Περισσότεροι από 16 δημοσιογραφικοί οργανισμοί και περισσότεροι από 80 δημοσιογράφοι σε τέσσερις ηπείρους αποκάλυψαν, με κοινή έρευνά τους, πως το λογισμικό της ισραηλινής εταιρείας NSO, με την ονομασία “Pegasus” («Πήγασος»), χρησιμοποιείται από αυταρχικά καθεστώτα για την παρακολούθηση ακτιβιστών, πολιτικών, δημοσιογράφων και δικηγόρων.

Την έρευνα συντόνισε ένας μη κερδοσκοπικός δημοσιογραφικός οργανισμός με έδρα το Παρίσι, η Forbidden Stories, σε συνδυασμό με τη Διεθνή Αμνηστία, που είχαν αρχικά πρόσβαση σε αυτή τη λίστα με τα τηλέφωνα και μοιράστηκαν στη συνέχεια τις πληροφορίες με άλλους συνεργάτες στον χώρο των μίντια, στο πλαίσιο του Pegasus Project.

Υπάρχουν άνθρωποι που θεωρούν πως πλέον ζούμε υπό ένα καθεστώς «μηδενικής ασφάλειας», όσον αφορά το hacking.

Η άποψη αυτή βασίζεται στην ιδέα πως οι ψηφιακές επιθέσεις έχουν εξελιχθεί τόσο πολύ, ώστε δεν υπάρχει τίποτα που μπορεί να κάνει κάποιος για να τις αντιμετωπίσει. Ωστόσο αυτό, όπως θα φανεί και στη συνέχεια, είναι λάθος.

Μάλιστα, η άποψη αυτή διακινείται και από τους ίδιους τους χάκερ, οι οποίοι ευχαρίστως θα έβλεπαν τους υποψήφιους στόχους να σταματούν την προσπάθεια για άμυνα.

Τι γνωρίζουμε για τον Πήγασο

Το Pegasus είναι ένα λογισμικό παρακολούθησης, το οποίο εγκαθίσταται στο κινητό τηλέφωνο του στόχου. Όταν το ανυποψίαστο «θύμα» ανοίξει ένα δήθεν αθώο μήνυμα, ένα sms ή ένα μήνυμα από κάποια άλλη εφαρμογή, το λογισμικό μπορεί να εγκατασταθεί στο smartphone, το iPhone ή το Android του.

Ωστόσο, δεν επιτρέπει μόνο την υποκλοπή κλήσεων, αλλά δίνει κι άλλες δυνατότητες. Μπορεί να υποκλέψει οποιοδήποτε περιεχόμενο βρίσκεται μέσα στο τηλέφωνο: φωτογραφίες, μηνύματα ηλεκτρονικού ταχυδρομείου, επαφές, sms, ακόμη και μηνύματα που ανταλλάσσονται μέσω κρυπτογραφημένων εφαρμογών, όπως το Signal ή το WhatsApp. Το κινητό δηλαδή γίνεται ο χειρότερος εχθρός του ίδιου του χρήστη. 

Αν και το Pegaus λοιπόν, αποτελεί ένα εξελιγμένο πρόγραμμα κατασκοπείας, υπάρχουν ορισμένα βήματα που μπορεί να ακολουθήσει κανείς, έτσι ώστε να μειωθεί η πιθανότητα να προσβληθεί κάποια συσκευή του. Το ρίσκο δεν μπορεί να εξαλειφθεί, αλλά υπάρχουν πράγματα που μπορούν να γίνουν για να περιοριστεί. 

Αποφύγετε το Clickbait

Υπάρχουν πολυάριθμα παραδείγματα στις αναφορές για τις επιθέσεις του Pegasus, όπου δημοσιογράφοι και υπερασπιστές των ανθρωπίνων δικαιωμάτων έλαβαν μηνύματα μέσω SMS ή WhatsApp που τους καλούσαν να κλικάρουν σε κακόβουλους συνδέσμους. Οι σύνδεσμοι αυτοί κατεβάζουν λογισμικό υποκλοπής που εισέρχεται στις συσκευές μέσω κενών ασφαλείας των προγραμμάτων περιήγησης και των λειτουργικών συστημάτων. Αυτή η μέθοδος επίθεσης ονομάζεται Enhanced Social Engineer Message, ή ESEM.

Τα μηνύματα-δόλωμα της συγκεκριμένης μεθόδου μπορεί να ανήκουν σε μία σειρά από κατηγορίες. Κάποια ισχυρίζονται ότι προέρχονται από οργανισμούς όπως τράπεζες, πρεσβείες, ειδησεογραφικούς οργανισμούς ή υπηρεσίες μεταφοράς δεμάτων. Άλλα σχετίζονται με πιο προσωπικά θέματα, όπως η εργασία, ή υποτιθέμενες αποδείξεις απιστίας, ή ισχυρίζονται ότι το στοχευμένο άτομο αντιμετωπίζει κάποιον άμεσο κίνδυνο ασφάλειας.

Τι μπορείτε να κάνετε σε αυτή την περίπτωση

• Αν λάβετε ένα μήνυμα με σύνδεσμο, ειδικά αν αυτό εμπεριέχει μία αίσθηση επείγοντος (πχ. δηλώνοντας ότι ένα δέμα πρόκειται να παραδοθεί άμεσα ή πως η πιστωτική σας κάρτα πρόκειται να χρεωθεί), αποφύγετε την παρόρμηση να κάνετε αμέσως κλικ.
• Αν εμπιστεύεστε τον ιστότοπο όπου πρόκειται να σας μεταφέρει ο σύνδεσμος, πληκτρολογήστε τη διεύθυνση του συνδέσμου με μη αυτόματο τρόπο, χωρίς δηλαδή να πατήσετε κατευθείαν στο link.
• Αν σας μεταφέρει σε έναν ιστότοπο που επισκέπτεστε συχνά, αποθηκεύστε τον ιστότοπο σε έναν φάκελο σελιδοδεικτών και χρησιμοποιήστε μονάχα αυτόν τον αποθηκευμένο σύνδεσμο.
• Αν αποφασίσετε ότι θα κλικάρετε στον σύνδεσμο του μηνύματος αντί να τον πληκτρολογήσετε ή να επισκεφτείτε τον ιστότοπο μέσω αποθηκευμένου συνδέσμου, τουλάχιστον ελέγξτε τον σύνδεσμο για να επιβεβαιώσετε ότι σας στέλνει σε ιστότοπο που γνωρίζετε. Πάλι όμως είναι δυνατό να ξεγελαστείτε: Κάποιοι σύνδεσμοι ηλεκτρονικού «ψαρέματος» χρησιμοποιούν παρόμοια γράμματα από ένα σύνολο μη αγγλικών χαρακτήρων, κάτι που ονομάζεται «επίθεση ομογράφου». Για παράδειγμα, ένα «Ο» από το Κυριλλικό αλφάβητο μπορεί να χρησιμοποιηθεί για να μιμηθεί το σύνηθες «Ο» του Λατινικού αλφαβήτου που χρησιμοποιείται στα αγγλικά.
• Αν ο σύνδεσμος είναι συντομευμένος, χρησιμοποιήστε μία υπηρεσία διεύρυνσης URL, όπως το URL Expander ή το ExpandURL για να αποκαλύψετε τον πραγματικό σύνδεσμο πριν κλικάρετε.
• Πριν κάνετε κλικ σε έναν σύνδεσμο που φαίνεται να σας έστειλε κάποιος γνωστός σας, επιβεβαιώστε ότι όντως σας τον έχει στείλει. Ο λογαριασμός του/της μπορεί να έχει παραβιαστεί ή ο αριθμός τηλεφώνου τους να έχει πλαστογραφηθεί. Επιβεβαιώστε το επικοινωνώντας μαζί τους, μέσω κάποιου διαφορετικού διαύλου από αυτόν στον οποίο λάβατε το μήνυμα. Αν ο σύνδεσμος ήρθε μέσω μηνύματος κειμένου ή e-mail, τηλεφωνήστε στον αποστολέα. Αυτό είναι γνωστό ως επαλήθευση ή έλεγχος ταυτότητας εκτός ζώνης.
• Εξασκηθείτε στη διαίρεση συσκευών, χρησιμοποιώντας μια δευτερεύουσα συσκευή χωρίς ευαίσθητες πληροφορίες για να ανοίξετε μη αξιόπιστους συνδέσμους. Λάβετε υπόψη ότι εάν η δευτερεύουσα συσκευή έχει μολυνθεί, μπορεί να εξακολουθεί να χρησιμοποιείται για την παρακολούθηση μέσω μικροφώνου ή κάμερας, οπότε φυλάξτε τη σε μια τσάντα Faraday όταν δεν χρησιμοποιείται – ή τουλάχιστον μακριά από τις ευαίσθητες συνομιλίες σας (καλή ιδέα ακόμη και αν είναι σε μια τσάντα Faraday).
• Χρησιμοποιήστε εναλλακτικά προγράμματα περιήγησης. Σύμφωνα με μια ενότητα με τίτλο «Αποτυχία εγκατάστασης» στο φυλλάδιο του Pegasus που διέρρευσε το Wikileaks (του οποίου όμως η αυθεντικότητα δεν είναι επιβεβαιωμένη), η εγκατάσταση μπορεί να αποτύχει εάν ο στόχος εκτελεί μη υποστηριζόμενο πρόγραμμα περιήγησης και συγκεκριμένα ένα πρόγραμμα περιήγησης διαφορετικό από το «προεπιλεγμένο πρόγραμμα περιήγησης της συσκευής». Όμως το έγγραφο αυτό είναι τώρα αρκετών ετών παλιό, και είναι πιθανό ότι το Pegasus σήμερα υποστηρίζει όλα τα είδη περιηγητών.
• Εάν υπάρχει οποιαδήποτε αμφιβολία για έναν σύνδεσμο, απλά αποφύγετε να τον ανοίξετε.

Να επισκέπτεστε πάντα σελίδες https://

Ένας άλλος τρόπος με τον οποίο το Pegasus προσέβαλε συσκευές ήταν μέσω επιθέσεων man-in-the-middle, ή MITM. Σε αυτές τις επιθέσεις, το Pegasus υποκλέπτει τις μη κρυπτογραφημένες κινήσεις δικτύου, όπως αιτήματα HTTP, και τις ανακατευθύνει προς κάποιον κακόβουλο στόχο.

Η πληκτρολόγηση μόνο του τομέα ιστοτόπου (όπως πχ. το «yahoo.fr») στη γραμμή διευθύνσεων του περιηγητή σας, χωρίς να καθορίζεται το πρωτόκολλο (όπως το «https://»), κάνει τη συσκευή σας ευάλωτη σε επιθέσεις MITM, διότι ο περιηγητής από προεπιλογή θα επιχειρήσει μία μη κρυπτογραφημένη σύνδεση HTTP σε αυτόν τον ιστότοπο. Συνήθως φτάνετε στον αυθεντικό ιστότοπο, ο οποίος αμέσως σας ανακατευθύνει σε μία ασφαλή σύνδεση HTTPS. Αν όμως κάποιος προσπαθεί να σας χακάρει, αυτή η πρώτη σύνδεση HTTP είναι ένα ικανό άνοιγμα για να υφαρπάξει τη σύνδεσή σας.

Ακολουθούν ορισμένα πράγματα που μπορείτε να κάνετε για να αποτρέψετε τέτοιου είδους επιθέσεις:

• Πληκτρολογήστε πάντοτε το «https://» όταν επισκέπτεστε ιστοσελίδες.
• Αποθηκεύστε στους σελιδοδείκτες σας ασφαλείς (HTTPS) συνδέσμους για τους αγαπημένους σας ιστότοπους, και χρησιμοποιήστε αυτούς αντί να πληκτρολογείτε μονάχα το όνομα τομέα.
• Εναλλακτικά, χρησιμοποιήστε ένα VPN στις σταθερές σας συσκευές όπως και στις κινητές. Η υπηρεσία VPN διοχετεύει όλες σας τις συνδέσεις με ασφάλεια στον διακομιστή VPN, ο οποίος στη συνέχεια αποκτά πρόσβαση σε ιστότοπους για λογαριασμό σας και τις μεταφέρει ξανά σε εσάς. Αυτό σημαίνει ότι ένας εισβολέας που παρακολουθεί το δίκτυό σας πιθανότατα δεν θα είναι σε θέση να εκτελέσει μια επιτυχή επίθεση MITM, καθώς η σύνδεσή σας είναι κρυπτογραφημένη στο VPN.
• Αν χρησιμοποιείτε VPN, έχετε υπόψη ότι ο πάροχος VPN έχει τη δυνατότητα να κατασκοπεύσει τις κινήσεις σας στο διαδίκτυο, οπότε φροντίστε να επιλέξετε έναν αξιόπιστο πάροχο. Μια καλή, διαρκώς επικαιροποιούμενη λίστα σύγκρισης παρόχων VPN, είναι αυτή που προσφέρει το Wirecutter.

Επιθέσεις χωρίς κλικ

Πέρα από τις επιθέσεις που απαιτούν ο στόχος να κάνει κάποια δράση, όπως το κλικ σε έναν σύνδεσμο ή το άνοιγμα μιας επισύναψης, υπάρχουν και οι επιθέσεις zero-click, οι οποίες ονομάζονται έτσι διότι δεν απαιτούν καμία αλληλεπίδραση από τον στόχο. Το μόνο που χρειάζεται είναι να έχετε κάποια συγκεκριμένη ευάλωτη εφαρμογή ή λειτουργικό σύστημα στη συσκευή σας.

Η εγκληματολογική έκθεση της Διεθνούς Αμνηστίας σχετικά με τα πρόσφατα αποκαλυπτικά στοιχεία για τον «Πήγασο» αναφέρει ότι ορισμένες μολύνσεις μεταδόθηκαν μέσω επιθέσεων «χωρίς κλικ», αξιοποιώντας τις εφαρμογές Apple Music και iMessage.

Αυτές οι επιθέσεις είναι και οι πιο δύσκολες να αποφευχθούν, ακριβώς διότι δεν απαιτούν κάτι από εσάς. Όμως μπορείτε να μειώσετε τις πιθανότητες να επιτύχουν, μειώνοντας τη λεγόμενη «επιφάνεια επίθεσης» και εφαρμόζοντας «διαμερισματοποίηση» των συσκευών σας, δηλαδή να μοιράζετε δεδομένα και εφαρμογές σε περισσότερες από μία συσκευές.

Συγκεκριμένα, οι χρήστες μπορούν να κάνουν τα εξής:

• Μειώστε τον αριθμό των εφαρμογών στο τηλέφωνό σας. Όσο λιγότερες «ξεκλείδωτες πόρτες» υπάρχουν στο σπίτι σας, τόσο λιγότερες ευκαιρίες έχει ένας διαρρήκτης να μπει. Έτσι και στο κινητό, λιγότερες εφαρμογές σημαίνουν λιγότερες εικονικές πόρτες για να εκμεταλλευθεί κάποιος. Η συσκευή σας θα πρέπει να διαθέτει τις ελάχιστες απαραίτητες εφαρμογές για την εκτέλεση των καθημερινών λειτουργιών. Κάποιες εφαρμογές δεν μπορείτε να τις αφαιρέσετε, όπως το iMessage στα iPhone (εφαρμογή την οποία μπορεί να εκμεταλλευθεί το Pegasus). Μπορείτε όμως να τις απενεργοποιήσετε, αν και στην περίπτωση του iMessage δεν θα μπορείτε πλέον να λαμβάνετε γραπτά μηνύματα στο iPhone σας.
• Ελέγχετε τακτικά τις εγκατεστημένες εφαρμογές σας (και τα δικαιώματά τους) και αφαιρέστε όσες δεν χρειάζεστε. Είναι καλύτερο να αφαιρέσετε και να κατεβάσετε ξανά στο μέλλον μια εφαρμογή αν την χρειαστείτε, παρά να την αφήσετε να παραμείνει στο τηλέφωνο.
• Ενημερώνετε τακτικά τόσο το λειτουργικό σύστημα του τηλεφώνου σας όσο και μεμονωμένες εφαρμογές, καθώς οι ενημερώσεις πολλές φορές αντιμετωπίζουν τις ευπάθειες.
• Διαμερισματοποιήστε τις εφαρμογές σας. Αν ένα τηλέφωνο έχει εγκατεστημένο μόνο το WhatsApp και παραβιαστεί, ο εισβολέας θα λάβει μόνο τα δεδομένα του WhatsApp, όμως όχι άλλα ευαίσθητα δεδομένα όπως e-mail, ημερολόγιο, φωτογραφίες ή μηνύματα του Signal.
• Ακόμα κι ένα διαμερισματοποιημένο τηλέφωνο μπορεί να χρησιμοποιηθεί ως συσκευή ηχογράφησης και παρακολούθησης, οπότε αφήστε τις συσκευές σας σε ένα άλλο δωμάτιο, ή ιδανικά σε μία τσάντα ασφαλείας.

Φυσική πρόσβαση

Ο τελευταίος τρόπος με τον οποίο μπορεί κάποιος να προσβάλει το τηλέφωνό σας είναι να το πιάσει στα χέρια του. Σύμφωνα με το φυλλάδιο του Pegasus που δημοσίευσε το Wikileaks, το πρόγραμμα «μπορεί να εγχυθεί και να εγκατασταθεί χειροκίνητα σε λιγότερο από πέντε λεπτά». Δεν είναι ξεκάθαρο αν χρειάζεται το κινητό να είναι ξεκλείδωτο ή αν οι επιτιθέμενοι είναι σε θέση να μολύνουν ακόμη και ένα τηλέφωνο με προστασία PIN.

Μέχρι στιγμής δεν υπάρχουν γνωστές περιπτώσεις φυσικών επιθέσεων από το «Pegasus». Καλό είναι όμως να θυμάστε ορισμένα πράγματα:

• Διατηρείτε πάντα οπτική επαφή με τις συσκευές σας. Κάθε απώλεια οπτικής επαφής αυξάνει την πιθανότητα φυσικής πρόσβασης από κάποιον. Προφανώς, υπάρχει διαφορά μεταξύ του να πάρει το τηλέφωνό σας ένας τελωνειακός υπάλληλος στο αεροδρόμιο και του να αφήσετε τον φορητό σας υπολογιστή σε ένα δωμάτιο της οικίας σας όταν πηγαίνετε στην τουαλέτα. Γενικά, κάθε απόφαση περιέχει ρίσκο, το οποίο πρέπει να υπολογίζεται.
• Τοποθετήστε τη συσκευή σας σε μία τσάντα ασφαλείας όταν πρέπει να παραμείνει χωρίς επίβλεψη, ειδικά σε πιο επικίνδυνες τοποθεσίες, όπως ένα δωμάτιο ξενοδοχείου. Αυτό από μόνο του δεν θα προστατέψει τη συσκευή σας, αλλά τουλάχιστον θα σας προειδοποιήσει ότι η συσκευή αφαιρέθηκε από την τσάντα και πως ίσως έχει παραβιαστεί.
• Χρησιμοποιήστε αδήλωτα καρτοκινητά και άλλες διαμερισματοποιημένες συσκευές όταν εισέρχεστε σε πιθανά εχθρικά περιβάλλοντα, όπως κυβερνητικά κτίρια, πρεσβείες και προξενεία, ή όταν περνάτε σημεία ελέγχου σε σύνορα.

Κάποιες γενικές συμβουλές

• Χρησιμοποιήστε την Εργαλειοθήκη Επαλήθευσης της Διεθνούς Αμνηστίας αν υποπτεύεστε ότι το τηλέφωνό σας έχει προσβληθεί με το Pegasus.
• Δημιουργήστε τακτικά αντίγραφα ασφαλείας των σημαντικών σας αρχείων.
• Και τέλος, δεν είναι κακό να επαναφέρετε το τηλέφωνό σας τακτικά στις εργοστασιακές ρυθμίσεις.

Το μόνο που δεν πρέπει να κάνετε, είναι να «σηκώσετε τα χέρια ψηλά».