Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Czym jest system Pegasus i czy Polska go posiada?

01 września 2019, 19:20 | Aktualności | komentarzy 31

Takie pytanie zadaje nam wielu czytelników. Zacznijmy od tego czym jest Pegasus – to oprogramowanie szpiegowskie rozwijane przez izraelską firmę NSO group, potrafiące infekować zarówno iPhone-y jak i Androidy (wersja na ten system znana jest też jako Chrysaor). Jak piszą twórcy systemu:

(…) provides authorized governments with technology that helps them combat terror and crime

Grafika – za NSO Group

Oprogramowanie zapewnia operatorom dostęp do takich danych jak: geolokalizacja, nagrywanie dźwięku, dostęp do wiadomości wysyłanych przez ofiary, logowanie naciśnięć klawiszy, zrzuty ekranowe, dostęp do komunikacji wysyłanej przez WhatsAppa i w zasadzie każdą inną aplikację. W skrócie – pełen dostęp do telefonu. Można tam zakodować absolutnie wszystko czego sobie życzy klient.

Pierwsze bojowe wykorzystanie oprogramowania wykryto w 2016 roku, kiedy to jedna z niedoszłych ofiar otrzymała podejrzanego linka na swojego iPhone-a. Link z kolei prowadził do zasobu czy strony umożliwiającej infekcję telefonu. Pod koniec raportowano operowanie Pegasusa aż w 45 krajach, w tym w Polsce:

The 45 countries found harboring the spyware are: Algeria, Bahrain, Bangladesh, Brazil, Canada, Cote d’Ivoire, Egypt, France, Greece, India, Iraq, Israel, Jordan, Kazakhstan, Kenya, Kuwait, Kyrgyzstan, Latvia, Lebanon, Libya, Mexico, Morocco, the Netherlands, Oman, Pakistan, Palestine, Poland, Qatar, Rwanda, Saudi Arabia, Singapore, South Africa, Switzerland, Tajikistan, Thailand, Togo, Tunisia, Turkey, the UAE, Uganda, the United Kingdom, the United States, Uzbekistan, Yemen and Zambia.

Jak wygląda ogólne działanie tego typu oprogramowania? Najpierw infekcja – np. poprzez:

Co więcej często te operacje mogą być niewidoczne dla użytkownika (np. sam komunikat wysłany WhatsApp-em może być kasowany, nie widać też czegoś „dziwnego” po odwiedzeniu całkiem normalnej strony).

Aby to wszystko zadziałało wystarczy uzbroić nieco podatności, których zarówno w iPhone jak i Androidzie nie brakuje (często są to całe grupy podatności – np. luka w WhatsApp oraz później eskalacja uprawnień do root; w przypadku tej kampanii były to całe łańcuchy podatności). Żeby nie szukać daleko – Apple co dopiero załatało ponownie wprowadzony błąd, który w najnowszym systemie iOS (12.4) umożliwiał zdobycie roota. Są też firmy, które skupują podatności 0-day. Dwa miliony USD za zdalny, pełen dostęp na iPhone bez wymagania klikania przez użytkownika – to cena dość atrakcyjna (w zestawieniu z kosztem około 30 milionów PLN, który sugeruje TVN). Na marginesie warto przytoczyć informację o (nielegalnej) ofercie sprzedaży źródeł Pegasusa za około 50 milionów USD.

Pamiętajmy też, że tego typu oprogramowania nie używa się na masową skalę – przy każdej „akcji” istnieje możliwość: a) wykrycia takiego działania – choć Pegasus stara się mocno ukrywać swoją obecność b) utraty podatności wykorzystywanej do infekcji. Jednocześnie oprogramowanie jest aktualizowane (jeśli zatem prawdą jest to co donosi TVN, należy spodziewać się kolejnych faktur za „support”). W końcu wychodzą nowe Androidy / iOSy, czy właśnie łatane są krytyczne podatności stanowiące wcześniej furtkę wejściową.

Czy Polska posiada tego typu oprogramowanie? Trudno powiedzieć, choć efekt jego działania do ceny jest naprawdę porażający. Gdybyśmy mieli budżet na takie oprogramowanie – na pewno byśmy je kupili.

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. chill

    Jak muszą exploitować to znaczy, że nia mają backdoorów.

    Odpowiedz
    • ZnawcaTematu

      Przecież backdoor nie musi być na oścież otwartymi drzwiami, w które zapuka się odpowiednią kombinacją puknięć i system nas zaprosi do środka.

      Backdoor może być podatnością na atak jakiejś funkcji specjalnie zaimplementowanej w ten sposób aby dany atak umożliwić.

      Exploit != brak backdoora

      Odpowiedz
  2. Mirek

    Pis nie cofnie się przed niczym. żadne pieniądze nie są duże by niszczyć przeciwników a tępi wyborcy pis jak zwykle mają radość i dziką satysfakcję mszcząc się na kimkolwiek, kto inaczej myśli, jest dobrym i uczciwym człowiekiem. Katole mieli 2000 lat na doskonalenie technik terroru psychicznego i fizycznego nad całymi narodami. I wszystko w imię ich wrednego, zawistnego, mściwego i pazernego bożka.

    Odpowiedz
    • Peterstan

      Kochany Mirku ☺ Nie mieszaj religii i wiary w Boga z polityką i politykami. Bóg jest jeden stwórca wszystkiego 😉 także Ciebie i tych których nielubisz. Przede wszystkim Bóg nas Kocha – Ciebie też Kocha! W Boga wierzy ponad ponad połowa ludzi na świecie. Jak przejrzysz internet to znajdziesz, że bożek występuje w religiach politeistycznych. Katolicy i chrześcijanie ogólnie to tacy sami grzesznicy jak niewierzący i tylko tyle się różnią, że wierzą w Boga oraz starają się mniej grzeszyć – jak widać dość często się nie udaje. Może znasz takie powiedzenie: niech pietwszy rzuci kamień ten co jest bez winy. Jak Cię interesuje jak ciężko jest być chrześcijaninem to poszukaj na opusdei artykuł pt. „Pokora źródłem radości”.

      Odpowiedz
      • morek

        Niestety stary, niezłe nawracanie tu odstawiasz ale boga nie ma, istnieje tylko twoje o nim wyobrażenie. Jeżeli by zaś istniał jak twierdzisz byłaby to bardzo zła istota.

        Odpowiedz
        • Uret

          Boga nie ma bo Ty tak twierdzisz? ciekawostka!

          Odpowiedz
    • Grzegorz

      Na pewno jeśli PO wygra następne wybory, to ujawni czy system Pegasus był użytkowany i odejdzie od jego stosowania, jeśli odpowiedź będzie twierdząca. PS. To prawda.

      Odpowiedz
      • Mati

        Ty chyba sam nie wierzysz w to co mowisz

        Odpowiedz
  3. Wujek Pawel

    Nie mam whatsappa, nie klikam w podejrzane linki, odbior i wysylanie MMS mam zablokowane na poziomie operatora (Vodafone), a telefon ma na biezaco akutalizowanego Androida. Jak zyc?

    Odpowiedz
      • Pawcio

        Stare Nokie itd już dawno można było hakować aby mieć dostęp do lokalizacji (nie tak dokładnej jak na smartfonach ale jednak) do wiadomości połączeń itd fakt noe ma kamery i ta lokalizacja to chyba o ile się nie mylę do około 1 km jest noe tak jak w smartfonach do 1 metra ni ale jednak i tak będą wiedzieć gdzie mniej więcej jesteś

        Odpowiedz
        • ElChupacabras

          Dopóki w telefonie siedzi karta SIM, można zrobić wszystko bez Pegasusa :D Wystarczą odpowiednie uprawnienia operatora :D Po co wprowadzono rejestrację pre-paidów? Ano tylko po to, że operatorzy byli zasypywani wnioskami o takie dane :D Wiem, co mówię… I siedzący w temacie sie z tym zgodzą ;)

          Odpowiedz
      • hmm

        …o to dobre

        Odpowiedz
  4. Tomasz21

    Temat ciekawy i bardzo ważny. Sama wiedza na ten temat, może być pomocna ludziom trzeźwo myślącym. Pytanie retoryczne, czy skorzystają z tej wiedzy? Śmiem wątpić, społeczeństwo ma tak zryte łby, ( mam na myśli ich głowy ). Że nie skorzystają z tej informacji. Pozdrawiam.

    Odpowiedz
    • Loku

      Nie interesuje mnie dział informacyjny

      Odpowiedz
  5. Paweł

    Jeśli faktycznie przejęcie kontroli nad telefonem jest możliwe, tylko przez kliknięcie w linka, to nic specjalnego. Media trochę pompują tą aferę.

    Odpowiedz
    • Wojtek

      Niestety, klikanie w cokolwiek nie jest niezbędne.
      Według NSO-Pegasus Marketing Template instalacja odbywa się m. in. poprzez (tłumaczenie translatorem):
      „Over-The-Air (OTA): wiadomość push jest wysyłana zdalnie i potajemnie na telefon komórkowy
      urządzenie. Ten komunikat powoduje, że urządzenie pobiera i instaluje agenta na
      urządzenie. Podczas całego procesu instalacji brak współpracy lub zaangażowania celu
      jest wymagane (np. kliknięcie linku, otwarcie wiadomości) i na ekranie nie pojawia się żadne wskazanie
      urządzenie. Instalacja jest całkowicie cicha i niewidoczna i nie można jej zapobiec
      cel. Jest to wyjątkowość NSO, która znacznie różnicuje rozwiązanie Pegasus
      z dowolnego innego rozwiązania dostępnego na rynku.

      Odpowiedz
    • Michal

      Przeczytaj cały artykuł i powiązane. Nie tylko przez kliknięcie w linka. Infekcja może nastąpić np. wysłanie wiadomości do ciebie.

      Odpowiedz
    • Piotr
      Odpowiedz
  6. Roman

    Nie mam żadnych tajemnic i mam gdzieś czy mnie ktoś obserwuje, bo nic mu z tego nie przyjdzie, ale złodziei i krętaczy wyłapią to bardzo dobrze

    Odpowiedz
    • KasiaX

      Snowden.
      Polecam film. Może Cię zainteresuje

      Odpowiedz
  7. Nism0

    A ja pozwole sobie spojrzec na to z innej strony.
    Absurdem jest dla mnie podejscie niektorych (zwlaszcza komentujacych na stronie tvn), ze teraz obywatele beda inwigilowani bezgranicznie, zero prywatnosci, komuna itp…
    Ale czy na prawde uwaza sie, ze sluzby wydaja niebotyczne kwoty zeby inwigilowac zwyklego „Kowalskiego”? Po co? Do profilowania reklam? Nie popadajmy w paranoje. Nie trzeba miec Pegasusa zeby moc inwigilowac kazdego w tym kraju.
    Polska ma bardzo slaby wywiad (o ile ma w ogole obecny w jakichs innych krajach), a Pegasus, moze w kwestii bezpieczenstwa wewnetrznego kraju dac niemala przewage na tle innych krajow.
    Nota bene – zastanawiam sie nad tajemniczoscia NSO. Na swiecie sa mega specjalisci od bezpieczenstwa, ale jednak okazuje sie, ze Mosad ma wiekszych specjalistow od (nie)bezpieczenstwa?

    Odpowiedz
    • zero one

      Bez żartów @Nismo. Nie mam wywiadu i kontrwywiadu… więc komu i w jakim celu ma służyć pegazik? Mam co najmniej dwa pomysły i żaden z nich niestety nie łączy się z interesem Polski/Polaków.

      Poza tym. Jeśli pegazik „niepotrzebny” to po kiego marnować szmal podatników? Żeby izraelska firma mogła zarobić? Mało już tłuką szmalu w Polsce? (Choćby dominacja na rynku developerskim)

      Durnie z kolejnych rządów kupują dosłownie wszystko. Nie wiem czy to łapówy czy durnie jedynie próbują utrzymać się w korycich siodełkach. Łykają jednak jak leci. Szkoda tylko że wydają Twoje/nasze pieniądze. Za swoje to by się pięć razy jeden z drugim zastanowił i zapewne zakupu by nie dokonał.

      Odpowiedz
    • Blob

      Przecież to kampania straszenia pisem. Nie miej złudzeń że to przypadkowe stwierdzenie.

      Odpowiedz
  8. CBA się wypiera aby masowo szpiegowali polskich obywateli…

    Odpowiedz
  9. polin

    Jak narazie to wiadomo tyle, że jakieś służby używają pegasusa w Polsce. A czy są to polskojęzyczne służby to ja nie wiem i wątpię, że tak jest. Prawdziwe służby (stara wojskówka) w Polsce mówi płynnie po rosyjsku i ukraińsku. Dobrze dogaduje się z Jankesami i Izraelitami.
    Wszyscy z nich tworzą tzw międzynarodówkę, którzy państwa traktują jak dojne krowy do zarżnięcia. Jedyny wywiad jaki Polska posiada to biały wywiad – nie zaprzedani dziennikarze, blogerzy i jakieś ludziki konspirujące po piwnicach.

    Odpowiedz
  10. mr
    Odpowiedz
  11. zero one

    „…authorized governments…”
    Śmiać się czy płakać?

    To tylko kolejny krok. Dziś już chyba nikt o zdrowych zmysłach nie ma wątpliwości jakimi patriotami czy nawet porządnymi ludźmi są panowie i panie z PiS.

    Przeszkadzało im GMO ale tylko w wykonaniu PO. Przypomnijmy ustawę o nasiennictwie. Większość społeczeństwa szczególnie ta świadoma GMO nie życzy sobie. Miał być zakaz siania modyfikowanych genetycznie organizmów a co zrobiono?

    Kolejne, ustawa 1066. „bratnia pomoc”. W wykopaniu PO była zła ale jak już tyczy się nowego rządu to jest git.

    Widać że szykują sobie czy też swoim mocodawcom ochronę.

    Teraz pegazik. Oczywiście do walki z terrorem.

    Teraz jeszcze będą F-35 czy złomy poprzednie (nieloty) nie wspominając o Leopardach po których gdyby Rosja faktycznie zaatakowała przejedzie się w tę i z powrotem.

    Wiecie, z wiekiem coś do mnie dotarło. Jeśli naród jest durny to chyba zasługuje na takich „rządzących”. Osobiście zastanawiam się do jakiego kraju się udać. Nigdy o tym nie myślałem zawsze żyłem w Polsce. To moja Ojczyzna. Niestety już patrzeć nie mogę co oni z Nią wyprawiają a na poprawę nie widzę szans. Szczególnie z milionami głosujących matołów którym nie przeszkadza iż są traktowani niczym bydlęta. :-(

    Odpowiedz
  12. r

    Nie jest możliwe napisane oprogramowania, które wejdzie na dowolny telefon. Przez sam fakt, że taki soft też ma błędy. Można napisać coś co zadziała dla jakiejś tam grupy urządzeń, raczej niewielkiej.

    Odpowiedz
  13. Cinek

    Można jakoś sprawdzić czy się ma tel zainfekowany??

    Odpowiedz
  14. Barnaba

    PEGASUS to drogi system za ktory zaplacilo polskie spoleczenstwo i jak na razie, nikt nie chce na ten temat sie wypowiadac, chyba, ze sam Kaminski dostarczy garsci informacji na ten temat. Jezeli polskie spoleczenstwo poniosla tak duze wydatki przy zakupie tego systemu (Izrael) musi byc informowane o skutak instalacji w Polsce tego systemu i nie mozna zawsze tlumaczyc sie, ze to tajemnica bo szpiedzy dzialaja wokol nas (niemcy, czesi i slowacy)
    mysle, ze nadejda jeszcze czasy, kiedy ktos odpowiedzialny za polityke bezpieczenstwa w Polsce, zaplaci za to „glowa” i politycznie bedzie skonczony

    Odpowiedz

Odpowiedz