Pegasus — это такой готовый конструктор, через который устройства пользователей вначале заражают специальным вирусом, а потом при помощи этого вируса удалённо следят за пользователями и скачивают с телефонов информацию. Чтобы «доставить» вирус на устройство, Pegasus использует так называемые уязвимости нулевого дня или zero-day, то есть дыры, которые ещё не закрыл сам производитель. А некоторые из них еще и zero-click — не требуют от жертвы никаких действий. То есть не надо нажимать на ссылки или файлы запускать, смартфон заражается просто потому, что на него пришло сообщение. И обычный конечный пользователь никак не может от такого защититься.
Про NSO Group и Pegasus известно много лет. Я думаю, что тема так сильно выстрелила сейчас, потому что это была скоординированная кампания нескольких мировых СМИ, которая опиралась на качественное исследование Amnesty International. И количество потенциальных целей в 50 000 — это интересно, до этого журналисты предполагали, что следят, скорее, за единицами.
NSO Group говорит, что не знает, как используются её технологии, И в публичном доступе даже появилось техническое описание системы Pegasus, которое объясняет, как именно она работает, чтобы компания действительно не знала. Это такое умышленное архитектурное решение, изолирующее NSO Group от ответственности. Но я считаю, что разработчик несёт ответственность за подобное. У философа Ханны Арендт есть книжка под названием «Банальность зла», мне кажется, она как раз про эту проблему.
Pegasus — не единственный продукт, использующий уязвимости нулевого дня. Компании и государства активно скупают эти уязвимости для своих целей, например, мы точно знаем, что этим занимаются западные спецслужбы, потому что там на эту тему есть активный общественный диалог. И в этом и есть проблема: корпорации и государства выбирают не отдавать информацию об уязвимостях производителям, то есть не делать компьютеры и телефоны безопасными, и пользователи часто с этим ничего не могут поделать.
TechCrunch опубликовал инструкцию, как обнаружить малварь Pegasus на самих устройствах. Нужен набор утилит Mobile Verification Toolkit, конфигурация из github Amnesty International и опытный айтишник. Обычные пользователи такое не потянут, но уже можно хотя бы попросить помощи у специалистов.
Броситься ли теперь изучать программирование самостоятельно, чтобы защищаться от таких угроз? Технологии становятся всё более сложными и узкоспециализированными, и у пользователя банально не хватит жизни во всем разобраться. Да и в каком порядке разбираться? Что сначала делать: становиться юристом, врачом или айтишником? Я бы, наверное, сперва выбрал врача.
Бессмысленно ожидать от пользователей, что они смогут противостоять государственным хакерам: это как чемпион по боксу против пятилетнего ребенка. Я считаю, что проблемы безопасности должна решать IT-индустрия и государство, а пользователь должен, не знаю, иногда платить деньги за новые устройства, делать бэкапы и включать двухфакторную аутентификацию.
The main news of the week in the field of law.
On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.