Neomejen dostop | že od 9,99€
Avgusta leta 2016 je arabski disident Ahmed Mansur na svoj iphone prejel sporočilo, ki je obljubljalo najnovejše podatke o mučenju v zaporih Združenih arabskih emiratov, če klikne na vsebovano povezavo. Posumil je, da gre za past, in sporočilo posredoval kanadskemu digitalno-forenzičnemu laboratoriju Citizen Lab. Tam so ugotovili, da bi klik na predlagano povezavo v resnici na njegov telefon pretihotapil vohunski program. Tako je svet prvič slišal za pegaz.
Afera z zlorabljanjem telefonskega vohunjenja za pregon oporečnikov in novinarjev, ki jo je prejšnjo nedeljo s preiskavo The Pegasus Project sprožila velika skupina novinarjev in digitalnih forenzikov, se je v resnici napovedovala že lep čas. Tako izraelsko podjetje NSO Group kot njegov program za vohljanje Pegasus, ki je v središču dogodka, sta namreč že stara znanca vsakogar, ki spremlja globalno situacijo okoli digitalne varnosti in zasebnosti. Že pet let kritike avtoritarnih režimov in opazovalce kriminalnih združb navdaja s strahom zavedanje, da obstaja softver, ki ga je mogoče dokaj učinkovito potisniti na posameznikov pametni telefon in z njim skorajda nevidno z naprave pobrati občutljive podatke, od tekstovnih sporočil do datotek.
Pametni telefoni so najbolj navdušujoča oblika osebnega računalnika doslej, ki nam v roko dostavijo vse od svetovnega spleta do uporabnih aplikacij in kameric za snemanje selfijev. Toda hkrati so tudi pomembna varnostna šibka točka, saj potencialni napadalec s prevzemom nadzora nad napravo pridobi zares ogromen zbir informacij o nas, kot so komunikacija in lokacijski podatki, iz česar na primer lahko skonstruira vzorec navad neke osebe – in ji učinkovito postavi zasedo, ko se je hoče odkrižati. Prav to naredi mobilne telefone tako zelo nevarne, pa čeprav so v splošnem virusi za namizne računalnike bolj razvpiti, ker jih poznamo dlje in povzročijo več gospodarske škode.
Ko se pegaz namesti na napadeno napravo, lahko zelo hitro ukrade in pretoči k napadalcu praktično vse, kar je tisti hip na njej. To pomeni poslovne dokumente, elektronsko pošto, podatke o lokacijah gibanja, vsebino koledarja in imenika, fotografije in vsa tekstovna sporočila – pri čemer zna prebrati ne le SMS, temveč tudi vsebino aplikacij, ki sicer komunikacijo šifrirajo, kot sta signal in whatsapp. Napadalec lahko na daljavo snema pogovore ter aktivira kamero in mikrofon, če hoče zajeti dogajanje v okolici. Danes enostavno ni primerljivega načina, ki bi omogočal o nekom zbrati toliko zasebnih informacij v tako kratkem času in za tako majhne stroške. Obenem žrtev večinoma ne posumi ničesar, ker telefon deluje kot običajno, zato je napad težko odkriti, prav tako pa mu je skoraj nemogoče slediti do naročnika. Glede na zapisano priljubljenost pegaza med režimi in posledični sloves NSO Group nista presenečenje.
Zares strašljiv kontekst pa zmogljivosti dobijo, ko upoštevamo, s kakšno lahkoto je pravzaprav mogoče takšno programje vsiliti na tuj telefon. Uvodoma opisani princip, s katerim so pred petimi leti napadli Ahmeda Mansurja, je sicer že razmeroma arhaičen, saj zahteva vsaj minimalno sodelovanje uporabnika. Imenujemo ga usmerjeno ribarjenje (spear phishing), kar pomeni, da glede na osnovne podatke, ki jih imamo o ciljni osebi, zanjo pripravimo past. Na primer sporočilo o tematiki, ki bi jo lahko zanimala ali ki navidezno prihaja iz naslova, ki mu ta oseba zaupa. Če bi Mansur takrat kliknil na povezavo, ki so mu jo posredovali, bi mu napadalci z nje na telefon pretočili zlobno kodo, s katero bi pridobili status superuporabnika s polnim nadzorom nad napravo. Sledila bi namestitev vohunske komponente pegaza in vohljanje.
Ko se pegaz namesti na napadeno napravo, lahko zelo hitro ukrade in pretoči k napadalcu praktično vse, kar je tisti hip na njej.
Ena od neprijetnih resnic, ki jo je razgalila dinamika delovanja pegaza, je razširjenost kritičnih ranljivosti tako v operacijskih sistemih ios in android kakor tudi uporabniških aplikacijah za pametne telefone, ki jih je mogoče zlorabiti za napad. Že prve izvedbe pegaza so uporabljale vrsto lukenj v iosu – da bi Mansurjev telefon okužili zgolj s klikom na spletno povezavo, so morali izkoristiti ranljivost v jedru OS, ki je omogočala prebitje njegovih softverskih omejitev (popularno jailbreak) in pridobitev superuporabniškega statusa. Novejše ranljivosti odkrivamo predvsem v aplikacijah, ki so nameščene že privzeto, kot so apple photos, apple music in predvsem sporočevalnik imessage, v katerem šibkosti očitno kar mrgoli.
Strokovni komentatorji ob tem opozarjajo na dvoje. Prvič, da pri Applu, kljub slovesu podjetja, ki veliko vlaga v uporabnikovo zasebnost, opisane luknje krpajo prepočasi. Krivijo razmeroma nizke nagrade za neodvisne raziskovalce, ki ranljivosti iščejo, saj je najdene lažje drago prodati na črnem trgu in tako zaslužiti precej več. In drugič, skoraj nemogoče je, da bi vse te ranljivosti pri NSO Group našli sami, zato je izraelsko podjetje skoraj gotovo tudi samo tesno vpeto v črni trg mešetarjenja z zlobno kodo in podtalnimi informacijami.
Security Lab organizacije Amnesty International je zaznal še druge oblike zero clickov. Pred tremi leti naj bi telefon savdskega aktivista Jahjeja Asirija okužili skozi tako imenovano injiciranje spletne povezave: ko je nič hudega sluteč brskal po spletu, ga je brskalnik odpeljal povsem drugam, na okuženo stran. To je bilo mogoče zato, ker je mobilni operater takšno dejanje sprožil skozi prilagojeno komunikacijsko opremo, na ravni antenskega stolpa ali centrale. To v praksi oriše, kakšna nevarnost na oporečnike preži, če se odločijo ostati v represivni državi, proti kateri se borijo.
Pegaz je mogoče na daljavo tudi izbrisati z naprave, če napadalec sprevidi, da so ga razkrinkali. Toda raziskovalci opozarjajo, da novejše različice sploh ni več v stalnem pomnilniku, temveč je zgolj v delovnem. Na prvi pogled je to šibkost, saj ko telefon ugasnemo, z njega izgine. Toda v resnici to pove, kako močno so v NSO Group prepričani o zanesljivosti svojih načinov širjenja pegaza, saj očitno lahko z dovolj veliko verjetnostjo zagotovijo, da bo naprava ob prižiganju okužena vnovič.
Neodvisni raziskovalci podatke o ranljivosti telefona in aplikacij raje prodajo na črnem trgu kot proizvajalcem.
Izraelci niso stali križemrok in so že pred tremi leti odgovorili z oteževanjem iskanja svojih internetnih mest za usmerjanje, na primer na način, da so v omrežje postavili dodaten element, ki preverja nalinijski promet. Zato zadnja leta poteka stalen dvoboj med njimi in raziskovalci. Pod črto pa je mogoče iz dogajanja zaključiti, da morajo biti pri NSO Group precej tesno vpeti v dejanske aktivnosti svojih strank s pegazom, da se lahko tako učinkovito prilagajajo. To vzbuja dvom o njihovih trditvah, da morebitnih nečednih oblik uporabe ne poznajo. Ni pa v tem trenutku jasno, koliko strežnike za usmerjanje nadzorujejo sami, koliko pa jih oddajajo skupaj z licenco za program. Toda gotovo »paketi« pegaza, ki jih prodajajo strankam, vsebujejo tako vohunska orodja kot večino zlorab ranljivosti, skozi katere jih pretihotapijo na telefone. V nasprotnem ne bi imeli tako tesnega nadzora nad internetnim kontrolnim omrežjem.
Iz zapisanega je jasno, da gre pri pegazu za zelo prefinjeno in usmerjeno delovanje usposobljenih akterjev z napredno tehnično opremo. Zato je skorajda nemogoče, da bi se običajni ljudje znašli na njihovi muhi – dokler ne začnejo drezati tja, kamor država ne dovoli. Kogar je strah, da se je morda vseeno znašel na spisku represivnih sistemov, si lahko za silo pomaga z orodjem za iskanje pegazovih sledov, ki so ga pri Amnesty International izdali v preteklem tednu. Njihov mobile verification toolkit sicer zahteva razmeroma napredno poznavanje računalništva – toda to naj bo nauk, da je treba biti danes digitalno pismen, če nočemo, da nam zlikovci nedovoljeno špegajo skozi telefonsko kamero.
Hvala, ker berete Delo že 65 let.
Vsebine, vredne vašega časa, za ceno ene kave na teden.
NAROČITEObstoječi naročnik?Prijavite se
Komentarji