Комментарии 19
Это нужно было добавить в тест статьи.
Pegasus создан NSO Group — израильской компанией, которая зарабатывает на хлеб разработкой шпионского ПО. Это значит, что зловреда делали на продажу и любой желающий может его приобрести. Шпион эксплуатирует три уязвимости нулевого дня в iOS, которые позволяют по-тихому провести джейлбрейк устройства и установить шпионское ПО.
Pegasus — это модульный зловред. Просканировав устройство жертвы, он загружает недостающие модули, чтобы читать SMS и электронную почту жертвы, прослушивать звонки, делать скриншоты, записывать нажатия клавиш, рыться в контактах и истории браузера и делать еще много чего. В общем, он может следить буквально за всем, что делает жертва на взломанном устройстве или рядом с ним.
Это значит, что зловреда делали на продажу и любой желающий может его приобрести.
Далеко не любой желающий: NSO утверждает, что отклоняет многие заказы и прекращает поддержку заказчиков, когда подозревает злоупотребление с их стороны.
Утверждать не сложно :)
когда подозревает злоупотребление с их стороны
Это как? Мы создали зловред, но вы им не злоупотребляйте и ничего противозаконного не делайте, так что ли? Либо они отклоняют явных конкурентов по бизнесу, либо что-то не договаривают и лукавят.
Мы создали зловред, но вы им не злоупотребляйте и ничего противозаконного не делайте, так что ли?Да, именно так: официально использовать можно только в рамках закона против преступников и террористов.
Мы создали зловред, но вы им не злоупотребляйте и ничего противозаконного не делайте, так что ли?
Да, в точности так.
For example, we license Pegasus only to select approved, verified and authorized states and state agencies, specifically to be used in national security and major law enforcement-driven investigations. We conduct due diligence on those prospective users to assess the risks of misuse. Our standards are higher than the export control requirements of most sovereign states, as well as those of the European Union. We strictly require that Pegasus is used only where there is a legitimate law enforcement or intelligence-driven reason connected to a specific, pre-identified phone number, and after a process is followed where a state agency decision-maker independent of the user – such as a court – authorizes that use consistent with a written domestic law. Its use against law-abiding citizens is prohibited, and customers, a majority of which are in the EU or OECD, commit that they will use our products responsibly. Where a customer is accused of misusing our technology, we investigate immediately. When customers are unable to provide sufficient assurances to remain authorized users of our products, we terminated these relationships. The Company is very selective with respect to the identity of the countries and customers to which it is willing to sell.
(болд как в оригинале)
Похоже написано для галочки чтобы не придрались и не посадили за распространение вирусов. Своего рода законый способ продавать вирусы.
Единственный способ проверить, соответствует ли написанное действительности — это заполучить Pegasus, притворившись
Почему-то журналисты этого до сих пор не продемонстрировали.
Это-то как раз совершенно неудивительно. Потому что продажа их продукта журналистам несет в себе на порядок большие риски, чем продажа людоедским режимам или влиятельным людям с не самыми благими намерениями. В первом случае цель -- исследовать с целью критики и предать огласке, действия, которые заведомо приведут к ущербу. Во втором -- получить продукт, по максимуму сохранив конфиденциальность и имидж и себе, и продавцу. Такому клиенту достаточно соблюсти некоторый "ритуал", пообещать использовать для хороших дел или закупить с минимальной анонимностью. Компания просто закроет глаза на торчащие из-под анонимности уши и охотно поверит в сказки про честное использование, а если что-то вскроется, то просто выпустит пресс-релиз, где будет хвататься за голову и делать вид обманутого потерпевшего, возможно даже пообещает отключить от обновления. Ибо я никогда не поверю, что их спрос не позволяет провести порядочный аудит заказчика и выяснить, кто на самом деле к ним пришел.
Ну и надо понимать, что ни у одного журналиста или частного аудитора нет таких ресурсов и возможностей, какие есть даже у самого нищего людоедского режима, да и журналист-миллиардер не станет подобным заниматься.
И еще один довод в пользу того, что они прекрасно догадываются, кто будет использовать их продукт, и вкладывают в выяснение этого огромные силы -- в случае, если это будет враг лично государства, в чьей юрисдикции они находятся, проблемы будут большими, больше, чем покупка журналистом.
Тогда они возможно смотрят менее внимательно, раз за это ответственности по сути не несут, но все еще я думаю, они следят за тем, чтобы эксплоиты не попали в ненужные (с точки зрения личной выгоды) руки исследователей.
NSO должны на каждую сделку получать разрешение своего Минобороны, наравне с экспортёрами оружия
Я бы сказал что это практически сводит на ноль шанс журналистов получить доступ к Pegasus притворившись ~~нигерийским принцем ~~ спецслужбой.
Но не особо помешает условному наркокартелю получить доступ к Pegasus через спецлужбы условной Руанды :)
The Company is very selective with respect to the identity of the countries and customers to which it is willing to sell.
А в реальности мы скорее всего имеем продажи странам вроде Саудовской Аравии, Руанды, Узбекистана, Йемена и Турции. И после этого они хотят чтобы это заявление воспринималось всерьёз?
То есть для меня это выглядит так что ребят вполне себе продавали свой софт всем правительствам, которые готовы были за это платить. И хорошо если только правительствам. И похоже что больше их особо ничего и не волновало.
Я бы им не верил - про отклоненные заказы. За 300% прибыли, как говорил К. Маркс... А там явно было не меньше...
Я вот не пойму как это работает, в чем связь между списком телефонов и трояном, там что покупают личный кабинет где можно ввести только номер телефона и наруки ничего не дают?
Pegasus использовали для добычи личных фото журналисток