W poniedziałek 7 lutego o 13:00 ma się odbyć konferencja prasowa, na której NIK odniesie się do tych doniesień. Na chwilę obecną wiemy bardzo mało, wypada więc podchodzić do nich bardzo ostrożnie.
Czy to w ogóle możliwe?
Zainfekowanie ponad pięciuset urządzeń brzmi niemal fantastycznie. Prosta matematyka pokazuje, że jest to jednak realne, potwierdzają to też eksperci, z którymi rozmawiałem.
Z tego, co wiemy, CBA pozyskało ponad 30 licencji na Pegasusa. To oznacza, że ponad 30 urządzeń może być inwigilowanych jednocześnie. Nie ogranicza to jednak liczby urządzeń, które w ogóle mogą zostać zainfekowane, najwyraźniej nie ma też dodatkowych kosztów związanych ze zmianą tego, które urządzenia są w danej chwili aktywnie nadzorowane.
Wiele wskazuje na to, że Pegasus blokuje aktualizacje na raz zainfekowanym urządzeniu. Robi to prawdopodobnie po to, by ułatwić potencjalną reinfekcję nawet po tym, gdy operator przestanie je aktywnie inwigilować.
Oznacza to, że możliwe by było infekowanie po kolei urządzeń używanych przez NIK, ekstrahowanie z nich danych i atakowanie kolejnej grupy urządzeń. Jeśli założymy, że używane w tym celu było 30 licencji (a więc 30 jednoczesnych infekcji), i że takie szybkie włamanie z pobraniem danych zajmowałoby średnio 2 dni (co wydaje się być dość bezpiecznym założeniem, choć nie wiemy dokładnie, ile czasu zajmuje zmiana celu dla Pegasusa), przerobienie listy pięciuset urządzeń zajęłoby około jednego miesiąca.
W międzyczasie analitycy mogą analizować wykradzione dane i ewentualnie zdecydować, które urządzenia zainfekować ponownie i na dłużej.
Jak NIK mógł tak szybko ustalić listę potencjalnie inwigilowanych urządzeń?
Zgodnie z nieoficjalnymi doniesieniami RMF FM, lista prawdopodobnie zainfekowanych urządzeń została ustalona poprzez sprawdzenie, które urządzenia łączyły się z domenami i adresami IP powiązanymi z systemem Pegasus. Taka lista została opublikowana przez Citizen Lab (np. tu) i Amnesty International (tutaj).
Pozyskaną w ten sposób listę potencjalnie zainfekowanych urządzeń należy zweryfikować, używając
W porównaniu z niezależnymi badaczami (np. Citizen Lab właśnie), NIK miałby ułatwione zadanie: ma przecież bezpośredni dostęp do urządzeń mobilnych, z których korzystają kontrolerzy. Ma też (lub może łatwo uzyskać) dostęp do danych połączeń sieciowych nawiązywanych przez te urządzenia. Może więc w miarę szybko ustalić listę podejrzanych urządzeń, po czym dokonać niezbędnej weryfikacji (korzystając być może z zewnętrznych ekspertów).
Co budzi wątpliwości?
Przede wszystkim wątpliwa jest liczba „ponad sześciu tysięcy ataków”. Nie jest jasne, co się pod terminem „atak” kryje.
Systemy typu Pegasus dość często zmieniają domeny, z których korzystają do infekowania urządzeń, domeny zaś mogą wskazywać na wiele różnych adresów IP, lub często zmieniać adres IP, na który wskazują.
Oczywiście zrobienie listy takich połączeń to dobry pierwszy krok, ale jak wspomniałem wyżej: konieczna jest bezpośrednia weryfikacja, przy użyciu odpowiedniego narzędzia, czy dane urządzenie faktycznie było zainfekowane.
RMF FM wspomina o „próbach wejścia w telefony, laptopy, tablety i serwery pracowników Izby”. Pegasus nie atakuje serwerów ani laptopów. Pegasus skupia się wyłącznie na urządzeniach mobilnych (smartfonach, tabletach i tym podobnych), działających pod kontrolą systemów z rodziny Android lub iOS.
To oczywiście nie oznacza, że jakieś inne narzędzie nie zostało użyte w celu uzyskania kontroli nad laptopami czy serwerami związanymi z NIK. Jednak bardziej prawdopodobne wydaje się, że te urządzenia łączyły się z podejrzanym adresem IP, być może w zupełnie niezwiązanym z Pegasusem celu, a to zostało (niepoprawnie) zinterpretowane jako „atak”.
Więcej pytań niż odpowiedzi
Jeśli informacje dotyczące tych ataków się potwierdzą, mielibyśmy do czynienia z prawdopodobnie największym dotychczas ujawnionym przypadkiem systematycznej inwigilacji instytucji kontrolerskiej w państwie demokratycznym.
Byłby to jasny, jednoznaczny dowód, że (zgodnie z obawami ekspertek i aktywistów) inwigilacja osób związanych z opozycją to nie jest wyjątek, rzadkie nadużycie systemu używane przede wszystkim do śledzenia groźnych przestępców, a raczej podstawowy sposób użycia tego typu zaawansowanych systemów cyfrowej inwigilacji osobistej.
Więcej dowiemy się w poniedziałek.
Komentarz został usunięty ponieważ nie spełniał standardów społeczności.
https://zaufanatrzeciastrona.pl/post/tysiace-atakow-pegasusem-czyli-co-naprawde-moglo-sie-stac-w-nik-u/