Pegasus może podsłuchać każdego. Jak działa system inwigilacji absolutnej?

TOMASZ MILESZKO 5 wrz, 14:18

Pegasus to specjalny program do inwigilacji użytkowników, który w ostatnich miesiącach regularnie pojawia się przy okazji różnego rodzaju rewelacji dotyczących luk bezpieczeństwa w smartfonach czy usługach tzw. chmury. Doniesienia o tym szpiegowskim oprogramowaniu pojawiły się także w kontekście Polski, warto zatem wiedzieć z czym dokładnie mamy tu do czynienia.

Żyjemy w epoce informacji i czy to się komuś podoba czy nie, prywatność i anonimowość w sieci to mrzonka. Ostatnimi czasy przekonują się o tym różnego rodzaju hejterzy, co akurat należy zapisać po stronie plusów takiego stanu rzeczy, ale nietrudno znaleźć też jego minusy. Bo jeszcze nigdy w historii nie można było tak łatwo inwigilować drugiej osoby, o czym zresztą przekonujemy się przy okazji kolejnych afer, o których dowiadujemy się z telewizji czy z internetu.

W ostatnich miesiącach w centrum tego typu doniesień znajdował się też program Pegasus, o którym mówiło się również w kontekście Polski i możliwego szpiegowania obywateli naszego kraju. Postanowiliśmy zatem usystematyzować naszą wiedzę o tej aplikacji.

Czym jest Pegasus?


Foto: Shutterstock

Jak czytamy w raporcie organizacji The Citizen Lab, Pegasus to oprogramowanie szpiegujące izraelskiej firmy NSO GROUP zajmującej się „rozwijaniem oprogramowania do zapobiegania oraz śledzenia działalności terrorystycznej i przestępczej”. O istnieniu Pegasusa dowiedzieliśmy się w 2016 roku, gdy za jego pośrednictwem próbowano uzyskać dostęp do smartfona znanego obrońcy praw człowieka ze Zjednoczonych Emiratów Arabskich, Ahmeda Mansoora. Mansoor miał kliknąć w zainfekowany odnośnik, ale jako że nie była to pierwsza taka próba, zamiast tego poinformował o sprawie The Citizen Lab, który przeprowadził elektroniczne śledztwo, w ramach którego wyszło na jaw istnienie tego programu. Programu, który jest sprzedawany służbom specjalnym z całego świata do śledzenia wybranych obywateli.

Jak zarazić się Pegasusem?

Pegasus zostaje zainstalowany na smartfonie ofiary poprzez kliknięcie w link, za pośrednictwem którego na urządzeniu dokonywany jest tzw. „remote jailbreak” wykorzystujący luki bezpieczeństwa w danym smartfonie czy tablecie. W ten sposób Pegasus osadza się na urządzeniu ofiary bez jej wiedzy i zgody, i zaczyna komunikować się ze swoim operatorem umożliwiając mu wykonywanie różnego rodzaju czynności. Co ważne, o ile pierwsze ataki za pośrednictwem Pegasusa zostały wykryte na urządzeniach iOS, Pegasus może być używany również na urządzeniach z systemem Android.

Jakie są możliwości Pegasusa?


Foto: Shutterstock

Pegasus to kompleksowe narzędzie pozwalające na totalną kontrolę nad zainfekowanym urządzeniem, z którego program potrafi przechwycić właściwie każdą zawartość. Od zdjęć i nagrań wideo, przez e-maile, SMS-y, listę kontaktów, aż po śledzenie lokacji, nagrywanie otoczenia smartfona w wersji audio oraz wideo, aż po podsłuchiwanie szyfrowanej transmisji dźwięku oraz odczytywanie zaszyfrowanych wiadomości. Jego możliwości najlepiej prezentuje poniższy obrazek:

Pegasus pozwala na totalną kontrolę urządzenia
Foto: The Citizen Lab

Patrząc na możliwości programu nietrudno zrozumieć, dlaczego jest on wykorzystywany przez służby specjalne.

Czy Pegasus działa też w Polsce?

Wspomniany raport The Citizen Lab zidentyfikował kilkudziesięciu operatorów (czyt. służby specjalnych), którzy mieli korzystać z Pegasusa w 45 krajach. W tym gronie znalazła się także Polska, gdzie operator programu był aktywny od listopada 2017 roku. The Citizen Lab wykrywało obecność Pegasusa w następujących polskich sieciach:

  • Polkomtel
  • Orange Polska
  • T-mobile Polska
  • FIBERLINK
  • PROSAT
  • Vectra
  • Netia

Kraje z infekcjami przypisywanymi Pegasusowi
Foto: The Citizen Lab

Czy to oznacza, że polscy obywatele również byli lub są inwigilowani Pegasusem? Tego tak naprawdę nie wiemy. Raport stwierdza jedynie, że w polskich sieciach były obecne telefony komórkowe zarażone tym programem. Mogły jednak znaleźć się tu w różny sposób i równie dobrze mogło tu chodzić o smartfona osoby spoza naszego kraju, np. biznesmena czy dyplomaty. Na powyższej liście nie dziwi też obecność właściwie każdego dużego polskiego operatora, bo „wystarczy, że zainfekowana osoba korzystała z internetu w PKP i już serwery DNS T-Mobile, a zatem ten operator, wskakują na listę”, zauważa przytomnie Niebezpiecznik.

Dodajmy do fakt, iż nasz kraj mógł pojawić się na tej liście za sprawą korzystania z programów VPN należy więc traktować powyższe dane z pewną ostrożnością, o czym przestrzega też samo The Citizen Lab:

Czynniki, takie jak korzystanie z VPN-ów oraz internetu satelitarnego mogły wpłynąć na nasze geolokacyjne wyniki. Dlatego prezentowana mapa powinna służyć raczej jako wskazówka dla dalszego śledztwa, a nie żelazny dowód na monitorowanie aktywności obywateli w danym kraju.

Z drugiej strony należy też przywołać ustalenia TVN-u, który we wrześniu 2018 roku donosił o zakupie pewnego systemu inwigilacji przez Centralne Biuro Śledcze. TVN pisze:

Nasi rozmówcy mówią, że zakupiony przez CBA system składa się nie tylko z programów informatycznych, ma też potężne, różnorodne możliwości, a w jego skład wchodzą również elementy wytwarzane przez izraelskie firmy. W skrócie mówiąc, nie jest potrzebna już współpraca z operatorami, aby móc podglądać to, co przekazywane jest siecią – mówią nasi informatorzy, odmawiając zdradzenia szczegółów.

Czyżby chodziło tu właśnie o izraelskiego Pegasusa, a operatorem, którego działalność wykryło w Polsce The Citizen Lab było CBA? Niestety, nie możemy stwierdzić tego ze stuprocentową pewnością.

Czy mój telefon jest zainfekowany?


Foto: Shutterstock

Odpowiedź na to pytanie interesuje was pewnie najbardziej. Owszem, jeśli kliknęliście kiedyś na smartfonie czy tablecie w jakiś link, to wasze urządzenie może być zainfekowane Pegasusem, ale najprawdopodobniej nie jest. Podkreślmy to z całą mocą: Pegasus nie jest wykorzystywany do inwigilowania przypadkowych osób lub obywateli na masową skalę. Ofiary są wybierane przez służby i z tego co wiemy, każda nowa licencja to koszt ok. 100 tys. złotych (1 licencja = 1 śledzona osoba).

Kto cię namierzył? Sprawdź które partie polityczne wyświetlają ci reklamy na Facebooku

Samo NSO GROUP wyraźnie zaznacza też, że jej produkty są dostępne jedynie dla służb specjalnych/wywiadowczych walczących z przestępczością oraz terroryzmem, a specjalny panel decyduje o krajach, do których trafia Pegasus. Tak aby nie był on wykorzystywany np. w państwach łamiących prawa człowieka. Oczywiście to wszystko nie oznacza automatycznie, iż Pegasus nie jest używany w innych celach . Można przecież mnożyć przykłady pracowników służ specjalnych wykorzystujących swoje uprawnienia do bezprawnego śledzenia innych osób, nie możemy więc jednoznacznie stwierdzić, iż Pegasus również nie był używany do takich celów.

Źródło: NiebezpiecznikKasperskyThe Citizen LabNSO GROUP

Komputer Świat
Niedrogie i trwałe hybrydy z drugiej ręki - te modele posłużą jeszcze długie lata
Tomasz Mileszko redaktor serwisów technologicznych

za: http://www.komputerswiat.pl/artykuly/redakcyjne/pegasus-moze-podsluchac-kazdego-jak-dziala-system-inwigilacji-absolutnej/e4rkez2

3 myśli w temacie “Pegasus może podsłuchać każdego. Jak działa system inwigilacji absolutnej?

  1. „TOMASZ MILESZKO 4 gru, 11:33

    Kontrowersyjny Pegasus od środka – instrukcja programu szpiegującego trafiła do sieci

    Pegasus to program do szpiegowania telefonów komórkowych, z którego rzekomo korzysta także polskie Centralne Biuro Antykorupcyjne. O tym kontrowersyjnym programie wiemy już całkiem sporo, a jego kolejne tajemnice odkrywa obszerna instrukcja obsługi, którą każdy chętny może przejrzeć w sieci.


    Foto: Shutterstock

    Pegasus może podsłuchać każdego. Jak działa system inwigilacji absolutnej?

    Doniesienia o programie Pegasus służącym do inwigilacji i pozyskiwania informacji za pomocą programu szpiegującego umieszczanego na telefonie lub smartfonie pojawiły się w kontekście Polski jeszcze w 2018 roku, gdy raport The Citizen Lab wskazywał, iż korzystają z niego także polskie służby specjalne. Potwierdzeniem tych doniesień miały być ustalenia TVN-u, który dotarł do faktury wskazującej na zakup takiego programu przez CBA. Centralne Biuro Antykorupcyjne szybko odniosło się jednak do tych rewelacji wystosowując oficjalne oświadczenie, w którym czytamy, iż CBA nie zakupiło żadnego „systemu masowej inwigilacji Polaków”.

    Tę kwestię zostawmy jednak na boku i skupmy się na samym Pegasusie. Kilka miesięcy temu na naszych łamach pojawił się bowiem obszerny materiał opisujący możliwości tego programu, które dziś możemy już zweryfikować w oparciu o… instrukcję obsługi Pegasusa, która jest już dostępna w sieci.

    Łukasz Olejnik@olejnik_lukasz1

    W sieciach kilkuset operatorów na terenie 45 krajów znaleziono ślady działania specjalistycznego systemu #Pegasus służącego do inwigilacji przez służby specjalne. Polska również jest na liście „ofiar”.

    https://t.co/MnWRehzsNH


    źródło: https://twitter.com/olejnik_lukasz1

    Instrukcja opisuje wersję programu z 2016 roku i na przykład dowiadujemy się z niej, iż Pegasus obsługuje nie tylko systemy Android i iOS, ale także Blackberry czy Symbiana. Można go zatem wykorzystywać nie tylko na smartfonach, ale i na starszych, klasycznych telefonach. Pegasus do poprawnego działania nie wymaga też współpracy z operatorem GSM i może być umieszczony na telefonie ofiary na kilka sposobów:

    • poprzez wysłanie na urządzenie wiadomości push, która po cichu, automatycznie instaluje trojana – taki system dystrybucji aplikacji, to podobno jedna z głównych zalet Pegasusa
    • poprzez kliknięcie posiadacza smartfona w link wysłany do niego np. SMS-em lub e-mailem, za pomocą którego telefon pobiera i po cichu instaluje program szpiegujący

    Obie powyższe metody wymagają jedynie posiadania numeru telefonu lub adresu e-mailosoby, która ma być szpiegowana, ale Pegasus można też zainstalować poprzez fizyczny dostęp do telefonu lub z bliskiej odległości urządzenia drogą radiową – to metoda przydatna w momencie, gdy nie znamy numeru telefonu konkretnej osoby.


    Foto: Shutterstock

    Instrukcja potwierdza również ogromne możliwości Pegasusa w kwestii pozyskiwania danych z zainfekowanego telefonu. Program praktycznie w całości przejmuje wszystkie informacje zbierane i gromadzone na urządzeniu – od zdjęć i nagrań wideo, przez e-maile, SMS-y, listę kontaktów, aż po śledzenie lokacji, nagrywanie otoczenia smartfona w wersji audio oraz wideo, aż po podsłuchiwanie szyfrowanej transmisji dźwięku i odczytywanie zaszyfrowanych wiadomości. Co ciekawe, licencja Pegasus może też uniemożliwić wykradanie materiałów historycznych, czyli informacji sprzed daty umieszczenia programu na danym urządzeniu. Trudno jednak powiedzieć, jaka taka metoda ochrony prywatności działa w praktyce.

    Przy okazji możemy też zobaczyć, jak wygląda graficzny interfejs Pegasusa:


    Foto: Documentcloud Pegasus – monitoring kalendarza


    Foto: Documentcloud Pegasus – przechwytywanie rozmów telefonicznych


    Foto: Documentcloud Pegasus – śledzenie lokacji

    Pegasus posiada też system autodestrukcji aktywowany w dwóch scenariuszach: gdy zainstalowany klient programu przez dłuższy okres nie komunikował się z serwerem Pegasusa lub gdy pojawia się duża szansa wykrycia aplikacji. W wielu przypadkach ważniejsze od dalszego zbierania informacji jest bowiem to, aby uniknąć wykrycia, czyli poinformowania śledzonego celu o tym, iż jest on obserwowany.

    źródło: http://www.komputerswiat.pl/aktualnosci/nauka-i-technika/kontrowersyjny-pegasus-od-srodka-instrukcja-programu-szpiegujacego-trafila-do-sieci/cl6t8kh

    Polubienie

  2. „12:15 19/9/2018

    Jak wykryto ślady rządowego trojana na smartfonach w Polsce?

    W sieciach kilkuset operatorów na terenie 45 krajów znaleziono ślady działania specjalistycznego oprogramowania o nazwie Pegasus służącego do inwigilacji przez służby specjalne. Polska również jest na liście “ofiar”. Poniżej analizujemy polskie ofiary i odpowiadamy na pytanie, czy macie się czego bać, jeśli korzystacie z telefonu komórkowego w Polsce.

    Pegasus – rządowy trojan stworzony przez Izrael

    Wczoraj grupa The Citizen Lab opublikowała raport, w którym wymieniono operatorów z różnych krajów w których sieciach namierzono inwigilowane przez służby osoby — oto lista operatorów z Polski:

    Polkomtel Sp. z o.o.
    Orange Polska Spolka Akcyjna
    T-mobile Polska Spolka Akcyjna
    FIBERLINK Sp. z o.o.
    PROSAT s.c.
    Vectra S.A.
    Netia SA

    Zacznijmy jednak od początku i przytoczmy incydent o jakim informowaliśmy Was już dwa lata temu w artykule pt. “Poważna dziura w iPhonach i iPadach z której korzystały rządy wielu państw do nękania aktywistów i dziennikarzy“. Bo to od incydentu opisanego w tym artykule wszystko się zaczęło, a wczorajszy raport jest bezpośrednim następstwem tamtych wydarzeń.

    Wpadka służb ujawnia Pegasusa

    2 lata temu wpadkę zaliczyły służby Zjednoczonych Emiratów Arabskich. Dzięki ich nieudolności świat dowiedział się o tym, że klienci rządowego trojana o nazwie Pegasusstworzonego przez izraelską firmę NSO Group dysponowali łańcuchem 3 nieznanych publicznie podatności na system iOS (tzw. 0-day).

    Służby ZEA próbowały za pomocą tych podatności przejąć kontrolę nad telefonem Ahmeda Mansoora, międzynarodowego obrońcy praw człowieka. Ale im nie wyszło. bo na nasze szczęście, a ich nieszczęście, Mansoor był w przeszłości wielokrotnie atakowany i się chłopak dotkliwie nauczył, aby nie klikać w linki z podejrzanych wiadomości. Dlatego treść podejrzanego SMS-a przesłał do Citizen Labu, a tam analitycy na kontrolowanym przez nich urządzeniu uruchomili exploita, przeanalizowali z jakich dziur korzysta i donieśli o nich firmie Apple.

    Parę dni później Apple wypuściło łatkę, która automatycznie wgrała się na wszystkie iPhony i iPady. I w tym momencie wszyscy wykorzystujący Pegasusa do różnych operacji, czuli służby specjalne z wielu krajów, równocześnie zakrzyknęły “o kurza twarz!“. Bo

    przez nieudaną akcję służb ZEA, spalony został exploit, z którego korzystały także służby specjalne innych krajów, do operacji poważniejszych niż piętnowanie opozycji politycznej, np. inwigilowania środowisk terrorystycznych lub grup przestępczych handlujących narkotykami.

    Co robi Pegasus?

    Świetnie wyjaśnia to poniższa infografika:

    Trojan wykonuje tzw. “remote jailbreak”, osadza się na telefonie ofiary i wykrada dane takie jak:

    • treści wiadomości i e-maili,
    • adresy oglądanych stron internetowych,
    • zdjęcia
    • dane aplikacji takich jak Facebook, FaceTime, Skype, GMail, Kalendarz, WhatsApp, WeChat.

    Po dwóch latach Pegasus wciąż infekuje, także w Polsce

    Z najnowszego raportu dowiadujemy się, że po ujawnieniu ataku na Mansoora dwa lata temu, znaczna część infrastruktury firmy NSO Group i serwisy internetowe autorstwa służb różnych krajów (użytkowników Pegasusa) w popłochu zniknęły z sieci. Ale nie na długo. Po kilku miesiącach infrastruktura rządowego trojana znów zaczęła się pojawiać online, ale w trochę zmienionej postaci (tzw. wersja 3):

    Citizen Lab opracował nową metodę identyfikacji serwerów internetowych odpowiedzialnych za infekcję ofiar Pegasusem (stare serwery zawierały pliki /redirect.aspx oraz /Support.aspx) jak również serwerów C&C, czyli tych do których przesyłane są dane z zainfekowanych Pegasusem telefonów (tu wykorzystano autorski fingerprinting połaczeń TLS o kryptonimie Athena).

    Dzięki temu powstała lista 1014 domen wskazujących na serwery zarządzane przez różne służby z różnych krajów w celu obsługi ofiar Pegasusa. Badacze oszacowali, że serwery te są zarządzane przez 36 niezależnych od siebie grup (czyt. służb różnych krajów). Infekcje z terenów Polski przypisano grupie, którą nazwano ORZELBIALY.

    Ponieważ jednak badacze nie mieli bezpośredniego dostępu do tych serwerów (mogli je, jak każdy z nas, obserwować tylko z “zewnątrz”), to nie byli w stanie zajrzeć w logi i określić ile ofiar “kontroluje” (czyt. inwigiluje) dana grupa serwerów. Wykorzystali więc sprytną technikę szacowania bazującą na analizie cache serwerów DNS (tzw. DNS Cache Probing, która z powodzeniem jest wykorzystywana do oszacowania ofiar botnetu).

    Serwery DNS-y ujawniły liczbę ofiar w każdym z krajów

    Skoro serwery, z którymi kontaktuje się smartfon zainfekowany Pegasusem są obsługiwane przez HTTPS, to muszą mieć wykupione domeny. A żeby połączyć się z serwerem, na który wskazuje domena, każe urządzenie musi skorzystać z usługi DNS. Po wpisaniu nazwy domeny (lub kliknięciu w link), zanim zostanie nawiązane połączenie z serwerem docelowym, jego adres urządzenie pozyskuje z serwera DNS, wysyłając “zapytanie DNS” w stylu:

    na jaki IP wskazuje domena XXX.YYY?

    Te zapytania przez większość serwerów DNS są przez pewien czas zapamiętywane (cache’owane), aby serwer DNS nie musiał za każdym razem ustalać adresu IP kontaktując się z innymi serwerami (tzw. root serwerami i serwerami autorytarnymi dla danej domeny). Ot, kwestia wydajności. Jeśli więc odpytujemy jakiś serwer DNS o domenę XXX.YYY i odpowiedź od tego serwera DNS dostaniemy z jego cache’a, to wiemy, że ktoś wcześniej już o tę domenę ten serwer odpytywał.

    Jak sprawdzić, czy odpowiedź przyszła z cache serwera DNS?

    Czas przechowywania danej domeny w cache serwera DNS reguluje tzw. TTL, który ustawia właściciel domeny. Aby sprawdzić jaki TTL jest dla domeny niebezpiecznika, wystarczy wydać zapytanie do autorytarnych serwerów DNS obsługujących naszą domenę (dla uproszczenia skorzytamy tylko z 1 naszego serwera: duke.ns.cloudflare.com):

    dig +noall +answer niebezpiecznik.pl @duke.ns.cloudflare.com.
    niebezpiecznik.pl. 300 IN A 104.31.15.168

    TTL to 300 sekund. Serwery DNS w sieciach operatorskich nie powinny więc naszej domeny utrzymywać w swoim cache dłużej niż przez ten czas. Zapytajmy więc serwer DNS operatora łącza, z którego korzysta autor tych słów:

    dig +noall +answer niebezpiecznik.pl
    niebezpiecznik.pl. 207 IN A 104.31.15.168

    i powtórzmy po 5 sekundach:

    dig +noall +answer niebezpiecznik.pl
    niebezpiecznik.pl. 202 IN A 104.31.15.168

    Wniosek? Jeśli TTL w odpowiedzi jest mniejszy niż 300, to znak, że przed nami ktoś serwer DNS naszego operatora o domenę niebezpiecznika odpytywał. A jeśli sprawdzamy domenę rządowego trojana i uzyskujemy mniejszy TTL, to znak, że mamy w sieci kogoś, kto jest nim zainfekowany (bo próbował się do jego serwera połączyć).

    I w uproszczeniu, dokładnie na takim, regularnym odpytywaniu serwerów DNS poszczególnych operatorów w poszczególnych krajach o poszczególne domeny powiązane z Pegasusem opiera się badanie. Nie jest to metoda doskonała, bo czasem serwery DNS operatorów nie odpowiadają na zapytania spoza sieci operatorskiej i trzeba polegać na tzw. forwarderach. Raport obszernie tłumaczy jak badacze odsiewali false-positives i jak podchodzili do false-negatives, warto się z tym zapoznać. My tylko zaznaczymy, że oku badaczy uciec mogły ofiary, które korzystają z

    • z małych sieci operatorskich (badacze nie dotarli do ich DNS-ów)
    • mają na sztywno wpisane popularne “globalne” DNS-y takie jak te od Google (8.8.8.8), Cloudflare (1.1.1.1), OpenDNS czy Quad9 (9.9.9.9) — globalne DNS-y nie były weryfikowane, bo takie badanie nie ujawniłoby kraju pochodzenia ofiar.

    Kim są ofiary Pegasusa w Polsce?

    Nie wiadomo. Nie wiadomo nawet, czy to rzeczywiście Polacy. To co jest pewne, to zidentyfikowanie aktywności zainfekowanych smartfonów w polskich sieciach. Ale w polskich sieciach przebywać mogą także osoby z zagranicy: dyplomaci, biznesmeni, itp. I to ich telefony, a nie telefony Polaków, mogły wygenerować aktywność, którą namierzył zespół badaczy z Citizen Lab.

    Pocieszające jest to, że według badaczy, infekcje na terenie naszego kraju nie są związane z motywami politycznymi.

    To że na liście są wszyscy operatorzy telefonii komórkowej nie powinno dziwić. Wystarczy, że zainfekowana osoba korzystała z internetu w PKP i już serwery DNS T-Mobile, a zatem ten operator, wskakują na listę. A może nie był to pociąg, zwykła kawa w jednej z kawiarni, która swoim klientom udostępnia internet przez router z kartą SIM operatora Plus?

    Więcej na temat ofiar z pewnością mogliby powiedzieć sami operatorzy, oczywiście jeśli logują zapytania do swoich DNS-ów i ustalą, pod kątem jakich domen należy przeczesać logi. Bo Citizen Lab nie ujawnił wszystkich domen.

    W dodatku, część z ofiar na terenie naszego kraju mogła być po prostu użytkownikami VPN-ów, które na świat “wychodziły” w sieciach polskich operatorów. Do danych z raportu należy więc podchodzić z pewną dozą niepewności, o czym zresztą autorzy raportu lojalnie ostrzegają, a sama NSO Group “ustalenie krajów ofiar” w oświadczeniu komentuje tak:

    the list of countries in which NSO is alleged to operate is simply inaccurate. NSO does not operate in many of the countries listed.

    Te sprzeczności wynikają właśnie z tego, że NSO mogło sprzedać trojana rządowi Sri Lanki, a ten zainfekował nim Polaków. Polska będąca na liście nie oznacza, że to Polskie służby są klientem NSO, a że ktoś (może Polacy, a może nie) w naszym kraju utrzymuje infrastrukturę do odbioru danych od trojana, a w sieciach naszych krajowych operatorów znaleziono aktywność ofiar (może Polaków, a może nie) zainfekowanych Pegasusem.

    Nie wiadomo, czy polskie służby, ale wiadomo, że nie przestępcy

    NSO Group utrzymuje, że ich produkt jest sprzedawany jedynie służbom specjalnym w zgodzie z prawem, a nie firmom prywatnym, czy grupom przestępczym. Dodatkowo, wbudowano w niego “zabezpieczenia”, które uniemożliwiają “prace na terenie USA”. To jest o tyle ciekawe, że Citizen Lab zidentyfikował ofiary z USA i nawet sam z powodzeniem zainfekował Pegasusem telefon z terenu USA będąc podpiętym do amerykańskiego operatora.

    NSO Group podobno ma też “panel zewnętrznych ekspertów”, który ocenia, czy służbom danego kraju można sprzedać Pegasusa (czy nie będzie on tam wykorzystywany jako “narzędzie opresji politycznej”). Nie wiadomo kto w panelu zasiada, ale po raporcie Citizen Laba można przypuszczać, że nie robi swojej roboty dobrze…

    Jak należy to rozumieć? Czy polskie służby potrafią hackować telefony?

    Brak 100% pewności, co do tego, czy służba z danego kraju jest lub nie jest klientem NSO Group jest problemem. I nawet jeśli założymy, że na mapie ofiar Polska świeci się na żółto, nie dla tego, że nasze służby korzystają z Pegasusa a dlatego, że na terenie naszego kraju przebywają obywatele innych krajów zainfekowani Pegasusem, to nie możemy zakładać, że polskie służby nie mają zdolności do ataku smartfonów. Zauważyć należy, że tego typu rozwiązań co Pegasus jest więcej. I nawet jeśli nasze służby nie korzystają z Pegasusa, to mogą korzystać z innych rozwiązań, które w dodatku potrafią atakować nie tylko iPhony, ale również Androidy …i w zasadzie wszystko inne co się da wykorzystać do inwigilacji.

    Przypomnijmy, że w 2015 roku przejrzeliśmy wykradzione z włoskiej firmy Hacking Team dane, w tym korespondencję e-mail i ujawniliśmy, że jednym z klientów włoskiego trojana rządowego było CBA. I to od 2012 roku (!). Służba za oprogramowanie do hakowania zapłaciła 250 000 Euro, czyli ponad milion złotych. Chętne na zakup były także inne służby, ale wygląda na to, że w porę zorientowały się, że Hacking Team nie jest tak piękny jak przedstawiają to ich prezentacje sprzedażowe.

    My mamy nadzieję, że polskie służby, dla naszego bezpieczeństwa, trzymają rękę na pulsie i regularnie badają nowe rozwiązania. A po stwierdzeniu przydatności kupują je i z nich korzystają wyłącznie do walki z przestępcami. Mamy też nadzieję, że nasze służby opracowują swoje autorskie (czyli niewspółdzielone z innymi) techniki ataku bazujące na podatnościach 0-day. Ludzi, którzy byliby w stanie takie podatności odkrywać w popularnym oprogramowaniu mamy w Polsce wielu. Część z nich także w służbach.

    Czy Pegasus infekuje także iPhony?

    Tak, Pegasus to przede wszystkim oprogramowanie szpiegujące urządzenia firmy Apple. Ale jeśli obawiasz się inwigilacji, to nie ma znaczenia czy korzystasz z Androida czy iPhona. Każdy system operacyjny ma nieodkryte błędy i odkryte ale nieupublicznione błędy (tzw. 0-day). Właśnie z tych drugich korzysta Pegasus i co gorsza, pewne kombinacje błędów pozwalają mu tak mocno osadzić się na przejętym smartfonie, że przetrwa on nawet aktualizację systemu operacyjnego — a zatem do pewnego stopnia może nawet ochronić się przed łatką wypuszczoną przez producenta, która łata te dziury, które pozwalają mu funkcjonować. Jest to jednak dość trudne i dlatego telefony ofiar trzeba często (tj. po aktualizacji) ponownie zainfekować.

    Jeśli spojrzymy na tabelę cen, po których jeden z brokerów dziur skupuje je od różnych crackerów, a potem sprzedaje np. takim firmom jak NSO Group, to zauważyć można, że najcenniejsze (bo najbardziej poszukiwane) są podatności właśnie na system iOS. Dlaczego? Bo system ten jest lepiej dopracowany niż Android (głównie ze względu na silną integrację z doskonale znanym producentowi sprzętem), a więc trudniej znaleźć w nim błąd. A jak już błąd się znajdzie, to czas jego życia może być krótki (częste aktualizacje nie tylko szybko łatają błędy, ale także uszczelniają system “paraliżując” działanie złośliwego oprogramowania). Wniosek:

    jak naszybciej wgrywaj aktualizacje, a jeśli w trakcie aktualizacji pojawiają się jakieś problemy, to wiedz że coś się dzieje.

    Jeśli obawiasz się inwigilacji, nie tylko przez służby, to przeczytaj te poradniki:

    Czy mój telefon jest zainfekowany Pegasusem?

    Infekcja następuje po kliknięciu w link. Jeśli kiedyś kliknąłeś w jakiś link, to możesz być ofiarą. Ale najprawdopodobniej nie jesteś. Bo Pegasus nie jest wykorzystywany do inwigilowania przypadkowych osób lub obywateli na masową skalę. Ofiary są wybierane przez służby (a każda nowa licencja to koszt ok. 100 000 PLN). Osoby o podwyższonym ryzyku to:

    • Działacze polityczni (nie tylko opozycja)
    • Dziennikarze (zwłaszcza śledczy)
    • Prawnicy
    • Osoby podejrzane o członkostwo w zorganizowanych grupach przestępczych
    • Osoby podejrzane o terroryzm

    O ile służby w normalnych krajach powinny skupiać się przede wszystkim na przestępcach, to zdarzało się, także w Polsce, że policja podsłuchiwała opozycję, a służby dziennikarzy. Znane są też przypadki, kiedy oficerowi jakiejś służby coś głupiego strzelało do głowy i zaczynał inwigilować np. swoją partnerkę. Bo akurat maiał jedną wolną licencję oprogramowania typu Pegasus. Prywata niestety istnieje wszędzie — wystarczy wspomnieć informacje ujawnione przez Snowdena, które pokazały, że z systemów służących do masowej inwigilacji agenci NSA korzystali aby zbierać informacje na temat podobających im się kobiet lub sąsiadów…

    Wykorzystanie Pegasusa w celach szpiegostwa też nie należy do najlepszych pomysłów. Służby wielu krajów mają dostęp do tego narzędzia, wiec są w stanie je do pewnego stopnia wykryć.

    Jeśli więc nie należysz do powyższych grup społecznych, to raczej powinieneś spać spokojnie w tym przypadku. Ale aby z całą stanowczością stwierdzić, czy Twój telefon jest zainfekowany, trzeba go poddać specjalistycznej analizie, co jest procesem dość skomplikowanym, a jeśli na taką analizę będziesz się umawiać z zainfekowanego urządzenia, to najprawdopodobniej specjaliści i tak nic nie znajdą, bo służby zawczasu odinstalują Ci trojana.

    Infekcję najprościej można by wykryć przez monitoring ruchu wychodzącego z telefonu (raz na jakiś czas zainfekowany telefon musi przesłać służbom paczkę z Twoimi nowymi zdjęciami, zapisami rozmów, itp.). Ale niestety, Citizen Lab nie opublikował listy wszystkich zidentyfikowanych przez siebie serwerów wykazujących cechy bycia serwerami Pegasusa. Nie zrobił tego, bo Pegasus wykorzystywany jest też zgodnie z prawem do monitoringu grup przestępczych i publikacja tych adresów IP mogłaby powiadomić przestępców, że są na celowniku. Citizen Lab opublikował w swoim raporcie tylko domeny, które wskazywały na wykorzystanie Pegasusa do inwigilacji motywowanej politycznie. W Polsce takich domen się nie dopatrzono.

    Innymi słowy, jeśli podejrzewasz, że możesz być monitorowany, to nie masz za bardzo jak ustalić tego ponad wszelką wątpliwość, więc po prostu kup nowy telefon. I nie klikaj w nim żadnych linków. Właśnie dlatego, jeśli jesteś np. dziennikarzem albo politykiem, to do prowadzenia “wrażliwych operacji” powinieneś korzystać z osobnego sprzętu. Na “niewrażliwym” telefonie możesz klikać w co popadnie, bo nawet jak służby będą go kontrolować, to nie znajdą na nim niczego, co Cię kompromituje.


    Długofalowo, zmiana telefonu na nowy na nic się nie przyda, jeśli Ty nie będziesz wiedział jak wykrywać i reagować na ataki (nie tylko ze strony służb). Gdybyś chciał się tego nauczyć, to zapraszamy na nasz 3h, widowiskowy i do bólu praktyczny wykład, w ramach którego odpowiadamy na pytanie “Jak nie dać się zhackować?” i przekazujemy praktyczne porady jak zabezpieczyć swój sprzęt i bezpiecznie korzystać z internetu w celach służbowych i prywatnych, także w trakcie zakupów online, bankowości internetowej i kontaktów z najbliższymi.

    Najbliższe terminy wykładu to:

    Miejsce możesz zarezerwować klikając tutaj.

    A w ogóle, to w nic nie musisz klikać, aby się zainfekować

    Warto zauważyć, że nie zawsze do infekcji konieczne jest kliknięcie w link. Pegasus, w zależności od dostępnych exploitów, na niektórych platformach może rozprzestrzeniać się także wykorzytując do ataku np. MMS-y. Samo ich odczytanie (bez klikania w linki!) może mieć tragiczny skutek. Takie dziury w przeszłości już były (por. 950 milionów telefonów z Androidem można zhackować jednym MMS-em.

    Jeśli rozpatrzymy także przypadek służb, które Pegasusa wykorzystują zgodnie z prawem i we współpracy z operatorem GSM (a to też już się zdarzało w przeszłości), to w ogóle nie trzeba nikogo nakłaniać do kliknięcia w link aby go zainfekować — operator, jeśli chce, może selektywnie danej osobie przekierować połączenie na serwer infekujący Pegasusem wykonując tzw. atak Man in the Middle, co znacznie ułatwi robotę służbom.

    I właśnie dlatego powinniście korzystać z VPN-ów (wychodząc na świat w kraju, którego służby na was nie polują ;) — my standardowo polecamy NordVPN, który ma klienty na każdy system operacyjny. Ale VPN to tylko jedna z metod obniżania ryzyka i podnoszenia poprzeczki tym, którzy chcieli by Was zaatakować. Aby “nie dać się zhackować” rzeczy do zrobienia jest więcej

    Aktualizacja 21.09.2018, 21:31
    Jak podaje TVN, istnieje kolejna faktura opłacona przez CBA, tym razem na 33 miliony złotych. Jej przedmiotem jest najprawdopodobniej właśnie Pegasus, a opisywane przez CitizenLab operacje i kryptonim ORZELBIALY — wiele na to wskazuje — należą do CBA.

    Przeczytaj także:

    źródło: https://niebezpiecznik.pl/post/jak-wykryto-slady-rzadowego-trojana-na-smartfonach-w-polsce/

     

    Polubienie

    1. Oprogramowanie „Lokalizuj X” w rękach organów ścigania USA.

      DetektywPrawdyTV
      Opublikowany 6 mar 2020

      Nowe oprogramowanie śledzące o nazwie „LOCATE X” umożliwia organom ścigania w USA śledzenie i lokalizowanie każdego w dowolnym momencie bez wydawania rozkazu.

      Polubienie

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s