Kiedy kilkanaście lat temu tworzyłem sobie profil na mało jeszcze znanym w Polsce portalu, jakim był Facebook, towarzyszyła temu pewna ekscytacja. Oto narzędzie, które ma ulepszyć moje życie. Ma pozwolić na zupełnie nowe doznania. Będę mógół wymieniać się treściami z innymi. Będę mógł to robić bez infantylnej otoczki jak w „Naszej Klasie” i ekskluzywności „Grona”. Na Facebooku wszystko działało. Nie zacinało się. Mniej więcej w tym okresie kupiłem sobie też pierwszego smartfona od Motoroli z wczesną wersją systemu Android. WIFI, poczta, mapy, Skype, radio, muzyka, YouTube, aparat 5 Mpix robiący tragiczne zdjęcia…. Nieważne, to mieściło się w kieszeni i było lepsze od najlepszej Nokii z systemem Symbian. Działało i naprawdę zmieniło jakość życia. Skutek? Wpędziło mnie to do cyfrowej strefy komfortu. Kilka lat zupełnej beztroski. Aż przyszedł rok 2016. „Młotkowym” był Donald Trump i jego socialmediowy pomagier Steve Bannon. To oni, za pośrednictwem firmy consultingowej Cambridge Analitica wykorzystali naszą elektroniczną beztroskę oraz świadomą ignorancję firmy Marca Zuckerberga, aby zrobić coś, co nie udało się dotąd nikomu: przekonać miliony ludzi, że czarne jest białe. Byli skuteczni, ponieważ strefa cyfrowego komfortu rozszerzyła się na tyle mocno i szeroko, iż trudno było zauważyć jak wartkim strumieniem wyciekają z niej nasze dane. Tylko kwestią czasu było to, kiedy pojawią się usługi znane szerzej pod wspólnym szyldem „Pegasus”. Firmy, rządy i organizacje przestępcze postanowiły skorzystać z pamiętnika, który trzymamy w kieszeni. Co robić? Jak żyć? Jak się bronić?
Kurs cyfrowej samoobrony zacznijmy od krótkiej analizy produktu izraelskiej firmy NSO. To usługa inwigilacyjna, wykorzystująca dziury w oprogramowaniu mobilnym Apple’a i Google. Nie jest to więc jakaś aplikacja, którą można kupić w supermarkecie – nawet takim dla rządów – tylko dość specyficzna sprzedaż abonamentowa. Model biznesowy nie należy więc do skomplikowanych. Firma, założona przez byłych agentów izraelskiego wywiadu skupuje na czarnym rynku dziury w oprogramowaniu i implementuje je do swojego systemu. Oczywiście ma też swoje własne zaplecze badawcze, ale to wiedza o tym, gdzie zapukać po jakąś podatność, daje jej sporą przewagę. Z dziurami jest jednak tak, że od czasu do czasu, ktoś ją załata. Producenci oprogramowania również skupują informacje. Realnie płacą jednak mniej. Łatanie błędów typu „0 Day” – czyli takich, na których naprawienie zostało dokładnie 0 dni – powoduje, że robak szpiegowski może przestać działać. Trzeba znaleźć lub kupić nowe nieszczelności, bo klienci wrócą z reklamacją.
Co można zatem zrobić? Jak się bronić? Regularnie aktualizować oprogramowanie urządzenia. Producenci zapewniają wsparcie tylko przez jakiś czas, co oznacza, że starsze telefony należy wymienić. Warto też dodać, że Pegasus nie atakuje komputerów. Istnieje ku temu kilka powodów. Głównym jest to, że w zabezpieczonym środowisku ukradzionym informacjom znacznie trudniej jest się wydostać na zewnątrz. Z telefonami jest prościej. Zazwyczaj pracują w infrastrukturze publicznego operatora na którypaństwo (w naszym przypadku PIS) ma jakiś wpływ i koncesja zobowiązuje go do współpracy ze służbami specjalnymi. Nie zmienia to jednak faktu, że software w komputerach również należy regularnie aktualizować. W wypadku najpopularniejszego systemu, czyli Windowsa 10 wsparcie jest relatywnie krótkie. Wydania są serwisowane zazwyczaj około 2. lat. Jeśli ktoś ma na pokładzie starszą wersję (w tym Windows 7), to bezwzględnie należy ją wymienić na nowszą.
Trzeba też pamiętać o tym, że Pagasus jak mało które złośliwe oprogramowanie, jest totalny. Operator wie gdzie jesteście, z kim rozmawiacie, kto jest obok was (dzięki Bluetooth). Rzadko wykorzystuje się monitoring w czasie rzeczywistym – telefon wówczas się rozgrzewa i można zorientować się, że coś jest nie tak. Częściej dane z urządzenia pobierane są na żądanie, aby nie zdemaskować obecności trojana. Oznacza to, że najlepszego przyjaciela, jakim jest nasz ukochany smartfon nie można zabierać ze sobą wszędzie. Czasami trzeba go odłożyć gdzieś na bok. Najlepiej do klatki Faradaya. Jak ona działa? Wystarczy owinąć smartfon kilkoma warstwami kuchennej folii aluminiowej, aby urządzenie odizolowało się od sieci. To działa. Czapeczki foliarzy, z tego samego materiału, nie działają i nigdy nie będą działały 🙂
Tekst pierwotnie opublikowany w periodyku POInformowani.