Sytuacja, w której pojawiają się podejrzenia, że smartfon może być źródłem wycieku danych, to w istocie… początek łańcucha dowodowego. Dlaczego? Każde działanie jakie podejmiemy od tego momentu będzie niosło za sobą określone skutki. Możemy zarówno podjąć działania do zapewnienia sobie bezpieczeństwa (i odzyskania prywatności) oraz zadbać o to, by specjaliści mieli możliwość zabezpieczyć dowody cyfrowe (które będziemy mogli wykorzystać w ewentulalym postępowaniu sądowym), a z drugiej strony nasze impulsywne czy chaotyczne posunięcia mogą całkowicie przekreślić lub w znacznym stopniu ograniczyć możliwość udowodnienia tego co się stało. Choć oczywiście, bez dwóch zdań – to co chcemy z tym zrobić to wyłącznie indywidualna decyzja. Dla jednej osoby najważniejsze będzie natychmiastowe pozbycie się urządzenia (lub wykonanie resetu do ustawień fabrycznych) bez względu na to, że przepadną też ewnetualne dowody, a z kolei druga osoba postawi sobie za cel realizację swoich praw oraz dążenie do pociągnięcia do odpowiedzialności tego kto inwigilował. Bo trzeba pamiętać, że przestępstwo nieuprawnionego dostępu do informacji opisane w rozdziale XXXIII Kodeksu Karnego, jest ściagne na wniosek pokrzywdzonego.
Podstawową radą specjalistów jest: gdy zorientujesz się, że masz zainstalowany podsłuch – zachowuj się tak jak by nic się nie stało. Chodzi o to, by nie wzbudzić żadnych podejrzeń u sprawcy. Dlaczego?
Powody są (przynajmniej) dwa:
1) cyberprzemoc (inwigilacja smartfona) może eskalować do przemocy fizycznej, z tego powodu potrzebny jest czas na zapewnienie sobie bezpieczeństwa, np. kontakt z adwokatem, a także pomoc od rodziny czy przyjaciół. Ten czynnik stanowi podstawowy element całego procesu odzyskania prywatności (oraz bezpieczeństwa) i jest szczególnie istotny, gdy do takiej sytuacji (cyber-inwigilacji poprzez smartfon) dochodzi w ramach gospodarstwa domowego, np. ze strony przemocowego partnera/partnerki
2) zdalna deinstalacja i zatarcie cyber śladów, to prawdopodobnie pierwsza czynność jaką podejmie sprawca, gdy domyśli się, że podsłuch został odkryty.
Działania podstawowe
Wróćmy do początku łańcucha dowodowego, o którym napisałem wyżej. Screenshot podejrzanych zdarzeń w smartfonie czy (o ile to możliwe) zrobienie nagrań i zdjęć innym smartfonem, to podstawowe czynności jakie mogą pomóc na późniejszym etapie. Pamiętaj też o tym, że szukając pomocy kontaktuj się z bezpiecznego urządzenia czyli np. telefonu kogoś z rodziny lub przyjaciół. To ważne, bo musisz zakładać opcję, że nawet wpisując w przeglądarce internetowej smartfona hasła: jak usunąć podsłuch, symptomy podsłuchu, adwokat pomoc podsłuch itp., – sprawca może o tym wiedzieć. Podobnie rozmawiając z kimś telefonicznie lub smsując musimy zakładać, że te dane mogą trafić do prześladowcy (bo tak należy nazwać kogoś kto dokonuje zamachu na naszą prywatność).
Dlatego w celu uzyskania pomocy korzysta się z bezpiecznych urządzeń, a z tych które mogą być źródłem przecieku danych, ogranicza się przekazywanie wrażliwych informacji.
Trzeba mieć na uwadze, że jeżeli zdecydujemy się na realizacje swoich praw w postępowaniu sądowym, to w praktyce im szybciej 'podejrzany’ telefon trafi do analizy na obecność podsłuchu tym większa szansa na wydobycie z urządzenia i zabezpieczenie dowodów cyfrowych. Istotne jest także to jak się przygotujemy, a zdecydowanie pomóc może w tym będący pełnoprawnym dowodem raport detektywistyczny przygotowany przez konsecjonowane biuro. O tym jak wygląda taka usługa możesz przeczytać tu:
– wykrywanie podsłuchu w telefonie
Zakres inwigilacji
Następnie możesz spróbować określić zakres inwigilacji, tzn. co konkretnie może być źródłem przecieku – ustalisz to odpowiadając sobie na pytanie: jakie konkretnie informacje wyciekły lub podejrzewasz, że mogły wyciec? Swoim klientom zawsze rekomenduję, aby wszystkie swoje obserwacje i wątpliwości spiali na kartce papieru, ponieważ taka prosta forma pozwoli na 'poukładanie’ zaobserwowanych zdarzeń, zbiegów ogoliczności, nietypowych zachowań telefonu, itp. Czyli coś co mogłoby umknąć ale spisane czarno na białym i zestawione z innymi sytuacjami dającymi sygnał, że ktoś posiada informacja, do których teoretycznie nie ma dostępu, finalnie stworzy podstawy do ustalenia czy przeciek polega na podsłuchu rozmów telefonicznych, czy treści rozmów na komunikatorach, czy dostęp do lokalizacji smartfona i śledzenie.
Przykład:
Jeżeli ktoś miał dostęp do informacji polegającej na tym, że znał twoją lokalizację, to przypomnij sobie czy np. rozmawiałeś/aś o tej lokalizacji z kimś na komunikatorze – np. umówienie się z kimś w danym miejscu. Jeżeli tak sprawdź komunikatory pod kątem opcji ’połączone urządzenia’. WhatsApp czy Messenger umożliwiają zalogowanie się do konta z poziomu komputera przez co osoba trzecia może mieć stały dostęp do treści rozmów/czatów. Jeżeli zaobserwujesz połączone urządzenie, którego nie konfigurowałeś/aś, to: 1) zrób screenshot, 2) usuń połączone urządzenie, 3) jeżeli rozpoznajesz nawę tego urządzenia, np. jest to domowy komputer, to już wiesz kto najprawdopodobniej uzyskał dostęp do twoich rozmów na danym komunikatorze. Podobnie zastanów się czy o tej lokalizacji rozmawiałeś/aś z kimś telefonicznie – wtedy należy rozważyć opcję pracującej w tle aplikacji podsłuchowej, która nagrywa rozmowy i przesyła je w firmie pliku audio do prześladowcy. To nie koniec, ponieważ nawet jeśli lokalizacja nie pochodzi z rozmów na czacie czy przez połączenie głosowe, to możliwe są też inne scenariusze: aplikacje śledząca (tracking apps), udostępnianie lokalizacji przez Google Maps (dual-use apps), opcja 'Znajdź mój telefon’ (dostęp do konta Google), aplikacje do kontroli rodzicielskiej, a nawet (czego też nigdy nie można wykluczyć) nadajnik GPS (który także może być z funkcją podsłuchu/dyktafonu) w pojeździe. Jak widać, dla jednej tylko 'danej’ jaką jest lokalizacja, istnieje całkiem sporo możliwości, które osoba o złych intencjach może wykorzystać. Ale to i tak nie wyczerpuje tematu dostępu do lokalizacji smartfona, ponieważ zupełnie osobym (a mającym fundamentalne znaczenie!) jest nasz:
Ślad cyfrowy (digital footprint) – to ogół naszych działań w sieci, wszystko to co publikujemy i udostępniamy w interncie (świadomie lub mniej). I tu także istnieją sytuacje, które mogą zdradzić naszą lokalizację. Od oczywistych jak oznaczanie lokalizacji w publikowanych postach w mediach społecznościowych, do mniej oczywistych jak metadane (nierzadko zawierające współrzędne GPS wykonanej fotrografii) publikowanych zdjęć (także tych poza social mediami).
Powiązane konta
Bez względu na to w jakim kierunku będzie 'rozwijać’ się nasza kartka papieru z opisem wycieku danych, zawsze należy zadbać o bezpieczeństwo powiązanych ze smartfonem kont. Z uwagi na powyższe warto zrobić podstawowy audyt bezpieczeństwa konta Goolge / iCloud. To czy jakaś osoba trzecia ma dostęp do tych kont można w pierwszej kolejności sprawdzić w historii zalogowanych urządzeń. Ze względu na to, że konta te wspomagane przez funkcję synchronizacji i kopii bezpieczeństwa danych, mają dostęp do danych na smartfonach. Np. jeżeli potencjalny prześladowca nie może uzyskać dostępu do iPhona 'ofiary’, to gdy uzyska dostęp do powiązanego z nim konta iCloud, to również będzie w stanie prowadzić działania inwigilacyjne. Dość powiedzieć, że istnieją programy do inwigilacji iPhona oparte jedynie na uzyskaniu dostępu do konta iCloud.
Inny przykład, urządzenia z Andoridem (czyli niemal wszystko co nie jest iPhonem) powiązane z kontem Google dają możliwość: zdalnego zresetowania całej zawartości urządzenia!, namierzenia lokalizacji smartfona czy zdalnie zablokować urządzenie. I to wszystko siedząc wygodnie przez komputerem. Jak widać dbanie o bezpieczeństwo powiązanych ze smartfonem kont, może okazać się o wiele bardziej istotnie niż mogłoby się wydawać. Przy okazji: weryfikacja dwuetapowa dla wrażliwych kont, to opcja która może zapobiec takiemu własnie nieautoryzowanemu dostępowi.
Jak ustalić skąd pochodzi wyciek
Warto zaznaczyć, że sam ogólny schemat ustalania źródła przecieku konkretych informacji, które podejrzewamy, że wyciekły jest uniwersalny. Oprócz wyżej szeroko opisanej lokalizacji, można podać inny przykład. Ktoś zna informacje, która pojawiła się w rozmowie jaką prowadziłeś/aś przez telefon. Dodatkowo (co jest częste, gdy rozmawiam z klientami) ktoś wręcz cytuje słowa, które padły w tej konkretnej rozmowie telefonicznej. W takiej sytuacji, jeżeli wykluczymy podsłuch w postaci pluskwy GSM podłożonej w mieszkaniu lub pojeździe, możemy śmiało zakładać, że w telefonie jest zainstalowana aplikacja nagrywająca rozmowy i przesyłająca je na zewnętrzny serwer, do którego po zalogowaniu się, ma dostęp prześladowca. Albo inny, także bezpośredni przykład, ktoś dysponuje zdjęciem wykonanym twoim smartfonem. I teraz, jeżeli zdjęcie zostało zrobione i nigdy nigdzie nieopublikowane lub nie przesłane do kogoś kto potencjalnie mógł przekazać je (świadomie lub mniej) prześladowcy, to można śmiało zakładać, że w telefonie jest zainstalowana aplikacja posiadająca dostęp (uprawnienie) do plików urządzenia, a w tym do Galerii zdjęć. Tutaj mała uwaga: zdjęcia mogą także wyciec poprzez powiązane konto (o czym mowa wcześniej) z ustawioną opcją synchronizacji zdjęć czy ustawionym back-upem zdjęć.
Tak więc podsumowując, ustalamy co wyciekło: czy jest to jakaś informacja wypowiedziana w rozmowie lub napisana na komunikatorze, czy jest to jakaś dana, np. lokalizacja, czy jest to jakiś plik, np. zdjęcie lub załącznik e-maila; i gdy już to ustalimy, to staramy się odpowiedzieć na pytanie, 'którędy’ te dane, iformacje mogły wyciec: czy poprzez dostęp do powiązanego konta i opcje synchronizacji, czy poprzez dobrowolne udostępnienie zdjęcia w social mediach, czy w trakcie rozmowy telefoczniej itd.
Takie podejście do tematu pozwoli na ustalenie: co? (ktoś wykrdał), jak? (gdzie była furtka) kto? (jest prześladowcą)
Reszta należy do specjalistów
Opisane do tej pory działania może zrobić każdy i polegają one głównie na podstawowym zabezpieczeniu dowodów, wstępnym ustaleniu pochodzenia przecieku, i ogólnie nietechnicznych aspektach ogarnięcia tego co się stało. Oczywiście, chatGPT zaserwuje Wam też uniwersalne porady w stylu przejrzenia uprawnień aplikacji czy przejrzenia samej listy aplikacji w poszukiwaniu tych podejrzanych. I to wszystko jest jak najbardziej prawda ale pod jednym warunkiem: trzeba wiedzieć czego się szuka! Aplikacje monitorujące (jak pieszczotliwie nazywają je dostawcy tego typu oprogramowania szpiegowskiego, głównie na Androida) instalują się w systemie pod zmienioną nazwą – taką która imituje nazwę systemową. Podobnie z ikoną aplikacji (jeśli w ogóle nie jest ukryta), która po zainstalowaniu widnieje jako np. koło zębate (podobne te do ikony Ustawień) lub usług sieciowych czy systemowych. To są techniki kamuflujące taką aplikacje, a w połączeniu z faktem, że działa ona w tle (niewysyłając żadnych powiadomień), to „przejrzenie uprawnień aplikacji” lub „przejrzenie listy w poszukiwaniu tych złośliwych” staje się dużo bardziej złożonym zadaniem niż mogło się wydawać. I właśnie z tych powodów te i inne działania wykrywcze prowadzone są przez dedykowane do tego oprogramowanie śledcze. Skanowaniu podlegają nie tylko aplikacje ale także procesy systemowe, rejestr systemowy oraz na koniec (a tak naprawdę przede wszystkim) ruch sieciowy wychodzący z badanego urządzenia. Dlaczego? Analiza ruchu sieciowego i jego zabezpieczenie w pliku .pcap może dać odpowiedź na pytanie, z jakimi serwerami, domenami łączy się urządzenie. To fundamentalna część pracy wykrywczej, ponieważ aplikacja szpiegowska działa jak urzędujący w telefonie szpieg, który najpierw zbiera dane, a potem przesyła je do 'bazy’ (czyli na serwer powiązany z aplikacją). I właśnie ten moment przesyłu danych (najczęściej przez Wi-Fi z uwagi na obawę przed zużyciem danych pakietowych – kolejna technika kamuflująca) może zostać wyodrębniony w trakcie analizy ruchu sieciowego. W ten sposób po nitce do kłębka można ustalić dostawcę aplikacji, a dalej dobry detektyw ustali adres e-mail klienta czyli osoby, która zakupiła takie oprogrmowanie. Tak tropi się cyber-prześladowców użytkowników smartfonów. Ale to nie jedyne dowody jakie można zabezpieczyć z urządzenia, bo:
Działania techniczne z zainfekowanym urządzeniem przy użyciu narzędzi i oprogramowania analizy śledczej, prowadzone są wg ściśle określonych zasad postępowania z dowodami cyfrowymi i pracą na 'żywych’ systemach operacyjnych smartfonów. Od tego w jaki sposób zostaną pobrane dane z urządzenia zależy czy zostaną one uwzględnione w postępowaniu procesowym. Wspomniane programy śledcze mogą wskazać podejrzane zdarzenia w smartfonie w oparciu o tzw. IOCS – Indicator of compromise, co można przetłumaczyć jako wskaźniki zainfekowania/kompromitacji systemu. Raport w formie cyfrowej z takiej analizy może zawierać kolejne dowody na obecność złośliwego oprogramowania.
Na koniec do znudzenia trzeba powtarzać: odpowiednio zabezpieczone urządzenie (i konta) znacznie ograniczają możliwość nieautoryzowanego dostępu / inwigilacji. Do podstaw należą: ustawienie hasła blokady ekranu, regularna aktualizacja systemu oraz aplikacji, niepobieranie aplikacji z nieznanych źródeł, nieklikanie w linki bez ich sprawdzenia, regularny audyt bezpieczeństwa i prywatności kont oraz włączenie weryfikacji dwuetapowej, skanowanie systemowymi narzędziami (one są naprawdę dobre!). Dodatkowo można zwiększyć swoją prywatność poprzez: używanie VPN, korzystanie z prywatnych przeglądarek (byle nie chrome!), zabezpieczenie komunikatorów hasłem dostępu, włączenie szyfrowania kopii zapasowej oraz wiele innych (zainteresowanych odsyłam do zagadnienia hardeningu systemu).