Pegasus, Predator i inne systemu szpiegowskie stały się zmorą polityków, aktywistów, dziennikarzy. Niestety jednostka ma kilka możliwości obrony przed zaawansowanym złośliwym oprogramowaniem. Dlatego konieczna jest bliska kooperacja firm oraz instytucji publicznych. W innym przypadku postęp technologiczny doprowadzi do tego, iż szpiegowanie nas będzie dziecinnie proste, a rynek systemu szpiegowskiego będzie coraz mocniejszy.
Czytasz drugi artykuł z cyklu o oprogramowaniu szpiegującym na świecie. W cyklu analizujemy dynamicznie rosnący rynek tego typu rozwiązań na świecie i przyglądamy się skali zjawiska. W pierwszym artykule opisaliśmy najpowszechniejsze narzędzia stosowane do szpiegowania. W tym artykule przyjrzymy się sposobom na powstrzymanie rozwoju systemu szpiegującego.
Walka z dynamicznie rosnącym rynkiem systemu szpiegującego jest już w tej chwili bardzo trudna. A będzie jeszcze trudniejsza, bo coraz bardziej innowacyjne będą metody szpiegowania. W celu obrony przez tak zmasowanym atakiem niebezpiecznych narzędzi wszyscy użytkownicy powinni działać razem. Państwa, instytucje, firmy i pojedynczy użytkownicy komputerów i telefonów.
Jak wdrożyć środki bezpieczeństwa oraz takie narzędzia, które zwiększą nasze wspólne bezpieczeństwo przed oprogramowaniem szpiegującym.
Rynek systemu szpiegowskiego – na celowniku państw
Państwa, dostrzegając problem z rosnącym rynkiem szpiegowskiego oprogramowania, zaczęły podejmować działania uderzające w jego producentów. Stany Zjednoczone wpisały na czarną listę Departamentu Handlu izraelskie firmy NSO i Candiru. Takie posunięcie mocno uderzyło te firmy finansowo. Ale – również posłużyło jako ostrzeżenie dla innych firm pracujących w tym obszarze. Podmioty wpisane na taką listę nie mogą nabywać produktów i technologii wytwarzanych w USA bez zgody Waszyngtonu.
Kontynuując politykę przeciwdziałania proliferacji komercyjnego systemu szpiegowskiego, opublikowano rozporządzenie wykonawcze prezydenta Stanów Zjednoczonych. Zabrania ono amerykańskiemu rządowi używania komercyjnego systemu szpiegowskiego. Skąd taki zakaz? Chodzi o oprogramowanie, które stanowi „znaczące zagrożenie kontrwywiadowcze albo inne ryzyko dla amerykańskiego rządu poprzez niewłaściwe użycie go przez zagraniczne rządy albo osoby”.
Ponadto Departament Stanu przyjął politykę, iż osoby, które nadużywały komercyjnego systemu szpiegowskiego, mogą nie otrzymać wizy umożliwiającej wjazd to Stanów Zjednoczonych.
Stany Zjednoczone były również inicjatorem deklaracji o przeciwdziałaniu nadużyciom związanym z oprogramowaniem szpiegowskim. Dokument został podpisany przez 11 państw, a ostatnio swój podpis złożył przedstawiciel Polski. W deklaracji można przeczytać, iż celem polityki bezpieczeństwa i polityki zagranicznej powinno być przeciwdziałanie proliferacji komercyjnego systemu szpiegowskiego.
Kraje zobowiązują się do implementowania wytycznych
Kraje, które podpisały deklarację, zobowiązały się do implementowania wytycznych dotyczących stosowania przez rząd technologii szpiegowskich. Te kraje akceptują także Kodeks postępowania opracowany w ramach inicjatywy dotyczącej kontroli eksportu i przestrzegania praw człowieka. Angielska nazwa Kodeksu to: Guiding Principles on Government Use of Surveillance Technologies and the Code of Conduct developed within the Export Controls and Human Rights Initiative.
Państwa zobowiązały się również do:
- dzielenia się informacjami na temat najnowszego systemu szpiegowskiego, aby lepiej je identyfikować i śledzić;
- bliskiej współpracy z firmami prywatnymi i organizacjami społeczeństwa obywatelskiego, aby zwiększać świadomość dotyczącą komercyjnego systemu szpiegowskiego;
- angażowania innych państw na całym świecie do wprowadzenia kontroli eksportu takich produktów.
Deklaracja ta jest dokumentem politycznym, nieproponującym konkretnych rozwiązań prawnych. Stanowi jednak dowód na to, jak poważne jest zagrożenie ze strony komercyjnego systemu szpiegowskiego. Problem jest tak poważny, iż postanowiono zająć się nim, angażując w to Biały Dom i inne państwa.
Jakie państwa poza USA? Unia Europejska i…
Poza Stanami Zjednoczonymi działania podejmuje również Unia Europejska, a dokładnie Parlament Europejski, który 15 czerwca 2023 roku przyjął rezolucję wzywającą do ograniczenia nadużyć związanych ze spyware. Posłowie zauważyli, iż struktury zarządzania UE nie są w stanie skutecznie przeciwdziałać takim atakom i dlatego trzeba przeprowadzić konieczne reformy. I dlatego ich zdaniem powinno się podjąć szereg inicjatyw takich jak:
- stworzenie wspólnej definicji prawnej wykorzystania bezpieczeństwa narodowego jako podstawy do inwigilacji, która uniemożliwi usprawiedliwianie oczywistych nadużyć;
- uzależnienie możliwości stosowania systemu szpiegowskiego przez członków UE od tego, czy ustawodawstwo krajowe jest zgodne z zaleceniami standardów Komisji Weneckiej oraz orzecznictwem Trybunału Sprawiedliwości UE i Europejskiego Trybunału Praw Człowieka;
- utworzenie Laboratorium Technicznego UE, czyli niezależnego instytutu badawczego z uprawnieniami do prowadzenia dochodzenia w sprawie inwigilacji, zapewnienia wsparcia prawnego i technologicznego;
- wzmocnienie przepisów dotyczących wprowadzenia na rynek oraz kontroli eksportu systemu szpiegowskiego.
Na razie są to jednak tylko propozycje, które nie zmaterializowały się w ramach unijnego aktu prawnego. Biorąc pod uwagę skalę wykorzystania Pegasusa w UE przeciwko obywatelom państw członkowskich, konieczne będzie uregulowanie takiego systemu w ramach prawa UE.
Giganci IT przeciwko oprogramowaniu szpiegowskiemu
Oprogramowanie szpiegowskie uderza w największe firmy IT odpowiedzialne za wdrożenie i utrzymanie najpopularniejszych systemów oraz aplikacji. Wykorzystanie błędów przez programy infekujące szkodzi wiarygodności biznesowej, odstrasza potencjalnych klientów, co negatywnie oddziałuje na finanse firm.
Dlatego niektóre firmy IT takie jak np. Meta podjęły zdecydowane działania przeciwko twórcom systemu szpiegowskiego. Firma usuwa konta oraz blokuje infrastrukturę należącą do firm zajmujących się cyberszpiegostwem. Przykładowo – Meta zlikwidowała sieć 130 kont na Facebooku i na Instagramie połączonych z izraelskim producentem systemu szpiegowskiego Candiru czy rosyjską firmą Avalanche.
Takie działanie utrudnia tym firmom zbieranie informacji o osobach, które mogą następnie być celem systemu szpiegowskiego, ale również testowanie modeli infekcji. Meta współpracuje również z innymi podmiotami prywatnymi oraz rządami, aby dzielić się informacjami na temat zagrożeń.
Pozwem w cyberszpiegów!
Elementem skutecznej walki z firmami odpowiedzialnymi za tworzenie systemu szpiegowskiego są pozwy. Apple i Meta, która jest właścicielem WhatsAppa, oskarżyły NSO Group o instalowanie systemu szpiegowskiego Pegasus.
Oskarżenie w sprawie Meta vs NSO obejmowało dokładnie „wysyłanie spreparowanych danych przez internet. Dzięki luce w VoIP aplikacji do czatowania umożliwiało to uruchomienie w tle złośliwego kodu na zaatakowanych urządzeniach. To z kolei ułatwiło zdalny dostęp do rozmów telefonicznych i innych poufnych informacji zawartych w komunikatorze.
W wyniku batalii prawnej sąd w Kalifornii nakazał NSO udostępnienie pełnego kodu źródłowego Pegasusa oraz innego systemu szpiegowskiego NSO w okresie od 29 kwietnia 2018 r. do 10 maja 2020 r. Oznacza to, iż narzędzia te będą bezużyteczne. Sąd jednak pozwolił NSO na zatajenie listy klientów i szczegółów dotyczących architektury serwerów.
Ważnym elementem będzie również ciągła walka ukierunkowana na poprawę bezpieczeństwa aplikacji i systemów poprzez wdrożenie i przywiązywanie wagi do bezpieczeństwa w trakcie projektowania oprogramowania. Takie działania podjął m.in. Apple, wprowadzając nowe zabezpieczenie, takie jak udoskonalony mechanizm BlastDoor.
Nie można również zapominać o konieczności wsparcia dla organizacji walczących z cyberszpiegostwem, np. Amnesty Tech, czyli oddział Amnesty International zajmujący się nowoczesnymi technologiami. Citizen Lab, które bada zagadnienia związane z Pegasusem. Niektóre firmy, takie jak np. Apple, wsparły kwotą w wysokości 10 milionów dolarów badania nad zwalczaniem inwigilacji w przestrzeni cyfrowej. Takich inicjatyw powinno być jednak zdecydowanie więcej.
A zwykli użytkownicy i tak bezbronni?
Większość użytkowników nie powinna obawiać się infekcji Pegasusem czy Predatorem. Dlaczego? Ponieważ są to drogie narzędzia szpiegowskie, zakupione w celu ataku na najważniejsze osoby, a nie do masowej inwigilacji.
Przykładowo szacuje się, iż CBA dysponowało liczbą licencji na Pegasusa, która pozwalała na równoczesny podsłuch 20-30 osób. Oczywiście jest kilka prostych porad, które stanowią abecadło cyberbezpieczeństwa. Mogą one utrudnić infekcję takim oprogramowaniem, ale też umożliwią unikanie innych zagrożeń w cyberprzestrzeni.
Pierwszą z nich jest dbanie o aktualizację oprogramowania, ponieważ bardzo często szpiegowskie narzędzia wykorzystują podatności w oprogramowaniu. Druga kwestia to nieklikanie w podejrzane linki. Ponadto dobrym pomysłem jest skonfigurowanie swojego telefonu tak, aby stale używał VPN-u.
Użytkownik powinien też pamiętać o codziennym regularnym restarcie telefonu oraz używaniu szyfrowanych komunikatów z włączoną opcją znikających wiadomości. Preferowane powinno być również dzwonienie, zamiast pisania.
Te działania mogą jednak jedynie utrudnić infekcję, ale nie powstrzymają zdeterminowanego napastnika, w szczególności jeżeli będzie mógł skorzystać z podatności zero-day exploit.
Konieczne rządowe inicjatywy, bez tego nie da rady
Ograniczenie i kontrola komercyjnego rynku systemu szpiegowskiego jest bardzo trudnym zadaniem i wymaga współpracy międzynarodowej. Żadna firma ani państwo samodzielnie nie będą w stanie rozwiązać tego problemu.
Dlatego potrzebne są rządowe inicjatywy na poziomie politycznym wskazujące na zagrożenie wynikające ze stosowania systemu szpiegowskiego, odpowiednia legislacja utrudniająca nielegalne wykorzystanie takich narzędzi, ale też wsparcie sektora prywatnego.
Zwłaszcza sektor prywatny musi przywiązywać większą wagę do bezpieczeństwa swoich urządzeń i systemu tak, aby pojawiało się jak najmniej podatności, które mogą zostać wykorzystane przez oprogramowanie szpiegowskie.
Również działania użytkowników, w tym przestrzeganie podstawowej cyberhigieny, mogą utrudnić stosowanie komercyjnego systemu szpiegowskiego. Problem ten zdecydowanie będzie narastał wraz z postępem technologicznym.
Czytaj też: Jak opanować chaos w chmurze? Cyberbezpieczeństwo w środowiskach hybrydowych i multicloud
Źródło zdjęcia: Dan Nelson/Unsplash