Przed udzieleniem pożyczki skontaktuj się z prawnikiem po profesjonalną poradę. Jak zabezpieczyć pożyczkę prywatną? Zacznijmy od tego, że nie ma zabezpieczenia, które da Ci 100% pewność spłaty pożyczki. Masz do wyboru kilka rozwiązań, każde ma swoje plusy i minusy. Różnią się kosztami i możliwościami prawnymi. Co masz do Nieszczelne drzwi sprawiają, że zimne powietrze wnika do domu. Zabezpiecz się przed nim zakładając na dolną krawędź drzwi piankową izolację do rur. W mroźny słoneczny dzień możesz zaoszczędzić na energii, odsłaniając zasłony lub żaluzje. Ciepłe promienie słońca ogrzeją pokój. Czesi wybierają prezydenta i w kampanii kłócą się o pomaganie Polakom w razie wojny. Wiceszef CBA atakował urzędniczkę za jej walkę o niskie ceny leków dla pacjentów #podejrzanipolitycy. Ks. Tomasz Jegierski nie żyje. To on oskarżał Kornela Morawieckiego o podejrzane pożyczki. Był też sygnalistą i informatorem ws. pedofilii w Firma twierdzi, że stworzyła tryb blokady (Lockdown Mode), aby pomóc chronić ważnych ludzi, którzy ze względu na swój status lub pracę mogą być osobiście celem złośliwego oprogramowania opracowanego przez takie firmy jak NSO Group, która stoi za Pegasusem, lub inne grupy wspierane przez państwa (np. Chiny czy Rosję). Można spróbować także sięgnąć po aromatyczne olejki: na przykład paczulowy, z trawy cytrynowej, goździkowy. Zaletami takiego rozwiązania jest m.in. to że rośliny i olejki rozsiewają dość przyjemny zapach i mogą w naturalny i ekologiczny sposób częściowo ochronić dom przed owadami. Z drugiej jednak strony – musimy się Zabezpieczenie domu przed włamaniem: system alarmowy. System alarmowy to jedna z podstaw zabezpieczenia domu. Alarmy mogą działać dwojako – głośny dźwięk może odstraszyć włamywaczy oraz poinformować sąsiadów o tym, że coś się dzieje (sąsiadów zresztą, jeśli mamy do nich zaufanie, warto poinformować o naszym wyjeździe i . Czy można skutecznie zapobiegać infekcji (lub jej skutkom) za pomocą jednego z najbardziej wyrafinowanych narzędzi do inwigilacji? Nie jest to proste zadanie, ale wobec potencjału nadużyć Pegasusa warto zrobić przegląd możliwych rozwiązań. Wiedza przedstawiona poniżej oparta jest o publicznie dostępne informacje na temat sposobu działania narzędzi takich jak Pegasus, głównie raporty Citizen Lab i Amnesty International. Nie możemy obiecać, że skutecznie zapobiegnie infekcji lub ograniczy jej skutki, ale wiele poniższych rekomendacji ma ogólnie pozytywny wpływ na bezpieczeństwo danych przetwarzanych na smartfonie. Jeśli zatem nie czujecie się celem Pegasusa, lektura (i wdrożenie) też nie zaszkodzi. Czekamy też na wasze propozycje – na pewno nie wyczerpaliśmy katalogu pomysłów. Nie chcę czytać całości, dajcie streszczenie używaj telefonu z Androidem, model spoza listy 20 najpopularniejszych, wyprodukowany nie dawniej niż 6 miesięcy temu,dbaj o aktualizacje oprogramowania,regularnie restartuj telefon (przynajmniej raz dziennie),nie zostawiaj telefonu bez opieki,używaj szyfrowanych komunikatorów,raczej dzwoń niż pisz,jeśli piszesz, włącz znikające wiadomości,linki od nieznajomych otwieraj na komputerze. Chcesz wiedzieć więcej? Przeczytaj artykuł, a już za ok. 2 tygodnie odbędzie się mój wykład na żywo (i oczywiście sesja Q&A) poświęcona wszystkiemu, co wiem o Pegasusie. Zapraszam do rejestracji (uwaga, dostęp będzie płatny – ale osoby zapisane oprócz linka do płatności dostaną także najlepszy możliwy kod rabatowy). Więcej szczegółów o planowanej treści wykładu znajdziesz na końcu artykułu. Lepiej nie być celem Najlepszą poradą jest nie być celem Pegasusa. Liczba licencji, którą dysponuje CBA, prawdopodobnie pozwala na równoczesny podsłuch 20-30 osób. Bycie poza listą 30 najciekawszych osób z punktu widzenia służb w Polsce powinno pomóc w uniknięciu infekcji. Nie jest to jednak porada dla wszystkich – są osoby, które (chcąc lub nie chcąc) na tej liście się jednak znajdą. Gdy Android wygrywa z iOS-em Wiemy, że infekcja telefonu musi opierać się o opracowaną przez producenta Pegasusa metodę ataku. Metoda ta w większości przypadków musi być opracowana dla konkretnego zestawu urządzenie + wersja oprogramowania. Rachunek ekonomiczny oznacza, że dużo łatwiej będzie zaatakować popularny model telefonu niż model niszowy. Z drugiej strony nie może być to model przestarzały, z oprogramowaniem sprzed paru lat – tam szansa na istnienie znanych błędów jest dużo większa. Rekomendujemy zatem: Androida (wszystkie współczesne iPhone’y są zapewne obsługiwane przez producenta Pegasusa),model z ostatnich 6 miesięcy, ale spoza top 20 najpopularniejszych telefonów na świecie,dbanie o natychmiastowe instalowanie aktualizacji,wymianę na nowy, gdy tylko skończy się dostępność aktualizacji oprogramowania. Co ciekawe, wszystkie udokumentowane przypadki infekcji Pegasusem w ostatnich 3 latach dotyczą iPhone’ów. Nie znamy żadnego dowodu wskazującego, by ktokolwiek znalazł po roku 2018 Pegasusa na Androida (istniejące np. na GitHubie repozytoria zawierają starsze przykłady). Nie znaczy to oczywiście, że takiego nie ma – ale może być znacznie rzadziej używany i trudniej wykrywalny. Ograniczenie tego, co da się przechwycić Jeśli już zostaniemy ofiarą Pegasusa, to pamiętajmy, że operator narzędzia ma dostęp do dwóch kategorii informacji: tego, co już zgromadziliśmy na urządzeniu do momentu infekcji,tego, co na urządzenie trafi w trakcie trwania infekcji. Jak zminimalizować obie kategorie? Oczywiście najlepiej nie robić zdjęć, nie wysyłać e-maili, nigdzie nie jeździć (historia lokalizacji) i do nikogo nie pisać / dzwonić – ale przecież do tego właśnie potrzebujemy telefonu. Polecamy zatem poufne treści przekazywać w sposób nie zostawiający ich treści na urządzeniu. Możemy to osiągnąć na dwa sposoby: przekazując je głosowo (w ramach szyfrowanych połączeń w komunikatorach),używając funkcji znikających wiadomości w szyfrowanych komunikatorach (Signal, wkrótce także WhatsApp). Zaletą znikających wiadomości jest to, że po odczytaniu znikają one z urządzenia nadawcy i odbiorcy. Wadą znikających wiadomości jest to, że po odczytaniu znikają one z urządzenia nadawcy i odbiorcy. Poufność ma swoją cenę. Niestety, jeśli nasz telefon jest już zainfekowany, to pisane i odbierane wiadomości mogą być na bieżąco zapisywane przez Pegasusa – nawet jeśli po chwili znikną z naszego telefonu, to może być za późno. Tu z pomocą przychodzi nam kolejny akapit. Reboot na ratunek Wiemy, że przynajmniej w latach 2019-2021 Pegasus nie potrafił przetrwać restartu na iPhonie. To oznacza, że jeśli wyłączyliśmy telefon i włączyliśmy go ponownie, mamy chwilę, dopóki operator ponownie nie zarazi telefonu, by np. nawiązać rozmowę telefoniczną lub wysłać znikającą wiadomość. Ile trwa ta chwila? Nie wiemy, ale skoro operator musi dokonać reinfekcji „ręcznie” (świadczy o tym podawana w raporcie Citizen Labu liczba reinfekcji telefonu senatora Brejzy – w ciągu 6 miesięcy było to „tylko” ponad 30 reinfekcji i następowały w odstępie kilku dni po sobie, więc raczej nie były automatyczne), to zapewne jest to w najgorszym wypadku kilka minut, a w najlepszym kilka dni. Tryb samolotowy nie wystarcza Czy przejście w tryb samolotowy to dobry pomysł na poufne spotkania z telefonem w kieszeni? Niekoniecznie, ponieważ oprogramowanie szpiegowskie może być tak skonfigurowane, by w momencie aktywowania trybu samolotowego np. włączyć mikrofon i nagrać następną godzinę dźwięków wokół urządzenia, a następnie po powrocie do trybu zwykłej pracy wysłać nagranie operatorowi. Lepiej telefon w takiej sytuacji wyłączyć. Antyporady Spotykamy często inne, niezbyt mądre porady dotyczące zabezpieczenia przed Pegasusem. Najczęstsze to: używaj Nokii – bez sensu, ponieważ albo nie ma na nim szyfrowanych komunikatorów (a rozmowy i SMS-y służby mogą podsłuchiwać bez Pegasusa, dużo prościej),używaj starego smartfona – bez sensu, ponieważ jego oprogramowanie ma najprawdopodobniej sporo błędów, przez które można zhakować telefon,osobny, ukryty telefon do poufnej komunikacji – bez sensu, ponieważ służby są w stanie szybko ustalić posiadane przez ofiarę telefony, czy to poprzez źródła osobowe, czy dzięki fałszywym stacjom bazowym,częsta zmiana telefonu – bez sensu, jak wyżej oraz mało praktyczne, chyba że możecie sobie pozwolić na używanie codziennie innego numeru telefonu,używanie komunikatora „wykrywającego Pegasusa” – bzdura, komunikatory tak się reklamujące najwyżej wykrywają istnienie na telefonie aplikacji przejmującej uprawnienia i stosunkowo łatwo je w tej kwestii oszukać,używanie komunikatora „odpornego na Pegasusa” – bzdura, Pegasus może podsłuchać dowolny komunikator, a to, że setek komunikatorów nie obsługuje domyślnie, świadczy jedynie o tym, że są one niezbyt popularne (twórca Pegasusa może dopisać odpowiedni moduł na zamówienie klienta),używanie dedykowanych urządzeń, telefonów działających tylko w ramach swojej własnej sieci (nie tylko Catel, ale także np. oferty „dla przestępców” jak An0m) – mało praktyczne, bo albo niewygodne, albo okazuje się, że całą usługę świadczyło FBI. Zapobieganie infekcji Czy możemy w ogóle zapobiec infekcji telefonu? Wiemy o co najmniej czterech głównych metodach infekcji Pegasusem. Nie wiemy, czy wszystkie są nadal stosowane, ale dwie pierwsze na pewno były swojego czasu dostępne, a dwie kolejne są na pewno używane obecnie: dostęp fizyczny do urządzenia,bliskość fizyczna i przejęcie połączenia GSM,atak zdalny wymagający interakcji użytkownika,atak zdalny bez interakcji użytkownika. Dostęp fizyczny Obrona przed dostępem fizycznym wydaje się prosta – nie należy zostawiać telefonu bez opieki. Obejmuje to jednak także brak np. możliwości kąpieli morskich lub na basenie, brak możliwości wstępu do niektórych obiektów czy poddawania się niektórym zabiegom i badaniom (zostawienie telefonu w domu nie rozwiązuje problemu – chyba że ktoś zaufany przejmuje opiekę nad urządzeniem). Jak zatem minimalizować ryzyko? Polecamy, oprócz rekomendacji z wcześniejszych punktów: długi PIN (minimum 6, lepiej 8 cyfr lub liter),stosowanie biometrii do zabezpieczenia dostępu,minimalizacja sytuacji, gdy spuszczamy telefon z oka. Atak przez podstawioną sieć GSM Wiemy, że jedną z metod infekcji było użycie tzw. jaskółki – fałszywej stacji bazowej, z którą w postaci walizki lub jadącego za nami samochodu podążają za ofiarą agenci. Fałszywa stacja bazowa przejmuje połączenia naszego telefonu i przeprowadza atak wstrzyknięcia własnych komunikatów, skutkujących infekcją urządzenia. Aby minimalizować ryzyko, polecamy, oprócz rekomendacji z wcześniejszych punktów: wyczulenie na obecność osób / pojazdów w okolicy. Atak zdalny wymagający interakcji użytkownika Jednym z często używanych wektorów ataku były wiadomości (przekazywane np. za pomocą WhatsAppa czy iMessage), zawierające linka z krótkim opisem. Miał on zachęcić ofiarę do odwiedzenia danego adresu, pod którym czyhał już atak na przeglądarkę ofiary. Widzieliśmy głosy mówiące „użytkownik jest sam sobie winny, że kliknął w linka”. Ale zaraz, do czego niby służą linki, jak nie do klikania? Trudno zarzucać dziennikarzowi piętnującemu działania autokratycznego reżimu, który otrzymuje wiadomość od anonimowego informatora z linkiem do „wykradzionych materiałów” lub innego wycieku, mającego szkodzić władzy. Wiele doświadczenia, samodyscypliny i umiejętności technicznych wymaga zapoznanie się z każdym przesłanym linkiem tylko w bezpiecznym środowisku. Wiele osób nie posiada w ogóle komputera, używając do wszystkiego telefonu – tu trudno już w ogóle rekomendować cokolwiek, oprócz wyjątkowej ostrożności w interpretacji wiadomości od anonimowych / nieznanych nadawców. Polecamy zatem: tam, gdzie to możliwe, unikać klikania na telefonie w linki otrzymywane od nieznanych lub potencjalnie wrogich numerów,jeśli to możliwe, podejrzane linki kopiować i otwierać na komputerze, w izolowanym środowisku wirtualnym. Atak zdalny bez interakcji użytkownika Tu, oprócz porad z pierwszych akapitów, nie mamy niestety żadnych lepszych pomysłów. Aktualizacje oprogramowania nie pomogą na błędy typu 0-day (nieznane producentowi w momencie ataku). Jedyną potencjalnie skuteczną metodą obrony jest używanie nietypowego modelu telefonu, obniżające szanse, że gotowy atak istnieje w arsenale producenta. Wykrywanie Pegasusa To dość skomplikowana kwestia, którą najlepiej wyjaśnił Wojtek Reguła w artykule opublikowanym wczoraj w naszym serwisie. Polecamy jego lekturę. Chcesz wiedzieć więcej? Już wkrótce (za ok. 2 tygodnie) odbędzie się mój wykład na żywo (i oczywiście sesja Q&A) poświęcona wszystkiemu, co wiem o Pegasusie: historia Pegasusa w Polsce – kto, kiedy, od kogo kupił, jakiej używał infrastruktury, skąd mamy pewność, że jest używany,historia najbardziej bulwersujących nadużyć,analiza funkcji Pegasusa w oparciu o ulotki producenta, pozwy Facebooka i Apple oraz oferty składane innym krajom,infrastruktura używana do przeprowadzania ataków,przykłady linków z ataków,rozwinięcie wątku obrony,metody wykrywania obecności na telefonie,analiza znanych ataków / exploitów,historia producenta i jego obecnych problemów,konkurencja Pegasusa – Candiru, Predator. Udział w wykładzie będzie płatny. Jeśli chcesz poznać termin, cenę i kod dający najwyższy rabat ze wszystkich dostępnych, zapisz się na tej stronie. Jak tylko będę miał gotowe slajdy (a już produkuję), ustalę termin i wyślę powiadomienie wraz z linkiem do rejestracji. Nagranie wykładu będzie oczywiście dostępne – ale tylko tylko dla jego uczestników. Podobne wpisy WhatsApp użyty do instalowania Pegasusa ostrzega 1400 użytkowników Media społecznościowe jako narzędzie inwigilacji dla Pentagonu Między bezpieczeństwem a inwigilacją, czyli historia o podsłuchiwaniu obywateli To prawdopodobnie CBA kupiło platformę podsłuchową Pegasus Szpiegowali komórki małżonków lub dzieci – ich dane znalazły się w sieci Aktualności | Dodano: 2021-12-24 09:01 Eset deklaruje, że ma sposób, który zabezpieczy smartfona przed Pegasusem. 446 298 Oprogramowanie może być także zainstalowane bez jakiejkolwiek akcji ze strony ofiary W Polsce miało dojść do kolejnego przypadku inwigilacji Pegasusem. Tymczasem Eset zapewnia, że ma skuteczną ochronę przed tym oprogramowaniem szpiegującym izraelskiej firmy NSO Group. Według ekspertów dla urządzeń z Androidem jest to oprogramowanie Eset Mobile Security. „Pegasus jest bardziej niebezpieczny w porównaniu do innych zagrożeń mobilnych, ponieważ wykorzystuje luki 0-day, w tym tzw. exploity zero-click 0-day. Wykorzystanie luk tego typu oznacza, że osoby atakujące mogą z powodzeniem złamać zabezpieczenia smartfona, nawet gdy zostały zainstalowane na nim najnowsze aktualizacje. Co więcej, „zero-click” oznacza, że potencjalna ofiara nie musi nic robić (tzn. nie musi klikać linka ani nawet czytać przychodzącej wiadomości SMS), aby jej telefon został zainfekowany” – wyjaśnia Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa w Eset. „Zagrożenie zostało sklasyfikowane i jest wykrywane przez Eset pod nazwami „Android/ Android/ – zapewnia Kamil Sadkowski, dodając, że oprogramowanie Mobile Security chroni sprzęt z Androidem przed Pegasusem. Użytkownik systemu iOS może sprawdzić, czy jego urządzenie zostało zainfekowane Pegasusem poprzez skontrolowanie kopii zapasowej iTunes przy użyciu narzędzia opracowanego przez Amnesty International. Pegasus przetrząśnie telefon, wykradnie hasła, podsłucha i podejrzy Według eksperta malware umożliwia podgląd wiadomości, zdjęć i kontaktów na smartfonach, na których zostanie zainstalowane. Pozwala też na podsłuchiwanie prowadzonych rozmów telefonicznych (a nawet ich nagrywanie) oraz otoczenia. Ma dostęp do SMS-ów, kontaktów, kalendarza, danych aplikacji poczty email i komunikatorów, lokalizacji GPS, haseł Wi-Fi. Słowacka firma twierdzi jednocześnie, że potwierdzenie, że telefon został zainfekowany Pegasusem, nie jest łatwym zadaniem nawet dla profesjonalistów od cyberbezpieczeństwa. Zdaniem Esetu najskuteczniejszym sposobem rozwiązania problemu w postaci potencjalnej inwigilacji Pegasusem jest traktowanie smartfonów tak, jakby posiadały już złośliwe oprogramowanie. Generalnie błędem jest przechowywanie poufnych informacji na urządzeniach, które podejrzewamy, że mogły być zainfekowane. eset pegasus Podobne aktualności Autor: Krzysztof Pasławski | Dodano: 2022-04-21 07:21 Laptopy Lenovo zagrożone Trzy luki w zabezpieczeniach laptopów Lenovo zagrażają milionom urządzeń. Są już „łatki”, trzeba ją jak najszybciej zainstalować. eset lenovo W sieci pojawiła się instrukcja obsługi Pegasusa, czyli “rządowego trojana” do wynajęcia, który został stworzony przez izraelską firmę NSO Group i z którego korzystają funkcjonariusze CBA. Jeśli wierzyć metadanym, dokument pochodzi z sierpnia 2016 roku. Choć ma 3 lata, to rozwiewa kilka mitów na temat tego rozwiązania powtarzanych ostatnio w różnych mediach. Konsola trojana Pegasus, pozwalająca operatorowi śledzić pozycję figuranta Dokument opisujący korzystanie i możliwości Pegasusa rozpoczyna się od nakreślenia metod inwigilacji, które — wedle autorów Pegasusa — są od niego gorsze: Passive Interception, czyli standardowy sniffing, z którego zasłynęło NSA. Jest gorszy, bo ruch z/do urządzeń mobilnych jest dziś w większości szyfrowany. IMSI Catcher, czyli fałszywy BTS. Jest gorszy, bo jest ograniczony (wedle NSO Group daje wgląd tylko w połączenia telefoniczne i SMS-y, co nie jest prawdą) i trzeba być blisko ofiary oraz wymusić pracę jej urządzenia w niższych standardach niż 3G/LTE, przy których IMSI Catcher “lepiej sobie radzi”. Infekcja złośliwym oprogramowaniem, czyli trojany. Jest gorsza, bo wymaga interakcji z użytkownikiem, a nie każdy “cel” jest na tyle naiwny, że przejdzie przez procedurę instalacji złośliwego oprogramowania nie zdając sobie sprawy z tego co robi. Plus antywirusy mogą czasem pokrzyżować plany. I tu wchodzi Pegasus, cały na biało! Który, co jest mocno kuriozalne, sam siebie nie zalicza do “infekcji złośliwym oprogramowaniem”. Dlaczego? Bo po cichu i bez interakcji z ofiarą “wstrzykuje” swojego agenta na smartfona ofiary. Ten brak interakcji ma świadczyć o wyższości nad “tradycyjnym” złośliwym oprogramowaniem. Nie znaczy to jednak, że i przy Pegasusie ofiara czasem nie musi czasem kliknąć w jakiś link z SMS-a — musi. Ale o tym za chwilę. Z instrukcji dowiemy się też, że Pegasus wspiera następujące systemy: Androida, iOS-a BlackBerry, Symbiana I co, posiadacze starych Nokii, dalej uważacie że jesteście bezpieczni? :) Nie musisz dogadywać się z operatorem, aby inwigilować jego klientów Program zbiera lokalizację, historię połączeń, hasła, pliki oraz “plany i aktywności” (cokolwiek to znaczy). Potrafi przechwycić połączenia telefoniczne i VoIP (np. Skype, WhatsApp, Facebook) w czasie rzeczywistym. A co najważniejsze dla niektórych klientów — nie wymaga współpracy z operatorem GSM. Czyli nikt “nie dowie się” o prowadzonej przez klienta (być może nielegalnej) kontroli operacyjnej. Pegasus potrafi też “wykryć inne tożsamości ofiary” (czyt. zmianę karty SIM) i chwali się tym, że nie wymaga dostępu fizycznego do urządzenia ofiary (choć instalacja agenta “z palca” na urządzeniu też jest możliwa). Trojan ma nie zostawiać śladów na urządzeniu ofiary i posiada opcję “samozniszczenia” w przypadku wykrycia (ale jak widać, niezbyt dobrze ona działa, hehe). Z dokumentu dowiemy się także, że Pegasus składa się z warstw: Infekujemy ofiarę z naszej piwnicy na drugim końcu świata Instalacja może nastąpić na 2 sposoby; zdalnie i dwa lokalnie: Over the Air: Wiadomość push jest wysyłana na urządzenie i skłania je do pobrania i zainstalowania agenta automatycznie. Ofiara nic nie musi robić i z niczego nie zdaje sobie sprawy. Enhanced Social Engineering Message (ESEM): Jeśli opcja OTA nie jest możliwa, operator Pegasusa może wysłać tradycyjnego SMS-a lub e-maila do ofiary z linkiem. Jedno kliknięcie spowoduje próbę instalacji agenta Pegasusa na urządzeniu ofiary. Wszystko dzieje się “w tle”, czego ofiara nie będzie świadoma. Ale… to czy ofiara kliknie w link, zależy od wiarygodności wiadomości. Zostają też ślady po takiej wiadomości. No i co ważne — w tym wariancie — jeśli ofiara nie kliknie — nie zostanie zainfekowana. Ale co najważniejsze — z punktu widzenia typowego klienta firmy NSO Group, który ma szpiegowskie ciągotki, ale brak odpowiedniej wiedzy technicznej — do obu ataków wymagane jest podanie jedynie numeru telefonu ofiary lub jej adresu e-mail. Ścieżka instalacji Pegasusa Infekujemy ofiarę z bliska Poza instalacją zdalną, opisaną powyżej, Pegasusa można też zainstalować będąc “w pobliżu” ofiary, nawet jeśli operator nie zna adresu e-mail lub numeru telefonu ofiary: Tactical Network Element. Infekcja po przejęciu ruchu z urządzenia ofiary i wstrzyknięcia się w jego nieszyfrowaną porcję. Do wykonania np. za pomocą IMSI Catchera (który przy okazji także może odkryć numer telefonu ofiary) lub — jak się domyślamy — fałszywego hotspota/prawdziwego hotspota z odrobiną ARP spoofingu. Ręcznie. Manualna instalacja trwa poniżej 5 minut. Długo! Operator musi mieć dostęp do urządzenia ofiary przez cały ten czas. Podręcznik nie sugeruje jak można to wykonać, ale uważna lektura różnych dokumentów sądowych i książek szpiegowskich rysuje kilka scenariuszy: – zaproszenie kogoś do miejsca, gdzie telefony zostawia się w “depozycie” – podstawienie agenta (osoby), która uwiedzie/upije/uśpi ofiarę lub będzie w pomieszczeniu z ofiarą kiedy ta bierze prysznic – kontrola drogowa “ze sprawdzeniem czy telefon nie jest kradziony”. Nigdy nie oddawajcie swoich telefonów, nawet najbardziej nieporadnie wyglądającemu policjantowi — na tylnim siedzeniu jego policyjnego VW może siedzieć niewidoczny operator Pegasusa. Aktualizacja Specjalnie dla Wykopowicza, który chciał być zabawny — pozdrawiamy i wyjaśniamy. Żaden VPN (Nawet Nord, który wciąż ma promocję czarnopiątkową :P) nie ochroni przed infekcją Pegasusem, dlatego tego rozwiązania nie omawiamy w ekście. Infekcja OTA — na to VPN nie ma wpływu. Infekcja przez ESEM — na to VPN nie ma wpływu, ot “malware” ściągnie się przez tunel. Infekcja ręczna — na to VPN nie ma wpływu. VPN może pomóc ochronić się tylko przed infekcją przez TNE, bo węzeł pośredni nie będzie widział ruchu niezaszyfrowanego (o ile VPN jest skonfigurowany tak, że jest “always on”.) W chwili tworzenia tej instrukcji w 2016 roku, wspierane były następujące modele telefonów (teraz — jak wiemy — są one nowsze): Jak utrudnić lub uniemożliwić infekcję Pegasusem? Co ciekawe, w przyczynach “porażek” instalacji, odnotowano: Unsupported browser: the default browser of the device was previously replaced by the target. Installation from browsers other than the device default (and also Chrome for Android based devices) is not supported by the system. Jeśli temu zawierzyć (i założyć, ze informacje te po 3 latach wciąż są aktualne), to lepiej nie korzystać z domyślnej przeglądarki, bo jest domyślnym wektorem ataku Pegasusa ;) Na Androidzie używano też Chrome’a — ale na iOS już nie. (Nie oznacza to, że przez Chrome się nie da przejąć kontroli nad telefonem na iOS — ot pewnie nie posiadali wtedy działającego exploita). Oto dokładniejszy schemat instalacji agenta na urządzeniu: Dokładny opis etapów instalacji Pegasusa na urządzeniu ofiary Co ciekawe, Pegasus rozpoznaje urządzenie po stringu User-Agent, więc jego zmiana na niewłaściwy też paraliżuje atak: The device, OS and browser are identified by the system using their HTTP user agent. If by any reason the user agent was manipulated by the target, the system might fail to correctly identify the device and OS and provide the wrong installation payload. Czyżby oszukanie Pegasusa było naprawdę tak łatwe, jak ustawienie systemowego proxy podmieniającego User-Agent? Co wykrada Pegasus? Nie ma się co rozpisywać. Program wykrada wszystko. Od kontaktów przez lokalizację i zdjęcia aż do plików charakterystycznych dla niektórych aplikacji (w tym szyfrowanych komunikatorów). Ciekawostką jest to, że licencja może uniemożliwić wykradanie materiałów historycznych. Czyli — funkcjonariusz uzyskuje zogdę na kontrolę operacyjną, ale od dziś. Infekuje telefon i Pegasus blokuje mu możliwość pobrania archiwalnych SMS-ów czy e-maili, ale pozwala na dostęp do nowonadchodzących. To ciekawe, bo wygląda na raczej “miękkie” zabezpieczenie, bardziej po stronie logiki Pegasusa, którą zapewne można by obejść. Technicznie — pobranie tylko i wyłącznie aktualnych informacji, np. z szyfrowanego komunikatora jest problematyczne — są w tej samej bazie co starsze i lepiej ją parsować lokalnie po pobraniu z urządzenia w całości. Czyli — zgadujemy — że dane i tak są w całości pobierane ale funkcjonariusz w GUI Pegasusa widzi tylko odfiltrowane (aktualne) treści. Podsłuchiwanie przez mikrofon, gdy ekran wygaszony Pegasus ciekawie podchodzi do inwigilacji przez wbudowane w urządzenia mikrofony. Po prostu zestawia połączenie telefoniczne na urządzenie, które jest odbierane w agenta przy jednoczesnym wygaszeniu ekranu. Jeśli ktoś sięgnie po telefon, agent to wykrywa (akcelerometry?) i rozłącza połączenie. Domyślamy się, że pewien lag jest odczuwalny, jeśli np. leżącego telefonu który ma zestawione połączenie podsłuchowe ktoś nie weźmie w rękę, ale tapnie w ekran. Ten nie może się włączyć, zanim połączenie nie zostanie rozłączone. Mało miejsca na smartfonie ogranicza Pegasusa! Pegasus nie wysyła danych non-stop. Twórcy ostrzegają, że to mogłoby ujawnić obecność trojana na urządzeniu. Preferowane jest Wi-Fi, ale można też agenta skonfigurować do przesyłania informacji przez sieć telefonii komórkowej (transmisja danych) a nawet przez SMS-y. Przy braku łączności, np. spowodowanej roamingiem, buforowanie jest możliwe standardowo do 5% wolnego miejsca na dysku. A ładny on chociaż jest? Oceńcie sami. W instrukcji jest kilka screenshotów GUI, podczas analizy kalendarza figuranta, odsłuchiwania przechwyconych rozmów i — co pokazaliśmy już na pierwszym zrzucie ekranu w tym artykule — lokalizowania go na mapie: Przy okazji, jedną z ciekawych funkcji Pegasusa opisaną w instrukcji jest możliwość wykrywania spotkań 2 monitorowanych/zainfekowanych osób. Jeśli znajdą się blisko siebie — operator otrzyma powiadomienie. Pójdzie to na moim pececie? Nie bardzo. Wymagania sprzętowe dla “serca” Pegasusa są następujące: Wdrożenie systemu (instalacja, testy i szkolenie operatorów) zajmuje ok. 4 miesięcy: A potem już tylko regularne płacenie za aktualizacje oraz licencje roczne. I można inwigilować! A inwigilować niestety czasami trzeba… Na koniec tego artykułu kilka refleksji, z którymi chcemy Was zostawić. Służby od dawna wykorzystywały nowe zdobycze techniki do usprawniania swojej pracy (czyt. inwigilacji przestępców). Listy były otwierane, telegrafy (telegramy) były podsłuchiwane. Nie ma się co dziwić, że takie narzędzia (techniki) jak Pegasus powstają i działają w internecie — lub powstaną i będą działać w innym medium przez które komunikują się ludzie, w tym — niestety — także przestępcy. Z inwigilacją trzeba się pogodzić. Jej się nie powstrzyma. Nie oznacza to jednak, że nie można jej kontrolować i nadzorować. Nie jest to łatwe. Bo kto ma kontrolować “kontrolujących”? W niektórych krajach zaufanie do służb (i ich nieomylności czy etyki) może być większe niż w innych. Ale czy istnieje jakiś system, który pozwoliłby na transparentne nadzorowanie służb? Przecież jednym z wymogów służb jest niejawność metod działania. Cieżko połączyć transparentny nadzór z niejawnością. Przykładowo, Wasyl z GRU, wiedząc że Monika z jakiegoś NGO w Polsce nadzoruje poprawność wykorzystania technik inwigilacji przez np. polski kontrywiad, to pewnie od razu chciałby się na Monice skupić. Monika miałaby cenną wiedzę, a przecież jest tylko człowiekiem. Obiło nam się o uszy, że w niektórych krajach — jeśli służby inwigilują Kowalskiego, a ich podejrzenia okazują się niesłuszne, to potem muszą Kowalskiemu o tym powiedzieć, a ten ma prawo ich pozwać. Niestety, nie jesteśmy w stanie znaleźć nigdzie potwierdzenia tej, zasłyszanej na pewnej konferencji, historyjki. Może któryś z Czytelników, prawników, zna takie przepisy? Problem uprościć wiec możemy do tego, że wszyscy zgadzają się iż inwigilację trzeba kontrolować, ale jeszcze nikt nie znalazł na to prostej, transparentnej, wiarygodnej, rzetelnej i sprawiedliwej metody. Zbyt dużo konfliktów interesów. Nie tylko CBA ma takie zabawki I na koniec — wiele w mediach poświęciło się zdań temu, że to CBA posiada Pegasusa. Nikt jednak nie pokusił się o powiedzenie głośno, że podobne kompetencje i narzędzia mają inne służby. Dowodów może brak (co oznacza, że mają lepszy niż CBA opsec ;), ale byłoby wręcz niewiarygodne, gdyby jakaś służba nie chciała rozbudowywać kompetencji w tym kluczowym obszarze. Korzystanie z takich narzędzi to zresztą żadna nowość (kilka lat temu pisaliśmy o tym, że CBA kupiła też trojana od HackingTeam). Widać, że służba ta konsekwentnie, od lat, niezależnie od tego kto jest przy władzy, realizuje swoje cele. Inne służby mogą mieć więcej i/lub bardziej technicznego personelu lub współpracować z rynkiem prywatnym, co pozwala im nie tyle kupować gotowce od firm z Izraela, Włoch, czy USA — ale tworzyć takie oprogramowanie samodzielnie. Nie jest to wybitnie trudne, bo najważniejsze — podatności 0-day (czyli “naboje”) można kupić na wyłączność u takich brokerów podatności jak np. Zerodium (która odkrywającym błędy płaci nawet 2,5 miliona dolarów za błąd tej klasy, którą wykorzystuje Pegasus do przeniknięcia na smartfona ofiary). Zdziwilibyśmy się wielce, gdyby eksperci z AW, ABW lub SKW nie używali tego typu oprogramowania/exploitów. Zdziwilibyśmy się jeszcze bardziej, gdyby te agencje — tak różne co do misji od CBA — korzystały z gotowca typu Pegasus, w operacje którego ma wgląd jego producent. Firma z Izraela, czy jakiegokolwiek innego Państwa. Zbyt ryzykowne. I tyle pisania. Ale to nie koniec naszych przemyśleń odnośnie Pegasusa. Pamiętacie, że nagrywamy podcast “Na Podsłuchu“? I że nie wypuściliśmy 25 odcinka? No to właśnie go wypuściliśmy. Zgadnijcie czego dotyczy? Listen to “NP #025 – ten, którego służby nie pozwoliły nam opublikować wcześniej” on Spreaker. Miłego podsłuchiwania …nas. Ale, drodzy funkcjonariusze i agenci, umówmy się, że tylko w podcaście, ok? :) PS. Żaden z nas nie planuje popełnić samobójstwa Przeczytaj także: Apple zaoferuje dodatkową ochronę użytkownikom, którzy mogą być zagrożeni cyberatakami ze strony prywatnych firm opracowujących sponsorowane przez państwo oprogramowanie szpiegowskie. Tryb specjalnej blokady to pierwsza poważna funkcja tego rodzaju zaprojektowana, aby oferować ekstremalną ochronę niewielkiej liczbie użytkowników, którzy stoją w obliczu poważnych, zagrożeń dla bezpieczeństwa cyfrowego. Tryb blokady pojawi się tej jesieni w systemach iOS 16, iPadOS 16 i macOS Ventura. Apple przeznaczył też 10 mln dol. dotacji na wsparcie organizacji społeczeństwa obywatelskiego, które prowadzą badania nad zagrożeniami związanymi z oprogramowaniem szpiegowskim jak izraelski Pegasus, którego wykorzystanie przeciwko politykom opozycji ujawniono także w Polsce. - Tryb blokady to przełomowa funkcja, która odzwierciedla nasze zaangażowanie w ochronę użytkowników przed nawet najrzadszymi, najbardziej wyrafinowanymi atakami – mówi Ivan Krstić, szef działu inżynierii i architektury bezpieczeństwa w Apple. - Chociaż zdecydowana większość użytkowników nigdy nie padnie ofiarą wysoce ukierunkowanych cyberataków, będziemy pracować nad ochroną niewielkiej liczby użytkowników, którzy padają ofiarą cyberataków - dodaje. Obejmuje to dalsze projektowanie zabezpieczeń specjalnie dla tych użytkowników, a także wspieranie naukowców i organizacji na całym świecie wykonujących ważną pracę w ujawnianiu firm, które przygotowują ataki cyfrowe. Apple podaje, że włączenie trybu blokady w iOS 16, iPadOS 16 i macOS Ventura dodatkowo wzmacnia zabezpieczenia urządzeń i ściśle ogranicza niektóre funkcje, znacznie zmniejszając możliwość ataku, który potencjalnie może zostać wykorzystany przez oprogramowanie szpiegujące. Czytaj więcej W momencie uruchomienia tryb blokady większość typów załączników do wiadomości innych niż obrazy jest blokowana. Niektóre funkcje, takie jak podgląd linków, są wyłączone. Jeśli chodzi o przeglądanie stron internetowych niektóre złożone technologie internetowe, takie jak kompilacja JavaScript just-in-time (JIT), są wyłączone, chyba że użytkownik wykluczy zaufaną witrynę z trybu blokady. W przypadku usłui Apple przychodzące zaproszenia i zgłoszenia serwisowe, w tym połączenia FaceTime, są blokowane, jeśli użytkownik nie wysłał wcześniej inicjatorowi połączenia lub prośby. Połączenia przewodowe z komputerem lub akcesorium są blokowane, gdy iPhone jest zablokowany. Apple zapowiada iż będzie nadal wzmacniać tryb blokady i z czasem dodawać do niego nowe zabezpieczenia. Aby zaprosić społeczność badaczy ds. bezpieczeństwa do opinii i współpracy, firma Apple utworzyła również nową kategorię w ramach programu Apple Security Bounty, aby nagradzać badaczy, którzy znaleźli ominięcia trybu blokady i pomogli poprawić jego zabezpieczenia. Nagrody są podwajane za kwalifikujące się wyniki w trybie blokady, do maksymalnej kwoty 2 mln dol. Oprogramowanie Pegasus jest ostatnio niezwykle gorącym tematem. Eksperci z ESET doradzają sposób, dzięki któremu można uniknąć zagrożenia. Pegasus to kontrowersyjne narzędzie elektronicznej inwigilacji. Ma swoje wersje dla smartfonów oraz komputerów. Jak wskazują dane, używane jest przez służby specjalne w co najmniej kilkudziesięciu krajach świata. Co potrafi? Pegasus został stworzony przez izraelską firmę NSO Group dla służb specjalnych. Z założenia ma wspierać śledzenie i walkę z różnymi formami przestępczości zorganizowanej oraz terroryzmem. Jego użytkowanie wywołuje liczne kontrowersje i co najmniej 50 tys. osób było inwigilowanych przy jego pomocy. Jak podaje ESET, Pegasus "umożliwia podgląd wiadomości, zdjęć i kontaktów na smartfonach, na których zostanie zainstalowane. Umożliwia także podsłuchiwanie prowadzonych rozmów telefonicznych oraz otoczenia, w którym znajduje się urządzenie". Zobacz również:Nowe zagrożenie - SMS z powiadomieniem o wiadomości na skrzynce głosowejNiedawno mieliśmy Lockdown w Polsce, teraz wprowadza go Apple... do iPhone'a. Co robi nowa funkcja? Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa w ESET, dodaje: Niestety, nie ma wielu technicznych informacji na temat najnowszych wersji Pegasusa. Jednak z próbek, które poddano w przeszłości analizie, wiadomo, że to oprogramowanie potrafi wiele. Ma dostęp do wiadomości SMS, kontaktów, kalendarza, danych aplikacji poczty email i komunikatorów, lokalizacji GPS, haseł Wi-Fi, a w niektórych przypadkach może nawet nagrywać rozmowy telefoniczne. Pegasus jest bardziej niebezpieczny w porównaniu do innych zagrożeń mobilnych, ponieważ wykorzystuje luki 0-day, w tym tzw. exploity zero-click 0-day. Wykorzystanie luk tego typu oznacza, że osoby atakujące mogą z powodzeniem złamać zabezpieczenia smartfona, nawet gdy zostały zainstalowane na nim najnowsze aktualizacje. Co więcej, „zero-click” oznacza, że potencjalna ofiara nie musi nic robić (tzn. nie musi klikać linka ani nawet czytać przychodzącej wiadomości SMS), aby jej telefon został zainfekowany Ekspert ESET wskazuje, że skuteczną ochroną przed Pegasusem dla urządzeń z Androidem jest oprogramowanie ESET Mobile Security. I wyjaśnia: ESET Mobile Security chroni urządzenia z Androidem przed Pegasusem. Zagrożenie zostało sklasyfikowane i jest wykrywane przez ESET pod nazwami „Android/ - mówi Kamil Sadkowski. Warto mieć świadomość, że również każdy użytkownik systemu iOS może sprawdzić, czy jego urządzenie zostało zainfekowane oprogramowaniem Pegasus. Jest to możliwe poprzez skontrolowanie kopii zapasowej iTunes przy użyciu narzędzia opracowanego przez Amnesty International i udostępnionego pod adresem: Źródło: ESET

jak zabezpieczyć się przed pegasusem