Pegasus podsłucha cię nie tylko przez smartfon. Również przez starą nokię

Jakie jest prawdopodobieństwo, że nasza rozmowa jest podsłuchiwana?
Niezerowe. Rozmawiamy w publicznym miejscu, jesteśmy dziennikarzami, spotkaliśmy się aby wymienić informacje o narzędziu wykorzystywanym przez służby. Myślę, że ktoś mógłby chcieć posłuchać naszej rozmowy zanim ją ujrzy w druku. Ale szczerze, to wątpię, żeby naszym niedofinansowanym służbom z ciągłymi brakami kadrowymi chciało się na nas, takie płotki, tracić czas. Funkcjonariusze mają więcej poważniejszej pracy.
To nie oznacza, że nasza rozmowa nie jest nagrywana. Jest! Znajdujemy się w przestrzeni publicznej i ciągle podsłuchują nas zarówno przechodnie jak i kamery monitoringu wizyjnego. Te zamontowane w tym lokalu mają możliwość nagrywania nie tylko obrazu ale i dźwięku. Jednak podobnie jak w przypadku służb - nie sądzę, że właściciel lokalu będzie chciał sobie do kolacji przewinąć i odtworzyć nagranie naszego spotkania...
Smutna prawda jest jednak taka, że w dzisiejszym świecie, to co robimy i mówimy jest zapisywane prawie na każdym kroku, niekoniecznie przez służby.

Pegasus jest dziś na ustach wszystkich. Ale wcześniej służby zapewne również nie były bezradne. Przy użyciu jakich narzędzi inwigilowano nasze komunikatory?

Narzędzia do inwigilacji komputerów i smartfonów są zawsze takie same: albo zajrzy się komuś przez ramie, albo podrzuci mu się złośliwe oprogramowanie, czasem zwane "rządowym trojanem". Pod kątem technicznym taki trojan niewiele różni się od tego, z którego korzystają złodzieje okradający nas z danych czy pieniędzy w internecie. Ale - przynajmniej w teorii jest lepiej kontrolowany i wykorzystywany tylko w uzasadnionych przypadkach. Przeciw przestępcom.

Pegasus jest przełomem?

W żadnym wypadku. Oprócz firmy NSO Group także inne firmy produkują podobne rozwiązania. Przed Pegasusem jednym z bardziej znanych narzędzi tego typu był RCS, produkowany przez włoską firmę Hacking Team. Tę firmę zhackowano, a w internecie znalazły się treści e-maili i faktur. Między innymi ta wystawiona już w 2012 roku CBA na 178 000 EUR.

Czym różni się Pegasus od zwykłych programów szpiegujących, których mnóstwo przykleja się do naszych komputerów i telefonów podczas surfowania?

Przede wszystkim tym, że jego użycie w pewnych sytuacjach jest legalne i nastawione przede wszystkim na pozyskiwanie informacji, a nie -- jak to obecnie mają w zwyczaju przestępcy -- szyfrowanie plików i domaganie się okupu.
Pegasus jest też cichszy i wykorzystuje nieznane szerzej błędy w oprogramowaniu z którego korzystamy. Może nasz zainstalować bez naszej wiedzy i bez żadnej akcji z naszej strony -- w nic nie musimy klikać. A popularne złośliwe oprogramowanie na jakie można natknąć się w internecie wymaga jednak, abyśmy to my je zainstalowali (skuszeni w jakiś sposób przez przestępce, np. tym, że dzięki temu programowi uzyskamy dostęp do transmisji mistrzostw świata w piłce nożnej za darmo).

Dlaczego akurat na to narzędzie zdecydowały się służby?

To pytanie do służb. Ale wielkiego wyboru nie ma. Można oczywiście samodzielnie stworzyć sobie takie rozwiązanie, ale to wymaga czasu i kompetencji. Paradoksalnie, wydanie 30 milionów złotych może być tańszym i szybszym sposobem na pozyskanie takich możliwości.

Może trzeba było po prostu kupić te informacje od Googla czy Facebooka?

Wbrew powszechnemu przekonaniu, ani Google ani Facebook nie jest w stanie podsłuchiwać naszych rozmów telefonicznych, a jeśli odpowiednio skonfigurujemy naszego smartfona i aplikacje, to nie te firmy nie będą wiedziały gdzie jesteśmy i z kim się spotykamy. Jasne - mogą nas świetnie sprofilować po tym w co klikamy na kontrolowanych przez nie platformach i współpracujących (chyba wszystkich) stronach internetowych na świecie. Ale to jednak nie to samo co pełna inwigilacja "na żądanie".

Aha - służby mogą wnioskować i do Google i do Facebooka po nasze dane. Więc niczego nie muszą kupować. Jeśli mają uzasadnioną podstawę, to te informacje i Fejs i Google przekażą im za darmo. Ile z takich wniosków przechodzi? To można wyczytać przez publikowanych corocznie przez te firmy tzw. transparency report. Nie są to duże ilości, choć tendencja jest wzrostowa.

Panuje przekonanie, że są środki komunikacji (na przykład stare telefony), które są niewykrywalne dla Pegasusa

Bzdura. Pegasus oczywiście, jak każde tego typu narzędzie, wspiera to, co jego programiści "zintegrowali". Ale jeśli znalazłby się klient, który potrzebowałby mocno, aby inwigilować np. Nokię 3310 i za to zapłacił, to pewnie pracownicy NSO Group "wrzuciliby ją na warsztat" i dokodowali jej obsługę. W każdym oprogramowaniu można znaleźć błędy. A starsze rozwiązania mogą być łatwiejsze do "zhackowania" bo mają słabości wynikające np. ze słabszego szyfrowania czy używania przełamanych już, niewystarczająco bezpiecznych algorytmów szyfrowania.
To nie znaczy, że Nokia 3310, czy inne stare telefony nie mają pewnej przewagi -- nie ma na nich np. kamery, więc siłą rzeczy nie zbierze się takich danych jak z iPhona.

Jak wygląda obsługa tego systemu od strony technicznej?

Z relacji klientów i krążącej po sieci instrukcji obsługi wynika, że nie jest zbyt skomplikowana. Operator musi tylko wpisać adres e-mail lub numer telefonu ofiary, a dalej program samodzielnie próbuje ją zainfekować i kiedy to się uda -- operator może pobierać dane z urządzenia ofiary.
Czasem wymagane są bardziej skomplikowane scenariusze, jak przygotowanie odpowiedniej treści wiadomości, która musi nakłonić ofiarę do kliknięcia w link.

Zwykły funkcjonariusz może stać się operatorem Pegasusa?

Raczej tak, zwłaszcza że sprzedawca zapewnia w pakiecie szkolenie.

Jakiego rodzaju dane przechwytuje Pegasus? Co oferuje Pegasus?

W zasadzie całkowity dostęp do czyjegoś telefonu. Można słuchać rozmów, oglądać to co ofiara ma na ekranie w danej chwili, ustalać jej lokalizację, ściągać dane i kontakty. Wyobraźmy sobie, że non stop mamy kogoś, kto patrzy na to co robimy na telefonie przez nasze ramie, a kiedy odkładamy telefon, swobodnie po nim buszuje i do wszystkiego ma dostęp.

Danych jest mnóstwo, w jaki sposób odławiane są najważniejsze informacje?

Pamiętajmy, że infekowane są osoby, które służby podejrzewają o coś konkretnego. To oznacza, że mniej więcej wiadomo czego szukać. Pobranie danych i ich przefiltrowanie to nie jest duży problem. Zresztą, jeśli tyle pieniędzy wydaje się na inwigilacje jednej osoby (wymagana jest na to licencja), to myślę, że z poświęcenie dedykowanego etatu jednego funkcjonariusza, który będzie czytał absolutnie wszystko co dana osoba robi na telefonie, a Pegasus przechwytuje, nie będzie zauważalnym dodatkowym kosztem.

Służby innych krajów również mogą włamać się do naszych urządzeń?

Oczywiście. Co gorsza może to zrobić nasz sąsiad w wieku gimnazjalnym, który obejrzy odpowiednie filmy na YouTube i ściągnie darmowe oprogramowanie np. Metasploit, którego można by nazwać takim Pegasusem dla ubogich.

Czy są uchwytne sygnały, które wskazywałyby na to, że jesteśmy szpiegowani? Pegasus zostawia jakieś ślady?

Osoby nietechniczne raczej nie mają szans, aby fakt bycia inwigilowanym wykryć. Co innego techniczni świadomi, którzy potrafią sniffować ruch sieciowy i debuggować procesy na swoim telefonie. Ci mogą zauważyć podejrzane zachowanie urządzenia i inne anomalie, które mogą ich zaniepokoić. Pamiętajmy, że Pegasus nie jest niewidzialny - zostawia pewne ślady na telefonie i musi wytransferowywać z niego informacje. Standardowo robi to po podpięciu przez Wi-Fi, ale w niektórych przypadkach dane wysyła też przez "mobilny internet" a nawet SMS-y. To można zauważyć choćby na billingach.

Wyłączenie telefonu jest skuteczne?

Tak. Chociaż lepiej wyjąć baterię. Wyłączenie większości smartfonów jest operacją "software'ową", co oznacza, że odpowiednio zbudowane złośliwe oprogramowanie może przejąć przyciśnięcie przycisku i tylko "udać" wyłączenie. Ale szczerze mówiąc nie przypominam sobie przypadku aż tak przebiegłego zachowania. Kto dziś zresztą wyłącza telefon...

Czyli pozostaje tylko zmienić numer aparat?

Raczej całkiem przestać korzystać z elektroniki. Zmiana smartfona to tylko chwilowa przerwa w inwigilacji. Operator zaraz zacznie podejmować próby infekcji naszego nowego telefonu. Można ciągle wybierać najnowsze modele, na które firma potrzebuje jednak trochę czasu aby zapewnić im "inwigilacyjne wsparcie". Ale to na tylko odsuwanie w czasie problemu który i tak nadejdzie. I raczej kosztowna zabawa.
Warto też pamiętać, że inwigilować nas można nie tylko przez smartfona. Jak kontrola operacyjna przy użyciu smartfona nie będzie możliwa, to ktoś zacznie za nami chodzić, założy nam podsłuch w mieszkaniu, albo podstawi przyjaciela, któremu niebawem zaczniemy się zwierzać. Pytanie jak ważna jest sprawa i informacje, które posiadamy.

Ile będziemy musieli czekać na zhakowanie tego systemu?

NSO Group jest obecnie na celowniku wielu miłośników prywatności i samotnych hackerów. Może niebawem -- podobnie jak w przypadku firmy Hacking Team, czy Panama Papers -- w sieci pojawią się dokumenty i inne dane, które skompromitują firmę w oczach internautów.

Można sobie wyobrazić narzędzie jeszcze doskonalsze niż Pegasus?

Prawdę mówiąc, Pegasus nie jest taki doskonały - wciąż zostawia po sobie ślady i nie jest w stanie zaatakować każdego telefonu. Wiele rzeczy musi pójść po myśli operatora, aby atak się udał. Jeśli wierzyć instrukcji obsługi z 2016 roku, to kilka lat temu wystarczyło, że ktoś nie miał inną niż domyślna przeglądarkę internetową na smartfonie i już Pegasus nie był w stanie się zainstalować.

Czyli są systemy odporne na Pegasusa?

Tak, te pozbawione zasilania. Ale żarty na bok. Trzeba pamiętać, że ataki są dopasowane do danej konfiguracji. A dzisiaj powstaje tyle nowych konfiguracji, że wspieranie ich wszystkich to bardzo dużo pracy. Trzeba priorytetyzować i dlatego Pegasus w pierwszej kolejności skupia się na tych najpopularniejszych platformach, producentach, systemach operacyjnych i aplikacjach. Ale jak już wspomniałem -- dla chcącego nie ma nic trudnego. Historia pokazuje, że w każdym oprogramowaniu prędzej czy później można wykryć błąd bezpieczeństwa i to zapewne taki, który umożliwi wstrzyknięcie na urządzenie agenta Pegasusa.