Эксперт о Pegasus: «Корпорации и государства выбирают не делать компьютеры и телефоны безопасными»

Об устройстве Pegasus

Pegasus — это такой готовый конструктор, через который устройства пользователей вначале заражают специальным вирусом, а потом при помощи этого вируса удалённо следят за пользователями и скачивают с телефонов информацию. Чтобы «доставить» вирус на устройство, Pegasus использует так называемые уязвимости нулевого дня или zero-day, то есть дыры, которые ещё не закрыл сам производитель. А некоторые из них еще и zero-click — не требуют от жертвы никаких действий. То есть не надо нажимать на ссылки или файлы запускать, смартфон заражается просто потому, что на него пришло сообщение. И обычный конечный пользователь никак не может от такого защититься.

История выстрелила благодаря качественному исследованию

Про NSO Group и Pegasus известно много лет. Я думаю, что тема так сильно выстрелила сейчас, потому что это была скоординированная кампания нескольких мировых СМИ, которая опиралась на качественное исследование Amnesty International. И количество потенциальных целей в 50 000 — это интересно, до этого журналисты предполагали, что следят, скорее, за единицами.

Разработчик избегает ответственности через «умышленное архитектурное решение»

 NSO Group говорит, что не знает, как используются её технологии, И в публичном доступе даже появилось техническое описание системы Pegasus, которое объясняет, как именно она работает, чтобы компания действительно не знала. Это такое умышленное архитектурное решение, изолирующее NSO Group от ответственности. Но я считаю, что разработчик несёт ответственность за подобное. У философа Ханны Арендт есть книжка под названием «Банальность зла», мне кажется, она как раз про эту проблему.

«Корпорации и государства выбирают не делать компьютеры и телефоны безопасными»

Pegasus — не единственный продукт, использующий уязвимости нулевого дня. Компании и государства активно скупают эти уязвимости для своих целей, например, мы точно знаем, что этим занимаются западные спецслужбы, потому что там на эту тему есть активный общественный диалог. И в этом и есть проблема: корпорации и государства выбирают не отдавать информацию об уязвимостях производителям, то есть не делать компьютеры и телефоны безопасными, и пользователи часто с этим ничего не могут поделать.

Как защититься?

TechCrunch опубликовал инструкцию, как обнаружить малварь Pegasus на самих устройствах. Нужен набор утилит Mobile Verification Toolkit, конфигурация из github Amnesty International и опытный айтишник. Обычные пользователи такое не потянут, но уже можно хотя бы попросить помощи у специалистов.

Броситься ли теперь изучать программирование самостоятельно, чтобы защищаться от таких угроз? Технологии становятся всё более сложными и узкоспециализированными, и у пользователя банально не хватит жизни во всем разобраться. Да и в каком порядке разбираться? Что сначала делать: становиться юристом, врачом или айтишником? Я бы, наверное, сперва выбрал врача.

Бессмысленно ожидать от пользователей, что они смогут противостоять государственным хакерам: это как чемпион по боксу против пятилетнего ребенка. Я считаю, что проблемы безопасности должна решать IT-индустрия и государство, а пользователь должен, не знаю, иногда платить деньги за новые устройства, делать бэкапы и включать двухфакторную аутентификацию.