barbie barbie
1233
BLOG

Pegasus dla opornych...

barbie barbie Cyberbezpieczeństwo Obserwuj temat Obserwuj notkę 47

   Oprogramowanie umożliwiające zdalny dostęp do komputera czy smartfonu (wszak to też przecież komputer) nie jest niczym nowym ani dziwnym. Wiele takich programów spełniających funkcje Remote Desktop można pobrać z Internetu – spora ich lista z linkami jest dostępna na Wiki:

https://en.wikipedia.org/wiki/Comparison_of_remote_desktop_software

    Najlepsze z nich umożliwiają pełny dostęp do wszystkich zasobów i funkcji – od zdalnego uruchamiania i kontroli aplikacji poprzez transfer dowolnych plików, pełną obsługę audio/video, możliwość nagrywania sesji oraz strumieni danych, szyfrowaną transmisję (najczęściej AES), efektywną pracę w sieciach rozległych (NAT, IPv6) itp. (pełną listę ich właściwości umieszczono w powyższym linku). Najwięcej możliwości oferują oczywiście programy komercyjne, które są dostępne praktycznie na wszystkie najnowsze systemy operacyjne: MS Windows, macOS (Apple), Linux (wszystkie wersje), iOS, Android oraz platformy sprzętowe Raspberry Pi i ARM. Wiele firm oferuje także wersje nieodpłatne (najczęściej do osobistego niekomercyjnego użytku).

    Zdalny dostęp do zasobów zdalnego komputera nie jest więc problemem technicznym. Programy realizujące funkcje „Remote Desktop” są powszechnie używane przez firmy szkoleniowe, wsparcia technicznego, organizacje komercyjne i finansowe posiadające zdalne placówki itp. W swojej ponad 30 letniej praktyce wielokrotnie wykorzystywałem takie programy. Fakt, że programy szpiegujące takie jak Pegasus czy Predator oferują pełny dostęp do zasobów i funkcji zdalnego komputera nie jest niczym zaskakującym. Problemy z takimi programami są zupełnie inne:

    1. Skuteczne ukrycie oprogramowanie szpiegującego przed użytkownikiem podsłuchiwanego urządzenia.

    2. Obejście zabezpieczeń systemu operacyjnego i uzyskanie pełnego dostępu.

    3. Ukrycie kanałów komunikacji z operatorem systemu szpiegowskiego (serwery i konsole systemu).

    4. „Parsing” zbieranych danych oraz ich klasyfikacja.

ad.1 

   Instalacja programu (agenta) szpiegującego powinna być niezauważalna dla użytkownika. Z dostępnej dokumentacji (dość starej) Pegasusa wynika, że jest to w pełni możliwe – patrz:

https://www.documentcloud.org/documents/4599753-NSO-Pegasus.html

Instalacja może być realizowana automatycznie (Over-the-Air), metodą „single click” (ESEM) lub z użyciem fałszywych stacji bazowych (BTS). Operator systemu Pegasus musi jedynie podać numer telefonu komórkowego.

ad.2

   Zrealizowanie tego punktu nie jest proste i wymaga starannej analizy pracy systemu operacyjnego (zwłaszcza jego jądra), wykrycia możliwych do wykorzystania podatności. Programista musi poza tym cały czas pamiętać o tym, że praca programu (agenta) szpiegującego musi być bardzo trudna do wykrycia.

ad.3.

   Pegasus posługuje się własnym rozwiązaniem o nazwie Pegasus Anonymizing Transmission Network (PATN). Jak większość programów realizujących funkcje zdalnego dostępu i zdalnej akwizycji danych transmisje są szyfrowane (AES 128). Pegasus preferuje transmisję danych z lokalnego bufora za pośrednictwem sieci bezprzewodowej WiFi. Jeśli WiFi jest niedostępne transmisja jest realizowana poprzez kanał transmisji danych sieci komórkowej (GSM). 

Pomimo szyfrowania (enkapsulacja???) konieczne jest ustalenie odbiorcy danych. Wykorzystali to specjaliści Amnesty International wskazując na pojawianie się dziwnych adresów URL w szpiegowanych smartfonach:

https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/

Amnesty International przygotowała i udostępniła nieodpłatnie program Mobile Verification Toolkit (MVT):

https://github.com/AmnestyTech/investigations/tree/master/2021-07-18_nso

ad.4

To zagadnienie również nie jest proste – i w dodatku jest kosztowne!

    Dokumentacja zaleca użycie 2 szaf po 42U każda. W pierwszej są umieszczone moduły obsługi sieci (z bramkami SMS), moduł zarządzania i kopii awaryjnych. Druga szafa to macierz wykorzystywana do składowania danych. Jej pojemność jest oczywiście uzależniona od liczy monitorowanych smartfonów (szczegóły są zawarte w dokumentacji udostępnionej przez Claudio Guarnieri z Digital Freedom Alliance). Opracowanie efektywnego systemu przeglądania i wyszukiwania interesujących danych to osobne zagadnienie dla twórców systemów spyware...

barbie
O mnie barbie

Nazywam się Tomasz Barbaszewski. Na Świat przyszedłem 76 lat temu wraz z nadejściem wiosny - była to wtedy niedziela. Potem było 25 lat z fizyką, a później drugie tyle z Xeniksem,  Uniksem i Linuksem. Dziś jestem emerytem oraz bardzo dużym wdowcem! Nigdy nie korzystałem z MS Windows (tylko popróbowałem) - poważnie! Poza tym - czwórka dzieci, piątka wnucząt, dwa koty (schroniskowe dachowce), mnóstwo wspaniałych wspomnień i dużo czasu na czytanie i myślenie.

Nowości od blogera

Komentarze

Inne tematy w dziale Technologie