Słów kilka o tym, jak nie dać się podsłuchać

1. Im mniej popularnie, tym bardziej bezpiecznie. Pegasus, jak każde oprogramowanie działa w określonych środowisku, którym jest system operacyjny. Bez wątpienia działa zarówno na Androidzie, jak i iOS, co potwierdzili niezależni eksperci. Wątpliwości dotyczą natomiast tego, czy Izraelczycy udostępnili swoim klientom również wersję na inne, mniej popularne systemy operacyjne. I tu pojawia się pierwsza rada dla wszystkich tych, którzy obawiają się inwigilacji. W pełni profesjonalne i poważne służby specjalne posługują się własnym, autorskim oprogramowaniem lub też wykorzystują zaplecze techniczne do stworzenia programu dedykowanego konkretnej realizacji. Jest to bardzo trudne, kosztowne i angażujące, ale tylko w ten sposób ma się gwarancję zachowania własnych działań w tajemnicy. Krótkowzroczni i aroganccy włodarze naszego kraju tego nie rozumieją, co paradoksalnie i chwilowo wychodzi na zdrowie społeczeństwu. Dlaczego? Im bardziej egzotyczny system operacyjny, tym mniejsza szansa, że NSO posiada solucję, która pozwoli go zainfekować. Bardzo dobrą praktyką okazuje się więc rootowanie telefonów i instalacja systemu operacyjnego, którego solucje nie obejmują. Dlaczego tak jest? Dlatego, że NSO, jak każda firma, musi na siebie zarabiać. Ich rozwiązania wymagają ciągłej aktualizacji, poszukiwania luk systemowych, czyli tzw. exploitów i ich bieżącej obsługi. Koszty takich działań są ogromne i zwracają się przy założeniu utrzymania sprzedaży na określonym poziomie. To oznacza, że nikt nie wyda pół miliona dolarów na zakup luki, która ma zastosowanie w stosunku do promila urządzeń. Dużo łatwiej i bardziej opłacalnie będzie znaleźć kolejną lukę w Androidzie, czy iOSie. Inną ważną kwestią jest samo urządzenie. Android, choć stanowi bazę dla setek urządzeń różnych marek, jest przez ich producentów w pewnym stopniu modyfikowany. To sprawia, że dana luka, umożliwiająca zhakowanie telefonu jednej marki, okaże się bezużyteczna na innym urządzeniu. I tu, podobnie jak w przypadku systemu operacyjnego, postarajmy się korzystać z urządzeń mało popularnych, lub wręcz egzotycznych. Dzięki temu, już na starcie utrudnimy małemu bratu realizację mokrych snów o byciu wielkim.

2. Czysto i przejrzyście. Luki to nie tylko system, ale również instalowane na nim aplikacje. Bardzo często to one okazują się oknem, przez które do telefonu dostają się hakerzy. Podobnie dzieje się w przypadku Pegasusa – przeczytaj jak wykryć pegasus. Służby bardzo dokładnie analizują nie tylko to, jakiej marki posiadamy urządzenie, a tym samym, jaki ma ono system, ale są również w stanie sprawdzić, jakie oprogramowanie zostało na nim zainstalowane. Informacje te są pozyskiwane od operatora komórkowego, ale również przy pomocy sprzętu techniki specjalnej, takiego jak IMSI Catcher. Oczywiście to nie koniec. Tam, gdzie technika zawodzi lub brak na nią miejsca, wkraczają ludzie. Niejednokrotnie informacje na temat tego, co robimy na telefonie podajemy innym na tacy, posługując się nim w miejscach publicznych. Wszelkie zebrane w ten sposób dane wykorzystuje się do tego, by w możliwie najmniej inwazyjny sposób przemycić do systemu szkodliwe oprogramowanie. Im więc mniej mamy zbędnych aplikacji i rzadziej sięgamy do telefonu, tym lepiej dla nas, a gorzej dla podsłuchujących.

3. Szyfrowanie. Do tego, że cennych dla nas informacji nie powinniśmy przekazywać otwartym wierszem nie trzeba nikogo przekonywać. I, o ile faktycznie Pegasus jest w stanie łamać szyfrowaną komunikację prowadzoną Whattsuppem, czy nawet Signalem, to szanse na to, że akurat tego lub podobnego narzędzia zechcą przeciwko nam użyć służby, jest raczej niewielka. No chyba, że partia rządząca bardzo nas nie lubi. W pozostałych przypadkach korzystanie z szyfrowanych komunikatorów zazwyczaj skutecznie psuje plany wszelkim amatorom cudzych sekretów, więc nie wahajmy się tego robić.

4. Zabezpieczenia programowe. Jako społeczeństwo powoli zaczynamy zdawać sobie sprawę z zagrożeń, jakie niesie ze sobą Internet i bezprzewodowa łączność. Badania wskazują, że większość Polaków instaluje na swoich komputerach oprogramowanie antywirusowe, firewall, czy korzysta z VPN. Niestety w przypadku telefonów odsetek ten jest wciąż zbyt mały. A przecież to właśnie telefonów używamy najczęściej i już od dawna nie jedynie po to, by wysłać SMS, czy zadzwonić. Dobrą praktyką powinno więc być instalowanie na naszych komórkach takich samych zabezpieczeń, jak na komputerach. Nie uczyni ich to w 100% bezpiecznymi, ale z całą pewnością utrudni pracę tym, którzy chcieliby nas podsłuchiwać, lub wykraść cenne dla nas informacje.

5. A co ze starymi telefonami? Czy Nokia 3210 jest podatna na atak Pegasusem? Nie, ponieważ jej niezwykle prosta konstrukcja i oprogramowanie nie stanowi dla niego odpowiedniego środowiska. Błędem jest jednak przypuszczenie, że posługiwanie się przestarzałymi urządzeniami, uchroni nas przed inwigilacją. Czy w czasach, kiedy samochody kradnie się metodą „na walizkę”, kupując auto z lat osiemdziesiątych uważamy, że współcześni złodzieje nie będą potrafili go ukraść? Stare telefony operują na starszej technologii o ograniczonym szyfrowaniu lub wręcz pozbawionej go. Ich podsłuch możliwy jest więc wprost przez operatora telekomunikacyjnego, lub przy użyciu IMSI Catchera, bez konieczności infekowania inwigilowanego urządzenia jakimkolwiek oprogramowaniem. Pamiętajmy również o tym, że służby wiedzą, jakim sprzętem się posługujemy i dobierają metodę działań do tej właśnie wiedzy. Skąd wiedzą? Każdy telefon, komputer, czy tablet posiada przypisany unikalny ciąg znaków, który stanowi swego rodzaju podpis. Ukryte w nim informacje, zupełnie jak numer VIN, mówią o marce, modelu i wyposażeniu urządzenia. Operator, a zatem służby również, zna także nasz numer telefonu. Jeśli więc zmienimy urządzenie, jego unikalny podpis (IMEI) również się zmieni, sygnalizując ten fakt w sieci.

6. Jak utrudnić służbom identyfikację tych danych? Po pierwsze, każdy kto obawia się inwigilacji powinien pomyśleć o telefonie, którego nie będzie można z nim powiązać. Kupujemy więc aparat za gotówkę, najlepiej zagranicą. Po drugie, instalujemy w nim kartę SIM zarejestrowaną na osoby trzecie. Najlepiej nie korzystać w takiej sytuacji z grzeczności rodziny i przyjaciół. Zarejestrowane karty można bez większego problemu kupić przez Internet lub w odpowiednich miejscach, na przykład na niektórych bazarach. Należy pamiętać, by w tym pierwszym przypadku sieci użyć jedynie jako metody kontaktu ze sprzedawcą, a towar odebrać osobiście i uregulować należność gotówką. Pragnę przy tym podkreślić, że wbrew niektórym, obiegowym opiniom, zakup i posługiwanie się kartą zarejestrowaną na osobę trzecią, nie jest w żaden sposób zabroniony, ani tym bardziej, karalny. Pamiętać należy jednak o tym, że służby ustalają numer, którym posługuje się interesująca je osoba nie tylko na podstawie danych od operatora i oficjalnych rejestrów. W tym celu mogą również prowadzić analizy połączeń rodziny, znajomych i współpracowników tej osoby. W ten sposób dosyć szybko odkryją, który z numerów przechodzących w analizach jest tym właściwym. Ponadto, niezwykle skuteczną i prostą metodą ustalenia numeru telefonu, którym posługuje się dana osoba, jest tzw. lokalizacja. Polega ona na wskazaniu urządzeń, które w chwili prowadzenia analizy znajdują się w tym samym miejscu, co objęty zainteresowaniem człowiek. Czasem wystarczy kilkanaście godzin, by mieć stuprocentową pewność, do kogo należy telefon.

7. Nie dajmy się zauważyć. Tak oto doszliśmy do momentu, w którym jasne staje się, że druga strona, aby mogła nas skutecznie inwigilować, musi „widzieć” nasz telefon. Nieco trudniejszą i bardziej uciążliwą metodą utrudniania jej zadania będzie więc skorzystanie ze sprzętu, którego widoczność będzie dla niej ograniczona, bądź po prostu myląca. Jak to zrobić? Najprostszą metodą jest posłużenie się dwoma urządzeniami, z których tylko jedno będzie faktycznie widoczne w sieci i będzie służyło jedynie jako punkt dostępowy. Drugie, pozbawione dostępu do sieci GSM, będzie się komunikować ze światem za pomocą pierwszego, oczywiście w szyfrowany sposób. Odpowiednio skonfigurowany punkt dostępowy wcale nie musi być telefonem. Może to być np. modem LTE, lub inne urządzenie. W ten sposób bardzo skutecznie skomplikujemy zadanie ciekawskim już na samym początku.

8. A dlaczego nie specjalne, dedykowane i szyfrowane komórki? Cóż, nikt nie mówi, że to zły pomysł. Pomijając koszty problem pojawia się jednak gdzie indziej. Jak już wspomniałem, każde widoczne w sieci komórkowej urządzenie ma swój unikalny znak rozpoznawczy (IMEI). Dzięki niemu służby wiedzą, jakim modelem aparatu się posługujemy. Jeśli zobaczą, że jest to dedykowane szyfrowanej łączności i rzadkie rozwiązanie, to będzie to trochę tak, jakbyśmy przeszli się główną ulicą niosąc transparent z napisem „mam coś do ukrycia!”. W ten sposób ściągniemy na siebie uwagę i już na początku damy wielkiemu bratu do zrozumienia, że musi nas potraktować w specjalny sposób i zaangażować więcej środków. A nie o to przecież chodzi.

9. Last but not least. Nigdy nie udostępniajmy swojego sprzętu osobom trzecim i nie pozostawiajmy go w miejscach, gdzie może wpaść w ich ręce. Niby oczywista, a jednak tak często lekceważona zasada. Nie tylko służby posiadają narzędzia służące inwigilacji telefonów. W sieci bez żadnych problemów można wykupić subskrypcję programu, który daje użytkownikowi te same możliwości, co służbom Pegasus lub jego następcy. Nie da się go jednak zainstalować zdalnie, a jedynie mając dostęp do inwigilowanego urządzenia. Biegła w temacie osoba dokona tego w ciągu kilku minut. Będzie jednak bezradna, jeśli nie damy jej okazji. Bardzo często spotykając się z klientami słyszę, że nigdy nie rozstają się z telefonem, ale kiedy byli ostatnio wezwani na przesłuchanie, to musieli zostawić urządzenie w depozycie. To wystarczy. Nie bądźmy naiwni, służby tylko czekają na takie okazje. Jeśli zostaniemy wezwani, w jakimkolwiek charakterze, do stawienia w urzędzie administracji publicznej, nigdy nie zabierajmy ze sobą telefonów, tabletów czy komputerów. Nie ma nic zabawniejszego, niż zawiedziona mina funkcjonariusza, który każe nam zdeponować telefon, którego przy sobie nie mamy.