Kas yra “Pegasus” ir kaip jis naudojamas šnipinėjimui?

Po “The Guardian” ir 16 kitų žiniasklaidos organizacijų atskleistos informacijos, kurioje atskleidžiama, kaip autoritariniai režimai naudoja komercinę kenkėjišką programinę įrangą aktyvistams, politikams ir žurnalistams sekti, apie vyriausybės sankcionuotą kibernetinį sekimą vėl prabilta. Naudojama komercinė kenkėjiška programinė įranga vadinasi “Pegasus” ir ją už milijonus dolerių parduoda Izraelio bendrovė “NSO Group”.

“Pegasus” – sudėtingiausia mums žinoma kenkėjiška programinė įranga – gali įrašinėti pokalbius, kopijuoti žinutes ir slapta filmuoti savininką (ir šalia esančius asmenis) bet kuriame įrenginyje, į kurį buvo įsilaužta.

Kas yra “Pegasus”?

Trumpai tariant, “Pegasus” yra komercinė šnipinėjimo programa. Skirtingai nuo kenkėjiškų programų, kurias kibernetiniai nusikaltėliai naudoja siekdami užsidirbti pinigų vogdami ir apgaudinėdami savo aukas, “Pegasus” sukurta tik šnipinėjimui. Slapta užkrėtusi išmanųjį telefoną (“Android” arba “iOS”), ji gali paversti jį visaverčiu stebėjimo įrenginiu. SMS žinutes, el. laiškus, “WhatsApp” žinutes, “iMessages” ir kt. galima skaityti ir kopijuoti. Jis gali įrašinėti įeinančius ir išeinančius skambučius, taip pat pavogti visas įrenginyje esančias nuotraukas. Be to, jis gali įjungti mikrofoną ir (arba) kamerą ir įrašyti, kas sakoma. Kai visa tai sujungiate su galimybe gauti buvusios ir esamos buvimo vietos duomenimis, tampa aišku, kad tie, kurie klausosi kitame gale, žino beveik viską, ką galima žinoti apie kiekvieną, į kurį nukreiptas pasiklausymas.

Turite žinoti, kad jei vyriausybinė agentūra naudoja tokią programinę įrangą kaip “Pegasus”, o jūs primygtinai reikalaujate išsaugoti savo išmanųjį telefoną, mažai ką galite padaryti, kad tai sustabdytumėte.

Pirmosios “Pegasus” versijos buvo pastebėtos dar 2016 m., taigi tai nėra naujiena. Tačiau nuo tų pirmųjų dienų jo galimybės ir sudėtingumas labai išaugo. Ne bet kas gali gauti “Pegasus” kopiją – tai nėra kažkas, kas parduodama “eBay” ar net tamsiajame internete. NSO Group ją parduoda tik vyriausybėms, o jos įsigijimas kainuoja milijonus.

Laimei, tai reiškia, kad ji nėra nesąžiningų kibernetinių nusikaltėlių ar teroristų rankose. Tiesą sakant, “NSO Group” parduoda “Pegasus” kaip “technologiją, kuri padeda vyriausybinėms agentūroms užkirsti kelią terorizmui ir nusikaltimams bei juos tirti ir taip išgelbėti tūkstančius gyvybių visame pasaulyje”. Skamba kilniai. Žinoma, išskyrus tai, kad buvimas “vyriausybe” neužtikrina charakterio, moralės ar savitvardos. Tarp vyriausybių, kurios naudoja “Pegasus” žurnalistams, verslo vadovams, religiniams lyderiams, mokslininkams ir profsąjungų pareigūnams, yra Vengrija, Meksika, Saudo Arabija, Indija ir Jungtiniai Arabų Emyratai (JAE).

NSO Group pripažįsta, kad jos tikrųjų klientų sąraše yra daugiau kaip 40 šalių, tačiau gindamasi teigia, kad tikrina klientų žmogaus teisių padėtį. Ji taip pat nurodo, kad “Pegasus” “negali būti naudojamas kibernetiniam sekimui Jungtinėse Valstijose vykdyti, ir nė vienam užsienio klientui niekada nebuvo suteikta technologija, kuri leistų jiems naudotis telefonais su JAV numeriais”.

0 dienų pažeidžiamumai

Visoje programinėje įrangoje yra klaidų, vadinamų klaidomis. Tai faktas. Be to, klaidų skaičius tiesiogiai proporcingas programinės įrangos sudėtingumui. Daugiau kodo – daugiau klaidų. Dauguma klaidų yra tik erzinančios. Kažkas naudotojo sąsajoje neveikia taip, kaip tikėtasi. Funkcija, kuri tam tikromis aplinkybėmis neveikia teisingai. Akivaizdžiausias ir labiausiai erzinančias klaidas autoriai paprastai ištaiso nedidelėse “taškinėse versijose”. Klaidų rasite žaidimuose, operacinėse sistemose, “Android” programose, “iOS” programose, “Windows” programose, “Apple Mac” programose, “Linux” programose – iš esmės visur.

Deja, atvirojo kodo programinės įrangos naudojimas negarantuoja, kad ji bus be klaidų. Visoje programinėje įrangoje yra klaidų. Kartais atvirojo kodo programų naudojimas iš tikrųjų tik pagilina šią problemą, nes dažnai pagrindinius projektus geriausiomis pastangomis prižiūri nedidelė grupė (ar net vienas žmogus), kurie dirba prie projekto grįžę namo iš savo įprasto darbo. Neseniai “Linux” branduolyje buvo aptiktos trys su saugumu susijusios klaidos, kurios ten buvo 15 metų!

Būtent su saugumu susijusios klaidos yra tikroji problema. Vartotojo sąsaja turi broką, jis bus ištaisytas, jokių problemų. Tačiau kai klaida gali susilpninti kompiuterio saugumą, situacija tampa rimtesnė. Šios klaidos yra tokios rimtos, kad “Google” taiko atlygio sistemą, pagal kurią mokama žmonėms, galintiems įrodyti “Android”, “Chrome” arba “Google Play” saugumo trūkumus. 2020 m. “Google” išmokėjo milžinišką 6,7 mln. dolerių atlygį. Panašių schemų turi “Amazon”, “Apple” ir “Microsoft”.

Nors didieji technologijų gamintojai moka milijonus, kad pašalintų šias su saugumu susijusias klaidas, “Android”, “iOS”, “Windows”, “MacOS” ir “Linux” koduose vis dar slypi daug nežinomų pažeidžiamumų. Kai kurios iš šių pažeidžiamumų yra 0 dienų pažeidžiamumai, t. y. pažeidžiamumas, kuris yra žinomas trečiajai šaliai, bet nežinomas programinės įrangos autoriui. Ji vadinama 0 dienų pažeidžiamumu, nes autorius turėjo nulį dienų problemai ištaisyti.

Tokia programinė įranga kaip “Pegasus”, kaip ir kiti kenkėjiškų programų autoriai, “iPhone” “jailbreakeriai” ir “Android” prietaisų “root’intojai”, naudojasi 0 dienų pažeidžiamumais.

Rasti 0 dienų pažeidžiamumą nėra lengva, o juo pasinaudoti dar sunkiau. Tačiau tai įmanoma. NSO Group turi specializuotą tyrėjų komandą, kuri tiria ir analizuoja kiekvieną operacinių sistemų, tokių kaip “Android” ir “iOS”, smulkiausią detalę, kad rastų bet kokias silpnąsias vietas. Tuomet šios silpnosios vietos paverčiamos būdais įsiskverbti į įrenginį, apeinant visas įprastas apsaugos priemones.

Galutinis tikslas – pasinaudojant “0-day” gauti privilegijuotą prieigą prie įrenginio ir jį valdyti.

Galutinis tikslas – pasinaudojant 0 dienos virusu gauti privilegijuotą prieigą prie įrenginio ir jį valdyti. Pasiekus privilegijų padidinimą, atveriamos durys, pro kurias “Pegasus” gali įdiegti ar pakeisti sistemos programas, keisti nustatymus, gauti prieigą prie duomenų ir įjungti jutiklius, kurie paprastai būtų draudžiami be aiškaus įrenginio savininko sutikimo.

Norint pasinaudoti 0 dienų klaidomis, reikia atakos vektoriaus – būdo, kuriuo būtų galima patekti į įrenginį. Tokie atakos vektoriai dažnai būna SMS žinutėse arba “WhatsApp” žinutėse siunčiamos nuorodos. Spustelėjęs nuorodą, naudotojas patenka į puslapį, kuriame pateikiamas pradinis naudingasis krūvis. Naudingoji apkrova turi vieną užduotį: bandyti išnaudoti 0 dienų pažeidžiamumą. Deja, yra ir nulinio paspaudimo išnaudojimo būdų, kuriems visai nereikia sąveikos su naudotoju. Pavyzdžiui, 2019 m. “Pegasus” aktyviai išnaudojo “iMessage” ir “Facetime” klaidas, kurios reiškė, kad jis gali įdiegti save telefone tiesiog paskambinęs į tikslinį įrenginį.

Vienas iš būdų, kaip bandyti įvertinti 0 dienų problemos dydį, yra pažvelgti į tai, kas buvo rasta, nes nežinome, kas nebuvo rasta. Ir “Android”, ir “iOS” turi nemažai saugumo spragų, apie kurias pranešta. Viešai atskleistoms kibernetinio saugumo spragoms suteikiamas bendrojo pažeidžiamumo ir pažeidžiamumo (angl. Common Vulnerabilities and Exposures, CVE) numeris. 2020 m. “Android” surinko 859 CVE ataskaitas. “iOS” ataskaitų buvo mažiau – iš viso 304. Tačiau iš tų 304 pranešimų 140 leido neleistinai vykdyti kodą, t. y. daugiau nei 97 “Android” pranešimai. Keturios ataskaitos buvo susijusios su privilegijų vertinimu “iOS” sistemoje, o trys – su privilegijų vertinimu “Android” sistemoje. Esmė ta, kad nei “Android”, nei “iOS” nėra savaime saugios ir apsaugotos nuo 0 dienų pažeidžiamumų.

Kaip apsisaugoti nuo šnipinėjimo programų

Pats drastiškiausias ir nepraktiškiausias būdas – atsisakyti telefono. Jei tikrai nerimaujate dėl galimybės būti šnipinėjamam, nesuteikite valdžios institucijoms jų ieškomos prieigos. Jei neturite išmaniojo telefono, “Pegasus” neturi į ką kėsintis. Šiek tiek praktiškesnis būdas galėtų būti palikti telefoną namie, kai išeinate arba einate į svarbius susitikimus. Taip pat turėtumėte įsitikinti, kad ir kiti šalia jūsų esantys asmenys neturi savo išmaniųjų telefonų. Taip pat galite išjungti tokius dalykus kaip išmaniojo telefono kamera, kaip 2016 m. garsiai pademonstravo Edwardas Snowdenas.

Jei visa tai skamba pernelyg drastiškai, galite imtis praktinių veiksmų. Tačiau turite žinoti, kad jei vyriausybinė agentūra taikosi į jus naudodama tokią programinę įrangą kaip “Pegasus”, o jūs primygtinai reikalaujate išlaikyti savo išmanųjį telefoną, tuomet mažai ką galite padaryti, kad tai sustabdytumėte.

Svarbiausias dalykas, kurį galite padaryti, yra nuolat atnaujinti savo telefoną. “Apple” naudotojams tai reiškia, kad visada įdiegsite “iOS” atnaujinimus, kai tik jie pasirodo. “Android” naudotojams tai reiškia, kad pirmiausia reikia pasirinkti prekės ženklą, kuris turi gerą atnaujinimų išleidimo istoriją, o tada visada įdiegti naujus atnaujinimus, kai tik jie pasirodo. Jei abejojate, rinkitės “Google” įrenginį, nes jame atnaujinimai paprastai pasirodo greičiausiai.

Antra, niekada, tikrai niekada, niekada nespauskite ant nuorodos, kurią jums atsiuntė kitas asmuo, jei nesate 100 % tikri, kad nuoroda yra tikra ir saugi. Jei kyla bent menkiausia abejonė, nespauskite jos.

Trečia, nemanykite, kad esate apsaugoti, jei esate “iPhone” naudotojas. “Pegasus” taikosi į “iOS” ir “Android”. Kaip minėta, 2019 m. buvo laikotarpis, kai “Pegasus” aktyviai naudojosi “Facetime” pažeidžiamumais, kurie leido jam nepastebėtam įsidiegti “iOS” įrenginiuose. Galbūt norėsite pažiūrėti šį vaizdo įrašą apie tai, kaip Kinijos vyriausybė naudojo “iOS” pažeidžiamumus, kad šnipinėtų žmones.

Galiausiai būkite budrūs, bet išlikite ramūs ir išlaikykite pusiausvyrą. Tai dar ne pasaulio pabaiga (kol kas), tačiau ignoravimas taip pat nepadės. Galbūt manote, kad neturite ką slėpti, bet kaip yra su jūsų šeimos nariais ar draugais? Žurnalistai, verslo vadovai, religiniai lyderiai, akademikai ir profesinių sąjungų pareigūnai nėra tokie reti, kad neturėtų draugų ar šeimos narių. Kaip sakoma Antrojo pasaulinio karo šūkyje: “Palaidos lūpos skandina laivus”.