11:47
30/12/2021

W ostatnich dniach znów jest głośno na temat Pegasusa – rządowego trojana, o którym po raz pierwszy pisaliśmy w 2016 roku, cytując raport CitizenLabu.

Ponieważ kierowaliście do nas w tej sprawie wiele pytań, zrobiliśmy Q&A na Instagramie (a co!). A ponieważ wiele osób instagrama nie ma (i chyba słusznie), to zaczęliśmy dostawać prośby, aby skonwertować to Q&A na film na YT. Oto i on — 32 pytania i odpowiedzi dotyczące Pegasusa:

Pytań i odpowiedzi z tego filmu nie będziemy tu poruszali. Ale dla porządku i ze względu na dużą dezinformację, która w tym temacie pojawia się od kilku dni w sieci, podsumujmy istotne publikacje dotyczące Pegasusa.

Pegasus w Polsce

Po raporcie na temat Pegasusa z 2016 roku, kolejne doniesienia CitizenLabu, z 2018 roku, bazowały na badaniu internetu pod kątem fingerprintów infrastruktury Pegasusa. Badacze wskazali wtedy, że instalacja Pegasusa działa w Polsce, a w polskich sieciach są ślady ofiar, które były Pegazusem infekowane (por. Jak wykryto ślady rządowego trojana w Polsce). Wspomniano m.in. o domenie emonitoring-paczki[.]pl, która mogła być wykorzystywana do ataków na Polaków.

CitizenLab instalacji w naszym kraju nadał kryptonim ORZELBIALY, ale nie wskazał służby, która jest operatorem. Zrobili to za to pośrednio dziennikarze TVN24, ujawniając fakturę na 33 miliony złotych wystawioną dla CBA na zakup “środków techniki specjalnej służących do wykrywania i zapobiegania przestępczości“.

Na marginesie, dzięki wyciekowi po zhackowaniu firmy HackingTeam, o której dziś już mało kto pamięta, wiemy że CBA już od 2012 roku nabywało narzędzia z gatunku rządowych trojanów.

W 2018 roku CitizenLab informował, że instalacja Pegasusa w naszym kraju nie jest “wykorzystywana politycznie”, zapewne ze względu na to, że nie trafiły do niego żadne przypadki ofiar będących politykami. Sytuacja zmieniła się w listopadzie 2021, kiedy po kampanii Apple przeciwko firmie NSO Group, producentowi Pegasusa, Apple postanowiło rozesłać na telefony niektórych swoich użytkowników informacje, że mogli oni być atakowani Pegasusem. Wiadomość zawierała instrukcje, co robić, jak żyć.

I dziś wiemy, że poseł Giertych, senator Brejza i prokurator Wrzosek po otrzymaniu takich ostrzeżeń udostępnili swoje systemy mobilne do analizy CitizenLabowi, a ich badacze znaleźli i potwierdzili na nich ślady Pegasusa. Pochodzące z 2019 roku.

CitizenLab zmienił zdanie co do Polski

Obecnie przedstawiciel CitizenLab twierdzi, że do tej pory

“nigdzie nie widział telefonu który był tak intensywnie atakowany”

nie wskazuje jednak wprost kto za atakiem stoi, bo albo brakuje dostatecznych śladów albo wstrzymuje tę informację ze względu na postępowania, które zapowiedziały ofiary.

Musicie więc sami zgadywać kto interesował się wspomnianą wcześniej dwójką polityków i panią prokurator. Krajów, które mają Pegasusa trochę jest i przecież totalnie mogła to być np. posiadająca go Uganda ;)

EDIT: Już nie musicie, Jarosław Kaczyński przyznał że Polska posiada Pegasusa.

EDIT2: A poseł Suski poinformował, że rocznie instalowano go na telefonach “nie więcej niż kilkuset” osób 🤔 To ciekawe, bo ponoć CBA miało dysponować ~30-50 licencjami. A to by oznaczało, że jedna licencja jest na “bieżącą sprawę” i potem może być użyta na kolejnej osobie.

Skąd to wiadomo?

Zostawmy politykę i przyjrzyjmy się Pegasusowi od strony technicznej. Informacje na jego temat można czerpać publicznie z dwóch źródeł: tej, wyciekniętej kilka lat temu instrukcji obsługi oraz raportów i artykułów CitizenLabu oraz Amnesty International.

Ze względu na wiekowość pierwszego źródła i analizę tylko przecież wycinka ofiar przez badaczy, wiele informacji opisujących działania Pegasusa może być przestarzałych lub niekompletnych i trzeba o tym pamiętać. Niemniej jednak, w 2019 roku przynajmniej niektóre instalacje Pegasusa wykorzystywały do ataków dziurę w WhatsApp. Wysłanie “niewidzialnej wiadomości” pozwalało przejąć kontrolę nad smartfonem (por. WhastApp zhackowany, Pegasus zainstalowany u ofiar). Kilka tygodni później Financial Times opublikował informacje o najnowszej wersji Pegasusa, która pochodziła od osób będących na tej prezentacji producenta.

Te wydarzenia spowodowały, że Facebook pozwał NSO Group. Miesiąc temu Apple też pozwało NSO Group.

To koniec Pegasusa?

Wyglada na to, że koniec Pegasusa nadchodzi. Akcje poleciały w dół. Marna to pociecha, bo niestety tego typu narzędzi jest więcej i naiwnością jest, że rządy różnych krajów nie będą chciały z nich korzystać. Pozostaje więc mieć nadzieję, że także w Polsce powstanie lepsza kontrola nad tzw. kontrolą operacyjną. Od dawna walczy o to fundacja Panoptykon, na której stronę poświęconą tej tematyce Was odsyłamy.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet w naszym internetowym sklepie.

49 komentarzy

Dodaj komentarz
  1. A Eset twierdzi, że chroni przed Pegasusem na Androidzie:)

    https://serwisy.gazetaprawna.pl/telekomunikacja/artykuly/8323550,eset-jest-skuteczna-ochrona-urzadzen-z-androidem-przed-pegasusem.html

    • Bo Eset to firma izraelska… ;))

    • @Krzysztof: nic z tych rzeczy. Eset jest słowacki.

  2. Ja trochę liczę na to, że po tej aferze z pegasusem inne kraje tworzące podobne rozwiązania nie będą chciały go pisiorkom sprzedać.

    • Nie fandzol bryjzolu!

  3. Czyli jeśli nie korzystam z Whatsappa to jestem bezpieczny?

    • Nie wydaje mi się abyś był bezpieczny. Myślę sobie że możesz być bardzo podatny na ataki np. SMSowe bo Twoje umiejętności czytania ze zrozumieniem wydają się wątpliwe.

    • Bezpieczny będziesz, jak nie używasz telefonu.

  4. To zadam pytanie. Słyszałem różne wersje dotyczące tego, czy na bazie jednej licencji można inwigilować większą ilość osób. Zarówno takie, że nie – czyli że w uproszczeniu licencja jest na klienta, w tym przypadku na inwigilowanych, jak i że bardzo – czyli że licencja jest na stanowisko operatora umożliwiające inwigilację nieskończonej liczby telefonów. Pomiędzy oczywiście sytuacja, że można inwigilować konkretną liczbę telefonów naraz, czyli że aby śledzić nową osobę, trzeba wyinstalować klienta (czy też odpiąć od serwera) z telefonu jednej z poprzednich. Pominę chwilowo to, czy licencje są egzekwowane, bo to inna kwestia.

    Czy wiadomo która wersja polityki licencyjnej jest najbliższa rzeczywistości?

    • To może zależeć od warunków licencji. Zapewne chodzi o liczbę jednoczesnych inwigilacji. Czyli nie więcej niż X aktywnych agentów.

      Może te wielokrotne reinfekcje telefonów Brejzy to nie była niestabilność kodu agenta. Może to wynik omijania limitu licencji? xD Wychodzili od Brejzy bo nic się nie działo a wchodzili na innego figuranta.

    • Z tego co zdołałem się zorientować, to Pegasus jest licencjonowany na ilość odbieranych strumieni danych. Telefonów możesz sobie mieć zainfekowanych dowolną ilość (choć to podlega zupełnie innym ograniczeniom niż licencyjne), ale jednocześnie odbierać możesz dane tylko z X – konkretnie najprawdopodobniej z 35 sztuk w przypadku Polski.

    • Z medialnych informacji wychodzi, że cały ruch idzie przez serwey w Izraelu więc nie ma obejścia licencji.

    • @Michal

      Nawet na pewno zależy od warunków licencji. Pytanie, czy znamy / jesteśmy w stanie poznać te warunki, czy zgadujemy. Bo ja na przykład myślałem jak Ty, a potem w jakiejś telewizji koleś którego nie uważam za ignoranta powiedział, że chodzi o licencje na stanowiska operatora. I zwątpiłem.

      A w temacie wielokrotnych infekcji w pełni się zgadzam, wygląda tak jak piszesz. Albo ponawianie po restarcie telefonu.

      @Mmm

      Problem w tym że z medialnych informacji wynika wiele wykluczających się wzajemnie rzeczy ;-) Ale sprawdzanie licencji na serwerze producenta to klasyka, więc mogą rzeczywiście być trudne do obejścia.

    • @Tomasz Klim

      To na tych warunkach, zależnie od inteligentnego przełączania się między strumieniami danych, da się inwigilować całkiem sporo osób prawie naraz. Jeszcze zależy jak w tej sytuacji z pozyskiwaniem danych archiwalnych. Czy ograniczenie na nie obowiązuje od danej aktywacji strumienia danych, czy może sięgnąć wstecz, czyli jaka data jest zaprogramowana jako graniczna.
      No i w tej sytuacji, czy ponowne “hakowania” badanych telefonów oznaczają aktywację strumienia danych czy instalację klienta.

  5. …”tej, wyciekniętej”…? Oj, jakoś mi to zazgrzytało w uszach (pardon, w oczach). Może: “tej, która wyciekła”? Ale nie czepiam się, miałem tylko dst z j. polskiego. Pozdrawiam i dzięki za ten artykuł.

    • @Uii.

      Jeśli trzymać się biernie starych słowników, miałbyś rację. Ale język żyje, tworzymy neologizmy, eksperymentujemy, bawimy się treścią i formą, i to jest całkiem fajne, polecam.

    • Można by też napisać “tej, wyciekłej”, ale “wyciekniętej”? Brr…

  6. 1) Polski rząd jest w konflikcie z Izraelem
    2) Pojawia się informacja, że Izrael nie sprzeda/nie przedłuży licencji Pegasusa polskiemu rządowi
    3) Chwilę potem pojawiają się informacje o tym, że polityk opozycji był szpiegowany przez polskie służby
    4) Organizacja, która to podała przypadkiem jest sponsorowana przez Sorosa i nie przedstawiła do tej pory żadnych dowodów na wykorzystanie Pegasusa przez polskie służby

    Czy tylko mi się coś tutaj nie dodaje?

    • Tak, niestety tylko Tobie.
      Inwigilacja 2019. Po wypłynięciu info o tym blokada licencji w 2021.

    • Mi się dodaje świetnie: piszesz o Sorosie i o Izraelu sugerując że działają na niekorzyść polskiemu rządowi.Brzmi jakbyś brał informacje z fundamentalistycznych prawicowych mediów, gdzie Soros jest odpowiedzią na wszystko. Pozdrawiam.

    • Pozostaje przypomnieć dawne hasło reklamowe – Pegasus, the family game.
      Bardzo family…

    • Dla mnie to kwestia wiary. Wierzysz albo Citizen Lab albo polskim spec służbom. Przy czym CitizenLab nie napisał że to polskie służby atakowały. To jest tylko w sferze domysłów czy, kiedy i kto atakował

  7. Pegasus z racji swojej ofensywnej natury wymaga czasu poświęcanego przez użytkownika-operatora, stąd wynika ograniczenie ilości celów do jednoczesnej obsługi. I chyba z tego samego powodu nie potrzebna jest powszechna panika… Jednak kluczowa jest kontrola operacyjna nad poczynaniami państwa i to bardziej ze względu na regulacje i możliwości systemów klasy LI. Nadużywanie tych regulacji może mieć wpływ na komfort życia dużo większej części społeczeństwa.

  8. Witam,
    A jak wyłączę całkowicie transmisję danych u operatora i nigdy nie włączę np. WiFi w telefonie to czy P. da redę “się wgrać” na telefon?

    • Da się. Chyba nie słuchałeś uważnie.

    • @Grzegorz

      W zasadzie pytasz o to, co dzieje się po odebraniu “ślepego smsa” czy też może mmsa zaczynającego infekcję. Czy dostarczone tą metodą dane są wystarczające do np włączenia transmisji danych w tle.

  9. Wielki i sławny program hackerski, który jednak zostawia swoje ślady na telefonie ofiary – więc chyba nie jest najlepszy LOL

    • Bo atakuje wielkie i sławne systemy operacyjne i to one logują te ślady a nie program hackerski je “zostawia”.

    • Komentarz w formie obrazka: https://andrzejrysuje.pl/astrofizycy/

    • No właśnie gdyby był dobry, to by te logi usunął.

  10. A gdzie transkrypcja tego filmu? Byłoby fajnie ją , zmieścić dla preferujących słowo pisane. Pozdrawiam.

  11. W zależności od afery jesteśmy w konflikcie lub na usługach Izraela. Trudno wnioskować.

  12. Sugerujesz że producent oprogramowania szpiegującego zablokował licencje bo zostało użyte do szpiegowania?

  13. Nie wiem jak Wy, ale ja mam nadzieję że tak jak w 2015 roku, zchackowali hacking team, to i teraz ktoś się za tego Pegasusa weźmie.

  14. Onet napisał coś takiego: “Przede wszystkim jednak uzyskuje stały dostęp do naszych profili online, nawet gdy telefon przestaje być zainfekowany. Mam na myśli np. iCloud czy e-maile. Dzieje się to wskutek kradzieży tokenów. To bardzo niepokojące, ponieważ raz zainfekowany przez Pegasusa sprzęt daje dostęp do stałego monitoringu życia właścicieli np. telefonów”
    Ktoś coś?

    • A co chcesz wiedzieć więcej? Jak masz np. stronę internetową, gdzie jest opcja “zostaw mnie zalogowanego” to ta strona zapisuje ciasteczko, z jakimś totalnie losowym ID. I jak wejdziesz na stronę i masz takie ciasteczko, to automatycznie zostajesz zalogowany.
      Jak Pegasus sobie skopiuje to ciasteczko, to może korzystać z Twojego konta z dowolnej przeglądarki świata. Oczywiście, jeśli dana strona oferuje wyświetlenie aktywnych sesji (co nie jest normą), to wtedy byś poznał IP z którego Pegasus działa :)
      Tokeny generalnie działają podobnie jak to ciasteczko – skopiowanie ich na inną maszynę pozwala być zalogowanym do aplikacji nie znając hasła i loginu.

  15. To hakerzy czemu nie są Ścigani

  16. Odebrali nam licencję, bo polska odnoga honeypota dla rządów (Pegasus) nie przynosiła wartościowych danych wywiadowczych o światowym terroryźmie, tylko duperele w rodzaju jak komuś podłożyć nogę, albo jak kogoś wykiwać. Koszt utrzymania infrastruktury Pegasusa jest za wysoki aby inwestować w pozyskiwanie informacji śmieciowych.

  17. A za poprzednich rządów już było podobnie https://niebezpiecznik.pl/post/hacking-team-hacked/?similarpost

  18. […] 4.01.2022, 11:02 Wtem! Po 7 latach, na fali aktualnej afery dotyczącej Pegasusa, ten nasz artykuł pochodzący z 2015 roku i niedokładnie cytowany, zaczął być wykorzystywany […]

  19. podobno “wojtuniki” kupiły program równoważny od włochów dziesięć lat temu, za 1 mln zł. a “wąsiki” pegasusa za33 /25/mln zł. to znaczy że “wojtuniki”są geniuszami finansowymi a “wąsiki” niezłymi przekrętasami

  20. Zastanawiam się dlaczego nie mówi się w mediach, że takie narzędzie to po prostu wirus typu spyware. I dlaczego programy antywirusowe nie dają sobie rady z takim wirusem?

    • Bo ten sam kapitał odpowiada za jedne i drugie.
      Wykrywanie zależy od chwilowego zapotrzebowania rynku.

    • Bo to nie jest wirus, tylko platforma do włamań z użyciem różnych 0-day’ów… ;))

  21. Usunięcie logów to też ślad

  22. Na każde polecenie sądu czy prokuratora hakerzy z CBA czy CBŚP bez skrupułów będą atakować dowolne urządzenia danej osoby a nawet rodziny czy znajomych. Rząd powinien podać się do dymisji. Nie powinno być zgody na tak brutalne hakowanie bo to przestępstwo, CBA i CBŚP powinno być ukarane i powinni siedzieć w więzieniu.

    • Co to za bełkot? Takie platformy były, są i będą. Poprzednie rządy i następne też pewnie użyją. Chodzi tylko o to, żeby była jakaś kontrola nad jego użyciem. No i jest ryzyko, że wrogi nam często kraj udostępnia nam narzędzie do szpiegowania, które dane przepuszcza przez serwery w tym kraju. To świetny pomysł na auto inwigilacje nas przez wrogi nam kraj.

  23. […] od przedstawienia atakowanych osób. To Ryszard Brejza (ojciec potwierdzonej ofiary Pegasusa, Krzysztofa Brejzy) oraz Magdalena Łośko (asystentka Krzysztofa Brejzy). Jak wynika z wypowiedzi eksperta Amnesty […]

  24. […] wiedzą, czym jest niesławny Pegasus. Ale tego typu rządowych trojanów jest więcej. Na temat jednego z nich, macedońskiego Predatora, wypowiedział się zespół bezpieczeństwa […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: