Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Kilka komentarzy odnośnie ostatniej afery z Pegasusem

22 lipca 2021, 12:04 | W biegu | komentarze 2

Ostatnio znane oprogramowanie do inwigilacji ponownie stało się tematem artykułów. Wbrew pozorom zwykły obywatel przypuszczalnie nie musi obawiać się infekcji Pegasusem. Utrzymanie jego „lokalnej” infrastruktury wymaga sporych nakładów finansowych, więc to oprogramowanie jest w pewnym sensie zarezerwowane dla najistotniejszych celów. Zdecydowanie większe zagrożenie stanowi zwykły malware.

Natomiast dowiadujemy się kilku istotnych faktów. Przede wszystkim – według dziennikarzy do infekcji używano 1407 domen, których pełna lista znajduje się tutaj. Z polskim rozszerzeniem znajdujemy tylko jedną: emonitoring-paczki[.]pl (ukrytą za Cloudflare). Lektura listy wskazuje ponadto, że operatorzy Pegasusa zwykle rejestrują domeny o nazwach zbliżonych do znanych firm czy produktów, np.:

  • android-updates[.]net,
  • blackberry.org[.]mx,
  • facebook-accounts.com[.]mx,
  • instangram.com[.]mx,
  • mozillaname[.]com,

a także te, których skuteczność może być równie wysoka:

  • remove-from-mailing-list[.]com,
  • shipment-status[.]org,
  • laptop-parts[.]org.

Udostępniono również adresy e-mail użyte do infekcji. 15 pochodzi z Gmaila, a dwa pozostałe – z outlook.com. Oprócz tego mamy listę procesów i plików, które powinny zwrócić uwagę.

Trzeba przyznać, że skala używania Pegasusa na świecie robi wrażenie. Skomentował to sam Edward Snowden:

Producent, czyli firma NSO Group, zaznacza, że ich oprogramowanie jest przeznaczone do konkretnych celów; nie sprzedają licencji do szpiegowania dowolnej osoby. Odnieśli się już do zarzutów dziennikarzy w oświadczeniu:

We would like to emphasize that NSO sells it technologies solely to law enforcement and intelligence agencies of vetted governments for the sole purpose of saving lives through preventing crime and terror acts.

Organizacja Amnesty International udostępniła narzędzie do weryfikacji, czy nasze urządzenie jest zainfekowane. Nie można jednak ze stuprocentową pewnością ocenić jego skuteczności. W przypadku Androida potrafi sprawdzić zawartość backupu pod kątem podejrzanych SMS-ów, a także analizować pliki APK. Przeprowadzenie testu w systemie iOS wymaga operacji jailbreak lub wygenerowania backupu iTunes.

Tutaj opisano też trochę szczegółów technicznych. Według autorów obecnie Pegasus infekuje iOS za pomocą exploitów zero-click, natomiast jest wiele innych sposobów, np. takich jak: spear phishing, bezprzewodowy nadajnik w pobliżu celu czy tradycyjna „ręczna” metoda. Pegasus wykorzystuje niepubliczne podatności, co jest powodem jego efektywności.

Amazon zdążył już zareagować i zamknął konta AWS powiązane z rozpowszechnianiem Pegasusa. Niestety operatorzy wykorzystują również usługi w DigitalOcean czy Linode, ponieważ (jak się okazuje) szczególnie cenne dla nich są centra danych położone w Europie, ale prowadzone przez amerykańskie firmy. DigitalOcean ma infrastrukturę tylko we Frankfurcie, podobnie Linode, które działa ponadto w Londynie.

Na liście politycznych celów znaleźli się m.in.: prezydenci Francji, Iraku i RPA, premierzy Pakistanu, Egiptu i Maroka, a także król tego kraju. Zainfekowane były również telefony indyjskich aktywistów skazanych za terroryzm. Pokazuje to pewien trend: władza zaczyna traktować osoby mające inne opinie jako wrogów, przeciwko którym trzeba znaleźć tzw. kompromat. Wiadomo, że największe prawdopodobieństwo znalezienia takich informacji dotyczy smartfonów, bo są one używane najczęściej. Pegasus, co prawda, wykorzystuje nieujawnione podatności, natomiast każda aktualizacja czy hardening w określony sposób utrudniają eksploitację innych.

Pojawiły się już pierwsze zaprzeczenia, np. ze strony ministra spraw wewnętrznych Węgier, gdzie wykorzystanie Pegasusa do inwigilacji było skrajne.

Nie istnieje określona metoda zapobiegania infekcji Pegasusem i, jak wspomniałem, generalnie nie musimy się jej obawiać. W przypadku osób narażonych na ryzyko zalecałbym przede wszystkim „oddzielenie” życia osobistego od zawodowego. Czyli np.:

  • Używamy dwóch smartfonów: jeden jest przeznaczony do zastosowań prywatnych, drugi – do zadań związanych z pracą.
  • Pierwszy może łączyć się z domową siecią, drugi – zdecydowanie nie.
  • Warto rozważyć używanie alternatywnych systemów operacyjnych, przynajmniej w drugim telefonie. Może się okazać, że taki system nie jest zbyt dostosowany do codziennego użycia, ale na jednym urządzeniu nie powinien być to problem.
  • Wszelkie dane przetwarzane na drugim urządzeniu powinny być ograniczone tylko do konkretnych zastosowań.
  • Regularnie aktualizujemy oprogramowanie i przeprowadzamy hardening. Polecam lekturę CIS Benchmarks.
  • Pewne sprawy warto po prostu załatwiać osobiście, pozostawiając telefon (wyłączony) w zupełnie innym miejscu.

–Michał Giza

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Ja bym dodał jeszcze jedną radę. Jeśli ten osobny telefon do życia zawodowego (czy dowolnego innego, np. komunikacji z kochanką) ma być tylko do dzwonienia, sms-owania i nawet robienia czasem prostych zdjęć z bliska, gdzie jakość aparatu nie jest istotna, to niech to będzie dumbfon – czyli telefon z normalnymi klawiszami, taki jak dla seniorów. Szansa zainfekowania czymkolwiek takiego telefonu jest dużo mniejsza niż smartfona.

    Odpowiedz
  2. andrzej

    DigitalOcean ma jeszcze datacenter w Londynie i Amsterdamie.

    Odpowiedz

Odpowiedz