«Телефон странно себя ведет». Как понять, что вас взломали

• См. также «Пегас» в айфоне. «Ведут» ли спецслужбы Латвии российских (и не только) журналистов 26.09.2023
  Совершенно секретно. Есть ли у спецслужб Латвии Pegasus и кто может разрешить вас подслушивать 29.09.2023

В сентябре стало известно о «подсадке» шпионской программы Pegasus в телефон издателя портала «Медуза» Галины Тимченко (и, возможно, еще четырех связанных с русскоязычной журналистикой людей). Заказчик атаки все еще неизвестен. Однако «пегас» доступен только государственным органам, и речь, скорее всего, идет о спецслужбах — предположительно, какой-то европейской страны. В числе подозреваемых эксперты называют Латвию, Эстонию и Германию. Одна из латвийских спецслужб — Служба госбезопасности — заявляет о своей непричастности к случившемуся с Тимченко.

Более 50 живущих в ЕС человек после случая с «Медузой» обратились в международную НГО Access Now с просьбой проверить их телефоны на наличие «Пегаса» или другого шпионского ПО, сообщили Rus.LSM.lv в организации. (Access Now специализируется на защите цифровых прав гражданского общества, и сотрудничает с известной канадской лабораторией Citizen Lab).

Из них около десяти человек (примерно 6-7 — из Латвии) получали сообщения от Apple, что их «айфон» пытаются взломать проправительственные хакеры — и в половине случаев «экспресс-тест» указал на следы «Пегаса»,

сообщила Rus.LSM.lv эксперт Access Now Наталья Крапива. Окончательных результатов еще нет.

В Латвии предотвращением кибер-угроз занимается CERT (Центр по предотвращению инцидентов безопасности информационных технологий). Это структурное подразделение Института математики и информатики ЛУ, работающее, однако, в подчинении Министерства обороны).

Заражений конкретно программой «Пегасус» CERT в последние годы в Латвии не выявлял, сообщили Rus.LSM.lv в организации. Там работают, в первую очередью, над кибербезопасностью государственных ведомств, но могут помочь также гражданам и негражданам Латвии.

Для этого нужно подать в CERT заявление, подписанное электронной подписью, описав в нем вызвавший беспокойство инцидент. Да, на время расследования придется сдать потенциально «зараженное» устройство (в большинстве случаев — на 30-90 дней).

• ВАЖНО: тем, кто «обоснованно подозревает», что их устройства были «скомпрометированы», CERT рекомендует сперва обращаться в Госполицию — и туда же сдавать свои гаджеты.

Эксперты CERT обычно проверяют не более десятка телефонов в год, сообщает Rus.LSM.lv пресс-секретарь Лига Бесере. Чаще всего оказывалось, что заражение происходило по вине самих пользователей, которые «обходили» настройки безопасности в аппарате, и скачивали сомнительные приложения (обычно — игры). В нескольких случаях пострадавшими были латвийские должностные лица.

В CERT ранее не попадали зараженные устройства латвийских журналистов или политических активистов. При этом в организации слышали о получении отдельными журналистами-расследователями предупреждений от Google и Apple, что их аккаунты на этих платформах, возможно, были целью атаки проправительственных хакеров.

В международной НГО Access Now помочь готовы, но не всем — организация фокусируется на политических активистах, правозащитниках, диссидентах, журналистах, блоггерах, а также тех, кто может стать целью кибератаки из-за близости к таким людям (члены семей, коллеги и т д).

Нужно написать на адрес [email protected], в течение двух часов вам ответят, что делать дальше (подробнее по-русски и по-английски). Весь процесс — удаленный, отдавать свою технику никуда не нужно. Писать в службу поддержки рекомендуется не с того устройства, которое, предположительно, могло быть заражено.

• ВАЖНО: при подозрении на взлом в организации не рекомендуют «откатывать» телефон или другое устройство к заводским настройкам. Это (и особенно — в случае с «Пегасом») может привести к уничтожению улик, говорит эксперт Access Now Наталья Крапива. После такого «обнуления» злоумышленник опять может вас заразить по тому же номеру телефона, или даже узнать новый номер, если вы поделитесь им с вашими контактами.

Владельцам iPhone, получившим уведомления о возможном взломе, рекомендуется включить Lockdown Mode, чтобы предотвратить новые заражения.

Большинство проверок телефонов на наличие «шпионской программы» начинались с получения пользователем сообщения о попытке «взлома» — причем не аккаунта, а именно самого аппарата.

• ВАЖНО: такие предупреждения рассылает только Apple — пользователи «андроидов» (самая популярная ОС в мире, в том числе и в Латвии — например, мобильные устройства примерно 80% читавших портал LSM.lv в сентябре использовали именно ее) подобные сообщения не получают. Также в «андроидах» сложнее найти следы взлома — хотя это все же возможно, и такие случаи были, говорит Наталья Крапива.

К сожалению, пользователи «Андроида» остаются практически в полном неведении, пытается ли кто-то заразить «Пегасом» их устройства, и как это предотвратить. «На наш взгляд, у Alphabet (корпорация–владелец Google и Android — С.П.) есть обязательство перед своими пользователями — исправить эту ошибку, и сделать свои устройства более безопасными», — говорит эксперт.

Крупные сервисы — например, Meta (владелец Facebook, Instagram и Whatsapp) и Google — посылают сообщения о том, что злоумышленники пытались получить доступ или как-то взаимодействовали с вашими аккаунтами (см., например, здесь и здесь).

Известные правила "гигиены" телефона против взлома — регулярно его перезагружать (выключать и включать заново), сразу загружать все доступные обновления.

• ВАЖНО: выставите режим исчезающих сообщений во всех мессенджерах, советует эксперт Access Now Наталья Крапива. Если ваш телефон все-таки заразят, «пролезшему» в него достанется гораздо более короткая история вашей переписки.

Периодически менять пароли — тоже хорошая практика, ведь злоумышленники могут украсть доступ к вашим паролям через password manager на вашем устройстве.

Если мы говорим не о «Пегасе», а о других программах, например Predator, которые «1-click» (для заражения телефона нужно действие — кликнуть на ссылку, открыть файл и т д), то важно не нажимать на ссылки и перепроверять, от кого пришло сообщение.

Несколько аппликаций для таких целей есть. Эксперт Access Now Наталья Крапива упоминает, в частности, MVT от Amnesty International. Но, к сожалению, разработчики сложных и дорогих вредоносных программ (вроде «Пегаса») изменяют тактику сразу после появления в публичном доступе новых сведений о способах выявления их «продуктов». После такой «перенастройки», говорит Крапива, «видимость у нас теряется».

• ВАЖНО: то, что на сегодняшний день доступно пользователям, дает представление о старых инфекциях, а новейшие заражения, как правило, не находит. Поэтому важно обращаться к специалистами напрямую.

На сегодняшний день, лидерами в охоте на «Пегас» и подобные программы является Citizen Lab, сотрудничающая с Access Now уже много лет. Так же в этой сфере работают Amnesty Tech (у них было известное расследование Pegasus Project).

Из-за работы расследователей таких организаций, как Citizen Lab, Amnesty Tech, Access Now, скандалы, связанные с «Пегасом» и подобными вредоносными ПО оказались на первых полосах газет по всему миру. Некоторые компании пытаются заработать, обещая, что их приложение поможет защитить вас от «Пегаса», или обнаружить последние версии вируса. При этом зачастую их политика, в том числе хранения персональных данных, не очень ясна.

«Я бы посоветовала быть осторожными со всякого рода приложениями, которые обещают много, но не демонстрируют результаты», — говорит Наталья Крапива.

«К сожалению, если мы говорим о “Пегасе”, то он разработан таким образом, чтобы не дать жертве возможности его заметить, — подчеркивает эксперт Access Now Наталья Крапива. — Поэтому я бы посоветовала не полагаться на такого рода признаки, как нагревание телефона или аномальный трафик. Подавляющие количество жертв “Пегаса” ничего такого не заметили».

• ВАЖНО: чрезмерный трафик и другие явления могут являться признаками вредоносного ПО — но могут и не являться.

Но если у вас есть подозрения на заражение, особенно если вы активист, журналист, правозащитник, занимающийся активной и публичной деятельностью, либо если в вашем окружении кого-то уже заражали, или кто-то получал уведомления — стоит быть начеку и обращаться к специалистам, советует Крапива. Тем, у кого техника Apple — наблюдать за оповещениями у себя и у людей в своем окружении.

Если человек беспокоится прежде всего о защите от «Пегаса» и подобных сложных вредоносных программ, Apple на сегодняшний день является оптимальным выбором по нескольким причинам, указывает Крапива.

«В устройствах Apple гораздо легче найти индикаторы (indicators of compromise или же IOCs) «Пегаса» и других вредоносных ПО, по сравнению с “Андроидом”. В связи с этим, мы видим огромное количество расследований и публичных скандалов в результате сканирования именно “айфонов”. Также, это помогает таким исследователям, как Citizen Lab, найти те самые уязвимости, через которые «Пегас» и другие программы попадают в телефон. И Apple удается эти уязвимости быстро «залатать». Например, в течении недели Citizen Lab нашли сразу 5 уязвимостей, которые производитель тут же “залатал” через обновления для всех своих пользователей. Тут и тут — напоминания о том, что нужно незамедлительно установить эти обновления, если еще этого не сделали» — советует эксперт Access Now.

Наконец, продолжает она, Apple недавно внедрил инновационный подход к защите своих устройств от вредоносных ПО — Apple Lockdown Mode. Этот режим на сегодняшний день является наиболее эффективным способом предотвращения атак «Пегаса» и других ПО.

«Эффективность этого метода, кстати, удалось проверить после того, как злоумышленники (мы подозреваем власти Азербайджана) попытались повторно заразить телефон Кристине Григорян, на тот момент омбудсвуман по правам человека в Армении. У нее был включен режим Lockdown Mode, который ее предупредил о том, что кто-то пытался — безуспешно — получить доступ к ее телефону», — рассказывает Крапива.

• ВАЖНО: на сегодняшний день Apple Lockdown Mode — эффективный способ защиты от «Пегаса» и многих подобных программ. Но неизвестно, сколько сохранится такое положение.

«Такие компании, как NSO, израильский разработчик “Пегаса”, всегда ищут новые способы, как обойти защиту безопасности в устройствах, — подчеркивает эксперт. — И в «андроидах» подобного Lockdown Mode режима нет».

Если у вас старое устройство (компьютер, телефон), и производитель перестал обновлять для него операционную систему — с точки зрения безопасности это проблема.

• ВАЖНО: Тем, кто в силу своей работы или иной деятельности находится в «группе риска», нужно менять аппарат на более новый.

В финансовую поддержку гражданского общества важно включать средства на замену устройств на более безопасные для журналистов, НГО, юристов, активистов. «Мы одни из немногих, кто целенаправленно предоставляет такую поддержку, при очень ограниченных средствах, а нужно, чтобы таких организаций было много», — считает Наталья Крапива.

Access Now поощряет практику превентивных проверок — особенно если владелец аппарата в группе риска.

• ВАЖНО: Access Now часто выявляет заражения у тех, кто не получал (или не заметил) оповещения от Apple.

«Если вы живете в стране, которая пользуется Pegasus и подобными вредоносными программами, и вы своей работой или деятельностью причиняете дискомфорт таким государствам — не помешает периодически проверять устройства и у своих сотрудников», — добавляет эксперт организации.

Против давления на журналистов — и в том числе «заражения» их телефонов «шпионскими программами» — во вторник, 3 октября, выступили депутаты Европарламента.

Введения во всем Евросоюзе прямого запрета на «подсаживание» шпионских программ в устройства журналистов во вторник, 3 октября, потребовали члены Европарламента. Шпионское ПО следует применять только в строго определенных случаях, только в качестве крайней меры, и только это делается в ходе расследования независимым судебным органом серьезного преступления — такого, как терроризм или торговля людьми.

Эта общая позиция ЕП по Европейскому закону о свободе СМИ получила поддержку 446 депутатов, 102 высказались против, 75 воздержались, сообщает пресс-служба ЕП. (Сам документ готовит Еврокомиссия; Европарламент этим голосованием фактически дает ей поручения.) Кроме того, парламент считает необходимым исключить давление на журналистов — например, принуждение раскрыть источники или открыть доступ к зашифрованному контенту на их устройствах. В целом

государствам-членам предполагается вменить в обязанность обеспечивать плюрализм СМИ и защищать их редакционную независимость — будь то от правительственного или частного вмешательства.

В отношении самих СМИ должны заработать механизмы прозрачности — и в отношении истинных владельцев, и в отношении рекламных потоков, поступающих от государственных структур, а также средств фондов, как «домашних», так и зарубежных, считает ЕП.