Vasárnap robbant a hír, hogy magyar célszemélyek ellen is bevetették az NSO nevű izraeli kibercég okostelefonok feltörésére alkalmas kémprogramját, a Pegasust. A szoftverrel újságírókat, vagyonos üzletembereket (köztünk lapunk tulajdonosát), illetve az ő szűkebb környezetük telefonjait figyelték meg – derítette ki a a Direkt36 egy nemzetközi tényfeltáró projekt keretében. Az oknyomozást a Forbidden Stories nevű tényfeltáró újságírói hálózat vezette, amely az Amnesty International (AI) jogvédő szervezettel közösen jutott hozzá egy, az NSO ügyfeleinek tevékenységével kapcsolatos adatbázishoz.
Kémszoftverekkel már mi is sokat foglalkoztunk korábban, mivel a digitális kártevők (malware) fontos példányai. Az ilyen típusú kártékony kódok különféle eszközökről (számítógépek, telefonok) gyűjtenek be érzékeny információkat, vagy akár azt is lehetővé teszik, hogy a kiberbűnözők kíváncsiskodjanak a fertőzött eszköz kameráján, mikrofonján keresztül. Ehhez a tevékenységhez biztonsági réseket használnak ki, amik rejtőzhetnek a legnépszerűbb, sokak által használt applikációkban, vagy akár operációs rendszerekben is.
A szoftverek képességei is sokszor attól függenek, mennyit fizet értük az ügyfél. A Pegasust az izraeli NSO fejlesztette kifejezetten iPhone-ok és androidos készülékek feltörésére. A 2010-ben alapított cégnek saját bevallása szerint 40 országban 60 kormányzati ügyfele van, vezető névnek számít az egyre növekvő és szabályozatlan privát fejlesztésű kémszoftverek szektorában. Hogy pontosan kik az ügyfeleik, arról nem adnak ki információkat, ahogyan az ügyfelek által összegyűjtött adatokhoz sincs hozzáférésük.
Az ilyen típusú kémprogramoknak sokkal magasabb az áruk, mivel sokkal fejlettebbek, így kevesen is engedhetik meg maguknak a használatukat. Olyan technológiát alkalmaznak, ami sokkal biztosabban működik, kevesebb nyomot hagy maga után, így nem, vagy csak nagyon nehezen felfedezhető”
– magyarázza a lapunknak nyilatkozó etikus hacker.
Mi is a Pegasus?
A Pegasust az egykori izraeli kormányközeli kiberkémeket is alkalmazó NSO fejlesztette. A fejlesztőcég korábbi közleményei szerint az izraeli védelmi minisztériumnak minden esetben engedélyeznie kell, hogy egy külföldi ügyfél megvásárolhassa a szoftverüket. A vevő ráadásul csupán olyan kormányzati szereplő lehet, amely bűnmegelőzési céllal, terrorelhárításhoz, vagy nyomozásokhoz használja fel az eszközt. Amennyiben tudomást szereznek visszaélésről, intézkedéseket tesznek.
Ám mint minden technológia, ez is kétélű fegyver, és visszaélésekre ad lehetőséget – a Pegasusszal kapcsolatban is kiderült, hogy az eszközt több esetben sem bűnözők vagy terroristák megfigyeléséhez vetették be. Az NSO ügyfeleinek tevékenységével foglalkozó adatbázisban több mint 50 ezer olyan telefonszámot találtak a tényfeltáró projekt során, amiket a program vásárlói megfigyelési célpontként választottak ki 2016-tól kezdve. Az adatbázisban több mint 300 magyar célpont is szerepelt.
Igaz, a listázott szereplők közül nem mindenkit hallgattak le, de az Amnesty biztonsági csapata által végzett vizsgálatok során több esetben is sikerült felfedezni a bizonyítékokat. Legalább tíz országban használták újságírók, jogvédők, ellenzéki politikusok, ügyvédek és üzletemberek ellen, köztük Azerbajdzsánban, Bahreinben, az Egyesült Arab Emírségekben, Indiában, Kazahsztánban, Marokkóban, Mexikóban, Ruandában, Szaúd-Arábiában és Togóban.
Az izraeli cég a vádakat alaptalannak nevezte, rágalmazási per indítását fontolja, szerinte a Forbidden Stories oknyomozása tele van téves feltételezésekkel és megalapozatlan elméletekkel. A cég vezetője (az egykor izraeli hadseregnek dolgozó) Shalev Hulio a Postnak elmondta: bizonyos körülmények közt az ügyfeleik visszaélhetnek a rendszerrel, és ahogy átláthatósági jelentésükben korábban közzétették, egyes ügyfelektől megvonták a kémszoftverek használati jogát, miután visszaélésre derült fény, az elmúlt egy évben két szerződést is felbontottak emberi jogokba ütköző tevékenységek miatt. Igaz, az országokat nem nevezték meg, mivel nem adnak ki információkat a partnerekről.
Hogy kerül a mobilra és mit gyűjt össze?
A Pegasus eddig két ismert módon tud a kiszemelt célpont eszközére jutni. Régebbi verziói esetében egy csalilinket kap az áldozat, de a legutóbbi verzió úgynevezett „zero-click” módon jut a mobilra, lényegében semmit nem kell csinálni hozzá – link helyett népszerű appok még nem ismert sérülékenységein keresztül is bejut, ha adottak bizonyos feltételek.
Vannak olyan speciális körülményeket igénylő sebezhetőségek, amik nagyon összetettek, ezért nehéz lenne elmagyarázni a működésüket – így a lapok sem nagyon írnak róluk. A célpontnak lényegében nem kell semmilyen interakciót végrehajtania, hogy adott körülmények közt a támadókód rákerüljön a készülékére
– mondja szakértőnk.
A kémprogram gyakorlatilag szinte bármilyen információhoz hozzáfér, ami a telefonon található, és bármit el tud végezni, amit a felhasználó is. Hozzáférhetők vele többek közt így
- a kamera,
- a mikrofon,
- a helyadatok,
- a híváslista,
- a névjegyek,
- az sms-ek,
- e-mailek,
- az eszközön tárol fotók, videók,
- a naptárak.
A beszámolók szerint még a végponttól végpontig terjedő titkosítást használó, teljesen biztonságos kommunikációs eszköznek tűnő csevegőappok sem jelentenek védelmet, így például a Signal és a WhatsApp sem. A titkosítás csak attól védi meg az üzenetet, hogy ha útközben valaki elkapja, akkor sem tudja feltörni, és belenézni a tartalmába. Itt azonban bonyolultabb a helyzet.
Ebből is látszik, hogy sokkal komolyabb technikai háttere van a megoldásnak. Hagyományos kémszoftvernek nem nagyon lenne lehetőség arra, hogy ilyen adatokhoz hozzáférhessen. A titkosított csevegő még mindig csak a hálózaton keresztüli lehallgathatóságot akadályozza, de egy olyan kód, ami hozzáfér mindenhez, amihez a felhasználó is, meg tudja kerülni a titkosítást, mert már akkor hozzáférése van a titkosítandó kommunikációhoz, amikor a titkosítás még le sem futott
– magyarázza a hacker. A kóddal lényegében mindent meg lehet tenni, amire a készülék tulajdonosa is képes. Ám mivel rendkívül fejlett technológiáról van szó, nagyon kevés nyomot hagy maga után, így nehéz észrevenni.
„Egy laikus felhasználó számára nem lenne észrevehető, hogy a Pegasus ott van a mobilján, mert már olyan magas technológiai minőséget képvisel. A készítők nagyon nagy gondot fordítanak arra, hogy az eszköz ne csak a feladatát lássa el, de azt hosszútávon, észrevétlenül tudja megtenni – a vásárlók ezt várják el. A fejlesztők olyan sérülékenységeket találnak, melyeket kihasználva a kártevő olyan mértékben el tudja rejteni magát, hogy csak laboratóriumi körülmények közt mutatható ki a jelenléte egy mobilon” – mondja szakértőnk.
Mi a gond ezzel az egésszel? Hiszen a Facebook is megfigyel!
A közösségi médiában több netező is felemlegeti az ügy kapcsán azt az elméletet, hogy de hát a Facebook a háttérben folyamatosan hallgatózik a felhasználók okostelefonján keresztül (amivel nemrég mi is bővebben foglalkoztunk), így semmi meglepő nincs az izraeli kémprogram ügyében, ám a kettőt nem érdemes összemosni.
Egyáltalán nem mindegy, hogy egy felhasználónak azért monitorozzák és kivonatolják az internetes érdeklődését és beszélgetéseit, hogy kulcsszavakat keressenek hirdetések megjelenítéséhez, vagy hogy a teljes kommunikációját lehallgatják és betűről betűre rögzítik, hozzáférve a fotóihoz, majd azokat manuálisan kielemzik és olvassák, hogy pontosan megtudják, milyen tevékenységet végez
– fejti ki a biztonsági szakember.
A kritikusok szerint amellett, hogy a személyes térbe való ilyen szintű behatolás alapból problémás, a Pegasus és ahhoz hasonló fejlett kémszoftverek széleskörű használata fenyegetést jelent a demokráciára – hívja fel a figyelmet a Washington Post cikke. A lehallgatott újságírók nem tudnak anélkül érzékeny információkat összegyűjteni, hogy ne tegyék ki kockázatnak magukat és a forrásaikat. Az ellenzéki politikusok kampánystratégiájának egyes lépései idő előtt kideríthetők, így azokat ellehetetleníthetik. A jogvédők nem dolgozhatnak sebezhető emberekkel anélkül (akik sokan saját kormányuk áldozatai), hogy ne tegyék ki őket újabb bántalmazás veszélyének.
Létezik feltörhetetlen mobil?
Jól látszik, hogy mindegy, hogy androidos, vagy iOS-es mobilról van szó, mivel mindegyiken kihasznál sérülékenységet a Pegasus – sok sérülékenységet még maguk a gyártók sem ismernek. Felmerül a kérdés, hogy akkor létezik-e feltörhetetlen telefon, és mit érdemes használni például az érzékeny információval dolgozó újságíróknak.
„A butatelefonok támadhatósága eléggé minimális. Így ha egy újságíró olyan kommunikációt folytat, ami miatt lehallgatások célkeresztjébe kerülhet, érdemes olyan eszközt használnia, ami csak hívások és sms-ek fogadására alkalmas, mert kisebb a támadási felület, amelyen kihasználható sérülékenység bújhat meg. Javasolnék még árnyékoló tasakot, tárolót, tokot, aminek a használatával az eszköz minden kommunikációja megszűnik, nem követhető cellainformációk alapján se, merre jár a tulajdonosa” – ajánlja megkérdezett szakértőnk.
Átlagfelhasználói szinten a biztonságtudatosság, a megfelelő védelmi szoftverek használata a legtöbb, amire figyelhetünk: az eszközök és szoftverek folyamatos frissítése, a gyanús linkekre való kattintás mellőzése, és a megfelelő védelmi programok használata.
Egy ilyen volumenű kiberfegyverrel szemben védekezni nem egyszerű, laikusként főleg nem. Az ideális az lenne, ha az általunk használt alkalmazások fejlesztői folyamatosan foltoznák be a sérülékenységeket, de ők sem tudnak mindent felfedni. És úgy védekezni, hogy adott hibáról senki nem tud, csak a támadó, nem lehet
– fejti ki az etikus hacker.