„Nie istnieje oprogramowanie, które może skutecznie zabezpieczyć sprzęt!”
Zadam PT Czytelnikom proste pytanie:
„Jak to się dzieje, że nasz smartfon odpowiada na żądania połączeń (sygnalizuje, że ktoś na nasz numer zadzwonił i odbiera wiadomości SMS itp.)?”
Podobnie dzieje się z klasycznymi komputerami PC podłączanymi do sieci przewodowej lub WiFi, choć niekiedy konieczne jest wówczas podanie unikalnego dla określonej sieci kodu dostępu
Pozostańmy jednak przy smartfonach:.
W praktyce po zakupie urządzenia, wyposażeniu go w kartę SIM i jej uaktywnieniu otrzymanym od operatora sieci kodem nasz telefon staje się dostępny w sieci (o ile znajdujemy się w jej zasięgu). Smartofony większości użytkowników pozostają włączone przez długi czas (często przez całą dobę) i oczywiście przez cały ten okres komunikują się z siecią. Łatwo można sprawdzić, czy użytkownik jakiegoś numeru komórkowego otrzymuje w tym czasie informacje o wysłanych do niego wiadomościach SMS (lub podobnych).
Wynika stąd prosty wniosek – do skutecznego zaatakowania telefonu wystarczy aby był on dostępny dla sieci sygnalizacyjnej (więcej szczegółów w poniższym linku):
https://positive-tech.com/storage/articles/ss7-network-security-analysis-2020/ss7-network-security-analysis-2020-eng.pdf
Szczególnie niebezpieczne są ataki „Zero-Click”, które nie wymagają żadnej akcji ze strony użytkownika (pobranie pliku, otwarcie poczty itp.). Co więcej ich wykrycie jest bardzo trudne – najczęściej fakt ataku jest wykrywany podczas analizy kopii awaryjnej (backup`u) oprogramowania smartfonu. Szczegółowy opis procedury, dzięki której można wykryć, że smartfon został zainfekowany przez tego typu program opublikowała Amnesty International. W raporcie umieszczono także link do oprogramowania MVT ( Mobile Verification Toolkit (MVT), które jest udostępniane nieodpłatnie. Link do raportu Amnesty International:
https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
oraz do ostatniego uzupełnienia (Appendix E):
https://www.amnesty.org/en/latest/research/2021/08/appendix-e-pegasus-forensic-traces-per-target-identified-in-the-aftermath-of-the-revelations-of-pegasus-project/
Przeprowadzenie badania, czy smartfon został zaatakowany przez Pegasusa wymaga dość sporej wiedzy i w zasadzie nie może być ono wykonane przez użytkownika (nie dotyczy oczywiście specjalistów). Jeśli zachodzi podejrzenie o przeprowadzenie takiego ataku badanie powinno być przeprowadzone przez odpowiednie służby instytucji lub innej organizacji zatrudniającej użytkownika smartfonu – oczywiście we współpracy ze specjalistycznymi firmami.
Wydaje się, że wobec nowego rodzaj ataków, które w dużej części są organizowane przez instytucje państwowe celowe wydaje się zorganizowanie odpowiednich kanałów współpracy (zbliżonych do rozwiązań CERT), które zapewniłyby z jednej strony skuteczne ściganie terrorystów – a z drugiej zapewniłyby ochronę przez nadużywaniem metod cyber-inwigilacji przez służby specjalne. Nie należy się samooszukiwać – obecny system kontroli tych poczynań po prostu nie działa, a wypowiedzi prominentnych polityków mogą wzbudzać jedynie uśmiech politowania.
Co można więc zrobić samemu?
Po pierwsze konieczne jest wyzwolenie się od propagandowej opinii, że za powodzenie ataku odpowiedzialny jest użytkownik urządzenia. Do dziś mamy do czynienia z wieloma ostrzeżeniami propagowanymi np. na stronach banków: https://www.ludziesaniesamowici.pl/ . Właściwie za wszystkie możliwe naruszenia systemu bezpieczeństwa na tej stronie (i na innych stronach również) winą obciąża się użytkownika – brak jest jakichkolwiek ostrzeżeń o możliwości ataku, który nie wymaga akcji ze strony użytkownika – za to pełno reklam usług typu „blik”. Oczywiście ani słowa o coraz bardziej popularnych atakach na „Two-factor Authentication” (2FA) wykorzystujących dodatkowy kod przesyłany użytkownikowi na telefon komórkowy przez SMS – a przecież ostatnie doniesienia wskazują na możliwość stosunkowo łatwego przejęcia SMS z dodatkowym kodem uwierzytelniającym.
Rozwój komunikacji elektronicznej spowodował, że de-facto przeniesiono nas w świat Matrixa – nie ma już pieniędzy (są tylko zera i jedynki) na kontach, Bank czy inna „Instytucja finansowa” może udzielić kredytu w dowolnej wysokości w walucie, którą tak naprawdę nie dysponuje, kursy walut i warunki spłaty kredytu mogą ulec zmianie w ciągu jednej nocy, koszty życia można zwiększyć o kilkaset procent w ciągu tygodnia.
Życie w społeczeństwie polega na wzajemnym zaufaniu. Pomimo, że osiągnąłem już 74 lata życia chcę korzystać z usług telekomunikacyjnych. Ale moje zaufanie do Państwa coraz bardziej słabnie – mam ufać (jak sama nazwa wskazuje) w pieniądz fiducjarny, a nagle okazuje się że spadek jego wartości sięga już 10% miesiąc do miesiąca, mam ufać, że służby działają „Pro Publico Bono” – a jakoś dziwnie w lot odgadują nawet niewypowiedziane życzenia celebrytów władzy.
Oczywiście można wszystko zrzucić na „ciemny lud” oraz „wykluczonych cyfrowo”. Tylko, że ja mając 74 lata bez problemów przeszedłem wraz z sąsiadami emerytami test bezpieczeństwa ze strony https://www.ludziesaniesamowici.pl/ z wynikiem 100%. Proszę mi nie wciskać ciemnoty! Dziś p.Zybertowicz twierdzi, że Pegasus może prowadzić „inwigilację punktową” (czyli np. jednego numeru). Dla p.Zybertowicza możliwość podglądania użytkownika smartfona w sypialni (zarówno w kanale wizji jak i fonii) to nie jest „inwigilacja totalna” tylko punktowa – to dopiero przykład dialektyki stalinowskiej („To dla Waszego dobra, gospoda”)!
Nie mam złudzeń – nie będzie następnej akcji „Anty Acta” nie ma kto jej zainicjować, nikomu już się nie chce - nadzieja na lepszy Świat już nie żyje. Każdy myśli o tym, za co spłacić kredyt i czy mu starczy na życie. Rząd ówczesnego Premiera Tuska po kilku spotkaniach w URM, w których miałem okazję uczestniczyć wycofał się (niestety, tylko na chwilę) z tego pomysłu. Być może Pan Jarosław Kaczyński (mój równieśnik) przypomniał sobie te czasy i przyszła refleksja, że jednak „młode wilki prawicy” bawią się niebezpiecznie!
Co możemy zrobić w praktyce – po prostu ograniczyć korzystanie ze smartfonów jedynie do komunikacji prywatnej. Niech sobie funkcjonariusze z wypiekami na policzkach słuchają rozmów o tym, że „Antoni wiodąc Marię za rękę wprowadził ją w gęstwinę rododendronów” lub, że „Antek wciągnął Mańkę w krzaki”. Będzie mniej wygodnie, a przecież i tak informacje o każdej transakcji kartą czy innym blikiem w sklepiku typu "szwarc, mydło i powidło" będą dostępne w wielu miejscach. Ufamy im wszystkim? Jak myślicie, ile instytucji w Polsce ma dostęp do Waszych danych bankowych? Tajemnica bankowa - proszę mnie nie rozśmieszać! Płaćcie elektronicznie - "Wielki Brat" chce o Was wszystko wiedzieć. Precz z gotówką - ona jest anonimowa i niczego "Wielki Brat" łatwo się nie dowie. A to wszystko w imię walki z terrorystami!
O zabezpieczenie komunikacji polityków niech się martwią oni sami – i tak my wszyscy będziemy musieli za to zapłacić!
Nazywam się Tomasz Barbaszewski. Na Świat przyszedłem 76 lat temu wraz z nadejściem wiosny - była to wtedy niedziela. Potem było 25 lat z fizyką (doktorat z teoretycznej), a później drugie tyle z Xeniksem, Uniksem i Linuksem. Dziś jestem emerytem oraz bardzo dużym wdowcem! Nigdy nie korzystałem z MS Windows (tylko popróbowałem) - poważnie!
Poza tym - czwórka dzieci, już szóstka! wnucząt, dwa koty (schroniskowe dachowce), mnóstwo wspaniałych wspomnień i dużo czasu na czytanie i myślenie.
Nowości od blogera
Inne tematy w dziale Technologie