Jak wykryć i oswoić Pegaza

Inwigilacja pod kontrolą

Pegaz, mityczny skrzydlaty koń, który gdziekolwiek postawił swoje kopyto, tam natychmiast wybijało źródło. Czy właśnie z tego powodu izraelscy spece od inwigilacji wybrali go na patrona swojego szpiegowskiego systemu, czy może po prostu uznali, że tak będzie śmieszniej, tego się zapewne nie dowiemy. To co wiemy, to że Pegasus istnieje i zdecydowanie bliżej mu do Konia Trojańskiego, niż sympatycznego, skrzydlatego kucyka.

Jak wykryć Pegasus

Pegasus - czyli cicha i potężna "broń"

W temacie zakupu izraelskiego oprogramowania przez polskie służby i jego rzekomych możliwości powiedziane i napisane zostało już wiele. Mimo to, wciąż brak najważniejszej odpowiedzi. Czy przed Pegasusem można się bronić? Eksperci rozkładają ręce snując domysły, byli funkcjonariusze straszą, a dziennikarze biją na alarm. Tymczasem najlepszym narzędziem do obróbki pojawiających się w mediach informacji jest zawsze zdrowy rozsądek. Pegasus nie jest zagrożeniem nie z tego świata, z którym walczyć nie sposób. Owszem, jest niesamowitym narzędziem szpiegowskim, o możliwościach wykraczających poza wszystko, co do tej pory wymyślono, by zaspokoić ciekawość przysłowiowego „wielkiego brata”. Niemniej jednak został wymyślony przez człowieka, a jego działanie nie opiera się na magii, lecz wykorzystuje błędy popełnione przez innych ludzi, producentów telefonów, programistów, czy też w końcu nas samych, zwykłych użytkowników komórek, tabletów i komputerów. To stąd bierze się jego skuteczność, podobnie jak w przypadku innych produktów pojawiających się co jakiś czas na talerzu rządowych agencji. Wiedząc, że żadne z tych rozwiązań nie trwa wiecznie, założyciele NSO Group, producenta Pegasusa, postanowili wykorzystać swoje pięć minut. Podeszli do kwestii inwigilacji z rozmachem i w sposób kompleksowy. Zastąpili szereg funkcjonujących na rynku rozwiązań, obliczonych na wykorzystanie pojedynczych słabości systemu łączności komórkowej, jednym oferującym skuteczność wszystkich pozostałych. Współczesną komunikację elektroniczną można inwigilować na wiele sposobów. Od powszechnie znanych, takich jak oparte na nakazach sądowych podsłuchy prowadzone przez operatorów komórkowych, czy providerów internetowych, tradycyjne oprogramowanie szpiegowskie, przechwycenie kanałów łączności poprzez użycie spreparowanych stacji BTS (stacje bazowe telefonii komórkowej), systemów globalnej inwigilacji, czy instalację tradycyjnych urządzeń podsłuchowych, tzw. pluskiew. Każda z tych metod ma jednak swoje ograniczenia, a co raz powszechniejsze używanie komunikatorów, szyfrowanej transmisji danych, czy też VPN sprawia, że bywają bezużyteczne. Jak na tym tle wypada Pegasus? Otóż Pegasus to już zupełnie inna liga. To jak porównywanie Jasona Bourne’a, czy sierżantów Riggs’a i Murtaugh z Batmanem. Może i pierwsza trójka to ścisła czołówka filmowych twardzieli, ale Batman jest po prostu superbohaterem. Pegasus, w przeciwieństwie do pozostałych metod, może zostać zainstalowany zdalnie, bez jakiegokolwiek widocznego efektu i bez względu na odległość dzielącą operatora i urządzenie będące jego celem. Nie potrzebny jest więc dostęp do niego, ani nawet przebywanie w pobliżu. Wystarczy znać numer telefonu. Możliwe jest również zarażenie urządzenia docelowego bez interakcji ze strony jego użytkownika. Nie ma potrzeby klikania jakichkolwiek linków lub otwierania wiadomości, o czym powiemy dalej. Operator systemu po wskazaniu celu, infekuje go za pomocą oprogramowania, które nazywamy agentem. Najistotniejszą cechą izraelskiego produktu jest to, że dąży on do instalacji w samym sercu urządzenia, a zatem w jądrze systemu. Oznacza to, że ma dostęp do absolutnie wszystkich trwających procesów oraz pełnej zawartości zainfekowanej komórki, a jego wykrycie jest niezwykle trudne. Oznacza to również, że nie straszne mu szyfrowane komunikatory, nawet te działające w oparciu o technologię „end to end”. Działając w obszarze jądra systemu Pegasus przekazuje swojemu operatorowi wszystko to, co dzieje się tuż przed zaszyfrowaniem transmisji wychodzącej i chwilę po odszyfrowaniu przychodzącej. W przypadku monitorowania urządzenia w czasie rzeczywistym, Pegasus pokaże swojemu operatorowi nawet te wiadomości, których nie wyślemy, a jedynie napiszemy, później kasując, lub pozostawiając je w formie draftu. Oczywiście wszelka komunikacja pomiędzy zainstalowanym na urządzeniu agentem, a operatorem jest zaszyfrowana i odbywa się w formie skompresowanych pakietów. Zazwyczaj są one przesyłane w chwili, kiedy zainfekowane urządzenie ma dostęp do sieci Wi-Fi, choć może również być prowadzona za pomocą komórkowej transmisji danych. W przypadku, gdy agent nie ma możliwości przesłania wykradzionych danych, przechowuje je w specjalnie utworzonym i zaszyfrowanym buforze, którego rozmiar nie może przekroczyć 5% wolnych zasobów urządzenia. Jest on niewidoczny dla użytkownika, a jego wpływ na pracę smartfona nieodczuwalny. Podobnie sprawa ma się w kwestii obciążenia zainfekowanego systemu. Wszystko zostało przez izraelskich programistów zoptymalizowane pod kątem jak największej lekkości. W przypadku, gdy poziom naładowania baterii szpiegowanego urządzenia spadnie poniżej 5%, program się dezaktywuje, by uruchomić się ponownie po jej doładowaniu. Podobnie dzieje się, kiedy śledzona komórka zacznie korzystać z roamingu, na przykład podczas wyjazdu zagranicę.  Ciekawym rozwiązaniem jest również opcja autodestrukcji. Jeśli agent uzna, że istnieje możliwość jego wykrycia, usunie się z urządzenia automatycznie nie pozostawiając żadnych śladów. Podobnie zresztą dzieje się, jeżeli usunięcie wymusi operator.

Co potrafi Pegasus i jak atakuje?

Zanim powiemy sobie o tym, że przed Pegasusem można się obronić, warto jeszcze przypomnieć o jego potencjale inwigilacyjnym. Po zainstalowaniu agenta na docelowym urządzeniu, operator systemu uzyskuje dostęp do wszelkich treści w nim przechowywanych. Począwszy od listy kontaktów, treści wiadomości, emaili, nagrań audio i wideo, zdjęć, historii połączeń, czy kalendarza. Poza tym pozwala również na podsłuch prowadzonych rozmów, dostęp do czatów z komunikatorów, historii przeglądarki, przeglądanych treści, również w czasie rzeczywistym, wykonywanie zrzutów ekranu oraz zdjęć otoczenia i jego nasłuch przy użyciu mikrofonu i aparatów zainfekowanego urządzenia oraz w sposób niewidoczny dla jego użytkownika. Na koniec wisienka na torcie, czyli lokalizacja, dostęp do socjalmediów, ustawień urządzenia oraz keylogger. Niektórzy specjaliści twierdzą ponadto, że agent ma również możliwość zablokowania aktualizacji systemu. Krótko mówiąc, nasza komórka pozwoli operatorowi systemu na więcej, niż pozwala nam samym.

Jak atakuje Pegasus? Programiści oparli jego skuteczność na błędach swoich kolegów, pracujących dla producentów telefonów komórkowych oraz oprogramowania. W większości przypadków infekcja urządzenia następuje poprzez tzw. „zero day exploits”, a zatem luki w oprogramowaniu infekowanego urządzenia, o których istnieniu nie wie producent. W ten sposób wykorzystano trzy luki systemowe iPhone’a należącego do Ahmeda Mansoor’a, działającego w Emiratach Arabskich aktywisty. Infekcja może nastąpić na trzy sposoby. Pierwszym jest zdalna instalacja agenta, polegająca na wysłaniu odpowiednio spreparowanej wiadomości typu „push message”. Jest to wiadomość, która zostaje przesłana na infekowane urządzenie i automatycznie otwarta, bez wiedzy i udziału użytkownika. Jej otwarcie implikuje ściągnięcie pliku z załączonego linku oraz instalację agenta. Metoda ta wymaga znajomości numeru telefonu przypisanego do atakowanego urządzenia. Instalacja następuje w sposób niewykrywalny i użytkownik nie może jej na tym etapie zapobiec. Jest to cecha unikatowa Pegasusa, która czyni go absolutnie bezkonkurencyjnym. Żadna inna firma nie oferuje oprogramowania, które ma podobne możliwości zainfekowania atakowanego urządzenia. W przypadku, w którym operator nie dysponuje numerem telefonu inwigilowanej osoby, dostawca usług komórkowych uniemożliwia wysłanie wiadomości typu „push”, lub inwigilowany telefon ich nie obsługuje, operator ma możliwość przesłania odpowiednio spreparowanej wiadomości, wykorzystującej elementy rozszerzonej inżynierii społecznej. Należy tu podkreślić, że tego typu działania muszą opierać się na zebranych wcześniej materiałach, które pozwalają na uwiarygodnienie takiej wiadomości w oczach odbiorcy. Kliknięcie przez użytkownika linku w niej zawartego skutkuje instalacją agenta na urządzeniu. W przypadku, w którym operator nie dysponuje numerem telefonu, a użycie działań socjotechnicznych i phishingu nie przynosi rezultatów, możliwe jest wykorzystanie innych technicznych metod operacyjnych w celu pozyskania numeru telefonu. W tym celu należy jednak znać choćby przybliżoną lokalizację inwigilowanego urządzenia oraz dysponować zespołem technicznym, który przy użyciu IMSI Catchera, czyli kontrolowanej przez operatora, mobilnej stacji bazowej, przechwyci niezbędne informacje. Ostatnią opcją jest zainfekowanie komórki poprzez fizyczny dostęp do niej. Jednak również w tym przypadku, instalacja nie pozostawia praktycznie żadnych śladów. Do tej pory przechwycone przez niezależnych specjalistów, cyfrowe odciski pozostawione w sieci przez Pegasusa, wskazują na użytkowanie tego oprogramowania w 45 krajach świata. W Polsce, jak do tej pory, udało się ustalić, że do ataków z jego użyciem wykorzystano infrastrukturę Plus GSM, Orange, T-mobile, Vectra, Netia, Fiberlink oraz Prosat. Informacje prasowe wskazują, że za zakupem oprogramowania stoi Centralne Biuro Antykorupcyjne. W opinii autorów niniejszego artykułu, nie należy się jednak przywiązywać do tej informacji. Po pierwsze, koszt zakupu oraz sposób jego finansowania wskazują, że CBA jest jednym z kilku beneficjentów. Po drugie, brak możliwości wykorzystania tego narzędzia przez inne instytucje, w tym zwalczające najcięższe przestępstwa oraz akty terroru i szpiegostwa, byłby skrajnym przypadkiem nieodpowiedzialności, czy wręcz głupoty rządzących. Po trzecie, część działających w naszym kraju służb, z mocy ustawy może prowadzić działania na jego terenie, tylko we współpracy z inną służbą. Można więc przyjąć za pewnik, że z możliwości Pegasusa korzystają w Polsce wszystkie służby specjalne. Między bajki należy również włożyć krążącą nieoficjalnie informację, że licencja polskiego operatora pozwala na jednoczesną inwigilację jedynie 10 urządzeń. Z tym, co mówią służby jest bowiem zupełnie odwrotnie, niż z mężczyznami przechwalającymi się ilością miłosnych podbojów. Ponoć w przypadków większości panów, należy je dzielić przez trzy.

Czy przed Pegasusem można się skutecznie bronić?

Przed Pegasusem można się bronić. I nie chodzi wcale o kosmiczne technologie, kosztujące krocie urządzenia rodem z wojskowych magazynów, czy równie podejrzane jak sam Pegasus, oprogramowanie wyciągnięte z odmętów Darknetu. Odkąd trafiła w nasze ręce informacja, że polskie służby używają oprogramowania od NSO, a trafiła nieco wcześniej niż na pierwsze strony gazet, analizowaliśmy sprawę pod kątem bezpieczeństwa naszych klientów. Przestudiowaliśmy dziesiątki dokumentów, artykułów i wypiliśmy litry kawy, rozmawiając z ludźmi mniej lub bardziej zaznajomionymi z tematem. Bazując na dotychczasowym doświadczeniu w tworzeniu rozwiązań pozwalających uniknąć naszym klientom inwigilacji, stwierdziliśmy że mimo ogromnego skoku technologicznego, jaki zafundowali naszym służbom rządzący, nadal mamy do czynienia z produktem, którego skuteczność zależy w przeważającej mierze od tego, na co pozwolą mu inni. Oczywiście trudno mówić o wychwytywaniu i usuwaniu exploitów (luk systemowych), zanim wykorzystają je pracownicy NSO. Nasza przewaga polega jednak na tym, że wcale nie musimy tego robić. Wiedząc na czym bazuje Pegasus, tworzymy rozwiązania, które pomijają w procesie komunikacji elementy podatne na penetrację. Można to porównać do sytuacji, w której wiedząc że w okolicy grasuje fachowiec od wytrychowania, pozbywamy się tradycyjnego zamka, zastępując go czymś, czego nie będzie on potrafił sforsować. Chodzi też jednak o to, by nowe rozwiązanie nie rzucało się w oczy, opierało się na powszechnie dostępnej technologii, a jednocześnie posiadało przystępną cenę. Dodatkową korzyścią płynącą ze stosowania naszych rozwiązań, jest fakt że bazują one na tym, co tworzyliśmy do tej pory, zapewniając naszym klientom bezpieczeństwo przed dotychczasowymi metodami inwigilacji. Oznacza to więc, że stosując jedno rozwiązanie chronimy przed wszelkimi możliwymi jej formami. Uczmy się od najlepszych. W tym przypadku, o ironio, naszym nauczycielem okazali się być specjaliści z NSO Group. Warto tu również nadmienić, że w ramach naszych usług oferujemy klientom unikalne w skali kraju szkolenia dotyczące zwalczania wszelkich form inwigilacji, bez względu na to, kto za nimi stoi.

Podsumowanie

Jak świat, światem, władza zawsze chciała wiedzieć wszystko o swoich poddanych. Oczywiście zawsze dla ich dobra. Tej wersji władza trzyma się niestrudzenie do dziś, bez względu na to, jak wiele praw obywatela zostanie w tym procesie zadeptanych. Wiadomo wszak, że suweren głupi i nie wie, co dla niego dobre. W naszej opinii, to obywatel zawsze wie najlepiej, czego potrzebuje. Wiemy również, że wolność zaczyna się od wyrażania myśli i swobody wypowiedzi. To one są podstawą każdego projektu, czy to biznesowego, naukowego, czy społecznego. Naszą misją jest zapewnienie spokoju tym, którzy maja odwagę realizować swoje pomy
Pytania?
Skontaktuj się

Formularz kontaktowy

    Wyrażam zgodę na przetwarzanie danych osobowych przez Inveritas Tomasz Broniś z siedzibą w Grodzisku-Mazowieckim, przy ulicy Osowieckiej 1G w celu przesyłania treści marketingowych na mój adres e-mail lub numer telefonu podany powyżej w formularzu kontaktowym.

    Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest Inveritas Tomasz Broniś z siedzibą w Grodzkisku-Mazowieckim, przy ulicy Osowieckiej 1G. Wszelkie pytania i wątpliwości prosimy kierować do naszego ADO, Tomasz Broniś na adres kontakt@inveritas.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.