Alternatywa dla Pegasusa?

przystojniak · 10 Luty 2022 20:26

Tak z ciekawości (nie mam ani umiejętności/wiedzy, ani sprzętu) ale jakie są alternatywy dla Pegasusa i czy są jakieś open source?

januszek · 11 Luty 2022 10:23

Pegasus, na tyle, na ile wiadomo, to nie jest aplikacja. To cała platforma wywiadowcza świadczona jako usługa przez firmę NSO Group (która najprawdopodobniej jest powiązania ze służbami Izraelskimi).
Alternatywy dla usług NSO Group istniały, np włoska firma Hacking Team. Obecnie na pewno jest wiele wyspecjalizowanych w takiej operacyjnej działalności wywiadowczej firm, pracujących dla różnych służb z wielu państw.
Na Open Source bym nie liczył. Ale komercyjne takie (wiadomo, nie aż takie) narzędzia istnieją, są sprzedawane np jako aplikacje do kontroli rodzicielskiej (np spymobile, spyphone).

sidkwa · 11 Luty 2022 10:31

Dokładnie. Pegasus to nie tylko aplikacja. W skrócie opiszę jak to mniej więcej wygląda po wykupieniu licencji. Państwo które wykupi licencję od Izraela na używanie Pegasusa oprócz samej aplikacji otrzymuje również urządzenia do jej obsługi. Te urządzenia to są na przykład serwery instalowane na terenie państwa które Pegasusa kupiły a które są połączone również z serwerownią w Izraelu. Co pół roku do serwerów umieszczonych w kraju przyjeżdża serwisant z Izraela i przeprowadza diagnostykę lub aktualizację systemu. Na dodatek że serwery są połączone z serwerami w Izraelu (wymóg działania Pegasusa którego nie można obejść) Izrael dzięki temu może natychmiast zablokować/zbanować jakieś państwo i zablokować dostęp do systemu. Tak się stało na przykład w Polsce.

przystojniak · 11 Luty 2022 21:25

OK, dzięki mili Panowie. Naprawdę jestem wdzięczny za wyjaśnienie.
To, że to jest „pakiet oprogramowania” (/platforma/… zwał jak zwał, nazewnictwo to wtórna rzecz, zwłaszcza, że to też jest kwestia tego jaki kierunek obierze dana firma przy tworzeniu tego softu, ktoś kiedyś powiedział, że informatyka, to jest taka dziedzina, że każdą rzecz można zrobić na wiele sposobów, a informatyk zrobi w 20 minut to, co inny zrobią w tydzień i weźmie taką samą kasę, tak mniej więcej - słyszałem to naprawdę bardzo dawno temu), to się domyślam. Choć Faktycznie dałem wiadomo co i mogłem doprecyzować moje pytanie bardziej. Zakłam, że jest moduł, który pokazuje na mapie lokalizacje, inny odczytuje SMSy, bilingi itd., kolejny hasła itd., I za to odpowiadają konkretne moduły (-programy), trochę jak w BSD (ewentualnie unix)? Jeśli dobrze pamiętam to tam jest tak, że nie ma kombajnów, tylko jeden program - jedna funkcja, tylko tyle ile trzeba i nic ponadto? Czy może lepiej powiedzieć, tak jak pakiet Google, czyli człowiek widzi stronę google.pl, ma tam te 9 kropek, po naciśnięciu których, pojawia się „menu” i tam można wybrać, gmaila, dysk, dokumenty, kontakty i mimo, że to są inne moduły i inne programy (na setkach komputerów, chodzi mi o ideę, więc to czy to są setki komputerów, czy miliony to chyba nie jest teraz tutaj ważne) to użytkownik widzi to jako właśnie jedną platformę, jedną stronę www, która jest zintegrowana, w sensie te gmaile i dokumenty mogą wymieniać z sobą dane i można dopisać, programy, które to wszystko wspinają razem? Dzięki temu jest to bardziej skalowalne i niezawodne (choć tutaj przypomniał mi się „zabawny” artykuł, pewnie na niebezpieczniku czy coś w tym rodzaju, już nie pamiętam dokładnie treści, ale ktoś nie przewidział „wielkich umiejętności” „ujżytkownika komputera” i jak w oddzielnym module uwierzytelniania nie zaprogramował filtra i ktoś załóżmy [jak mówiłem pamięć nie ta, a lata upłynęły] zapodał kanji [pismo chińskie] to moduł zgłupiał i stwierdził, że takiego wałą, „że on p…, nie robi” i się zawiesił i można było sobie wejść do systemu bez niczego, ale to tak mimochodem mówię), podejrzewam też, że jest wsparcie dla integrowania tego pegasusa z siecią klienta, np. logowania SSO (czy jak się to nazywało, generalnie, że po stronach w intranecie można było się logować, przez swoje uprawnienia domenowe, pewnie źle dobrałem słownictwo, ale chyba wiadomo o co chodzi?), np. Sharepointa/Office 365 (raporty, na pewno pegasus ma swoje narzędzia raportowania, ale może można jakieś niestandardowe raporty na podstawie danych z baz danych zrobić)?. Więc na pewno ma możliwości jakiejś integracji z siecią klienta, bo nie jest w „pustce” i w niej nie pracuje? Dobrze prawię?

@sidkwa, pewnie masz rację z tymi serwerami, czy może inaczej …, jestem w stanie w to uwierzyć i nie jest to kwestia nawet tego, że pamiętam sławetny zakup dyskietek w ZUSie a ogólnie co nie co widziałem (jak pisałem, broń boże nie jestem bóg wie jak mądry, „nie wiem, nie znam się”, ani tym bardziej nie jestem bóg wie jak stary i doświadczony, To znaczy nie chcę się jakoś wywyższać i nie uważam siebie za alfę i omegę. Teraz np. staram się tak zrozumieć w czym rzecz na „logikę”. Nie mówię tego, że wiem wszystko ale też „swoje widziałem”, a od pegasusa w ogóle nie jestem ekspertem). Choć to dla mnie „lepszym” rozwiązaniem było by „tradycyjne” wysłanie „płyt z softem” (jakkolwiek zrobione, można też instalkę przez chmurę wysłać, chodzi mi o dostarczenie po prostu softu). I można „wygenerować” dane dostępowe do „chmury”/klucz produktu, czy cokowliek co identyfikuje użytkownika na serwerze w chmurze producenta bez której soft nie działą. Bo w czym to daje przewagę (gotowy serwer z softem?)? Może tutaj wychodzi to, że się nie znam. Ale z tego co rozumiem, to jest zwykły " PC-et" (tak, tak „profesjonalny” serwer dostosowany przez NSO z nadrukami „NSO-Pegasus”, a może nawet wytłoczeniami - czy jak to się nazywa)? Więc umożliwienie klientowi zainstalowanie na własnym sprzęcie jest wygodniejsze dla niego. Będzie chciał przeprowadzić deasemblacje? To i tak to zrobi, przecież to służby specjalne, mają specjalistów, a co sprawniejsze w necie, takie np. CIA/NSA i tego typu to pewnie wynajmą grupę hakerską czy coś - trochę upraszczam, lekko ironizuję ale właśnie, ktoś będzie chciał zdobyć kod, to i tak zdobędzie. A ja jako „użytkownik” pewnie chciałbym w sprzęcie tej klasy zastosować osprzęt klasy tempest itp., generalnie chciałbym to 1, zabezpieczyć, przed jakimkolwiek wyciekiem danych 2, tak wdrożyć aby to było dla mnie bezpieczne (np. to oprogramowanie nie doprowadziło by innych ludzi do mnie. O czym mówię, np. masz takie USG, w którym też macie komputer, to jest to jeden konkretny model, z konkretnym modelem płyty głównej (pamięci ram, procesorem itd.), ale co za tym idzie z konkretną kartą sieciową i adresem MAC (tak, tak wiem, można zmieniać programowo, co np. robi TOR lub program podajże „MAC changer”, czy jakoś tak - chodzi mi o to, że to jest sprzęt na zamówienie, a taki sprzęt zawsze chyba łatwiej deanonimizować i wyszukać w dajmy na to shodanie (upraszczam)? Tak na logikę? Jak każda instancja programu jest na innym sprzęcie, inaczej jest „zbudowana” i w jednym przypadku na jednym serwerze jest wszystko, w drugim to jest rozłożone na kilkadziesiąt w różnych lokalizacjach to nie tylko potrafi więcej danych przetworzyć taka infra, bo jest to rozłożone na kilka komputerów, które robią tylko drobny wycinek pracy ale trudniej to wyłapać właśnie przez shodany (upraszczam, chodzi o dochodzenie do tego, czyja jest ta instancja pegasusa)?

@januszek, W sumie nie pomyślałem o kontroli rodzicielskiej, (/korporacyjnej), ale jak patrzę na: „alternativeto” (oraz internety) to alternatywy do oprogramowania typu spyphone, kontrola rodzicielska, korpo, to faktycznie słabo jeśli chodzi o open source, ale coś tam jest, np. KidLogger, choć faktycznie jak mówiłeś, „wiadomo, nie aż takie”, ponadto jest github, gdzie są konkretne programy, które robią konkretne rzeczy (np. pod hasłem keylogger android - keylogger, więc pewnie można trochę się pobawić i zlepiać), więc coś tam skleić można? oczywiście jak ktoś potrafi. A to mnie ciekawiło, bo w sumie są kalilinuksy (tak, tak on jest dla „bezpieczników” a nie dla „złych hakerów” ale obie strony korzystają chyba? a przynajmniej z narzędzi dostępnych na kalilinux, np. metasploit? I byłem ciekaw, czy się coś nie „urodziło”. Ale jak widać nie. Ale możliwości są.

Edit:
A przy okazji wiedzie Panowie coś o kodach serwisowych (nie wiem jak to się dokładnie nazywa, ale myślę, tu o tych wiadomościach „sieciowych” konfiguracyjnych od operatorów, co dodają konfigurację telefonu, by mógł się prawidłowo przyłączyć do sieci?) \ komendach AT, gdzie można poczytać, jak jest to zbudowane, jakie są polecenia, itd.?

januszek · 12 Luty 2022 08:26

Zwróć uwagę na taką rzecz, Pegasus to jest technologia szpiegowska, po raz pierwszy ujawniona w 2016 roku. Mówimy już o historii Nie wiem, czego używa się obecnie, ale wiem, że w tej dziedzinie (nazwijmy ją: informatyka operacyjna) postęp jest szybki. 5 lat to cała epoka

Afera z Pegasusem dobrze ilustruje, że problemem nie jest włamanie i podłożenie szpiegującego agenta na urządzenia używane przez figuranta, ale to, żeby takie działanie nie pozostawiło żadnych śladów.

przystojniak · 12 Luty 2022 10:17

Fakt, dobrze prawisz (znaczy nie dobrze, że jest coś takiego i że się tego używa, ale fajne merytoryczne komentarze - dziękuję za odpowiedzi).

Berion · 12 Luty 2022 13:36

Dobrze prawię?

Bez obrazy, ale trochę bełkoczesz. Są różne narzędzia do eksploitacji, tak jak różne metody i nie sposób jest to wszystko opisać choćby tylko ogólnie na forum. Wiele rzeczy można osiągnąć na różne sposoby dlatego, że taka jest natura matematyki (więc tak, to prawda np. do konsoli PS2 można wjechać przez udawany film DVD-Video, YaBasic, aktualizację firmware z karty lub HDD, z płyty jeśli spreparujesz LIMG i wytłoczysz na DVD-ROM etc.), w czym pomaga kod kompilowany przez kompilatory i wysoka tolerancja niskiej jakości produktu, który musi być dostarczony jak najszybciej na rynek. Są zestawy exploitów do przebijania się przez kolejne ściany (tzw. ROP) by potem wgrać payload/y (loader bloba do pamięci, zestaw programów itp.).

Pegasus to nazwa usługi. I trochę smutne, że państwo takie jak Polska z tak gigantycznym zapleczem intelektualnym, nie potrafi tego wykorzystać i kupuje oprogramowanie szpiegowskie do szpiegowania obywateli (nie wnikam czy słusznie czy nie, to temat rzeka) i… siebie samych przez… wrogie nam państwo (Izrael bowiem, ewidentnie od lat działa na naszą szkodę).

Podsumowując: telefon nie jest bezpiecznym urządzeniem, bo nie masz absolutnie żadnej kontroli nad żadną z warstw, a po „zrootowaniu” tylko tą najwyższą. Na telefonie nie trzyma się żadnych prywatnych danych a na pewno żadnych wrażliwych prywatnych danych. O wiele lepszą platformą jest PC jeśli zależy Ci na owej prywatności i bezpieczeństwie (przynajmniej nikt nie wyśle Ci niewidzialnego SMSa z niespodzianką). A co jest bezpieczne? Ano nic… Na wszystko są sposoby, niektóre tak samo kosmiczne jak komiczne.

przystojniak · 12 Luty 2022 20:21

Spoko ;).

Bardzo dziękuje, za obszerny komentarz i wyjaśnienie, nawet jeśli po krótce (bo jak sam mówiłeś, to jest zbyt obszerny temat).