System Pegasus to zagrożenie dla wszystkich, ale nie przez nadzór

Pegasus to system inwigilacji, wyprodukowany w Izraelu przez firmę NSO Group. TVN alarmuje, że polskie CBA kupiło licencję i zamierza używać go w swoich dochodzeniach. CBA zaprzecza, przedstawiciele rządu nie odnieśli się do tych doniesień.

Pegasus to oprogramowanie do śledzenia, przeznaczony do nadzoru wybranych celów. Został zaprojektowany dla Mosadu, ale służby zwalczające przestępczość zorganizowaną lub terroryzm też znajdą dla niego zastosowanie. Podstawowym elementem systemu jest komponent szpiegujący, którym trzeba zainfekować smartfon osoby będącej w centrum zainteresowania. Trzeba po prostu przeprowadzić cyberatak i zainstalować malware (szkodliwy program).

Pegasus będzie zbierał i wysyłał informacje o lokalizacji, treść wiadomości, obraz z kamerki i nagrania z mikrofonu smartfonu. Malware wykorzystuje luki w zabezpieczeniach systemu, przejmuje kontrolę nad systemem operacyjnym smartfonu i jest praktycznie niewykrywalny. Wszystkie informacje wędrują do operatora systemu.

Mechanizm działania Pegasusa znamy tylko powierzchownie. Z informacji z 2016 roku wynika, że system nadzoru infekuje smartfony, korzystając z luk w systemach operacyjnych i aplikacjach. To jeden z niewielu przypadków, gdy było wiadomo, z jakich luk korzysta Pegasus i szybko zostały zabezpieczone.

Do infekcji Pegasusem mogą być wykorzystane tradycyjne sposoby ataku: e-mail z linkiem do szkodliwej strony, wiadomość w komunikatorze czy SMS. W maju opisywaliśmy lukę w komunikatorze WhatsApp, która była wykorzystywana do rozprowadzania aplikacji szpiegującej. Specjaliści jednak nie są pewni, czy był to Pegasus.

Takich dziur w zabezpieczeniach na pewno jest więcej. Nie sposób zapanować nad bezpieczeństwem wszystkich aplikacji dla systemów mobilnych. Jest ich po prostu za dużo.

Choć Google, Apple, Facebook i inne firmy produkujące oprogramowanie oferują wysokie nagrody za odnalezienie luk bezpieczeństwa, zgłaszanych i łatanych jest tylko część. W aplikacjach mniejszych firm takie programy raczej nie są prowadzone. Liczne dziury odkrywają osoby z cyberprzestępczego półświatka. Tam bardziej opłaca się sprzedawać szkodliwe oprogramowanie, niż przywdziać biały kapelusz (znak rozpoznawczy etycznego hakera) i powiadomić o znalezisku autorów oprogramowania.

Autorzy Pegasusa na pewno białych kapeluszy nie noszą. Nie jest jasne, skąd czerpią informacje o możliwościach ataku. Na pewno część to znane luki, które nie zostały nigdy załatane. Inne mogli odkryć na własną rękę lub kupić na czarnym rynku. To właśnie luki w zabezpieczeniach, które producent Pegasusa celowo utrzymuje w tajemnicy, stanowią największe zagrożenie.

Gdyby NSO Group zgłaszała luki, jej oprogramowanie szpiegowskie byłoby bezużyteczne. W konsekwencji dziury pozostają niezałatane latami. To naraża wszystkich użytkowników smartfonów i aplikacji na ataki. Te same luki wykorzystać może nie tylko Pegasus, ale też inne szkodliwe programy, na przykład trojany bankowe, wykradające dane logowania.

Licencja na oprogramowanie szpiegowskie miałaby kosztować polski Fundusz Sprawiedliwości 33 mln złotych (wg. TVN). Możliwość ujęcia na gorącym uczynku osób stanowiących zagrożenie oczywiście leży w interesie nas wszystkich, ale płacimy za to za wysoką cenę. Nie powinno się świadomie narażać prawie 3 miliardów użytkowników smartfonów na całym świecie. [h2]Pegasus w 45 krajach[/h2]W dokumentach zgromadzonych przez WikiLeaks są setki wzmianek o systemie Pegasus. Ślady jego działania są widoczne w 45 krajach, w tym w Polsce. Zaobserwowano powiadomienia AMBER (o porwaniach dzieci) i wiadomości z ambasady USA z linkami do infekujących stron.

Znane są przypadki wykorzystania Pegasusa do szpiegowania niewygodnych aktywistów i dziennikarzy.

Prawdę mówiąc, niewiele. Są marne szanse, że jesteś potencjalnym celem nadzoru, ale twoje urządzenie wciąż jest zagrożone. Niezałatane luki otwierają drogę nie tylko Pegasusowi.

By uniknąć złapania malware'u na swoim smartfonie musisz postępować ostrożnie. Nie otwieraj niepewnych załączników, nie oglądaj zdjęć i filmów wysłanych przez nieznajome osoby, nie klikaj w linki prowadzące do obcych stron i nie instaluj aplikacji dla zabawy, nawet jeśli są modne. To szczególnie ważne, jeśli korzystasz z bankowości internetowej na smartfonie.

W pewnym stopniu pomoże aplikacja antywirusowa. Obraz z kamer nie będzie przesyłany, jeśli ją zasłonisz. Nie ma niestety dobrego sposobu, by odłączyć mikrofon. To możliwe tylko na smartfonach ze specjalnym przełącznikiem.