Pamiętacie nasz zeszłoroczny wykład na The Hack Summit 2020? W listopadzie wracamy nie z jednym, nie z dwoma, ale aż z trzema wykładami! Powiemy sporo o systemie Pegasus i jego konkurentach, a także rozwiązaniach zastępczych…
The Hack Summit 2021 już za 2 tygodnie! Zarejestruj się jak najszybciej…
Ale tym razem nie powiemy ani słowa o ransomware. Mamy nakręcone niemal 3 godziny materiału na zupełnie nowy temat: omówienie systemu Pegasus i porównanie jego możliwości z konkurencją. W sierpniu wypuściliśmy na Twitterze ten arkusz, którym sondowaliśmy zainteresowanie tematem – przerosło ono nasze oczekiwania, dlatego też postanowiliśmy pójść za ciosem i zrobić godzinną prezentację omawiającą przyczyny tych różnic.
Oto pełna lista tematów:
Pegasus vs konkurencja: wyzwania 10 lat temu i dziś
Porównanie Pegasusa z systemami konkurencyjnymi:
- DevilsTongue (Candiru)
- RCS (Hacking Team, obecnie Memento Labs)
- rosyjski SWR
- niemiecki Panzer / Bundestrojaner
Prezentacja pokazuje też, jak zmieniły się wyzwania technologiczne w tworzeniu tego typu systemów od czasów Androida 4.x do dziś, na przykładzie różnic w sposobie implementacji nagrywania rozmów w starszych i nowszych wersjach Windows i Androida – a także ujawnia, dlaczego ta funkcjonalność w ogóle nie jest dostępna dla iPhone.
Na koniec przyjrzymy się liczbom. Czy produkcja oprogramowania tego typu jest naprawdę opłacalnym biznesem?
Pegasus po polsku, czyli bądź jak John McClane
Tą prezentację zaczynamy od żartu, jednak już po chwili robi się całkiem poważnie, gdyż jest to prezentacja kierowana głównie do funkcjonariuszy służb mundurowych – zarazem jest to kontynuacja naszego dotychczasowego cyklu „Planujemy wielki atak”.
Głównym mankamentem systemu Pegasus, jak i wspomnianych wyżej systemów konkurencyjnych, jest ich niezwykle wysoki koszt. Tak wysoki, że systemy te używane są tylko w sprawach o najwyższym priorytecie, z reguły wobec kilkudziesięciu osób na cały kraj.
Z punktu widzenia funkcjonariuszy oznacza to, że systemy tego typu są bardzo ekskluzywne, a na dostęp do nich trzeba sobie zasłużyć – nie wystarczy po prostu mieć pomysłu, jak takiego narzędzia użyć, aby przełożyło się to na wyniki w śledztwie. Cierpią na tym kariery funkcjonariuszy, którzy mieliby ambicje wykorzystania takich systemów i osiągnięcia dzięki nim wymiernych efektów.
Na szczęście dla nich, w polskim Kodeksie postępowania karnego istnieje art. 220 § 3, mówiący o tym, że: W wypadkach nie cierpiących zwłoki (…) organ dokonujący przeszukania okazuje (…) legitymację służbową (…) – a jakie są jego efekty, to pokażemy już w samej prezentacji.
Pokażemy też realne case study małej i dużej firmy, dla których wykonaliśmy realne wyliczenia, o których mowa w prezentacji – i okazało się, że pomimo obaw, da się takie firmy podejść. A co więcej, da się je podejść z użyciem skończonej ilości operatorów i sprzętu. A na koniec pokazujemy oprogramowanie, za pomocą którego da się to wszystko zrobić.
Jak skutecznie napaść na bank, czyli 220 § 3 kpk w akcji
Ta prezentacja to tak naprawdę samodzielny blok tematyczny wydzielony z poprzedniej, tak aby zmieścić się w 1 godzinie na prezentację. Rozwijamy w niej temat, jak zrobić porządny research nt. firmy, którą zamierzamy „odwiedzić” w trybie 220 § 3 kpk, oraz jak poza samym przeszukaniem siedziby, pozyskać też klucze recovery do zaszyfrowanych dysków twardych.
Jeśli zaś chodzi o samą siedzibę – powiemy, czym jest typologia budynków i co dzięki niej można osiągnąć, mając tylko zdjęcie zewnętrznej elewacji nieznanego budynku. A opowiemy o tym na przykładzie jednej z siedzib ABW, która pracuje pod przykrywką całkiem innej instytucji, a której prawdziwą rolę ABW stara(ło) się ukryć 🙂
Na koniec podrzucimy garść podpowiedzi, jak zorganizować atak na dużą firmę, gdzie potrzebna będzie większa ekipa i więcej sprzętu – jak ten sprzęt fizycznie podzielić, jak uniknąć jego opisywania i ujawniania szczegółów operacji itd.
Do zobaczenia już 5. listopada na The Hack Summit 2021!
Zobacz też nasze materiały z poprzedniej edycji konferencji The Hack Summit.