Pegasus – czy można się przed nim ochronić?

Po aresztowaniu Sławomira Nowaka, na tapet wraca temat oprogramowania szpiegowskiego Pegasus, które według dostępnych informacji polskie służby miały zakupić od izraelskich autorów, a następnie wykorzystać do śledzenia byłego ministra. Rodzi się więc oczywiste pytanie, czy taki los może spotkać każdego i jak ewentualnie się chronić.

fot. Getty Images
fot. Getty Images
Piotr Urbaniak

Zacznijmy od tego, że Pegasus to po prostu szkodliwe oprogramowanie, jakiego dzisiaj wiele. Konkretniej trojan typu spyware, czyli narzędzie szpiegujące; gromadzące dane użytkownika i wysyłające je bez jego wiedzy do innych osób. To oczywiście definicja bardzo powierzchowna, ale dająca zarazem do zrozumienia, że wcale nie mamy tu do czynienia z żadną superbronią, lecz zagrożeniem dość typowym w drugiej dekadzie XXI wieku.

Jesteś tyle wart, ile warte są informacje o tobie – powtarzają spece od cyberbezpieczeństwa, parafrazując znane powiedzenie. I trudno nie przyznać im racji, gdy ataki hakerskie są na porządku dziennym. Przestępcy wykradają hasła, dane bankowe i informacje osobowe. Używają w tym celu setek tysięcy rozmaitych narzędzi i co rusz tworzą nowe. Podobnie jest z formatami przemycenia ich ofierze. Może to być aplikacja ze Sklepu Play czy App Store, załącznik do e-maila albo skrypt na stronie internetowej, ale też np. zainfekowana sieć publiczna i formy bardziej subtelne związane z przechwytywaniem z zewnątrz ruchu sieciowego.

Ekskluzywne zagrożenie

Problem z Pegasusem, pomijając psychologiczne oddziaływanie takich terminów jak służby specjalne, polega na tym, że nie jest narzędziem wykorzystywanym powszechnie. Uniemożliwia to jego dokładną analizę, a przez to wyeliminowanie wykorzystywanych luk. Przypomnijmy sobie teraz choćby trojan bankowy Emotet, który siał spustoszenie w pierwszej połowie br. Jako że trafił na ponad 1 mld komputerów, ekstrakcja i dodanie odpowiednich sygnatur do oprogramowania antywirusowego poszły jak po maśle. Został dość szybko rozbrojony. Dzisiaj nawet Gmail wycina załączniki służące do dystrybucji Emoteta. Słychać wprawdzie przebąkiwania o nowych wersjach, ale „na mieście” w tym temacie panuje raczej spokój.

Pegasus nie powstał jako broń masowego rażenia. Jest wykorzystywany wyłącznie przeciwko konkretnym osobom. Świadczy o tym dobitnie fakt, że choć stworzono go w roku 2013, na pierwsze wzmianki w mediach musieliśmy czekać aż trzy lata, a liczba udokumentowanych ataków wciąż jest maksymalnie dwucyfrowa. Przy czym porażająca skuteczność wynika z użycia tzw. luk zero-day, a więc błędów bezpieczeństwa nieznanych ani Google, ani Apple.

Teraz – związek przyczynowy. Gdyby Pegasus został wykorzystany w globalnej kampanii przeciwko milionom obywateli danego kraju, to jego sztuczki zostałyby szybko rozpracowane. Producenci wydaliby stosowne aktualizacje; luki zero-day przestały takowymi być, a sam trojan utraciłby efektywność. Tak właśnie stało się w latach 2016 i 2017, gdy ówczesna wersja Pegasusa wyciekła, a w konsekwencji wydane zostały iOS 9.3.5 oraz poprawka bezpieczeństwa Androida z kwietnia 2017 unieszkodliwiające izraelskiego szkodnika w tamtym momencie.

Słowo klucz: rozsądek

Mając świadomość obowiązujących zależności, należy przyjąć przede wszystkim, że w przypadku „zwykłego” człowieka ryzyko infekcji Pegasusem jest nieporównywalnie mniejsze niż choćby w przypadku generycznego malware'u ze Sklepu Play. Niestety, jest też druga strona medalu: kiedy już ktoś obierze nas na cel, to obrona może być bardzo trudna lub wręcz niemożliwa. Przynajmniej na tyle, na ile wskazuje ostatnia publicznie dostępna dokumentacja – z 2016 r.

Nie wystarczy pamiętać o standardowym nieklikaniu w obce linki, bowiem odnośnik jest tylko jedną z kilku form zarażenia Pegasusem. Inną, zdecydowanie bardziej niebezpieczną, jest wstrzyknięcie szkodnika poprzez powiadomienie push, które nie wymaga nawet fizycznej reakcji ze strony użytkownika. Jeszcze inną – użycie IMSI Catchera, czyli urządzenia naśladującego stację bazową telefonii komórkowej tak, by przechwycić ruch. W dodatku nie wiadomo, które z tych opcji są nadal dostępne i czy nie pojawiły się jakieś nowe. Przypomnę, ostatnia znana dokumentacja Pegasusa ma około cztery lata. W branży technologicznej to całe wieki.

Obraz

Z tej samej dokumentacji wiemy też m.in., że głównym wektorem ataku Pegasusa jest zawsze systemowa przeglądarka internetowa, czyli Chrome na Androidzie oraz Safari na iOS. I że atak można udaremnić poprzez zmianę stringu user agent na fałszywy, gdyż Pegasus właśnie po nim rozpoznaje urządzenia. Choć jednocześnie mało prawdopodobne, aby tak oczywista słabość pozostawała w nim po dziś dzień. Jest za to inna, trudniejsza do wyeliminowania bolączka. Otóż aby uniknąć wykrycia, spyware nie wysyła danych na bieżąco. Gromadzi je w pamięci masowej urządzenia. Tymczasem buforowanie wymaga minimum 5 proc. wolnej przestrzeni dyskowej, co skutecznym przeciwnikiem Pegasusa czyni smartfony zapchane plikami użytkownika.

Oprócz zabezpieczeń w samych w systemach operacyjnych (Pegasus atakuje Androida, iOS, BlackBerry OS oraz Symbiana), są oczywiście też programy antywirusowe firm trzecich. Ponownie – ciężko jednak określić, jak poradzą sobie z aktualną wersją spyware'u. O sygnatury jest bardzo ciężko, a metody analizy heurystycznej, przez co należy rozumieć detekcję nieznanych zagrożeń poprzez analizę wykonywanych działań, nie gwarantują pełnej skuteczności. Słowem, jakkolwiek absurdalnie to nie brzmi, o ile ochrona przed Pegasusem jest bardzo karkołomna, o tyle prawdopodobieństwo bycia przez niego zaatakowanym pozostaje znikome.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
felietonsprzetoprogramowanie
Wybrane dla Ciebie
Komentarze (343)