25/4/2023
Powieści są ciekawe. Ich autorzy kształtują akcje w sposób bardzo widowiskowy, choć nie zawsze realny. Cyberpunkowych powieści na rynku nie brakuje, ale w branży bezpieczeństwa rzeczywistości “podkręcać” nie trzeba. W branży bezpieczeństwa literatura faktu jest wystarczająco ciekawa, a historii, które zdarzyły się naprawdę i które trzymają w napięciu do ostatniej strony nie brakuje. W wielu pojawia się zaskakująca bezczelność, wyjątkowa głupota, niespotykana odwaga, ryzyko śmierci, inwigilacja, walka z systemem i …hackowanie.
Przedstawiamy Wam świeżutką książkę, która zwiera wszystko z powyższej listy. To “Pegasus“, reportaż opisujący wyjątkowo istotne dziennikarskie śledztwo, a w zasadzie thriller ukazujący kulisy pracy grupy bezkompromisowych dziennikarzy, którzy rzucili wyzwanie czołowemu producentowi oprogramowania do inwigilacji. To dzięki ich pracy świat dowiedział się więcej o tym jak działa Pegasus i kto z niego korzysta.
“Pegasus” to opowieść o przerażającej rzeczywistości — tej prawdziwej i tej wirtualnej. Walce o wolność, niezależność i prywatność, która toczy się każdego dnia. Coraz częściej w naszych smartfonach.
Nosimy cyfrowy umysł w kieszeni
Profesor etyki Matthew Noah Smith twierdzi, że smartfony stały się „przedłużeniem umysłu” człowieka i że nasz „umysł wykracza poza nasze mózgi i obejmuje nasze telefony”. Ta teza w pierwszej chwili może budzić sprzeciw, ale zastanówmy się przez chwilę – smartfony są nieodzowną częścią współczesnego życia i zwykle większość z nas nie rozstaje się z nimi. Funkcjonalność tych urządzeń jest bezdyskusyjna – smartfon to media społecznościowe, kontakty z przyjaciółmi, rozrywka, bankowość, zakupy, praca, nauka, autoryzowanie tożsamości i znacznie więcej. To także gigabajty prywatnych danych transferowanych między użytkownikami. I te gigabajty mogą dostać się w niepowołane ręce. Jeśli zatem zgodzimy się z tezą, że te cyfrowe, prywatne dane przechowywane w pamięci naszych telefonów mogą być traktowane analogicznie do wspomnień przechowywanych w biologicznej sieci neuronów, to możemy założyć, że raczej niewielu z nas zgodziłoby się na taki ekshibicjonizm i pozwoliło komukolwiek zaglądać do swoich umysłów.
Na szczęście póki co tradycyjne myśli i wspomnienia są poza zasięgiem świata zewnętrznego. Gorzej, gdy mówimy o ich cyfrowych, zdigitalizowanych odpowiednikach. Bezpieczeństwo „backupu naszej duszy”, jak Dmitry Glukhovsky pisze o smartfonach, bywa niestety złudne. PIN, biometria, hasła – to w wielu przypadkach zbyt mało, by uchronić spoczywający w kieszeni nośnik naszej prywatność przed cyberatakami. Kwestią czasu było powstanie narzędzi do podglądania naszej smartfonowej prywatności. Tym najbardziej medialnie znanym jest Pegasus, sztandarowy produkt izraelskiej firmy NSO Group, o którym Niebezpiecznik przestrzegał już w 2016 roku.
Inwigilacja (nie)kontrolowana i lista od której wszystko się zaczęło
Książka “Pegasus. Jak szpieg, którego nosisz w kieszeni, zagraża prywatności, godności i demokracji” to książka potrzebna i niezwykle wartościowa. Wydawnictwo Insignis zdecydowało się na publikację polskiego przekładu tego porywającego reportażu, który wśród każdej osoby zainteresowanej bezpieczeństwem powinien stać się obowiązkową lekturą.
W ręce autorów ksiażki, dziennikarzy śledczych Laurenta Richarda i Sandrine Rigaud trafiała lista 50 000 unikatowych numerów telefonicznych. Nie były przypadkowe. Zostały wytypowane przez operatorów Pegasusa jako numery do potencjalnej inwigilacji. 50 000 osób, którym ktoś chciał się bliżej przyjrzeć, a być może całkowicie obedrzeć z prywatności. Bez ich wiedzy. Czy na pewno za każdym z tych numerów stoją terroryści, przedstawiciele narkobiznesu, pedofile?
Lista numerów była iskrą inicjującą niezwykłe śledztwo. Książka opisuje jego kulisy. Dzięki niej można poznać warsztat dziennikarzy, którzy rzucili wyzwanie producentowi narzędzia “potrafiącego po cichu włamywać się na telefony”.
- Jak dbali o swoje bezpieczeństwo (OPSEC) mając takiego przeciwnika?
- Kogo zaprosili do współpracy?
- Jak się czuli, kiedy przez rok nikt z wtajemniczonych nie mógł pisnąć nawet słowa na temat tego, nad czym pracują?
- Jak ustalali do kogo należą numery z listy?
- Jakie dylematy etyczne z tym związane mieli?
- Czy ktoś próbował się na nich zemścić?
Choć książka “Pegasus. Jak szpieg, którego nosisz w kieszeni, zagraża prywatności, godności i demokracji” jest literaturą faktu, to chwyta za gardło mocniej niż niejedna powieść sensacyjna. Realność przedstawionych w książce wydarzeń przerazi każdego czytelnika, który z rosnącym niedowierzaniem i zjeżonym włosem dotrze do ostatnich stron tej publikacji.
Niniejszy artykuł jest artykułem sponsorowanym, a za jego publikację otrzymaliśmy wynagrodzenie (mniejsze niż zwykle, bo książki warto czytać. A te ukazujące warsztat pracy dziennikarzy śledczych zwłaszcza.)
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Pytanie takie techniczne, bo wiadomo że telefony smartfony są bardzo podatne na takie rzeczy. Ale czy telefony klasyczne też takie były i są? W sensie jakiś klawiaturowy stary model Hamera oparty nawet nie o androida. Lub inaczej czy jeśli ktoś używa starych klawiaturowych telefonów (lub nowych) ale tych prostych to też jest wystawiony na coś takiego?
@Ergotom
Z poziomu różnorakich służb zawsze była i jest możliwość podsłuchać zwykłą rozmowę telefoniczną. Odkąd weszły smsy jest możliwość je przeczytać. Bez ingerowania w urządzenie końcowe czyli pojedynczy aparat.
Smartfony umożliwiły komunikację szyfrowaną end-to-end (aparat do aparatu), co jest trudniejsze do przejęcia. Dlatego powstały różne techniki i programy umożliwiające zajrzenie do smartfona jakby się było jego właścicielem. Przy okazji na smartfonie robi się wiele innych rzeczy, typu przeglądanie Internetu, praca nad dokumentami, fotki, itp. No to te programy zaglądające do smartfona mają dostęp i do nich.
Czyli odpowiedź na Twoje pytanie brzmi: telefon guzikowy nie jest bezpieczny, ale pozyskuje się z niego mniej danych naraz.
W życiu nie używałem smartfona – tylko Nokia 6310i. Zastanawiam się czy nie przesiąść się na model bez “i”.
Nie mam nic przeciwko takiej reklamie ale zabrakło mi informacji czy ktoś z redakcji niebezpiecznika miał okazję przeczytać książkę i może ją szczerze polecić?
“Autorami niniejszego artykułu są Marek Stankiewicz oraz Tomasz Brzozowski”
Aż dwie osoby napisały ten artykuł zaczynający się od “Profesor etyki” a kończący na “tej publikacji”? Wow!
Telefony to nic fajnie rozszywa hasla w czasie rzeczywistym..
Wiem że jestem w mniejszości, ale ja komórkę zabieram jedynie wtedy kiedy się spodziewam jakiegoś ważnego telefonu, albo wiem że będę musiał zadzwonić kiedy mnie w domu nie będzie. Choć i nawet takie szpiegowanie trochę boli, więc rozważam albo kupno smartfona starego typu (Symbian) albo wręcz telefonu starej daty działającego na Java ME (np. Nokia 6030, itd.). Wystarczająco nowego żeby obsłużył karty i LTE,ale na tyle starego żeby był bez andruta.
@SuperTux
Nie ma co rozważać, tylko kupić i przetestować. Jeśli używasz telefonu tylko do dzwonienia i smsów, jest duża szansa że Ci wystarczy. Z jednym zastrzeżeniem. Stare telefony mają gorsze przetwarzanie dźwięku; gorszą kompresję i ścinają wiele tonów, co może być utrudnieniem gdy się przesiadasz z nowszego. Ale to zależy od indywidualnych predyspozycji słuchowych, czyli trzeba przetestować. Z drugiej strony, jeśli używasz telefonu tylko do dzwonienia, to nie wytwarzasz informacji po które sięga się pegasusem, wystarczą tradycyjne metody.
Lepiej napiszcie coś o narzędziach klasy SNAKE których to odkryciem starych modułów chwali się NATO…
Czytałem tę książkę, bo uwielbiam kryminały. Dobry temat. Naprawdę wciąga :)
Legendowanie szpiegostwa Pegasus’em trwa w najlepsze.
Tymczasem co z takimi szpiegami jak Google czy Apple?
Co z automatycznym kopiowaniem danych prywatnych do Google Drive czy iCloud?
Co z dostępem służb specjalnych do danych zgromadzonych w iCloudzie czy Google Drive?
Jakby ktoś chciał uczciwie zbadać szpiegowski charakter smartfona, to wszystkie smartfony byłyby już nielegalne.
A co ze szpiegowskich charakterem karty SIM? która też ma wbudowany procesor i mini system operacyjny, operator ma dostęp do wszystkich danych przechodzących przez kartę SIM.
Sam Pegasus też jest pocieszny.
Zainstalowałem sobie MVT – Mobile Verification Toolkit (oficjalne narzędzie do wykrywania tego dziadostwa), testuję mojego cegłofona, i ZNALAZŁ PEGAUSUSA.
Jego (programu MVT) zdaniem Peasus ukrył się w plikach binarnych o następujących nazwach:
magiskhide
magiskconfig
su
Problem polega na tym że Magiska instalowałem osobiście, te trzy pochodzą z Magiska a nie Pegasusa.
Czyli po krotce, MVT zajmuje się wróżeniem z fusów po herbacie, każdy backdoor umieszczony przez operatora, czy wstrzyknięty do telefonu przez dowolną podatność, a nawet legalne programy mogą być nazywane Pegasusem i robi się z tego wielką aferę.
Tymczasem, jak ktoś nie ma wjazdu na roota w urządzeniu, to nie może sprawdzić faktycznych ustawień firewalla, statusu SELinuxa, nie może nawet podejrzeć aktywnych połączeń i gniazd sieciowych.
Czyli nie wie nawet, do kogo należy telefon, bo nie ma jak sprawdzić, kto kontroluje konto roota.
Pozdro
Ja tam ufam rządzącym, że mi nic nie pousuwają z telefonu i pozwalam się śledzić jak idę po piwo w sobotni wieczór.
Na “lubimy czytać” ludzie piszą że ta książka jest przeciętna…
Od wielu lat mam Nokię 3310, model z 2017r. Czy to jest telefon Pegasusoodporny?
Co do książki to mam mieszane uczucia. Z jednej pozytywne, bo jest porządnie opisana historia powstania, kulisy i tego, co było robione z tym narzędziem. Z drugiej negatywnej, tak 1/3 miejsca zajmują emocjonalne wstawki, typu ktoś tam przynosi ciepłe bułeczki do zespołu. Te, które są już po publikacji artykułów, mogą zostać. Ogólnie rzeczy, które się działy już po publikacji jest strasznie mało. Całej burzy w mediach i ruchów, jakie wykonywały rządy. Książkę traktuje, jako uzupełnienie raportów technicznych, ale bez jakiś większych ekscesów.