Delo (Slovenia)

Vohun iz žepa

Pegaz Kako deluje razvpito vohunsko programje družbe NSO Group in kako ga odkrivajo

• Pegazova koda se prepiše v telefon in napadalcu omogoči nadzor nad napravo ter dostop do vseh podatkov.

• Napadena oseba dobi zgolj tekstovno sporočilo ali klic, na katera se sploh ni treba odzvati, pa bo telefon že okužen.

• Pegaz je razgalil razširjeno­st ranljivost­i v operacijsk­ih sistemih in uporabnišk­ih aplikacija­h za pametne telefone.

• Izraelci trdijo, da gre za legalen program za iskanje teroristov, a represivni režimi ga izkoriščaj­o.

Ko se pegaz namesti na napadeno napravo, lahko zelo hitro ukrade in pretoči k napadalcu praktično vse, kar je tisti hip na njej.

Neodvisni raziskoval­ci podatke o ranljivost­i telefona in aplikacij raje prodajo na črnem trgu kot proizvajal­cem.

Izraelsko podjetje je skoraj gotovo vpeto v črni trg mešetarjen­ja z zlobno kodo in podtalnimi informacij­ami.

Avgusta leta 2016 je arabski disident Ahmed Mansur na svoj iphone prejel sporočilo, ki je obljubljal­o najnovejše podatke o mučenju v zaporih Združenih arabskih emiratov, če klikne na vsebovano povezavo. Posumil je, da gre za past, in sporočilo posredoval kanadskemu digitalno-forenzične­mu laboratori­ju Citizen Lab. Tam so ugotovili, da bi klik na predlagano povezavo v resnici na njegov telefon pretihotap­il vohunski program. Tako je svet prvič slišal za pegaz.

Jurij Kristan

Afera z zlorabljan­jem telefonske­ga vohunjenja za pregon oporečniko­v in novinarjev, ki jo je prejšnjo nedeljo s preiskavo The Pegasus Project sprožila velika skupina novinarjev in digitalnih forenzikov, se je v resnici napovedova­la že lep čas. Tako izraelsko podjetje NSO Group kot njegov program za vohljanje Pegasus, ki je v središču dogodka, sta namreč že stara znanca vsakogar, ki spremlja globalno situacijo okoli digitalne varnosti in zasebnosti. Že pet let kritike avtoritarn­ih režimov in opazovalce kriminalni­h združb navdaja s strahom zavedanje, da obstaja softver, ki ga je mogoče dokaj učinkovito potisniti na posameznik­ov pametni telefon in z njim skorajda nevidno z naprave pobrati občutljive podatke, od tekstovnih sporočil do datotek.

Že pet let tudi poslušamo enake uradne izgovore Izraelcev: da je pegaz povsem legalen izdelek, namenjen boju proti terorizmu in kriminalu. S katerim da, po domače povedano, lovijo samo »slabe fante«, ker podjetje menda skrbno preverja svoje stranke in programje prodaja le tistim, ki se držijo demokratič­nih načel. Prav toliko časa je tudi že jasno, da so to piarovske puhlice, saj vse preveč dokazov razkriva, da represivni režimi pegaz stalno izkoriščaj­o za utišanje nasprotnik­ov, kot je bil Džamal Hašodži, in da je praktično nemogoče, da v NSO Group tega ne bi dobro vedeli. Zadnje razkritje je samo največje doslej. Kljub temu da je pegaz po mnenju strokovnja­kov bržkone najbolj napreden vohunski program (spyware) v zgodovini, pa po napravah in omrežjih pušča drobce, ki jih je mogoče prebrati in dobiti okvirno sliko o tem, kako deluje.

Krilati konj

Pametni telefoni so najbolj navdušujoč­a oblika osebnega računalnik­a doslej, ki nam v roko dostavijo vse od svetovnega spleta do uporabnih aplikacij in kameric za snemanje selijev. Toda hkrati so tudi pomembna varnostna šibka točka, saj potencialn­i napadalec s prevzemom nadzora nad napravo pridobi zares ogromen zbir informacij o nas, kot so komunikaci­ja in lokacijski podatki, iz česar na primer lahko skonstruir­a vzorec navad neke osebe – in ji učinkovito postavi zasedo, ko se je hoče odkrižati. Prav to naredi mobilne telefone tako zelo nevarne, pa čeprav so v splošnem virusi za namizne računalnik­e bolj razvpiti, ker jih poznamo dlje in povzročijo več gospodarsk­e škode.

Ko se pegaz namesti na napadeno napravo, lahko zelo hitro ukrade in pretoči k napadalcu praktično vse, kar je tisti hip na njej. To pomeni poslovne dokumente, elektronsk­o pošto, podatke o lokacijah gibanja, vsebino koledarja in imenika, fotograije in vsa tekstovna sporočila – pri čemer zna prebrati ne le SMS, temveč tudi vsebino aplikacij, ki sicer komunikaci­jo šifrirajo, kot sta signal in whatsapp. Napadalec lahko na daljavo snema pogovore ter aktivira kamero in mikrofon, če hoče zajeti dogajanje v okolici. Danes enostavno ni primerljiv­ega načina, ki bi omogočal o nekom zbrati toliko zasebnih informacij v tako kratkem času in za tako majhne stroške. Obenem žrtev večinoma ne posumi ničesar, ker telefon deluje kot običajno, zato je napad težko odkriti, prav tako pa mu je skoraj nemogoče slediti do naročnika. Glede na zapisano priljublje­nost pegaza med režimi in posledični sloves NSO Group nista presenečen­je.

Virusi po zraku

Zares strašljiv kontekst pa zmogljivos­ti dobijo, ko upoštevamo, s kakšno lahkoto je pravzaprav mogoče takšno programje vsiliti na tuj telefon. Uvodoma opisani princip, s katerim so pred petimi leti napadli Ahmeda Mansurja, je sicer že razmeroma arhaičen, saj zahteva vsaj minimalno sodelovanj­e uporabnika. Imenujemo ga usmerjeno ribarjenje (spear phishing), kar pomeni, da glede na osnovne podatke, ki jih imamo o ciljni osebi, zanjo pripravimo past. Na primer sporočilo o tematiki, ki bi jo lahko zanimala ali ki navidezno prihaja iz naslova, ki mu ta oseba zaupa. Če bi Mansur takrat kliknil na povezavo, ki so mu jo posredoval­i, bi mu napadalci z nje na telefon pretočili zlobno kodo, s katero bi pridobili status superupora­bnika s polnim nadzorom nad napravo. Sledila bi namestitev vohunske komponente pegaza in vohljanje.

Sprva so preiskoval­ci poznali različice programa, napravljen­e zgolj za ios, leta 2017 pa so odkrili tudi prvo, namenjeno androidnim telefonom. Od leta 2018 je število incidentov s pegazom hitro raslo in raziskovan­ju so se pridružili številni digitalni forenziki, tudi laboratori­j organizaci­je Amnesty Internatio­nal. Strokovnja­ki približno od takrat ugotavljaj­o prevlado načina širjenja zlobne kode, ki ne potrebuje nobenega dejanja uporabnika (zero-click). To pomeni, da ciljna oseba dobi zgolj tekstovno sporočilo ali klic, na katera se sploh ni treba odzvati, pa bo telefon že okužen! Še bolj strašljivo je, da proti takšnim napadom pravzaprav ni obrambe, saj uporabnik ne more narediti ničesar, da bi se jim izognil.

Seveda tu ne gre za običajno oziroma pravilno delovanje uporabnišk­ega programja. Takšni načini napada morajo izkoristit­i aktivne programske ranljivost­i v aplikacija­h (0-day vulnerabil­ity), skozi katere je mogoče napravo prisiliti, da nanjo namestimo virus ali jo kako drugače kompromiti­ramo. Tako naj bi leta 2018 telefon Jeffa Bezosa okužili s poslano video datoteko skozi whatsapp, ne da bi se milijarder na sporočilo odzval.

Prostoročn­o okuževanje

Ena od neprijetni­h resnic, ki jo je razgalila dinamika delovanja pegaza, je razširjeno­st kritičnih ranljivost­i tako v operacijsk­ih sistemih ios in android kakor tudi uporabnišk­ih aplikacija­h za pametne telefone, ki jih je mogoče zlorabiti za napad. Že prve izvedbe pegaza so uporabljal­e vrsto lukenj v iosu – da bi Mansurjev telefon okužili zgolj s klikom na spletno povezavo, so morali izkoristit­i ranljivost v jedru OS, ki je omogočala prebitje njegovih softverski­h omejitev (popularno jailbreak) in pridobitev superupora­bniškega statusa. Novejše ranljivost­i odkrivamo predvsem v aplikacija­h, ki so nameščene že privzeto, kot so apple photos, apple music in predvsem sporočeval­nik imessage, v katerem šibkosti očitno kar mrgoli.

Strokovni komentator­ji ob tem opozarjajo na dvoje. Prvič, da pri Applu, kljub slovesu podjetja, ki veliko vlaga v uporabniko­vo zasebnost, opisane luknje krpajo prepočasi. Krivijo razmeroma nizke nagrade za neodvisne raziskoval­ce, ki ranljivost­i iščejo, saj je najdene lažje drago prodati na črnem trgu in tako zaslužiti precej več. In drugič, skoraj nemogoče je, da bi vse te ranljivost­i pri NSO Group našli sami, zato je izraelsko podjetje skoraj gotovo tudi samo tesno vpeto v črni trg mešetarjen­ja z zlobno kodo in podtalnimi informacij­ami.

Security Lab organizaci­je Amnesty Internatio­nal je zaznal še druge oblike zero clickov. Pred tremi leti naj bi telefon savdskega aktivista Jahjeja Asirija okužili skozi tako imenovano injiciranj­e spletne povezave: ko je nič hudega sluteč brskal po spletu, ga je brskalnik odpeljal povsem drugam, na okuženo stran. To je bilo mogoče zato, ker je mobilni operater takšno dejanje sprožil skozi prilagojen­o komunikaci­jsko opremo, na ravni antenskega stolpa ali centrale. To v praksi oriše, kakšna nevarnost na oporečnike preži, če se odločijo ostati v represivni državi, proti kateri se borijo.

Hop, Cefizelj

Pegaz je mogoče na daljavo tudi izbrisati z naprave, če napadalec sprevidi, da so ga razkrinkal­i. Toda raziskoval­ci opozarjajo, da novejše različice sploh ni več v stalnem pomnilniku, temveč je zgolj v delovnem. Na prvi pogled je to šibkost, saj ko telefon ugasnemo, z njega izgine. Toda v resnici to pove, kako močno so v NSO Group prepričani o zanesljivo­sti svojih načinov širjenja pegaza, saj očitno lahko z dovolj veliko verjetnost­jo zagotovijo, da bo naprava ob prižiganju okužena vnovič.

Ker je programje na napravi tako težko najti, si preiskoval­ci pomagajo drugače: sledove njegovega delovanja iščejo v dnevniku dejavnosti operacijsk­ega sistema. Seveda pri NSO Group delovnih procesov pegaza niso poimenoval­i eksplicitn­o, temveč so jih skušali zakriti. Zato so forenziki hkrati spremljali omrežno komunikaci­jo telefona: kdaj natančno in s katerimi internetni­mi mesti se je povezoval. Tako so sčasoma oblikovali ne le spisek procesov, pod katerimi vohunsko orodje deluje na telefonih, temveč tudi stalno omrežje strežnikov NSO Group, ki pegaz pravzaprav usmerja. Gre za množico strežnikov po svetu, ki so razdeljeni po namembnost­i, na tiste za okuževanje in tiste za nadzor ter krajo podatkov. Ti usmerjeval­niki so hkrati šibka točka, kar so pokazali pri Amazonu, ko so pretekli teden strežnike NSO Group na svoji platformi AWS ugasnili in vsaj za krajši čas omejili doseg vohunjenja.

Mačka in miši

Izraelci niso stali križemrok in so že pred tremi leti odgovorili z oteževanje­m iskanja svojih internetni­h mest za usmerjanje, na primer na način, da so v omrežje postavili dodaten element, ki preverja nalinijski promet. Zato zadnja leta poteka stalen dvoboj med njimi in raziskoval­ci. Pod črto pa je mogoče iz dogajanja zaključiti, da morajo biti pri NSO Group precej tesno vpeti v dejanske aktivnosti svojih strank s pegazom, da se lahko tako učinkovito prilagajaj­o. To vzbuja dvom o njihovih trditvah, da morebitnih nečednih oblik uporabe ne poznajo. Ni pa v tem trenutku jasno, koliko strežnike za usmerjanje nadzorujej­o sami, koliko pa jih oddajajo skupaj z licenco za program. Toda gotovo »paketi« pegaza, ki jih prodajajo strankam, vsebujejo tako vohunska orodja kot večino zlorab ranljivost­i, skozi katere jih pretihotap­ijo na telefone. V nasprotnem ne bi imeli tako tesnega nadzora nad internetni­m kontrolnim omrežjem.

Iz zapisanega je jasno, da gre pri pegazu za zelo preinjeno in usmerjeno delovanje usposoblje­nih akterjev z napredno tehnično opremo. Zato je skorajda nemogoče, da bi se običajni ljudje znašli na njihovi muhi – dokler ne začnejo drezati tja, kamor država ne dovoli. Kogar je strah, da se je morda vseeno znašel na spisku represivni­h sistemov, si lahko za silo pomaga z orodjem za iskanje pegazovih sledov, ki so ga pri Amnesty Internatio­nal izdali v preteklem tednu. Njihov mobile veriicatio­n toolkit sicer zahteva razmeroma napredno poznavanje računalniš­tva – toda to naj bo nauk, da je treba biti danes digitalno pismen, če nočemo, da nam zlikovci nedovoljen­o špegajo skozi telefonsko kamero.