Notkę o "Pegasusie" opublikowałem ponad 2 lata temu:
https://www.salon24.pl/u/barbarus/1195967,pegasus-sieci-komorkowe-i-ss7
Dziś WAADZA się już przyznała do zakupu i wykorzystywania tego oprogramowania umożliwiającego totalną inwigilację użytkowników smartfonów. Ciekawe, jaki będzie następny krok?
Politycy, dziennikarze, blogerzy, portale oraz wszelkiego rodzaju media społecznościowe dorwali się do nowego tematu. Najważniejszy problem to czy Jarosław Kaczyński "zaorał" Magdalenę Srokę czy odwrotnie. Każdy, niezależnie od preferencji politycznych kto wytrzymał przez dłuższy czas tą transmisję "on-line" lub na YouTube musi przyznać, że nasi prominenci podczas "przesłuchania" Jarosława Kaczyńskiego zaserwowali klasyczną dla polskiej polityki pseudoprawną nawalankę pozbawioną poważnych argumentów merytorycznych.
A tymczasem tego samego dnia, od godziny 9:00 odbyło się pierwsze przesłuchanie tej komisji, w którym uczestniczył Pan Prof. dr hab. Jerzy Kosiński, doświadczony specjalista w zakresie cyber bezpieczeństwa. W przeciwieństwie do późniejszego przesłuchania Jarosława Kaczyńskiego zainteresowanie dziennikarzy było znikome. Transmisja z tego przesłuchania jest dostępna na YouTube:
https://www.youtube.com/watch?v=R5ikTwUTKFE
choć niełatwo ją znaleźć wśród mnóstwa filmów z przesłuchania p. Jarosława Kaczyńskiego - bo taka polityczna awantura TO JEST TEMAT, a kto by tam się interesował gadaniem jakiegoś fachowca.
Chciałbym jednak PT Czytelnikom przybliżyć kilka głównych wniosków z tego przesłuchania, które pomimo prób jego zakłócenia przez "zadaniowaną" czteroosobową ekipę PiS, dzięki spokojowi i konkretnym odpowiedziom eksperta charakteryzowało się wysokim poziomem merytorycznym.
Po pierwsze - jak stać się ofiarą PEGASUSA?
Odpowiedź eksperta była bardzo prosta - wystarczy, że operator tego oprogramowania zna numer telefonu (smartfona), który chce zaatakować. Operator może to zrobić w dowolnym momencie - nawet wówczas, gdy smartfon jest wyłączony. Po jego włączeniu do pamięci RAM (a więc pamięci ulotnej) zostanie automatycznie wprowadzony program umożliwiający przejęcie nad nim całkowitej kontroli przez operatora systemu PEGASUS.
Co ważne - po wyłączeniu telefonu program nie będzie już dostępny (pamięć RAM nie przechowuje informacji po wyłączeniu zasilania), lecz ponowne włączenie urządzenia spowoduje ponowne wprowadzenie tego oprogramowania i ponowne przejęcie całkowitej kontroli nad atakowanym urządzeniem.
Jak to jest możliwe? Ekspert wyjaśnił, że wykorzystywane są w tym celu podatności powszechnie stosowanego protokołu telekomunikacyjnego SS7 (Signaling System 7). Podstawowe funkcje tego protokołu to zestawianie, rozłączanie, taryfikacja oraz zarządzanie połączeniami. Funkcje te są realizowane za pomocą przesyłania odpowiednich sygnałów, niezależnie od głównych kanałów komunikacyjnych (np. transmisji głosowych).
O atakach z wykorzystaniem protokołu SS7 można znaleźć więcej informacji w Internecie - np.:
https://www.firstpoint-mg.com/blog/ss7-attack-guide/
Wniosek z tego opracowania nie jest optymistyczny - załączam tłumaczenie (wg. Google):
"Jedynym sposobem, aby całkowicie zabezpieczyć się przed atakami SS7, jest po prostu wyłączenie smartfona. Wiemy, że to raczej nie wchodzi w grę. Jedyne, co możesz zrobić, to „poznać wroga”.Świadomość, że złośliwe działania, takie jak ataki SS7, są powszechne, jest po prostu koniecznością w 2023 roku.
To powiedziawszy, biorąc pod uwagę miliardy użytkowników telefonów komórkowych na całym świecie, ryzyko, że staniesz się celem inwigilacji ze strony cyberprzestępców, jest prawdopodobnie niewielkie. Ale jeśli jesteś prezydentem, królową, a nawet lekarzem i przechowujesz wrażliwe informacje o pacjencie na swoim telefonie komórkowym, twoje szanse są znacznie większe niż przeciętnego Joe. Jeśli nadal korzystasz z 2FA (dwuskładnikowa autoryzacja) w usługach bankowych, możesz być narażony na ryzyko naruszenia bezpieczeństwa Twojego konta."
Po drugie - co potrafi PEGASUS?
Ekspert Prof. Kosiński przywołuje demonstracje tego systemu przeprowadzoną przez jego producenta - izraelską firmę NSO Group, w której uczestniczył. Podczas tego spotkania omówiono dość dokładnie budowę i możliwości tego oprogramowania, a co najważniejsze przyprowadzono szereg doświadczeń prezentujących jego funkcjonalność w praktyce. Opinia eksperta zaprezentowana podczas przesłuchania była absolutnie jednoznaczna - PEGASUS umożliwia ominięcie praktycznie wszystkich zabezpieczeń atakowanego urządzenia i pozwala operatorowi na przejęcie nad nim pełnej kontroli - od pełnego dostępu do plików zawierających istotne informacje (książka kontaktów, historia połączeń, wiadomości SMS, dane komunikatorów...) po pełny dostęp do elementów sprzętowych (mikrofon, kamera, a nawet do zewnętrznych urządzeń podłączonych do smartfona). Użytkownik nie będący specjalistą nie ma praktycznie żadnej możliwości wykrycia istnienia takiego dostępu - np. nie jest w stanie stwierdzić włączenia kamery urządzenia. Ekspert podkreślił również, że wykorzystywania szyfrowanych komunikatorów nie stanowi żadnej poważniejszej przeszkody dla PEGASUSA, ponieważ aby odczytać na ekranie informacje przekazane przez taki komunikator na ekranie smartfona w postaci zrozumiałej dla ludzi trzeba je wcześniej rozszyfrować i przesłać rozszyfrowaną treść na urządzenie wyświetlające (ekran) - a to oznacza, że w pamięci urządzenia znajduje się plik z rozszyfrowaną informacją w postaci jawnej.
Możliwości operatora systemu PEGASUS:
Ekspert nie pozostawił tu złudzeń i nieodmówień - "Operator systemy PEGASUS może tyle samo, co jego lokalny użytkownik - a ze względu na mechanizmy omijające zabezpieczenia sporo więcej". Może realizować różnego typu ataki - z podszywaniem się pod użytkownika smartfona (a nawet starszego typu telefonu komórkowego), włączać lub wyłączać zdalnie kamerę (nie liczcie Państwo, że zapali się wówczas dioda sygnalizacyjna lub błyśnie flash) i oczywiście uzyskiwać pełny dostęp do danych - od aktualnych po historyczne.
O ile świadomość zagrożeń związanych z protokołami internetowymi (np. TCP/IP) jest już dziś dość powszechna, to zagrożenia związane z protokołami telekomunikacyjnymi w codziennej praktyce nie są brane pod uwagę. Ataki z wykorzystaniem protokołu SS7 za pomocą ogólnie dostępnego oprogramowania mogą być dziś realizowane przez "złych chłopców" (lub oczywiście dziewczęta), jednak powszechność smartfonów powoduje, że zaawansowane rozwiązania stały się bardzo atrakcyjne dla służb uprawnionych do działań operacyjnych. Specjalizowane firmy oferujące służbom taki rozwiązania nie tylko wykorzystują znane już podatności, lecz aktywnie poszukują nowych - NSO podobno współpracuje w tym celu z ponad 600 specjalistów. Wykryte w ten sposób podatności zwane "zero-day exploit" nie są publikowane, lecz są wykorzystywane przez firmy zajmujące się bezpieczeństwem systemów w celu zdobycia choćby krótkotrwałej przewagi konkurencyjnej.
Wnioski:
Nie miejmy złudzeń - wyrafinowane formy uzyskiwania zdalnego dostępu od zawsze były atrakcyjne dla wszelkich służb specjalnych. Obecnie dostępne możliwości przekraczają jednak znacznie rzeczywiste ich potrzeby. Służby oczywiście nie mają zamiaru chwalić się swymi możliwościami - zapewne pamiętacie Państwo opowieści polityków o tym, że "pegasus to taki koń ze skrzydłami" lub :stara wyciągnięte ze strychu konsole do gier".
Po raz kolejny rozwiązania techniczne prześcignęły regulacje prawne - przy wykorzystywaniu programu PEGASUS (lub podobnych rozwiązań) może łatwo naruszać prywatność ludzi, powinno być więc ściśle uregulowane. Problem "kto będzie pilnował strażników" jest bowiem stary jak Świat - to już cezar Klaudiusz na żądanie tłumu "wydać donosicieli!" odpowiedział "czy jest ktoś, kto złoży na nich doniesienie?". Kluczem mógłby być np. obowiązek prowadzenia dziennika (logu) operatora i jego kontrola sądowa - ale to wymagałoby zaangażowania wielu specjalistów. Lepiej więc udawać, że "Pegasus to taki koń ze skrzydłami"...
