Oprogramowanie szpiegujące Pegasus. Założenia wobec rzeczywistości

Spywere

Spywere to popularna nazwa narzędzi służących do inwigilacji. U podstaw ich powstania leżała potrzeba walki z terroryzmem i przestępczością, ale także zbierania informacji o zachowaniach i preferencjach użytkowników, które mogą być wykorzystywane do celów marketingowych i reklamowych. Nie trudno wyobrazić sobie jak dużą pokusą dla rzadów i służb specjalnych (oficjalnie tylko te organy mogą nabyć prawo do użytkowania Pegasusa), jest dostęp do danych z urządzeń obywateli lub przeciwników politycznych.

Pegasus

Samo oprogramowanie Pegasus to exploit (a dokładniej: platforma do wielu exploitów) czyli program, którego zadaniem jest wykorzystanie istniejących błędów lub luk bezpieczeństwa w innych oprogramowaniach. Jakiego rodzaje dane Pegasus może pobierać z zainfekowanego urządzenia? To niemal każdy plik i zasób, jakie posiadamy na swoim telefonie:

• zdjęcia
• filmy
• lista aplikacji
• historia konwersacji sms, na komunikatorach itp.
• lista kontaktów
• dostęp do kamery i mikrofonu (możliwe jest uruchomienie np. kamery bez wiedzy właściciela)
• wykonywanie zrzutów ekranu

To tylko część tego, do czego zdolny jest operator oprogramowania. Ma on dostęp także do tych funkcji telefonu, o których sami często nie zdajemy sobie sprawy.

Firma NSO, która stworzyła Pegasusa przeprowadza regularne aktualizacje, które mają na celu obchodzenie zabezpieczeń i wykorzystywanie istniejących luk bezpieczeństwa. Co ważne, luką bezpieczeństwa jest także zachowanie właściciela telefonu, np. kliknięcie przez niego w otrzymany z nieznanego źródła link. 
Co ciekawe, oprogramowanie tego typu często korzysta z odkryć osób, które w formie hobby lub dodatkowego zajęcia wykrywają luki w zabezpieczeniach. Osoba, która znajdzie tego typu błąd, może albo zgłosić go np. do producenta danego oprogramowania zawierającego lukę (często wiąże się to z gratyfikacją finansową, np. program bug bounty) albo sprzedać swoje odkrycie do firmy takiej jak NSO.
Oczywiście firm zajmujących się inwigilacją urządzeń i aplikacji jest znacznie więcej i z reguły oferują one bardzo konkurencyjne stawki za zgłaszane błędy.

Pegasus - kontrowersje

Niektóre z najsłynniejszych afer związanych z użyciem Pegasusa to:

Afera Pegasusa w Polsce

Według raportu organizacji Citizen Lab, w Polsce korzystano z Pegasusa do inwigilacji prawnika Romana Giertycha, prokurator Ewy Wrzosek, senatora Krzysztofa Brejzy, prezesa Agrounii Michała Kołodziejczaka i dziennikarza Tomasza Szwejgierta. Ponadto, CBA miało używać Pegasusa do śledzenia osób związanych z prywatyzacją firmy chemicznej CIECh4. Sprawa wywołała skandal polityczny i domagania się powołania komisji śledczej.

Afera Pegasusa w Meksyku

Według raportu organizacji Citizen Lab i The New York Times, meksykański rząd wydał ponad 300 milionów dolarów na zakup Pegasusa i używał go do inwigilacji ponad 50 osób, w tym dziennikarzy, aktywistów, prawników, polityków opozycji i nawet żony prezydenta Enrique Peña Nieto . Sprawa doprowadziła do międzynarodowej krytyki i dochodzenia prokuratury.

Afera Pegasusa w Indiach

Jak donosiła organizacja Forbidden Stories i The Wire, indyjski rząd używał Pegasusa do inwigilacji ponad 300 osób, w tym dziennikarzy, aktywistów, prawników, sędziów, polityków opozycji i biznesmenów . Sprawa wywołała protesty i oskarżenia o naruszenie praw człowieka i demokracji.

Jak uchronić się przed inwigilacją?

Przede wszystkim warto mieć świadomość, że o ile nie jesteśmy politykami, dziennikarzami zajmującymi się newralgicznymi dla władzy tematami lub wysokimi urzędnikami państwowymi, szansa na to, że padniemy ofiarą Pegasusa jest niewielka. Jest to bowiem rozwiązanie bardzo drogie, dlatego cele ataku są wybierane bardzo precyzyjnie. Nie jest to narzędzie do szerokiej inwigilacji społeczności. Niemniej, warto pamiętać o kilku ważnych zasadach, bowiem zapewnią nam one ochronę i bezpieczeństwo w ogóle:

• regularnie aktualizuj system operacyjny i aplikacje, aby naprawiać znane luki w zabezpieczeniach
• nie otwieraj podejrzanych linków ani załączników przesyłanych przez nieznane lub niezaufane źródła
• nie udostępniaj swojego numeru telefonu ani adresu e-mail na publicznych forach lub portalach społecznościowych
• korzystaj z silnych i unikalnych haseł do różnych kont i usług oraz z aplikacji do zarządzania hasłami
• włączaj dwuetapową weryfikację tam, gdzie jest to możliwe, aby zabezpieczyć się przed próbami włamania
• używaj programów antywirusowych i zapor ogniowych do monitorowania i blokowania podejrzanych aktywności na urządzeniu
• codziennie uruchamiaj urządzenie ponownie, aby usunąć ewentualne ślady oprogramowań szpiegowskich w pamięci
• unikaj łączenia się z nieznanymi lub niezaufanymi sieciami Wi-Fi lub Bluetooth
• wyłączaj urządzenie lub włączać tryb samolotowy, gdy nie jest ono używane lub gdy znajduje się w miejscach o wysokim ryzyku
• sprawdzaj, czy urządzenie nie zostało fizycznie uszkodzone lub zmodyfikowane przez nieuprawnione osoby
• miej świadomość swoich praw i możliwości składania skarg lub wniosków o dostęp do informacji na temat ewentualnej inwigilacji przez służby państwowe