Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Czym jest oprogramowanie szpiegowskie Pegasus? Analiza zagrożenia oraz metody jego wykrywania

09 sierpnia 2021, 10:42 | Teksty | komentarzy 16

Za sprawą ostatniej afery z Pegasusem wiele mediów niezwiązanych ze środowiskiem IT stworzyło swoistą aurę mitów na temat tego oprogramowania szpiegowskiego oraz samej firmy NSO Group. W związku z tym postanowiliśmy stworzyć artykuł, w którym szczegółowo omówimy genezę i sposób działania Pegasusa. Zaprezentujemy Wam również metodę na sprawdzenie, czy Wasze urządzenie zostało zainfekowane, a także zdradzimy, jak twórcy oprogramowania (np. iOS, czy komunikatory np. Signal) próbują przeciwdziałać tego typu zagrożeniom.

Geneza Pegasusa, czyli kilka słów o NSO Group

NSO Group Technologies to izraelska firma założona w 2010 roku przez Niva Carmiego, Shaleva Hulia oraz Omriego Laviego, która ma swoją siedzibę w mieście Herzliya:

Założyciele firmy to byli pracownicy Jednostki 8200 Izraelskiego Korpusu Wywiadowczego, której głównym zadaniem jest zbieranie danych wywiadowczych. NSO Group zajmuje się wytwarzaniem i dostarczaniem wszelkiej maści rozwiązań technologicznych, mających na celu wspieranie służb w zapewnianiu bezpieczeństwa obywatelom (np. ochrona imprez masowych czy zwalczanie terroryzmu). Flagowym produktem przedsiębiorstwa jest Pegasus, czyli oprogramowanie szpiegujące, pozwalające na inwigilację smartfona ofiary. Trzeba jednak pamiętać o tym, że NSO to nie tylko Pegasus, gdyż firma dostarcza szereg innych rozwiązań, takich jak np. system przeciwdziałania dronom.

Kontrowersja wokół Pegasusa, czyli inwigilacja dziennikarzy, polityków i obrońców praw człowieka

Choć misja w postaci zwalczania terroryzmu jest jak najbardziej słuszna, to główne zadanie NSO Group, jak każdej innej firmy, stanowi zarabianie pieniędzy. Za sprawą raportu transparentności firmy możemy dowiedzieć się, że ma ona 60 klientów w 40 państwach:

Bardziej istotną informacją jest natomiast to, kim są klienci NSO i w jaki sposób wykorzystują produkty tej firmy. Kwestia ta została dość szybko wyjaśniona za sprawą ostatniej afery, podczas której wyciekła lista zawierająca 50 tysięcy numerów telefonów, rzekomo śledzonych przez Pegasusa:

Na liście ofiar znajdziemy między innymi nazwisko prezydenta Francji Emmanuela Macrona:

Kolejnym VIP-em, który został wzmiankowany w spisie osób poddanych inwigilacji, jest prezydent Iraku Barham Salih:

Znaczną większość ofiar stanowią jednak dziennikarze oraz aktywiści, jak np. 20-letnia działaczka z Azerbejdżanu:

Oczywiście to nie pierwszy tego typu wybryk NSO Group, a nieodpowiednie wykorzystanie Pegasusa zostało odnotowane już w 2016 roku.

Trochę teorii na temat działania Pegasusa

Zanim przejdziemy do bardziej technicznej analizy omawianego oprogramowania, musimy zacząć od mniej skomplikowanej, suchej teorii:

Pegasus to oprogramowanie szpiegujące, które pozwala na uzyskanie dostępu do smartfona ofiary (oficjalnie wspierane są takie systemy, jak: iOS, Android, BlackBerry oraz Symbian). Jeśli mowa o możliwościach naszego czarnego konia, to obejmują one eksfiltrację następujących danych:

  • wiadomości SMS,
  • wiadomości ze „zwykłych” komunikatorów, takich jak np. Messenger, oraz tych szyfrowanych (np. WhatsApp czy Signal),
  • zdjęcia i filmy,
  • podsłuchiwanie za pomocą mikrofonu oraz kamery,
  • lokalizacja GPS,
  • lista kontaktów,
  • kalendarz,
  • historia z przeglądarek.

Warto pamiętać o tym, że lista możliwości Pegasusa może być poszerzana – w zależności od potrzeb klientów NSO Group. Infekcja urządzenia ofiary odbywa się zazwyczaj przy zerowej lub minimalnej interakcji ze strony użytkownika. Jest to możliwe za sprawą exploitów, czyli programów wykorzystujących błędy w oprogramowaniu np. systemu operacyjnego czy przeglądarki.

Wektor ataku zależy więc tak naprawdę od podatności, jakie zawiera NSO w swoim arsenale. Wiemy jednak o następujących wektorach ataku:

  • Wykorzystanie podatności w przeglądarce. W tym celu atakujący podstępem skłania ofiarę do kliknięcia w link, który prowadzi do złośliwej strony.
  • Wykorzystanie podatności w komunikatorach, np. iMessage czy WhatsApp. W tym przypadku urządzenie należące do ofiary jest infekowane po odczytaniu złośliwej wiadomości.
  • Ręczna instalacja Pegasusa, gdy atakujący ma fizyczny dostęp do urządzenia użytkownika.
  • Atak Man in the middle za pomocą fałszywego BTS-a. W wyniku tego ataku następuje przekierowanie na złośliwą stronę napastnika, co ostatecznie prowadzi do infekcji urządzenia.

Działanie Pegasusa od strony technicznej

Nowoczesne języki programowania, takie jak C i C++, mają rozbudowane funkcje jawnego zarządzania pamięcią i arytmetyki wskaźników. Są one przeznaczone do tworzenia wydajnych aplikacji i oprogramowania systemowego. Nieprawidłowe korzystanie z tych funkcji może jednak prowadzić do błędów związanych z uszkodzeniem pamięci.

Błędy uszkodzenia pamięci można ogólnie podzielić na cztery kategorie:

  1. Używanie niezainicjowanej pamięci:
 void count( void )
 {
     int k, i;
     
     for (i = 0; i < 10; i++)
     {
         k = k + 1;
     }
     
     printf("%d", k);
 } 
  1. Używanie pamięci nie będącej własnością (np. pusty wskaźnik [null pointer], zwisający wskaźnik [dangling pointer]):
int *test()
{
 int x = 5;
 return &x;
}
 
int main()
{
 int *p = test();
 fflush(stdin);
 
 printf("%d", *p);
 return 0;
}
  1. Używanie pamięci poza przydzielonym dla niej zakresem (np. przepełnienie bufora [buffer overflow]):
#define BUFSIZE 256
int main(int argc, char **argv) {
char buf[BUFSIZE];
strcpy(buf, argv[1]);
}
  1. Wadliwe zarządzanie pamięcią stosu (wycieki pamięci [memory leaks]):
int main(int argc, char** argv)
 {
   int *x = new int[2000];
   {
  int y;
  int *z = new int[2000];
   }
   delete [] x;
   return 0;
 }

Jak widać, lista możliwych błędów, które może popełnić programista C oraz C++, operując na pamięci, jest na tyle długa, że w oprogramowaniu pokroju przeglądarki internetowej, składającej się z setek tysięcy linijek kodu, istnieje spora szansa na znalezienie szeregu podatności, które mogą zostać wykorzystane np. do zdalnego wykonania kodu:

Jedną z najprostszych metod stosowanych przez Pegasusa do infekowania urządzeń ofiar jest wykorzystanie podatności w przeglądarce, a w wyżej omawianym przypadku – w silniku WebKit, który jest używany między innymi w przeglądarce Safari. Aby posłużyć się wyżej wspomnianym błędem, atakujący musi podstępem skłonić ofiarę do odwiedzenia specjalnie przygotowanej strony.

Sam exploit wygląda następująco:

Warto jednak wiedzieć o tym, że atakującemu nie wystarczy tylko jeden exploit do przeglądarki, aby osiągnąć swój cel. Na przykład do infekcji urządzeń z systemem iOS, oprócz błędu w przeglądarce Safari, wykorzystywane były jeszcze dwie inne podatności, tym razem w jądrze samego iOS’a:

Za sprawą wyżej wspomnianych luk atakujący był w stanie ominąć szereg zabezpieczeń systemu iOS, takich jak tzw. sandbox, oraz KASLR, który jest mechanizmem utrudniającym eksploitację jądra systemu iOS. Warto jednak wiedzieć również o tym, że przeglądarka to nie jedyny skuteczny wektor ataku wykorzystywany przez Pegasusa. Według Amnesty International równie skutecznym wektorem ataku jest chociażby podatność w iMessage:

Błędy w aplikacjach takich jak iMessage czy WhatsApp, są zazwyczaj tak naprawde błędami w natywnych bibliotekach, które są wykorzystywane przez wyżej wspomniane aplikacje. Biblioteki, w których można znaleźć najwięcej ciekawych błędów, to tzw. parsery, czyli programy dokonujące analizy składniowej danych wejściowych w celu ustalenia ich struktury gramatycznej w związku z określoną gramatyką formalną. Analizator składniowy umożliwia przetworzenie tekstu czytelnego dla człowieka w strukturę danych przydatną dla oprogramowania komputera. W praktyce oznacza to, że aby osiągnąć efekt zdalnego wykonania kodu za pomocą złośliwej wiadomości, atakujący musi wykorzystać błędy w natywnych bibliotekach aplikacji iMessage czy WhatsApp, które zajmują się przetwarzaniem zdjęć oraz czcionek.

Za sprawą filmu opublikowanego przez badacza bezpieczeństwa Samuela Großa możemy zaobserwować, jak wygląda tego typu atak:

Teraz, gdy wiemy już, na czym polega proces infekowania urządzenia, możemy bliżej przyjrzeć się samemu Pegasusowi:

Pegasus wspiera trzy formy komunikacji między urządzeniem ofiary a serwerem atakującego. Są to:

  1. komunikacja za pomocą wiadomości SMS (warto dodać, że w normalnych warunkach są one niewidoczne dla ofiary),
  2. komunikacja przy użyciu zapytań HTTP,
  3. komunikacja przy wykorzystaniu protokołu MQTT (Message Queue Telemetry Transport).

Jest to niezwykle istotna część funkcjonowania Pegasusa, gdyż odpowiada ona za wydawanie poleceń oraz za wysyłanie na serwer atakujących informacji z urządzenia ofiary. Cała komunikacja jest oczywiście szyfrowana, w tym przypadku za pomocą AES-a:

W sytuacji komunikacji za pomocą SMS-a całość wygląda następująco:

W tym przypadku komenda jest zaszyta w wiadomości imitującej kod weryfikacyjny Google’a. Z kolei lista wyżej wspomnianych komend prezentuje się tak:

Za sprawą komend możemy chociażby usunąć Pegasusa z urządzenia, wykraść wiadomości z popularnych komunikatorów, zrobić zdjęcie czy wysłać dowolny plik z urządzenia na serwer atakującego. Pod względem kodu wyżej wspomniane funkcjonalności nie są niczym specjalnym. Na przykład do wykonywania zrzutów ekranu Pegasus wykorzystywał plik binarny screencap oraz ​take_screen_shot – w przypadku gdy screencap nie był obecny w urządzeniu:

Na szczególną uwagę zasługuje jednak sposób, w jaki przechwytywane są wiadomości z WhatsAppa czy Signala:

Większość aplikacji, w tym te „szyfrowane”, jak np. Signal czy WhatsApp, przechowuje część wiadomości w lokalnej bazie danych w urządzeniu. Oprogramowanie typu Pegasus może więc wykorzystać tę zależność do eksfiltracji wiadomości z konkretnego komunikatora. Oczywiście są aplikacje, które szyfrują bazy danych z wiadomościami, takie jak np. Molly, która jest forkiem dobrze nam znanego Signala. Problem polega na tym, że dla Pegasusa nie stanowi to większej przeszkody – wystarczy wykryć uruchomienie aplikacji i aktywować nagrywanie ekranu…

Warto dodać, że wersja Pegasusa na urządzenia z systemem iOS pod względem funkcjonalności jest bliźniaczo podobna do swojego androidowego odpowiednika. 

CBA versus Sławomir Nowak, czyli Pegasus w Polsce

Wiele mediów wkrótce po zatrzymaniu Sławomira Nowaka opublikowało informacje, jakoby Centralne Biuro Antykorupcyjne wykorzystywało Pegasusa do inwigilacji smartfona polityka:

Wiadomości te pokrywały się również z analizą „zakupów” tej służby specjalnej. Warto dodać, że na liście domen związanych z atakami Pegasusa widnieje polska domena „emonitoring-paczki.pl”:

Na uwagę zasługuje także wypowiedź prokuratora generalnego Zbigniewa Ziobry:

Minister sprawiedliwości powiedział: „[…] w tym treść rozmów z komunikatorów: WhatsAppów, Signali – o których byli Panowie przekonani, że są dla polskich służb nieuchwytne. Mylili się – i to są bardzo ciekawe rozmowy”.

Zanim porzucicie komunikatory WhatsApp i Signal, spieszymy z wyjaśnieniem, że wyżej wspomniane aplikacje są nadal bezpieczne i polskie służby nie mają do nich wglądu. Warto zwrócić uwagę na to, że politycy zazwyczaj nie są wystarczająco zaawansowani technicznie, więc bazują oni na danych dostarczanych przez służby, tzn.: „Są zapisy rozmów z Signala? Są, czyli służbom udało się złamać komunikator”. Najbardziej prawdopodobną metodą na pozyskanie wiadomości Sławomira Nowaka była infekcja Pegasusem.

Jak bronić się przed Pegasusem?

Gdy mówimy o obronie przed tym oprogramowaniem, większość mainstreamowych mediów odpowiada, że zwykły użytkownik nie jest w stanie zrobić absolutnie nic, aby się zabezpieczyć. To po części prawda – największy wpływ na nasze bezpieczeństwo mają przede wszystkim dostawcy oprogramowania, z którego korzystamy. W tym aspekcie dobrym przykładem może być Signal, który swoje krytyczne biblioteki przepisał na język Rust:

Główną zaletą Rusta jest fakt, że eliminuje on większość błędów związanych z niepoprawnym zarządzaniem pamięcią, co znacznie redukuje możliwość znalezienia krytycznych podatności, pozwalających np. na zdalne wykonanie kodu. Jeśli mowa o bezpieczeństwie systemów, to iOS, wbrew pozorom, wprowadził szereg różnych zabezpieczeń, takich jak np. PAC, które znacznie utrudniają atakującym wykorzystanie podatności bezpieczeństwa:

Z perspektywy przeciętnego użytkownika powinniśmy przede wszystkim przestrzegać podstawowych zasad „cyberhigieny”, np. takich jak instalowanie najnowszych aktualizacji czy nieklikanie w podejrzane linki. Istnieją jednak sposoby, które pozwalają nam na sprawdzenie, czy nasze urządzenie zostało zainfekowane Pegasusem. Dla użytkowników niezaawansowanych technicznie najlepszym, a zarazem najprostszym rozwiązaniem będzie skorzystanie z płatnej aplikacji iVerify:

Program ten automatycznie sprawdza nasze urządzenie pod kątem „artefaktów” pozostawionych przez Pegasusa. Co prawda za aplikację przyjdzie nam zapłacić 3 dolary, czyli ok. 12 złotych, jednak tym sposobem omijamy żmudny proces w postaci jailbreakowania naszego telefonu czy tworzenia backupu iPhone’a. 

Z kolei użytkownikom mającym większe doświadczenie polecamy skorzystanie z MVT, czyli frameworka, który upraszcza i automatyzuje proces gromadzenia śladów pozostawionych przez Pegasusa na naszych smartfonach.

W przypadku iOS’a mamy dwa sposoby skorzystania z MVT. Pierwszy działa z kopią zapasową urządzenia, drugi zaś – wymaga od nas pełnego zrzutu systemu plików (który jest dostępny tylko wtedy, gdy nasze urządzenie jest po jailbreaku). Pierwszą metodę dokładnie omówił badacz bezpieczeństwa Arkadiy Tetelman w artykule zatytułowanym Scanning your iPhone for Pegasus, NSO Group’s malware

Na początku należy zbudować obraz dockera MVT:

git clone https://github.com/mvt-project/mvt.git

cd mvt

docker build -t mvt .

Kolejny etap to zrobienie backupu naszego iPhone’a. Kopię zapasową możemy utworzyć bezpośrednio w Finderze na naszym MacBooku (przed MacOS w wersji Big Sur backup możemy wykonać za pośrednictwem iTunes) lub przy użyciu biblioteki o nazwie libimobiledevice. Aby skorzystać z tworzenia backupu przy użyciu Findera, musimy najpierw podłączyć smartfona do laptopa, a następnie kliknąć “Back Up Now”:

Warto dodać, że zaznaczenie opcji “Encrypt local backup” pozwala na pobranie większej ilości danych z naszego urządzenia. Aby MVT mógł przeskanować nasz backup, będziemy musieli go najpierw odszyfrować. 

Gdy już utworzymy kopię, należy wybrać opcję “Manage Backups”, po czym kliknąć prawym przyciskiem myszy na kopię zapasową i wybrać “Show in Finder”. Następnie powinniśmy skopiować widoczny folder z danymi w łatwo dostępne miejsce (np. na pulpit). 

Kopię zapasową możemy również utworzyć za pomocą biblioteki libimobiledevice zamiast Findera. W tym celu należy wpisać następujące polecenia:

  • Instalacja menadżera pakietów Homebrew dla macOS. Jeśli już mamy Homebrew, możemy pominąć ten krok:

/bin/bash -c „$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)”

  • Instalacja libimobiledevice: 

 brew install –HEAD libimobiledevice

  •  Tworzenie katalogu:

 mkdir -p ~/Desktop/mvt

  • Włączenie szyfrowania kopii zapasowej. Po wpisaniu tego polecenia zostaniemy poproszeni o podanie hasła:

 idevicebackup2 -i backup encryption on

  • Tworzenie kopii zapasowej:

 idevicebackup2 backup –full ~/Desktop/mvt/

Teraz możemy przejść do skanowania naszej kopii zapasowej:

docker run \

  •  Zamontowanie katalogu roboczego pulpitu w Dockerze: 

  -v ~/Desktop/mvt:/home/cases/mvt \

  •  Uruchomienie obrazu MVT:

  -it mvt

  • Pobranie tzw. IoC’s (Indicator of Compromise) dostarczonych przez Amnesty International:

wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2 -O pegasus.stix2

  • Utworzenie katalogu, w którym zapisany będzie rezultat skanowania:

mkdir mvt/results

  • Odszyfrowanie naszej kopii zapasowej:

mvt-ios decrypt-backup \

  • Tu musimy podać hasło do naszej kopii:

 -p '<password>’ \

  • Katalog, w którym wyląduje nasz odszyfrowany backup:

 -d mvt/decrypted \

  • Kopia zapasowa do odszyfrowania: 

 mvt/00008101-0018545E26F1003A/

  • Skanowanie odszyfrowanej kopii zapasowej przy użyciu MVT:

mvt-ios check-backup \

  • Ścieżka do IoC’s, które wcześniej pobraliśmy poleceniem wget:

 –iocs pegasus.stix2 \

  • Ścieżka do katalogu, w którym zapisany będzie wynik skanowania:

 –output mvt/results \

  • Ścieżka do naszego backupa:

 mvt/decrypted

Jeśli wszystko przebiegło pomyślnie, to powinniśmy mieć kilka plików .json w folderze mvt / results. Wszelkie nazwy plików kończące się na _detected.json oznaczają, że MVT znalazł ślady Pegasusa w naszym urządzeniu:

Jak widać, proces „ręcznej” analizy jest żmudny i czasochłonny, co stawia w dobrym świetle aplikację iVerify, która po uruchomieniu automatycznie skanuje nasze urządzenie pod kątem śladów pozostawionych przez Pegasusa. Niestety – obecnie aplikacja jest dostępna jedynie na iOS, więc użytkownicy Androida mogą skorzystać jedynie z wyżej wspomnianego frameworka MVT. W tym przypadku należałoby podłączyć naszego smartfona za pomocą USB do komputera, a następnie, korzystając z narzędzia adb, utworzyć kopię zapasową:

adb backup com.android.providers.telephony

Będziemy musieli również skorzystać z Android Backup Extractor, aby przekonwertować kopię zapasową do odpowiedniego formatu:

java -jar ~/Download/abe.jar unpack backup.ab backup.tar

tar xvf backup.tar

Następnie, przy użyciu komendy mvt-android check-backup –output, będziemy w stanie sprawdzić, czy przypadkiem wśród naszych SMS-ów nie znajdziemy odnośników do złośliwych witryn Pegasusa:

Nie tylko Pegasus

Zwracamy także uwagę na to, że Pegasus to nie jedyne rozwiązanie do zdalnej inwigilacji użytkowników smartfonów. Oprogramowanie takie może stworzyć każdy – przy pomocy odpowiedniej liczby programistów, których zadaniem byłoby złożenie „klocków lego” w całość. Wspomniane „klocki lego”, czyli podatności bezpieczeństwa, można zakupić chociażby za sprawą brokerów exploitów.

Jedną z najbardziej znanych firm zajmujących się sprzedażą i kupnem exploitów jest Zerodium. Niżej przedstawiony cennik dotyczy podatności na urządzenia mobilne:

Jak widać, dostępne są również luki w iPhone’ach, uznawanych z reguły przez opinię publiczną za „bezpieczne”:

Oczywiście Zerodium to tylko jedna z wielu firm, które zajmują się sprzedażą i skupem exploitów:

Podsumowanie

Choć wokół Pegasusa narosło wiele różnych mitów, to po głębszej analizie tego zagrożenia magia pryska i jedynym istotnym elementem całej układanki są błędy bezpieczeństwa, które, wykorzystane w niewłaściwy sposób, mogą stanowić potężne narzędzie do inwigilacji, a nawet sabotażu. Problemem nie jest również Pegasus sam w sobie, a firmy, które sprzedają wyżej wspomniane exploity bez rzetelnej weryfikacji swoich klientów. Ochrona przed tego typu zagrożeniem jest tak naprawdę zależna w głównej mierze od dostawców oprogramowania, z którego korzystamy. Mimo wszystko, dzięki narzędziom takim jak MVT czy aplikacji iVerify, jesteśmy w stanie sprawdzić, czy nasze urządzenie zostało zainfekowane. 

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Świetny, wyczerpujący artykuł! Zwróciłbym tylko uwagę na parę drobnostek:

    1. Ogólnie agenty Pegasusa na Androida i iOS to osobne implementacje, w różny sposób uzbrajane i z osobno implementowanymi funkcjonalnościami. Warto np. zaznaczyć, że funkcjonalność nagrywania rozmów jest dostępna tylko w wersji na Androida.

    2. Ten wstęp do C i C++ jest trochę rozwlekły, a jednocześnie pomija, że Safari jest napisane częściowo w Objective C, podobnie jak większość innych aplikacji na iOS. C++ to w zasadzie głównie WebKit, a więc tylko jeden z przynajmniej 6 wektorów ataku Pegasusa (nie wszystkie wymieniliście).

    A tutaj jeszcze mały prezent – porównanie możliwości i obsługiwanych platform Pegasusa z analogicznymi platformami DevilsTongue i nieistniejącym już HackingTeam RCS:

    https://docs.google.com/spreadsheets/d/1Ux0WeL-K4NOZTEQgJXuRzHPcG_ewKmcMNADuFhamytg/edit#gid=1493213831

    Odpowiedz
    • Autor

      Dzięki. Generalnie to z słowem „wyczerpujący” bym uważał, bo temat Pegasusa jest jak rzeka – można pisać i pisać, a i tak znajdą się pewne zagadnienia, które zostały pominięte, i doskonale zdaję sobie z tego sprawę. Co do punktu #1 – tak, ale w zdaniu że „działają podobnie” chodziło bardziej o to, że sam proces szpiegowania użytkownika nie jest jakiś wybitnie skomplikowany i średnio rozgarnięty programista by sobie z tym poradził. (co innego tworzenie exploitów i łączenie wszystkiego w jedną całość)
      Punkt #2 – Zgadzam się częściowo, a przynajmniej z fragmentem o Objective C, bo wymienione w artykule wektory ataku były bardziej uogólnione.
      A co do DevilsTongue – co prawda w TYM artykule został on pominięty (jest jeszcze wiele innych rozwiązań tego typu), ale na Sekuraku znajdziesz również artykuł na temat DevilsTongue (ale trochę mniej rozbudowany). Pozdrawiam!

      Odpowiedz
  2. „Nowoczesne języki programowania, takie jak C i C++” – to nie są nowoczesne języki, potem piszecie o buffer overflow. Niektórzy mogą uznać, że to jest nowość, a jest już parędziesiąt lat.

    Dziękuję za artykuł.

    Odpowiedz
  3. Krzysztof

    Autorze, popraw listingi przykładowych programów. Wkradły Ci się encje < i &

    Odpowiedz
  4. Bogusławpl

    A jakieś narzędzia dla androida ?

    Odpowiedz
  5. JanekDzbanek

    Super artykuł, ale zastanawiam się nad metodami obrony, które zostały wymienione. Ciekaw jestem, jak dokładnie działa ta aplikacja iVerify? Skoro pegasus wykorzystuje m.in exploity na kernele, żeby mieć dostęp do danych innych apek, to „normalna” aplikacja, nie będzie widzieć danych/śladów pozostawionych przez pegasusa, który sobie śmiga na root, prawda?

    Odpowiedz
  6. CzarekDArek

    Ta polecana aplikacja naprawdę jest taka dobra? Warto wydać pieniądzę? Ludzie z niebezpiecznika ostrzegali przed kupowaniem „taki programów”, bo one nic nie powiedzą.

    Odpowiedz
  7. Robert

    Małe sprostowanie. Według francuskiego Le Monde (https://www.lemonde.fr/projet-pegasus/article/2021/07/19/projet-pegasus-comment-la-societe-israelienne-nso-group-a-revolutionne-l-espionnage_6088692_6088648.html), który znjadował się w grupie mediów ujawniających aferę, założyciele NSO nie służyli w jednostce 8200. Przez służbę wojskową przeszli Shalev Hulio w jednostce poszukiwań i ratowania (tłumacząc dosłownie z francuskiego) i Omri Lavie, który służył w artylerii. Dopiero z czasem firma zaczęła zatrudniać hackerów z jednostki 8200.

    Odpowiedz
  8. Od dzieciaka czytam securak i jestem pod wrażeniem czytelnego tekstu. Bardzo milo się to czyta, prosto z podanymi przykładami. Można się czegoś dowiedzieć i trochę podszkolić przy waszych artykułach.
    Pegasus, to obszerny temat i można o nim pisać, pisać i pisać. Jest jak serial moda na sukces.

    Odpowiedz
  9. Jacek

    >Najbardziej prawdopodobną metodą na pozyskanie wiadomości Sławomira Nowaka była infekcja Pegasusem.
    Najbardziej prawdopodobne jest przekazanie wiadomości przez jednego z uczestników konwersacji.

    Odpowiedz
  10. Mikel

    Czy jest appka na Android, odpowiednik iVeryfy?
    Czy warto ją instalować / kupować?
    Powtórzę pytanie CzarekDArek: Ludzie z niebezpiecznika ostrzegali przed kupowaniem „taki programów”, bo one nic nie powiedzą.

    Odpowiedz
  11. Piotrek

    A jakby tak wysylac do siebie esemesa co jakis czas z komenda odinstalowujaca pegassusa? ;)

    Odpowiedz
  12. Zrobicie osobny wpis o iVerify??

    Odpowiedz
  13. Czarek

    Przestępcy w Polsce urzywaja Pegasusa w złych zamiarach poto żeby wyciągnąć dane nasyłać na ofiarę podkładać świnie nie trzeba być nikim ważnym robią to na zwykłych ludziach to nie rząd ani policja tylko przestepcy

    Odpowiedz
  14. anonek

    Warto już wspomnieć o następcy Pegasusa jak Reign od QuaDream

    Odpowiedz

Odpowiedz