Vohunjenje v digitalni dobi

Preiskava skupine medijskih hiš je pokazala na razširjeno zlorabo vohunske opreme z imenom Pegasus, po slovensko Pegaz, ki jo razvija izraelsko podjetje NSO Group. Pegasus je zlonamerna programska oprema, s katero je mogoče okužiti mobilne naprave z operacijskim sistemom Android in iOS. Z namestitvijo Pegasusa lahko upravljalci na daljavo pridobijo nepooblaščen dostop do vsega na mobilni napravi: pridobijo lahko vsa sporočila SMS, ki jih je uporabnik kdaj poslal ali prejel, elektronska sporočila, tudi šifrirana prek aplikacij WhatsApp in Signal, fotografije in video posnetke, koledar in seznam stikov, podatke o lokaciji GPS, snemajo lahko telefonske pogovore in video klice, aktivirajo lahko kamero in mikrofon, tudi kadar naprava ni v uporabi.

Podjetje NSO Group, ki programsko opremo prodaja vladam, trdi, da je oprema namenjena le za uporabo proti kriminalcem in teroristom. Medijske hiše, ki so preiskale podatke v javnosti, pa so ugotovile, da so avtoritarne vlade širom sveta s Pegasusom ciljale predvsem aktiviste za človekove pravice, novinarje in odvetnike.

Digitalno orožje

Strokovnjak za kibernetsko varnost in certificirani etični heker CEH Miha Lavrič iz podjetja CREAplus, v katerem se ukvarjajo s celovitim zagotavljanjem kibernetske varnosti, pravi, da je najbolj zanimiva dovršenost omenjene vohunske opreme in njeno dobro skrivanje na mobilnih napravah. »Gre za vrhunsko vohunsko orodje, prilagojeno za digitalno dobo, v kateri se nahajamo,« ugotavlja Lavrič.

Mitja Trampuž, certificirani strokovnjak za informacijsko varnost CISSP in direktor podjetja CREAplus, meni, da gre pri Pegasusu za novodobno digitalno orožje: »Tudi sama izraelska vlada opredeljuje Pegasus kot orožje in za njegov izvoz mora proizvajalec pridobiti izvozno dovoljenje, podobno kot to velja za večino vojaške in kriptografske opreme.«

Preprosta okužba in nevidnost

Pri nameščanju zlonamerne programske opreme napadalci pogosto izkoriščajo varnostne pomanjkljivosti ničtega dne (angleško zero-day vulnerability) – gre za takšno varnostno pomanjkljivost, za katero proizvajalec še ne ve ali za njo še nima popravka. Takšno pomanjkljivost je črni trg pripravljen drago plačati. “Ranljivosti ničtega dne obstajajo v operacijskih sistemih Android in iOS ter v večini aplikacij, zato bi težko rekli, da je kakšen mobilni telefon res varen,” pravi Lavrič.

Pegasus razmeroma preprosto okuži mobilni telefon in nato izvaja prestrezanje in zbiranje podatkov oziroma nadzor naprave. Združuje različna hekerska in vohunska orodja v eno platformo s prijaznim uporabniškim vmesnikom, izvajanje nadzornih operacij nad ciljno napravo pa je z njim razmeroma preprosto. Okužbe uporabnik ne more preprosto odkriti in je tudi ne more preprosto odstraniti – njen obstoj bi uporabnik morda lahko ugotovil šele z analizo podatkovnega prometa naprave z okoljem, saj programska oprema pošilja podatke z mobilne naprave v nadzorne centre, ali pa s posebno zahtevnejšo forenzično analizo mobilne naprave, ki jo izvajajo specializirana podjetja s področja kibernetske varnosti.

Možnosti zaščite

Najbolj drastičen in najbolj nepraktičen ukrep proti vohunjenju s Pegasusom je, da se uporabnik odreče mobilni napravi. Če ni pametnega telefona, Pegasus ne more nič napasti.

Nekoliko bolj praktičen pristop je, da uporabnik telefona ne vzame s seboj na občutljive sestanke. Prav tako bi morali poskrbeti, da tudi ostali na srečanju nimajo s seboj pametnih telefonov. Na pametnem telefonu je mogoče tudi onemogočiti določene funkcije, kot je na primer kamera, kar je že leta 2016 predstavil tudi Edward Snowden.

»Ena od trenutnih možnosti, ki lahko zagotovi varno digitalno komunikacijo, je na primer uporaba mobilne naprave, ki je predplačniška in jo uporabimo samo enkrat. Gre za to, da poskusimo preprečiti povezavo naprave z identiteto uporabnika,” pravi Lavrič. »Takšno mobilno napravo po občutljivi komunikaciji ustrezno zavržemo ali zamenjamo. Če pa vseeno uporabljamo lastni telefon, je najpomembnejše, da ga redno posodabljamo in da posodobitve namestimo takoj, ko so na voljo. Predvsem pa nikoli ne kliknemo povezave, ki nam jo je nekdo poslal, razen če smo zares prepričani, da je povezava pristna in varna. Če obstaja le majhen dvom, povezave ne kliknemo.«

Zasebnosti ni

Pri Pegasusu gre za izjemno napredno vohunsko programsko opremo in z njo je mogoče izvajati najbolj invaziven digitalni nadzor človeka, ki si ga je mogoče danes predstavljati. »Razkritje o nadzoru s Pegasusom bo zagotovo spremenilo prepričanje, ki smo ga morda še imeli o zasebnosti v digitalni dobi,« zaključuje Trampuž.

Več o kibernetski varnosti lahko preberete na straneh CREAplus.