatnie, jak pisze Panoptykon: „wydają na nie zgody tak, jak stołówka ziemniaki – w 99% przypadków.”
Sama Policja zakłada 8 -10 tysięcy podsłuchów rocznie. Czyli 25 dziennie. A przy tak nonszalanckim podejściu do prywatności, CBA, które korzysta z Pegasusa, z pewnością nie ma żadnych skrupułów i używa swojej zabawki z radością i zacięciem. Zresztą szeroko komentowane było zastosowanie Pegasusa do zdobycia dowodów w sprawie Sławomira Nowaka.
Na ślad Pegasusa wpadł NIK, który podczas analiz faktur CBA zwrócił uwagę rachunek opiewający na skromną kwotę 33,4 mln złotych, a wystawiony za dostawę systemu, szkolenia i testy. Przy czym 25 mln złotych pochodziło z Funduszu Sprawiedliwości podlegającego Zbigniewowi Ziobrze. Przypomnijmy, że podstawowym celem Funduszu jest pomoc ofiarom przestępstw oraz osobom zwalnianym z zakładów karnych (sic!).
Jak wykryć infekcję oprogramowaniem szpiegującym?
Nowoczesne programy szpiegujące są tworzone do bardzo dyskretnej inwigilacji urządzeń, więc zhakowane telefony często muszą zostać dokładnie zbadane, zanim zyska się pewność, że stały się celem inwigilacji.
Z tego względu Laboratorium Bezpieczeństwa Amnesty International zaprojektowało na użytek projektu Pegasus test skanujący dane z telefonów w poszukiwaniu śladów potencjalnego ataku. Narzędzie to było używane do analizowania urządzeń, których dane znalazły się na wspomnianej liście 50 000 numerów.
Na analizę zgodziło się 67 osób. Pozwoliło to zdobyć mocne dowody na inwigilację Pegasusem 23 spośród nich. I znaleźć ewidentne ślady włamania u 14.
W pozostałych 30 przypadkach wyniki testów były niejednoznaczne, ponieważ ich właściciele zgubili lub zmienili telefon i testy były przeprowadzane na plikach kopii zapasowych, które zawierały częściowe dane z poprzedniego telefonu.
Piętnaście testów przeprowadzono na danych z telefonów z systemem Android, z których żaden nie wykazał dowodów na udaną inwigilację. Pamiętajmy jednak, że w przeciwieństwie do iPhone’ów, urządzenia z systemem Android nie rejestrują informacji niezbędnych do wykonania testu zaprojektowanego Amnesty International. A i tak 3 telefony z Androidem miały oznaki inwigilacji, takie jak wiadomości SMS powiązane z Pegasusem.
Czy mój telefon jest podatny na atak?
Prawie każdy smartfon jest podatny na atak, chociaż – na szczęście – większość zwykłych użytkowników smartfonów raczej nie będzie inwigilowana w ten sposób.
Poza podejrzanymi o przestępstwa i terrorystami, najbardziej prawdopodobnymi celami inwigilacji są dziennikarze, obrońcy praw człowieka, politycy, dyplomaci, urzędnicy, biznesmeni oraz krewni i współpracownicy prominentnych osób.
Odporne na atak mogą być tylko specjalnie zaprojektowane i bardzo drogie telefony korzystające z różnych odmian systemu operacyjnego Android i wyposażone w zaawansowane środki bezpieczeństwa. Jednak wszystkie narzędzia, w tym Pegasus, są nieustannie aktualizowane i dlatego nikt nie może czuć się całkiem bezpiecznie.
Czy mój telefon został zhakowany?
Prawdopodobnie nie. Jednak, jak podaje Niebezpiecznik, możemy mieć właściwie pewność, że ktoś polował na nas Pegasusem, jeśli w poczcie znaleźliśmy link do strony „emonitoring-paczki.pl”. A pełną listę linków wykorzystywanych przez oprogramowanie Pegasus można znaleźć tu.
Pamiętajmy jednak, że Pegasus, jak i inne programy śledzące typu stalkware, zostały zaprojektowane do bardzo dyskretnej inwigilacji i dlatego najlepszą obroną jest, przede wszystkim, żelazny rozsądek i dbanie o bezpieczeństwo telefonu.
Co mogę zrobić, żeby mój telefon był bezpieczny?
Istnieją pewne podstawowe zasady, które pozwalają nieco zwiększyć nasze bezpieczeństwo. Podstawą są zawsze:
Aktualizacje systemu i aplikacji
Nieaktualne, pełne luk aplikacje są jak szeroko otwarte drzwi do telefonów. I niestety starsze urządzenia, z przestarzałymi systemami operacyjnymi są bardziej podatne na ataki.
Używanie unikalnych, trudnych do odgadnięcia haseł
W każdym używanym urządzeniu i aplikacji. Oraz unikanie trywialnych, łatwych do odgadnięcia haseł (np. stworzonych na podstawie numeru telefonu, daty urodzenia lub imion zwierząt). A także stosowanie menedżerów haseł, takich jak LastPass czy 1Password, uwierzytelniania dwuskładnikowego lub klucza U2F, o czym pisaliśmy w tekście o Zarządzaniu hasłami dla opornych.
Unikanie klikania w podejrzane linki
Na przykład emonitoring-paczki.pl
Restartowanie telefonu
Bo chociaż Pegasusem można inwigilować najnowsze iPhony i urządzenia z systemem Android, codzienne ich resetowanie znakomicie utrudnia życie atakującym, ponieważ większość złośliwego oprogramowania po prostu nie przetrwa restartu.
Większość tego typu działań opisaliśmy w naszych tekstach Prywatność w sieci: jak ją chronić przed hakerami, szpiegami i… rządem? oraz Dlaczego nasze smartfony są tak kiepsko zabezpieczone?
I bardzo ważne. Nie wierzmy w bajki. Nie istnieje oprogramowanie, które pozwoli wykryć inwigilację z poziomu telefonu. Do tego niezbędne są solidne analizy. A jeśli ktoś takie oprogramowanie oferuje, to z dużą dozą pewności sam chce popodglądać co robimy w telefonie. I z kim.
To tyle. Bo, jak zwykle, z dbaniem o nasze bezpieczeństwo, zostaliśmy sami.
Nawet gdy twórcy urządzeń i oprogramowania, tacy jak Apple i Google nieustannie poprawiają bezpieczeństwo tworzonych przez siebie systemów operacyjnych. Jednak nie są i nigdy nie będą w stanie całkowicie udaremnić działania Pegasusa i podobnego złośliwego oprogramowania, ponieważ te także są ciągle rozwijane.
Zdjęcie tytułowe: Quino Al z Unsplash
Źródła:
https://www.occrp.org/en/the-pegasus-project/
https://forbiddenstories.org/pegasus-project-articles/
Panoptykon: https://podsluchjaksiepatrzy.org/#inwigilacja
The Washington Post
0 komentarzy
ZALOGUJ SIĘ I ZOSTAW KOMENTARZ
