Vohun iz žepa

Avgusta leta 2016 je arabski disident Ahmed Mansur na svoj iphone prejel sporočilo, ki je obljubljalo najnovejše podatke o mučenju v zaporih Združenih arabskih emiratov, če klikne na vsebovano povezavo. Posumil je, da gre za past, in sporočilo posredoval kanadskemu digitalno-forenzičnemu laboratoriju Citizen Lab. Tam so ugotovili, da bi klik na predlagano povezavo v resnici na njegov telefon pretihotapil vohunski program. Tako je svet prvič slišal za pegaz.

Afera z zlorabljanjem telefonskega vohunjenja za pregon oporečnikov in novinarjev, ki jo je prejšnjo nedeljo s preiskavo The Pegasus Project sprožila velika skupina novinarjev in digitalnih forenzikov, se je v resnici napovedovala že lep čas. Tako izraelsko podjetje NSO Group kot njegov program za vohljanje Pegasus, ki je v središču dogodka, sta namreč že stara znanca vsakogar, ki spremlja globalno situacijo okoli digitalne varnosti in zasebnosti. Že pet let kritike avtoritarnih režimov in opazovalce kriminalnih združb navdaja s strahom zavedanje, da obstaja softver, ki ga je mogoče dokaj učinkovito potisniti na posameznikov pametni telefon in z njim skorajda nevidno z naprave pobrati občutljive podatke, od tekstovnih sporočil do datotek.

Že pet let tudi poslušamo enake uradne izgovore Izraelcev: da je pegaz povsem legalen izdelek, namenjen boju proti terorizmu in kriminalu. S katerim da, po domače povedano, lovijo samo »slabe fante«, ker podjetje menda skrbno preverja svoje stranke in programje prodaja le tistim, ki se držijo demokratičnih načel. Prav toliko časa je tudi že jasno, da so to piarovske puhlice, saj vse preveč dokazov razkriva, da represivni režimi pegaz stalno izkoriščajo za utišanje nasprotnikov, kot je bil Džamal Hašodži, in da je praktično nemogoče, da v NSO Group tega ne bi dobro vedeli. Zadnje razkritje je samo največje doslej. Kljub temu da je pegaz po mnenju strokovnjakov bržkone najbolj napreden vohunski program (spyware) v zgodovini, pa po napravah in omrežjih pušča drobce, ki jih je mogoče prebrati in dobiti okvirno sliko o tem, kako deluje.
 

Krilati konj

Pametni telefoni so najbolj navdušujoča oblika osebnega računalnika doslej, ki nam v roko dostavijo vse od svetovnega spleta do uporabnih aplikacij in kameric za snemanje selfijev. Toda hkrati so tudi pomembna varnostna šibka točka, saj potencialni napadalec s prevzemom nadzora nad napravo pridobi zares ogromen zbir informacij o nas, kot so komunikacija in lokacijski podatki, iz česar na primer lahko skonstruira vzorec navad neke osebe – in ji učinkovito postavi zasedo, ko se je hoče odkrižati. Prav to naredi mobilne telefone tako zelo nevarne, pa čeprav so v splošnem virusi za namizne računalnike bolj razvpiti, ker jih poznamo dlje in povzročijo več gospodarske škode.

Ko se pegaz namesti na napadeno napravo, lahko zelo hitro ukrade in pretoči k napadalcu praktično vse, kar je tisti hip na njej. To pomeni poslovne dokumente, elektronsko pošto, podatke o lokacijah gibanja, vsebino koledarja in imenika, fotografije in vsa tekstovna sporočila – pri čemer zna prebrati ne le SMS, temveč tudi vsebino aplikacij, ki sicer komunikacijo šifrirajo, kot sta signal in whatsapp. Napadalec lahko na daljavo snema pogovore ter aktivira kamero in mikrofon, če hoče zajeti dogajanje v okolici. Danes enostavno ni primerljivega načina, ki bi omogočal o nekom zbrati toliko zasebnih informacij v tako kratkem času in za tako majhne stroške. Obenem žrtev večinoma ne posumi ničesar, ker telefon deluje kot običajno, zato je napad težko odkriti, prav tako pa mu je skoraj nemogoče slediti do naročnika. Glede na zapisano priljubljenost pegaza med režimi in posledični sloves NSO Group nista presenečenje.

 

Virusi po zraku

Zares strašljiv kontekst pa zmogljivosti dobijo, ko upoštevamo, s kakšno lahkoto je pravzaprav mogoče takšno programje vsiliti na tuj telefon. Uvodoma opisani princip, s katerim so pred petimi leti napadli Ahmeda Mansurja, je sicer že razmeroma arhaičen, saj zahteva vsaj minimalno sodelovanje uporabnika. Imenujemo ga usmerjeno ribarjenje (spear phishing), kar pomeni, da glede na osnovne podatke, ki jih imamo o ciljni osebi, zanjo pripravimo past. Na primer sporočilo o tematiki, ki bi jo lahko zanimala ali ki navidezno prihaja iz naslova, ki mu ta oseba zaupa. Če bi Mansur takrat kliknil na povezavo, ki so mu jo posredovali, bi mu napadalci z nje na telefon pretočili zlobno kodo, s katero bi pridobili status superuporabnika s polnim nadzorom nad napravo. Sledila bi namestitev vohunske komponente pegaza in vohljanje.

Sprva so preiskovalci poznali različice programa, napravljene zgolj za ios, leta 2017 pa so odkrili tudi prvo, namenjeno androidnim telefonom. Od leta 2018 je število incidentov s pegazom hitro raslo in raziskovanju so se pridružili številni digitalni forenziki, tudi laboratorij organizacije Amnesty International. Strokovnjaki približno od takrat ugotavljajo prevlado načina širjenja zlobne kode, ki ne potrebuje nobenega dejanja uporabnika (zero-click). To pomeni, da ciljna oseba dobi zgolj tekstovno sporočilo ali klic, na katera se sploh ni treba odzvati, pa bo telefon že okužen! Še bolj strašljivo je, da proti takšnim napadom pravzaprav ni obrambe, saj uporabnik ne more narediti ničesar, da bi se jim izognil.

Seveda tu ne gre za običajno oziroma pravilno delovanje uporabniškega programja. Takšni načini napada morajo izkoristiti aktivne programske ranljivosti v aplikacijah (0-day vulnerability), skozi katere je mogoče napravo prisiliti, da nanjo namestimo virus ali jo kako drugače kompromitiramo. Tako naj bi leta 2018 telefon Jeffa Bezosa okužili s poslano video datoteko skozi whatsapp, ne da bi se milijarder na sporočilo odzval.


 

Prostoročno okuževanje

Ena od neprijetnih resnic, ki jo je razgalila dinamika delovanja pegaza, je razširjenost kritičnih ranljivosti tako v operacijskih sistemih ios in android kakor tudi uporabniških aplikacijah za pametne telefone, ki jih je mogoče zlorabiti za napad. Že prve izvedbe pegaza so uporabljale vrsto lukenj v iosu – da bi Mansurjev telefon okužili zgolj s klikom na spletno povezavo, so morali izkoristiti ranljivost v jedru OS, ki je omogočala prebitje njegovih softverskih omejitev (popularno jailbreak) in pridobitev superuporabniškega statusa. Novejše ranljivosti odkrivamo predvsem v aplikacijah, ki so nameščene že privzeto, kot so apple photos, apple music in predvsem sporočevalnik imessage, v katerem šibkosti očitno kar mrgoli.

Strokovni komentatorji ob tem opozarjajo na dvoje. Prvič, da pri Applu, kljub slovesu podjetja, ki veliko vlaga v uporabnikovo zasebnost, opisane luknje krpajo prepočasi. Krivijo razmeroma nizke nagrade za neodvisne raziskovalce, ki ranljivosti iščejo, saj je najdene lažje drago prodati na črnem trgu in tako zaslužiti precej več. In drugič, skoraj nemogoče je, da bi vse te ranljivosti pri NSO Group našli sami, zato je izraelsko podjetje skoraj gotovo tudi samo tesno vpeto v črni trg mešetarjenja z zlobno kodo in podtalnimi informacijami.

Security Lab organizacije Amnesty International je zaznal še druge oblike zero clickov. Pred tremi leti naj bi telefon savdskega aktivista Jahjeja Asirija okužili skozi tako imenovano injiciranje spletne povezave: ko je nič hudega sluteč brskal po spletu, ga je brskalnik odpeljal povsem drugam, na okuženo stran. To je bilo mogoče zato, ker je mobilni operater takšno dejanje sprožil skozi prilagojeno komunikacijsko opremo, na ravni antenskega stolpa ali centrale. To v praksi oriše, kakšna nevarnost na oporečnike preži, če se odločijo ostati v represivni državi, proti kateri se borijo.
 

Hop, Cefizelj

Pegaz je mogoče na daljavo tudi izbrisati z naprave, če napadalec sprevidi, da so ga razkrinkali. Toda raziskovalci opozarjajo, da novejše različice sploh ni več v stalnem pomnilniku, temveč je zgolj v delovnem. Na prvi pogled je to šibkost, saj ko telefon ugasnemo, z njega izgine. Toda v resnici to pove, kako močno so v NSO Group prepričani o zanesljivosti svojih načinov širjenja pegaza, saj očitno lahko z dovolj veliko verjetnostjo zagotovijo, da bo naprava ob prižiganju okužena vnovič.

Ker je programje na napravi tako težko najti, si preiskovalci pomagajo drugače: sledove njegovega delovanja iščejo v dnevniku dejavnosti operacijskega sistema. Seveda pri NSO Group delovnih procesov pegaza niso poimenovali eksplicitno, temveč so jih skušali zakriti. Zato so forenziki hkrati spremljali omrežno komunikacijo telefona: kdaj natančno in s katerimi internetnimi mesti se je povezoval. Tako so sčasoma oblikovali ne le spisek procesov, pod katerimi vohunsko orodje deluje na telefonih, temveč tudi stalno omrežje strežnikov NSO Group, ki pegaz pravzaprav usmerja. Gre za množico strežnikov po svetu, ki so razdeljeni po namembnosti, na tiste za okuževanje in tiste za nadzor ter krajo podatkov. Ti usmerjevalniki so hkrati šibka točka, kar so pokazali pri Amazonu, ko so pretekli teden strežnike NSO Group na svoji platformi AWS ugasnili in vsaj za krajši čas omejili doseg vohunjenja.
 

Mačka in miši

Izraelci niso stali križemrok in so že pred tremi leti odgovorili z oteževanjem iskanja svojih internetnih mest za usmerjanje, na primer na način, da so v omrežje postavili dodaten element, ki preverja nalinijski promet. Zato zadnja leta poteka stalen dvoboj med njimi in raziskovalci. Pod črto pa je mogoče iz dogajanja zaključiti, da morajo biti pri NSO Group precej tesno vpeti v dejanske aktivnosti svojih strank s pegazom, da se lahko tako učinkovito prilagajajo. To vzbuja dvom o njihovih trditvah, da morebitnih nečednih oblik uporabe ne poznajo. Ni pa v tem trenutku jasno, koliko strežnike za usmerjanje nadzorujejo sami, koliko pa jih oddajajo skupaj z licenco za program. Toda gotovo »paketi« pegaza, ki jih prodajajo strankam, vsebujejo tako vohunska orodja kot večino zlorab ranljivosti, skozi katere jih pretihotapijo na telefone. V nasprotnem ne bi imeli tako tesnega nadzora nad internetnim kontrolnim omrežjem.

Iz zapisanega je jasno, da gre pri pegazu za zelo prefinjeno in usmerjeno delovanje usposobljenih akterjev z napredno tehnično opremo. Zato je skorajda nemogoče, da bi se običajni ljudje znašli na njihovi muhi – dokler ne začnejo drezati tja, kamor država ne dovoli. Kogar je strah, da se je morda vseeno znašel na spisku represivnih sistemov, si lahko za silo pomaga z orodjem za iskanje pegazovih sledov, ki so ga pri Amnesty International izdali v preteklem tednu. Njihov mobile verification toolkit sicer zahteva razmeroma napredno poznavanje računalništva – toda to naj bo nauk, da je treba biti danes digitalno pismen, če nočemo, da nam zlikovci nedovoljeno špegajo skozi telefonsko kamero.