Jak sprawdzić czy mój Windows jest zainfekowany? Podstawy analizy powłamaniowej. Nie przegap bezpłatnego szkolenia od sekuraka.

„Zainfekowany Pegasusem telefon Michała Kołodziejczaka był… wyprodukowany później niż data infekcji określona w raporcie Citizen Lab”. Czy aby na pewno?

26 stycznia 2022, 15:43 | Aktualności | komentarze 63

Zobaczcie na to obecnie dość popularne doniesienie:

Mamy tutaj zdjęcie z raportu Citizen Lab, którego fragmenty były publikowane np. w czasie konferencji prasowej Michała Kołodziejczaka. Jest tam numer seryjny „badanego telefonu”.

Jak łatwo można sprawdzić, telefon to iPhone 11 Pro, który został wypuszczony na rynek we wrześniu 2019 roku, podczas gdy data infekcji została określona na okolice maja 2019 roku.

Co więcej, ten konkretny egzemplarz został wyprodukowany najprawdopodobniej w maju 2021 roku:

Skąd więc ta rozbieżność? Chyba pierwsza myśl jest taka, że Citizen Lab pracuje na kopiach zapasowych telefonu (nie na żywych telefonach), więc być może w 2019 roku pan Michał telefon miał inny, a później „przesiadł się” na iPhone 11 Pro.

Tę wersję potwierdza sam poszkodowany:

Przedstawiciel Citizen Lab przesłał nam dodatkowe wyjaśnienia (podkreślenie nasze), które ponownie potwierdzają tę tezę (nowy telefon został odtworzony z kopii zapasowej; infekcja była wykryta w tej kopii):

Here is the basic explanation: forensic traces very commonly carry over from devices that have been infected to new devices when the user does a restore from backup when they get a new phone. This is part of what lets us find cases that go back beyond the manufacture dates of a particular device. The serial number specifies the device that we analyzed

Dodatkowe wnioski dla wszystkich – pamiętajcie o dobrej cenzurze zdjęć umieszczanych w sieci (dotyczy to również materiałów filmowych; swoją drogą będziemy o tym całkiem sporo mówić na szkoleniu omawiającym częste ataki / wpadki w polskim internecie). W tym przypadku nic wielkiego się nie stało, chociaż jak widać na podstawie „zwykłego” numeru seryjnego telefonu, można ustalić o nim całkiem sporo szczegółów.

Przy okazji uwaga do pana Michała (i do wszystkich naszych czytelników) – warto skonfigurować sobie odpowiednio wcześnie usługę find my iPhone (nowsza wersja to po prostu Find My). Poza znalezieniem ew. zagubionego sprzętu, pozwala to również na jego zdalną blokadę (co ciekawe, również gdy ktoś wyłączy telefon). W omawianym przypadku funkcja ta prawdopodobnie jest wyłączona:

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marek

    Na 100% sprawdzają telefon pod kątem Pegasusa na kopiach zapasowych, a to dlatego, że bezpośrednio na telefonie uprawnienia mocno by ograniczyły wykonywane testy.

    Odpowiedz
  2. Rafal

    A czy możliwe żeby przy takim backupie przeniósł się pegasus

    Odpowiedz
    • tak (patrz aktualiacja)

      Odpowiedz
    • True

      W takim razi jestem ci kaw kiedy Apple załata dziurę.

      Odpowiedz
    • Tomasz

      Na pewno przeniesione zostały ślady po użyciu pegasusa. To w jakim stopniu zainfekowany był nowy telefon trudno określić, bo wiadomo, nowszy model to nowsze zabezpieczenia. Jedno jest pewne Kołodziejczak był inwigilowany.

      Odpowiedz
  3. kszh

    Czy mógłby ktoś wyjaśnić jak informacja o infekcji (systemu operacyjnego / pamięci) została „przeniesiona” na drugie urządzenie?

    Odpowiedz
    • backup / odtworzenie z backupu

      Odpowiedz
      • magia

        Ale co konkretnie w backupie? Apple nie przenosi przecież aplikacji spoza swojego sklepu w czasie backupu.

        Czy przenoszone zatem są logi systemowe itd?

        Odpowiedz
        • Waldemar

          Telefon z salonu w ramach abonamentu jest podatny i po dyskusji.
          Trzeba kupować z półki hipermarketu.

          Odpowiedz
      • kszh

        To tylko przypuszczenie. Z doświadczenia wiem, że migracja danych ze starszego na nowszego iPhone nie działa na zasadzie backup/restore.
        https://support.apple.com/en-us/HT210216
        A jeśli rzeczywiście tak jest, że wraz z transferem danych użytkownika systemu BSD przenoszone są też dane Systemu Operacyjnego to… tylko pogratulować inżynierom Apple.
        Sorry, ale ewidentnie coś jest na rzeczy z tym S/N.

        Odpowiedz
  4. I tak sie nie klei

    No to data infekcji rzekomo tego Iphone’a jest nieprawdziwa.

    Kolodziejczak pisze, ze dane byly przeniesione na nowszy Iphone.
    Jesli to prawda, to znaczy, ze dane mozna bylo wziac z nie wiadomo ktorego i czyjego urzadzenia i umiescic je na innym urzadzeniu.

    Zatem slady moga byc zmanipulowane i te dowody sa nic nie warte.

    Odpowiedz
    • Rafal

      Dokladnie tak. Skoro backup został przeniesiony to telefon uzywany wcześniej mógł zostać zainfekowany dużo wcześniej i nigdy nikt nie stwiedzi kiedy.

      Odpowiedz
      • Dawid

        „nigdy nikt nie stwiedzi kiedy” może cie to zszokuje ale wirusy koniec końców to „zwykłe pliki” (binarki) na urządzeniu. A pliki na urządzeniu mają to do siebie że można sprawdzić ich daty utworzenia i ostatniej modyfikacji. Ponadto, chociaż nie zgłębiałem się jak Pegasus konkretnie działa ale zwykle „wirusy” robią dużo różnych rzeczy które można prześledzić kiedy się zaczęły. Suma sumarum, jak najbardziej można stwierdzić kiedy urządznie albo kopia zostały zainfekowane.

        Odpowiedz
        • daty

          Daty utworzenia i modyfikacji można „podrasować”.

          Zwłaszcza zainfekowane urządzenie nie zapewnia prawdziwości.

          Odpowiedz
      • Tom

        A powiedz mi jak chcesz zrobić backup z dwóch różnych kont iCloud?

        Odpowiedz
    • s

      żeby zrealizować ten scenariusz musiałby i tak włamać się do telefonu w celu modyfikacji plików, a więc i wiedzieć przed producentem, ze pegasus zostawia określone ślady (a przypomnijmy, w 2019 nawet sam producent miał twierdzić, że jest nie do wykrycia i śladów nie zostawia) i nie zostawić żadnych własnych dodatkowych śladów że doszło do manipulacji.

      i nie, nie można backupu tych danych umieścić na dowolnym urządzeniu, można na urządzenie tego samego użytkownika, powiązane z tym samym kontem iCloud, z czego też zostają ślady, które zostałyby wykryte w analizie

      Odpowiedz
    • Jarek

      Mieliście kiedyś nowszy telefon ?
      Jak macie flagowca czy to jabłko czy korenczyka to przy pierwszym uruchomieniu i wpisaniu maila oraz hasła telefon sam zaciąga wszystkie aplikacje, zdjęcia oraz hasła, których używaliście na poprzednim urządzeniu tej samej firmy lub po podłączeniu kablem usb innej marki.
      Więc żeby nowy telefon zaciągnął dane innego użytkownika to musiał by facet pracować teraz na nie swoim koncie – pomyślcie

      Odpowiedz
    • Andrzej

      Tak, został wzięty z twojego telefonu stacjonarnego.

      Odpowiedz
    • Kamil

      Jaki sens ma wgrywanie czyjejś kopii na swój telefon?

      Odpowiedz
    • shini

      Plus fakt iz Citizen Lab nalezy do Sorosa czyli sprawa moc o smierdzi

      Odpowiedz
    • 123

      Już teorie spiskowe. Pomysl jak wyglada proces migracji danych na nowy telefon. Czy sugerujesz, ze dane Kolodziejczaka, czyli jego numery telefonow, zdjecia, dokumenty, apki uzywal ktoś inny albo pochodzily one z innego źródła/urządzenia nieautoryzowanego przez Kołodziejczaka? Chyba nie posądzasz, Kołodziejczaka o brak ochrony i prywatności swoich danych? Ja pójdę dalej w twoich absurdalnych wnioskach, stawiam tezę, że kopie danych zmigrowane na nowy telefon pochodziły z telefonu Romka Giertycha 😆 co ty na to? Czy nadal dowody są zmanipulowane?

      Odpowiedz
    • Marek

      Jakiego innego konta ?Konto jest zakładane na osobę. Znaczy że citizen znalazł najpierw zainfekowany telefon Do tego z Polski potem podstawił dane pod telefon Pana Michała? Typowe myślenie dla pewnej grupy społecznej.

      Odpowiedz
    • bbb

      No właśnie, to prawidłowy wniosek. Mam wrazenie ze autor qtrykulu stara się zmanipulować faktami dla swojej tezy

      Odpowiedz
  5. Rob

    Przedstawia się jako zwykły biedny chłop. Chłopi mnie na taki telefon nie stać mimo pracy na etacie państwowym od kilkunati lat.

    Odpowiedz
    • John Sharkrat

      Bo jesteś cienias, skoro nie masz 200 PLN co miesiąc na telefon

      Odpowiedz
    • Hoo

      Nie „mimo” a „dzięki”.

      Odpowiedz
    • Konrad

      Zwykły chłop na manifestacje nie przyjeżdża lexusem. Zazwyczaj. 😁

      Odpowiedz
    • Andrzej

      „Zwykły chłop” nie znaczy że biedny. Na przeciętny traktor z gospodarstwa rolnego też pewnie Cię nie stać.

      Odpowiedz
    • Borek

      Nie mierz wszystkich swoją miarą. Jeden wydaje na dom, drugi na podróże, a trzeci na telefony.
      Odkładając po kilku latach każdy jest w stanie kupić sobie Iphona. Tylko kwestia priorytetów.

      Odpowiedz
    • Myślący normalnie

      Pomyśl najpierw zanim napiszesz..rolnik nie pracuje na etacie 8 h i do domu. A to że ma taki a nie inny telefon to jego wybór. Ciężko pracuje i może sobie pozwolić..
      A temat artykułu dotyczył szpiegowania za pomocą Pegasusa i działania tego rządu w ten sam sposób jak SB za komuny ( kto nie z nami ten jest wróg i paragraf na takiego znajdziemy)

      Odpowiedz
    • asdsad

      Nie biedny, tylko pracowity.
      A Twoja praca na etacie… to ma być potwierdzenie wysokich zarobków czy niskich?

      Odpowiedz
    • PiS dzielec

      Nikt nic nie poradzi na to, że jesteś nieudacznikiem życiowym.

      Odpowiedz
    • Michał

      Na państwowym garnuszku wogóle nie powinni wam płacić [cenzura].

      Odpowiedz
    • Kaszajęczmienna

      Zmień pracę weź kredyt

      Odpowiedz
    • Jan

      Widać palenie ekologicznych opon w miejscach publicznych jest dochodowe.

      Odpowiedz
    • Roman

      Czyżby jakiś delikatny ból dupska? Chyba sam sobie coś wmówiłeś. Rolnik to przedsiębiorca, może mieć duży majątek i dużo do stracenia przez nieodpowiedzialną politykę.

      Odpowiedz
    • Kuba

      Nie sądzę, by kiedykolwiek nazwał się biednym. Chłopem jest nadal, tylko takim, który zna cenę własnej pracy. Jeżeli przez kilkanaście lat nie dotarło do Ciebie, że pora coś zmienić, by otrzymywać odpowiednio wyższe wynagrodzenie za wykonywaną pracę, to nie miej innym za złe, że robią coś czego sam nie potrafisz i dałeś tego piśmienny dowód

      Odpowiedz
    • Bor

      To może czas najwyższy zmienić pracę a nie wymawiać komuś, że potrafi zarobić na telefon lepszy od twojego?

      Odpowiedz
  6. Hhhhh

    Biedny rolnik z drogim srajfonem który jeździ drogim lexusem.

    Odpowiedz
  7. Jawmart Agawu

    Citizen Lab jest sponsorowany przez Sorosa. Znajdą to co im się zleci niezależnie od tego czy to jest czy nie ma.
    Kasa robi Świat.

    Odpowiedz
  8. Hubert

    Szkoda, że również Sekurak wsiada na wagonik walki politycznej. Bo trudno inaczej określić publikowanie artykułu tylko po to, by napisać: „tak, Pegasusa można przenieść na inne urządzenie”.

    Pegasus instaluje swoje oprogramowanie szpiegujące wykorzystując luki w systemach operacyjnych – w tym przypadku iOS. Luki te są regularnie łatane. Aby więc mogło dojść do infekcji iPhone’a 11, musiałby on mieć równie poważną podatność co iPhone 8. Wiadomo coś o tym, by tak było? Ewentualnie by transfer danych i zainstalowanych aplikacji mógł być wektorem ataku umożliwiających wyjście z sandboxa? Chętnie poczytałbym o tym więcej a nie argumentację „tak, bo tak”.

    Raporty Citizen Lab niestety wyglądają na niewiele warte – nie ma tam żadnych konkretów, organizacja nie pisze na jakiej podstawie stwierdza (udany) atak ani jaką metodologią się posługuje. Stwierdza jedynie autorytatywnie, że atak był. Nie mam zaufania do rządów PiSu ale ta afera wygląda póki co na dętą – rzekomo zaatakowany telefon pana Brejzy, według słów jego żony, latami leżał w szufladzie w jego biurze poselskim i mnóstwo ludzi mogło mieć do niego dostęp.

    Odpowiedz
    • 1) To trochę jak napisała ostatnio Z3S

      * piszemy o „aferze” z wyciekiem z wojska – jesteśmy „żołnierzami PiSu” [ https://sekurak.pl/czym-tak-naprawde-byl-gigantyczny-wyciek-z-wojska-analiza/ ]
      * piszemy o Pegasusie infekującym konta związane z opozycją – jesteśmy „żołnierzami opozycji”

      :)

      2) „tak, Pegasusa można przenieść na inne urządzenie”. Czytaj proszę ze zrozumieniem. Pegasusa przenieść nie można (chociaż w teorii, gdyby był on w wersji z persistence może i by to zadziałało), ale można przenieść ślad o infekcji Pegasusem (odpowiednie artefakty na systemie plików i/lub w logach)

      Odpowiedz
      • Lool

        Migracji podlegają z reguły bardzo wyselekcjonowane ustawienia i to niektórych aplikacji. Dlatego uważam, że jest mało prawdopodobne aby jakiekolwiek ślady zostały przeniesione. Mówimy tutaj o 2 różnych wersjach systemu operacyjnego działającego na różnym sprzęcie. Czy możecie zweryfikować wersję Citizen Labs zamiast pisać o teoriach i hipotezach? Na tym polega rzetelne dziennikarstwo

        Odpowiedz
    • Leszek

      Ale czemu mieliby podpowiadać producentowi Pegasusa jakie artefakty w systemie zostawia? To nie jest im na rękę. Szczególnie że producent uważa że takich nie ma. Może to być np. data manipulacji pliku loga późniejsza niż ostatni wpis w logu (jeden z prostszych artefaktów). Takie informacje są równie chronione jak metody ataku przez producenta Pegasusa.

      Odpowiedz
  9. Wielkopolanie

    Używane smartfony z Polski kupują Rosjanie, Ukraińcy, Białorusini i Niemcy.

    Odpowiedz
  10. Dawid

    Wielka ściema z tymi podsłuchami.

    Odpowiedz
  11. Bob

    Może go stać bo nie chleje, jak to w zwyczaju mają gołodupce na etacie państwowym od kilkunastu lat.

    Odpowiedz
  12. magia

    Zaraz, zaraz. Ten sam pegasus, który nie jest w stanie przetrwać ponownego uruchomienia telefonu jakimś cudem przeniósł się przez backup?

    Czy gdzieś jest procedura weryfikacji infekcji do analizy?

    Odpowiedz
    • niebieski

      A może stary telefon doniósł o migracji na inne urządzenie i wszystko o nim opowiedział :)

      Odpowiedz
  13. Johnny

    chwila, ale nigdzie w oficjalnym dokumencie nie jest wspominane inne urządzenie. Jedyny SN jaki jest podany dotyczy nowego urządzenia, nawet w tweecie brak takich szczegółów.

    Zostawiając na boku teoretyczne możliwości (to jakie dane mamy w ramach backupu, jaka jest ich retencja itd), sam raport jest błędnie zredagowany (wymienione tylko jedno urządzenie, będące docelowo nośnikiem pegasusa).

    Odpowiedz
  14. hmm

    W takim razie ten raport nadaje się do kibla. Stwierdzono że zbadano telefon o konkretnym nr. seryjnym co jest nie prawdą bo ten telefon nie został zhakowany.

    Odpowiedz
  15. Jerzy

    Citizen Lab te odwalił jeden z najlepszych systemów świata? Izraelczycy już dawno wykonczyli by ten lewacki klub idiotów.

    Odpowiedz
  16. Jawmart Agawu

    Citizen Lab jest sponsorowane przez Sorosa. Jak dla mnie to wystarczy …

    Odpowiedz
  17. Piotr

    Wysyp specjalistów kanapowych…. 3…2…1… Start

    Odpowiedz
  18. Ryszard

    Nie znam się na telefonach i nie znam się na programach, ale jeśli program, który kosztował podobno miliony został złamany na odległość z drugiego końca świata przez dziennikarzy w redakcji gazety, to kupujący powinni od Izraela zarządać zwrotu pieniędzy. Podsluch włozony do słuchawki w starym telefonie był trudniejszy do wykrycia.

    Odpowiedz
  19. Joannes

    Sekurak powinien odpowiadać logicznie:
    1. Czy można z backup przenieść na nowe urządzenie?
    – jeżeli tak, to proszę opisać, czy logi, czy zainfekowane biblioteki, czy cokolwiek
    – jakie wpisy, etc.
    2. Czy można zatem sprokurowac takie wpisy i umieścić w backupie i wgrać do nowego telefonu?
    – jeżeli tak, to jak, napisać że to proste , do którego mogą wgrać itp
    3. Ocenić wiarygodność doniesienia:
    – czy kopia telefonu była wykonana w warunkach wiarygodnych
    – czy można sprokurowac włamania i wówczas dac do zrobienia kopii dla citilab
    – czy citilab przedstawia jednoznaczne dowody
    – czy są jakiekolwiek sposoby na jednoznacznosc dowodow
    Etc. Wiele więcej elementów poruszali wcześniej wpisujący.

    Bez takiej analizy sekurak opisuje beletrystyke i powinien się tak nazywać: powiesciopisarzak.pl

    Odpowiedz
    • Bully

      Chyba Ci się portal internetowy, z prokuraturą pomylił. Zresztą, dlaczego mieli by Ci się tłumaczyć? Bo jesteś zbyt naiwny by zwątpić w „Dobra zmianę”?

      Odpowiedz
  20. Markus

    Kto słyszał o panu Kołodziejczyku w maju 2019 roku ?
    Wtedy to był pan nikt.
    Kto chciałby go inwigilować ?

    Odpowiedz
    • Jakitaki

      Ciezko samemu poszukac? Minuta w google….”W lutym 2018 r. zaczął organizować niezadowolonych z niskich cen skupu rolników z woj. łódzkiego. Dość szybko zrobiło się o nim głośno za sprawą organizowanych demonstracji i ciętego języka.”

      Odpowiedz
  21. AlloszA

    Czy ktoś potwierdził, że tego Pegasusa u chłopa używały polskie służby, a nie ruskie czy też inne?

    Odpowiedz
  22. Marek

    Dziwne pan z AGROUNII stwierdzil ze jest normalnym rolnikiem mam pytanie ilu w Polsce rolnikow ma aparat za ponad 4 tysiace?

    Odpowiedz
  23. marcin

    Zaraz, zaraz
    -sprawdzono kopię z iphone8 i na tej podstawie ustalono że iphone11 został zapegazusowany, dość ciekawe idę po chrupki…

    Odpowiedz
  24. marek

    Buhaha.Jaka kopia?Czego?Aplikacji ,zdjęć itp.Ale nie systemu operacyjnego!!! 8 a 11 to zupełnie inna bajka

    Odpowiedz

Odpowiedz