Czy polskie służby używają zaawansowanego systemu inwigilacyjnego Pegasus? CBA z dostępem do naszych telefonów i tabletów oraz czym w ogóle jest Pegasus?

Sprawę ujawnił TVN24. Jak twierdzą dziennikarze badający temat użycia systemu Pegasus przez polskie służby, CBA miało wydać 34 miliony złotych na zakup oprogramowania do inwigilacji. Kto będzie lub już jest celem?

 

Zacznijmy może od tego czym Pegasus w ogóle jest. Chociaż określa się go w mediach często mianem systemu, co może kojarzyć się np. z wojskowymi systemami obronnymi, to w praktyce Pegasus jest bardziej wyjątkowo skutecznym trojanem wraz z zestawem narzędzi do jego stosowania. Nie jest to oprogramowanie zupełnie nowe. Po prostu po raz pierwszy zajęły się nim polskie, mainstreamowe media.

Debiut Pegasusa

Pierwsze wzmianki o Pegasusie pojawiły się jeszcze w 2016 roku, ale nie w kontekście Polski, a Zjednoczonych Emiratów Arabskich. Wówczas do ujawnienia oprogramowania doszło dzięki pewnej niefrasobliwości służb wywiadowczych ZEA. Portale technologiczne, w szczególności te skupione na tematyce bezpieczeństwa, obiegła wówczas wiadomość o Pegasusie – trojanie stworzonym przez izraelską firmę NSO Group i pozwalającym wykorzystać trzy nieznane dotychczas podatności w iOS. Służby ZEA za pomocą tego oprogramowania chciały dostać się do telefonu Ahmeda Mansoora, działacza na rzecz praw człowieka. Jak wiadomo prawa człowieka nie cieszą się specjalną sympatią wśród władz bliskowschodnich krajów, toteż Mansoor nauczył się podejrzliwości. Otrzymany przez niego SMS zawierał link, którego kliknięcie skutkowałoby instalacją Pegasusa na jego iPhonie. Zamiast tego Mansoor przesłał go do organizacji Citizen Lab, gdzie specjaliści uruchomili exploita i przeanalizowali jego działanie, po czym stosowne dane przesłali do Apple. Firma z Cupertino wydała łatkę, która unieszkodliwiła ówczesną wersję trojana. Można założyć, że w służbach ZEA poleciały głowy, kto wie czy nie dosłownie.

Jak działa Pegasus?

Jak wspomniałem wyżej, Pegasus jest trojanem. Przejmuje kontrolę nad telefonem zyskując pełne prawa dostępu (wykonując tzw. zdalny jailbreak). Pozwala na śledzenie właściwie wszystkich kluczowych danych na zainfekowanym telefonie – zgromadzone zdjęcia, filmy, wiadomości mail i SMS, historię przeglądarki internetowej oraz wszelkie dane aplikacji – w tym dość kluczowych, takich jak komunikatory czy portale społecznościowe.

 

Graficzny fragment raportu Citizen Lab z ubiegłego roku. Około 36 krajów korzysta z Pegasusa.

 

W praktyce, jeśli służby chcą znaleźć informacje o danym człowieku, zdobyć na niego jakieś kompromitujące informacje czy odkryć jego sekrety – mogą to bez przeszkód zrobić. Oczywiście oprogramowanie należy na telefonie umieścić, a przeszkolenie operatorów zajmujących się obsługą inwigilacji poprzez Pegasusa wcale nie jest sprawą łatwą. Ani specjalnie tanią.

Czy Pegasusa mogą używać przestępcy? Po co go stworzono?

Można raczej wykluczyć używanie Pegasusa przez zwykłych przestępców. Wynika to z dość prostego faktu – to potężne narządzenie, którego izraelskie NSO Group nie sprzedaje byle komu. Firma twierdzi, że na liście jej klientów znajdują się wyłącznie państwa. Tyle, że izraelska firma twierdzi także, że w trojana wbudowano ograniczenie uniemożliwiające mu pracę na terenie USA, a Citizen Lab w 2018 roku ujawniło w swoim raporcie ofiary na terenie Stanów Zjednoczonych. Być może NSO Group sprzedało specjalną wersję oprogramowania CIA lub FBI, tak, by tylko Amerykanie mogli szpiegować za jego pomocą innych Amerykanów?

 

Siedziba firmy NSO Group w Izraelu (fot. Vice)

 

Warto tu odczarować pewien mit. Służby szpiegowały, szpiegują i będą szpiegować swoich obywateli. Nie dla jakiejś perwersyjnej przyjemności dowiadywania się prywatnych szczegółów z ich życia, a z powodów operacyjnych. W przypadku państw demokratycznych i praworządnych zwykle będą w ten sposób inwigilować grupy terrorystyczne i przestępcze. W krajach takich jak wymienione wyżej Zjednoczone Emiraty Arabskie, a więc niekoniecznie przystających do określeń „demokratyczny” czy „praworządny” działania te będą prowadzone przeciwko opozycji czy działaczom na rzecz praw człowieka. I tu dochodzimy do sprawy kluczowej…

Czy polskie służby mają Pegasusa i na kim go stosują?

Ze śledztwa reporterów programu „Czarno na białym” TVN24 wynika, że CBA kupiło oprogramowanie za 34 miliony złotych za pośrednictwem jednej z warszawskich firm informatycznych. Dowody na to istnieją, niektóre nawet od dość dawna. Pierwsze pochodzą … sprzed roku. Wówczas to analitycy z Citizen Lab, z oddziału przy Uniwersytecie w Toronto ujawnili listę krajów, w których aktywny jest izraelski trojan. Wśród tych krajów znalazła się także Polska. Rzecz w tym, że to niekoniecznie musi oznaczać, że polskie służby inwigilują polskich obywateli. Wystarczyło, że na terenie polski znalazły się osoby z zainfekowanymi telefonami i połączyły się choćby przez chwilę z internetem poprzez polskich operatorów np. łącząc się z lotniskowym WiFi czy publiczną siecią w kawiarni. Gdyby to był jednak jedyny dowód, prawdopodobnie nie był by zbyt mocny.

 

W 2018 roku Citizen Lab ujawniło ślady aktywności Pegasusa także w Polsce (fot. Citizen Lab)

 

Analitycy Citizen Lab podają jednak, że odkryli zainfekowane urządzenia działające wyłącznie w Polsce, a operator Pegasusa korzystał przy tym z domeny .pl. Twierdzą także, że infrastruktura operacyjna użyta przy tych infekcjach także jest związana z naszym krajem. To już bardzo mocny dowód. Niestety nie ostatni.

 

Trzecim dowodem jest opinia Najwyższej Izby Kontroli, która możne analizować wydatki nawet takiej instytucji jak CBA. Inspektorów z NIK zaciekawiła faktura na 34 mln zł, z Funduszu Sprawiedliwości. Na fakturze widnieją dane jednej z warszawskich firm informatycznych. 25 mln złotych kosztować miał program, 8,5 mln zł testy i szkolenie. Faktura została podpisana przez CBA 29 września 2017 roku, a zdaniem analityków z Citizen Lab aktywność Pegasusa w Polsce rozpoczęła się w listopadzie tego samego roku. 

 

Czy system Pegasus jest wykorzystywany przez CBA? Całkiem prawdopodobne.

 

Polskie służby prawdopodobnie korzystają więc z oprogramowania Pegasus, zwłaszcza, że przedstawiciele CBA raczej unikali odpowiedzi na pytania dziennikarzy. Maciej Wąsik, zastępca koordynatora służb specjalnych powiedział dziennikarzom TVN24, że w ogóle nie zna takiego systemu, jak Pegasus dodając, że „polskie służby działają na podstawie prawa”. I to wcale nie wykluczyłoby tego, że CBA z izraelskiego trojana korzysta. Artykuł 237 Kodeksu Prawa Karnego pozwala służbom państwa na kontrolowanie i nagrywanie rozmów telefonicznych. Pegasus oczywiście potrafi znacznie więcej, a polskie prawo tradycyjnie pozostało nieco w tyle za technologiczną rzeczywistością. Ustawodawca zabezpieczył się jednak pewną furtką w artykule 241 podając, że przepisy odnoszące się do rozmów telefonicznych stosuje się także do innego rodzaju przekazów informacji. Bardzo szeroki zakres, bo cokolwiek w przyszłości się pojawi, służby mogą to wykorzystać. Są jednak pewne ograniczenia. Służby nie mogą pobierać danych bez jakichkolwiek ograniczeń – np. czasowych. Inwigilacja konkretnych osób jest możliwa tylko za zgodą sądu, w określonym czasie.

 

Kto może być celem działań CBA? Cóż, jest to w końcu Centralne Biuro Antykorupcyjne, zatem można spodziewać się, że wykorzystuje ono oprogramowanie szpiegowskie do śledzenia działalności osób o korupcję podejrzewanych. Z drugiej jednak strony pojawia się pytanie o polityczne konotacje Biura. I tu wracamy do kwestii praworządności. Jeśli Polska nadal mieści się w koszyku państw praworządnych, co bywa poddawane w wątpliwość, to raczej nikt z czystym sumieniem bać się działań służb nie powinien. Jeżeli jednak z jakiegoś powodu byłoby nam bliżej do standardów Zjednoczonych Emiratów Arabskich, Rosji czy Turcji, to na celowniku mogą być politycy czy nieprzychylni władzy dziennikarze.