VIDEO TRANSCRIPTION
No description has been generated for this video.
Cześć. Afera z Pegasusem w roli głównej wraca do nas nie tylko pod postacią Komisji Śledczej. Kiedy świat obiegać zaczęły informacje o tym, że istnieje w ogóle coś takiego jak Pegasus, pozwalający niezuważalnie inwigilować każdy telefon na świecie, wykradać z niego zdjęcia, wiadomości czy wreszcie podsłuchiwać na żywo jego użytkownika z wykorzystaniem wbudowanego mikrofonu i kamery, to sporo się zmieniło. No bo każdy niby od zawsze podejrzewał, ale wielu nie wierzyło. A zamieszanie wokół takiego oprogramowania wcale mu nie służy. Dobrze widać to choćby na przykładzie NSO Group, czyli producentów Pegasusa. Szybko okazało się, że celami ich rozwiązania są nie przestępcy, ale aktywiści, dziennikarze czy, jak u nas, politycy opozycji. Zaczęły się więc pozwy, jak choćby od mety czy apple.
Stany Zjednoczone wpisały ich na listę firm zagrażających bezpieczeństwu narodowemu, co w teorii przynajmniej odcięło ich od kontaktów z amerykańskim biznesem. Z czasem dowiedzieliśmy się dodatkowo, że to nie jest jakiś jeden odosobniony przypadek, a takiego oprogramowania jest więcej, dużo więcej. Bo natura nie znosi próżni. Na miejsce tych, o których zrobiło się zbyt głośno, przychodzą następni, aby po jakimś czasie o nich też zrobiło się zbyt głośno. Cóż, ktoś powie, taki jest życia krąg, ale tym razem mamy do czynienia przynajmniej z patriotycznie europejskim produktem, predatorem. Więc nikt na pewno nie powie już, że to wszystko wina i spisek Izraela, prawda? Zapraszam. Na minionym Chaos Computer Club w Hamburgu miał miejsce wykład zatytułowany Predator Files, czyli jak europejskie oprogramowanie szpiegujące zagraża społeczeństwom obywatelskim na całym świecie.
Nie powiem? Chwytliwe. Ale to nie pierwszy raz, kiedy usłyszeliśmy o Predatorze. Informacje na jego temat docierały do nas już wcześniej. Czy to z ramienia NGOs-ów, jak Amnesty International i Citizen Lab w ramach dokumentów nazywanych pieszczotliwie Predator Leaks, jak i odbadaczy bezpieczeństwa, Stalos Intelligence czy też Google. Postaram się to zebrać w jedną, spójną całość, ale ostrzegam, jest tego sporo. Co więc wiemy? Oprogramowanie znane szerzej pod nazwą Predator jest dziełem Intellex Alliance. Intellexa reklamowało się jako zlokalizowany na terenie Unii Europejskiej biznes, a więc podlegający pod tutejsze regulacje. Miała to być zresztą jedna z kart przetargowych i konkurencyjnych przewag.
Strona internetowa firmy w chwili nagrywania tego materiału niezbyt chce działać, ale kiedy jeszcze działała, można było się z niej dowiedzieć, że dostarczają oni narzędzia do walki z przestępczością w obszarach cyfrowych. Do tego trochę marketingowego bełkotu, włącznie z holistycznym podejściem, no i pełno satelitarnych foteczek. Szablon jak szablon. Ale mogliśmy się dowiedzieć też, że celem było świadczenie usług dla służb śledczych i wywiadowczych, więc wszystko miało odbywać się z pełnym poszanowaniem wszelkich praw. Nie jak w przypadku Pegasusa. Ale to tylko mały wycinek dużego obrazu. Holding ten, Intellexa w sensie, składał się z wielu firm, które czasami zmieniały nazwy i zlokalizowane były w różnych jurysdykcjach. Tak Unii, jak i poza nią, np. w Zjednoczonych Emiratach Arabskich, Szwajcarii czy Izraelu.
Czasami jednak było wręcz odwrotnie. Mimo bycia osobnymi podmiotami, pracowały nad tymi samymi problemami w tych samych biurach. Ich związki są więc naprawdę zagmatwane. Zresztą badaczom pewnie i tak udało się jedynie odkryć wierzchołek Góry Lodowej, choć jest on i tak całkiem imponujący. Nie ma tu mowy o żadnej przejrzystości, co pewnie nie dziwi. Pojawiają się jakieś sprawy sądowe, czasem wyroki, potem umorzenia, ale finalnie cała odpowiedzialność się rozmywa i nikt nie idzie za kraty. Badacze szacują, że Predator istnieje przynajmniej od 2017 roku. Początkowo był dziełem macedońskiej firmy Citrox i celował jedynie w Androidy. Z czasem Citrox stał się jednym z członków Holdingu Intellexa, a samo oprogramowanie w okolicach roku 2019 przeszło solidny lifting.
Rok później dołączyła do niego wersja będąca w stanie atakować też iPhone'y. Zresztą, co bardzo ciekawe, wygląda na to, że pewna część kodu oprogramowania pokrywa się pomiędzy konkurencyjnymi platformami i nie są to całkowicie niezależne byty. Gałąź Amnesty International odpowiadająca za badanie oprogramowania szpiegowskiego śledzi Predatora od września 2021 roku. Jedną z osób, która zgłosiła się do badaczy jako potencjalny poszkodowany, był Le Chiong Qua, Wietnamczyk mieszkający w Berlinie. To zupełnie nieprzypadkowa postać. Pan Qua jest redaktorem naczelnym portalu ToyBao, który to jest niezależnym medium publikującym wiadomości o Wietnamie bez kagańca reżimowej cenzury. Ma zresztą całkiem spore zasięgi. Niechęć do niego ze strony Ojczyzny potwierdza choćby uniemożliwienie dostępu do jego portalu w wietnamskim internecie, od kiedy nie zgodził się usunąć na żądanie ambasady opublikowanych treści.
Otrzymywał też wielokrotnie groźby śmierci za swoje działania. W związku z tym został objęty policyjną ochroną, ale akurat nie to leży w gestii kompetencji badaczy. Zainteresował ich odnośnik zamieszczony w komentarzu na Twitterze pod opublikowanym przez ToyBao artykułem o korupcji wietnamskim Ministerstwie Obrony. Linka, który wyglądał na pierwszy rzut oka po prostu jak news w tym samym temacie, wrzuciło konto o loginie Joseph Gordon 16. Po sprawdzeniu historii komentarzy tego użytkownika szybko okazało się, że posty Qua i ToyBao nie były jedynymi pod którymi umieszczano takie odnośniki. Potwierdzono co najmniej 50 celów. Tak osób jak i organizacji. Badacze prześledzili, że celowana choćby w uczonych i oficjeli zajmujących się tematami morskimi w szczególności z ramienia Unii Europejskiej i Organizacji Narodów Zjednoczonych kwestii nielegalnego rybołówstwa.
Co było przecież często zarzucane Wietnamowi. W zależności od celu domeny w linkach zmieniały się. Początkowo wyglądały jak jakieś skracacze odnośników, aby z czasem zacząć udawać portale z newsami, bo to pewnie budziło mniej podejrzeń. No dobra, ale od kliknięcia newsa do infekcji oprogramowaniem szpiegującym jest przecież daleka droga, prawda? No tak, nie do końca. Kiedy operator systemu do inwigilacji siadał przed swoim służbowym komputerem, jego oczom ukazywał się prosty, webowy interfejs nazywany Cyber Operation Platform. To z tego poziomu można rozpocząć proces infekcji. Predator najczęściej dostarczany był na to celowe urządzenie jako tzw. OneClick. Co to znaczy? A no, w przeciwieństwie do wielu innych zabawek tej kategorii, atakowany użytkownik musiał kliknąć przesłanego mu linka.
W mailu, na WhatsAppie, czy jak widać nawet w komentarzu na Twitterze. Wymaga to więc jakiejś dozy inżynierii społecznej, aby zmusić swój cel do podjęcia akcji. Jeżeli nic nie trzeba klikać, a atak jest w pełni przezroczysty dla ofiary, mówimy o zero kliku. Ten jednak jest zdecydowanie trudniejszy do wykonania, a tym samym o wiele, wiele droższy. Luki w oprogramowaniu pozwalający na przeprowadzanie takiego zero-klikowego ataku kosztują na czarnym rynku miliony dolarów. Nie? Nie przesadzam. No ale każdy potencjalny klient, dysponujący przecież nieograniczonymi środkami, bo rządowe agencje wydają przecież pieniądze z naszych podatków, a nie swoje własne, bolą zero kliki. A takie choćby stosowało NSO Group w swoim Pegasusie. Czy więc Intellexa była o krok w tyle za liderami rynku? No niby tak, ale nie do końca.
Aby nie wydawać furmanki siana na kupowanie najdroższych podatności na rynku, wpadli na pomysł jak obejść ten problem, a tym samym dostarczyć prawie to samo, tylko taniej. Albo po prostu mieć wyższą marżę. Skorzystali z Network Injection, czyli ataku od strony operatora sieci telekomunikacyjnej. Zakładając przecież, często zgodnie z prawdą, że ich klienci, czyli różne służby, taki dostęp do krajowej infrastruktury mogą bez problemu zdobyć. W najgorszym wypadku wystarczał im nakaz. A wtedy komuś korzystającemu w normalny sposób z internetu odmieniało się w locie jakiegoś dowolnego linka na takiego, który prowadził do instalacji Predatora. No może nie tak w pełni dowolnego, bo musiała to być transmisja nieszyfrowana, czyli bez HTTPSa, ale przecież wciąż jeszcze takie linki czasem klikamy. Nie są one niczym dziwnym.
Ktoś więc klikał, jakiś normalny odnośnik, zostawał chwilowo przekierowany pod złośliwy adres z którego serwowano mu instalator Predatora, w międzyczasie można mu było wyświetlić jakiś ekran ładowania, żeby nie był zaskoczony, że trwa to nieco dłużej niż zwykle, a na koniec trafił w końcu na stronę, którą pierwotnie chciał odwiedzić. Wszystko trwało maksymalnie kilka sekund i większość ludzi nawet się nie zorientowała, że atakujący w międzyczasie uzyskał właśnie pełną kontrolę nad ich telefonem. Intellexa dostarczała do tego gotowe rozwiązanie pod nazwą Mars. Jeśli dodatkowo je kupiliśmy, to z one-klika robił się w praktyce zero klik. Czy w takim razie korzystając tylko z komunikacji poprzez HTTPS byliśmy bezpieczni? Niestety nie. Ale trzeba było za to dopłacić, bo mowa o kolejnym module. Marsa mógł wspierać Jowisz.
Umożliwiał on rozszyfrowanie szyfrowanego ruchu za pomocą ataku Man in the Middle wykorzystując podstawiony certyfikat TLS. To nietrudne, jeżeli kontroluje się cały Internet w kraju. No ale jest tu też pewne ograniczenia. Będąc na przykład takim Wietnamem, mogliśmy wtedy przejąć tylko ruch do serwisów w Wietnamie. Nie działało to w stosunku do usług zlokalizowanych poza krajem takich szpiegów, ale i tak dawało potężne możliwości. Każdy odwiedza przecież jakieś krajowe serwisy, bo choćby lokalne memy są przecież najlepsze. Wystarczyła więc jedna taka wizyta, nawet szyfrowana, aby robak mógł zadomowić się na naszym telefonie. Z opracowań możemy dowiedzieć się jednak, że to nadal nie był kres możliwości oprogramowania inteleksy. Posiadali oni w swoim portfolio także Tritona, czyli atak wycelowany konkretnie w Samsunki.
W tym przypadku najprawdopodobniej był to ZeroClick wykorzystujący podstawioną stację bazową. Zmuszano telefon do komunikacji w leciwym już, a tym samym dziurawym jak ser szwajcarski 2G, a potem wykorzystywano znane od dekad Luki. Co jednak, gdy ktoś chciał pójść naprawdę szeroko? Za to odpowiadała prawdziwa broń masowego rażenia. inteleksa miała w swoim portfolio produkt, którym można było po prostu zainfekować wszystkie urządzenia w pobliżu, a nie tylko te wskazane przez operatora systemu. Wykorzystując również fałszywe stacje bazowe telefonii komórkowej, ale też podstawione sieci Wi-Fi. Zasada działania była podobna jak w przypadku Tritona. Urządzenia atakowanych zmuszane były do połączenia się do anten będących pod kontrolą atakujących. Na przykład na jakimś antyrządowym proteście. Wtedy cała prowadzona komunikacja przebiegała pod czujnym okiem służb.
Atakujący podmieniali jakiegoś linka w prowadzonej komunikacji i serwowali każdemu ze zgromadzonych oprogramowanie szpiegowskie. Działało to więc nieco od drugiej strony. Bez uprzedniej wiedzy kogo chciano szpiegować personalnie, zarzucano po prostu szeroko sieć. Takie zabawki można ukryć w walizkach, plecakach, na dronach czy w samochodach dostawczych rodem z amerykańskich filmów. I teraz zakraty tych najbardziej aktywnych, po sprawdzeniu kto rozmawiał o obalaniu autorytarnych rządów. Tylko jak to sprawdzić? Jeżeli instalacja robaka powiodła się, to korzystając z tego samego prostego panelu obsługi, można było prowadzić eksfiltrację danych. Jeżeli pytacie gdzie jest Alien, skoro mamy już Predatora, to spieszę z odpowiedzią. Był jedną ze składowych, bo tak właśnie nazywał się drugi z komponentów rozwiązania inteleksy. Cóż, ciekawe zbieg okoliczności nie powiem.
Cały ten pakiet oprogramowania charakteryzował się sporą elastycznością, bo nowe moduły, napisane w Pythonie, można było dostarczać na zainfekowane urządzenie bez konieczności ponownego przeprowadzania infekcji. Badaczom z kilku jednostek, Talos Intelligence, Citizen Lab oraz Amnesty International, udało się przeanalizować temat Predatora dość dogłębnie. Cóż, zdobyli spore doświadczenie przy całej imbie z Pegasusem, więc tym razem pewnie było im nieco łatwiej. Zacznijmy na przykładzie Androidowego łańcucha infekcji. Składał się on z kolejnych licznych zero-dayów, czyli błędów, o których istnieniu nie wiedział jeszcze nawet producent oprogramowania. Tak więc podatne na atak były nawet urządzenia w pełni zaktualizowane. Wykorzystywano głównie podatności w przeglądarce Chrome, gdzie rozpoczynał się przecież cały proces zaraz po kliknięciu odnośnika. Następne luki dotyczyły Androida, a na końcu nawet samego Linuxowego jądra.
Łącząc je wszystkie w jedną całość, można było podnieść uprawnienia w systemie operacyjnym w taki sposób, aby uzyskać nad nim absolutną kontrolę. Co wtedy można było zrobić? Główny moduł szpiegujący pozwalał na podsłuchiwanie na żywo tego co się dzieje za pomocą wbudowanych mikrofonów i połączenia VoIP. Zresztą z kamerami historia wyglądała identycznie. Można było odczytywać treści rozmów z popularnych komunikatorów, w szczególności tych bezpieczniejszych – WhatsAppa, Signala czy Telegrama. No bo o ile rozmowy prowadzone przez nie są bezpieczne w tranzycie przez Internet, o tyle na naszych urządzeniach wiadomości są już odszyfrowane. Dostęp do lokalizacji urządzenia, zebranych mediów, a nawet możliwość przesłania czegoś na nie, aby podrzucić jakieś kompromitujące dowody stawała przed operatorem otworem.
Można też było ukrywać aplikacje w systemie oraz nie dopuszczać do ich uruchomienia podczas restartu. I na część z tych rzeczy pozwalał już sam Alwin, ale przede wszystkim umożliwiał pobranie samego Predatora. No albo jego aktualizacji, jeżeli już był wcześniej zainstalowany w systemie. W większości materiałów na temat oprogramowania inteleksy głównie mówi się o Predatorze, a niewiele o Alienie. A wygląda w sumie na to, że ten drugi był nie mniej ważnym składnikiem całości. Operował na bardzo niskim poziomie Androidowego systemu, czyli na zygotach. Nie zagłębiając się zanadto w temat, odpowiadają one za tworzenie wszystkich nowych procesów, z których powstają później aplikacje. Przyklejenie się do takiej zygoty oznacza więc możliwość bardzo głębokiego wglądu w to, co dzieje się w każdej aplikacji na zainfekowanym urządzeniu.
Alien odpowiadał też za synchronizację i komunikację wszystkich elementów całego tego kombajnu inteleksy na przejętym telefonie, spinając to w jedną całość. Predator to więc jedynie jeden z elementów układanki uruchamiany przez Aliena. Ale to właśnie Predator odpowiadał za eksfiltrację danych, czyli w sumie najważniejszą funkcję. To z jego pomocą zainfekowane urządzenie łączyło się do serwera kontroli, oczekując na dalsze polecenia. Oczywiście łączność pomiędzy urządzeniem a serwerem była obfuskowana w podobny sposób jak np. w torze, czyli przeskakując przez kilka serwerów po kolei, aby uniemożliwić identyfikację operatora. Predator mógł też dodawać własne certyfikaty szyfrujące, choć tylko na poziomie użytkownika, ale wystarczało to w zupełności, aby rozszyfrować cały ruch sieciowy prowadzony przez przeglądarkę internetową przejętego urządzenia.
Wszystko zaprojektowano w taki sposób, aby nie zostawiać po sobie żadnych śladów. Skrypty, które stawały się zbędne miały też zadanie się usunąć, a jeżeli nie było to możliwe, nadpisać zerami, aby nikt niepowołany nie mógł ich odczytać. A to znacznie utrudniało ewentualny audyt i próby rozpracowania tego oprogramowania przez badaczy. Z ciekawostek jeszcze, obie wersje, tak Androidowa jak i na Iphony, wspierały persistence, czyli ludzkim językiem, przeżywały ponowne uruchomienie telefonu, a więc nie była konieczna ponowna infekcja. Choć to podobno opcja dostępna jedynie za dodatkową opłatą. Jak widać DLC są też obecne w oprogramowaniu szpiegowskim. No i aby to wszystko obsłużyć to wcale nie trzeba było być jakimś jajo głowym, bo końcówka systemu przeznaczona dla operatora była bardzo intuicyjna.
Opakowano ją w prosty i wygodny w użyciu produkt z ładnym interfejsem graficznym i kolorowymi ikonkami. Operator tylko wskazywał kto ma być następnym celem, klik i gotowe. Tylko jak można było to kupić? No dobra, ale jak to oprogramowanie w ogóle znalazło się w Wietnamie? Przecież miało być takie europejskie, zgodne z regulacjami, listami sankcyjnymi, prawami człowieka i tak dalej? No cóż, Amnesty International dokopało się do kwitów również w tej kwestii, bo oczywiście faktur po drodze było dość sporo. Oskarżają oni wprost inteleksę, że nie zrobiła nic aby ograniczać dostęp do stworzonego przez siej produktu na gruncie etycznym. Szczególnie w zakresie łamania praw obywatelskich.
W 2020 roku z wietnamskim Ministerstwem Bezpieczeństwa Publicznego kontrakt podpisała spółka ze Zjednoczonych Emiratów Arabskich o nazwie Advanced Middle East Systems. Będąca częścią Nexa Group, która to była częścią inteleksy. Proste. Dwuletnia licencja miała kosztować ponad 5 milionów euro. Rok później pojawił się jakiś aneks, ale w sumie nie wiadomo czy został on podpisany. Spółka z emiratów sprzedała około miesiąc później oprogramowanie szpiegowskie w firmie Delsons Hong Kong Limited, która, nie zgadniecie, ma siedzibę w Hongkongu. Należy do szwajcarskiego biznesmena i lobbysty mieszkającego w Azji, który, z upełnym przypadkiem, był konsulem honorowym Monaco w Hanoi. Wycieki maili potwierdzają też, że próbował on pozyskać wcześniej inne oprogramowanie szpiegowskie od hacking teamu.
Dokumenty eksportowe potwierdzają, że na początku listopada sprzęt komputerowy, opisany w sposób sugerujący, że może służyć do monitorowania tego i owego o wartości 8,5 miliona dolarów, został dostarczony drogą lotniczą z Hongkongu do Wietnamu. Firma, która go nabyła, została powołana do życia dawno dawno temu przez, uwaga, Ministerstwo Bezpieczeństwa Publicznego Wietnamu. Sprzęt ten został według dokumentów wyprodukowany przez AS, co wskazuje właśnie na wspomnianą wcześniej spółkę córkę z emiratów. W papierach eksportowych są jednak pewne nieścisłości co do kraju pochodzenia towaru. Pojawiają się dwie wersje. Sprzęt albo jest z emiratów, który nie odpowiedział na pytania w tej kwestii, albo z Izraela, którego celnicy wprost odmówili odpowiedzi.
Nexa potwierdziła współpracę z firmą z emiratów, ale twierdzi, że była ona chwilowa oraz zaprzecza, że do finalnej transakcji w zakresie oprogramowania ofensywnego w ogóle doszło, a chodzi jedynie o kwestie cyberbezpieczeństwa. Udało się też dotrzeć do innego cennika. Mowa w nim o kwocie 13,5 mln euro za całe rozwiązanie razem z roczną gwarancją, wsparciem technicznym i możliwością monitorowania 20 infekcji równolegle. To raczej jasno pokazuje, że nie była to zabawka dla domorosłego dedektywa inwektywa, a jedynie dla jednostek na poziomie krajowych służb, bo te przecież dysponują takimi budżetami. Wygląda też na to, że firmy z branży uczą się na błędach swojej konkurencji. W przeciwieństwie do Pegasusa całą infrastrukturą odpowiedzialną za predatora zarządzał nabywca.
Dlatego Intellexa nie wiedziała, przynajmniej w teorii, kto był celem inwigilacji. A to pozwalało zasłaniać się w przypadku jakichkolwiek pytań mitycznych, ale nie wiedzieliśmy. Zresztą podobnie było w kwestii dostawy sprzętu. Miała ona miejsce w punkcie styku, na lotnisku albo terminalu cargo. Intellexa nie wiedziała, znów teoretycznie, gdzie sprzęt dalej był zabierany i instalowany. Potwierdziło to choćby dochodzenie w kwestii sprzedaży ich oprogramowania Sudanowi, gdzie cały proces odbioru na lotnisku trwał niecałą godzinę. Kolejną ciekawostką dotyczącą licencjonowania predatora było ograniczenie nakładane przez producenta, poza oczywiście ilością inwigilowanych urządzeń, na numer kierunkowy. To właśnie wykorzystując numer kierunkowy kraju ograniczało się pole rażenia predatora, bo jego cele mogły być zarejestrowane tylko w danym państwie.
No a oczywiście za odpowiednią upłatą można było te blokady znieść. I iść z kampanią zdecydowanie szerzej. Na przykład za granicą. To jeszcze więc był celem dla predatora? Jednym z głośnych przypadków był Ayman Nour, polityk egipskiej opozycji. Zresztą był celem nie tylko predatora, ale też Pegasusa. Podobno zresztą, co ciekawe, szpiegowały go dwa różne wywiady. Dlaczego? Ayman był pierwszym, który rzucił wyzwanie prezydentowi Egiptu, Mubarakowi, w 2005 roku. Za co został szybko aresztowany, a po odsiadce zmuszony do opuszczenia kraju. Ale nie przeszkodziło mu to nadal wspierać opozycje z zagranicy. Nic dziwnego, że chciano mieć na niego oko.
Ale to widocznie tylko utwierdziło władze Egiptu, że można tak postępować, bo w zeszłym roku Ahmed Tantawi, kolejny opozycjonista chcący wystartować w wyborach, został wzięty na celownik. Na szczęście jego iPhone ustawiony był w lockdown mode, co powstrzymało infekcję. Tak przynajmniej donoszą ogólnodostępne źródła. Kolejnym celem był też nienazwany egipski dziennikarz. Ale to nie tylko kraje spoza Unii. W Grecji również wybuchł niedawno skandal, gdy okazało się, że rząd poprzez Narodową Agencję Wywiadowczą, wykorzystując Predatora, podsłuchuje polityków opozycji oraz dziennikarzy. Choć w sumie nie tylko. Mowa nawet o wysoko postawionym pracowniku mety, który po prostu miał pecha mieć greckie korzenie. Rządzący przyznali się do szpiegowania, ale nie do wykorzystywania w tym celu Predatora.
Rok później ukazała się publikacja na podstawie śledztwa greckiego odpowiednika Urzędu Ochrony Danych Osobowych, która potwierdziła istnienie 350 wiadomości tekstowych zawierających linki do Predatora, wysłanych m. in. do doradców greckiego premiera, biznesmenów, dziennikarzy czy nawet biskupa. Łącznie mowa o prawie 100 osobach. Słyszeliście o tym? Jakoś cicho o tym było u nas w kraju, zupełnie nie wiedzieć dlaczego. Bo o dziwo cały ten skandal zasłużył na potwierdzenie ze strony Izraela, a to rzadkość. Ale to dalej nie wszyscy. Na liście są też przewodnicząca Parlamentu Europejskiego Roberta Metzola, prezydent Tajwanu, amerykańscy kongresmeni czy europejscy ambasadorzy w USA. Dziennikarze, akademicy, oficjele ONZ i wielu, wielu innych. Meta na przykład twierdzi, że zbanowała konta w liczbie 1,5 tysiąca służące do dystrybucji Predatora i innych takich narzędzi.
Mogły one potencjalnie narazić na infekcję nawet 50 tysięcy osób. Gdzie Intellexa sprzedawała swoje oprogramowanie? Do kilkunastu krajów na świecie, wliczając to Wietnam, Mongolia, Kazachstan, Egipt, Arabię Saudyjską, a w Europie – Grecję, Chorwację, Serbię, Słowację, Białoruś i… Polskę? No, twój jedyną poszlaką, że mogłoby tak być, jest mapa, którą widziałem podczas prezentacji na CCC w Hamburgu. Nie potwierdzają tego żadne inne dokumenty, do których udało mi się dotrzeć. Mam więc nadzieję, że to po prostu zwykły czeski błąd. Ale nie zmienia to faktu, że pewnie wielu pokrzywdzonych nawet nie wie, że było lub nadal jest podsłuchiwanych. Bardzo trudno jest zauważyć, że jest się zainfekowanym takim oprogramowaniem, nie będąc doświadczonym badaczem. A Predator czy Pegasus nie są jedynymi produktami tej kategorii.
Takich firm jest wiele i walczą one bardzo intensywnie, aby nie zostać odkryte, bo czym więcej oczu na nie patrzy, tym trudniej prowadzić im swoje biznesy. Wygląda też na to, że nie ponoszą one żadnej odpowiedzialności za swoje działania, co w sumie niezbyt dziwi. Skoro wykorzystywane są przez rządy, no to kto ma je ukarać? Firmy sprzedające i dostarczające rozwiązania tego typu tłumaczą, że przypadki wykorzystywania ich oprogramowania do łamania prawa, w tym praw człowieka, jest incydentalne. Kłamią. Ba, Intellexa nawet uważała, że w ten sposób pomaga demokratycznym transformacjom, a całą winę zrzucała na francuskie władze, które przecież zezwoliły rzekomo na eksport. Na dalsze pytania raczej nie uzyskamy już odpowiedzi, bo wygląda na to, że Intellexa oficjalnie przestała istnieć.
Ale jeżeli chcecie się dowiedzieć, kto tak naprawdę za tym wszystkim stoi, to polecam wam artykuł Lighthouse Reports, napisany we współpracy z największym izraelskim dziennikiem Haaretz. Nie jedno w nim was zaskoczy. Link oczywiście znajdziecie w opisie pod filmem. Co robić i jak żyć. Jeżeli korzystasz z iPhone'a i podejrzewasz, że możesz być łakomym kąskiem do szpiegowania, co akurat jest wątpliwe, włącz Lockdown Mode. Chroni on przed częścią takich ataków. Oczywiście na pewno nie przed wszystkimi, ale potencjalnie zdecydowanie podnosi koszt bycia zhakowanym, a to przeważnie wystarczająco odstrasza. Aktualizuj oprogramowanie systemowe i przeglądarkę do najnowszych wersji. Nadal nie uodporni cię to na zero day'e, ale przynajmniej ktoś dysponujący takimi nieco przeterminowanymi już podatnościami nie będzie mógł ci w prosty sposób zaszkodzić.
Nie klikaj linków, co do których nie masz pewności dokąd prowadzą. W szczególności od nie znajomych w internecie. To, że wyglądają jak coś co znasz, to wcale nie oznacza, że są tym na co wyglądają. Warto też ustawić w każdej przeglądarce, której używasz, wymuszenie korzystania tylko z internetu po HTTPSie. To też podniesie twoje bezpieczeństwo, ograniczy zasięg rażenia ewentualnych ataków i utrudni zadanie również pospolitym cyberprzestępcom. Tylko pamiętaj gdzie wyłączyć te opcje, na wypadek jak będziesz musiał dostać się do informacji zakopanych na jakimś blogu z lat 90. Skorzystanie z VPNa dla całego ruchu sieciowego może być w przypadku narażenia na takie zagrożenie dobrym rozwiązaniem, bo nikt nie będzie w stanie w tak łatwy sposób dobrać się do odbieranych przez ciebie danych, aby coś w nie wstrzykiwać.
To ważne, szczególnie kiedy podróżujesz do krajów mających swoje załuszami. Nie pracuj dla firm, wytwarzających takie oprogramowanie, ani nie sprzedawaj im odnalezionych podatności. Ja wiem, że one bardzo dobrze płacą. Bardzo dobrze. Ale to totalnie nieetyczne. To co wymyślisz może doprowadzić ostatecznie do zamordowania kogoś i to wcale nie jest wyolbrzymienie. Dbaj o swoje sumienie, aby nie musiało być często używane. Nie licz też na etyczność biznesów. Zawsze znajdzie się sposób, żeby sprzedać coś w miejsce, w które nie powinno trafić. Unijne regulacje w tej kwestii zawiodły. No bo, jakby jakieś były, ale nic to nie zmieniło. Czy to znaczy, że są do wyrzucenia? Nie, ale warto zastanowić się jak rozwiązać je lepiej.
Wygląda na to, że w tym przypadku udało się je obejść, bo po prostu sprzedano coś przez Zjednoczone Emiraty Arabskie. A takie oprogramowanie to najlepiej byłoby całkowicie zbanować. Nie da się tego pogodzić sprawami człowieka. Zawsze ktoś będzie chciał wiedzieć więcej, niż legalnie mu wolno. Wiedza to przecież władza. No i nie narzekaj, że nic już nie jest made in Europe. Jak widać jest. I to już wszystko na dziś. Tymczasem dziękuję za waszą uwagę i do zobaczenia. Napisy stworzone przez społeczność Amara. org.