Пегас - Лоран Ришар
Сроки были не единственным препятствием для Пола. Ему и еще нескольким новым партнерам не терпелось узнать больше о цифровой экспертизе, которую мы проводили. Клаудио Гуарниери пришлось потрудиться на третьей сессии встречи, когда он должен был представить партнерам, старым и новым, профессионально скептически настроенным, методологию работы Лаборатории безопасности и ее результаты, полученные на сегодняшний день.
Босс КЛАУДИО, ДАННА ИНГЛТОН, возглавила дискуссию о криминалистике в аудитории Le Monde. Это был первый момент, когда представители всех партнеров проекта Pegasus собрались в одном помещении, чтобы послушать презентации и задать вопросы всей группой. Как и на любом собрании журналистов, лекции и подготовленные речи быстро уступили место вопросам. У Пола Льюиса был один большой вопрос, который он задал еще до того, как Данна успела передать программу Клаудио: "Вы сказали, что не знаете, кто будет проводить рецензирование, но не могли бы вы объяснить немного подробнее, что это значит? Это отчет, который рецензируется, или собственно экспертиза, которую вы предлагаете другой стороне для проведения собственного анализа? Как вы себе это представляете?"
Данна сказала, что предоставит Клаудио отвечать на технические аспекты вопроса, но сама хотела бы пояснить одну вещь. "В просторечии это означает, что экспертная оценка отчета будет экспертной оценкой судебной экспертизы, верно?" - сказала она. "Проблема - и я не думаю, что это плохая проблема. Это отличная проблема. Дело в том, что многое из этого - действительно новые методы. Если бы все знали, как проводить такие экспертизы, мы бы не оказались в том положении, в котором оказались. Приходится разбираться во всем по ходу дела. Поэтому нет такого человека, который мог бы посмотреть на это и сказать: "Все точно так, как написано в учебнике"". Клаудио и Доннча, как она хотела, чтобы ее поняли, писали совершенно новый учебник, причем во многом с нуля.
Я подумал, что, возможно, Клаудио уже немного раздражен. Он понимал необходимость экспертной оценки, но его способности словно ставились под сомнение еще до того, как он успел сказать хоть слово. Он также понимал, что Citizen Lab, хотя и негласно, находилась в центре этой дискуссии о рецензировании. На тот момент Citizen Lab была, пожалуй, самой известной и самой авторитетной в мире компанией по отслеживанию оружия киберслежения, особенно в отношении НСО и ее системы "Пегас". Но мы с Лораном, как и вся команда Лаборатории безопасности Amnesty International, не хотели привлекать исследователей из Citizen Lab к проекту на столь раннем этапе, когда секретность была крайне важна. Нам удалось отложить обсуждение экспертной оценки на потом и перейти к официальному выступлению Клаудио.
В программе, которую мы распространили, Клаудио отводил чуть больше часа на то, чтобы рассказать всем партнерам о данных, к которым мы получили доступ, о методологии криминалистики, которую они с Доннчей внедрили, и о результатах, которых им удалось достичь на данный момент. Спустя два часа Клаудио все еще был на сцене. Его официальное выступление прерывалось вопросами из зала. Но чем дольше он говорил, тем меньше эти вопросы походили на вызов, а больше - на искреннее любопытство. Чем больше Клаудио говорил, тем более любознательными становились журналисты.
Презентация Клаудио, проходившая без остановок, была подробной и мастерской. Он объяснил, как именно развивался криминалистический инструмент Security Lab в последние пару лет, и как именно он научился находить ранее невидимые доказательства атак и заражений Pegasus. Он также откровенно рассказал об ограничениях: например, он и Доннча вряд ли когда-нибудь найдут копию шпионского ПО на зараженном телефоне. "[Вредоносная программа] на самом деле не хранится в телефоне", - сказал Клаудио в ответ на один из вопросов. Поэтому, если вы перезагружаете телефон или у вас разряжается батарея, заражение исчезает". Но [конечных пользователей Pegasus] это не волнует, потому что они просто собираются снова атаковать вас при следующей возможности. И это происходит автоматически. Они могут решить, что во вторник мы просто получим все SMS-сообщения, а потом снова получим их в четверг. Это максимально оппортунистично, потому что нет никаких условий, которые помешали бы им добиться успеха. Пока у них работает эксплойт, они могут эксплуатировать вас пять раз в день и просто загружать все, что им нужно в этот конкретный момент".
Он также предложил присутствующим в зале журналистам краткий урок истории, рассказав о различных этапах развития и совершенствования технологии Pegasus: от грубых эксплойтов в один клик, основанных на социальной инженерии и SMS, до многочисленных перестроек интернет-инфраструктуры Pegasus, хитроумно подстроенных имен выполнения процессов, которые имитировали имена легитимных процессов iOS, и, наконец, до мастерства NSO в создании эксплойтов нулевого дня, использующих уязвимости, обнаруженные исследователями в iMessage и Apple Photos. Даже если Apple находила брешь и устраняла ее, объяснил Клаудио, NSO часто была способна найти новую уязвимость и разработать новый эксплойт.
Крейг Тимберг, освещающий вопросы технологий и технологических компаний в газете Post, остановил Клаудио, чтобы получить разъяснения. Он был несколько удивлен тем, что самая заботящаяся о безопасности технологическая компания в мире не заблокировала Pegasus. "Если iMessage является основным вектором атаки на данный момент, есть ли что-то в том, как Apple разработала iMessage, что делает его особенно уязвимым?" - спросил он. "Есть ли что-то, что они должны сделать, чтобы усложнить задачу, сделать ее менее вероятной?"
Клаудио сделал небольшую паузу, как я видел сотни раз до этого, и задумался. Он хотел быть точным в своих словах. "Так что это не обязательно то, что Apple сделала что-то не так с iMessage", - объяснил он. "Причина его популярности та же, что и у SMS-сообщений со ссылками, которые в свое время были очень популярны, а потом [НСО] отказались от них, потому что их слишком часто ловили. Но причина, по сути, в том, что они знают, что приложение [iMessage] будет на каждом iPhone. Так что это очень привлекательная цель с точки зрения эксплуатации, потому что, получив один
