Zhakowanie telefonu Bezosa budzi wątpliwości ekspertów

Raport techniczny wydany w związku z incydentem przez firmę FTI Consulting nie wykrył obecności złośliwego oprogramowania na telefonie Bezosa. Telefon badano w bezpiecznym środowisku laboratoryjnym, opracowanie ekspertyzy trwało dwa dni. W toku analizy nie wykryto obecności złośliwego oprogramowania, znaleziono natomiast podejrzany materiał wideo, który przesłano Jeffowi Bezosowi dnia 1 maja 2018 roku. Plik "zdaje się zawierać film promocyjny dotyczący telekomunikacji, nakręcony w języku arabskim".

Plik wideo przesłany na WhatsAppie z konta księcia Arabii Saudyjskiej Mohammada ibn Salmana opatrzony jest dwiema flagami - szwedzką i saudyjską. Został dostarczony przez szyfrowany downloader znajdujący się na serwerze mediów aplikacji WhatsApp i pozwalający potencjalnie na pobranie dodatkowego oprogramowania na telefon ofiary.

FTI Consulting poinformowało też, iż podczas próby analizy całego obrazu zawartości iPhone'a należącego do Bezosa napotkało trudności w postaci szyfrowania kopii zapasowej danych, wymagającego podania hasła dostępowego, którego - jak wynika z dostępnych publicznie informacji na ten temat - firma ta nigdy nie otrzymała.

"W ciągu zaledwie kilku godzin po otrzymaniu nagrania, na telefonie Bezosa rozpoczęła się masowa i nieautoryzowana eksfiltracja danych, która narastała i trwała przez wiele miesięcy po zdarzeniu" - czytamy w raporcie FTI Consulting. Eksperci zwrócili uwagę, że transmisja danych po odebraniu wiadomości nadanej przez bin Salamana wzrosła w porównaniu ze stanem sprzed tego zdarzenia o 29 tys. proc. do poziomu 126 MB objętości danych dziennie. Typowa dzienna transmisja danych dla tego modelu iPhone'a to około 430 KB - podkreślono.

Raport nie daje jednoznacznej odpowiedzi na to, czy na telefonie prezesa koncernu Amazon został zainstalowany system szpiegowski Pegasus produkowany przez izraelską firmę NSO Group, jak pierwotnie sugerowały media. Sprawę zhakowania smartfona Bezosa połączono z przypadkami użycia przez Arabię Saudyjską tego systemu, który pojawia się również w kontekście zabójstwa dziennikarza i publicysty należącego do Bezosa dziennika "Washington Post" Dżamala Chaszodżdżiego w 2018 roku.

FTI Consulting wskazało jednak, że zaawansowane systemy szpiegowskie takie jak Pegasus czy dostarczany przez zespół Hacking Team Galileo potrafią działać w oparciu o wiarygodne aplikacje i "ukrywają się" na urządzeniach ofiar w sposób uniemożliwiający ich wykrycie, celem gromadzenia i eksfiltracji danych. Firma uważa, że właśnie obecność takiego systemu na telefonie Bezosa może stanowić wyjaśnienie nagłego wzrostu ilości przesyłanych przezeń po otrzymaniu tajemniczego nagrania wideo danych.

Specjaliści z dziedziny informatyki śledczej, w tym cytowany przez media szef laboratorium zajmującego się analizami śledczymi dotyczącymi systemu iOS (Apple) Vladimir Katalov oceniają, że raport FTI Consulting jest niekompletny, a zastosowane przez firmę procedury mogły pozwolić na uzyskanie jedynie około 50 proc. informacji potrzebnych do przeprowadzenia rzetelnej analizy technicznej incydentu, zwłaszcza w kontekście przypuszczenia, jakoby włamanie do telefonu Bezosa było realizowane na zlecenie Arabii Saudyjskiej.

Z oceną tą nie zgadza się niezależny badacz cyberbezpieczeństwa i prywatności dr Łukasz Olejnik, który w rozmowie z PAP zaznaczył, iż "raport jest pracą analityczną i nie zawiera szczegółów technicznych". Jego zdaniem "są to wnioski na wysokim poziomie, a także poszlaki". W opinii Olejnika krytyka raportu bierze się stąd, iż środowisko specjalistów z branży cyberbezpieczeństwa oczekiwało bezpośrednich dowodów na zhakowanie telefonu Bezosa. "Trzeba pamiętać, że badanie śladów cyfrowych nie jest łatwe i tak naprawdę nie wiadomo obecnie, czy raport (FTI Consulting - PAP) to jedyne dostępne na ten temat informacje. Ja bym tego raportu nie potępiał" - mówił.

W przypadku domniemanego zhakowania telefonu Jeffa Bezosa ekspert zachowuje ostrożność w ocenach. "Jak wiadomo, błędy bezpieczeństwa były i zapewne są zarówno w systemie operacyjnym iOS, jak i w komunikatorze WhatsApp. Nie mamy szczegółów technicznych pozwalających na stwierdzenie, co naprawdę miało miejsce. Nie wiemy tego. Teoretycznie można było wykorzystać nawet słabości jednego i drugiego oprogramowania - po kolei przełamując kolejne warstwy zabezpieczeń. Ta praktyka jest wykorzystywana" - ocenił Olejnik.

Jak wskazał ekspert, celem cyberataku "może obecnie stać się każdy. Te zaawansowane technicznie są jednak zarezerwowane raczej dla celów ważnych. Takie operacje kosztują, wiążą się zatem również z ryzykiem. Koszty sprawiają, iż rozsądnie uznać jest, że atakujący mogą chcieć, aby ich inwestycja w działania się zwróciła - co może mieć miejsce w przypadku wybranych wysokich rangą urzędników państwowych, dziennikarzy czy biznesmenów".

Podkreślił jednak, że celem operacji z użyciem takich metod bywały jednak niejednokrotnie całe grupy społeczne, obejmujące "potencjalnie tysiące osób. Jak zwrócił uwagę, "metody identyfikacji i szacowania ryzyka wciąż ewoluują".

Specjalista wskazał, że osoby zaliczające się do grona objętego potencjalnie większym ryzykiem powinny ostrożnie dobierać wykorzystywane przez siebie środki techniczne i sposób, w jaki z nich korzystają. "Modele zagrożeń dla szefa dużej firmy, szefa sztabu kampanii wyborczej, dziennikarza czy arcybiskupa mogą się znacznie różnić - ze względu na ich indywidualne potrzeby i sposoby wykorzystywania technologii" - zaznaczył.

"Nie warto przy tym wierzyć w magiczne rozwiązania sugerujące, iż kupno określonego sprzętu czy oprogramowania zagwarantuje nagle niewiarygodnie wysoki poziom cyberbezpieczeństwa. Standardem powinno być aktualne oprogramowanie, czasem sprzęt i dobrze dobrane aplikacje - jak Signal w przypadku komunikatorów. Ostatecznie i tak zawsze pozostaje kwestia zaufania do producenta czy dostawcy. Wydanie oceny w tym zakresie przez przeciętnego użytkownika może nie być łatwe" - tłumaczył w rozmowie z PAP Łukasz Olejnik.