Gdy czytacie w mediach o atakach hakerskich, z reguły teksty są opatrzone zawsze tym samym wizerunkiem hakera — w mrocznym pokoju postać ubrana w bluzę z kapturem naciągniętym na głowę, niewidoczna twarz, a na ekranie komputera zielonkawe linie kodu programu Matrix. Podobnie w filmach, specjalista od komputerowych włamów siada za klawiaturą i zaczyna z finezją Szopena walić w klawiaturę, by po chwili zawołać: weszliśmy! W ten sposób media wykreowały dwa, dość kuriozalne obrazy hakerów, które mają niewiele wspólnego z rzeczywistością. Piszę ten wstęp po to, aby w pierwszej kolejności pobudzić waszą wyobraźnię i wykreować w niej prawidłowy obraz.

Na początku lat 2000, gdy internet wszedł do Polski, pojawili się również hakerzy. Studenci uczelni politechnicznych, nastolatkowie zafascynowani nowym medium i serwisanci komputerowi penetrowali tę terra incognita, a wśród nich narodziły się polskie grupy hakerskie. Jedną z pierwszych i dość skutecznych był Devil][Team, który był taką kopią (dość dobrą) brytyjskiej grupy Team][Elite, której członkowie do dzisiaj działają w branży cyberbezpieczeństwa. W tym czasie byłem żywo zainteresowany nowymi technologiami i dość dobrze znałem to środowisko. Ludzie gromadzili się w wirtualnej przestrzeni najpierw na kanałach #IRC (taki rodzaj czatów), a później pojawił się program DC++ i tzw. HUB’y , na których wymieniano się plikami medialnymi i rozmawiano. Tak powstawała alternatywna wirtualna rzeczywistość.

Młodzi ludzie o nieprzeciętnych zdolnościach informatycznych i programistycznych przecierali szlaki. Dzisiaj, gros z nich to wysokiej klasy specjaliści od cyberbezpieczeństwa, unikający rozgłosu a mediów w szczególności, o których większość z was nawet nie słyszała, ale codziennie korzysta z owoców ich pracy.

Część z nich jednak się pogubiła w meandrach życia i wykorzystując swoją wiedzę weszła na ścieżki działalności przestępczej, parając się wyłudzeniami, oszustwami internetowymi i tym podobną wirtualną bandyterką, z której uczynili sposób “zarabiania” na życie. Z ich usług, oczywiście za pieniądze, korzystają rodzime służby specjalne. Konsultacje, tworzenie fałszywych tożsamości, podszywanie się pod kogoś i kreowanie negatywnego wizerunku — taki czarny PR, typowy dla autorytarnych reżimów.

Kolejnym etapem poszerzenia absolutnie bezprawnej działalności służb był zakup specjalistycznego oprogramowania do inwigilacji wybranych osób w państwie, w tym polityków opozycji — czyli okryty już złą sławą program Pegasus. Tajemniczy, izraelski program do podsłuchiwania i przejmowania kontroli nad urządzeniami multimedialnymi typu smartfony, tablety, czy komputery/laptopy.

Jak zatem ustrzec się przed nielegalną inwigilacją?

Przy dzisiejszym zaawansowaniu technologicznym hakerstwo nie polega na zdalnym włamywaniu się do komputerów za pomocą zielonkawego kodu na ekranie, nie ubiera się do tej czynności bluzy z kapturem i nie gasi się światła. Aby haker mógł włamać się do naszego urządzenia musimy mu w tym pomóc. Z reguły odbywa się to w ten sposób, że do ofiary wysyłane są różne wiadomości (via SMS, poczta mailowa), które zawierają linki (odnośniki), a kliknięcie w nie powoduje, że bezwiednie otwieramy hakerowi lufcik, przez który wejdzie. Na początku lat 2000 popularne było wysyłanie w załącznikach do maili złośliwych programów (tzw. trojanów), których uruchomienie powodowało aktywacje i zainfekowanie urządzenia. Zdarzyło mi się kiedyś popełnić takiego trojana, który nazwałem “Szybiarz”. Nie czynił żadnych poważniejszych szkód, a jego “ofiarami” padali jedynie moi przyjaciele. Gdy go aktywowali, to przy ponownym uruchomieniu komputera na ekranie powitalnym Windos pojawiał się komunikat: “Szybiarz tu był i nasikał na twój system”. Ok, wiem, infantylne i głupie, ale miałem 32 lata, a mężczyźni poźniej dojrzewają niż kobiety, ok?

Dość przebiegłą metodą było też wprowadzenie do przestrzeni medialnej tzw. ekspertów od cyberbezpieczeństwa. Lansowani przez media, a pracujący dla służb specjalnych, wykreowali się, jako specjaliści. W rzeczywistości, to sztuczne twory marketingowe, których zadaniem było (i jest) przekonywanie ludzi do określonych produktów. Właśnie oni lansowali komunikatory WhatsApp i Signal, jako bezpieczne, opisywali, w jaki sposób się zabezpieczać (w rzeczywistości odbezpieczać), najlepiej korzystając z ich rozwiązań i produktów. Ludzie przekonani, że mają do czynienia z sympatycznymi cyberspecjalistami o miłej aparycji, używającymi profesjonalnego języka, nawinie im ufali i niektórzy nadal im ufają. Mainstreamowe stacje telewizyjne wolnych mediów nawet ich zapraszają na antenę.

Wracając do dnia dzisiejszego, to na rynku egzystują dwa podstawowe systemy operacyjne w smartfonach. Android (w wielu odmianach i wersjach) i iOS, autorski system marki Apple. O urządzeniach z systemem Android pisać nie ma sensu, ponieważ ten system jest jak otwarta książka i relatywnie łatwo przejąć nad nim kontrolę, szczególnie dla tak zaawansowanego oprogramowania do inwigilacji, jak Pegasus.

Zacznijmy od tego, że program Pegasus nie jest czymś wyjątkowym i jedynym w swoim rodzaju. Od 2017 roku w Polsce bez problemu można było nabyć zupełnie legalnie oprogramowanie do inwigilowania smartfonów działających na systemach Android i iOS (autorski system operacyjny firmy Apple). Sklepy sprzedające amatorski sprzęt szpiegowski do inwigilacji niewiernych małżonków, biznesowej konkurencji i nieuczciwych pracowników oferowały gotowe pakiety razem z telefonami, które zakresem niewiele różniły się od Pegasusa.

I tak pracownik, czy działacz polityczny otrzymywał w prezencie nowiutki telefon iPhone, który był już odpowiednio zmodyfikowany i zaopatrzony w szpiegowską aplikację, niewidoczną dla użytkownika.

Urządzenia marki Apple są odporne na wirusy i trojany, o ile na bieżąco je aktualizujemy i nie instalujemy na nich oprogramowania spoza oferty Apple. Owszem, mając fizyczny dostęp do urządzenia, można zrobić w nim tzw. “jailbreak”. To obejście zabezpieczeń systemu iOS i możliwość instalowania oprogramowania spoza oferty sklepu Apple AppStore. Niemniej oprogramowanie do wykonania włamania “jailbreak” pojawia się z reguły parę miesięcy po aktualizacji nowej wersji iOS i kolejne zaktualizowanie telefonu/tabletu powoduje, że “jailbreak” znika. Za każdym razem jednak musimy mieć fizyczny dostęp do urządzenia i wówczas zainstalowanie na nim dowolnego oprogramowania do inwigilacji jest dziecinnie proste. Zdalnie? Jeżeli został zrobiony wcześniej “jailbreak”, tak, jest możliwe wgranie złośliwego oprogramowania.

W przypadku inwigilacji prokurator Ewy Wrzosek, mecenasa Romana Giertycha, czy senatora Krzysztofa Brejzy nie dokonano “złamania” zabezpieczeń systemu operacyjnego iOS, ale prawdopodobnie wślizgnięto się do urządzeń przez popularny komunikator internetowy WhatsApp. Gdyby ofiary inwigilacji nie instalowały na swoich urządzeniach Apple takich komunikatorów, Pegasus byłby bezużyteczny.

Pierwsza zasada

Jeżeli prowadzisz aktywność polityczną, czy społeczną i jesteś solą w oku służb władzy, nie używaj urządzeń opartych o system Android. Zainwestuj w sprzęt Apple. Nie instaluj oprogramowania niepochodzącego od firmy Apple. Żadnych komunikatorów WhatsApp, Signal, czy pokrewnych. Ze współpracownikami, którzy również powinni posiadać urządzenia Apple możesz komunikować się via iMessage (wbudowany komunikator Apple), o ile przesyłasz informacje wrażliwe, zastrzeżone, zawierające pofune dane. Założona poczta na serwerach Apple w chmurze iCloud jest absolutnie bezpieczna i również można z niej korzystać. Bez posiadania hasła dostępu nie ma możliwości, aby ktokolwiek był w stanie się włamać na wasze konto mailowe. Wykorzystaj dwustopniowe zabezpieczenie oferowane przez Apple i w urządzeniu smartfon/tablet załóż numeryczny kod zabezpieczający. Nie stosuj zabezpieczenia odciskiem palca, czy rozpoznawaniem twarzy. W przypadku zatrzymania Ciebie wraz z urządzeniem nastąpi siłowe użycie odcisku twojego palca. Kod zabezpieczający nie jest przechowywany w urządzeniu, a na serwerach Apple, a firma Apple nigdy, nikomu go nie ujawni (odmówiła nawet FBI). Dlatego właśnie nie udało się prokuraturze zajrzeć do telefonu Romana Giertycha, a skopiowanie dysku również nic nie dało. Telefon zwrócono, danych z niego nie wykradziono, śladów możliwej ingerencji Pegasusem nie usunięto.

Druga zasada

Jeżeli komunikujesz się w sprawach poufnych ze znanym tobie kręgiem osób, którym absolutnie ufasz, to powinieneś używać dwóch urządzeń (nie dwóch kart SIM w jednym urządzeniu). Jeden do oficjalnej komunikacji (i.e. media, inni politycy), drugi dla wąskiego grona osób, które nikomu go nie ujawnią. Oczywiście drugi numer nie może być rejestrowany na ciebie, ani nikogo z kim można by ciebie powiązać. Nie, to nie jest oszustwo, a ostrożność, szczególnie w państwie, w którym strażnicy prawa je nagminnie łamią. Na przykład używasz numeru telefonu zarejestrowanego na hurtownię artykułów higienicznych na drugim końcu Polski. W ten sposób zabezpieczysz się przed nielegalnymi próbami inwigilacji twojej działalności społecznej i politycznej.

Trzecia zasada

Jeżeli jednak podejrzewasz, że jesteś obiektem nielegalnej inwigilacji, to najprostszym sposobem na sprawdzenie tego jest przysłowiowe wpuszczenie służb w maliny. Tu przytoczę historię (prawdziwą) pewnej pani, która podejrzewała, że mąż ją inwigiluje, opętany chorobliwą zazdrością. Oczywiście wszystkiemu zaprzeczał, że absolutnie żonie ufa i do głowy by mu nie przyszło, aby naruszać jej prywatną sferę, śledzić, zaglądać do jej telefonu, nagrywać jej rozmowy. Zgłosiła się do mojego przyjaciela, byłego oficera WSI, który prowadzi agencję detektywistyczną. Po sprawdzeniu jej telefonu okazało się, że ma zainstalowane oprogramowanie szpiegujące. Zatem aby obnażyć kłamstwa męża i postawić go w sytuacji nie budzącej już żadnych wątpliwości, została zorganizowana prosta prowokacja. Żona miała prowadzić korespondencję z fałszywym kochankiem, umawiając się z nim na schadzkę w określonym miejscu i czasie. Oczywiście jej mąż tam pojechał, ale kochanka nie zastał, za to pojawiła się żona, aby porozmawiać poważnie z mężem o jego problemach z zazdrośnictwem. O ile pamiętam, to wszystko dobrze się skończyło.

Wyobraź sobie, jak agenci biegają w nocy po cmentarzu w poszukiwaniu ciebie i twojego kontaktu, który miał ci wręczyć siatkę z pieniędzmi. Ubaw po pachy, szczególnie gdyby ich nagrać i wrzucić na Twittera. Nic bardziej nie obnaża indolencji służb, jak ich publiczne ośmieszenie. Celowe wprowadzenie służb w błąd, doprawdy? A od kiedy to wolno podsłuchiwać polityków opozycji, co?

Czwarta zasada

Skoro zostałeś politykiem, to musisz być uczciwy i mówić prawdę. Dlaczego? Ano dlatego, że wszystkich sekretów nie zdradziłem i może się zdarzyć tak, że w wolnej Polsce służby specjalne będą wiedziały, jak wykryć kłamstwa i niezgodną z prawem działalność, zatem bądź wierny zasadom, które dzisiaj głosisz. Tylko tyle.

Niniejszy poradnik jest podstawowy, ale wystarczający dla ochrony przed służbami reżimu. Bez Pegasusa nie potrafiliby prześwietlić nawet filmu z aparatu fotograficznego.

Tomasz Wiejski

źródło: https://tomaszwiejski.medium.com

Pokaż więcej Redakcja
Pokaż więcej w  Bez kategorii

Zobacz też

Pracujący dla polskich służb ekspert za pieniądze promował niebezpieczne oprogramowanie

Rzekomi eksperci od cyberbezpieczeństwa promowali podatne na ataki hakerów oprogramowanie.…