N1 STUDIO: Pegasus – bomo razkritje hitro pozabili?

Slovenija 21. Jul 202114:13 > 22. Jul 2021 09:12
pametni telefon
Profimedia

Objava medijev je razkrila obsežnosti vohunjenja s programom Pegasus za politiki, odvetniki, gospodarstveniki, akademiki in novinarji. Uporaba te opreme strokovnjakov iz varnostnih krogov ni presenetila. Odkritje odmeva predvsem zaradi izbora tarč, ki so običajno izbrane selektivno, tokrat pa gre za predstavnike civilne družbe. Strokovnjaka David Modic in Andrej Rupnik se strinjata, da se posameznik pred vdorom težko zavaruje, bolj kot o preprečevanju vdorov pa je pomembno razmišljati tudi o tem, katere informacije se z napravami sploh delijo.

Razkritje prisluškovanja s programom Pegasus izraelskega podjetja NSO v varnostnih krogih ne odmeva. “Za varnostno skupnost to razkritje ni nič novega,” je v oddaji N1 STUDIO povedal dr. David Modic z ljubljanske Fakultete za računalništvo in informatiko. Od razkritji Edwarda Snowdna pred 10 leti se ve, da ta možnost obstaja, spremenil se je način, je dodal. “O tem se bo govorilo tri dni, potem se bo pa pozabilo,” pravi.

O programu Pegasus je univerza v Torontu v Kanadi 2018 izdala poročilo, v katerem je razvidno, da najstarejše sledi o tem orodju izhajajo iz leta 2013, je navedel nekdanji direktor SOVE ter strokovnjak za varnostna vprašanja Andrej Rupnik. “Ni pa to edino orodje,” je dejal in dodal, da na tem delajo tako zasebna podjetja kot tudi večje države.

“Ta primer je postal tako razvpit zaradi tarč,” je dejal Rupnik. “Običajno so tarče izbrane selektivno in je popolnoma logično, da obveščevalne službe targetirajo nosilce pomembnih informacij,” je dejal. V ospredju je, da so targetirali ljudi, ki so del civilne družbe, civilnodružbenih organizacij, novinarji in odvetniki. “Zaradi tega je ta primer tako zanimiv za širšo javnost,” je dodal.

Državljane pred vohunjenjem varuje tudi visoka cena

Večina vdorov, o katerih se je poročalo, je bilo izvedenih čez napake, ki jih proizvajalci naprav in programske opreme še ne poznajo, je povedal strokovnjak za kibernetsko varnost iz podjetja Kabi Dalibor Cerar. “Najpogosteje je šlo za vdore prek programske opreme Whatsapp, iMessage in SMS,” je dejal in dodal, da so storilci po prenosu komponent na telefon prevzeli nadzor nad telefonom ter tako lahko prenesli fotografije, SMS, elektronsko pošto, spremljali lokacijo žrtve, ipd.

Vdor v napravo temelji na neodpravljenih varnostnih luknjah oziroma zero day napakah, ki jih proizvajalec programske opreme še ne pozna. “Cene nekaterih teh napak, ki omogočajo vdore v računalnike dosegajo vrtoglave vsote. Francosko podjetje Zerodium recimo za nekatere napake ponuja tudi več kot milijon dolarjev. Za napake, ki bi omogočale vdor v mobilne naprave pa ponujajo tudi večje vsote,” je povedal Cerar.

Programi, kot je Pegasus, temeljijo na vstopu v drobovje operacijskega sistema, je pojasnil Rupnik. “Če vstopiš v jedro operacijskega sistema, ki kontrolira vse, kar dela računalnik ali telefon, lahko samo dodaš ukaze, ki bodo delali, kar koli želiš, uporabnik pa ne ve, da se izvajajo,” je razložil. Prisotnost programske opreme je mogoče ugotoviti na podoben način, kot to počnejo protivirusni programi.

Uporabniki večinoma ne vedo, da imajo na telefonu nameščen program, kot je Pegasus, je poudaril Modic. To bi bilo sicer mogoče ugotoviti po podatkih o tem, s katerimi strežniki telefon veliko komunicira, pa pravi Rupnik. “Če pošilja video, zvok in dokumente, to pomeni, da bo zelo veliko prometa,” je razložil.

Po nekaterih informacijah naj bi programsko opremo Pegasus uporabljalo kar nekaj evropskih držav. Hrvaški strokovnjak za kibernetsko varnost Marko Rakar je dejal: “Znano je, da so se naše vojaške, obveščevalne in policijske službe v minulih letih intenzivno družile z izraelskimi kolegi. Nemogoče je to dokazati, ampak imamo razlog, da verjamemo v možnost, da je tudi Hrvaška uporabnica takšnega sistema.”

Slovenska vlada je zanikala, da bi takšno opremo imela in uporabljala. Navedli pa so tudi, da se v mandatu aktualne vlade zanjo niso zanimali. Po Rupnikovih podatkih naj med številkami ne bi bilo slovenskih, prav tako pa naj ne bi bilo nobenega napada iz Slovenije.

Nakup ofenzivne obveščevalske opreme sicer v Sloveniji poteka po posebnem postopku. Gre za tajna naročila, o katerih odloča medministrska ekipa, je dejal Rupnik. “Takšnega sistema ne more kupiti samostojno ena sama služba,” je kot prvega izmed varnostnih mehanizmov izpostavil naročila. “Državljane pa pred vohunjenjem varuje tudi visoka cena,” je dodal. Slovenska obveščevalno-varnostna agencija ima proračun, visok med 16 in 18 milijonov evrov, večina teh sredstev pa se porabi za plače, je navedel nekdanji direktor agencije.

Kaj pa se uporablja v Sloveniji? Rupnik odgovarja, da ima policija možnost uporabe prisluškovanja. Najprej morajo policisti pripraviti utemeljen predlog, ki ga sodniku – ta izda odredbo – posreduje tožilec. Za izvedbo so zadolženi operaterji, je pojasnil. Podatki se nato posredujejo na policijo.

Sova lahko, tako Rupnik, preseza le komunikacijo med dvema tujima točkama. A pri tem nastaja varnostna luknja v nacionalni varnosti. V primeru 20-letnika iz Gorenjske, ki je več mesecev načrtoval množični poboj, policija tega ne more zaznati, dokler kaznivo dejanje ni storjeno, Sova pa te komunikacije ni mogla nadzorovati, saj grožnja ni povezana s tujino.

Modic na področju varnosti svetuje več vladam, a pravi, da ga za mnenje o Pegasusu do zdaj še niso zaprosili. “Takšno programsko opremo države in vlade itak uporabljajo,” je rekel.

Neposredno reševanje življenj s to tehnologijo mogoče samo v filmih

Izraelsko podjetje NSO vztraja pri tem, da Pegasus rešuje življenja in preprečuje teroristične napade. Orodja niso namenjena zgolj dobremu ali slabemu, tako pri dovoljenih kot nedovoljenih vdorih hekerji uporabljajo enaka orodja, je rekel Modic. “Ne gre za to, da bi bilo kakšno orodje ekskluzivno,” je dejal.

“Neposredno reševanje življenja s takšno tehnologijo obstaja samo v filmih,” pa je povedal Rupnik. V resničnosti gre za dolgotrajnejše procese. “Dokler takšna tehnologija obstaja, bi bilo za družbo nevarno, da bi se tehnologija odvzela službam, ki so za njeno uporabo avtorizirane,” je poudaril.

Težava je v tem, da so določene tehnologije široko dostopne, pa izpostavlja Rupnik. Računalničar lahko lovilec številke IMSI naredi v garaži, komponente ga stanejo nekaj deset evrov, je navedel kot primer. Sistem, ki omogoča prisluškovanje, pa je mogoče kupiti tudi na Kitajskem ali Tajvanu. Tudi v Sloveniji je mogoče kupiti programsko opremo, ki vsebino telefona posreduje tretji strani, pravi in dodaja, da je v tem primeru treba telefon prinesti neposredno ponudniku programske opreme.

“Ta tehnologija ni na voljo samo tistim, ki imajo državno licenco za uporabo, ampak tudi kriminalnim skupinam, tako imenovanim black hekerjem, nadobudnim programerjem, …” je dejal Rupnik.

Cilj kibernetskih napadov tudi gospodarstveniki

Verjetnost, da bi postal posameznik kolateralna škoda, je precej majhna. “Če ste tarča velikih sistemov, nimate za njih nobene vrednosti, če niste nosilci pomembnih informacij. Če bi prisluškovali vsakemu, bi s tem izgubljali čas,” je dejal Rupnik.

Cilja pa se ne samo na tarče, ki ogrožajo nacionalno varnost, ampak tudi na gospodarske tarče, je dejal Modic. A se pri tem ne cilja na direktorja podjetja, ampak tiste, ki so mu blizu. “Lažno je verjeti, da nisem dovolj pomemben,” je rekel Modic. Spomnil je, da tudi številne informacije o popolnoma legalnih aktivnostih lahko uničijo ugled posameznika.

“Gre predvsem za odnos do varnosti. Mi, ki se s tem ukvarjamo, smo vdani v usodo, da če si nekdo želi k nam vdreti, potem se bo to zgodilo,” je dejal Modic. Bolj kot o zaščiti naprave je morda smiselno razmišljati o tem, kaj se sploh počne na telefonu.

Varnostna skupnost ima pri komunikaciji z Izraelom težave

Strokovnjaka sta opozorila tudi na vlogo Izraela, iz katerega prihaja podjetje NSO, v tej zgodbi. Varnostna skupnost ima pri komunikaciji z Izraelom velike težave, je rekel Modic. Izraelci namreč vsako komunikacijo, ki prihaja iz Palestine, definirajo kot teroristično. Več držav pa zato Izrael poskuša iz svojih internih krogov izločiti.

Izpostavil pa je še konflikt interesov med izraelskimi varnostnimi podjetji in vojsko. Pogosto namreč vojaki na višjih položajih nikoli v resnici ne upokojijo, še vedno pa imajo tudi položaj do varnostnih informacij, je dejal Modic. “Ko je tak človek direktor varnostnega podjetja, je to očiten konflikt interesov,” je povedal. Evropske varnostne službe imajo po njegovih besedah veliko težave pri sodelovanju z izraelskimi podjetji.

Rupnik pa vidi stalne konflikte, ki jih ima Izrael, kot enega izmed razlogov za tehnološko in tudi drugo naprednost države. “To je pri njih stvar preživetja,” je dejal.

Kako je sploh nastal mednarodni seznam tarč, če nadzor izvajajo posamezne države? Rupnik vidi dve možnosti: bodisi so ga oblikovali strokovnjaki, ki so našli sledi na strežnikih, bodisi ga je novinarjem posredoval žvižgač. Kot je pojasnil strokovni skupini torontskega Citizen Laba in Amnesty International s pomočjo programske opreme, ki jo je razvil Citizen Lab, iščeta sledi na strežnikih, saj morajo okuženi telefonu zajeto prenašati na svetovni splet.

Druga možnost je, da je seznam medijem posredoval žvižgač, ki je v podjetju ali je blizu podjetja NSO in se je na neki točki odločil, da to presega namen programske opreme. “Nemogoče pa je popolnoma izključiti, da je nekdo tretji našel ‘back door’ na tej programski opremi,” je dodal.

Ni pa jasno niti, ali podjetje trži zgolj produkt, ki ga konfigurirajo za vsako stranko posebej, vključno z zaščitnimi mehanizmi, ali pa nudijo storitev, v kateri targetirajo tarčo in nato naročniku posredujejo podatke. Tudi slednje bi lahko bila ena izmed možnosti za nastanek liste. Podjetje NSO je to sicer zanikalo.