Ani zabezpečené komunikačné aplikácie a obozretnosť vás nemusia ochrániť pred odpočúvaním. IT expert a etický hacker Tomáš Zaťko v rozhovore pre Štandard opisuje, ako sa špionážny softvér Pegasus dostal do mobilu aj bez vedomia používateľa. V 50 štátoch sveta ho vlády použili na sledovanie novinárov, disidentov a politických oponentov. Tomáš Zaťko tento softvér považuje za eticky neprijateľný. Priznáva, že niektoré ponuky už z etických dôvodov odmietol.
Aktuálne sme svedkami odpočúvacej či sledovacej aféry Pegasus. Odpočúvanie softvérom Pegasus vraj bolo neviditeľné. Ako teda zistiť, že nás niekto sleduje?
Je to ťažké a čím ďalej ťažšie. V prípade tohto softvéru to väčšina ľudí nemá šancu zistiť, je to možné až vďaka špecializovaným nástrojom, ktoré preniknú cez ochranné prvky operačných systémov v mobiloch. Tie bežnému používateľovi poskytujú len obmedzený prístup k telefónu, nevidí do operačného systému a nemá prístup k všetkým dátam. Ponúka mu takzvané pieskovisko (z anglického sandbox), čo je kľúčová časť bezpečnosti systému. Softvér Pegasus funguje tak, že zaútočí na softvérový komponent a v podstate ho hackne. V prvej fáze napríklad príde nejaká SMS správa (v prípade iPhonov iMessage), ktorá zaútočí na nejakú knižnicu v mobile. V druhej fáze sa softvér dostane von z „pieskoviska“ a získa plnú kontrolu nad operačným systémom, teda oveľa väčšiu ako má používateľ.
Softvér Pegasus od izraelskej firmy NSO umožňuje takmer nezistiteľne na diaľku napadnúť akýkoľvek telefón. Poznáme phishing, ktorému sa však dá vyhnúť, keď je človek opatrný. Zaznamenal som, že stačilo otvoriť nevyžiadanú správu na WhatsAppe.
Softvér od Pegasusu sa stále vyvíja. Ja opíšem, ako to fungovalo pri tých aktuálnych útokoch [odohrali sa v rokoch 2016 – 2019, pozn. red.], pred rokom to možno fungovalo inak a o dva roky to bude zas inak. Ak sa Apple alebo Microsoft dozvie, že má v systéme nejaké diery, opravuje ich a firmy ako NSO zas už majú nejaké nové metódy, ako zabezpečenie obísť, alebo ich začnú hľadať.
Spyware údajne mohol infikovať telefón aj bez pričinenia používateľa. Ako je to možné?
Keď vám prišla správa, vôbec nebolo potrebné, aby ste si ju otvorili. Telefón si sám načítava tú správu a rozmení si ju na drobné. Zisťuje, či je v nej text, obrázky, uloží si ju niekam a podobne. Toto sa deje oveľa skôr, ako vytiahnete mobil z vrecka. Infekcia sa deje už v tejto fáze. Nemáte teda šancu ako používateľ jednoducho prísť na to, že máte ten softvér v telefóne. Neexistuje aplikácia, ktorá by sa dokázala pozrieť mimo svojho „pieskoviska“ a zistiť v operačnom systéme, či bol terčom útoku. Dá sa to zistiť len pomocou analytických nástrojov, ktoré ale takisto používajú nejaké hackerské metódy. Rovnako postupuje aj polícia. Je to na druhej strane logické, pretože ak by bolo možné jednoducho sa dostať do operačného systému, bol by veľmi zraniteľný.
Prečo majú operačné systémy také vážne chyby? Je to spôsobené jednoducho ľudskou chybou pri programovaní, či sú zadné dvierka zámernou poistkou napríklad pre bezpečnostné zložky?
Musíme rozlišovať „backdoory“ a zraniteľnosti. Backdoory sú vyslovene určené na to, aby sa systému niekto dostal. Potom sú zraniteľnosti. Vašu otázku by som trochu zmenil: sú v telefónoch zámerne ponechané zraniteľnosti, ktoré môžu slúžiť ako backdoory?
Softvér programujú ľudia, môžu spraviť chybu a tie sa dajú zneužiť. Máte pravdu v tom, že už 30 rokov tu máme veľkú diskusiu o tom, či sú niektoré chyby v systémoch zámerné. Jednoduchá odpoveď znie – niektoré áno, niektoré nie.
V Austrálii nedávno schválili zákon, ktorý zamestnancovi IT firmy prikazuje, že keď za ním príde polícia, musí s ňou spolupracovať – napríklad vytvoriť backdoor – a nesmie to povedať zamestnávateľovi. Asi by taký zákon neprijímali, keby ho nechceli využívať. Ale chyby sú aj výsledkom ľudského faktoru a mnohé z nich sú naozaj nechcené a neúmyselné.
Vieme povedať, či firma NSO využívala tie ľudské chyby, alebo skôr hľadala cesty, ako prekonať zabezpečenie?
Využívali veľké množstvo rôznych chýb, odkedy existujú. Väčšia časť asi boli tie ľudské chyby v kóde.
Padol mýtus o skvelom zabezpečení iPhonov oproti telefónom s Androidom. V aktuálnom prípade sa ukazuje, že softvér prenikol aj do týchto mobilov.
Situácia sa zmenila a iPhone už na tom nie je o toľko lepšie oproti konkurencii ako v minulosti. Záleží, o akom používateľovi hovoríme. Keby som mal odporučiť mobil pre bežného používateľa, napríklad pre moju mamu, navrhnem jej iPhone. Bežnému hackerovi sa ťažšie útočí na iPhone ako na iné telefóny. Pri exponovaných osobách, ktoré sú terčom hackerských expertov, je to jedno.
Pegasus vytvorila firma NSO Group blízka izraelským tajným službám. Firma sa bráni, že si vyberá, komu softvér poskytne a slúži len na boj proti zločinu a terorizmu. Rovnako odmieta, že by sa program systematicky zneužíval na odpočúvanie novinárov, aktivistov a politikov. Napriek tomu sa dostal do rúk rôznym diktátorom a autokratom v Ázii, Afrike, ale používať ho mala aj maďarská vláda. Kde sú etické limity pri vývoji podobného softvéru?
Tie limity si každý nastavuje sám. Pre mňa je to neetické. Ja by som takýto nástroj vyvíjať nechcel. Ak ho raz vytvorím a niekomu sprístupním, nedokážem ovplyvniť, ako ho používa. Môžeme špekulovať, či nejde o marketingový príbeh, ktorým sa snažia ukázať, že softvér nepredávajú hocikomu. Nie je v poriadku, ak sa odpočúvajú novinári a disidenti.
Dostali ste sa už do situácie, že ste ako majiteľ IT firmy odmietli nejakú dodávku z etických dôvodov?
Áno.
Je to časté, alebo skôr výnimočné?
Rozdelil by som to na dve kategórie. Často sa mňa obracajú jednotlivci, ktorí chcú hacknúť napríklad Facebook konto manželky, lebo sa boja, že ich podvádza. Píšu takmer každý mesiac. Zhruba raz ročne príde už profesionálna požiadavka, ktorú si vypočujem, vyhodnotím, ale odmietnem, pretože sa s ňou eticky nestotožňujem.
V súčasnosti vidíme, že ľudia veria rôznym konšpiráciám, napríklad o komplote farmaceutických firiem, účelovom vyvolaní pandémie a podobne. Niektorí vidia podobný komplot aj pri IT firmách, ktoré dobrovoľne či pod nátlakom pracujú pre tajné služby. Dovolím si otázku na telo. Máte s týmto skúsenosť?
(ticho) Nikdy za nami neprišiel niekto zo štátu priamo s takouto požiadavkou. Boli požiadavky, pri ktorých som si to domyslel. Opäť sa na to pozerám tak, že keď sa náš výstup dá zneužiť, tak to robiť nechcem. To je môj osobný postoj. Samozrejme, býva to ťažké rozhodovanie. Tajné služby robia aj prospešné veci, chránia obyvateľstvo, ale stáva sa, že sa dozvieme o nelegálnom odpočúvaní novinárov a podobne. Podľa mňa je úplne prirodzené, že pre tajné služby sú zaujímavé softvérové firmy, čo sa venujú kybernetickej bezpečnosti. To, čo robíme my vo firme Citadelo, je už v niektorých štátoch považované za zbraň. Neviem ale presne, ako postupujú v tajných službách, keďže nepracujem pre tajnú službu. (smiech)
Tie konšpirácie o celosvetovom komplote mi pripadajú smiešne. Traja ľudia majú problém skoordinovať sa a stretnúť, lebo majú plné kalendáre. Ale celosvetová koordinovaná konšpiračná sieť funguje bez problémov?
Podľa dostupných správ mali Pegasus k dispozícii najmä autoritatívne režimy. Aj na Slovensku sme však zažili sledovanie, odpočúvanie a lustrácie novinárov. Známy je tiež škandál amerického odpočúvania spojencov z roku 2013, NSA počúvala hovory a čítala si správy vrcholových európskych politikov a diplomatov. Neodpočúvajú jednoducho všetci všetkých?
Asi viac-menej áno. Všetci odpočúvajú. Z pragmatického hľadiska je to logické, tajné služby nemôžu mať k spojencom úplne slepú dôveru. Aj tých si preverujú.
Nie je v dnešnej dobe jednoducho veľmi pravdepodobné, že ak ste politik, novinár alebo vysokopostavený manažér, musíte počítať s tým, že vás odpočúvajú?
Je praktické počítať s tým, že to tak je. Najmä ak ste človek, ktorý môže byť zaujímavý pre tajné služby. Nechcem tým povedať, že je odpočúvaný každý, pretože to znamená veľké náklady. Niekto to musí zrealizovať, analytik to musí spracovať, citáty poprepisovať. Ani tajné služby nemajú neobmedzené zdroje. Ešte zo starých materiálov whistleblowera Edwarda Snowdena vieme, že americké tajné služby robili rôzne typy hackerských útokov. Tie najcennejšie používali veľmi zriedka, pretože každé použitie nejakej metódy zvyšuje šancu na odhalenie toho nástroja.
Vrátim sa ešte na chvíľu späť. Hovoril sme o tom, že je neprijateľné, ak vlády odpočúvajú novinárov, aktivistov, disidentov. Na druhú stranu hovoríte, že novinári s tým musia počítať. Znamená, že sme len svedkami odhalenia krutej reality?
Myslím si, že áno. Mňa to odhalenie neprekvapilo.
Ako sa dá pred odpočúvaním brániť? Ako by mali napríklad postupovať novinári?
Na to nie je jednoduchá odpoveď a jediné riešenie. Záleží od zdroja alebo citlivosti informácie. Tajné služby na to majú svoje metódy, niektoré z nich sú už po rokoch odtajnené. Novinár by si najprv mal vyhodnotiť, s kým sa ide rozprávať. Ak ide vyslovene o témy, pri ktorých môže ísť o život, tak je to najlepšie robiť osobne a bez technológií, a dávať si pozor na fyzickú bezpečnosť – ako a kde si s niekým dohodnem stretnutie. Ak je to trochu menej citlivé a potrebujete zabezpečiť komunikáciu medzi dvoma ľuďmi, je dobré si zaobstarať takzvaný „burner phone“, teda telefón, ktorý nie je písaný, ani jeho SIM karta, na moje meno, používať nejakú bezpečnú aplikáciu a po krátkom čase ho zničiť. Aj tak si však musíte dávať pozor a nenosiť tento mobil stále pri sebe, pretože ho vedia lokalizovať a spojiť s vaším bežným telefónom.
My sme robili niekoľko školení pre novinárov, ktoré trvali pol dňa a už to sa mi zdalo príliš krátka doba na podanie základných informácií, takže sa mi to ťažko skracuje ešte viac.
Odporučili by ste nejakú konkrétnu aplikáciu na komunikáciu? Signal, Telegram alebo Threema?
Ja Telegram nepoužívam, v minulosti mal viacero bezpečnostných problémov a dával skôr falošný pocit bezpečia, hoci sa to už možno zlepšilo. Signal aj Threema sú dobré. Uprednostňujem Signal, lebo jeho zakladateľovi naozaj verím, že jeho cieľom je zachovávať súkromie. Tých aplikácií je však veľmi veľa.
Kuriózny prípad sa stal v USA, kde tajné služby vyvinuli vlastnú aplikáciu An0m, ktorá ani nebola verejne dostupná. Začali ju rozširovať na čiernom trhu a postupne si ju medzi sebou začali odporúčať zločinci, ktorí mysleli, že ju vytvorili zločinci a vláda o nej nevie. Tajné služby ju v skutočnosti prevádzkovali a celý čas odpočúvali.
Boli sme však svedkami čítania z Threemy počas procesu s vrahmi Jána Kuciaka a Martiny Kušnírovej. Podarilo sa ju teda prelomiť?
Nebola prelomená Threema, ale telefón Mariana Kočnera. Threema zabezpečuje šifrovanú komunikáciu, ktorá sa takmer nedá dešifrovať. Lenže, keď už mám Threemu v telefóne, tak správy sa zapisujú do nejakého súboru. Polícia sa dostala k dátam, kde už je komunikácia dešifrovaná, takže Threema splnila svoju úlohu a na jej zabezpečení sa nič nezmenilo.
To je problém pri Pegasuse. Ja môžem mať zabezpečenú komunikáciu cez Signal alebo Threemu, ale Pegasus má plnú kontrolu nad telefóm. Dokáže zapínať mikrofón, kameru, sledovať všetko, čo píšem. Útok je jednoducho nad rámcom bezpečnosti aplikácií.
Česká investigatívna novinárka Pavla Holcová opisovala, že na článkoch o Pegasuse pracovala bez používania mailov a mobilu. Podobne na najdôležitejších schôdzkach nechávajú účastníci mobily v inej miestnosti, deje sa to niekedy aj na summitoch v Bruseli. Je to jediná spoľahlivá ochrana?
Áno, to je jediná spoľahlivá metóda. Môže pomôcť, keď napríklad vypnete telefón, ale omnoho istejšie je nemať ho pri sebe na istý čas vôbec. Viem si napríklad predstaviť útok, pri ktorom budete mať pocit, akoby bol mobil vypnutý, ale mikrofón bude nahrávať. Kedysi si ľudia vyberali batérie z mobilov, ale to sa už teraz nedá. (smiech)