IT expert a etický hacker Tomáš Zaťko. Zdroj: archív Tomáša Zaťka

Ani zabezpečené komunikačné aplikácie a obozretnosť vás nemusia ochrániť pred odpočúvaním. IT expert a etický hacker Tomáš Zaťko v rozhovore pre Štandard opisuje, ako sa špionážny softvér Pegasus dostal do mobilu aj bez vedomia používateľa. V 50 štátoch sveta ho vlády použili na sledovanie novinárov, disidentov a politických oponentov. Tomáš Zaťko tento softvér považuje za eticky neprijateľný. Priznáva, že niektoré ponuky už z etických dôvodov odmietol.

Aktuálne sme svedkami odpočúvacej či sledovacej aféry Pegasus. Odpočúvanie softvérom Pegasus vraj bolo neviditeľné. Ako teda zistiť, že nás niekto sleduje?

Je to ťažké a čím ďalej ťažšie. V prípade tohto softvéru to väčšina ľudí nemá šancu zistiť, je to možné až vďaka špecializovaným nástrojom, ktoré preniknú cez ochranné prvky operačných systémov v mobiloch. Tie bežnému používateľovi poskytujú len obmedzený prístup k telefónu, nevidí do operačného systému a nemá prístup k všetkým dátam. Ponúka mu takzvané pieskovisko (z anglického sandbox), čo je kľúčová časť bezpečnosti systému. Softvér Pegasus funguje tak, že zaútočí na softvérový komponent a v podstate ho hackne. V prvej fáze napríklad príde nejaká SMS správa (v prípade iPhonov iMessage), ktorá zaútočí na nejakú knižnicu v mobile. V druhej fáze sa softvér dostane von z „pieskoviska“ a získa plnú kontrolu nad operačným systémom, teda oveľa väčšiu ako má používateľ.

Softvér Pegasus od izraelskej firmy NSO umožňuje takmer nezistiteľne na diaľku napadnúť akýkoľvek telefón. Poznáme phishing, ktorému sa však dá vyhnúť, keď je človek opatrný. Zaznamenal som, že stačilo otvoriť nevyžiadanú správu na WhatsAppe.

Softvér od Pegasusu sa stále vyvíja. Ja opíšem, ako to fungovalo pri tých aktuálnych útokoch [odohrali sa v rokoch 2016 – 2019, pozn. red.], pred rokom to možno fungovalo inak a o dva roky to bude zas inak. Ak sa Apple alebo Microsoft dozvie, že má v systéme nejaké diery, opravuje ich a firmy ako NSO zas už majú nejaké nové metódy, ako zabezpečenie obísť, alebo ich začnú hľadať.

Spyware údajne mohol infikovať telefón aj bez pričinenia používateľa. Ako je to možné?

Keď vám prišla správa, vôbec nebolo potrebné, aby ste si ju otvorili. Telefón si sám načítava tú správu a rozmení si ju na drobné. Zisťuje, či je v nej text, obrázky, uloží si ju niekam a podobne. Toto sa deje oveľa skôr, ako vytiahnete mobil z vrecka. Infekcia sa deje už v tejto fáze. Nemáte teda šancu ako používateľ jednoducho prísť na to, že máte ten softvér v telefóne. Neexistuje aplikácia, ktorá by sa dokázala pozrieť mimo svojho „pieskoviska“ a zistiť v operačnom systéme, či bol terčom útoku. Dá sa to zistiť len pomocou analytických nástrojov, ktoré ale takisto používajú nejaké hackerské metódy. Rovnako postupuje aj polícia. Je to na druhej strane logické, pretože ak by bolo možné jednoducho sa dostať do operačného systému, bol by veľmi zraniteľný.

Prečo majú operačné systémy také vážne chyby? Je to spôsobené jednoducho ľudskou chybou pri programovaní, či sú zadné dvierka zámernou poistkou napríklad pre bezpečnostné zložky?

Musíme rozlišovať „backdoory“ a zraniteľnosti. Backdoory sú vyslovene určené na to, aby sa systému niekto dostal. Potom sú zraniteľnosti. Vašu otázku by som trochu zmenil: sú v telefónoch zámerne ponechané zraniteľnosti, ktoré môžu slúžiť ako backdoory?

Softvér programujú ľudia, môžu spraviť chybu a tie sa dajú zneužiť. Máte pravdu v tom, že už 30 rokov tu máme veľkú diskusiu o tom, či sú niektoré chyby v systémoch zámerné. Jednoduchá odpoveď znie – niektoré áno, niektoré nie.

V Austrálii nedávno schválili zákon, ktorý zamestnancovi IT firmy prikazuje, že keď za ním príde polícia, musí s ňou spolupracovať – napríklad vytvoriť backdoor – a nesmie to povedať zamestnávateľovi. Asi by taký zákon neprijímali, keby ho nechceli využívať. Ale chyby sú aj výsledkom ľudského faktoru a mnohé z nich sú naozaj nechcené a neúmyselné.

Vieme povedať, či firma NSO využívala tie ľudské chyby, alebo skôr hľadala cesty, ako prekonať zabezpečenie?

Využívali veľké množstvo rôznych chýb, odkedy existujú. Väčšia časť asi boli tie ľudské chyby v kóde.

Padol mýtus o skvelom zabezpečení iPhonov oproti telefónom s Androidom. V aktuálnom prípade sa ukazuje, že softvér prenikol aj do týchto mobilov.

(viac…)
Zdieľať

To najlepšie
zo Štandardu

Štandard

Prihláste sa na odber
najlepších článkov týždňa
na denníku štandard.