Szele Tamás: Sokféle Pegasusokról

Akkor ma beszéljünk kicsit a Pegasus-ügyről, éspedig nem azért, mert lenne valami fejlemény vele kapcsolatban, hanem ellenkezőleg, azért mert nincs. Nagyon nincs, gyanúsan nincs, fülsüketítő a csend körülötte, ha elő is kerül, mint a héten történt, annak nem lesz eredménye.

Amolyan feledésre ítélt, kínos üggyé kezd válni Magyarországon, bár a világ többi részén is ez a lehallgatásos-megfigyeléses történet, amiből rengeteg van. Ezek azok a csontvázak a szekrényekben, amelyek egyszer majd talán kidőlnek, de addigra már senkit sem fognak különösebben érdekelni, esetleg arra sem emlékszünk majd, miről is volt szó eredetileg. Nem egy és nem két „üggyel” jártam így életem folyamán: nagy munkával összeszedi az ember a fellelhető információkat, megírja, akár cikksorozatban is, elolvassák jó pár ezren, és utána – nem történik semmi. Ha újra ír róluk, megint elolvassák sokan és megint nem történik semmi. Ilyen volt kicsiben a Magyarok Felelős Nemzeti Kormányának története is: ezek az emberek nem most kezdtek halálos ítéleteket kimondani, az elsőket még tavaly júliusban láttam tőlük, akkor meg is írtam, de mivel a halállistán „csak” rendőrök, bírók, ügyészek, jogászok, gyámügyesek, hivatalnokok szerepeltek, senki sem törődött a dologgal. Ahogy politikusok kerültek a célkeresztbe, azonnal lépett a hatóság.

No, mindegy: lássuk, mi a helyzet a Pegasussal? Először is, a héten szóba került, mert az Európai Parlament állampolgári jogi, bel- és igazságügyi (LIBE) bizottsága Magyarországra küldött tényfeltáró delegációja érdeklődött felőle Varga Juditnál, ezt főleg Donáth Anna szorgalmazta volt – de végül csak annyit mondott a bizottság, hogy ők érdemi választ nem kaptak a kérdéseikre, az illetékes tárcavezetők (esetünkben többek között Varga Judit) azt mondták, a parlament illetékes bizottságát már tájékoztatták, többet nem áll módjukban közölni a kémszoftverről. Szóval nesze semmi, fogd meg jól, ugyanis az illetékes bizottság esetünkben a nemzetbiztonsági, az meg titkosított mindent sok-sok évre. Bár kormányváltás esetén ez a titkosítás feloldható.

Azonban hajlamosak vagyunk úgy gondolni, hogy csak a Pegasus van a világon, más kémszoftvereket be sem vetnek, pedig hát pár nappal a Pegasus-botrány előtt tört ki a Candiru-botrány is, csak annak nem volt szinte semmi visszhangja. A Candiru nagyjából ugyanazt tudta, mint a Pegasus, csak ritkábban használták, de azért megvette Magyarország, ahogyan Oroszország, Üzbegisztán, Izrael, Szaúd-Arábia, Katar, Indonézia és Szingapúr nemkülönben: de a fejlesztő cég tulajdonosi háttere is komoly átfedéseket mutat a Pegasust készítő NSO cégével. Tulajdonképpen nagyon hasonló cyberfegyverekről van szó. A Pegasus körül nagy a csend, de a Candiruval kapcsolatban az izraeli Haaretz ma délelőtt érdekes hírekkel szolgált:

Az izraeli Candiru fejlett kémprogramját fedezték fel orosz, török és palesztin számítógépeken

Az izraeli cég az új jelentésében az ESET kiberbiztonsági vállalat szerint a célzott rosszindulatú szoftvereket olyan ügyfeleknek értékesíti, akik újságírók, másként gondolkodók és mások után kémkednek vele.

A tel-avivi székhelyű Candiru hackereszközöket gyártó cég által készített kémprogramot találtak több európai és közel-keleti számítógépen – jelentette az ESET kiberbiztonsági cég.

Szeptemberi jelentésében az ESET azt írta, hogy a Citizen Lab és a Microsoft Threat Intelligence Center által júliusban a Candiru DevilsTongue nevű rosszindulatú szoftveréről közzétett kutatás szerint azt „harmadik feleknek értékesítik, akik visszaélhetnek vele, hogy különböző áldozatok, köztük emberi jogi aktivisták, másként gondolkodók, újságírók, aktivisták és politikusok után kémkedjenek”.

Az ESET kutatói a jelentés szerint „DevilsTongue malware-re utaló jeleket fedeztek fel telemetriai adatainkban, amelyek körülbelül 10 számítógépet érintettek” Albániában, Oroszországban és a Közel-Keleten. A rosszindulatú szoftvereket Izraelben, a palesztin területeken, Törökországban és a régió más részein is megtalálták.

Azt is megállapítja, hogy minden egyes DevilsTongue áldozat, amelyet azonosítottak, egyedi mintával rendelkezett, amely az adott áldozatra jellemző PE-erőforrásokat tartalmazott.” (Haaretz)




Mit jelent ez? Azt hogy ha a kis toolkitünkkel, digitális szerszámos ládánkkal Pegasust keresünk a rendszereinkben és nem találjuk nyomát sem, nem nyugodhatunk meg: ettől még vígan figyelhetnek minket Candiruval, a két szoftver rokon ugyan, de nem azonos, ami az egyiket kimutatja, nem mutatja ki a másikat.

De olyan nagy baj, ha figyelik az embert? Igen, olyan nagy baj, akkor is az, ha nem művel semmi törvénytelent: maga a megfigyelés a törvénytelen. Csakhogy bekövetkezhet sokkal rosszabb is ennél. Ha például nem csak visznek tőlünk adatokat, hanem hoznak is. Az Átlátszó tényfeltáró blogja kiváló interjút közölt nemrég Iftach Ian Amittal, aki pályája kezdetén hivatásos hackerként kereste a biztonsági réseket cégek védelmi rendszerében. Jelenleg a Cimpress nevű cég biztonsági főigazgatója, korábban több nagy nemzetközi cégnél is dolgozott biztonságért felelős vezetőként (Amazon AWS , ZeroFOX , IOActive, Aladdin, stb.). Minden szava fontos, én csak egy részletét idézném a beszélgetésnek:



„– Minden, amihez valaha is „hozzáértél”, rögzítésre kerül az okostelefon SIM-kártyáján. Nem igazán számít, hogy titkosítod-e a kommunikációdat, ott minden tárolva van. A nagy országok által kifejlesztett egyedi eszközök talán a technikai részletekben különböznek egy kicsit. A kormányok mindenütt szorosan együttműködhetnek az adott ország távközlési vállalataival és infrastruktúra-szolgáltatóival. De nem kell bajlódniuk a telefonvonalak lehallgatásával, mert egyenesen a telefonokat célozzák meg. És akár bizonyítékokat is elhelyezhetnek ott.

Ilyen gyakran előfordul?

Igen, abszolút. Abban az időben, amikor ezen a területen dolgoztam, ez volt az ügyfelek egyik igénye: nem csak az információk kinyerése, hanem azok elhelyezése is. Ez része e programok funkciókészletének. Könnyebb megindokolni, hogy valaki megfigyelési célpont legyen, miután valamilyen bizonyítékot helyeztek el a készülékén. Nem könnyű egy ilyen esetben a célszemélynek tisztáznia magát, ha rendőrség feloldja a telefonját, és gyermekpornót, hamis dokumentumokat stb. talál, amiről csak a meggyanúsított személy tudja, hogy az öt perccel korábban még nem volt ott.” (Átlátszó)




Szóval, ha nincs sár, hoznak magukkal, hogy bekenjék vele a célszemélyt. Ez viszont már valóban sokkoló. És erre alkalmas a Pegasus is, alkalmas a Candiru is – de más szoftverek szintén. Az a helyzet, kérem, hogy mi most csak a piac alsó-középső szegmensét látjuk. Azokat az államokat, amelyek nem képesek maguk kémszoftvereket, cyberfegyvereket fejleszteni, és ezért a részben izraeli, részben más bázisú kémprogram-szolgáltatók termékeire szorulnak. A valódi nagyhatalmak saját eszközöket fejlesztettek ki, amelyek működéséről fogalmunk sincs, nem is lehet, hiszen adatszivárgás csak a Pegasus-Candiru páros esetében történt, az igazi nagy halakat nem látjuk.

Sőt, ez a kisebb, alsó középosztálybeli államokat kiszolgáló iparág sem állt le a botrány hatására, ellenkezőleg: felpezsdült az üzlet! Még régi szereplők is előkerültek, hiszen világos: ahol lebuktak a két ismertté vált eszközzel, ott sürgősen szükség mutatkozott valamilyen más, kevésbé felismerhető kémprogramra. Valószínűleg ennek köszönhető, hogy, mint az IT Café írja:

Bővült a FinFisher kémprogram arzenálja

A FinFisher (más néven FinSpy vagy Wingbird) egy felügyeleti eszköz, amelyet a Kaspersky már 2011 óta figyel.

A program képes a különféle hitelesítési adatok, fájllisták és törölt fájlok, valamint különféle dokumentumok, élő streamek vagy felvételek adatainak begyűjtésére, és hozzá tud férni a webkamerához és a mikrofonhoz. A Windowsba beépülő elemeit többször is észlelték és kutatták egészen 2018-ig, amikor is a FinFisher eltűnni látszott a radarról.” (IT Café)





Itt álljunk meg egy pillanatra: Igen, a FinFisher-FinSpy volt az az első komolyabb, még 2014-ben beszerzett kémprogram, ami meglehetős botrányt váltott ki, ugyanis annak idején megvásárolta a magyar állam, de nem boldogult vele. Már a telepítésnél gondok mutatkoztak, ezen kívül felismerte az AVAST vírusirtó, a Google Drive beépített vírusirtója, de még a Microsoft Essentials is. Addig ügyetlenkedett a Nemzetbiztonsági Szakszolgálat (a megfigyelések most is az ő hatáskörükbe tartoznak), hogy a végén fel kellett adni a kísérletet. Ennek is volt azonban elődje, a magyar fejlesztésű és állítólag bűnüldözési célú BONGO integrált monitoring rendszer, „mely a nemzetbiztonsági és bűnüldözési szervek tevékenységét a távközlési és informatikai kommunikáció, adatforgalom megfigyelése útján támogatja”. Erről egyetlen részletesebb írás férhető hozzá a magyar sajtóban, az Index foglalkozott vele még 2010-ben, ezen kívül semmit sem tudunk róla. De térjünk vissza a FinFisherhez, amivel a mi fiaink már megégették volt magukat.

Ezt követően a Kaspersky megoldásai gyanús telepítőprogramokat találtak, amelyek legális alkalmazások – pl. a TeamViewer, a VLC Media Player és a WinRAR – telepítői voltak, és olyan rosszindulatú kódot tartalmaztak, amely semmilyen ismert malware-hez nem volt köthető. Aztán egy napon találtak egy burmai nyelvű weboldalt, ahol fenn voltak a fertőzött telepítőprogramok és a FinFisher androidos változatának példányai, így sikerült megállapítani, hogy mindegyiket ugyanaz a kémprogram fertőzte meg trójai vírussal. (…) „Különösen aggasztó, ugyanakkor bizonyos fokig impresszív is, mennyi energiát fordítottak arra, hogy a FinFisher ne legyen hozzáférhető a biztonsági kutatók számára. Úgy tűnik, hogy a fejlesztők legalább annyi munkát fektettek az obfuszkációba és az anti-analízis eljárásokba, mint magába a trójai vírusba. Ennélfogva ezt a kémprogramot az észlelést és az elemzést kikerülni tudó képessége miatt különösen nehéz nyomon követni és észlelni.” – fejtette ki Igor Kuznyecov, a Kaspersky globális kutató és elemző csapatának vezető biztonsági kutatója.” (IT Café)





Az ám, csakhogy 2018-ban meg a Kasperskyt vádolták azzal, hogy a termékeik segítségével amerikai ügynökök ellen kémkedtek, sőt, az Egyesült Államokban a kormányzat el is tiltotta a kormányzati szervezeteket a Kapsersky cég bármely szoftverének használatától… szóval a vállalat vagy ártatlan, és a merő szívjóság vitte rá, hogy lebuktassa félig-meddig a csúnya-rossz FinFishert, vagy nem ártatlan, és akkor a saját piacát, vevőkörét védte a kisebb, de agresszívan terjeszkedő konkurenciától.

Ezen a területen a jelek szerint senki sem ártatlan, és valószínűleg el fogunk jutni oda, hogy mindenki, akárki és bárki megfigyelhető lesz bármely vélt, valós vagy hamis indok alapján. Sőt, szükség és igény esetén azért is büntethetőek leszünk, amihez soha semmi közünk nem volt.

Pegasus? Ugyan már. Az csak a jéghegy csúcsa.

Az igazán hatalmas, éles szirtek, amik a Titanic acélbordáit is képesek felszakítani, a felszín alatt vannak.


Oszd meg másokkal is!