Kas iš tikrųjų yra Pegasus ir kodėl turėtum juo domėtis
Jei dar negirdėjai apie Pegasus, trumpai: tai vienas pavojingiausių šnipinėjimo įrankių, kokius žmonija yra sukūrusi. Izraelio kompanija NSO Group šią programinę įrangą oficialiai parduoda tik vyriausybėms ir teisėsaugos institucijoms, tačiau realybė, kaip dažnai nutinka, yra gerokai sudėtingesnė ir nerimą kelianti.
Pegasus gali patekti į tavo telefoną be jokio tavo įsikišimo. Nereikia nieko spausti, nereikia atsisiųsti jokio failo, nereikia net atidaryti žinutės. Vadinamieji zero-click atakų vektoriai leidžia programai tyliai įsidiegti į įrenginį išnaudojant nežinomas saugumo spragas operacinėse sistemose. Kai ji ten atsiduria, gali skaityti tavo žinutes (net ir šifruotas Signal ar WhatsApp), klausytis pokalbių, įjungti kamerą, sekti buvimo vietą ir perduoti viską į serverius realiu laiku.
Galbūt galvoji: „Aš ne žurnalistas, ne politikas, ne aktyvistas – kam mane sekti?” Tai suprantama reakcija, bet šiek tiek naivi. Pegasus atvejai buvo užfiksuoti ne tik tarp aukšto profilio taikinių. Be to, kai šnipinėjimo technologijos pasirodo rinkoje, jos ilgainiui tampa prieinamos vis platesniam ratui. Šiandien tai vyriausybių įrankis, rytoj – galbūt organizuoto nusikalstamumo priemonė.
Kaip Pegasus patenka į įrenginį – techninė pusė be baisių žodžių
Suprasti atakos mechanizmą yra pirmas žingsnis apsisaugant. Pegasus naudoja kelias skirtingas skverbimosi strategijas, ir jos keičiasi su kiekviena nauja versija.
Senesnės versijos rėmėsi klasikiniu spear phishing metodu – tikslingas asmuo gauna žinutę su nuoroda, kurią paspaudus aktyvuojamas išnaudojimas. Tai dar buvo valdoma – bent jau teoriškai galėjai būti atsargus. Tačiau modernios Pegasus versijos naudoja zero-click spragas, kurios išnaudoja pažeidžiamumą tokiose programose kaip iMessage, WhatsApp, FaceTime ar net tinklo lygmeniu.
2021 metais Citizen Lab ir Amnesty International Tech tyrėjai aptiko, kad Pegasus naudojo FORCEDENTRY pažeidžiamumą Apple iMessage sistemoje. Ši spraga leido atakuoti iPhone be jokio vartotojo veiksmo – pakako žinoti telefono numerį arba Apple ID. Apple greitai išleido pataisą, bet tai puikiai iliustruoja problemą: kol spraga nežinoma, tu esi pažeidžiamas nepriklausomai nuo to, ką darai.
Android sistemoje situacija šiek tiek kitokia – ten dažniau naudojami metodai, reikalaujantys bent minimalaus vartotojo įsitraukimo, bet tai nereiškia, kad Android yra saugesnis. Tiesiog atakos vektoriai skiriasi.
Pirmoji gynybos linija: programinės įrangos atnaujinimai kaip religija
Tai skamba banaliai, bet yra tiesiog svarbiausia, ką gali padaryti. Absoliučiai svarbiausia. Pegasus ir panašios programos gyvuoja išnaudodamos žinomas ir nežinomas saugumo spragas. Žinomų spragų atveju gamintojų išleistos pataisos yra vienintelis efektyvus skydas.
Praktiškai tai reiškia:
- iOS atnaujinimai turi būti diegiami iš karto, kai tik pasirodo – ne „kai turėsiu laiko”, ne „gal rytoj”. Dabar.
- Android situacija sudėtingesnė, nes saugumo pataisos priklauso ne tik nuo Google, bet ir nuo gamintojo bei operatoriaus. Samsung, Pixel ir kiti gamintojai išleidžia mėnesines saugumo pataisas – tikrink, ar jos įdiegtos.
- Programėlės taip pat turi būti atnaujintos. Pegasus ne kartą išnaudojo WhatsApp, iMessage ir kitų programų spragas.
Jei naudoji seną telefoną, kuriam gamintojas nebeteikia atnaujinimų, esi nuolat pažeidžiamas. Tai ne paranoja – tai faktas. Senas iPhone su iOS 14, kai dabartinė versija jau iOS 17 ar 18, yra kaip namas su žinomomis atviromis durimis.
Apple turi funkciją, vadinamą Lockdown Mode (Užrakinimo režimas), pristatytą iOS 16. Tai drastiškas, bet efektyvus sprendimas tiems, kurie mano esantys aukšto lygio taikiniai. Šis režimas apriboja daugybę funkcijų – kai kurios žinutės nebeveiksminamos, tam tikri tinklalapiai nebeveikia, bet kartu drastiškai sumažėja atakos paviršius. Jei esi žurnalistas, aktyvistas ar politikas – rimtai svarstyk šią galimybę.
Tinklo saugumas: VPN, DNS ir kiti dalykai, kurie iš tikrųjų padeda
Tinklo lygmuo yra vieta, kur Pegasus kartais inicijuoja ataką arba perduoda surinktus duomenis. Čia yra keletas praktinių žingsnių.
VPN – ne stebuklinis skydas, bet padeda. Geras VPN šifruoja tavo tinklo srautą ir slepia jį nuo interneto tiekėjo bei potencialių tarpinių stebėtojų. Svarbu pasirinkti patikimą tiekėją – Mullvad, ProtonVPN ar IVPN yra laikomi patikimiausiais privatumo požiūriu, nes nesilaiko jokių prisijungimo žurnalų ir yra nepriklausomai audituoti. Nemokamų VPN vengk kaip ugnies – jie dažnai patys yra duomenų rinkimo įrankiai.
DNS šifravimas – mažiau žinomas, bet svarbus dalykas. Standartiniai DNS užklausai yra nešifruoti, o tai reiškia, kad kas nors tinkle gali matyti, kokius domenus lankai. DNS-over-HTTPS (DoH) arba DNS-over-TLS (DoT) šifruoja šias užklausas. iPhone ir Android abu palaiko šifruotą DNS – galima nustatyti Cloudflare (1.1.1.1) arba NextDNS kaip privatų DNS.
Viešieji Wi-Fi tinklai yra ypač pavojingi. Kavinės, oro uostai, viešbučiai – visi šie tinklai gali būti stebimi arba net specialiai sukurti kaip spąstai. Jei naudoji viešą Wi-Fi, VPN yra būtinas, o ne pageidautinas.
Dar vienas dalykas – iMessage ir kiti Apple servisai gali būti išjungti, jei esi ypač susirūpinęs. Tai drastiška priemonė, bet iMessage istoriškai buvo vienas dažniausių Pegasus atakos vektorių iOS sistemoje.
Programėlių higiena ir tai, ką diegiesi į telefoną
Kiekviena programėlė, kurią įdiegiesi, yra potenciali atakos vieta. Tai nereiškia, kad reikia naudoti tik du tris appsus, bet reiškia, kad reikia būti sąmoningam.
Pirmiausia – minimalizmo principas. Jei programėlės nenaudoji, ištrink ją. Kiekviena neaktyvi programėlė, kuri gauna atnaujinimus (arba negauna), yra papildoma rizika. Peržiūrėk savo telefoną ir sąžiningai paklausk savęs, ko tikrai reikia.
Antra – leidimų auditas. Ir iOS, ir Android leidžia peržiūrėti, kokius leidimus turi kiekviena programėlė. Eik į nustatymus ir patikrink: ar žaidimų programėlė tikrai turi turėti prieigą prie mikrofono? Ar oras programėlė turi žinoti tikslią tavo vietą? Dažnai atsakymas yra ne, ir leidimai gali būti apriboti.
Trečia – programėlių šaltinis. iOS naudotojai čia turi natūralų pranašumą – App Store yra vienintelis oficialus šaltinis (nebent jailbreak’intas telefonas, bet tai jau atskira tema). Android naudotojai turi būti atsargesni: Google Play yra santykinai saugus, bet sideloading (programėlių diegimas iš šoninių šaltinių) yra rimta rizika.
Atskira tema – šnipinėjimo programėlės, apsimetančios teisėtomis. Tai dažniau naudojama ne valstybinio lygio atakose, bet asmeniniame kontekste (pavyzdžiui, pavydūs partneriai). Jei telefonas elgiasi keistai – baterija senka neįprastai greitai, telefonas kaista be akivaizdžios priežasties, duomenų sąnaudos staiga išaugo – tai gali būti ženklai, kad kažkas veikia fone.
Komunikacijos saugumas: kuo bendrauti, kad niekas neklausytų
Čia svarbu suprasti vieną dalyką: net jei naudoji Signal, bet tavo telefonas yra kompromituotas Pegasus lygio programa, šifravimas nepadeda. Pegasus skaito žinutes prieš jas šifruojant arba po iššifravimo – tiesiai iš ekrano. Tačiau tai nereiškia, kad šifruota komunikacija yra beprasmė – ji apsaugo nuo daugelio kitų grėsmių.
Signal išlieka auksiniu standartu šifruotai komunikacijai. Programa yra atvirojo kodo, nepriklausomai audituota, nesilaiko metaduomenų ir turi papildomų funkcijų kaip pranešimų automatinis ištrynimas. Jei dar nenaudoji – pradėk.
WhatsApp naudoja tą patį Signal protokolą šifravimui, bet priklauso Meta, kuri renka metaduomenis (su kuo bendravai, kada, kaip dažnai). Šifravimo požiūriu WhatsApp yra tinkamas, privatumo požiūriu – mažiau.
Telegram – čia reikia aiškiai pasakyti: standartiniai Telegram pokalbiai nėra end-to-end šifruoti. Tik „Secret Chats” funkcija suteikia tikrą šifravimą. Daugelis žmonių klaidingai mano, kad Telegram yra saugus – taip nėra pagal nutylėjimą.
El. paštui – ProtonMail arba Tutanota yra geriausi pasirinkimai tiems, kuriems rūpi privatumas. Jei naudoji Gmail ar Outlook, tavo laiškai yra prieinami atitinkamoms kompanijoms ir potencialiai teisėsaugai.
Kaip patikrinti, ar tavo telefonas nėra jau kompromituotas
Tai sudėtingiausia dalis, nes Pegasus yra sukurtas būti nematomas. Tačiau yra keletas įrankių ir metodų, kurie gali padėti.
MVT (Mobile Verification Toolkit) – tai Amnesty International sukurtas atvirojo kodo įrankis, skirtas būtent Pegasus ir panašių programų aptikimui. Jis veikia per kompiuterį ir analizuoja telefono atsarginę kopiją (iOS) arba tiesioginį įrenginio išvestį (Android). Tai nėra paprastas įrankis – reikia tam tikrų techninių žinių, bet instrukcijos yra viešai prieinamos GitHub platformoje.
Kaip tai veikia praktiškai:
- iOS atveju: sukuri pilną iPhone atsarginę kopiją per iTunes/Finder, tada MVT analizuoja ją ieškodamas žinomų Pegasus indikatoriaus (IOC – Indicators of Compromise).
- Android atveju: procesas sudėtingesnis, reikia įjungti ADB (Android Debug Bridge) ir leisti MVT analizuoti įrenginio duomenis.
iVerify – mokama iOS programėlė (apie 1 doleris), kuri atlieka saugumo patikrinimą ir gali aptikti tam tikrus kompromitavimo požymius. Ji nėra tokia išsami kaip MVT, bet yra daug paprastesnė naudoti.
Jei rimtai įtari, kad tavo telefonas gali būti kompromituotas, paprasčiausias sprendimas yra factory reset – gamyklinių nustatymų atkūrimas. Pegasus paprastai neišgyvena pilno atkūrimo. Tačiau prieš tai svarbu padaryti atsarginę kopiją tik svarbių duomenų (ne visos sistemos, nes kopijoje gali būti ir pati programa).
Realybė be iliuzijų: ką gali ir ko negali padaryti paprastas žmogus
Kalbėkime atvirai. Jei esi tiesioginis valstybinio lygio atakos taikinys ir tavo priešininkai turi Pegasus bei zero-day spragas, kurių dar nežino nei Apple, nei Google – tu esi labai sunkioje situacijoje. Nėra jokio 100% garantuoto būdo apsisaugoti nuo to, ko dar nežinai.
Bet tai nereiškia, kad visi šie žingsniai yra beprasmiai. Priešingai – jie drastiškai sumažina atakos paviršių ir padidina kainą, kurią turi sumokėti potencialus užpuolikas. Pegasus licencija kainuoja milijonus dolerių. Niekas nenaudos tokio įrankio prieš žmogų, kuris nėra vertas tokių investicijų, jei yra lengvesnių taikinių.
Praktinis saugumo mąstymas reiškia ne paranojišką visų technologijų atsisakymą, o protingą rizikos valdymą. Žurnalistams, aktyvistams, politikams ir verslininkams, dirbantiems jautriose srityse, reikia imtis rimtesnių priemonių – Lockdown Mode, MVT tikrinimų, Signal kaip pagrindinio komunikacijos įrankio. Eiliniam žmogui pakanka reguliarių atnaujinimų, patikimo VPN, šifruotų žinučių programėlių ir sveiko proto internete.
Galiausiai – technologinis saugumas yra procesas, ne būsena. Nėra momento, kai gali pasakyti „dabar esu saugus visam laikui” ir nustoti galvoti. Grėsmės keičiasi, programinė įranga keičiasi, ir tu turi keistis kartu. Tai gali skambėti varginančiai, bet iš tikrųjų kalbame apie keletą paprastų įpročių, kurie ilgainiui tampa antra prigimtimi – kaip užrakinti duris išeinant iš namų. Niekas nesvarsto, ar verta tai daryti. Tiesiog darai.
