Cyberbezpieczeństwo dla laika, czyli jak się ustrzec przed Pegasusem i nie tylko

Temat oprogramowania Pegasus rozpala wyobraźnię wielu przedsiębiorców i bardziej zaawansowanych użytkowników. Na dedykowanych forach dyskusyjnych często pojawiają się rozliczne pytania jak się przed takim oprogramowaniem obronić i czy da się w 100% zabezpieczyć przed próbą kradzieży danych.

Kto może być podejrzany?

Na początek zastanówmy się kto może zostać zaatakowany Pegasusem lub jego odpowiednikiem – tak są też inne, mniej popularne aplikacje, które działają podobnie. Teoretycznie takiego narzędzia nie powinni obawiać się statystyczni Kowalscy. Ich inwigilacja jest po prostu nieopłacalna, a ich prywatne życie służb nie obchodzi. Mieć się na baczności powinni jedynie działacze społeczni, w tym politycy, terroryści, oraz potencjalni przestępcy, a także osoby, które mają z nimi jakiś kontakt. Niestety ta ostatnia kategoria sprawia, że w praktyce każdy z nas może być poddany inwigilacji. 

Ostatecznie majster budowlany, który przeprowadza remont domu dla inwigilowanej osoby sam może być podsłuchiwany z uwagi na częste kontakty z takim delikwentem. Co prawda służby zapewne szybko zorientują się, że nie ma on zbyt wiele wspólnego z działalnością swojego klienta i odpuszczą, ale do tego czasu żaden z sekretów takiego majstra nie będzie bezpieczny. A to, jak można się domyślić nie napawa zbytnim optymizmem i nie pomaga tu fakt, że prawdopodobnie taki majster nigdy się o prowadzonym z jego udziałem dochodzeniu nie dowie.

Zabezpieczenie idealne

Jak w takim wypadku można się zabezpieczyć, a przynajmniej przed Pegasusem i jego pochodnymi? Najlepiej byłoby kupić działkę na odludziu, wynieść z niej każdy sprzęt, który ma jakikolwiek mikroprocesor, a laptopa i telefon obowiązkowo po zakończeniu używania odłączać od prądu i sieci, wyciągać baterię i szczelnie owijać folią. Dla pewności warto robić to już kilka kilometrów od miejsca zamieszkania, tak, żeby trudniej było wyśledzić dokąd zmierzamy. 

Problemy z takim rozwiązaniem są zasadniczo dwa. Po pierwsze jest ono bądź co bądź dość niewygodne, a po drugie takie nierutynowe zachowanie może ściągnąć na nas jeszcze większe zainteresowanie ze strony służb, które zapewne będą chcieli dociec co robimy nie tak, skoro tak bardzo chcemy ukryć się przed światem. Nikt nie potrzebuje przecież drugiego unabombera.

Co w takim razie robić i jak żyć?

Po pierwsze nie dajmy się zwariować. Następnie warto się zastanowić jak konsumujemy treści i które z naszych danych chcemy chronić za wszelką cenę. Jeśli okazuje się, że w zasadzie nie mamy za bardzo powodu by coś przed organami ścigania ukrywać, to możemy poprzestać na standardowych zabezpieczeniach. 

Oczywiście mimo wszystko warto wdrożyć kilka zasad bezpieczeństwa. Poniżej załączamy listę polecanych praktyk z zastrzeżeniem, żeby nie popadać w paranoję.

Lista dobrych praktyk przeciwko Pegasusowi i nie tylko

1. Zawsze aktualizuj oprogramowanie telefonu i komputera – nie ma w 100% bezpiecznego oprogramowania. Każde posiada luki i jest tylko kwestią czasu aż ktoś je odnajdzie i wykorzysta. Dlatego też producenci nieustannie coś w swoim kodzie poprawiają wypuszczając łatki, a ich instalowanie radykalnie podnosi poziom naszego bezpieczeństwa.
2. Dbaj o to by twój sprzęt był wspierany przez producenta, staraj się go co jakiś czas wymieniać na nowy – przypadek luk Spectre i Meltdown pokazuje, że nawet nowe procesory potrafią mieć sprzętowe luki. Warto więc sprawdzać, czy i nasz sprzęt nie ma takowych i czy producent dba o ich mitygację.
3. Warto rozważyć zakup mniej popularnego sprzętu. Niszowy smartfon z Androidem może być trudniejszy do ataku.
4. Często restartuj swoje urządzenie – Pegasus i jego pochodne zazwyczaj są przechowywane w pamięci podręcznej.
5. Korzystaj z oprogramowania antywirusowego, zapór sieciowych i menedżerów haseł, najlepiej takich z automatycznym raportem bezpieczeństwa. Nie uchroni Cię to przed Pegasusem, ale pamiętaj, że nie jest to jedyny rodzaj zagrożenia.
6. Korzystaj z długich, losowych haseł.
7. Zaopatrz się w sprzętowy klucz U2F lub dwa, rozważ wykorzystanie VPNa.
8. Nie zostawiaj urządzenia bez opieki – dostęp fizyczny to najlepszy sposób na podrzucenie Ci czegoś.
9. Korzystaj z szyfrowanej komunikacji i pamiętaj o automatycznym usuwaniu korespondencji.
10. Unikaj SMSów, są łatwe do przechwycenia.
11. Nie klikaj w żaden link i uważaj na zagrywki socjotechniczne.
12. Nie ufaj do końca żadnym źródłom – ID SMSa czy maila można łatwo zmienić, a w kodzie strony zaszyć złośliwe oprogramowanie.
13. Pliki otrzymane od innych osób, którym nie ufasz w miarę możliwości uruchamiaj na zapasowym sprzęcie lub w maszynie wirtualnej.
14. Nie łącz się z sieciami publicznymi.
15. Uważaj co instalujesz.
16. Nie przechowuj na urządzeniu danych wrażliwych, których nie musisz tam mieć – nie da się ukraść czegoś, czego nie ma.
17. Nie ufaj, że Twoi znajomi wiedzą jak powinni się zabezpieczać przed wyciekiem danych i odnoś się do nich z ostrożnością.