Pełna ochrona przed Pegasusem nie jest możliwa technicznie. Dlatego wzywamy do wprowadzenia globalnego moratorium na sprzedaż, stosowanie i eksport tego oprogramowania do czasu wprowadzenia uregulowań prawnych - mówi ekspert z Amnesty International Security Lab.
Michał Kokot: Jak ustaliliście, polskie służby próbowały zainfekować Pegasusem telefony dawnej asystentki Krzysztofa Brejzy i jego ojca, wysyłając im wiadomości z zainfekowanymi linkami. Jak bardzo ta metoda jest podobna do sposobów znanych wam w innych krajach?
Donncha O`Cearbhaill, Amnesty International Security Lab: Widać wyraźne podobieństwa w tym, jak te wiadomości były pisane [do Ryszarda Brejzy i Magdaleny Łośko].
Operatorzy Pegasusa są szkoleni w dostosowywaniu wiadomości tak, by zainteresować osobę, która ma być przedmiotem inwigilacji - żeby kliknęła w link. Analizując inne wiadomości, często widzieliśmy SMS-y z nagłówkami, które mogą zainteresować cel.
Wszystkie komentarze
Wojny powinny zostać zakazane. Przez chciwość i kompromisy wojny są, a to złe.
to jedź do Izraela i im zakaż, szabas szalom!
Gdyby twórcy systemów operacyjnych przykładali się do pracy to Pegasus byłby bezużyteczny.
Czemu nie można podać do sądów Apple, Microsoft i firm które instalują dziurawe systemy operacyjne?
Boeing za swoje dziurawe oprogramowanie musiał zapłacić.
Jak można było? Normalnie. Nikt normalny nie myśli kategoriami nienormalnych z pis.
A skąd wiesz, że nie mieli takiego systemu?
Właśnie chciałem o tym pisać, że przecież o jednej grupie przestępczej wiadomo.
Google i Apple wykonują ciągłą analizę luk i regularnie wypuszczają aktualizacje systemów zamykających znalezione. Płacą też bardzo konkretne pieniądze za informacje o wykrytych lukach, znam ludzi którzy na tym zarabiają. NSO musi płacić więcej, między innymi dlatego Pegasus jest taki drogi.
Moim zdaniem, rozwój systemów operacyjnych na telefony idzie w kierunku, który ułatwia życie oprogramowaniu szpiegującemu. IOS i Android mają jądro uniksowe (iOS - BSD i mikrojądro Mach-3, Android - linux), ale zostały tak zorganizowane, że właściciel telefonu jest w zasadzie ubezwłasnowolniony - nie może (a przynajmniej - nie może łatwo) uzyskać uprawnień administratora. Jeśli pegasus nie działa jako hypervisor, lub nie podkłada własnego, zmodyfikowanego jądra, tylko jest jednym lub kilkoma programami, funkcjonującymi pod kontrolą jądra - a przyznaję, że nie wiem, jak działa - to sam użytkownik, z uprawnieniami administratora, powinien być w stanie go namierzyć i nawet usunąć. Czy zostały może zebrane jakieś doświadczenia ze "zrootowanym" Androidem?
Symantec lub Kaspersky załatwią sprawę trojana w PC pod Windows 10 na amen, ale w smartphon są bezradne, tak gdają znajomi, ja im wierzę. J...ć smartfony! Już pewniej skakać po kanałach CB radia, gdy odległość pozwala, albo gadka tetatet na polu.
No więc dobrze, że przyznajesz że nie wiesz jak działa, bo działa zupełnie inaczej niż komputer. W szczególności ma sprzętowe szyfrowanie i sprzętową izolację dla zaufanych elementów. Wszystko co działa w wyższym modzie zaufania musi być podpisane przez zaufaną stronę i sprzętowo jest zapewnione, by nie mogło być zmodyfikowane podczas wykonywania. Dlatego w telefonach (w przeciwieństwie do komputerów) atakującemu tak trudno dodać swoje komponenty do systemu operacyjnego, a takie świństwa jak Pegasus znikają przy restarcie telefonu i atakujący musi wtedy udanie powtarzać atak by nadal mógł podsłuchiwać.
"Symantec lub Kaspersky załatwią sprawę trojana w PC pod Windows 10 na amen, ale w smartphon są bezradne"
Ciekaw jestem, ja używam Nortona na Androidzie (mam licencję na 10 urządzeń, w tym komputery i smartfony, zresztą kupiłem ją dawno temu w promocji za śmieszne pieniądze, teraz jak zobaczyłem, za ile się subskrypcja odnowiła, to zabolało, ale to nie o tym). Pewnie Pegasusa by nie wykrył, ale może jednak? Bo działa na różnych poziomach, zarówno skanując pliki, czyli jak dawne antywirusy, ale też skanując zachowanie, np. ostrzega mnie, że program do nagrywania rozmów telefonicznych jest niebezpieczny, bo przechwytuje rozmowy.
"NSO musi płacić więcej, między innymi dlatego Pegasus jest taki drogi"
- słyszałem też, że ataki zero-click są ekstra płatne i są to naprawdę ekstra pieniądze - właśnie dlatego, że szuka się luk w konkretnym urządzeniu, z konkretnym oprogramowaniem...
Ależ tak może (choć nie musi) działać komputer, którego użytkownik nie ma nic do gadania. Zresztą smartfony są komputerami z dodatkową funkcją telefonowania. Przyznałem się, że nie wiem, jak działa pegasus, a nie jakie zabezpieczenia sprzętowo-kryptograficzne stosowane są w telefonach, tylko że to drugie też może być prawdą. Sam używam starej Nokii :-). Wiem, że Android używa modelu uniksowego do izolacji aplikacji od siebie nawzajem, tzn. każda aplikacja dostaje własny identyfikator użytkownika. Do wykonania pewnych funkcji trzeba na chwilę poszerzyć sobie uprawnienia - są do tego dostępne odpowiednie, legalne mechanizmy, a dziury w ich implementacji mogą być wykorzystane przez malware wszelakiego rodzaju.
Jeżeli jest tak, jak piszesz, to wyjęcie na minutę baterii powodowałoby przywrócenie ustawień fabrycznych i usunięcie wszystkich programów, zainstalowanych przez użytkownika całkowicie legalnie. A tak chyba nie jest, bo użytkownicy by się zbuntowali :-). Oprogramowanie szpiegowskie wykorzystuje te same mechanizmy, co inne programy, tylko bez wiedzy i zgody użytkownika. Zgadzam się, że kontrolowane sprzętowo, w opisany przez Ciebie sposób, może byc jądro, a to by oznaczało, że pegasus jest "normalną" aplikacją, którą można namierzyć, mając uprawnienia administratora. Wracamy do punktu wyjścia.
Ja mówię o zabezpieczeniach na jeszcze niższym poziomie. Mają je specjalne bezpieczne komputery, ale to raczej wyjątki. Dam Ci przykład: w normalnym laptopie jeżeli ktoś wyjmie i skopiuje sobie dysk i pozna/odgadnie hasło jego szyfrowania, ma dostęp do wszystkich danych z dysku. W telefonie jeżeli skopiujesz pamięć to nawet mając hasło nie odszyfrujesz jej, bo brak Ci kluczowego elementu - unikalnych danych zamkniętych w sprzętowym układzie szyfrującym. Musisz mieć oryginalny telefon aby odszyfrować jego pamięć.
Dalej niewiele rozumiesz.
Jest podobnie jak na komputerze - najtaniej jest, kiedy użytkownik sam sobie zainstaluje szkodnika coś tam klikając. Takie coś zapisuje się na stałe z konfiguracją zaakceptowaną przez użytkownika i przeżywa restart. Jednak nie wszystko daje się włączyć na stałe i część funkcji po restarcie może być nieaktywna i wymagać ponownego włączenia.
Są też szkodniki zero-click, które same pchają się przez dziury i są aktywne, dopóki są w pamięci operacyjnej. Takie restartu nie przeżywają i wymagają ponownego wepchnięcia szkodnika w całości. Wyobraź sobie komunikator, który sam szkodnikiem nie jest. Po pierwszym uruchomieniu pozostaje w pamięci część rezydentna pracująca w tle, aby odbierać powiadomienia. Jeśli komunikator jest dziurawy, można spreparować powiadomienie, aby przejąć kontrolę nad komunikatorem. Komunikator ma domyślnie włączony dostęp do kamery i mikrofonu, więc do tego też uzyskuje dostęp Pegasus. Poza tym powiadomienia mogą mieć ograniczony termin ważności i same znikać z listy, co utrudnia wykrycie szkodnika. SMS-y same nie znikają.
Wiecie czym różnią się dyskusje na polskich forach od dyskusji wszystkich innych niepolskich? Tym, że w PL stosunkowo często osoba pisząca nawet całkiem ciekawe rzeczy rozpocznie słowami "Dalej niewiele rozumiesz" czy "więc dobrze, że przyznajesz że nie wiesz jak działa", mimo że rozmówca mówił konkretnie o Pegasusie... Ale zawsze fajnie tak komuś przypier...lić, dla poprawy polskiego, narodowego humoru.
interesująca informacja w temacie, że wystarczy by trojan miał uprawnienia Whatsupp'a, ktory ma je bardzo duże, włącznie z czytaniem pamięci telefonu i praktycznie wszystkiego innego. Szkoda tylko, że zacząłeś tak jak zacząłeś. Bądź milszy dla ludzi, dobrze to wszystkim zrobi.
Cudów nie ma. Skoro nie rozumiem, to spróbujemy to rozkminić.
Opisujesz sytuację, w której szkodnik nie łamie systemowych barier, tylko ładuje się przez znaną dziurę w aplikacji i "przejmuje nad nią kontrolę". Tylko nad nią, a nie nad całym telefonem - jak to zwykle przedstawiają media (dlatego szedłem pierwotnie tym tropem). Oznacza to, że 1. poprzez komunikat przesyła własny kod, bo bez niego nie zrobi absolutnie nic. 2. Przesłanie kończy się wymuszeniem uruchomienia tego kodu - i to jest prawdziwa dziura - bo kod nieaktywny może sobie być w pamięci, ale nadal nic nie robi. To jest świat rzeczywisty, a nie film sensacyjny. Teraz pytanie, czy szkodnik działa w kontekście programu-ofiary, subtelnie modyfikując jego kod tak, żeby program ten dalej działał i człowiek się nie zorientował, że coś się stało, czy tworzy własny proces, z tym samym identyfikatorem użytkownika, żeby zapisać swoją konfigurację, kod i "przeżyć restart" - co dla systemu jest całkowicie legalne, bo proces pisze do plików, do których ma stosowne uprawnienia? W tym drugim przypadku, widać by go było przy zwykłym wylistowaniu wszystkich procesów, z danym identyfikatorem użytkownika. BTW, wydawało mi sie, że przed takimi atakami umiemy się bronić od dawna, ale jak widać, w oprogramowaniu telefonów króluje dziadostwo.
Wszystko zależy od charakteru dziury. Stopień zagrożenia i możliwość wykorzystania znanych dziur masz opisany w stosownych serwisach, więc nie będę zgadywał, które z tych dziur były znane w NSO i z jakim wyprzedzeniem, zanim zostały opisane publicznie.
Im poważniejsza dziura, tym jej wykorzystanie jest liczone drożej w cenniku. W przypadku najtańszych ataków może się instalować regularna apka widoczna na liście pod mylącą nazwą, bo czego się spodziewasz np. po com.loginverify.ccc?
W przypadku Androida apki instalowane z Google Play mają przypisany standardowy zestaw uprawnień zależny od kategorii, do której została zgłoszona apka. Użytkownik potem może te uprawnienia zmienić, w szczególności może zezwolić na instalowanie apek z innych źródeł, a z drugiej strony wyłączyć automatyczne instalowanie aktualizacji. I tu robi się miejsce dla socjotechniki (przekonać użytkownika, żeby dokonał właściwych zmian ustawień) lub wykorzystania dziur (zainstalowana apka sama się o siebie troszczy). Tyle krótko o działanie na poziomie użytkownika, w działania na poziomie dziur w systemie nie wnikałem. W dalsze szczegóły nie będę się wdawał, bo mogę zbyt dużo sam poprzekręcać.
Dzięki. Właściwie to sprowadziliście, z @misio999, moje wyobrażenia o pegasusie na ziemię. Media przedstawiają go, jak to media, w charakterze telefonicznej Nemesis, której imienia nie wolno nawet pomyśleć, bo już się ma zainfekowany telefon :-). Wyobrażałem sobie więc zhakowane klucze kryptograficze, używane przez Trusted Program Module - czyli niezamykalne tylne drzwi do systemu, przez które instaluje się zamaskowany szkodnik, monitorujący wszystkie funkcje telefonu i skutecznie ukrywający się jako hypervisor lub przynajmniej zmodyfikowane jądro. Tymczasem guzik - to może być zwykły malware jak każdy inny, instalujący się metodami socjotechnicznymi i wykorzystujący prostackie zaniedbania w kodzie aplikacji sieciowych.
*Trusted Platform Module
Krótko mówiąc nikt nic nie wie.
Za wyjątkiem tego, że cały ten pegasus musi spełniać powszechnie znane w informacyce prawa fizyki.
Moratorium na software, haha, ci ludzie żyją w kompletnej fantazji.
został
sama jazda chyba niczym nie grozi, jeśli się w jej trakcie nie pepla
Uwżasz, że da się ukryć swe myśli? Ja tam pewności nie mam.
sprytne telewizory też mają mikrofony. Laptopy też mają mikrofony... Za komuny nie miały, ale i tak ludzie się bali podsłuchów. WIęc robiło się to tak, że rozmawiało się w łazience, puściwszy wodę do wanny, aby szum zagłuszał. Niestety, z powodu zużycia wody trudno w dzisiejszych czasach polecać to rozwiązanie. Można zamiast tego próbować wentylatorów z przyczepionymi jakimiś paskami z bibułki, albo po prostu apki w telefonie do generowania białego szumu.
I oczywiście nie klikać w linki w sms.
Z Pegasusem trudno walczyć, ale przy okazji warto sobie przypomnieć, że są zasady, które wszyscy z nas powinni stosować. Nawet, jak nie jesteśmy politykami, to warto, by do naszej bankowości nikt nie wszedł. Choć może się okazać, że nasza praca i np. wiadomości zawodowe czy z jakiejś fundacji też będą dla kogoś interesujące...
Napisałem tu podobny edukacyjny (bardziej rozbudowany) komentarz pod artykułem "Pegasus. Amnesty International publikuje listę zainfekowanych SMS-ów, które dostali polscy politycy [LISTA]" i jakiś bandzior z działu moderacji go usunął (wrzuciłem już ponownie); to coś niebywałego, myślicie, że tam utajnieni agenci siedzą? Czy może uznali że pisząc o bezpieczeństwie dotyczącym każdego obrażam podsłuchiwanych Pegasusem polityków i inne grube ryby?