You are currently viewing A Pegasus-ról magyarul

A Pegasus-ról magyarul

Mik azok a kémszoftverek, és mi az a Pegasus?

Röviden kémszoftvernek nevezünk minden olyan programot, amely a felhasználó tudta nélkül továbbítja a felhasználó adatait egy harmadik fél számára. Ezt a legtöbb esetben a gyanútlan felhasználó tudta nélkül teszi. Nem kell messzire menni, nagyon sok ilyen ismert alkalmazás elérhető a neten, és bárki számára pár kattintással aktiválható.

Jogosan merül fel a kérdés, hogy akkor miért olyan nagy szám ez a Pegasus szoftver, ha bárki hozzájuthat ilyenekhez. A válasz nagyon egyszerű: Amelyek ingyenesen elérhetőek a neten, azoknak a nagy része rögtön letöltés során detektálásra kerül a vírusírtók által, azaz a megfelelő védelemmel ellátott eszközökön használhatatlan. A Pegasus esetén ez kicsit máshogyan valósul meg.

A Pegasus technikai háttere

Ahhoz, hogy teljes mértékben megértsük a szoftver működését, egy fontos fogalmat kell tisztáznunk, amely a 0day.

A 0day egy olyan sérülékenység, amelyről a rendszer fejlesztőjének nincs tudomása, ezért védekezni sem tud ellene. Ezek legtöbbször rosszul konfigurált alkotóelemekből, vagy programozói hibákból adódnak. Ezek a hibák nem kerülnek detektálásra a vírusirtók által, mivel azok fő működési elve az, hogy egy ismert mintákkal feltöltött adatbázisból dolgoznak.
Ha valaki ilyen sérülékenységet talál egy rendszerben, akkor az alábbi lehetőségei vannak:

  • Megírja a részletes összefoglalót, és jelzi a szoftvert üzemeltető cégnek a hibát, amely egy adott idő után kijavításra kerül
  • Megírja a részletes összefoglalót, és eladja illegális célokra a hibát, amely valameddig rejtve marad. Előbb utóbb valaki észreveszi, és eljut a fejlesztőhöz és javításra kerül

A lényegre térve mi kell ahhoz, hogy sikeres, lehallgatásra tökéletesen alkalmas kémszoftverünk legyen?

  • Egy működő 0day sérülékenység
  • Egy jól megírt kémszoftver
  • Célpont

A Pegasus szoftver esetén összeállt a három elvárás, és létrejött a szoftver.

Jelenlegi ismereteim szerint a szoftver első alkalommal 2016 augusztusában került detektálásra. Ez azt jelenti, hogy erről a variánsról találtam elérhető információkat. A dokumentációt és a vizsgálatot a Lookout információbiztonsággal foglalkozó cég végezte és tette közzé.

A Pegasus szoftvert egy izraeli cég hozta létre, amely 2010 óta fejleszt szoftver okostelefonok távfelügyeletére.

A szoftver sikeres működéséhez az alábbi sérülékenységek kerültek felhasználásra:

  • CVE-2016-4657: Memory Corruption in WebKit
  • CVE-2016-4655: Kernel Information Leak
  • CVE-2016-4656: Kernel Memory corruption leads to Jailbreak
     

A támadás egy klasszikus értelembe vett social engineering támadással kezdődik, amely során a támadó elküld egy weblapot a célpontnak és annak megnyitása esetén a kártékony kód futtatásra kerül az eszközön. Ezt a fenti listában található CVE-2016-4657-es azonosítójú sérülékenységen keresztül végezték el.
Amint a kártékony kód futtatásra került, a CVE-2016-4656-os azonosítójú sérülékenységet kihasználva a célpont eszközén magas jogosultságot szerezve folyamatos távoli hozzáférést alakított ki, amely lehetővé tette a felhasználói interakció nélküli újbóli hozzáférést az eszközhöz.

A CVE-2016-4655-ös sérülékenységet kihasználva tudtak sikeresen kommunikációt lehallgatni azáltal, hogy az eszköz kernel szintje és a lehallgatandó szoftver közé ékelődtek. Ez azért fontos lépés, mert ha más ponton próbálnák lehallgatni a kommunikációt, akkor az adat már csak titkosított formában található meg. Az alábbi képen látható a fertőzött eszköz működése:

 

 

A fentiekben leírt sérülékenységeket kihasználó variáns megfelelő frissítések mellett 2016 aug 25-ig volt kihasználható, mivel a szoftver és az eszköz gyártója ekkor adta ki a sérülékenységeket javító patch-et.

Morális problémák

Sajnos az ilyen szoftverek elterjedése és megjelenése meggátolhatatlan, azonban, ha mögé nézünk a dolgoknak akkor az alábbi gondolatok fogalmazódhatnak meg bennünk:

  • Az a személy aki felfedezte a sérülékenységet, nem járt el etikusan, mivel nem a gyártónak “adta el” az információt, hanem egy olyan cégnek, amely saját célokra használja fel azt
  • Abban nem lehetünk biztosak, hogy nem az NSO Group nevű izraeli cég találta a sérülékenységet, de ez nem változtat azon a tényen, hogy nem etikus lépés egyik sem
  • Ami 2021-ben felkavarta a port, az a civilek megfigyelése, amely már több szinten problémás. Ami a fő probléma ezzel, hogy gyakorlatilag aki ismer ilyen sérülékenységeket, vagy van megfelelő pénze megvásárolni ezeket a szoftvereket, az korlátlanul megfigyelhet, illetve lehallgathat bárkit.

Sok cikkben 2019-es fertőzésekről van szó, amelyhez kapcsolódóan nem találtam információt, hogy milyen sérülékenységek kerültek kihasználásra, de az alap koncepció valószínűleg hasonló módon valósul meg.

Végezetül...

Esélyesen megfordul a fejedben az a gondolat, hogy ugyan mi rejtegetnivalód van,  de engem személy szerint nagyon zavar, ha általam kontrollálatlanul jutnának hozzá olyan információkhoz, amihez nem szeretném. Legyen az Facebook, Telegram, az USA, vagy akár a magyar állam.

Tisztában vagyok vele, hogy vannak olyan információk, amelyek a tudtomon kívül kerülnek átadásra bármely harmadik fél számára, azonban úgy vagyok ezzel a dologgal, hogy a legjobb tudásom szerint védem az információimat, akkor nyugodtabban fekszem le aludni esténként.

Ezen felül, örömmel tölt el, hogy minden hiba, amelyet bejelentek a fejlesztőnek, csökkenti a mozgásterét az ilyen visszaéléseknek. Még akkor is ha ez csak egy kis porszem a sivatagban.

A teljes Lookout-os jelentést az alábbi URL-en érhetitek el:

https://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdf

Ha valamit tanulhatunk ebből az esetből, akkor az a frissítések fontossága. Nem érdemes várni velük, nem véletlen, meg szórakozásból kerülnek kiadásra ezek a javítások. Tudom sokszor a legrosszabb pillanatban jönnek elő, de érdemes mihamarabb elvégezni.