Zabezpieczano również instalacje komputerowe – do sali z komputerami i urządzeniami peryferyjnymi wstęp miała tylko upoważniona obsługa, a terminale dla użytkowników oraz karty z programami i wydruki wyników znajdowały się w innej sali. Dzisiaj to może śmieszne, ale nawet linia telefonu wewnętrznego do sali komputerowej nie miała wyjścia na miasto. Pamiętajmy, że wtedy jeszcze nie było sieci komputerowych. Po uruchomieniu pierwszej sieci ARPANET w 1971 r. pojawił się pierwszy wirus – jeszcze mało groźny, bo wyświetlił jedynie na atakowanym komputerze wiadomość: „I’m the creeper, catch me if you can!”.

Sytuacja uległa zmianie wraz z pojawieniem się mikrokomputerów personalnych do użytkowania przez jedną osobę. Ich pierwsze systemy operacyjne były bardzo proste i obsługiwały tylko jeden aktualnie wprowadzony do pamięci operacyjnej program. Nie było potrzeby dbać o bezpieczeństwo systemu i programu. Od 1982 roku zaczęły się pojawiać wirusy przekazywane do komputerów w plikach na dyskietkach. Czasem były niegroźne – odwracały napisy na ekranie, ale często niszczyły system plików na dysku – ich autorzy mieli z tego powodu jedynie czystą, złośliwą satysfakcję. Wraz z pojawieniem się internetu, coraz szybszego i szybko rozbudowywanego, wszystkie komputery – również te personalne – a także smartfony w sieci zostały wystawione na działanie ataków hakerskich.

Owszem, deweloperzy oprogramowania systemowego starali się dokładnie go testować, aby nie było w nim błędów. Równocześnie umieszczali w programie „tylne drzwi” do systemu, aby można było wykryć błędy w trakcie eksploatacji, włączając poprzez te wejścia śledzenie wykonywania się procesów oraz sprawdzając zmiany wartości kluczowych danych systemu. Swoją drogą, takie sekretne wejścia pozostawia się też na żądanie służb, chociaż same firmy się do tego nie przyznają.

Niestety liczba tych wejść i błędów – dziur w oprogramowaniu – jest zbyt duża i coraz to nowe są odkrywane przez inteligentnych programistów – wolnych strzelców. Po wykryciu mogą oni przekazać opis tego błędu do producenta oprogramowania, uzyskując stosunkowo niewielką nagrodę. Jednak wielu z nich taki eksplojt może wykorzystać dla własnej korzyści, sprzedając go w szarej strefie. Szczególnie cenne są eksplojty dnia zerowego, czyli znane jeszcze tylko ich odkrywcy. Odkrywcy dziur – genialni, profesjonalni informatycy oraz ci mający dostęp do kodu źródłowego tegoż oprogramowania – niewiele ryzykują sprzedając swoje odkrycia. W końcu producent noża nie odpowiada za dokonane nim morderstwo.

Producenci oprogramowania nie są w stanie usunąć wszystkich błędów z oprogramowania. Jakieś 20 lat temu dowiedziałem się od osoby nadzorującej jedną z wersji znanego systemu operacyjnego, że producent – znając lokalizację tych dziur – nie wszystkie je usuwa. Przyjmuje, że wystarczy, że dany system jest „good enough”, bo według zasady Pareta usunięcie 80 proc. błędów kosztuje 20 proc., a pozostałych 20 proc. błędów to już wydatek na poziomie 80 proc. kosztów serwisowania systemu. Niedługo po wspomnianej rozmowie zwiedzałem halę montażu Boeinga 777, który składa się z około 1 mln części. Zastanawiałem się, czy tam też stosują podejście „good enough”? Wtedy uważałem, że to jest niemożliwe, ale w ostatnich latach właśnie błędy w oprogramowaniu, zamówionym po niższych kosztach poza firmą, były przyczyną uziemienia Boeingów 737 MAX czy też wymuszania restartów oprogramowania w Airbusach A350.

Nic dziwnego, że producenci oprogramowania systemowego zabezpieczają się prawnie w umowie licencji przed odpowiedzialnością finansową z tytułu problemów mogących się pojawić z powodu istnienia błędów w oprogramowaniu. Mają też prawne pretensje do firm, które opracowują programy szpiegowskie korzystające z dziur, aby zainstalować się w ich oprogramowaniu. Ostatnio Apple pozwał producenta Pegasusa za nieuprawnioną ingerencję w system iOS.

Okazuje się też, że również w przypadku oprogramowania open source trudno mieć pewność braku błędów, gdyż większość jego treści nie jest powszechnie weryfikowana. Użytkownicy są więc zmuszeni do korzystania z programów antywirusowych, które mają chronić użytkowane programy przed wirusami czy innymi atakami hakerskimi. Niestety wiele nowych eksplojtów umożliwia hakerom przejęcie kontroli nad oprogramowaniem i uzyskanie wglądu do danych, ich kradzieży lub wymuszenia okupu.

Pegasus nie jest jedynym systemem szpiegowskim, ale ten miał pecha, bo został ujawniony, co samo w sobie go silnie degraduje. Znane są jeszcze inne podobne oraz wiele utrzymywanych w sekrecie. Przecież władze US nie po to z rozgłosem zrezygnowały z Pegasusa, aby nie móc kontrolować terrorystów. To jasne, że mają własne systemy, tym bardziej, że mogą łatwiej poznać detale oprogramowania wiodących producentów amerykańskich dzięki przepisom zawartym w Patriot Act. Również Chiny, Rosja, Niemcy, Anglia, Francja i inni (oraz grupy cyberprzestępców) niewątpliwie mają własne systemy, a tylko mniejsi muszą coś kupić z półki.

W Polsce pojawiły się głosy, że moglibyśmy sami taki system opracować i jest to możliwe. Jednak jakbym był projektantem czy nawet tylko programistą w takim zespole, to chciałbym wiedzieć na jakiego „zwierza” będzie on stosowany. Pierwszym projektantom systemu PESEL w nowej rzeczywistości obniżono emerytury, bo pracowali w złej instytucji… A obecnie ABW oficjalnie poszukuje programistów i administratorów systemów oraz baz danych.

Podsłuchiwanie czy też podglądanie innych było znane od wieków. Z chwilą pierwszych transmisji z wykorzystaniem elektroniki pojawiły się też elektroniczne urządzenia podsłuchowe. Dzięki podsłuchaniu i rozszyfrowaniu depesz sowieckich udało się dokonać cudu nad Wisłą w 1920 roku. W latach 30-tych Kwinto podsłuchał rozmowę telefoniczną Kramera. Dzięki uzyskaniu możliwości rozszyfrowania depesz Enigmy, skrócono WWII o dwa lata. Wraz z rozwojem elektroniki powstawały coraz czulsze mikrofony kierunkowe pozwalające też nagrać dźwięki z drgań szyby pomieszczenia, mikrokamery, a także urządzenia lokalizacyjne. Pokaz tych możliwości dobrze przedstawia film „Rozmowa” z roku 1974(!), ale też pokazuje, jak specjalista od podsłuchów Gene Hackman może stać się celem innych. Zorientowawszy się, że jest podsłuchiwany, w rosnącym przerażeniu zdemolował całe mieszkanie. Zdaje się, że podsłuch był jednak zamontowany w obcasie jego znoszonego buta.

Wielu, nawet niewinnych, zadaje sobie pytanie, jak można się uchronić przed podglądaniem i podsłuchiwaniem przy korzystaniu z komputera oraz telefonu. No cóż, nie ma skutecznej rady. Wyjmowanie baterii, opakowanie w aluminium czy używanie programów antywirusowych nie wystarcza. Jakimś rozwiązaniem jest używanie starszych wersji komórek z oprogramowaniem w ROM, czy też rzadszych typów. Jednakowoż nawet wówczas trzeba się liczyć z możliwością przejmowania rozmów przez „jaskółkę” – podstawiony BTS z silniejszym (niż z tego prawdziwego) sygnałem. Dopiero zastosowanie urządzeń ze specjalną ochroną danych, łącznie z ich szyfrowaniem, może być bezpiecznym rozwiązaniem. Przynajmniej do czasu…

P.S. Wojna na Ukrainie rozpoczęła się od ataku cybernetycznego, niszczącego ukraińskie systemy teleinformatyczne, ale to nie wystarczyło i agresor użył sił ataku konwencjonalnego powodującego rany, śmierć i zniszczenia. Jeszcze za wcześnie, aby tylko wojska cybernetyczne rozstrzygały bezkrwawo spory między stronami.

Artykuł Syndrom Pegaza pochodzi z serwisu CRN.

Z kronikarskiego obowiązku warto przypomnieć, że w grudniu 2021 r. amerykańska agencja prasowa Associated Press poinformowała, że Ewa Wrzosek, Krzysztof Brejza i Roman Giertych byli inwigilowani przy pomocy opracowanego przez izraelską spółkę NSO Group oprogramowania Pegasus. Zaraz potem rozpoczął się festiwal kuriozalnych oświadczeń polityków Zjednoczonej Prawicy. Michał Woś, wiceminister sprawiedliwości, zamieścił na Twitterze zdjęcie konsoli do gier Pegasus, a obok komentarz: „to Pegasus, który kupiłem”. Wojciech Skurkiewicz, wiceminister obrony narodowej, zapewniał, że Pegasus nie znajduje się na wyposażeniu polskich służb. Z kolei premier Mateusz Morawiecki, w odpowiedzi na pytanie o inwigilację, stwierdził, że to fake news. Wreszcie pięścią w stół uderzył sam prezes konstatując, że mamy Pegasusa i nie zawahamy się go użyć!

A co działo się po drugiej stronie barykady? Paweł Wojtunik, były szef CBA, powiedział, że takiego systemu jak Pegasus by nie kupił i chyba nie wyobraża sobie sytuacji, w jakiej mógłby go zastosować. Zaraz potem w internecie pojawił się mem ze zdjęciem, na którym funkcjonariusze ABW próbują wyrwać laptopa z rąk Sylwestra Latkowskiego, wówczas redaktora naczelnego tygodnika Wprost. Obrazek nosił podpis: „Pegasus za czasów PO”. Jednak ta zabawna grafika nieco zakłamuje rzeczywistość, bowiem w 2012 r. CBA zakupiło włoski system RCS służący nie tylko do szpiegowania smartfonów, ale również komputerów. Najzabawniejsze w tej historii jest to, że Hacking Team, twórca tego szpiegowskiego programu, sam został ofiarą ataku hakerskiego. Do sieci wyciekło 400 GB danych dotyczących klientów RCS-u, w tym Centralnego Biura Antykorupcyjnego.

Nie mnie oceniać, kto kupił lepszy system, aczkolwiek jak do tej pory izraelskie NSO Group nie padło ofiarą cyberataku. Poza tym, jakby nie patrzeć, w świecie nowych technologii akcje produktów „made in Israel” stoją zdecydowanie wyżej niż te ze znaczkiem „made in Italy”. Choć trzeba przyznać, że Pegasus ma wyjątkowo złą prasę. W ubiegłym roku The Washington Post napisał, że wśród osób śledzonych przez produkt izraelskiej firmy znaleźli się dziennikarze, politycy, urzędnicy rządowi, dyrektorzy dużych koncernów czy działacze walczący o prawa człowieka. Co smutne, w tym gronie pojawił się opozycyjny saudyjski dziennikarz Jamal Khashoggi, którego zamordowano wewnątrz konsulatu Arabii Saudyjskiej. Z drugiej strony Pegasus pomógł zlokalizować i ująć narkotykowego bossa „El Chapo”.

Warto też podkreślić, że izraelski system nie jest wykorzystywany wyłącznie przez autorytarne rządy. Jego użytkownikiem jest Niemiecki Federalny Urząd Kryminalny (BKA), a także hiszpańskie i węgierskie służby specjalne. Z Pegasusem jest trochę jak z Glockiem – łatwy w obsłudze pistolet pozwala unieszkodliwić terrorystę, ale równie dobrze może posłużyć do napadu na jubilera. Poza tym nie od dziś wiadomo, że żyjemy w świecie wszechobecnej inwigilacji, gdzie niemal wszyscy nawzajem się podsłuchują.

Swoją drogą może warto zastanowić się nad tym czy Polska nie powinna mieć własnego systemu szpiegującego. Dobrych programistów nam nie brakuje, a zakup takiego rozwiązania od obcych państw zawsze jest obarczony pewną dozą ryzyka. Kto wie, czy kompromitujące zdjęcia rodzimego polityka nie leżą już właśnie na biurku jakiegoś agenta Mosadu…

Artykuł Pegasus niczym Glock pochodzi z serwisu CRN.

Nie będę nazwy zarówno portalu, jak i partii politycznej używać w dalszym ciągu tej mojej opinii, bo absolutnie mi nie o to chodzi. Chcę się skoncentrować na pryncypiach, czyli zasadach i związanych z nimi oczekiwaniach, wolnościach i ograniczeniach.

Zablokowany portal był podobno największym z portali partii politycznych w Polsce kiedykolwiek i gromadził około miliona followersów. Firma zablokowała konto określając przyczynę w dwuzdaniowym, lakonicznym i odpowiednio ogólnym uzasadnieniu. W domyśle inteligentnych obserwatorów i kibiców tych wydarzeń ukształtował się pogląd, że chodzi o kontrowersyjną postawę tej partii w jednej sprawie, nie mającej absolutnie z polityką nic wspólnego, a raczej ze sposobem rozumienia słowa „wolność”. Do tego jeszcze wrócę. Ale nawet nie to mnie poruszyło. Poruszyła mnie reakcja niektórych mądrych (a za takich miałem przynajmniej te osoby dotąd) uczestników dyskusji na rozmaitych forach, których posty w skrócie zaczynały się w stylu: „nie jestem zwolennikiem, ani tym bardziej wyznawcą głoszonych przez tę partię poglądów, ale to, co zrobił portal to skandal, świństwo, naruszenie nabytych praw”. Nie mówiąc o niektórych ekstremistach wyczuwający spisek światowych sił ciemności, jednostronnie rozumianej wolności, demokracji i prawa, znaczy: „jak Kalemu ukraść krowę, to źle, ale jak Kali ukraść krowę, to dobrze”. Konkretnie aktorzy dramatu, to:

Dostawca usług

O ile wiem, inkryminowany portal jest firmą prywatną i nie reprezentuje żadnych politycznych interesów (a to się jeszcze okaże). Otwieranie kont, umieszczanie treści, operowanie na portalu reguluje jego regulamin, który każdy na samym początku podpisuje. Są tam zapisy, co administrator portalu może, a czego nie. Jest też zapewne szara strefa, której „grubość” powinien ocenić każdy decydujący się na otwarcie konta. Powinien też dobrze się zastanowić, czy działalność, którą zamierza prowadzić właściciel konta, jest zgodna z regulaminem, czy w świetle zapisów regulaminu jest ryzykowna. Regulamin oparty jest zapewne o jakieś prawo wyższego rzędu, na przykład konstytucję jakiegoś kraju. Z reguły to jest kraj rezydencji, choć może być inne wskazanie, którego obecność powinna sama z siebie wzbudzić czujność potencjalnego użytkownika i być oceniona, jak ryzyko.

Podobnie z treściami. Niektóre, ogólnie łatwo i powszechnie akceptowalne nie budzą zastrzeżeń, ale już jawi się cała masa „szarych i niełatwo definiowalnych poglądów”. A są to na przykład aborcja, eutanazja, propagowanie miękkich narkotyków, pewne elementy walki klasowej (tak, tak, fanatycy takich poglądów jeszcze istnieją) oraz zakres ich potępienia (komunizm – potępiamy, skrajny, wojujący socjalizm – nie). I kto ma tym wszystkim decydować? Sądy powszechne, ale jakie? Sąd Konstytucyjny, Najwyższy (a jakiego kraju), ETS, Trybunał w Hadze?

Co robi zatem portal? Robi najnaturalniejsza rzecz na świecie: nie chcąc się narazić na zarzut podmiotu współodpowiedzialnego za głoszenie treści niewłaściwych, zamyka konto i czeka na pozew. Robi coś, co w nomenklaturze postępowania procesowego nazywa się „dokonaniem zabezpieczenia”. Jak będzie zmuszony wyrokiem sądowym zmienić wcześniejszą decyzję, to zrobi to z radością, bo portal żyje z klików, a im więcej klikających, tym większe jego przychody. Poza tym znakomite alibi na okoliczność zarzutów o „bezczynność w obliczu zła”.

Może ten fenomen być nazwany gotowaniem żaby, a jego roztrząsanie trwa od przejęcia władzy przez faszystów w Niemczech na początku lat trzydziestych ubiegłego wieku. Zarzut był stawiany już po zakończeniu II wojny wszystkim niemieckim środowiskom, grupom wpływu i różnego rodzaju wspólnotom, w tym kościołom i związkom wyznaniowym, a w największym stopniu mediom, które na tamten czas można sprowadzić do prasy (dziś jej odpowiednikiem są portale i media społecznościowe) o to, że nie dość wcześnie, głośno i skutecznie przeciwstawiały się brunatnej fali. Tymczasem one głosem swoich przedstawicieli mówiły, że przecież jak miały przeciwdziałać, kiedy w zasadzie wszystko było legalnie. A zatem opanowanie prasy, ale też wytworzenie własnych struktur quasi militarnych, najpierw SA, później SD, SS i wiele innych operacji dokonywanych krok, po kroku, jak podkręcanie płomienia gazu po garnkiem z wodą i żabą w tej wodzie.

Dlatego też we współczesnym świecie wszelkie ugrupowania niosące w sobie cień podejrzeń o jakikolwiek autokratyzm, przechylenie militarystyczne (w przeciwieństwie do organizacji prawie terrorystycznych, ale czy to ze sfery ekoobrońców, zwolenników zdrowej żywności, aż po organizacje o libertyńskim charakterze z okolic ruchów LBTQ+, są sekowane i bardzo dokładnie obserwowane, aż po ich usuwanie ze sfery publicznej.

Właściciel konta

A partia, której konto zablokował czołowy portal, niesie za sobą taki posmak ideologiczny. I nic na to nie poradzi. A powinna, jeśli jest czymś więcej niż nastolatką chcącą przed koleżankami chwalić się ciuchami lub wymieniać poglądy o przystojnych nauczycielach i obgadywać zołzy z pokoju nauczycielskiego, znać warunki te pisane, jak i niepisane prowadzenia portalu. I mieć wiedzę, co powinna robić, aby odcinać się od ciągnących się za nią złych skojarzeń. Bez dokonania tego naraża się na utratę komunikacji z „elektoratem”, bo nie tylko jeden, ale i inni mogą podążyć już raz wytyczonym szlakiem. Mówiąc inaczej, na wprost i bez dyplomacji, z użyciem przesady i słów grubych: ktoś, kto buduje na „lewackim portalu” ambonę „skrajnie prawicowych” poglądów jest naiwny jak dziecko, albo jak napalony inwestor, który wznosi osiedle domków jednorodzinnych na terenach zalewowych ze względu na niską cenę gruntu. Przez 20 lat woda może nie zrobić szkody, ale przyjdzie „woda stuletnia” i zabierze dorobek życia.

Po drugie, jak w jeden sposób komunikacji wkłada się wszystkie zasoby, wysiłek i finanse, to musi się brać pod uwagę różne DDOS’y, ale też, czy prosto, czy krzywo uśmiecha się do właściciela, bo ten zawsze będzie górą i zawsze powie: „ tego Pana nie obsługujemy, najbliższy punkt obsługi w Bydgoszczu”. Inną metodą, jak się nie podoba ugodowe podejście, aby być na portalu A lub B, a zbyt ryzykowny jest C i D, to się buduje własny (jak robią to Rosja, Chiny i jeszcze paru innych) i jest się „panem, żeglarzem, okrętem” w jednym. Że drogo? A kto mówi, że zdobycie władzy w szóstym co do wielkości kraju UE ma być tanie?

Komentatorzy, symetryści i inni pożyteczni idioci

Ci mają super wygodną pozycję i mogą się wymądrzać o wolności wypowiedzi, swobodzie głoszenia poglądów (czy aby wszystkich i kto ma ustalać zasady i kryteria ich oceny?), o samowoli decyzyjnej koncernów informatycznych (czy portale, i media społecznościowe to firmy informatyczne?), o potrzebie istnienia równowagi ideologii etc. Główną jednak cechą większości z nich jest intelektualna dezynwoltura i brak poczucia odpowiedzialności za głoszone słowa. Oni mają w sobie genotyp profesora Sonnenbrucha z dramatu Kruczkowskiego „Niemcy”. A przejawem jego jest brak reakcji na prawdziwe zło i jego wczesne objawy. Za to estyma dla kultywowania pozornie wysokich, ale mocno abstrakcyjnych wartości, jak wolność, swoboda głoszenia poglądów, powszechny dobrobyt etc.

Kończy się wszystko, gdy taki „wyznawca wolności” przychodzi do takiego ”światłego profesora” i gwałci mu nastoletnią córkę, bo „jego wolność jest lepsza niż profesora”, a przy okazji zabiera schowane na czarną godzinę złoto, a na koniec zabija profesora, bo jest stary i schorowany, a tacy tylko zawadzają dynamicznej i zwinnej społeczności, której kształtowanie jest celem istnienia „wolnościowców”.

Zanim się stanie po jednej, czy drugiej stronie, zanim poprze takie, czy inne poglądy, to trzeba mieć wyobraźnię, do czego pobłażanie skrajnościom, prymitywnie pojmowanie wolności, swobody głoszenia nawet bzdurnych poglądów mogą doprowadzić.

Moja ocena

Dla mnie zablokowanie konta partii (jakakolwiek by ona nie była) na jakimś medium społecznościowym, to poza charakterem ciekawostki, nie niesie żadnego zagrożenia wolności. Co najwyżej jest to gest niemiły jednej ideologii w stosunku do drugiej. Z tej sytuacji, jeśli wszyscy gracze wyciągną właściwe wnioski, mogą one przynieść zaskakujące skutki: wzrost popularności partii, jej lepsze przygotowanie na podobne zagrożenia, czyli wzmocnienie jej podstaw’ obniżenie sentymentu do rzeczonego portalu, zlikwidowanie kilkudziesięciu tysięcy kont, w odwecie i na znak sprzeciwu tego typu cenzurze. To są „waciki”, jak mówiła żona Siary.

Dla mnie prawdziwym alarmem dla całego społeczeństwa powinna być sprawa Pegasusa. Nie chodzi mi o sam fakt zakupu i używania, czy jego bezprawne stosowanie. Największą tragedią obserwowaną przez mnie wokół niego jest postawa decydentów i rządzących. Kłamstwa, mataczenie, brak umiejętności budowania przekazu, dezawuujący wszystko cynicznie głos Prezesa. Dlaczego to jest tragiczne? Bo w perspektywie prowadzi do konwulsji władzy, która w międzyczasie umocniła się instytucjonalnie, jak żadna inna wcześniej. A jak runie, wszyscy będą w strefie zagrożonej i żadne otwieranie czy zamykanie kont na portalach internetowych na to nie pomoże.

Artykuł Czy Pegasus może mieć konto na Facebooku? pochodzi z serwisu CRN.

W Polsce miało dojść do kolejnego przypadku inwigilacji Pegasusem. Tymczasem Eset zapewnia, że ma skuteczną ochronę przed tym oprogramowaniem szpiegującym izraelskiej firmy NSO Group. Według ekspertów dla urządzeń z Androidem jest to oprogramowanie Eset Mobile Security.

„Pegasus jest bardziej niebezpieczny w porównaniu do innych zagrożeń mobilnych, ponieważ wykorzystuje luki 0-day, w tym tzw. exploity zero-click 0-day. Wykorzystanie luk tego typu oznacza, że osoby atakujące mogą z powodzeniem złamać zabezpieczenia smartfona, nawet gdy zostały zainstalowane na nim najnowsze aktualizacje. Co więcej, „zero-click” oznacza, że potencjalna ofiara nie musi nic robić (tzn. nie musi klikać linka ani nawet czytać przychodzącej wiadomości SMS), aby jej telefon został zainfekowany” – wyjaśnia Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa w Eset.

„Zagrożenie zostało sklasyfikowane i jest wykrywane przez Eset pod nazwami „Android/Spy.Chrysaor.” Android/Spy.Chrysaor” – zapewnia Kamil Sadkowski, dodając, że oprogramowanie Mobile Security chroni sprzęt z Androidem przed Pegasusem.

Użytkownik systemu iOS może sprawdzić, czy jego urządzenie zostało zainfekowane Pegasusem poprzez skontrolowanie kopii zapasowej iTunes przy użyciu narzędzia opracowanego przez Amnesty International.

Pegasus przetrząśnie telefon, wykradnie hasła, podsłucha i podejrzy

Według eksperta malware umożliwia podgląd wiadomości, zdjęć i kontaktów na smartfonach, na których zostanie zainstalowane. Pozwala też na podsłuchiwanie prowadzonych rozmów telefonicznych (a nawet ich nagrywanie) oraz otoczenia. Ma dostęp do SMS-ów, kontaktów, kalendarza, danych aplikacji poczty email i komunikatorów, lokalizacji GPS, haseł Wi-Fi.

Słowacka firma twierdzi jednocześnie, że potwierdzenie, że telefon został zainfekowany Pegasusem, nie jest łatwym zadaniem nawet dla profesjonalistów od cyberbezpieczeństwa.

Zdaniem Esetu najskuteczniejszym sposobem rozwiązania problemu w postaci potencjalnej inwigilacji Pegasusem jest traktowanie smartfonów tak, jakby posiadały już złośliwe oprogramowanie. Generalnie błędem jest przechowywanie poufnych informacji na urządzeniach, które podejrzewamy, że mogły być zainfekowane.

Artykuł Eset: jest skuteczna ochrona przed Pegasusem pochodzi z serwisu CRN.

Oprogramowanie szpiegujące izraelskiej firmy NSO Group znów mocno namieszało w krajowej polityce. Natomiast nadal nie potwierdzono, czy zostało udostępnione polskich służbom.

Wczoraj koło poselskie Polska 2050 złożyło wniosek do NIK o kontrolę w sprawie wykorzystania Pegasusa. Póki co chyba najważniejszym śladem kojarzonym z zakupem słynnego już na świecie narzędzia jest faktura na 33,4 mln zł, wykryta przez NIK podczas kontroli CBA w 2018 r.

Faktura została wystawiona w 2017 r. przez biuro antykorupcyjne jednej z polskich firm informatycznych. Nadal nie potwierdzono, jakiego konkretnie zakupu dotyczy. Służby milczą na ten temat. Zapłata obejmuje m.in. sprzęt i oprogramowanie (ponad 11 mln zł), testy (5 mln zł) i szkolenia (ok. 3 mln zł). Spora jest kwota przedpłaty. Fakturę wystawiono na „zakup środków techniki specjalnej służących do wykrywania i zapobiegania przestępczości”.

Stanisław Żaryn, rzecznik ministra koordynatora służb specjalnych, także nie informuje, czy nasze służby są klientem NSO. Jak stwierdził ostatnio, z uwagi na ograniczenia prawne nie może powiedzieć, jakie metody pracy operacyjnej są stosowane.

Zarówno Żaryn, jak i minister Janusz Cieszyński, pełnomocnik rządu ds. cyberbezpieczeństwa, zapewniają, że służby działają zgodnie z prawem, a wdrożenie tzw. metod kontroli operacyjnej, jak inwigilacja, wymaga uzyskania zgody sądu.

Kanadyjska organizacja Citizenlab informowała natomiast kilka miesięcy temu, że odkryła podejrzane, jak to określa, infekcje Pegasusem w ponad 40 krajach, w tym w Polsce.

NSO: nie zajmujemy się obsługą Pegasusa

Także NSO Group odnosząc się do ostatnich doniesień z Polski, nie podaje, czy Pegasus został udostępniony polskim agentom. Zarzuty, iż w naszym kraju może wykorzystywany niewłaściwie, rzecznik firmy skomentował tak, iż jeśli demokratyczny kraj wykorzystuje narzędzie zgodnie z odpowiednim procesem i użyje Pegasusa w ramach śledztwa wobec osoby podejrzanej, to „nie zostanie to w żaden sposób uznane za niewłaściwe użycie takich narzędzi”.

Rzecznik NSO zapewnia również, że firma jest dostawcą oprogramowania. Nie zajmuje się obsługą Pegasusa, nie jest informowana, kto jest celem i jakie dane są gromadzone.

Jak wykryć Pegasusa

Pegasus może szpiegować zarówno telefony z Androidem, jak i iOS (a możliwe, że nadal także z Symbianem i OS Blackberry) – podsłuchuje, podgląda poprzez kamerę, czyta SMS-y, udostępnia zapisane dane itp. Ślad tego malware’u jest według ekspertów łatwiejszy do wykrycia w systemie Apple’a.

Producent iPhone’ów pozwał zresztą NSO w związku z włamaniami do systemu iOS, a władze USA wciągnęły izraelską firmę na czarną listę, za udostępnianie Pegasusa krajom, gdzie wykorzystywany jest nie do walki z przestępcami, lecz z opozycją i ludźmi, którzy nie podobają się władzy. Apple oznajmił, też, że będzie wysyłał ostrzeżenie na iPhone’y, co do których podejrzewa inwigilację przez Pegasusa.

Amnesty International udostępniła narzędzie MVT (Mobile Veryfication Toolkit) na iOS i Androida, które ma umożliwić wykrycie, czy smartfon został zainfekowany. W tym celu trzeba przeskanować kopię zapasową telefonu.

4 miesiące na wdrożenie systemu

Jak podaje niebezpiecznik.pl, użycie Pegasusa nie wymaga współpracy z operatorem telekomunikacyjnym, więc służby nie muszą go informować. Wdrożenie systemu (instalacja, testy, szkolenie) trwa ok. 4 miesiące.

Infekcja może nastąpić poprzez wysłanie wiadomości push (co pozwala wniknąć do telefonu bez działania i wiedzy użytkownika), jak też z linka (np. w SMS-ie). W obu wypadkach wystarczy znać numer telefonu ofiary. Inne opcje to ręczna instalacja (trzeba mieć w ręku telefon ofiary), jak i infekcja wykorzystująca przejęcie ruchu z telefonu ofiary.

Jak ustalił niebezpiecznik.pl (opierając się na danych dotyczących Pegasusa z 2016 r.) szpiegowski malware rozpoznaje sprzęt ofiary po stringu User-Agent. Tym samym jego zmiana paraliżuje atak – twierdzą eksperci.

Software może też samego siebie usunąć z urządzenia – według NSO – choć nowe informacje wskazują, że nie zawsze jest to skuteczne.

Jak ocenia niebezpiecznik.pl, jest mało prawdopodobne, że Pegasusa używają polskie służby wywiadowcze, takie jak Agencja Wywiadu, ABW, Służba Kontrwywiadu Wojskowego, ponieważ w tego rodzaju gotowym oprogramowaniu w operacje według ekspertów ma wgląd producent – firma z innego państwa. Z pewnością jednak także te służby korzystają z jakichś narzędzi inwigilacji.

Artykuł Pegasus: sprawdzą tajemniczą fakturę za 33 mln zł? pochodzi z serwisu CRN.

Oprogramowanie Pegasus nie zostanie już sprzedane Polsce. Nasz kraj został usunięty przez izraelskie władze z listy państw, którym można udostępniać specjalistyczny software do cyberataków przeznaczony dla służb i wojska. Dostawcą Pegasusa jest izraelska firma NSO Group.

Polska wypadła z wykazu wraz z ponad 60 krajami, które uznano za „autorytarne reżimy”. Po weryfikacji ze 102 państw zostało 37, w tym większość krajów UE – według izraelskiego serwisu Calcalist.

Amerykanie mają dość

Decyzja izraelskich władz o znacznym ograniczeniu listy krajów dopuszczonych do posługiwania się m.in. Pegasusem może być reakcją na amerykańskie restrykcje.

Na początku listopada departament handlu USA wciągnął NSO Group na czarną listę, zakazując sprzedawania tej firmie amerykańskiej technologii.

Kilka dni temu Apple złożyło pozew przeciwko NSO Group, oskarżając izraelskiego dostawcę o infekowanie urządzeń klientów oprogramowaniem szpiegującym. Chce sądowego zakazu korzystania przez NSO z technologii Apple’a.

Działania ministerstwa USA i producenta iPhone’ów są związane z informacjami, że Pegasus, stworzony do inwigilacji groźnych przestępców, jest nadużywany przez służby niektórych krajów do śledzenia osób, które z jakichś względów nie podobają się władzy, jak aktywiści, dziennikarze czy opozycjoniści.

Izraelski dostawca nie zgadza się z zarzutami i twierdzi, że Pegasus pomaga rządom w walce z przestępcami i że dzięki niemu „uratowano tysiące istnień ludzkich”. Zamierza kontynuować dotychczasowe działania.

Apple ostrzeże

Apple zapowiedziało, że będzie rozsyłać ostrzeżenia na iPhone’y, co do których podejrzewa, że są szpiegowane. Pojawiły się informacje, że w Polsce jedna z osób ze stowarzyszenia prokuratorów Lex Super Omnia odebrała taką wiadomość.

Według ustaleń Apple’a NSO wykorzystało w ostatnim czasie do infekowania iPhone’ów Pegasusem załataną już lukę o nazwie Forcedentry, co najmniej od lutego do września 2021 r. Jak zapewnia producent, ataki dotyczą niewielkiej liczby użytkowników. Ustalono, że w przypadku Forcedentry NSO stworzyła ponad sto identyfikatorów Apple ID umożliwiających szpiegowanie.

Apple skarży się w pozwie, że izraelski dostawca zmusza go do nieustannego „wyścigu zbrojeń”: gdy opracuje rozwiązania poprawiające bezpieczeństwo swoich urządzeń, NSO aktualizuje swoje oprogramowanie, aby mogło nadal infekować iPhone’y, a walka z tym procederem generuje spore koszty.

Śledzi, podsłuchuje, podgląda

Choć temat Pegasusa w Polsce wraca co jakiś czas, służby dotąd nie potwierdziły, że wykorzystują go do inwigilacji. W 2019 r. pojawiły się medialne doniesienia, że oprogramowanie szpiegujące NSO Group kupiło CBA płacąc za licencje 25 mln zł.

Pegasus może wśliznąć się do systemu smartfona niepostrzeżenie, bez potrzeby interakcji ze strony użytkownika. Pozwala ściągać dane, podsłuchiwać rozmowy i komunikację tekstową, a także przejąć kontrolę nad kamerą smartfona.

Artykuł Pegasus już nie dla Polski pochodzi z serwisu CRN.

Kolejny raz powrócił temat Pegasusa – oprogramowania szpiegowskiego izraelskiej firmy NSO, które jest wykorzystywane przez rządy różnych krajów. Co do zasady jest przeznaczone dla organów ścigania i wojska. Prawdopodobnie korzysta z niego także CBA. Dwa lata temu TVN24 ustaliła, że biuro antykorupcyjne kupiło licencję na cyfrowego szpiega, płacąc 25 mln zł.

Forbidden Stories, francuska organizacja pozarządowa, dotarła do listy 50 tys. numerów na świecie, które mogły stać się celem Pegasusa. Wykaz ten niekoniecznie jest kompletny. Mówi się jak na razie o 1 tys. potwierdzonych przypadków. Z trojana miały korzystać służby 10 państw (na liście nie ma Polski).

Program, który może zagnieździć się w smartfonach z systemem Android oraz iOS, miał być narzędziem ułatwiającym służbom inwigilację groźnych przestępców, jednak – jak ostatnio odkryto – na liście celów znaleźli się także ludzie, którzy nie mieli konfliktów z prawem, jak niezależni działacze czy dziennikarze.

Pegasus może niepostrzeżenie dostać się do systemu (bez interakcji użytkownika), np. dzięki wysłanej wiadomości, jak i z niego zniknąć w sposób trudny do wykrycia. Pozwala na podsłuchiwanie rozmów, przejęcie obrazu z kamery, śledzenie korespondencji na komunikatorach, ściąganie zawartości telefonu (wiadomości, kontakty, zdjęcia),

Eksperci podkreślają przy tym, że izraelski program jest zbyt drogi, aby stosowano go na masową skalę.

Amnesty International udostępniło narzędzie MVT (Mobile Veryfication Toolkit), które jak zapewniono ma umożliwić wykrycie infekcji Pegasusem, skanując kopię zapasową telefonu. Na stronie znajduje się instrukcja obsługi.

Artykuł Pegasus – jak sprawdzić, czy jesteś szpiegowany pochodzi z serwisu CRN.

Czy Pegasus potrafi zagrozić użytkownikom Signala albo UseCrypt Messengera?

Komunikator Signal obok UseCrypt Messengera jest uważany za bezpieczny. Wyposażony jest w szyfrowanie end-to-end, a także szyfrowaną bazę. Ale ma też tę wadę – niewystarczająco zabezpiecza dane na urządzeniu, na którym jest zainstalowany. Właśnie z tego powodu komunikator Signal może być używany przez, nazwijmy to, osoby, które działają na własną rękę, a nie jako przedstawiciele profesjonalnych firm, instytucji czy organizacji.
W przypadku UseCrypt Messengera jest używany drugi, niezależny mechanizm, który sprawia, że trzeba zarówno przełamać zabezpieczenia telefonu (np. urządzeniem UFED), jak i odtworzyć klucze kryptograficzne wykorzystywane do ochrony bazy danych aplikacji.

Zastosowanie niezależnego od systemu operacyjnego mechanizmu ochrony danych przechowywanych na urządzeniu w znaczący sposób utrudnia, a wręcz uniemożliwia dokonanie masowej inwigilacji użytkownika. Twórcy oprogramowania takiego jak Pegasus zostaliby zmuszeni do złamania zabezpieczeń urządzenia, które jest bardzo popularne, oraz do wykonania pełnej analizy wstecznej zachowań i metod działania specjalistycznej aplikacji. Przejmowanie danych z komunikatorów WhatsApp, Viber czy Signal jest łatwe do osiągnięcia ze względu na brak zastosowania jakichkolwiek mechanizmów niezależnych od systemu operacyjnego – twórcy Pegasusa musieli więc znaleźć lukę tylko w systemie iOS i Android.

Natomiast w komunikatorze UseCrypt zastosowano także funkcję Panic-Code, dzięki której można wymusić natychmiastowe usuwanie historii wiadomości i wyrejestrowanie numeru z usługi. Próby siłowego łamania hasła dostępu do aplikacji zakończą się podobnym skutkiem — po 10 nieudanych próbach baza aplikacji zostanie w sposób kryptograficznie bezpieczny usunięta z urządzenia. Każdorazowy dostęp do aplikacji można zabezpieczyć kodem lub ustawić, by każda wysyłana wiadomość była usuwana automatycznie z czatu po zadanym przez strony konwersacji okresie czasu.

Gdyby konkurencyjne komunikatory dysponowały takim arsenałem obronnym, to nie wyszłyby na jaw afery związane ze współpracownikiem Donalda Trumpa, który korzystał z komunikatorów WhatsApp i Signal na BlackBerry. I dokładnie tak dobrano się do iPhone’a prezydenta Ekwadoru w aferze INA Papers.
Warto tu jeszcze wspomnieć o funkcji weryfikowania stanu bezpieczeństwa telefonu. Poza UseCrypt Messengerem prawdopodobnie żaden z dostępnych komunikatorów tego nie potrafi. Wśród najważniejszych należy wymienić:

• Zapewnia sprawdzenie istnienia przesłanek potwierdzających złamanie zabezpieczeń urządzenia, w tym wykonywania operacji w kontekście użytkownika uprzywilejowanego. Dokładnie w taki sposób pracuje oprogramowanie Pegasus.
• Dokonuje weryfikacji wyłączności dostępu do newralgicznych zasobów urządzenia, takich jak np. mikrofon czy kamera. W tym kontekście należy wymienić, że dokonywana weryfikacja zgodnie ze specyfikacją techniczną oprogramowania Pegasus była wystarczająca do uniemożliwienia wykorzystania m.in. funkcji nagrywania dźwięku w systemach Android.
• Wykrywa interakcje aplikacji trzecich pracujących w kontekście zwykłego użytkownika, jednak mających na celu pozyskanie poufnych danych. Przykładem takich aplikacji są np. popularne keyloggery dla systemu Android.
• Określa stan zabezpieczeń systemu operacyjnego i w przypadku istnienia aktualizacji umożliwiających eliminację znanych exploitów przekazuje informacje użytkownikom.

Jak dotąd nie przedstawiono żadnych informacji kompromitujących producenta UseCrypt Messengera ani użytkowników komunikatora. Nie doszło też do ani jednego przypadku ujawnienia tożsamości rozmówców albo kradzieży kontaktów, wiadomości, załączników, kluczy kryptograficznych. Z tego powodu rekomendujemy UseCrypt Messenger jako obecnie najbezpieczniejszy komunikator do rozmów głosowych i tekstowych. Uważamy też, że UseCrypt Messenger nie jest dla każdego. Przede wszystkim dlatego, że nie jest za darmo.
UseCrypt Messenger przeznaczony jest dla konkretnej grupy odbiorców, głównie profesjonalistów reprezentujących firmy i instytucje. O ile trudno jest przekonać znajomych, którzy korzystają z Facebook Messengera, Instagrama, WhatsAppa, aby płacili kilkadziesiąt złotych miesięcznie tylko za jedną aplikację, o tyle UseCrypt Messsenger jest rozwiązaniem dla przedsiębiorstw, które szanują dane operacyjne własne i swoich kontrahentów. Do nocnych rozmówek „trzy po trzy” z kolegami można używać darmowego Signala. UseCrypt Messenger jest bezkonkurencyjny tam, gdzie wymaga się bezkompromisowej poufności i tajności rozmów, zarówno podczas transmisji, jak i na urządzeniu.

Zasadność kupienia licencji UseCrypt Messenger ograniczamy do jednego zdania. Jeżeli użytkownik nie może zapłacić miesięcznego abonamentu (albo nie chce), to musi znaleźć darmową alternatywę i iść na pewne kompromisy. Dotyczą one bezpieczeństwa (Signal) i utraty prywatności (WhatsApp, Facebook Messenger, Viber).

Źródło: AVLab.pl (IX 2019)

Artykuł Pegasus straszy Polaków. Na szczęście jest remedium pochodzi z serwisu CRN.