“Projekti Pegasus”: si funksionon, kush është më i cenueshëm dhe pse është e vështirë të mbrohemi nga hakerat

Nga Craig Timberg  dhe  Drew Harwell

“Projekti Pegasus” i është nënshtruar një hetimi, kryer nga “Washington Post” dhe 16 kompani lajmesh në 10 vende të ndryshme të botës, nën koordinimin e organizatës jo-fitimprurëse me bazë në Paris “Forbidden Stories” dhe “Amnesty International”. Dy organizatat kishin akses në një listë me më shumë se 50,000 numra telefoni, që kishin shërbyer si objektiva vëzhgimi për klientët e kompanisë izraelite të spiunazhit “NSO Group”, listë të cilën e ndanë me gazetarët. Për disa muaj me radhë, gazetarët rishikuan dhe analizuan listën, në synimin për të mësuar identitetin e pronarëve të numrave të telefonit, si dhe për të përcaktuar nëse telefonat e tyre ishin survejuar nga “NSO Group”.

Nga hetimi, u konstatua se nga numrat e telefonit që gjendeshin në listë, më shumë se 1,000 u takonin zyrtarëve të qeverive të ndryshme, si dhe gazetarëve, biznesmenëve dhe aktivistëve të të drejtave të njeriut, ndërsa për 67 numra të listës u arrit të mblidheshin edhe të dhëna. Këto të dhëna u analizuan në mënyrë ligjore nga Laboratori i Sigurisë i “Amnesty International”. Për tridhjetë e shtatë prej tyre, provat treguan ose përpjekje për një ndërhyrjeje ose ndërhyrje e suksesshme.

Analiza e mëtejshme tregoi se shumë prej ndërhyrjeve ose përpjekjeve për ndërhyrje janë regjistruar menjëherë pasi numri i telefonit ishte futur në listë – disa brenda sekondave – duke sugjeruar një lidhje midis listës dhe përpjekjeve të mëpasshme për mbikëqyrje.

Pyetjet që shtrohen janë: Sa të prekshëm jemi, si qytetarë, nga ndërhyrje të kësaj forme? A ka hapa që mund të ndërmarrim për ta mbajtur telefonin të sigurt?  

Fillimisht, çfarë është një “aplikacion spiunimi” dhe kush e përdor atë?

“Aplikacion spiunimi” është termi që përdorim për të karakterizuar një kategori të caktuar programesh, synimi i të cilave është mbledhja e informacioneve nga kompjuteri, telefoni ose çfarëdo pajisje elektronike e një personi, pa dijeninë e tij. “Aplikacioni i spiunimit” mund të jetë relativisht i thjeshtë – në këtë rast, projektuesi njeh pikat e dobëta të sigurisë të pajisjeve dhe programeve të ndryshëm dhe që përdoren gjerësisht, të cilat i shfrytëzon me kujdes për ta bërë spiunimin sa më të paidentifikueshëm. Por mund të jenë edhe shumë të sofistikuar dhe u japin mundësi zotëruesve të “fusin hundët” edhe në pajisjet më të fundit dhe me nivele tejet të larta sigurie – këtë ka bërë “Projekti Pagasus”.   

Aplikacionet e sofistikuara të spiunimit zakonisht përdoren nga agjencitë e zbatimit të ligjit ose të inteligjencës dhe janë shumë të shtrenjta. Ekziston një treg i fuqishëm privat që u mundëson kombeve që kanë mundësi të përballojnë shpenzimet e kësaj natyre, përfshirë Shtetet e Bashkuara. Prej kohësh dyshohet se edhe grupet terroriste apo bandat e sofistikuara kriminale kanë qasje në aplikacione të kësaj natyre. Për shembull, një aplikacion i kësaj natyre u krijua nga një kompani tjetër izraelite, Candiru, i cili u përdor për të infektuar kompjuterat dhe telefonat e aktivistëve, politikanëve dhe viktimave të tjera përmes faqeve ueb që reklamoheshin si promovuese të kauzave të ndryshme, si “Black Lives Matter” – deklaruan studiuesit e sigurisë kibernetike të Microsoft dhe Citizen Lab të Universitetit të Torontos.

Çfarë informacioni mbledh një aplikacion i kësaj natyre?

Pothuajse gjithçka që gjendet në kujtesën e pajisjes elektronike është e prekshme nga një aplikacion spiun i sofistikuar. Shumë njerëz janë të njohur me përgjimin tradicional, i cili lejon monitorimin në kohë reale të thirrjeve, por këto lloj aplikacionesh synojnë shumë më tepër, duke filluar nga posta elektronike deri tek postimet në rrjetet sociale, regjistrimet e thirrjeve apo edhe mesazhet e shkëmbyeta në aplikacione të koduara të bisedave si “WhatsApp” ose “Signal”. Akoma, mund të përcaktojë vendndodhjen e përdoruesit, së bashku me faktin nëse personi është në prehje ose në lëvizje – dhe nëse po, edhe në çfarë drejtimi po kryhet lëvizja; mund të mbledhë kontakte, emra përdoruesish, fjalëkalime, shënime dhe dokumente, si fotografi, video dhe regjistrime zanore; mund të aktivizojë mikrofonin dhe kamerën – pa ndezur dritat ose ndonjë tregues tjetër që tregon se regjistrimi ka filluar. Në thelb, nëse përdoruesi mund të bëjë diçka në pajisjen e tij, këtë mund ta bëjnë edhe operatorët e aplikacioneve spiune të sofistikuara.  Disa madje mund të dërgojnë skedarë në pajisje pa miratimin apo dijeninë e përdoruesit.

Pse nuk e ndalon kriptimi këtë?

Ajo që njihet si “enkriptimi fund më fund” mbron transmetimin e të dhënave midis pajisjeve. Enkriptimi është i dobishëm sepse ndalon sulmin e një hakeri që përgjon dhe kupton se është është dërguar një mesazh midis dërguesit dhe marrësit të tij: mesazhi është i kyçur me një çelës specifik të enkriptimit. Forma të tilla të kriptimit, filluan të përdoren gjerësisht në shërbimet tregtare, pas skandalimit të përgjimeve denoncuar nga Edward Snowden më 2013, pjesë e Agjencisë Kombëtare të Sigurisë, por në të njëjtën kohë e bënë të vështirë për agjencitë qeveritare të kryejnë mbikëqyrje masive gjatë monitorimit të trafikut të Internetit. Por nuk janw të dobishme për të na ruajtur nga sulmet e aplikacioneve spiune, që kanë objektiv pikërisht “pikën përfundimtare”, ose ndryshe synojnë fundin e komunikimit: sapo mesazhi i koduar hyn në pajisjen e synuar, sistemi ekzekuton një program për të deshifruar mesazhin dhe për ta bërë atë të lexueshëm. Kur kjo ndodh, mesazhi tashmë regjistrohet edhe nga palët që janë jashtë komunikimit.

Çfarë është NSO?

“NSO Group” është një kompani private me seli në Izrael që është prodhuese kryesore e  aplikacioneve spiune. Një nga produktet e prodhuara nga ky grup quhet “Pegasus” dhe është krijuar për të depërtuar në pajisjet “iPhone” dhe “Android”. E themeluar në vitin 2010, kompania thotë se ka 60 klientë qeveritarë në 40 vende. Kompania, e cila gjithashtu ka zyra në Bullgari dhe Qipro, thuhet se ka 750 punonjës dhe regjistroi të ardhura prej më shumë se 240 milion dollarë vitin e kaluar. Shumicën e aksioneve të “NSO Group” e zotëron Novalpina Capital, një firmë me kapital privat, me qendër në Londër.

Kush janë klientët e “NSO Group”?

Kompania nuk i tregon klientët dhe justifikohet duke përmendur marrëveshjet e konfidencialitetit. “Citizen Lab” ka dokumentuar infeksione të dyshuara nga “Pegasus” në 45 vende: Algjeri, Bahrein, Bangladesh, Brazil, Kanada, Egjipt, Francë, Greqi, Indi, Irak, Izrael, Bregu i Fildishtë, Jordan, Kazakistan, Kenia, Kuvajt, Kirgistan, Letoni, Liban, Libia, Meksika, Maroku, Hollanda, Omani, Pakistani, territoret Palestineze, Polonia, Katari, Ruanda, Arabia Saudite, Singapori, Afrika e Jugut, Zvicra, Taxhikistani, Tailanda, Togo, Tunizia, Turqia, Emiratet e Bashkuara Arabe, Uganda, Mbretëria e Bashkuar, Shtetet e Bashkuara, Uzbekistani, Jemeni dhe Zambia. Sidoqoftë, prania e telefonave të infektuar nuk do të thotë domosdoshmërisht se qeveria e një vendi është klient.

“NSO Group” ka thënë prej kohësh që “Pegasus” nuk mund të përdoret për të shënjestruar telefonat në SHBA dhe se duhet të përdoret vetëm kundër “kriminelëve dhe terroristëve të dyshuar”. Por grupet kërkimore kanë zbuluar se është përdorur për të spiunuar figura politike, gazetarë dhe aktivistë të të drejtave të njeriut – gjetje të konfirmuara nga hetimi i Projektit Pegasus.

Si zbulohet që një pajisje është infektuar me një aplikacion spiun?

Aplikacionet spiune moderne ndërtohen për të kapërcyer sistemet e mbrojtjes së pajisjes apo të programit që po përdor dhe kur ia arrijnë synimit, operojnë në mënyrë të atillë sikur asgjë nuk ka ndodhur, kështu që telefonat e hakuar shpesh duhet të shqyrtohen nga afër para se të tregojnë provat se ishin shënjestruar. “Amnesty’s Security Lab” krijoi një test për të skanuar të dhënat nga telefonat për gjurmët e një infeksioni të mundshëm “Pegasus”. Konsorciumi i organizatave pyeti njerëzit nëse do të pajtoheshin me analizën pasi të mësonin se numrat e tyre ishin në listë. Gjashtëdhjetë e shtatë ranë dakord. Prej tyre, të dhënat për 23 telefonë treguan prova të një infeksioni të suksesshëm dhe 14 kishin gjurmë përpjekjesh.

Për 30 telefonat e mbetur, testet ishin jopërfundimtare, në disa raste sepse telefonat kishin humbur ose ishin zëvendësuar. Gjithesi, testet u zbatuan  në skedarë rezervë, që kishin të dhëna nga telefoni i mëparshëm. Pesëmbëdhjetë nga testet ishin në të dhëna nga telefonat Android – asnjë prej tyre nuk tregonte prova të infeksionit të suksesshëm. Sidoqoftë, ndryshe nga iPhone, Androids nuk regjistrojnë llojet e informacionit të kërkuar për punën detektive të Amnesty. Tre telefona Android treguan shenja të shënjestrimit, siç janë mesazhet SMS të lidhura me “Pegasus”.

A mund të them nëse pajisja ime është hakuar?

Me siguri jo. Aplikacioni spiun është krijuar për të punuar vjedhurazi dhe për të mbuluar gjurmët e tij. Kjo është arsyeja pse mbrojtja më e mirë është ruajtja nga infeksioni.

A është pajisja ime e prekshme?

Pothuaj të gjithë telefonat inteligjentë janë të prekshëm, ndonëse për shumicën e përdoruesve të zakonshëm të telefonave inteligjentë vështirë të thuhet se do të jenë ndonjëherë pjesë e listës së “Pegasus”. Përveç të dyshuarve për krime dhe terroristëve, ata që ka më shumë të ngjarë të jenë shënjestra vëzhgimi janë gazetarët, aktivistët e të drejtave të njeriut, politikanë, diplomatë, zyrtarë të lartë të qeverisë, biznesmenë të fuqishëm apo edhe të afërm dhe bashkëpunëtorë të kategorive të mësipërme. Telefonat e krijuar posaçërisht – dhe shumë të kushtueshëm – që përdorin varietete të sistemit operativ Android së bashku me masat e përparuara të sigurisë mund t’i rezistojnë sulmeve të kësaj natyre, por nuk ka asnjë mënyrë për ta ditur me siguri se sa mirë e kryejnë këtë mbrojtje.

A ka ndonjë rregull a ligj për të na mbrojtur?

Në pjeswn më të madhe të vendeve të botës ka pak mbrojtje kuptimplote ligjore nga të qenit shënjestër i sulmeve të kwsaj natyre. “NSO Group” thotë se “Pegasus” nuk mund të përdoret në numra brenda SHBA, aleati më i rëndësishëm i Izraelit. SHBA kanë disa kufizime ligjore për aplikacione të kwsaj natyre, përfshirë Ligjin Federal të Mashtrimit dhe Abuzimit me Kompjuterin, i cili u miratua në vitin 1986 dhe ndalon “hyrjen e paautorizuar” në një kompjuter ose telefon, por gjuha e paqartë e formulimit ka bërë që shpesh të zbatohet në mënyrë të pabarabartë në gjykatë. Disa shtete kanë miratuar ligje mbi sigurinë kibernetike dhe ligjet e privatësisë, siç është Akti i Përgjithshëm i Hapjes së të Dhënave Kompjuterike dhe Mashtrimit i shtetit të Kalifornisw, i cili ndalon ndërhyrjet ose ndërhyrjet elektronike. “WhatsApp” i ka cituar të dy ligjet në një çështje gjyqësore që ka hapur kundër “NSO Group” dhe që është në vazhdim.

A ka gjëra që mund të bëj për ta bërë veten më të sigurt?

Ekzistojnë disa parime kryesore të sigurisë kibernetike që i bëjnë njerëzit disi më të sigurt nga hakerat e të gjitha llojeve:

  • Përditësoni pajisjet dhe programet, mundësisht duke aktivizuar “përditësimet automatike”.
  • Pajisjet që kanë më shumë se pesë vjet që përdoren – veçanërisht nëse ato po përdorin sisteme operative të vjetruara – janë veçanërisht të cenueshme.
  • Përdorni një fjalëkalim unik, të vështirë për t’u menduar për secilën pajisje, faqe dhe aplikacion që përdorni dhe shmangni ato të parashikueshme lehtësisht bazuar në numrin tuaj të telefonit, datën e lindjes ose emrat e kafshëve tuaja shtëpiake.
  • aktivizoni “vërtetimin me dy faktorë” kudo që mundeni. Në rrjedhojë, faqet që përdorni do ju kërkojnë jo vetëm fjalëkalimin, por edhe një kod të dytë, ose do iu dërgojnë në telefonin tuaj një mesazh të veçantë vërtetues.
  • Shmangni klikimin në lidhje ose bashkëngjitje nga njerëz që nuk i njihni. Kur është e mundur, aktivizoni “mesazhet që zhduken” ose cilësime të ngjashme në mënyrë që komunikimet të zhduken automatikisht pas një periudhe të caktuar kohe.
0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published.