Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
„Zainfekowany Pegasusem telefon Michała Kołodziejczaka był… wyprodukowany później niż data infekcji określona w raporcie Citizen Lab”. Czy aby na pewno?
Zobaczcie na to obecnie dość popularne doniesienie:
Mamy tutaj zdjęcie z raportu Citizen Lab, którego fragmenty były publikowane np. w czasie konferencji prasowej Michała Kołodziejczaka. Jest tam numer seryjny „badanego telefonu”.
Jak łatwo można sprawdzić, telefon to iPhone 11 Pro, który został wypuszczony na rynek we wrześniu 2019 roku, podczas gdy data infekcji została określona na okolice maja 2019 roku.
Co więcej, ten konkretny egzemplarz został wyprodukowany najprawdopodobniej w maju 2021 roku:
Skąd więc ta rozbieżność? Chyba pierwsza myśl jest taka, że Citizen Lab pracuje na kopiach zapasowych telefonu (nie na żywych telefonach), więc być może w 2019 roku pan Michał telefon miał inny, a później „przesiadł się” na iPhone 11 Pro.
Tę wersję potwierdza sam poszkodowany:
Przedstawiciel Citizen Lab przesłał nam dodatkowe wyjaśnienia (podkreślenie nasze), które ponownie potwierdzają tę tezę (nowy telefon został odtworzony z kopii zapasowej; infekcja była wykryta w tej kopii):
Here is the basic explanation: forensic traces very commonly carry over from devices that have been infected to new devices when the user does a restore from backup when they get a new phone. This is part of what lets us find cases that go back beyond the manufacture dates of a particular device. The serial number specifies the device that we analyzed
Dodatkowe wnioski dla wszystkich – pamiętajcie o dobrej cenzurze zdjęć umieszczanych w sieci (dotyczy to również materiałów filmowych; swoją drogą będziemy o tym całkiem sporo mówić na szkoleniu omawiającym częste ataki / wpadki w polskim internecie). W tym przypadku nic wielkiego się nie stało, chociaż jak widać na podstawie „zwykłego” numeru seryjnego telefonu, można ustalić o nim całkiem sporo szczegółów.
Przy okazji uwaga do pana Michała (i do wszystkich naszych czytelników) – warto skonfigurować sobie odpowiednio wcześnie usługę find my iPhone (nowsza wersja to po prostu Find My). Poza znalezieniem ew. zagubionego sprzętu, pozwala to również na jego zdalną blokadę (co ciekawe, również gdy ktoś wyłączy telefon). W omawianym przypadku funkcja ta prawdopodobnie jest wyłączona:
~Michał Sajdak
Na 100% sprawdzają telefon pod kątem Pegasusa na kopiach zapasowych, a to dlatego, że bezpośrednio na telefonie uprawnienia mocno by ograniczyły wykonywane testy.
A czy możliwe żeby przy takim backupie przeniósł się pegasus
tak (patrz aktualiacja)
W takim razi jestem ci kaw kiedy Apple załata dziurę.
Na pewno przeniesione zostały ślady po użyciu pegasusa. To w jakim stopniu zainfekowany był nowy telefon trudno określić, bo wiadomo, nowszy model to nowsze zabezpieczenia. Jedno jest pewne Kołodziejczak był inwigilowany.
Czy mógłby ktoś wyjaśnić jak informacja o infekcji (systemu operacyjnego / pamięci) została „przeniesiona” na drugie urządzenie?
backup / odtworzenie z backupu
Ale co konkretnie w backupie? Apple nie przenosi przecież aplikacji spoza swojego sklepu w czasie backupu.
Czy przenoszone zatem są logi systemowe itd?
Telefon z salonu w ramach abonamentu jest podatny i po dyskusji.
Trzeba kupować z półki hipermarketu.
To tylko przypuszczenie. Z doświadczenia wiem, że migracja danych ze starszego na nowszego iPhone nie działa na zasadzie backup/restore.
https://support.apple.com/en-us/HT210216
A jeśli rzeczywiście tak jest, że wraz z transferem danych użytkownika systemu BSD przenoszone są też dane Systemu Operacyjnego to… tylko pogratulować inżynierom Apple.
Sorry, ale ewidentnie coś jest na rzeczy z tym S/N.
No to data infekcji rzekomo tego Iphone’a jest nieprawdziwa.
Kolodziejczak pisze, ze dane byly przeniesione na nowszy Iphone.
Jesli to prawda, to znaczy, ze dane mozna bylo wziac z nie wiadomo ktorego i czyjego urzadzenia i umiescic je na innym urzadzeniu.
Zatem slady moga byc zmanipulowane i te dowody sa nic nie warte.
Dokladnie tak. Skoro backup został przeniesiony to telefon uzywany wcześniej mógł zostać zainfekowany dużo wcześniej i nigdy nikt nie stwiedzi kiedy.
„nigdy nikt nie stwiedzi kiedy” może cie to zszokuje ale wirusy koniec końców to „zwykłe pliki” (binarki) na urządzeniu. A pliki na urządzeniu mają to do siebie że można sprawdzić ich daty utworzenia i ostatniej modyfikacji. Ponadto, chociaż nie zgłębiałem się jak Pegasus konkretnie działa ale zwykle „wirusy” robią dużo różnych rzeczy które można prześledzić kiedy się zaczęły. Suma sumarum, jak najbardziej można stwierdzić kiedy urządznie albo kopia zostały zainfekowane.
Daty utworzenia i modyfikacji można „podrasować”.
Zwłaszcza zainfekowane urządzenie nie zapewnia prawdziwości.
A powiedz mi jak chcesz zrobić backup z dwóch różnych kont iCloud?
żeby zrealizować ten scenariusz musiałby i tak włamać się do telefonu w celu modyfikacji plików, a więc i wiedzieć przed producentem, ze pegasus zostawia określone ślady (a przypomnijmy, w 2019 nawet sam producent miał twierdzić, że jest nie do wykrycia i śladów nie zostawia) i nie zostawić żadnych własnych dodatkowych śladów że doszło do manipulacji.
i nie, nie można backupu tych danych umieścić na dowolnym urządzeniu, można na urządzenie tego samego użytkownika, powiązane z tym samym kontem iCloud, z czego też zostają ślady, które zostałyby wykryte w analizie
Mieliście kiedyś nowszy telefon ?
Jak macie flagowca czy to jabłko czy korenczyka to przy pierwszym uruchomieniu i wpisaniu maila oraz hasła telefon sam zaciąga wszystkie aplikacje, zdjęcia oraz hasła, których używaliście na poprzednim urządzeniu tej samej firmy lub po podłączeniu kablem usb innej marki.
Więc żeby nowy telefon zaciągnął dane innego użytkownika to musiał by facet pracować teraz na nie swoim koncie – pomyślcie
Tak, został wzięty z twojego telefonu stacjonarnego.
Jaki sens ma wgrywanie czyjejś kopii na swój telefon?
Plus fakt iz Citizen Lab nalezy do Sorosa czyli sprawa moc o smierdzi
Już teorie spiskowe. Pomysl jak wyglada proces migracji danych na nowy telefon. Czy sugerujesz, ze dane Kolodziejczaka, czyli jego numery telefonow, zdjecia, dokumenty, apki uzywal ktoś inny albo pochodzily one z innego źródła/urządzenia nieautoryzowanego przez Kołodziejczaka? Chyba nie posądzasz, Kołodziejczaka o brak ochrony i prywatności swoich danych? Ja pójdę dalej w twoich absurdalnych wnioskach, stawiam tezę, że kopie danych zmigrowane na nowy telefon pochodziły z telefonu Romka Giertycha 😆 co ty na to? Czy nadal dowody są zmanipulowane?
Jakiego innego konta ?Konto jest zakładane na osobę. Znaczy że citizen znalazł najpierw zainfekowany telefon Do tego z Polski potem podstawił dane pod telefon Pana Michała? Typowe myślenie dla pewnej grupy społecznej.
No właśnie, to prawidłowy wniosek. Mam wrazenie ze autor qtrykulu stara się zmanipulować faktami dla swojej tezy
Przedstawia się jako zwykły biedny chłop. Chłopi mnie na taki telefon nie stać mimo pracy na etacie państwowym od kilkunati lat.
Bo jesteś cienias, skoro nie masz 200 PLN co miesiąc na telefon
Nie „mimo” a „dzięki”.
Zwykły chłop na manifestacje nie przyjeżdża lexusem. Zazwyczaj. 😁
„Zwykły chłop” nie znaczy że biedny. Na przeciętny traktor z gospodarstwa rolnego też pewnie Cię nie stać.
Nie mierz wszystkich swoją miarą. Jeden wydaje na dom, drugi na podróże, a trzeci na telefony.
Odkładając po kilku latach każdy jest w stanie kupić sobie Iphona. Tylko kwestia priorytetów.
Pomyśl najpierw zanim napiszesz..rolnik nie pracuje na etacie 8 h i do domu. A to że ma taki a nie inny telefon to jego wybór. Ciężko pracuje i może sobie pozwolić..
A temat artykułu dotyczył szpiegowania za pomocą Pegasusa i działania tego rządu w ten sam sposób jak SB za komuny ( kto nie z nami ten jest wróg i paragraf na takiego znajdziemy)
Nie biedny, tylko pracowity.
A Twoja praca na etacie… to ma być potwierdzenie wysokich zarobków czy niskich?
Nikt nic nie poradzi na to, że jesteś nieudacznikiem życiowym.
Na państwowym garnuszku wogóle nie powinni wam płacić [cenzura].
Zmień pracę weź kredyt
Widać palenie ekologicznych opon w miejscach publicznych jest dochodowe.
Czyżby jakiś delikatny ból dupska? Chyba sam sobie coś wmówiłeś. Rolnik to przedsiębiorca, może mieć duży majątek i dużo do stracenia przez nieodpowiedzialną politykę.
Nie sądzę, by kiedykolwiek nazwał się biednym. Chłopem jest nadal, tylko takim, który zna cenę własnej pracy. Jeżeli przez kilkanaście lat nie dotarło do Ciebie, że pora coś zmienić, by otrzymywać odpowiednio wyższe wynagrodzenie za wykonywaną pracę, to nie miej innym za złe, że robią coś czego sam nie potrafisz i dałeś tego piśmienny dowód
To może czas najwyższy zmienić pracę a nie wymawiać komuś, że potrafi zarobić na telefon lepszy od twojego?
Biedny rolnik z drogim srajfonem który jeździ drogim lexusem.
Citizen Lab jest sponsorowany przez Sorosa. Znajdą to co im się zleci niezależnie od tego czy to jest czy nie ma.
Kasa robi Świat.
Szkoda, że również Sekurak wsiada na wagonik walki politycznej. Bo trudno inaczej określić publikowanie artykułu tylko po to, by napisać: „tak, Pegasusa można przenieść na inne urządzenie”.
Pegasus instaluje swoje oprogramowanie szpiegujące wykorzystując luki w systemach operacyjnych – w tym przypadku iOS. Luki te są regularnie łatane. Aby więc mogło dojść do infekcji iPhone’a 11, musiałby on mieć równie poważną podatność co iPhone 8. Wiadomo coś o tym, by tak było? Ewentualnie by transfer danych i zainstalowanych aplikacji mógł być wektorem ataku umożliwiających wyjście z sandboxa? Chętnie poczytałbym o tym więcej a nie argumentację „tak, bo tak”.
Raporty Citizen Lab niestety wyglądają na niewiele warte – nie ma tam żadnych konkretów, organizacja nie pisze na jakiej podstawie stwierdza (udany) atak ani jaką metodologią się posługuje. Stwierdza jedynie autorytatywnie, że atak był. Nie mam zaufania do rządów PiSu ale ta afera wygląda póki co na dętą – rzekomo zaatakowany telefon pana Brejzy, według słów jego żony, latami leżał w szufladzie w jego biurze poselskim i mnóstwo ludzi mogło mieć do niego dostęp.
1) To trochę jak napisała ostatnio Z3S
* piszemy o „aferze” z wyciekiem z wojska – jesteśmy „żołnierzami PiSu” [ https://sekurak.pl/czym-tak-naprawde-byl-gigantyczny-wyciek-z-wojska-analiza/ ]
* piszemy o Pegasusie infekującym konta związane z opozycją – jesteśmy „żołnierzami opozycji”
:)
2) „tak, Pegasusa można przenieść na inne urządzenie”. Czytaj proszę ze zrozumieniem. Pegasusa przenieść nie można (chociaż w teorii, gdyby był on w wersji z persistence może i by to zadziałało), ale można przenieść ślad o infekcji Pegasusem (odpowiednie artefakty na systemie plików i/lub w logach)
Migracji podlegają z reguły bardzo wyselekcjonowane ustawienia i to niektórych aplikacji. Dlatego uważam, że jest mało prawdopodobne aby jakiekolwiek ślady zostały przeniesione. Mówimy tutaj o 2 różnych wersjach systemu operacyjnego działającego na różnym sprzęcie. Czy możecie zweryfikować wersję Citizen Labs zamiast pisać o teoriach i hipotezach? Na tym polega rzetelne dziennikarstwo
Ale czemu mieliby podpowiadać producentowi Pegasusa jakie artefakty w systemie zostawia? To nie jest im na rękę. Szczególnie że producent uważa że takich nie ma. Może to być np. data manipulacji pliku loga późniejsza niż ostatni wpis w logu (jeden z prostszych artefaktów). Takie informacje są równie chronione jak metody ataku przez producenta Pegasusa.
Używane smartfony z Polski kupują Rosjanie, Ukraińcy, Białorusini i Niemcy.
Wielka ściema z tymi podsłuchami.
Może go stać bo nie chleje, jak to w zwyczaju mają gołodupce na etacie państwowym od kilkunastu lat.
Zaraz, zaraz. Ten sam pegasus, który nie jest w stanie przetrwać ponownego uruchomienia telefonu jakimś cudem przeniósł się przez backup?
Czy gdzieś jest procedura weryfikacji infekcji do analizy?
A może stary telefon doniósł o migracji na inne urządzenie i wszystko o nim opowiedział :)
chwila, ale nigdzie w oficjalnym dokumencie nie jest wspominane inne urządzenie. Jedyny SN jaki jest podany dotyczy nowego urządzenia, nawet w tweecie brak takich szczegółów.
Zostawiając na boku teoretyczne możliwości (to jakie dane mamy w ramach backupu, jaka jest ich retencja itd), sam raport jest błędnie zredagowany (wymienione tylko jedno urządzenie, będące docelowo nośnikiem pegasusa).
W takim razie ten raport nadaje się do kibla. Stwierdzono że zbadano telefon o konkretnym nr. seryjnym co jest nie prawdą bo ten telefon nie został zhakowany.
Citizen Lab te odwalił jeden z najlepszych systemów świata? Izraelczycy już dawno wykonczyli by ten lewacki klub idiotów.
Citizen Lab jest sponsorowane przez Sorosa. Jak dla mnie to wystarczy …
Wysyp specjalistów kanapowych…. 3…2…1… Start
Nie znam się na telefonach i nie znam się na programach, ale jeśli program, który kosztował podobno miliony został złamany na odległość z drugiego końca świata przez dziennikarzy w redakcji gazety, to kupujący powinni od Izraela zarządać zwrotu pieniędzy. Podsluch włozony do słuchawki w starym telefonie był trudniejszy do wykrycia.
Sekurak powinien odpowiadać logicznie:
1. Czy można z backup przenieść na nowe urządzenie?
– jeżeli tak, to proszę opisać, czy logi, czy zainfekowane biblioteki, czy cokolwiek
– jakie wpisy, etc.
2. Czy można zatem sprokurowac takie wpisy i umieścić w backupie i wgrać do nowego telefonu?
– jeżeli tak, to jak, napisać że to proste , do którego mogą wgrać itp
3. Ocenić wiarygodność doniesienia:
– czy kopia telefonu była wykonana w warunkach wiarygodnych
– czy można sprokurowac włamania i wówczas dac do zrobienia kopii dla citilab
– czy citilab przedstawia jednoznaczne dowody
– czy są jakiekolwiek sposoby na jednoznacznosc dowodow
Etc. Wiele więcej elementów poruszali wcześniej wpisujący.
Bez takiej analizy sekurak opisuje beletrystyke i powinien się tak nazywać: powiesciopisarzak.pl
Chyba Ci się portal internetowy, z prokuraturą pomylił. Zresztą, dlaczego mieli by Ci się tłumaczyć? Bo jesteś zbyt naiwny by zwątpić w „Dobra zmianę”?
Kto słyszał o panu Kołodziejczyku w maju 2019 roku ?
Wtedy to był pan nikt.
Kto chciałby go inwigilować ?
Ciezko samemu poszukac? Minuta w google….”W lutym 2018 r. zaczął organizować niezadowolonych z niskich cen skupu rolników z woj. łódzkiego. Dość szybko zrobiło się o nim głośno za sprawą organizowanych demonstracji i ciętego języka.”
Czy ktoś potwierdził, że tego Pegasusa u chłopa używały polskie służby, a nie ruskie czy też inne?
Dziwne pan z AGROUNII stwierdzil ze jest normalnym rolnikiem mam pytanie ilu w Polsce rolnikow ma aparat za ponad 4 tysiace?
Zaraz, zaraz
-sprawdzono kopię z iphone8 i na tej podstawie ustalono że iphone11 został zapegazusowany, dość ciekawe idę po chrupki…
Buhaha.Jaka kopia?Czego?Aplikacji ,zdjęć itp.Ale nie systemu operacyjnego!!! 8 a 11 to zupełnie inna bajka