Vakoiluohjelma Pegasuksesta eilen julkaistut paljastukset eivät yllättäneet F-Securen tutkimusjohtaja Mikko Hyppöstä.
Israelilaisen NSO Groupin kehittämän Pegasus-ohjelmiston käyttötarkoitus on varsin yksiselitteinen. Periaatteessa ohjelmisto on kehitetty esimerkiksi rikollisten ja terroristien seurantaan.
Pegasus on valtiollisten toimijoiden, ei klassisten rikollisten käyttämä vakoiluohjelma, toteaa F-Securen tutkimusjohtaja Mikko Hyppönen.
Tämä on myös ollut NSO:n puolustuspuheenvuorojen ydin. He eivät myy sovellustaan kenelle tahansa. Se ei kuitenkaan estänyt ohjelmiston väärinkäyttöä.
Paljastusten perusteella näyttää siltä, että Pegasuksella on valvottu niin aktivistien, poliitikoiden kuin toimittajienkin tekemisiä.
– Pyritään tutkimaan kiinnostavien ihmisten kännyköitä. NSO Group on alan suurin toimija, mutta alalla on myös muita yrityksiä. Näitä tuntuu tulevan ja menevän, Hyppönen sanoo.
– Jo vuosia on epäilty, että Pegasus-ohjelmistoa käytetään myös toisinajattelijoiden ja toimittajien seurantaan. Tietovuoto todistaa, että näin myös tapahtuu, Hyppönen jatkaa.
Ohjelmiston toivottua laajempi käyttö ei kokenutta tietoturva-asiantuntijaa yllättänyt.
– Se yllätti, että Amnestyn tutkiva haara oli jostain tuntemattomasta lähteestä saanut listan puhelinnumeroista, joihin Pegasus oli joko yritetty laittaa tai onnistuttu laittamaan.
Kyseinen yhden sortin puhelinluettelo ei ole mikään parille A4:lle mahtuva lista, vaan kymmenien tuhansien numeroiden katalogi. Listalla on toki myös ammattirikollisia ja muita henkilöitä, joiden tarkkailua pidetään sopivampana kuin esimerkiksi ihmisoikeusaktivistien.
Asennus liki mahdoton estää
Muun muassa Unkari, Azerbaidzhan ja Meksiko ovat käyttäneet Pegasusta tavalla, joka ei medioiden otsikoissa näytä hyvältä.
– Seurannan ansiosta ihmisiä on laitettu vankilaan, Hyppönen sanoo.
– Fakta on, että melkein kaikista löytyy jotain epäilyttävää tai kiristettävää, jos henkilön koko elämää seurataan. Meidän kaikkien elämää voi seurata, jos on ympärivuorokautinen pääsy kännyköihin, Hyppönen jatkaa.
Pegasuksen nerokkuus piilee siinä, että vakoiluohjelman ujuttaminen seurattavan henkilön puhelimeen ei vaadi vakoiltavalta toimenpiteitä.
Ohjelmiston asentamisessa nimittäin hyödynnetään nollapäiväreikiä. Ne ovat tietoturva-aukkoja, joille on hyväksikäyttömenetelmä, mutta ei korjausta.
– Esimerkiksi iPhoneissa on käytetty nollapäiväreikää, jota hyödynnetään näkymättömän tekstiviestin kautta. Käyttäjän kännykkä voi olla pöydällä ja kännykkä saastuu omia aikojaan. Ei siis tarvitse klikata mitään tai tehdä mitään väärää, Hyppönen selventää.
– Kun Pegasus on puhelimessa, niin (ulkopuolinen taho) näkee kaiken, mitä käyttäjäkin näkee. Voi vaikka seurata puhelimen näyttöä tai katsoa missä puhelin liikkuu. Mikrofonia voidaan käyttää kuuntelulaitteena, Hyppönen jatkaa.
Pegasuksen tai muun vastaavan ohjelmiston edessä esimerkiksi salauksia hyödyntävät viestintäpalvelut ovat yhtä tyhjän kanssa.
– Eihän sillä ole väliä, jos Pegasuksen avulla voi lukea, mitä ruudulla lukee.
Suomessa vakoillaan rikollisia
Suomessa poliisi sai kymmenkunta vuotta sitten laillisen luvan käyttää Pegasuksen kaltaisia ohjelmistoja erittäin vakavien rikosten tutkintaan, Hyppönen kertoo.
Tietoa siitä, mitä ohjelmistoa Suomen poliisi käyttää, ei ole.
– Tutkintapöytäkirjojen perusteella on selvää, että Suomessakin vakavien rikosten selvittämisessä on käytetty tämänkaltaisia työkaluja, Hyppönen toteaa.
Hyppösen mukaan on kuitenkin ”ihan varmaa”, ettei poliisi tai muut viranomaiset Suomessa seuraa toimittajien tai toisinajattelijoiden viestintää.
Mahdollista kuitenkin on, että suomalaisia toimijoita seurataan muiden kuin suomalaisten viranomaisten toimesta, Hyppönen lisää.