Сізді Pegasus бақылап отыр ма? Анықтау нұсқаулығы

Сыбайлас жемқорлық пен ұйымдасқан қылмысты зерттеу орталығы (OCCRP) 16 алпауыт медиамен бірігіп 2021 жылдың шілдесінен бастап израйлдік Pegasus бағдарламалық жабдықтау туралы жобасына қатысты ақпарат жариялай бастады — “шпион” ондаған елде журналистерді, белсенділер мен саясаткерлерді тыңдаған. Қазақстан да сол елдердің қатарында бар болып шықты (Асқар Мамин мен Қасым-Жомарт Тоқаевты қосқанда 2 000 қазақстандықтың нөмірі). Телефонды тыңдау осымен аяқталады деуге келмес, ал бақылауда болған адамдардың тізімі толық болмауы мүмкін. Сондықтан сізге смартфоныңыз Pegasus шабуылына ұшыраған-ұшырамағанын өз бетіңізше білуге көмектесетін нұсқаулық ұсынамыз.

Біз Mobile Verification Toolkit (MVT) арқылы тексереміз. Бұл Amnesty International әзірлеген құрал, ол Pegasus-ты ғана емес, сонымен қатар ұялы телефоннан, SMS-тен, мессенжердегі хабарламалардан, қоңыраулар тарихынан трафикті талдай отырып, басқа шабуылдарды анықтауға көмектеседі. Шабуыл IOS құрылғысына көп жасалатындықтан, біз соларға мән береміз.

Дисклеймер: тексеру құралы Unix жүйесімен және пәрмен (команда) жолымен таныс, кем дегенде бастапқы кодпен жұмыс істейтін пайдаланушыға арналған. Егер бұдан хабарыңыз болмаса, онда сіз танитын диджитал криминалистика бойынша сарапшыны немесе жай ғана «линуксоидты» (Linux операциялық жүйесінде тәжірибесі бар қолданушы) табуды ұсынамыз. Ең дұрысы, оның сенімді болғаны ләзім және ағылшын тіліндегі құралды жасаушылардың егжей-тегжейлі нұсқаулығын түсіне алуы керек.

Алайда, мұндай сенімді таныс таппай, құрылғыңыздағы “нәзік контенттің” тарап кетуін мүмкіндігінше азайтқыңыз келсе, төмендегі нұсқаулықты оқыңыз. Біз барынша қарапайым әрі түсінікті жаздық.

Mac немесе Linux көмегімен Pegasus-тың бар-жоғын қалай анықтауға болады?

Алдымен бірқатар пакеттерді жүктеу керек. Мұның ең оңай жолы (басқа әрекеттер сияқты) Терминалда пәрмен жолын қолдана отырып жасалады. Linux пайдаланушылары үшін терминал күнделікті жұмыс істейтін бағдарлама. Терминал туралы бірінші рет естіген маководтар үшін — оны Launchpad-да бағдарламаларды іздеу арқылы табуға болады.

Әрі қарай — Linux және Mac-та бағдарламаларды орнату және бэкап жасау алгоритмдері.

Linux-та орнату және бэкап

Терминалға келесі командаларды енгізіңіз (командаларды осы беттен терминалға көшіріңіз):

sudo apt install python3 python3-pip libusb-1.0-0 sqlite3
sudo apt install libimobiledevice-utils
sudo apt install android-platform-tools-base
pip3 install mvt

Егер сізде iPhone болса, оны компьютерге қосыңыз және пәрменді пайдаланып көшірмесін жасаңыз

idevicebackup2 backup --full /path/to/backup/

мұндағы /path/to/backup/ — папкаңызға сіздің бэкаппен баратын жол, оны қарапайым қылыңыз, мысалы, жаңа папкаға, түбіріне /test, -ті енгізіңіз. Сол кезде оның түрі келесідей болуы мүмкін

idevicebackup2 backup --full /test/bcp

(осы командадағы “/” белгішесі қалталар арасындағы бөлу белгісі ретінде қызмет етеді)

Mac жүйесінде орнату және бэкап

Бізге xcode және brew пакеттері қажет, терминалға мыналарды енгізіңіз (әр пәрменнен кейін “енгізуді” (Enter-ді) басып, пакеттер орнатылғанша күтіңіз):

xcode-select --install
curl -fsSL -o install.sh https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh

iOS және Android үшін пакеттерді орнатыңыз

brew install python3 libusb sqlite3
brew install --HEAD libimobiledevice
brew install --cask android-platform-tools
pip install mvt

Алдымен iTunes көмегімен бэкап жасаңыз

Содан кейін Finder-де бэкап қалтасын (папка) табыңыз

Бэкап қалтасын тексеруге ыңғайлы орынға, мысалы, пайдаланушы қалтасына көшіріңіз, бұл оған қол жеткізуді жеңілдету үшін қажет болады. Мысалы, осылай (скриншоттағы сақтық көшірме қалтасы /sep2021 деп өзгертілді)

IPhone тексеру процесі (Linux пен Mac-тан ерекшеленбейді)

Сол жердегі терминалда алдымен бэкап шифрдан ажырату пәрменін енгізіңіз (шифрлау паролі)

mvt-ios decrypt-backup -p парольіңіз -d decrypt ~/cақтықкөшірмеңіздегі/папкағажол

Сізде шифрдан ажыратылған бэкап бар қалта пайда болады. Біз оны келесідей пәрменмен тексереміз

mvt-ios check-backup ~/шифрданажыратылғансақтықкөшірмесімен/папкағажол

Сонымен, терминалда соңғы команданы орындау кезінде барлық маңызды тұсы көрсетіледі. Сіз кез-келген бағдарлама мен файлға шабуыл болғанын, сондай-ақ браузердегі шабуылды көрсететін барлық күмәнді өтуді (переход) көресіз. Төмендегі скриншотта ақпаратты көрсету мысалы, ықтимал қауіптер WARNING деген ескерту арқылы көрсетілген.

Нақты Pegasus-ты қосымша тексеру үшін жүктеу қалтасына pegasus.stix2 файлын мына жерден жүктеп, келесі пәрменді іске қосыңыз

mvt-ios check-backup -o logs --iocs ~/Downloads/pegasus.stix2 ~/ шифрданажыратылбекап/папкағажол

Содан кейін сіз терминалдан көбірек ақпарат көресіз.

Android смартфонын тексеру процесі

Смартфонды компьютерге USB арқылы қосыңыз, компьютер оны пәрмен арқылы көретінін тексеріңіз

adb devices

егер бәрі жақсы болса, Android Debug Bridge-ді (adb) іске қосыңыз

mvt-android check-adb --output /path/to/results

Маңызды! Сізде смартфонға root қолжетімділік болуы керек. Егер сіз оның не екенін білмесеңіз, оны қоспаңыз. Маманмен кеңесіңіз.

Android үшін толығырақ нұсқаулықты мына жерден таба аласыз.

Windows көмегімен Pegasus-тің бар-жоғын қалай тексеруге болады?

Ең танымал операциялық жүйені пайдаланушылар, әдеттегідей, шет жақта қалып қойған, өйткені мұндай технологиялардың едәуір бөлігі Linux платформалары үшін жасалады. Сондықтан, екінші жүйе ретінде Linux-ті орнатуыңыз керек немесе виртуалды машинаны орнатып, осы мақаланың бірінші блогындағы Linux үшін сипатталған манипуляцияларды орындауға болады. Егер сіз тәжірибелі Windows пайдаланушысы болмасаңыз, онда кәсіби маманның көмегіне жүгіну керек. Бірақ екінші жүйені немесе виртуалды машинаны орнатқаннан кейін сіз осы материалдағы нұсқаулықты өзіңіз оңай пайдалана аласыз.

Думан Терликбаев
Шет тілдер және іскерлік карьера университетінің студенті. Республикалық "Жас Алаш" газетінде журналист-фрилансер қызметін атқарған.