Dušan DINGARAC

1. avgust 2021.

Osamnaestog jula objavljena je najveća afera o sajber prisluškivanju još od 2013. godine i svedočenja Edvarda Snoudena. Pre osam godina, dobili smo informacije o alatkama za masovni nadzor, a sada o sofisticiranom alatu za ciljano pojedinačno praćenje.

U ljudskoj istoriji prisluškivanje i praćenje nije ništa novo. Vremenom su se metode usavršavale, a razvoj tehnologije omogućio je veliki napredak u svim načinima prisluškivanja i praćenja. Prvobitno presretanje pisanih poruka onemogućavano je njihovim šifrovanjem. Fizičko praćenje je do danas ostalo nezamenjivo. Telekomunikacije, prvo kroz telefoniju, donele su nova pravila igre i od tada se prisluskivanje vršilo u centralama, daleko od sagovornika. No, sve te metode su do pred kraj dvadesetog veka bile poprilično zahtevne, jer su morali da ih sprovode ljudi. Setimo se jednog od primera, a reč je o Istočnoj Nemačkoj, gde je gotovo polovina odraslog stanovništva sarađivala sa državnom službom i pratila i prisluškivala drugu polovinu građana. Ovaj primer je više fenomen, nego što može da se primeni na druge delove sveta, ali su sve mere prisluškivanja, zapravo, bile skupe zbog angažovanja ljudskih resursa.

A onda je krajem dvadesetog veka, sa razvojem računarske tehnologije, postalo jako jeftino snimati veliki broj telefonskih razgovora, a ubrzo je postalo moguće vršiti pretragu tih razgovora po ključnim rečima. Vidovi elektronske komunikacije su se proširili putem interneta na e-mail, instant poruke i glasovne pozive. Ponovo je u igri šifrovanje tih vidova komunikacije, ali sada na znatno višem nivou. A onda su došli na red pametni mobilni telefoni. Uređaji koji su gotovo uvek uz objekat praćenja, sa kojih objekat vrši sve vidove komunikacije, poseduju GPS prijemnik, mikrofon i kamere. No, ovi uređaji imaju razne nivoe zaštite, pa ne predstavljaju trivijalan zalogaj za špijuniranje korisnika. Nekako bi najlakše bilo da se korisniku „gleda preko ramena” dok koristi svoj uređaj, tj. da se preuzme kontrola nad njim. Razni spyware i slični programi poznati su nam već sa računara, a unifikacija sveta pametnih telefona na dva operativna sistema pojednostavljuje stvari.

Projekat Pegaz

Francuska neprofitna organizacija Zabranjene priče (forbiddenstories.org), koja radi pod motom „Da nastavi i objavi rad novinara koji su suočeni sa pretnjama, oterani na robiju ili ubijeni”, vodi projekat Pegaz. Naime, ova organizacija došla je u posed spiska od preko pedeset hiljada telefonskih brojeva koji su, navodno, bili napadnuti softverom Pegaz, Izraelske kompanije NSO Group, od 2016. godine do danas. Inače, pomenuti softver se prodaje službama bezbednosti vlada raznih zemalja, ali uz odobrenje vlade Izraela. Njegova namena je da se infiltrira u pametni telefon (Android i iOS) u kome se „nalazi” određeni telefonski broj koji bira kupac Pegaza i da mu šalje sve što se dešava na telefonu, od komunikacije, preko lokacije, pristup imeniku, kalendaru, mikrofonu i kameri.

Zabranjene priče istražile su spisak i našle preko 180 novinara i 85 boraca za ljudska prava, mada se kasnije ispostavilo da je na spisku bilo i šefova država i mnogih visokorangiranih ličnosti u raznim zemljama. Zato su celu priču bazirali na problemu novinara i gušenju slobode štampe i demokratije. U projekat su uključili šesnaest medijskih kuća iz više zemalja, a tehničku podršku dala je bezbednosna laboratorija Amnesty Internationala uz pomoć Citizen Lab, istraživačke grupe na Univerzitetu u Torontu, koja se već dugi niz godina bavi sličnim softverom i ima dugogodišnje iskustvo u detektovanju Pegaza.

Za potrebe projekta uspeli su da fizički pribave 67 smart telefona sa liste. Od tog broja, njih 23 su bili zaraženi Pegazom, a na 14 su vidljivi tragovi pokušaja ulaska u sistem. Preostalih trideset aparata nisu uspeli da povežu sa Pegazom, jer su neki aparati zamenjeni u međuvremenu i zato što Android uredjaji ne loguju neke operacije koje Pegaz radi. Ipak, na tri Android telefona nađene su SMS poruke povezane sa Pegazom.

Pored spiska, očigledno je da su dobijene još neke informacije, jer su na osnovu njih došli do podataka da su kupci Pegaza između ostalih iz Ruande, Mađarske, Maroka, Indije, Azerbejdžana, Bahreina, Kazahstana, Meksika, Ujedinjenih Arapskih Emirata i Saudijske Arabije. Prve četiri zemlje su demantovale upotrebu ovog softvera, dok preostale nisu odgovorile na upite novinara.

Među brojevima telefona sa spiska nalazi se više bivših predsednika vlada i ministara, članovi vladajuće porodice jedne zemlje, nekoliko novinara koji su ubijeni i njima bliski ljudi, Pavel Durov, kreator Telegrama, ali je najveću pažnju izazvalo pojavljivanje Emanuela Makrona, predsednika Francuske. Njega su, navodno, prisluškivali Marokanci. Francuska je pokrenula nekoliko istraga, a predsednik je promenio pametni telefon i broj telefona.

Ubrzo je usledio odgovor NSO grupe preko njihovih advokata. NSO poriče da je pomenuti spisak autentičan i da oni nisu imali toliki broj „ciljeva”. Takođe, poriču da imaju servere na Kipru, odakle je navodno spisak „iscureo”. Oni nemaju uvid u akcije svojih kupaca, za koje kažu da ih ima oko šezdeset u četrdeset zemalja, ali i da revidiraju kome neće prodati Pegaz zbog kršenja pravila. Dešavalo se da čak nekim kupcima ukinu korišćenje sistema nakon višestrukih kršenja pravila. NSO trenutno na spisku ima 55 zemalja kojima neće prodati Pegaz. Inače, NSO ističe da je Pegaz alat za borbu protiv terorističkih napada, masovnih ubistava u pucnjavama, automobila bombi i bombaša samoubica. Takođe, njihove tehnologije svakodnevno se koriste za razbijanje lanaca pedofilije, seksualnog i narko trafkinga, nalaženje nestale i kidnapovane dece, lociranje preživelih u ruševinama, kao i zaštitu vazdušnog prostora od napada komercijalnih dronova (proizvod pod nazivom Eclipse). Nakon nekoliko dana, NSO je izdala finalno saopštenje da više neće izlaziti u javnost po pitanju Pegaza, jer je u pitanju hajka specijalne interesne grupe za diskreditovanje ove kompanije.

Najnapredniji softver

Prema nekim izvorima, cena Pegaza za paket od deset „ciljeva” iznosi bar pola miliona dolara. Pročitavši sve što smo do sada izneli, čitalac može da poveruje jednoj ili drugoj strani, ali istina je verovatno negde između. Da, NSO grupa prodaje Pegaz, sarađuje sa raznim, vladama, sa nekima jer je u pitanju diplomatski interes Vlade Izraela, tako da se ne mogu u potpunosti kriviti za sve svoje klijente i njihove poteze.

No, zbog čega je ovaj softver tako zanimljiv? Sigurno postoje još neke kompanije u svetu koje prave slične stvari i prodaju ih sličnom segmentu kupaca. Pegaz je zanimljiv, jer je najbolji na tržištu. Prvi moderni pametni telefoni pojavili su se 2008. godine sa predstavljanjem iPhonea. Već dve godine kasnije, zabeleženi su prvi pokušaji infiltriranja u ove uređaje. Oni su bili slični tehnologijama koje se koriste kod računara, putem e-maila i fišing tehnikama. Naime, korisnik dobije neku poruku (SMS, e-mail) i u njoj dobije neki link na koji treba da klikne da bi se njegov telefon zarazio spyware softverom. No, vremenom su se tehnike usavršavale i NSO je tu prednjačio, jer je jedini razvijao tehnologiju koja će omogućiti infiltraciju spyware programa u telefon bez potrebe da korisnik preduzme bilo kakvu radnju (tzv. Zero click).

Način na koji su postigli ove vidove infiltracije u iOS i Android leži u neotkrivenim bagovima operativnih sistema telefona, koji nisu poznati proizvođačima operativnih sistema (tzv. Zero Day Exploit). NSO je išao i dalje, koristeći ovakve bugove kod popularnih aplikacija, poput WhatsAppa, za koje postoje dokazi da su ih koristili. Sve dok se neki od tih bugova ne popravi updejtom operativnog sistema (a to kod Androida nije baš dobro uređeno, za razliku od iOS-a) ili novom verzijom aplikacije, Pegaz može da ga koristi za infiltritanje u telefon. A, često pre nego što se popravi određeni bug, već se nađe neki novi koji onda može da bude nova ulaznica za Pegaz. Ovakvim bagovima se trguje na Dark Netu, ali i same kompanije poput NSO ih pronalaze i čuvaju za ugradnju u sopstvene programe, poput Pegaza.

Kako to izgleda u praksi? U najsofisticiranijim slučajevima korisnik ništa ne primeti i Pegaz mu se useli u telefon. U drugim slučajevima, bilo je dovoljno primiti SMS ili poziv sa nepoznetog broja na koji ne morate da odgovorite. Pominje se da je na iOS telefonima jedno vreme korišćen bag u aplikaciji iMessage. Tu i tamo se pominju i razne tehnologije infiltritanja u telefon putem raznih blizinskih tehnologija (Bluetooth, NFC...) ali i klasična instalacija kada neko nakratko bude u fizičkom posedu otključanog telefona.

NSO je bio pionir na polju zero click infiltracije u telefone, ali je dosta radio na sakrivanju aplikacije u telefonima. Kod Android telefona došli su do stadijuma da se Pegaz useli u vaš telefon i da svoju funkciju obavlja u potpunosti u radnoj memoriji, bez pisanja po fleš memoriji telefona. Na taj način program živi u telefonu sve do njegovog gašenja, odnosno, restarta, a Pegaz tada ponovo pokušava infiltraciju. Zanimljiv je opis jednog stručnjaka koji je rekao da kada Pegaz ili sličan program uđe u vaš telefon, on ima viša prava za rad na uređaju nego sam korisnik telefona, jer ulazi u niže sistemske slojeve (kao da je aparat rootovan, odnosno, jailbreakovan).

Uz tehnološku nadmoć Pegaza i podršku izraelske države, NSO se relativno brzo probio na tržištu, pretekavši konkurenciju (npr. italijanski Hacking Team). Jedan od prvih većih poslova bio je sa Meksikom. Sa njima je prvi posao iznosio čak 32 milona američkih dolara, dok je prethodno konkurencija iz Italije prodavala svojih programa i usluga za više stotina hiljada dolara. Sama istorija nastanka NSO grupe seže dvadesetak godina unazad, kada su dvojca Izraelaca pokrenula jedan, pa drugi startap koji je propao tokom krize 2008. godine. Tada su pokrenuli firmu iz koje je nastao NSO Group, priključio im se još jedan čovek, koji je radio u Izrelskim bezbednosnim strukturama i upravo se on bavio tehnologijom, a prva dva momka biznisom. Sedamdeset odsto firme su 2014. godine prodali investitoru Francisco Partners za 120 miliona dolara, pa su je povratili uz pomoć drugog fonda, Novalpina (čiji je osnivač European venture capitalists) za 850 milona dolara. Tokom 2020. godine, NSO grupa zapošljavala je preko 750 ljudi, od kojih su preko petsto radili u razvoju.

Zanimljivo je možda pomenuti da je nekoliko dana nakon objavljivanja afere, AWS pogasio sve naloge koji su bili u vezi sa NSO grupom. Još jedna zanimljiva sitnica je da Pegaz ne može da napada brojeve u SAD, iako ih je bilo na pomenutom spisku. Verovatno je u pitanju neobaveštenost operatera na strani kupca, jer su se na spisku našli čak i neki brojevi fiksnih telefona u SAD.

Da li je NSO žrtveno jagnje nekih interesnih grupa? Da li i drugi imaju slične alatke? Odgovor je da ovakve alatke imaju i drugi, pre svega, SAD, ali da je Pegaz možda najbolji od onih koji se nude na tržištu. Možda SAD ne prodaje ovakve alatke drugima, već ih koristi za svoje potrebe. Zbog svih tih činjenica, NSO grupa sa svojim Pegazom dospela je u središte ovog skandala.

Ako ste zabrinuti da li ste slučajno imali čast da budete „cilj” Pegaza, možete da pregledajte svoj uredjaj prema uputstvu Amnesty International laboratorije (i.sk.rs/358082). Imajte na umu da u Android telefonima ne mora biti tragova i podsetite se da je licenca za jedan target bar 50 hiljada dolara. Pa ako ste nekome baš toliko bitni, onda se ozbiljno zabrinite za svoju bezbednost.

• • •

Kako se zaštititi od ovakvih napada? Na prvi pogled, odgovor je - nikako. No, korišćenjem telefona koji nisu podložni ovakvim napadima (stari feature telefoni, telefoni koji su retki na tržištu, poput Linux telefona, npr. PinePhone koji ima hardverske mikroprekidače za kontrolu LTE, kamera, WiFi/BT i mikrofona) i diversifikacijom komunikacije na različite uređaje i segmentiranje ljudi i prilagođavanje komunikacije. Prema tome, možete se umnogome zaštititi.

Naravno, ponovimo to još jednom, komfor korisnika i bezbednost su dve oprečne stvari. Ako želite da imate pametni telefon kao centar svojih komunikacija sa svim kontaktima, onda vam niko ne može garantovati zaštitu. Ako ste spremni na kompromise, razmotrite sve alternative i pronađite optimalni set za komunikaciju.