On 2021-12-25, Robert Tomasik <r...@g...pl> wrote:
> W dniu 24.12.2021 o 08:51, Marcin Debowski pisze:
>>> Genialne marketingowo! Inaczej by raz "klientowi" zainstalowali na
>>> wiele lat i jeszcze by nie odnawiali/dokupowali licencji od producenta.
>> Nie wiem dlaczego, może być powód czysto techniczny - np. sprawdzana
>> jest jakoś integralność opogramowania przy każdym restarcie, albo nie ma
>> pełnych praw dostępowych. A może założenie było aby minimalizować w ten
>> sposób szanse pozostawinia śladów (co jak widać świetnie się udało:).
>
> Tego typu oprogramowanie wykorzystuje dziury w zabezpieczeniach, a te
> bywają łatane, toteż i łatać trzeba exploidy. Mam okazję korzystać z
> takiego oprogramowania https://forensictools.pl/produkty/xry/ i jak się
> go kilka miesięcy nie zaktualizuje, to w zasadzie nic nie działa.
> Oczywiście skala problemu inna, bo XRY służy do szybkiego analizowania
> posiadanego dowodowego urządzenia, a nie podsłuchów po sieci, ale mam
> podstawy sądzić, że wiele problemów będzie wspólnych.

Dziury się łata jeśli się o dziurach wie. Dziur aż tak dużo tych
znaczących nie ma, bo drobne to i owszem.

> Z PEGASUSem - o ile się orientuję - jest taka sprawa, że on działa
> sieciowo, czyli infekuje jak leci wszystko, co mu się udaje i na wszelki

Trochę inaczej, on sprawdza różne podatności próbując, która zadziała.

> wypadek. O ile się orientuję, to z faktu, że znajdzie się w urządzeniu
> jakiś element PEGASUSa wcale nie wynika, że dane urządzenie było
> inwigilowane samo w sobie. Czasem mogło być wykorzystywane przez system
> do ataku na inne urządzenie albo do uzyskiwania informacji o sieci czy z
> sieci, które służą do inwigilacji innego urządzenia. Przykładowo
> infekujemy urządzenie, w którym mamy dostęp do GPSa i analizując
> informacje o antenach BTS i położenie GPS możemy później mniej więcej
> umiejscowić inne urządzenie, w którym nie mamy GPSa. Natomiast zbyć
> "cienki" jestem, by to weryfikować i zajmować jakieś merytoryczne
> stanowisko. Pytanie, czy autorzy alertów zdają sobie sprawę z tego, jak
> to działa.

Klientów pegasusa stać na ukrywanie się na poziomie zewnętrzej
infrastruktury (instytucje rządowe z dostępem do głównych węzłów).
Przejmowanie urządzenia, aby robiło za hosta do ataków, czy punkt
pośredni, to raczej domena mniejszych grup hakerskich.

> Za skrajnie nieprawdopodobne uważam, by ktoś przepychał po sieci on line
> do Izraela, a stamtąd do Polski jakiekolwiek masowe dane. I nie chodzi
> mi już nawet o kwestie prawne (Izrael by wiedział, kogo my
> podsłuchujemy), ale o wydolność takiego systemu. To jest masa
> informacji, które oczywiście pewnie "z pierwszego" jakieś algorytmy
> muszą badać, ale i tak ostatecznie musi człowiek zbadać i ocenić
> przydatność.

Nie wiem jak to jest zorganizowane logistycznie, ale infrastruktura jest
obecnie na tyle szybka, że nie widzę z tym żadnego probemu.

> Żeby podsłuchiwać to, co się dzieje wokół telefonu 24 h/dobę, to trzeba
> pięciu ludzi, bo oni pracują 8 godzin dziennie i 5 dni w tygodniu. Nad
> tym nikt z autorów tych "trwożliwych" artykułów się nie zastanawia.

To żeby analizować, ale zapisywać, logować, to nikogo nie potrzeba. A
później na spokojnie się sprawdzi, może użyje jakiego oprogramowania do
wyszukiwania fraz, słów itp.

> Jeśli chcemy wiedzieć, o czym kilku polityków rozmawia na określonym
> spotkaniu, to oczywiście jest to technicznie wykonalne, bo takie
> spotkanie pewnie kilka godzin trwa. Ale na dłuższa metę mało to
> logistycznie realne. O takich drobiazgach, jak nośniki do przechowywania
> takiej masy danych, to już nie wspomnę.

Ale to raczej nie jest masówka. Problem z przechowywaniem to byłby dla
kilkuset tysięcy podsłuchów na raz.

Co do ogarnięcia samecj informacji, to już przecież kilka dobrych lat
temu było wiadomo, że to nie ludzie analizują takie masy. Ludzie co
nawyżej weryfikują czy tam faktycznie coś jest na rzeczy.

> Stanąłem kiedyś przed wyzwaniem zabezpieczenia monitoringu z
> kilkudziesięciu kamer z 30 dni. To było 74 TB danych - bez głosu. Sam
> kiepskiej jakości obraz.

No bo nie masz do tego infrastruktury i nie masz na codzień potrzeby jej
mieć, ale 74TB to nie jest jakaś znacząca obiektywnie ilość. Pegasus to
nie masówka, a raczej konkretne cele.

--
Marcin