Transcription

Cześć! Jak kupuje się Pagazusa? Przede wszystkim za nie swoje pieniądze, a podatników i to zawsze są najprzyjemniejsze zakupy. Oprogramowanie tej kategorii miało być wykorzystywane przez dokładnie wyselekcjonowane służby do śledzenia najgorszej maści przestępców. Ale okazało się, że cele były zupełnie inne. To m.in. dziennikarze, aktywiści czy politycy opozycji i to w wielu krajach świata, bo Polska nie była tu wyjątkiem. No ale odstawmy w tej kwestii politykę na bok i zastanówmy się jak to jest rozwiązane tak z technicznego punktu widzenia. A pomoże nam w tym niedawno opublikowany raport Google Threat Analysis Group. Jak w ogóle znaleźliśmy się w tej sytuacji, że ofensywne oprogramowanie do inwigilacji na nieznaną wcześniej skalę sprzedawane jest przez prywatne firmy, o których w sumie niewiele tak naprawdę wiadomo? Jak działa cały przemysł handlu podatnościami? No i czy w ogóle można coś z nim zrobić? Zapraszam. Dawno, dawno temu, kiedy mówiło się o jakiejś powszechnej inwigilacji czy innym szpiegowaniu, przed oczami wszystkich stawały różne agencje wywiadowcze pokroju amerykańskiej National Security Agency. Nie bez powodu. Aby zawsze być o ten przynajmniej jeden krok przed resztą świata, zatrudniali oni rzesze specjalistów najwyższej klasy. Część z nich zresztą trafiała tam w zamian za skrócenie wyroków, ale dzisiaj nie o tym. Ostatnimi czasy jednak świat co nieco przyspieszył i raczej nie wydaje się, że nagle postanowił zwolnić. No i o ile ci najwięksi gracze nadal sobie nieźle radzą, mając prawie nieograniczone budżety, o tyle służby wywiadowcze mniejszych krajów często nie mogą pozwolić sobie na utrzymywanie tak rozbudowanych struktur. A rynek nie znosi próżni, popyt rodzi podaż itd. Powstają więc różne prywatne firmy sprzedające The Next Best Thing, czyli gotowe oprogramowanie do inwigilacji. Ale to, jak się okazuje, może kupić sobie prawie każdy w pierwszym lepszym sklepie z oprogramowaniem szpiegowskim. Rynek ten postanowiło więc przeanalizować Google w ramach swojej grupy do spraw analizowania zagrożeń i są nawet na tyle uprzejmi, że postanowili podzielić się nim szerzej ze wszystkimi. Nie bez powodu zresztą, ale do tego jeszcze dojdziemy. O tych największych graczach pokroju NSO Group i ich Pegasusa informowały chyba wszystkie media. Był taki moment, kiedy wydawało się, że wyskoczą zaraz nawet z lodówki. Ale wokół takich hegemonów branży zawsze jest jeszcze sporo pomniejszych biznesów. Od bezpośredniej konkurencji po taki drobny plankton. Badaczom Google udało się zidentyfikować oraz przeprowadzić obserwacje około 40 różnych grup wytwarzających oprogramowanie tej kategorii z całego świata. Jakiej kategorii? Zapytacie? A no, tytułują ich Commercial Surveillance Vendors, co na nasze przetłumaczyć można jako dostawców komercyjnego oprogramowania do inwigilacji, a wszystko kręci się wokół podatności. Tu krótkie trącenie, które zaznajmieni z tematem mogą śmiało pominąć i przeskoczyć od razu do następnego rozdziału. Podatności oprogramowania to takie jego pięty achillesowe, luki, które można wykorzystać w sposób, którego nie przewidział jego twórca. Często takie nieprzewidziane zachowania mogą prowadzić do niezamierzonych efektów. Na przykład eskalacji uprawnień, gdzie zwykły użytkownik nagle może skorzystać z możliwości zarezerwowanych teoretycznie tylko dla administratora systemu. Wykorzystując taką lukę można próbować podatny system jakoś zaatakować. Oczywiście wiele firm dba o jakość swojego oprogramowania i takie odnalezione dziury łata, najlepiej szybko. Jeżeli jednak odnaleziona luka jest już wykorzystywana do ataków, a producent wcale o niej nie wie i jest to dla niego niemiła niespodzianka, możemy mówić o tak zwanym Zero Day'u, bo dni na reakcję ma się dokładnie zero. Najczęściej sprawa ataku jest bardziej skomplikowana i nie wystarczy wykorzystywanie jednej luki, a trzeba znaleźć cały łańcuch kilku następujących kolejno po sobie. Wtedy mówimy o tak zwanym łańcuchu podatności. Ogólnie podzielić można je na trzy kategorie. Wspomnianą już związaną z eskalacją uprawnień, czyli Privilege Escalation, kiedy ktoś może zrobić coś, na co nie powinien mieć zgody. Sandbox Escape, czyli wyjście poza ograniczenia RAM środowiska, które zostało nam narzucone, np. umożliwiając jednej aplikacji dostęp do danych drugiej, którego mieć nie powinna. Oraz ostatnią Remote Code Execution, która umożliwia zdalne wykonywanie kodu na atakowanym urządzeniu. Skoro krótki słowniczek mamy już za sobą, zerknijmy, jak wygląda ekonomia branży podatności zgodnie z odwieczną zasadą Follow the Money. Za odkrycia podatności bardzo często odpowiadają badacze. W trakcie analizowania, jak coś działa, ktoś w dobrym miejscu zadaje sobie pytanie, a co by było gdyby, i natrafia na jakiś nieprzewidziany efekt. Np. w jakiejś bibliotece, przeglądarce internetowej, komunikatorze, czy nawet całym systemie operacyjnym. Ogólnie przyjętą dobrą praktyką wśród etycznie działających badaczy jest zgłaszanie ich producentom danego rozwiązania, w tym przypadku oprogramowania, i wspólna koordynacja tego, co wydarzy się dalej. Najczęściej ustala się jakiś termin graniczny, do którego producent deklaruje, że wprowadzi odpowiednie łatki. Termin ten po drodze ulega często przesunięciu, ale w końcu podatność zostaje naprawiona. Wtedy można już opublikować szczegóły dotyczące tego, co i jak się znalazło. Jeżeli kaliber tego jest spory, to może nawet ktoś nas zaprosi na poważną konferencję o cyberbezpieczeństwie, gdzie będziemy oklaskiwani przez tłumy fanów jak ekipa Dragon Sektora na Chaos Computer Club po odblokowaniu pociągów Newagu. Często nawet wiąże się to z jakąś gratyfikacją finansową, ale rzadko jest ona tak wysoka, żeby w ten sposób zostać milionerem. No właśnie, a gdyby tak zrezygnować z tych wszystkich oklasków, wiecznej chwały, pisków fanów, a przy okazji nie zaprzątać sobie głowy tą całą etyczną stroną? Wtedy można swoje odkrycie sprzedać na wolnym rynku, tylko takim czarnym, np. brokerom, czyli takim pośrednikom. Skupują oni z rynku różne podatności, które wydają im się interesujące, aby potem odsprzedać je drożej tym, którzy ich docelowo potrzebują. Mogą je też łączyć w różne paczki itd. Ogólnie chodzi o to co zwykle, czyli tanio kupić, drożej sprzedać, najlepiej temu, kto zapłaci najwięcej. A tym, kto szasta gotówką, coraz częściej jest dostawca komercyjnego oprogramowania do inwigilacji. Podatność trafia więc do takiej firmy, zresztą nie zawsze od brokera. Często firmy posiadają też etatowych pracowników, którzy się tym zajmują, albo mają już nawiązane relacje z poszukiwaczami podatności, freelancerami, którzy po prostu jak coś znajdą, to się do nich bezpośrednio zgłaszają. Rolą takiego komercyjnego dostawcy jest stworzenie z tego gotowego produktu. Tylko czym on właściwie jest? Ano ma umożliwiać praktycznie bezgraniczny dostęp do jakiegoś urządzenia ofiary, aby podsłuchiwać każdy aspekt jej życia. Widać tu szczególne skupienie na urządzeniach mobilnych. To przecież na nich zbieramy dziś zdecydowanie bardziej wrażliwe dane niż na komputerach. Galeria zdjęć, archiwum wiadomości czy historię lokalizacji. Ale to nie wszystko. Wyposażone są one też w wiele sensorów, do których można przejąć dostęp, tak jak do kamery i mikrofonu, co razem jest w stanie zdradzać o nas niewyobrażalną wręcz ilość informacji. Oprogramowanie mające przejąć kontrolę nad naszymi telefonami składa się z wielu ściśle powiązanych ze sobą elementów. Po pierwsze, trzeba jakoś zainicjować sam proces infekcji, co nazywamy wektorem ataku. Na przykład wysyłając wiadomość na komunikatorze albo zachęcając do zainstalowania kontrolowanej przez atakującego aplikacji. Można choćby zmusić operatora telekomunikacyjnego do zablokowania internetu ofierze i zaraz po tym wysyła jej się smsa z linkiem do pobrania niby oficjalnej apki, za pomocą której można go odblokować. Ale to wciąż wymaga akcji ze strony ofiary oraz jakiegoś poziomu socjotechniki, aby nie zorientowała się, że to podpucha. A świadomość osób szczególnie narażonych na takie zagrożenia szybko rośnie. Dlatego konieczność kliknięcia w przesłanego linka może nie być rozwiązaniem. Stąd po drugiej stronie skali stoją skomplikowane podatności zero-click, czyli metody całkowicie niewidoczne dla ofiary, nie wymagające jakiejkolwiek akcji. Są one bardzo specyficzne dla kombinacji konkretnej wersji telefonu i jego wewnętrznego oprogramowania. To czyni je bardzo trudnymi do znalezienia, a tym samym drogimi w zakupie. Kiedy już nawiążemy ten pierwszy kontakt, następnie konieczne jest wykorzystanie jakiejś luki, aby zainstalować samego robaka i ominąć wbudowane w urządzenie zabezpieczenia. A jak już zadomowimy się w systemie ofiary, to trzeba umożliwić zarządzanie takim przejętym telefonem. Służy do tego przeważnie jakiś zcentralizowany serwer kontroli, czyli Command & Control, w skrócie C2. Potrzebna jest też sieć do komunikacji, najlepiej dla odmiany zdecentralizowana i gwarantująca pełną anonimizację prowadzonego ruchu, aby z jednej strony nie dało się wykryć kto za całym atakiem stoi, a z drugiej umożliwić eksfiltrację zebranych danych. Najlepiej tak, aby ofiara nawet nie była świadoma, że ktoś ją zaatakował. Przeprowadzenie całego tego procesu wymaga technicznej wiedzy na bardzo wysokim poziomie. Często też trzeba go bardzo mocno personalizować pod daną atakowaną osobę. I na każdym z tych etapów wykorzystywane są różne podatności połączone w łańcuchy. I za to właśnie płaci się najwięcej. Za połączenie tego w całość. Tylko jak prowadzi się taki biznes i jaka jest jego skala? Google szacuje, że połowa podatności Zero Day wykorzystywanych przeciwko użytkownikom ich produktów, tym Androidowi, przechodzi właśnie przez ręce takich firm. A to na pewno wartość niedoszacowana. Po prostu tyle udało się potwierdzić. Czy to mało, czy to dużo? Oceńcie sami. Tacy dostawcy często próbują jak najdłużej pozostać w ukryciu. Choć to ukrycie jest mocno relatywne, bo są to normalne, legalne biznesy. W przeciwieństwie do grup cyberprzestępczych nie chowają się po darknecie. Posiadają swoje biura, podpisują umowę z pracownikami i klientami, czy o zgrozo pewnie nawet płacą podatki. Tworzą foldery reklamowe, które rozdają na branżowych konferencjach jak Offensive.com czy Hexacon oraz świadczą support dla swoich produktów. Operują jednak w odcieniach szarości bardzo zbliżonych do czarnego. Google przytacza kilka przykładów takich firm. Są wśród nich m.in. NSO, twórcy Pegasusa, czy Intelexa, autorzy Predatora. Ale o nich już wam bardziej szczegółowo opowiadałem, więc pomijmy je w tym miejscu. Wspomina się też o Varistonie. To hiszpańska firma, co ciekawe, mająca biuro w tym samym budynku, w którym barceloński oddział Red Hata. Przynajmniej tak twierdzi ich strona internetowa, bo podobno pracują z jakiegoś coworka w innej części miasta. Reklamują się jako dostawca personalizowanych rozwiązań w zakresie bezpieczeństwa informacji. A tak naprawdę tworzą produkt o nazwie Heliconia, służący do instalacji i oprogramowania z wykorzystaniem różnych podatności. Są w stanie wykorzystywać luki w Chromie, Firefoxie, Androidzie, iOSie, czy nawet Microsoft Defenderze. Ostatnimi czasy budowali podobno silną pozycję w Zjednoczonych Emiratach Arabskich. Varistonowi przydarzyła się niedawno jednak pewna poważna wpadka. No bo skąd Google wie o nich aż tyle? Ano ktoś, najprawdopodobniej z wewnątrz firmy, przesłał do Google masę informacji, m.in. o wykorzystywanych przez nich podatnościach Zero Day i całe to chowanie się latami jak krew w piach. To początek końca. Wielu pracowników opuściło firmę, jednak nie bardzo chcą coś więcej o niej powiedzieć, pewnie w związku z bardzo restrykcyjnymi umowami NDA, które podpisali. Ba, nie mogli się nawet chwalić na LinkedInie czy konferencjach, co robią, bo mieli zakaz, choć w sumie kto by się tam chciał chwalić czymś takim. Plotka głosi, że Variston zamyka już swoje progi, ale na jego miejsce przyjdą zaraz kolejni i będą tak samo reklamować się jako dostawcy narzędzi do walki z przestępczością na najwyższym szczeblu, np. z terroryzmem. I sprzedawać wszystko po prostu w jednej gotowej paczce, widniejącej jako jedna pozycja na fakturce za pieniążki. Duże pieniążki. Tylko jak się takimi produktami w ogóle handluje? Cóż, wiele możemy dowiedzieć się z wycieku oferty na system inteleksy o nazwie Nova. Nomen omen nieco nowszego niż Predator przynajmniej wiele na to wskazuje. Nie sprzedanie się na tym etapie samych podatności, tylko możliwość zdalnego infekowania telefonów. W sumie to takie pójście z duchem czasu i tworzeniem wszystkiego jako as a service z abonamentem, w ramach którego dostajemy aktualizacje, ale w sumie nigdy nie jesteśmy właścicielami produktu. Technikaliami zajmuje się dostawca. Jego odpowiedzialnością jest również szybkie reagowanie na wdrażane przez producenta oprogramowania poprawki do wykorzystywanych błędów. Jak coś zostanie załatane, to sprzedawca musi wymyślić, jak zrobić, aby szpiegowanie nadal było możliwe. Do tego dochodzi system monitorowania i analizy zebranych danych oraz konieczna do jego działania infrastruktura. No i oczywiście gwarancja, wsparcie, a nawet szkolenia dla operatorów. Mówimy w końcu o poważnej firmie dostarczającej poważny produkt. Takie przykładowe wycenione wdrożenie, umożliwiające wprowadzenie dziesięciu równoległych inwigilacji dla łącznie nawet stu celów, koszt takiej przyjemności? Bagatela? Osiem milionów wiórków. I to pewnie netto. Ale to tylko podstawowy pakiet. Można też dokupić różne DLC. Robak ma przeżywać restarty urządzeń, a nawet powroty do ustawień fabrycznych? Trzy miliony euro. Dodatkowo. Możliwość działania na urządzeniach spoza kraju kupca? Milion dwieście tysięcy euro. No ale w sumie płacimy i niczym więcej się nie martwimy. Po prostu działa. Tylko co dalej? Jakie skutki niesie za sobą wykorzystywanie takich narzędzi do inwigilacji? Przecież celami są zawsze jakieś jednostki. To ułamek z ułamka procenta wszystkich użytkowników usług. Czy warto się w ogóle nad tym problemem pochylać? Moim zdaniem tak. Bo o ile to właśnie bezpośrednio zaatakowani ponoszą największe konsekwencje, to nie są wcale jedynymi, na których ma to wpływ. Świadomość, że podglądano każdy nasz krok, musi być naprawdę przerażająca. W dodatku realnie wpływa na relacje tak prywatne, jak i służbowe. Ale nie tylko. Może też dotyczyć szeroko większej części społeczeństwa, bo skoro praktycznie każdy, każdej chwili może być niewidoczny dla niego sposób podglądany i podsłuchiwany, to zaczyna się zastanawianie, co tak właściwie mówimy. Może to w prostej linii prowadzić do ograniczania wolności słowa, czy nawet w dłuższej perspektywie wpływać choćby na wybory. Ale ja tu pitu-pitu, a zespół Google przytoczył trzy przykłady osób, które były celami takiego oprogramowania. Wybrałem nam najbliższy, czyli Galinę Timczenko, jedną z założycielek Meduzy, antyreżimowego rosyjskiego medium. Meduza powstała w odpowiedzi na przekręcenie śruby medium w Rosji w 2014 roku po aneksji Krymu i niedługo po ponownym dojściu Putina do władzy w roli prezydenta. Galina była celem Pegasusa w lutym zeszłego roku, choć nie udało się z wystarczającą pewnością ustalić na zlecenie jakiego kraju. Kiedy dowiedziała się, że tygodniami ktoś miał dostęp choćby do całej jej korespondencji, tak rywatnej jak i służbowej, zaczęła obawiać się o swoich bliskich. W dodatku dotarło do niej, że niektórzy z inwigilowanych w ten sam sposób dziennikarzy zostało zwyczajnie zamordowanych. Taka perspektywa może szybko zniechęcić do dalszej walki z systemem. Galina jednak nie ma zamiaru przestawać, szczególnie że widać pewne reakcje na tego typu oprogramowanie. Każda akcja, jak wiemy, rodzi też reakcję. Z jednej strony polityczną. Szersza świadomość społeczeństwa rodzi naciski, aby zakazać takiego oprogramowania prawnie. Kroki w tę stronę podejmowane są choćby w Stanach Zjednoczonych, gdzie zakazano wykorzystywania komercyjnego oprogramowania szpiegującego, stanowiącego zagrożenie dla bezpieczeństwa narodowego. Wraz z dziesięcioma innymi krajami Amerykanie zachęcają też cały świat, aby dostrzegł płynące z tej strony zagrożenie i postawił na ścisłą kontrolę nad takimi rozwiązaniami. Na razie to głównie obietnice i deklaracje. Zobaczymy więc, dokąd nas to zaprowadzi. Choć uczciwie przyznać też trzeba, że Stany Zjednoczone objęły kilka podmiotów, w tym NSO Group, sankcjami. Będąc amerykańską firmą, nie można z nimi handlować, a to pewnie odcina je od wielu zdobyczy technologii i części nabywców. No albo przynajmniej ten dostęp utrudnia, albo czyni go droższym, bo sposób przecież zawsze się jakiś znajdzie. Jednak tam, gdzie rządy działają z właściwą sobie inercją, jest oczywiście miejsce dla innych, zainteresowanych całą sprawą graczy. Firmy takie jak Facebook czy Apple próbują na swój sposób uprzykrzać życie producentom takiego oprogramowania. I to nie tylko składając przeciwko nim pozwy do sądów, co zrobiono choćby przeciwko NSO Group. Ale jak się okazuje, niewiele to zmieniło, bo nadal działają. Postawione w błysku fleszy firmy po prostu zmieniają nazwy, adresy swoich siedzib i operują dalej. Choć fakt, często kosztem jest przeskalowanie swojego biznesu do znacznie mniejszego formatu. Twórcy oprogramowania po jasnej stronie mocy starają się w miarę możliwości jak najszybciej załatać odkryte i zgłoszone im podatności. W szczególności te, które wiadomo, że wykorzystywane są ofensywnie. To najprostszy sposób na uprzykrzenie życia szpiegom, bo działa wielotorowo. Nie tylko czyni użytkowników nieco bardziej bezpiecznymi i zmusza atakujących do poszukiwania czy kupowania nowych rozwiązań. Pamiętajmy, że w przypadku oprogramowania szpiegowskiego przychodzi ono często w pakiecie z gwarancją operacyjności. Jeżeli uda się takiemu Google'owi sprawdzić, że przez kilka dni po aktualizacji Androida nie będzie można go złamać dotychczasowymi narzędziami, to rządowi nabywcy tych zabawek mogą się nieco zezłościć. A mało kto chce zostać wrogiem totalitarnego reżimu. To nie tylko podnosi firmom koszty, ilość pracy, ale też poziom stresu, bo generuje napięcie na linii z klientami w związku z niewywiązywaniem się z zawartej umowy. W Intelexie na przykład powrót do normalnego działania zajął rzekomo całe tygodnie po załataniu luki w Chromie, wykorzystywanej przez nich bardzo szeroko. Ponad 40 dni szukali rozwiązania i kiedy je znaleźli, Google po kolejnych czterech dniach załatało również tę dziurę. No nie wiem jak wy, ale ja nie byłbym zadowolony z produktu, który kosztował miliony euro i działa na przykład przez tydzień raz na dwa miesiące. To ciągła walka dobra ze złem. Podatność? Łatka. No to następna podatność. Dlatego między innymi z racji bardzo szybkiego tempa widać pewien trend tworzenia takiego oprogramowania do inwigilacji modułowo. Na przykład intelexowego Predatora czy też rozwiązania od Veristona, czyli Helikonii. Kiedy jakiś moduł przestaje być aktualny, to się go wymienia na taki, który działa i dostarcza te same funkcje. Dzięki temu nie ma konieczności modyfikowania reszty oprogramowania. Można też wykorzystywać część kodu pomiędzy platformami i nie wynajdywać koła na nowo. Na przykładzie Helikonii widać też dobrze, jak skomplikowanym procesem jest wytwarzanie oprogramowania tak w ogóle. Łańcuch podatności o nazwie Bridgehead stosowany był do infekowania Samsungów. Składał się z sześciu podatności, z których cztery były Zero Dayami. Dwie pozostałe zostały już załatane przez odpowiednie jednostki, ale to wcale nie pomogło. Dlaczego? Jedna z nich dotyczyła przeglądarki Chrome i została załatana parę miesięcy wcześniej w wersji 105. Jednak atakujący zmuszali telefon do otwarcia linka w przeglądarce Samsunga, wbudowanej we wszystkie telefony firmy. Ona też oparta jest o silnik Chromium, jednak z racji bycia dalej w łańcuchu wytwarzania oprogramowania przeważnie jest nieco w tyle z aktualizacjami. W chwili ataku aktualna wersja Samsung Browser nadal opierała się o wersję 102 Chromium. Podobnie było w kwestii drugiej podatności dotyczącej samego Androida, a dokładniej sterownika do układu graficznego Mali. Dostawca procesorów, czyli ARM, załatał dziurę rok wcześniej, ale poprawki nie zostały wbudowane w aktualizację oprogramowania telefonów i rozesłane na wszystkie urządzenia. Tym sposobem dwie podatności, które od dawna nie były już zero dayami, w praktyce nadal nimi pozostawały. To tak jakby ktoś pytał, czy warto aktualizować swoje urządzenia. Bo pewnie nigdy nie pozbędziemy się dostawców oprogramowania do inwigilacji. Popyt rodzi podaż i zawsze znajdzie się ktoś, kto będzie chciał posiadać nielegalny dostęp do cudzych informacji. Ale kolektywnie próbując, możemy znacznie ograniczyć ich siłę rażenia. Co robić i jak żyć? Firmy tworzące oprogramowanie po jasnej stronie mocy dzielą się często publicznie wiedzą na temat luk w swoich produktach. Oczywiście po ich naprawieniu, aby inni na bazie popełnionych błędów i zdobytych doświadczeń mogli się czegoś nauczyć. I to jest genialna praktyka, zasługująca na bezgraniczny podziw, gdy ktoś dla dobra ogółu chowa swoje ego głęboko do szafy. Działaj właśnie w ten sposób. Wygląda na to, że właśnie przejrzystość jest największym zagrożeniem dla firm produkujących oprogramowanie do inwigilacji. Podobnie jak udostępnianie publicznie informacji o tych firmach, które udaje się odkryć, co wpisuje się w ten sam schemat oświetlania z maksymalną mocą tego, co chciało przecież pozostać w cieniu. Ale to oczywiście nie wszystko. Bardzo ważną rolę odgrywają programy bug bounty, czyli takie, które wypłacają badaczom całkiem pokaźne nagrody za odnalezione i prawidłowo zgłoszone błędy. Prawie każda szanująca się firma w IT daje taką możliwość. Okej, kwoty te nie są tak wysokie jak zarobki na czarnym rynku, to oczywiste, ale to i tak bardzo dobry krok, bo istnieje jakakolwiek alternatywa. Możesz zarobić po prostu trochę mniej, przy czym nadal całkiem nieźle, ale nie pomagać przestępcom, no czy tam wątpliwym etycznie biznesom. Granica ta bywa cienka. Jeżeli są chętni kupcy, zawsze znajdzie się ktoś, kto przygotuje produkt, aby im go sprzedać. Szczególnie kiedy w grę wchodzą tak wielkie pieniądze. Dlatego nie przykładaj do tego swojej ręki. Sumienie najlepsze, kiedy nieużywane. W końcu wprowadzane są też mechanizmy bezpośredniej walki z tym zagrożeniem, a nie jedynie leczenie objawowe. Dobrym przykładem jest lockdown mode w iPhonach. Pytacie zresztą często, czy Google ma jakiś odpowiednik. I trochę tak, trochę nie. Istnieje coś takiego jak Advanced Protection Program. Nazwa może jest i dumna, ale chodzi po prostu o wykorzystanie mechanizmów uwierzytelniania za pomocą fizycznych kluczy USB i protokołu FIDO. Jeżeli chcecie podnieść bezpieczeństwo swojego konta, warto z tego skorzystać, jednak nie chroni to przed zaawansowaną inwigilacją, a jedynie przed choćby phishingiem. I to już wszystko na dziś. Tymczasem dziękuję za Waszą uwagę i do zobaczenia.