Oprogramowanie szpiegowskie Pegasus nie bez powodu jest gorącym tematem w cyberprzestrzeni w ogóle. Ze względu na fakt, iż organizacja Citizen Lab przekazała czołowym działaczom po stronie opozycji w Polsce materiały potwierdzające, iż byli oni celami ataków - Polska szczególnie żywo na nie reaguje. Prowadzi to jednak do smutnego moim skromnym zdaniem zjawiska: najnowsze doniesienia o Pegasusie są wypaczane w warstwie faktów.
Gdyby było tak, jak twierdzą niektóre polskie media, to w tym momencie NSO Group nie byłoby już wolnych paznokci do obgryzienia. To tak w ogromnym skrócie. Żeby nie być bezdusznie złośliwym, warto jest pochylić się nad tym, co w ogóle zostało opublikowane w serwisie GitHub, co można z tym zrobić i czy rzeczywiście jest to kod źródłowy Pegasusa.
Źródłem rewelacji wielu serwisów, którym zależało na wywołaniu medialnej wrzawy jest Jonathan Scott, właściciel konta jonathandata1 na Twitterze (założyciel Haktree oraz inżynier w Citizen Labs). Ten pozyskał oprogramowanie od VX Undeground, swego rodzaju biblioteki złośliwego oprogramowania. I tutaj pierwsza sprawa: to, co upublicznił Jonathan Scott nie jest czymś szczególnie nowym w środowisku osób zajmujących się cyberbezpieczeństwem, bowiem hashe (sumy kontrolne) plików, które wskazują na próbki (a właściwie na jedną część: wszystkie pliki wskazują na jeden hash) - były dostępne w Internecie już od kilku miesięcy. Co to oznacza? Że ludzie, którzy serio wiedzą czym się zajmują, mieli dostęp do próbek już od jakiegoś czasu.
To NIE JEST kod źródłowy Pegasusa!
To jest zwyczajnie próbka systemu, bo Pegasus należy rozpatrywać jako SYSTEM w ujęciu wyznaczonym przez materiały Jonathana Scotta. A skoro jest to system, to korzysta z różnych komponentów - między innymi podatności, które są przez Pegasusa wykorzystywane do tego, aby infekować telefony (tutaj: z Androidem). Nie można więc mówić o tym, że "Pegasus" trafił do sieci, w tym miejscu znalazła się jedynie cząstka systemu. No i na pewno nie jest to kod źródłowy. Co można z tym zrobić? Chociażby zasymulować wektor ataku na telefonie z Androidem - dla badaczy cyberbezpieczeństwa na całym świecie może to być istotna wiedza dotycząca tylko pewnej części działania systemu Pegasus.
A skoro mamy do czynienia z próbkami wektorów ataku, to można się zastanowić czy grozi nam nagły wysyp kolejnych klonów exploitów wykorzystujących te same błędy co Pegasus. Na szczęście nie, bo próbki występują w postaci "zdekompilowanej", która nie pozwoli w prosty sposób na stworzenie własnych exploitów.
Dane Jonathana Scotta dostarczają nam nieco innych informacji
Jeżeli te próbki są dostępne w Internecie, to z dużą dozą prawdopodobieństwa w systemie znajdują się już inne i to one odgrywają teraz główną rolę. To, co otrzymaliśmy, najprawdopodobniej ma niewielkie znaczenie lub już całkowicie je straciło. Używając z głową plików z tweeta, można zbadać czy konkretne urządzenie jest odporne na wykorzystywane kiedyś przez Pegasusa luki. Obecnie wykorzystywane metody są najpewniej zgoła inne. I podkreślamy - chodzi tutaj o podatności w systemie Android.
Czy to kod źródłowy Pegasusa? Jak najbardziej nie. Czy to Pegasus na Androida? Nie, tylko wektory używanych przez niego ataków na ten system. Czy wkrótce Pegasus stanie się mniej skuteczny? Byłby, gdyby były to aktualne wektory, a raczej tak nie jest. Jonathan Scott na swoim profilu w odpowiedzi do jednego z użytkowników zadeklarował, że ma co najmniej jedną nową próbkę, którą upubliczni, gdy tylko ją przeanalizuje.
Nie spodziewajcie się jednak kodu źródłowego Pegasusa w sieci.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu