20:57
2/12/2019

W sieci pojawiła się instrukcja obsługi Pegasusa, czyli “rządowego trojana” do wynajęcia, który został stworzony przez izraelską firmę NSO Group i z którego korzystają funkcjonariusze CBA. Jeśli wierzyć metadanym, dokument pochodzi z sierpnia 2016 roku. Choć ma 3 lata, to rozwiewa kilka mitów na temat tego rozwiązania powtarzanych ostatnio w różnych mediach.

Konsola trojana Pegasus, pozwalająca operatorowi śledzić pozycję figuranta

Konsola trojana Pegasus, pozwalająca operatorowi śledzić pozycję figuranta

Dokument opisujący korzystanie i możliwości Pegasusa rozpoczyna się od nakreślenia metod inwigilacji, które — wedle autorów Pegasusa — są od niego gorsze:

  • Passive Interception, czyli standardowy sniffing, z którego zasłynęło NSA. Jest gorszy, bo ruch z/do urządzeń mobilnych jest dziś w większości szyfrowany.
  • IMSI Catcher, czyli fałszywy BTS. Jest gorszy, bo jest ograniczony (wedle NSO Group daje wgląd tylko w połączenia telefoniczne i SMS-y, co nie jest prawdą) i trzeba być blisko ofiary oraz wymusić pracę jej urządzenia w niższych standardach niż 3G/LTE, przy których IMSI Catcher “lepiej sobie radzi”.
  • Infekcja złośliwym oprogramowaniem, czyli trojany. Jest gorsza, bo wymaga interakcji z użytkownikiem, a nie każdy “cel” jest na tyle naiwny, że przejdzie przez procedurę instalacji złośliwego oprogramowania nie zdając sobie sprawy z tego co robi. Plus antywirusy mogą czasem pokrzyżować plany.

I tu wchodzi Pegasus, cały na biało! Który, co jest mocno kuriozalne, sam siebie nie zalicza do “infekcji złośliwym oprogramowaniem”. Dlaczego? Bo po cichu i bez interakcji z ofiarą “wstrzykuje” swojego agenta na smartfona ofiary. Ten brak interakcji ma świadczyć o wyższości nad “tradycyjnym” złośliwym oprogramowaniem. Nie znaczy to jednak, że i przy Pegasusie ofiara czasem nie musi czasem kliknąć w jakiś link z SMS-a — musi. Ale o tym za chwilę.

Z instrukcji dowiemy się też, że Pegasus wspiera następujące systemy:

    Androida,
    iOS-a
    BlackBerry,
    Symbiana

I co, posiadacze starych Nokii, dalej uważacie że jesteście bezpieczni? :)

Nie musisz dogadywać się z operatorem, aby inwigilować jego klientów

Program zbiera lokalizację, historię połączeń, hasła, pliki oraz “plany i aktywności” (cokolwiek to znaczy). Potrafi przechwycić połączenia telefoniczne i VoIP (np. Skype, WhatsApp, Facebook) w czasie rzeczywistym. A co najważniejsze dla niektórych klientów — nie wymaga współpracy z operatorem GSM. Czyli nikt “nie dowie się” o prowadzonej przez klienta (być może nielegalnej) kontroli operacyjnej.

Pegasus potrafi też “wykryć inne tożsamości ofiary” (czyt. zmianę karty SIM) i chwali się tym, że nie wymaga dostępu fizycznego do urządzenia ofiary (choć instalacja agenta “z palca” na urządzeniu też jest możliwa).

Trojan ma nie zostawiać śladów na urządzeniu ofiary i posiada opcję “samozniszczenia” w przypadku wykrycia (ale jak widać, niezbyt dobrze ona działa, hehe). Z dokumentu dowiemy się także, że Pegasus składa się z warstw:

Infekujemy ofiarę z naszej piwnicy na drugim końcu świata

Instalacja może nastąpić na 2 sposoby; zdalnie i dwa lokalnie:

  • Over the Air: Wiadomość push jest wysyłana na urządzenie i skłania je do pobrania i zainstalowania agenta automatycznie. Ofiara nic nie musi robić i z niczego nie zdaje sobie sprawy.
  • Enhanced Social Engineering Message (ESEM): Jeśli opcja OTA nie jest możliwa, operator Pegasusa może wysłać tradycyjnego SMS-a lub e-maila do ofiary z linkiem. Jedno kliknięcie spowoduje próbę instalacji agenta Pegasusa na urządzeniu ofiary. Wszystko dzieje się “w tle”, czego ofiara nie będzie świadoma. Ale… to czy ofiara kliknie w link, zależy od wiarygodności wiadomości. Zostają też ślady po takiej wiadomości. No i co ważne — w tym wariancie — jeśli ofiara nie kliknie — nie zostanie zainfekowana.

Ale co najważniejsze — z punktu widzenia typowego klienta firmy NSO Group, który ma szpiegowskie ciągotki, ale brak odpowiedniej wiedzy technicznej — do obu ataków wymagane jest podanie jedynie numeru telefonu ofiary lub jej adresu e-mail.

Ścieżka instalacji Pegasusa

Ścieżka instalacji Pegasusa

Infekujemy ofiarę z bliska

Poza instalacją zdalną, opisaną powyżej, Pegasusa można też zainstalować będąc “w pobliżu” ofiary, nawet jeśli operator nie zna adresu e-mail lub numeru telefonu ofiary:

  • Tactical Network Element. Infekcja po przejęciu ruchu z urządzenia ofiary i wstrzyknięcia się w jego nieszyfrowaną porcję. Do wykonania np. za pomocą IMSI Catchera (który przy okazji także może odkryć numer telefonu ofiary) lub — jak się domyślamy — fałszywego hotspota/prawdziwego hotspota z odrobiną ARP spoofingu.
  • Ręcznie. Manualna instalacja trwa poniżej 5 minut. Długo! Operator musi mieć dostęp do urządzenia ofiary przez cały ten czas. Podręcznik nie sugeruje jak można to wykonać, ale uważna lektura różnych dokumentów sądowych i książek szpiegowskich rysuje kilka scenariuszy:
    – zaproszenie kogoś do miejsca, gdzie telefony zostawia się w “depozycie”
    – podstawienie agenta (osoby), która uwiedzie/upije/uśpi ofiarę lub będzie w pomieszczeniu z ofiarą kiedy ta bierze prysznic
    – kontrola drogowa “ze sprawdzeniem czy telefon nie jest kradziony”. Nigdy nie oddawajcie swoich telefonów, nawet najbardziej nieporadnie wyglądającemu policjantowi — na tylnim siedzeniu jego policyjnego VW może siedzieć niewidoczny operator Pegasusa.
Aktualizacja 3.12.2019
Specjalnie dla Wykopowicza, który chciał być zabawny — pozdrawiamy i wyjaśniamy. Żaden VPN (Nawet Nord, który wciąż ma promocję czarnopiątkową :P) nie ochroni przed infekcją Pegasusem, dlatego tego rozwiązania nie omawiamy w ekście. Infekcja OTA — na to VPN nie ma wpływu. Infekcja przez ESEM — na to VPN nie ma wpływu, ot “malware” ściągnie się przez tunel. Infekcja ręczna — na to VPN nie ma wpływu. VPN może pomóc ochronić się tylko przed infekcją przez TNE, bo węzeł pośredni nie będzie widział ruchu niezaszyfrowanego (o ile VPN jest skonfigurowany tak, że jest “always on”.)

W chwili tworzenia tej instrukcji w 2016 roku, wspierane były następujące modele telefonów (teraz — jak wiemy — są one nowsze):

Jak utrudnić lub uniemożliwić infekcję Pegasusem?

Co ciekawe, w przyczynach “porażek” instalacji, odnotowano:

Unsupported browser: the default browser of the device was previously replaced by the target. Installation from browsers other than the device default (and also Chrome for Android based devices) is not supported by the system.

Jeśli temu zawierzyć (i założyć, ze informacje te po 3 latach wciąż są aktualne), to lepiej nie korzystać z domyślnej przeglądarki, bo jest domyślnym wektorem ataku Pegasusa ;) Na Androidzie używano też Chrome’a — ale na iOS już nie. (Nie oznacza to, że przez Chrome się nie da przejąć kontroli nad telefonem na iOS — ot pewnie nie posiadali wtedy działającego exploita).

Oto dokładniejszy schemat instalacji agenta na urządzeniu:

Dokładny opis etapów instalacji Pegasusa na urządzeniu ofiary

Dokładny opis etapów instalacji Pegasusa na urządzeniu ofiary

Co ciekawe, Pegasus rozpoznaje urządzenie po stringu User-Agent, więc jego zmiana na niewłaściwy też paraliżuje atak:

The device, OS and browser are identified by the system using their HTTP user agent. If by any reason the user agent was manipulated by the target, the system might fail to correctly identify the device and OS and provide the wrong installation payload.

Czyżby oszukanie Pegasusa było naprawdę tak łatwe, jak ustawienie systemowego proxy podmieniającego User-Agent?

Co wykrada Pegasus?

Nie ma się co rozpisywać. Program wykrada wszystko. Od kontaktów przez lokalizację i zdjęcia aż do plików charakterystycznych dla niektórych aplikacji (w tym szyfrowanych komunikatorów).

Ciekawostką jest to, że licencja może uniemożliwić wykradanie materiałów historycznych. Czyli — funkcjonariusz uzyskuje zogdę na kontrolę operacyjną, ale od dziś. Infekuje telefon i Pegasus blokuje mu możliwość pobrania archiwalnych SMS-ów czy e-maili, ale pozwala na dostęp do nowonadchodzących.

To ciekawe, bo wygląda na raczej “miękkie” zabezpieczenie, bardziej po stronie logiki Pegasusa, którą zapewne można by obejść. Technicznie — pobranie tylko i wyłącznie aktualnych informacji, np. z szyfrowanego komunikatora jest problematyczne — są w tej samej bazie co starsze i lepiej ją parsować lokalnie po pobraniu z urządzenia w całości. Czyli — zgadujemy — że dane i tak są w całości pobierane ale funkcjonariusz w GUI Pegasusa widzi tylko odfiltrowane (aktualne) treści.

Podsłuchiwanie przez mikrofon, gdy ekran wygaszony

Pegasus ciekawie podchodzi do inwigilacji przez wbudowane w urządzenia mikrofony. Po prostu zestawia połączenie telefoniczne na urządzenie, które jest odbierane w agenta przy jednoczesnym wygaszeniu ekranu.

Jeśli ktoś sięgnie po telefon, agent to wykrywa (akcelerometry?) i rozłącza połączenie. Domyślamy się, że pewien lag jest odczuwalny, jeśli np. leżącego telefonu który ma zestawione połączenie podsłuchowe ktoś nie weźmie w rękę, ale tapnie w ekran. Ten nie może się włączyć, zanim połączenie nie zostanie rozłączone.

Mało miejsca na smartfonie ogranicza Pegasusa!

Pegasus nie wysyła danych non-stop. Twórcy ostrzegają, że to mogłoby ujawnić obecność trojana na urządzeniu. Preferowane jest Wi-Fi, ale można też agenta skonfigurować do przesyłania informacji przez sieć telefonii komórkowej (transmisja danych) a nawet przez SMS-y. Przy braku łączności, np. spowodowanej roamingiem, buforowanie jest możliwe standardowo do 5% wolnego miejsca na dysku.

A ładny on chociaż jest?

Oceńcie sami. W instrukcji jest kilka screenshotów GUI, podczas analizy kalendarza figuranta, odsłuchiwania przechwyconych rozmów i — co pokazaliśmy już na pierwszym zrzucie ekranu w tym artykule — lokalizowania go na mapie:

Przy okazji, jedną z ciekawych funkcji Pegasusa opisaną w instrukcji jest możliwość wykrywania spotkań 2 monitorowanych/zainfekowanych osób. Jeśli znajdą się blisko siebie — operator otrzyma powiadomienie.

Pójdzie to na moim pececie?

Nie bardzo. Wymagania sprzętowe dla “serca” Pegasusa są następujące:

Wdrożenie systemu (instalacja, testy i szkolenie operatorów) zajmuje ok. 4 miesięcy:

A potem już tylko regularne płacenie za aktualizacje oraz licencje roczne. I można inwigilować!

A inwigilować niestety czasami trzeba…

Na koniec tego artykułu kilka refleksji, z którymi chcemy Was zostawić. Służby od dawna wykorzystywały nowe zdobycze techniki do usprawniania swojej pracy (czyt. inwigilacji przestępców). Listy były otwierane, telegrafy (telegramy) były podsłuchiwane. Nie ma się co dziwić, że takie narzędzia (techniki) jak Pegasus powstają i działają w internecie — lub powstaną i będą działać w innym medium przez które komunikują się ludzie, w tym — niestety — także przestępcy.

Z inwigilacją trzeba się pogodzić. Jej się nie powstrzyma. Nie oznacza to jednak, że nie można jej kontrolować i nadzorować. Nie jest to łatwe. Bo kto ma kontrolować “kontrolujących”? W niektórych krajach zaufanie do służb (i ich nieomylności czy etyki) może być większe niż w innych. Ale czy istnieje jakiś system, który pozwoliłby na transparentne nadzorowanie służb? Przecież jednym z wymogów służb jest niejawność metod działania. Cieżko połączyć transparentny nadzór z niejawnością.

Przykładowo, Wasyl z GRU, wiedząc że Monika z jakiegoś NGO w Polsce nadzoruje poprawność wykorzystania technik inwigilacji przez np. polski kontrywiad, to pewnie od razu chciałby się na Monice skupić. Monika miałaby cenną wiedzę, a przecież jest tylko człowiekiem.

Obiło nam się o uszy, że w niektórych krajach — jeśli służby inwigilują Kowalskiego, a ich podejrzenia okazują się niesłuszne, to potem muszą Kowalskiemu o tym powiedzieć, a ten ma prawo ich pozwać. Niestety, nie jesteśmy w stanie znaleźć nigdzie potwierdzenia tej, zasłyszanej na pewnej konferencji, historyjki. Może któryś z Czytelników, prawników, zna takie przepisy?

Problem uprościć wiec możemy do tego, że wszyscy zgadzają się iż inwigilację trzeba kontrolować, ale jeszcze nikt nie znalazł na to prostej, transparentnej, wiarygodnej, rzetelnej i sprawiedliwej metody. Zbyt dużo konfliktów interesów.

Nie tylko CBA ma takie zabawki

I na koniec — wiele w mediach poświęciło się zdań temu, że to CBA posiada Pegasusa. Nikt jednak nie pokusił się o powiedzenie głośno, że podobne kompetencje i narzędzia mają inne służby. Dowodów może brak (co oznacza, że mają lepszy niż CBA opsec ;), ale byłoby wręcz niewiarygodne, gdyby jakaś służba nie chciała rozbudowywać kompetencji w tym kluczowym obszarze.

Korzystanie z takich narzędzi to zresztą żadna nowość (kilka lat temu pisaliśmy o tym, że CBA kupiła też trojana od HackingTeam). Widać, że służba ta konsekwentnie, od lat, niezależnie od tego kto jest przy władzy, realizuje swoje cele.

Inne służby mogą mieć więcej i/lub bardziej technicznego personelu lub współpracować z rynkiem prywatnym, co pozwala im nie tyle kupować gotowce od firm z Izraela, Włoch, czy USA — ale tworzyć takie oprogramowanie samodzielnie. Nie jest to wybitnie trudne, bo najważniejsze — podatności 0-day (czyli “naboje”) można kupić na wyłączność u takich brokerów podatności jak np. Zerodium (która odkrywającym błędy płaci nawet 2,5 miliona dolarów za błąd tej klasy, którą wykorzystuje Pegasus do przeniknięcia na smartfona ofiary).

Zdziwilibyśmy się wielce, gdyby eksperci z AW, ABW lub SKW nie używali tego typu oprogramowania/exploitów. Zdziwilibyśmy się jeszcze bardziej, gdyby te agencje — tak różne co do misji od CBA — korzystały z gotowca typu Pegasus, w operacje którego ma wgląd jego producent. Firma z Izraela, czy jakiegokolwiek innego Państwa. Zbyt ryzykowne.

I tyle pisania. Ale to nie koniec naszych przemyśleń odnośnie Pegasusa. Pamiętacie, że nagrywamy podcast “Na Podsłuchu“? I że nie wypuściliśmy 25 odcinka? No to właśnie go wypuściliśmy. Zgadnijcie czego dotyczy?

Listen to “NP #025 – ten, którego służby nie pozwoliły nam opublikować wcześniej” on Spreaker.

Miłego podsłuchiwania …nas. Ale, drodzy funkcjonariusze i agenci, umówmy się, że tylko w podcaście, ok? :)

PS. Żaden z nas nie planuje popełnić samobójstwa

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

132 komentarzy

Dodaj komentarz
  1. No przecież tabuny ludzi chciały RODO bo miało ich chronić – zapomnieli, że nie chroni przed rządem, cyk.

    • Rodo nie chroni przed niczym, dwa służy działają ponad prawem.

    • Chyba Ci się pomieszały ustawy kolego…

    • Bo RODO jest po to, żeby ludzie myśleli, że są bezpieczni, tajni i anonimowi. Skoro na każdym kroku strony nam piszą, że cenią naszą prywatność, że nasze dane są bezpieczne to nic złego nie może się zdarzyć ;)
      A i służby mają dobry argument do negocjacji z firmami jeśli te by nie chciały współpracować – na pewno wszystko macie zgodne z RODO, mamy sprawdzić?

    • Dzieki technologii takiej jak ta sluzby moga i robia to, pracowac w obszarze pomiedzy prawem a bezprawiem, rozdymajac ten obszar nadal nie lamiac prawa.
      Cudnie.

    • Kolejny “ekspert” od interpretacji RODO. Jak byś choć chwilę czasu poświęcił na przeczytanie tego rozporządzenia Parlamentu Europejskiego to byś wiedział, że RODO nie obejmuje swoim zakresem stosowania działalność służb wywiadowczych. Co więcej, inna dyrektywa unijna reguluje przetwarzanie danych w celu zapobieganiu przestępczości i polski rząd tak zaimplementował tę dyrektywę (tzw. dyrektywę policyjną) w sposób, który i tak wyłącza takie służby jak ABW, CBŚ i służby wywiadowcze od stosowania się do ustawy o ochronie danych w celu zapobiegania przestępczości. Postanowiono tak zrobić, żeby służby nie musiały pytać złodzieja, szpiega, czy mogę przetwarzać twoje dane osobowe, może wypełnij nam formularz zgody i tu mamy dla ciebie drogi złodzieju jeszcze klauzulę informacyjną, żebyś mógł się zapoznać, bo cię akurat ścigamy, namierzamy.
      Następnym razem jak coś głupiego o RODO masz napisać, to zastanów się dwa razy.

    • Jakbyś poczytał polską ustawę RODO to zauważyłbyś że na początku przywołuje prawo unijne a potem są same wyłączenia spod ustawy poszczególnych służb – tak więc RODO im lata :)

    • Celem RODO jest wyłącznie generowanie budżetowych posad z wynagrodzeniami oderwanymi od realiów i ton bezcelowych kwitów tzw. dupochronów, szkoleń itp. … jakie są tego koszty w skali kraju od urzędów centralnych po wsiowe gminy, szkoły, przychodnie ? W żadnym realnym przypadku oszustwa na skradzione dane urząd obywatelowi nie pomógł i nie pomoże, niezawisły sąd zaocznie zasądza egzekucję komorniczą na nieświadomej ofierze … tak “działa” RODO

    • > niezawisły sąd zaocznie zasądza egzekucję komorniczą na nieświadomej ofierze … tak “działa” RODO

      Nie, to nie ma nic wspólnego z RODO.

      To idiotyczne prawo dot. doręczeń i komornicy mający sprawiedliwość w d… są winni, a nie RODO.

    • RODO służy prawnikom do wyciągania kasy. Tylko i wyłącznie.

    • RODO jest po to żebyś nie wiedział nic o twoim sąsiedzie. Bo wiedza to władza. Komuniści chcą władzy tylko dla siebie więc ograniczają tobie wiedzę o innych. Dlatego też w komunizmie nie ma własności prywatnej ani prawa własności czy też prawa do obrony. Bo własność nad jakąś rzeczą jest władzą absolutną a komuniści chcą ją mieć tylko dla siebie.

  2. Czyli instalując taką wesoło migającą diodkę, która informowała kiedy komórka łączy się z BTSem bez problemu stwierdzę, że przesyła dane ni w pięć ni w dziewięc…

    • Zależy co rozumiesz przez “komórka łączy się z BTSem” bo komórka wykonuje również kilka innych rodzajów połączeń z siecią niż połączenie głosowe czy pakietowe i robi to wtedy kiedy jest teoretycznie bezczynna. Więc ta wesoła dioda będzie migać nawet jak nie będziesz inwigilowany.

    • Do inź Mamoń. Spokojnie odróżnisz transmisję danych lub głosu od meldowania się w BTSie. Można jeszcze postawić komórkę przy radiu nastawionym na fale długie i wtedy meldowanie się do BTSa brzmi jak trzykrotne: prrr, prrr, prrr ;)

    • Przecież mogą sniffować taki ruch na telefonie i zwracać do appki tylko to co chcą, raczej z IMSI catchera byś musiał skorzystać.

    • @Piotr Transmisję komórki przy radiu można łatwo posłuchać tylko gdy działa w 2G. LTE, 3G są dużo mniej charakterystyczne i dużo słabiej odbierane przez zwykły odbiornik lub inny wzmacniacz.

  3. We are watching you….

    • Seriously ? Relax, keep Your mouth shut or after next election We will close Yours departament ;)

    • We are watching You too…

    • Hahaha

  4. Dobry Windows Phone

    • Tam miałeś opcje full od 1 włączenia :) Dobry… bo nie trzeba było nic dogrywać :)

    • Dobry S40. Nokia 3110 rulez :)

  5. > Pegasus ciekawie podchodzi do inwigilacji przez wbudowane w urządzenia mikrofony. Po prostu zestawia połączenie telefoniczne na urządzenie, które jest odbierane w agenta przy jednoczesnym wygaszeniu ekranu.

    W takim razie, podsłuch wydaje się trywialny do zablokowania, przynajmniej na iOS. Z tego co wiem przynajmniej, nie jest możliwe jednoczesne odtwarzanie muzyki i rozmawianie przez iPhonea. Czyżby włączenie muzyki na każdym spotkaniu, które uznajemy za tajne, ustawiając głośność na najcichszą, kompletnie eliminowało problem?

    Ciekawi mnie też, jak Pegasus zachowałby sie np. w momencie, gdy telefon podlączony jest po Bluetooth do radia samochodowego, a nawiązanie połączenia wiąże się z wyłączeniem muzyki i potencjalnie wyświetleniem czegoś na ekranie radia. Ciekawe, czy przewidziano taką ewentualność

    • Przede wszystkim na tajne spotkanie nie zabiera się telefonu. Zostawiasz go w samochodzie lub w pokoju obok.

    • @Janusz – dokladnie, trzeba zostawiac telefon, zeby operator mial te 5 minut na zainstalowanie reczne ;-)

    • @Radek Dlatego zawsze owijam telefon folią aluminiową i naklejam Niebezpiecznikowe seale ;)

      A tak na serio, zainfekowany telefon już nie jest twoim telefonem. Niebezpiecznik nie raz o tym pisał. Poza tym były już artykuły o przeciwdziałaniu inwigilacji i rady tam zastosowane są raczej uniwersalne. Moim zdaniem najważniejszy jest zdrowy rozsądek – skoro robi się coś co nie podoba się rządowi, to czy koniecznie musisz to wprowadzić do urządzeń elektronicznych.

  6. Prawde mowiac, wyglada ze aby dac sie podslucahc, trdeba byc dksc naiwnym i odpornym na troche techniki… a jezeli sie zwraca uwage na podstawowe zasady sec, to szansa na bycie obirktem pegasusa jest slaba. Moim zdaniem glowna nagroda nalezy sie za user-agenta…

    • Koleś ty to nie potrafisz sklecić zdania a wypowiadasz sie na tematy w których nie amsz zielonego pojecia :D

  7. korzystam z windowsa 8.1 mobile i sailfishOS i nie widzę aby ten Pegasus mógł to zainfekować ;)

    • Yessss! Nie jestem sam z Sailfishem w tym kraju, już nie da się stwierdzić że ja to ja po samym banerze systemu operacyjnego komórki. :-) Serio mówię, bo system jest fajny i sprawia wrażenie dobrze bezpiecznego, a na pewno nie jest targetowany ze względu na swoją niszowość, tylko że z racji tej samej małej popularności jest łatwo osobę z takim telefonem trackować, bo wyróżnia się z tłumu.

    • To jest nas trzy sztuki. Z SFOS od dobrych dwóch lat. Telefony zazwyczaj mają numery, SIM mają numery – myślę, że trackowanie to nie problem.

      @niebezpiecznik – brakuje przecinków w tytule. ;)

    • Jest nas już czterech.
      Zaczyna się robić tłoczno :)

    • Nie zauważyłem wcześniej wpisu. Ale potwierdzam nie tylko Pegasus ale też oprogromawaia forensic mają z tym nie lada problem.

    • tez mam sailfisha, jestem 4. ostatnio kupili go ruscy, niektorym to moze przeszkadzac.

  8. -Tato! Co ty właściwie robisz w pracy?
    -Gram w Pegasusa dziecko!

  9. A co z Windows Phone aka Windows Mobile 10?

    • Dlatego Lumia tak dobrze trybiła… Pewnie jej cena wzrośnie xD

  10. “Rząd nie jest dla nas rozwiązaniem, jest dla nas problemem” – Ronald Reagan

    “Rząd nie może kontrolować gospodarki, nie kontrolując ludzi” – też Ronald Reagan

  11. > Wiadomość push jest wysyłana na urządzenie i skłania je do pobrania i zainstalowania agenta automatycznie

    Co to znaczy “skłania je”? Jak to możliwe że odebranie wiadomości push wywiera takie skutki?

    • Bzzz-Plum. Tu T-Robale: za chwilę otrzymasz wiadomość konfiguracyjną operatora.
      Bzz-Bzzz, Tu T-Robale: wersja konfiguracji 5.0.1.2 zawiera poprawkę działania przy słabym zasięgu sieci oraz możliwość logowania się do stacji GSM pracujących w technologii 5G z trybem zgodności sieci 4G. Wciśnij ‘zainstaluj’ lub ‘odrzuć’.
      I se coś wciśnij.

      no nie mów że byś nie skorzystał ;)

  12. Europejski Trybunał Praw Człowieka miał już kilka spraw w których zwracał uwagę na potrzebę wdrożenia takiego ustawodawstwa krajowego które gwarantowałoby informowanie obywatela o zakończonej wobec niego inwigilacji. Nie wiem natomiast czy gdziekolwiek takie przepisy są stosowane. Wyroki ETPC; Sprawa Klass i inni przeciwko Niemcom: wyrok z dnia 18 listopada 1977 r., Szabó i Vissy przeciwko Węgrom – 12 stycznia 2016 r.Zakharov przeciwko Rosji wyrok – 4 grudnia 2015 r., Kennedy v. Wielka Brytania wyrok z 18
    maja 2010 r.

  13. Jakieś to zbyt piękne by było prawdziwe. Zdalna instalacja, praca w tle, wykradanie wszystkiego… Stale wychodzą nowe wersje Android i iOs, to Google z Apple pozwalały by żeby każdy kogo stać mógł buszować po telefonach z ich systemami, a nie tylko jedynie słuszne NSA?

    • Skąd wiesz że za tym nie stoi NSA anyway? Przecież logiczne że amerykańce nie będę tego robili u siebie w domu.

    • a znaju kto to zrobil? “chosen ones” :-)

    • NSO nawet brzmi całkiem jak NSA, Jurigag. ;-)

  14. Najlepsza inwigilacja to tzw. “Polska bezgotówkowa” i kasa fiskalna online.
    Wiadomo co Kto, gdzie, ile i o której kupił.

    • Dlatego należy płacić wyłącznie gotówką, nawet jeżeli sprzedawca jęczy że nie ma reszty i woli kartę, nawet jeżeli jest to uciążliwe i wymaga pilnowania jej. To jest jedyny sposób by hamować przechodzenie na płatności bezgotówkowe, które ze swej natury są inwigilacyjne, więc trzeba je omijać z zasady.

    • Dobrze, chcesz płać gotówką – a ja bez portfela chodzę juz pół roku. Szybko, wygodnie, nie kręcą na paragonach, bez bakterii – mam historię. IDEALNIE!
      Zawsze możesz kasę z bankomatu wypłacić.
      Trzymanie kasy w gotówce to też nie do końca rozwiązanie.

    • @Paweł P.
      Jak dla mnie możesz sobie nawet zainstalować w domu system kamer i streamować, bo to wygodne. Gotówka jest mniej wygodna, ale my, terroryści prywatności, wolimy właśnie tak. ;)

  15. Pjoter poleć książki o operacjach polskich służb o których mówiłeś w podcascie 1:01

    • właśnie, książki poprosimy

    • Podbijam!

    • Tak! Książki!!! :)

  16. Jeśli inwigilacja nie wymaga współpracy z operatorem GSM, to znaczy że robią to wszystkie obce szpiegowskie służby w Polsce i na całym świecie również

  17. > Obiło nam się o uszy, że w niektórych krajach — jeśli służby inwigilują Kowalskiego, a ich podejrzenia okazują się niesłuszne, to potem muszą Kowalskiemu o tym powiedzieć, a ten ma prawo ich pozwać. Niestety, nie jesteśmy w stanie znaleźć nigdzie potwierdzenia tej, zasłyszanej na pewnej konferencji, historyjki. Może któryś z Czytelników, prawników, zna takie przepisy?

    Reguluje to niemiecka “ustawa o ograniczeniu prawa do tajemnicy korespondencji i telekomunikacji”. Przy Bundestagu funkcjonuje stała komisja G10, której zadaniem jest m.in. opiniowanie wniosków o podsłuchy i kontrolę korespondencji. Od decyzji komisji G10 zależy także, czy osoba inwigilowana zostanie poinformowana, że wobec niej stosowano takie środki czy np. poinformowanie zostanie odroczone. Komisja G10 jest także organem rozstrzygającym skargi obywateli na niezgodne z prawem podejmowane wobec nich środki kontroli operacyjnej.
    Podobne rozwiązania obowiązują w Holandii.

    W Polsce utopijne pomysły o informowaniu obywateli, że wobec nich podejmowane były czynności operacyjne, od kilku lat postuluje Panoptykon.
    https://panoptykon.org/wiadomosc/jak-osiodlac-pegaza

    • Przepisy których domaga się Panoptykon nie są utopijne same w sobie.

      Ale prawie na pewno nigdy w Polsce nie będzie normalnie jeśli chodzi o wolności ludzkie obywatelskie. Bo polskie służby w III RP mają mentalność ubecji, jak za Stalina. Wszystko jest tajne przez poufne, nie potrafią przyznać się do błędu i w ogóle czują się lepszym gatunkiem człowieka – dotyczy to i policji, i kontrwywiadu, i CBA.

      Przeczytajcie na przykład odpowiedzi SKW na pytania Panoptykonu. I nie, nie chodzi o mi to że odmówili informacji. Chodzi o przyczynę jaką podali. Otóż posunęli się do twierdzenia, że nie udzielą informacji, bo ustawa o dostępie do informacji publicznej jest (wg SKW) – uwaga – “niezgodna z Konstytucją”!
      https://panoptykon.org/wiadomosc/maraton-z-wojskowym-kontrwywiadem
      Jak Wam się podoba SKW uzurpująca sobie kompetencje Trybunału Konstytucyjnego, hę?

      Powiadamianie obywateli o inwigilacji jak najbardziej jest do zrobienia: https://niebezpiecznik.pl/post/jak-wyglada-rzadowy-trojan-pegasus-od-srodka/#comment-726435

  18. Jak Wamp ze skórką fikuśną wygląda :)

    • No właśnie zajmuje się webdesignem i jak na to patrzę to trochę boli. Rozumiem że to mało istotna kwestia przy takim programie ale jeśli sprzedają coś za miliony to wydać parę tysięcy na projekt graficzny/UX powinno być w ich zasięgu.

    • @Bartek

      A mnie np boli, że moderacja puszcza komenty niemerytoryczne i służące tylko do zareklamowania swoich usług ;)
      Ile wejść zebrałeś i jaką masz konwersję na cel, nie odpalając doli za link afiliacyjny? Podzieliłbyś się tą informacją? To by mnie bardziej ciekawiło niż Twoja opinia na temat wyglądu interfejsu narzędzia, którego nie używasz.

  19. Bardziej od dostępu Pegasusa do naszych smartfonów, martwi mnie dostęp izraelskich służb do naszego Pegasusa.

    Nie wierzę, że Żydzi mając możliwość dodania backdoora i przez to taniego dostępu do danych ludzi ze wszystkich krajów korzystających z Pegasusa, nie skorzystali z tej opcji.
    Klient płaci za licencje, klient utrzymuje infrastrukturę, a dane same spływają. Wszystko w białych rękawiczkach.

  20. saf: nozna olacic anonimowo bezgotówkowo

    ja wykorzystuje orepaidy kuoione w inmedio oraz revoluta karte wirtualną ktora zmienia numer karty po kazdej transakcji

    • Słusznie – Towarzysze są godni zaufania i nigdy nie przechowywaliby danych o płatnościach dokonywanych przez obywateli kartą “wirtualną”.

    • W ramach ochrony prywatności używam angielskiej karty stworzonej przez ruskich. Dobre, obśmiałem się.

  21. A co z listą serwerów do których łaczy się klient pegasusa z komórki? Wycięcie tych klas adresowych firewallem utnie kontakt z serwerami? Czy np dopuszczenie konkretnych aplikacji jak fb, web browser, poczta itd do dostępu do danych poucina macki wywiadu? Czy ewentualna wymiana stockowego romu na bardzo niepopularny uchroni od infekcji? Analiza ruchu sieciowego w przypadku gdy “trojan” nie nadaje live jest utrudniona… Czy w przypadku gdy “trojan” podmienia systemowe biblioteki, zastosowanie jakiejs aplikacji do badania sumy kontrolnej przy starcie OSa moze zasugerować zarażenie?

    • Dobre pytanie. Chyba, że używają reverse proxy (jak np. Cloudflare)

  22. “Infekujemy ofiarę z naszej piwnicy na drugim końcu świata” – a co jeśli nie mamy piwnicy na drugim końcu świata? :-P

  23. Na PC może i nie pójdzie, ale wgram sobie na router Wi-Fi (opkg install pegasus).

  24. Teraz wiem po co komórki robią takie małe i z niewyjmowalnymi bateriami… By nie dało się wmontować mechanicznego wyłącznika telefonu i wyjmować zasilania…

    • Miało być mechanicznego wyłącznika MIKROFONU. Powinien być w każdej komórce! :)

  25. 1:02:22 *to było FOZZ – matka wszystkich afer :)

  26. Mechanizmy informowania jednostek o “inwigilacji” *nie działają jedynie w 8 państwach UE. W pozostałych obywatele co do zasady się tego dowiadują (oczywiście występują ogromne różnice w zakresie informacji i wyjątkach, które pozwalają od tego odstąpić). O tym, jak to działa, możecie przeczytać choćby tutaj:
    https://fra.europa.eu/sites/default/files/fra_uploads/fra-2015-surveillance-intelligence-services-voi-1_en.pdf

  27. znaczy mój BB Passport mało używalny ale bezpieczny :-)

  28. Wrócą do łask stare telefony na Javie. Ciekawe czy coś na nie wymyślono. Pewnie by się dało, ale tak niszowe, że zasięg rażenia znikomy.

  29. a co jeśli ta instrukcja to ściema, tylko po to aby uspokoić internetowy szum?

  30. “Nigdy nie oddawajcie swoich telefonów, nawet najbardziej nieporadnie wyglądającemu policjantowi — na tylnim siedzeniu jego policyjnego VW może siedzieć niewidoczny operator Pegasusa.”

    Tak, a potem zdziwienie, że policjant użył siły, albo że gonił…

    • Problem sprawdzania ludziom telefonów i innego sprzętu elektronicznego przez policję przy okazji legitymowania albo kontroli drogowej to oddzielny, ale ważny temat, bo policja zazwyczaj sprawdza urządzenia bezprawnie.

    • Jak dla mnie to możesz mu nawet zrobić loda, ale nie wmawiaj innym że grzebanie w telefonie przez jakiegoś psa jest normalne.

  31. Czyli windows mobile jest bezpieczny.

  32. No to trzeba zaznaczyć, że wtedy urządzenia z ios raczej były bezpieczne. Udział systemów wcześniejszych niż iOs 8 w czerwcu 2016r wynosił 4,2%, dla androida było to 9,9% dla systemów w wersji poniżej 4.4.x. Więc słabiutko wygląda, i już wtedy korzystanie z pegasusa było mocno utrudnione. Do tego mało prawdopodobne aby w zainteresowaniu służb byli użytkownicy tanich smartfonów. A jak ktoś będzie się chciał ukryć przed to skorzysta z telefonu typu stara nokia 3310 za grosze.

  33. W telefonie Huawei Ascend jest tryb Ultra oszczędzania energii gdzie jak pisze producent “Power saving mode limits background app activitiy, reduces visual effects and disables auto-synchronisation.In Ultrapower saving mode only certain apps are available.” Jak mam przez cały dzień włączony taki Ultra-mode to mogą szpiegować telefon Pegasusem czy nie?

  34. I co, posiadacze starych Nokii, dalej uważacie że jesteście bezpieczni?
    Tak bezpieczni Nokia 3310

  35. Android nadaje uprawnienia aplikacjom pytając nas o to w oknach dialogowych.
    Jak Pegasus dostaje wszystkie uprawnienia bez wiedzy użytkownika?

  36. Uwolnić Pegasusa! Obywatele nie zasługują na inwigilację. Może będziemy mieli drugiego Snowdena? ;)

  37. Słabe to zabezpieczenie przed seryjnym samobójcą. Takie oświadczenie powinniście wysłać listownie z kilku różnych placówek pocztowych do kilku różnych adresatów :D

  38. Ciekawe czy służby są świadome, że Pegasus to idealne narzędzie do inwigilacji ich pracy. Ten system musi być podłączony do Internetu. Implementacja możliwości podglądu tego co robi daną służba to dla twórców żaden problem. Pokusa dostępu do danych wielu służb duża

  39. Z artykułu wynika, że:

    – jak mam custom roma który nie ma już dawno OTA
    – nie klikam w esemesy z aktualizacjami
    – mam zamrożone aplikacje od największego szpiega prywatności (firmy z G na początku) a sklep odmrażam tylko raz na parę miesięcy

    to pupa i im się u mnie nie zainstaluje?

    Słaby ten Pegazus.
    A wydaje mi się, że ta cała instrukcja to jakiś fake i na pewno to działa znacznie lepiej.

    A co zrobi Pegasus jak klient wyłączy sobie Internet Mobilny?

    E, coś mi się nie wydaje, że takim badziewiem normalne służby pracują, na pewno to wyciek dla obywciów żeby mieli o czym gadać a narzędzia służb są 10000 x bardziej posunięte technologicznie

  40. Czyli znów najbezpieczniejszy smartphone oparte na Windows?

  41. Jeśli to coś jest zainstalowane i aktywne, to chyba powinno pojawić się na liście aplikacji wykorzystujących w danym momencie RAM telefonu. Ciekawe, jaki to ma wpis i ile pamięci zajmuje.

  42. Nie zgodzę się z Piotrkiem, że ktoś po 15 latach “wczasów” mógłby mieć problem z zamawianiem kanapki w Mc Donald’s.
    Przecież pierwszy taki obiekt w Polsce powstał 27 lat temu, a dziś tak samo jak wtedy można zamówienie składać ustnie i płacić gotówką. :p

    https://i.imgur.com/3PsXWQt.png

  43. Pozdrowienia z Windows 10 Mobile. Całe życie systemu bez jednego exploita.

  44. Koledzy od Windows Phone / Windows Mobile – rozumiem że uwzględniliście w analizie ryzyka zagadnienie “bez czego tel się nie uruchomi –> jakie dane ma o userze i jego kontaktach Microsoft + z przestrzeganiem jakich praw nie wydaje się mieć problemu + jaką ma politykę aktualizacji, w tym aktualizacji bezpieczeństwa” ;P
    Jak na mój gust, to na te systemy niekoniecznie potrzeba Pegasusa.

  45. […] Do sieci wyciekł dokument Pegasus – Product Description to 40-stronicowa broszura opisująca zalety programu i sposób jego działania. […]

  46. Czyli to tak naprawdę narzędzie rządu izraela.

  47. Witam, w końcu z tego artykułu nie dowiedziałem się ostatecznie czy, żeby pegasus zadziałał na danym telefonie to trzeba kliknąć w link wysłany przez pegasusa i zainstalować tego trojana czy jeżeli nie kliknę to dalej będę bezpieczny ?

  48. Hej. Fajny podcast. Czy Instagram kradnie pieniadze z karty wprowadzonej do google pay lub ubera? Nic nie da żande zabezpieczenie skoro sa bledy w oporgramowaniu domniemam ze w moim przypadku google pay lub uber????????????????????

  49. Skoro podsłuch jest wyłączany za każdym razem, kiedy telefon jest w ruchu to wystarczy telefonik odkładać na ruchomy talerzyk. Bedę takie produkował, tym bardziej, ze pewnie kupią też pracownicy ochrony, którzy mają instalowane aplikacje, które informują szefa o dłuższym niż xx minut bezruchu komórki świadczącym, ze pracownik śpi zamiast patrolować.

  50. koolnee trio mam to ewentualnie kitajce mnie inwigilują

  51. Jak na rok 2016 to mało imponująca lista wspieranych systemów i sprzętów – dla iOS były to aż 3 generacje różnicy (we wrześniu 2016 była premiera iOS 10 i iPhone 7). I był to czas gdy Apple zaczął wdrażać mocniejsze rozwiązania w zakresie bezpieczeństwa (np. Security Enclave w 5S) tak, że bardzo jestem ciekawy jak wygląda lista aktualna w 2019.

  52. “I co, posiadacze starych Nokii, dalej uważacie że jesteście bezpieczni? :)” a jaki OS ma stara Nokia 5110? bo zapomniałem

  53. >Zdziwilibyśmy się jeszcze bardziej, gdyby te agencje — tak różne co do misji od CBA — korzystały z gotowca typu Pegasus, w operacje którego ma wgląd jego producent. Firma z Izraela, czy jakiegokolwiek innego państwa. Zbyt ryzykowne.

    nasz kraj nie jest suwerenny i nasze sluzby prawdopodobnie sa wrecz przymuszane do uzywania takich narzedzi, ktore ktos w USA, niemczech lub Izraelu jest w stanie skontrolowac.

    >A inwigilować niestety czasami trzeba
    nie, nie trzeba. inwigilacje panstwa stosują nie po to, zeby chronic swoich obywateli, tylko zeby chronic swoje ciemne interesy, najczesciej sprzeczne z interesami narodu. tak samo policja nie jest od tego, zeby dbac o twoje bezpieczenstwo – tylko bezpieczenstwo wladzy.

  54. Dobrze chociaż, że najlepszej generacji antywirusy nie pozwalają na wpierdalanie się służb pod tą postacią.

  55. Hej, wspominaliscie w podcastcie ze atak działał w tamtym czasie na najnowszym iOS. Ale z tego co widzę to w 2016 roku był już iOS 10.

  56. […] do celów komercyjnych może być większym zagrożeniem dla Twojej prywatności niż słynny Pegasus, który jest narzędziem kontroli operacyjnej, a nie programem masowej […]

  57. to uczucie, kiedy czytasz artykuł o potężnym programie szpiegującym, a w nim nagle pojawia się zdjęcie twojego telefonu (identyczny model + wersja kolorystyczna)… niezły zawał mi daliście! :D

  58. Witam, dziękuję za artykuł o pegasusie, który potwierdza moje przypuszczenia, że służby zastosowały to urządzenie do inwigilowania mojej osoby i moich adwokatów podczas wspólnych wyjazdów, po tym artykule nabrałem 100% pewności, dlatego ostrzegam prawników podczas rozmów z swoimi klientami przed podsłuchiwaniem przez pegasusa. Jest to sposób na obejście tajemnicy adwokackiej.

  59. […] może użyć w dobrym celu Pegasusa? Po pierwsze nie zawsze zadziała, po drugie mamy na niego 10 licencji a to za mało, by śledzić wszystkich […]

  60. Mieliście dorzucić w materiałach tytuły książek o operacjach polskich specsłuż i gdzie one są, hę?:-)

    • “Niewidzialni”… ;)) służby PRL-u

  61. […] telefonu, takich jak wykorzystywanie dziur w systemie SS7, numeru IMEI czy oprogramowania typu Pegasus (używanego przez CBA). Przełączenie telefonu w tryb samolotowy niewiele pomoże. Wyłączenie […]

  62. […] Pegasus? Można, ale drooogooo i Pegasus jest ukierunkowany na standardowe systemy operacyjne, a pamiętajmy, że EncroChat korzystał z “własnego, bezpiecznego” systemu operacyjnego. I zdalnie mógł go aktualizować klientom. To ostatnie zdanie jest kluczem do zagadki. […]

  63. […] przez rząd polityków Katalońskich pojawił się w Hiszpanii już w roku 2012, ale użycie narzędzia formatu Pegasusa oznacza, […]

  64. […] Ruch z jego iPhona przekierowano po LTE na “serwer infekujący”, który w połączenie wstrzyknął złośliwy kod, a potem odesłał na stronę internetową, na którą Omar chciał się dostać. Pisaliśmy o tej metodzie w 2019 roku, opisując jak od środka wygladają i jak działają poszczególne moduły Pegasusa. […]

  65. Pozostają dwa pytania, których nikt tu nie zadał:
    1. Czy “błędy” oprogramowania (takiego czy innego) smartfonów i systemów operacyjnych PC-tów są rzeczywiście przypadkowymi i przeoczonymi błędami? Czy celowo pozostawioną… furtką?
    2. Po co są te wszystkie aktualizacje i “update” – skoro pozostawiają nadal niektóre błędy, a nawet dodają nowe?

    I wreszcie zasadnicze pytania:
    1. Z jakiego powodu dziś nikt nie pisze i nie wysyła tradycyjnych papierowych listów?
    2. Z jakiego powodu nie można dziś nadać telegramu?
    3. Z jakiego powodu nie ma dziś telefonów stacjonarnych – nie tylko tych w domach ale nie ma też budek telefonicznych?
    4. Z jakiego powodu nikt dziś nie korzysta z czeków bankowych?

    Ktoś odpowie być może, że zamiast tego mamy internet, e-maile, social media oraz telefonię komórkową – które ułatwiają i przyspieszają komunikację.
    Mamy też GPS, który ułatwia orientację w nieznanym miejscu i pełni rolę nawigacji.
    Mamy też bankomaty, karty płatnicze i płatności NFC, które są “wygodniejsze” od płacenia gotówką. A od czasu “objawienia” wirusa COVID-19 – są nawet “bezpieczniejsze od płacenia gotówką.

    Do tego w Polsce od roku 2016 jest obowiązek rejestrowania telefonicznych kart SIM prepaid (kart SIM kupionych w ofercie “na kartę”). Oficjalnie na skutek przyjęcia przez Polskę przepisów o przeciwdziałania terroryzmowi. Nieoficjalnie: żeby żaden użytkownik dowolnej sieci GSM nie mógł pozostać anonimowy i nierozpoznany.

    W zamian za to wszystko dostaliśmy od operatorów naszych sieci GSM do naszych rąk… smartfony. Cudowne urządzonka z bajecznie kolorowymi wyświetlaczami i obudowami. Które oprócz funkcjonalności tradycyjnych telefonów stacjonarnych (rozmowy) dają też możliwość wysyłania (SMS-ów) – telegramy? Oprócz tego pozwalają na korzystanie z “dobrodziejstw” internetu (strony www, e-maile, social media, komunikatory). Do tego możliwość instalowania “darmowych” aplikacji i gier. Co komu “potrzebne” – do wyboru, do koloru. Itp, itd.
    No i “płacić” możemy też smartfonem.

    A tak naprawdę cieszymy się z funkcjonalności, które w zwykłym życiu każdego z nas można zrealizować w inny sposób. Ale wolimy wygodę, która niestety wymusza na nas zgodę na udostępnianie całej masy naszych prywatnych danych: naszej lokalizacji, odwiedzanych przez nas stron www, naszych haseł, naszych rozmów głosowych, naszych SMS-ów, naszych e-maili, naszych kontaktów, naszych zdjęć i filmów, informacji o zainstalowanych przez nas aplikacjach, o naszych bankach i o numerach naszych kont bankowych, itp, itd.
    Niestety – korzystanie z tych niby “niezbędnych” w życiu funkcjonalności naraża nas na permanentną inwigilację różnych “służb”.

    A prawda jest zdumiewająca: większości z tych “cudnych” urządzeń i większości z tych “fantastycznych i ułatwiających życie” funkcjonalności, które one oferują – WCALE nie potrzebujemy aby… żyć!

    No i do tego najświeższa informacja: stoimy na progu zmiany dotychczasowego porządku świata jaki znamy. Mowa o wirusie COVID-19. Dziś nie będzie lokalnej wojny ani ogólnoświatowej wojny. Żadne państwo na świecie nie zdecyduje się na wywołanie takiej wojny czy wojenki, żeby najpierw sztucznie wywołać w jakiejś części świata niedobór jakichś dóbr, spowodować tam zniszczenia – a potem zarobić na “wyzwalaniu” jakiegoś narodu spod czyjejś okupacji i zarobić na odbudowie zniszczeń wojennych.
    Dziś straty w skali całego globu spowoduje się ogłaszając “pandemię”, wprowadzając ograniczenia i restrykcje, noszenie maseczek i zamykając większąść firm na jakiś czas. A potem tym firmom, które przetrwały zaproponuje się “pomoc”. Miliony lub miliardy Euro “pomocy”. Z tym, że żywą gotówką to tylko jakieś 10 % całej kwoty. A reszta na kredyt z odsetkami. Z jakimi odsetkami i z czyich banków? Jak myślicie?

  66. […] to na prawach roota) to i tak może podglądać każdą aplikację, która na urządzeniu pracuje (Pegasus, mówi Wam to […]

  67. […] Ale bez paniki! Pegasusa i jemu podobnych rozwiązań, w naszej opinii, zdecydowana większość z Was nie powinna się obawiać, z powodów które omówiliśmy w tym odcinku naszego podcastu i opisaliśmy w tym artykule oraz w tym artykule. […]

  68. […] na to, że w Rosji tak. A napewno taniej. W przypadku ataku Pegasusem […]

  69. […] Twoim celem jest sprawdzenie, czy telefon jest zhackowany albo zainfekowany “Pegasusem”, to zdecydowanie nie. Tego typu aplikacje nie dadzą Ci wiarygodnej odpowiedzi. Lepiej […]

  70. Nie zgadniecie jakie organy posiadaja dostep do tego typu oprogramowania ktore tutaj przedstawione jest w starej ograniczonej wersji.

  71. Aplikacja w teorii do ścislego zarachowania i do rejestrowanego kazdorazowo uzycia. Lecz w tym kraju nic do konca takim scislym nie pozostaje takze wycieki aplikacji.

  72. Odkopię trochę węgiel – Pegazus ma w wymaganiach 2 anonimowe karty sim. Jak mogę to sobie wyobrazić? Operator GSM nie wie kogo obsługuje?

  73. […] smartfonów, sprzedawanego przez izraelską firmę NSO agencjom rządowym różnych krajów, w tym polskiemu CBA. Reporterzy pozyskali listę 50 000 numerów telefonów osób, które były na celowniku […]

  74. Czyżby wystarczyło korzystać z Windows Phone? :-)

  75. Jeśli Apple czy Samsung wie o istnieniu NSO, to dlaczego nie może pod inną firmą zamówić trojana i łatać oprogramowanie na bieżąco? Czy to się nie opłaca?

  76. […] otrzymałeś SMS-a: Nie, to nie jest atak Pegasusem. […]

  77. […] od strony technicznej. Informacje na jego temat można czerpać publicznie z dwóch źródeł: tej, wyciekniętej kilka lat temu instrukcji obsługi oraz raportów i artykułów CitizenLabu oraz Amnesty […]

  78. Pegasus inwigiluje przestępców xD
    mhm :)

    zbnieram dane na temat tego co wyprawiaja ludzie w PL jak im się nudzi :)
    niestety ale wykorzystuje się różne oprogrowamowania i firmy telekomunikacyjne by pomagały rządą zbierać na socjale :)

    w jaki sposób lepiej poczekać :)
    puki co miałem już do czynienia ps: nie pobierajcie żadnej apki rządowej na fona.. to gówno infekuje tel.. mało tego.. z niektórych komunikatorów cwaniaki z rządu którym się nudzi rozsyłają linki i infekują konta innym ludziom którzy nam ufają poniewąz to z naszego urządzenia.. usówają historię i po kłopocie generalnie dzieci tak robią czasami jak bawią się w hakowanie mniej doświadczonycuh użytkowników.

    najgorsze jest to że firmy telekomunikacyjne współpracują a raczej nie chronią danych własnych klientów.

    rozumiem przestępców ale sporo ludzi ostatnio zauważyło utratę środków.

    mam już listę 2 firm :)

    podstawy.

    NIE WCHODZIĆ W LINKI! nawet jeśli są od rodzin :)
    BLOKOWAĆ U OPERATORÓW OD RAZU PŁATNOŚĆ MOBILNĄ
    JEŚLI MACIE KARTY USTAWIAJCIE LIMITY PŁATNOŚCI.

    Rząd może również wyłudzać pieniądze i spotkałem się z sytuacjami
    aczkolwiek nie chciałbym by było to postrzegane jako pomówienia aczkolwiek sporo sytuacji również i u mnie było które dość odbiegają od tego co nazywamy Etyką w świadczeniu usług przez sieci w PL/

    w operatorów w Polsce nie wierzę :)
    ponieważ od pracowników często wymagają naginania prawa do utrudniania niektórym ludziom życia czy wyłudzania forsy po przez firmy krzaczory “kto się spotkał ten wie ”
    często firmy które są rejestrowane w tych samych budynkach co niektórzy telemarketerzy ale i pracownicy firm telekomunikacyjnych : )

    Generalnie pegasus jeśli służy słuiżbom do łapania przestępców ok. xd
    ale co jeśli służy służbom wyłudzanie pieniędzy we współpracy z niektórymi firmami by wyciągać niepostrzeżenie pieniądze od klientów ?:)

    Wszystko jest możliwe.. jestem po 3 sytuacjach nie jestem przestępcą :)
    mam już listę firm które będę unikać do końca życia :)

  79. wystarczy sprawdzic tracert dns po ip i zobaczycie cala siec jest inwigilowana przekierowana. strony czesto odwiedzane sa buforowane etc.

  80. zet dokladnie tak jest liczba przeskokow ip DNS przegladarki ponad 30 pozycji poczatkowo oparta na AWS nastepnie hostig serwisy rozsiane po globie. ip systemowe inne a przegladarki inne to ewidentnie pegasus, tego typu aplikacje tez maja tendencje do wyciekania w rece niekoniecznie kompetentne.

  81. Tylko żądni sławy i uwagi paranoicy używają tego typu aplikacji prywatnie, każdy ruch w sieci zostawia ślad niektórzy operatorzy przechowują wszystko (nie tylko nagłówki) dłużej aniżeli ustawowy (o większym zakresie okres). Jeśli ktoś używa takiego dostępu do przeglądania weba bez strumieniowania wideo to tego nie czuć natomiast kiedy ktoś używa apki tatusia/brata/syna/lub zdobycznego etc. do strumieniowania contentu 4k albo 8k to jest problem. Wygaszanie autoryzacji pomimo dwustopniowej na kontach email, mediach społecznościowych etc, to jest destabilizujący sabotaż taki zgrabny agresywny akt w bialych rekawiczkach bez fizyczneo kontakty nosi znamiona cyber wojny, fajne wnioski można wyciągnąć po analizie zesnifowanego materiału swojej siec a także po głupotach publikowanych bez ładu i składu w newsach na zasadzie losowego doboru wydarzeń wedle logicznego głównego strumienia.

  82. Mentalnie byty które się tak bawią uparcie funkcjonują w czasach PRL’u myślą, ze są nie do wykrycia wystarczy zgłosić do operatora nie trzeba służb w to mieszać gdyż obecnie wizerunek biznesowy jest cenniejszy. Aplikacja której używanie bez wyraźnego powodu zagrożone jest przepisami kk kpk, to nie jest PRL gdzie wtyki były usiane w co drugim budynku i nie tylko…… ktoś się bawi w resentymenty (komuny w PL nie było nigdy był PRL, kto czyta ten nie bladzi). Przejmowanie profilu sieciowego i pełna inwigilacja wszystkich kanałów, wygaszanie dostępów rozrywkowych np. aplikacji gamingowych, poczty, ingerencja w wiadomości o innych nie wspomnę to nie sa czasy początków szerokodostępnego internetu w PL i pomyłek, down’ów, up’ów, reload’ów etc, obecnie realia “IT Crowd” są w dużej mierze bardzo przeterminowane, a w PL nigdy nie miały 100% odwzorowania.

  83. W Polsce taki jednostkowy monitoring nie ma sensu ponieważ zawsze ktoś puści farbę i dana apka wycieknie, slużby maja kanały wyznaczone przez wszystkich dostawców sieciowych i monitorują DNSy a ta aplikacja działa punktowo i jest prostsza w obsłudze aniżeli pasjans. natomiast przy zlej konfiguracji wyszkoleniu update’ach i obsłudze przez byty o wątpliwej inteligencji to destabilizuje wszystko i odczyty DNS są przez to zakłamane. Takie nasilenie często widać w okresach wyborczych a Polska jest jednym z najbardziej wewnętrznie monitorowanych Państw i rózne organy mają rózne sympatie polityczne. A torcik jeszcze kusi wszystkich i uprawnienia związane z wygraniem.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: