"Może pobrać zdjęcia, włączyć mikrofon i kamerę". Tak działa system inwigilacji Pegasus
– Jeśli ktoś zhakował i kontroluje Twoje urządzenie, to już nie jest Twoje urządzenie – ostrzega dr Łukasz Olejnik. Niezależny badacz i doradca cyberbezpieczeństwa i prywatności tłumaczy nam, w jaki sposób działa system inwigilacji Pegasus.
Dziennikarze "Czarno na białym" TVN uważają, że najniebezpieczniejsze narzędzie do inwigilacji działa również w Polsce. Potwierdzili mu to m.in. informatycy z kanadyjskiej organizacji Citizen Lab, którzy śledzą aktywność tego systemu na świecie.
Na trop zakupu Pegasusa wpadła najpierw Najwyższa Izba Kontroli, która przeglądała faktury CBA. Uwagę urzędników zwróciła rachunek na 25 mln zł, które CBA dostało z Funduszu Sprawiedliwości, czyli instytucji powołanej przy resorcie Zbigniewa Ziobry.
Dr Łukasz Olejnik, niezależny badacz i doradca cyberbezpieczeństwa i prywatności, research associate Center for Technology and Global Affairs Uniwersytetu Oxford, opowiedział nam, jak działa i do czego zdolny jest system Pegasus.
Dziennikarze "Czarno na białym" TVN poinformowali, że CBA mogło wejść w posiadanie narzędzia do inwigilacji na masową skalę – systemu Pegasus. Zaskoczyły pana te doniesienia?
Dr Łukasz Olejnik: – Dziś te informacje nie zaskakują. Mówiło się o tym od dłuższego czasu. Nie wiadomo, jak poszczególni "użytkownicy" systemu Pegasus go wykorzystują. Jednak z podstawy specyfiki działania systemu może wynikać, że nie stosuje się go do inwigilacji masowej, a raczej ukierunkowanej.
W ogólności stosowanie takich systemów na skalę masową mogłoby zwiększać ryzyko ich wykrycia, a nawet pewnych elementów ich działania. Dlatego najrozsądniej przyjąć, że stosuje się go raczej wobec wybranych celów.
Już kilka miesięcy wcześniej informował pan, że szpiegowskie oprogramowanie jest w użyciu 45 krajów, również Polski. I dodał Pan, że "jedna ze służb w Polsce (Orzeł Biały) mogła mieć subskrypcję do systemu Pegasus" od izraelskiej NSO. Skąd te informacje?
Tak, wspominałem na Twitterze. To informacje z raportu Citizenlab, grupy która poświęca wiele czasu na badanie tego typu oprogramowania, zwłaszcza od NSO. Jednego z operatorów systemu Pegasus zdecydowano się nazwać zgrabnym, choć wiele mówiącym określeniem.
W jakim celu – pana zdaniem – polskie służby mogą wykorzystywać system Pegasus?
Nie wiemy tego. Jeśli ten system jest w użyciu, to trudno oczekiwać od jego użytkowników informacji o jego przeznaczeniu i faktycznym zastosowaniu.
Dostawca systemu utrzymuje, że jego stosowanie ma służyć do walki z przestępczością i terroryzmem, i zawsze musi być zgodne z prawem lokalnym. Ale Citizenlab raportował przypadki stosowania tego systemu np. wobec dziennikarzy.
Dr Łukasz Olejnik, niezależny badacz i doradca cyberbezpieczeństwa i prywatności, research associate Center for Technology and Global Affairs Uniwersytetu Oxford, już parę miesięcy temu podawał, że szpiegowskie oprogramowanie jest w użyciu 45 krajów, równ•Fot. Archiwum prywatne
Jeden z prawników powiedział, że "system Pegasus działa w taki sposób, jakby przez cały czas ktoś nam towarzyszył". Do czego zdolny jest wspominany system, który ma dostęp do mikrofon, kamery?
Ten system ofensywny ma "bogaty arsenał" funkcji. To m.in. możliwość pobrania takich informacji jak: SMSy, e-maile, zdjęcia, wpisy w kalendarzu, zapisy z komunikatorów internetowych. Może też włączyć mikrofon i kamerę. Ma dostęp właściwie do wszystkiego, co znajduje się na smartfonie, a dzięki kamerze czy mikrofonie – także poza nim.
Czy ten system może przesyłać dane z naszych telefonów?
Wszystkie informacje z urządzenia "celu" operator tego systemu może pobrać.
A co się stanie, jeśli zastosujemy program szyfrujący np. treść SMS-ów czy inne programy zabezpieczające? Co się dzieje, kiedy próbujemy zablokować system Pegasus na naszym telefonie?
Jeśli Pegasus ma kontrolę nad całym systemem operacyjnym smartfona, to można sobie wyobrazić, że przecież może przechwycić dane przed ich zaszyfrowaniem, choćby w trakcie pisania.
Dzisiaj większość komunikatorów szyfruje przesyłane dane automatycznie. To bardzo zwiększa bezpieczeństwo i prywatność komunikacji użytkowników, ale jeśli ktoś zhakował i kontroluje Twoje urządzenie, to już nie jest Twoje urządzenie.
Czy w ogóle możemy zorientować się, że jesteśmy w taki sposób inwigilowani?
To zależy od użytkownika. Zwykły użytkownik ma niewielkie szanse na wykrycie tego. Według obiegowych informacji pewne rodzaje systemów szpiegujących mogą w wybranych sytuacjach doprowadzać do zachowania smartfona, które może zostać zauważone, podejrzane.
O jakim zachowaniu mówimy?
Na przykład o zawieszaniu smartfona w nadzwyczajny sposób. Ale zwykły użytkownik nie będzie w stanie poprawnie zinterpretować takich obserwacji, które mogą przecież nic nie znaczyć.
Czy możemy się jakoś zabezpieczyć, by nam go nie zainstalowano?
To system ofensywny. Przełamuje zabezpieczenia urządzeń takich jak smartfony z Androidem czy iPhone. Stosuje m.in. podatności zero-day, czyli takie, na które nie ma poprawek. Dzięki temu skuteczność systemu inwigilacji jest wysoka i trudno się przed nim zabezpieczyć.
Dużo zależy od zdrowego rozsądku. Ale jeśli do przełamania zabezpieczeń wystarczy np. otrzymanie SMS-a czy nawet wiadomości na komunikatorze internetowym jak WhatsApp, to opcje zabezpieczenia stają się bardzo ograniczone.
Podatności systemów operacyjnych są regularnie poprawiane, naprawiane. Dlatego warto regularnie aktualizować oprogramowanie i system operacyjny, nie tylko gdy pojawiają się nowe funkcje i emoji. Dla zwykłych użytkowników to podstawa.
Jeśli jakiś użytkownik uważa, że może być "celem", to może rozważyć zaangażowanie zewnętrznych ekspertów czy konsultantów w celu wybrania dodatkowych metod, które miałyby sens w jego przypadku. Na przykład sposobu używania osobnych urządzeń do wybranych rodzajów komunikacji, ale to osobny problem.
Kto – oprócz służb – może mieć dostęp do danych wysłanych z naszego telefonu?
SMS-y przesyłane przez infrastrukturę telekomunikacyjną mogą podlegać retencji u operatora. W coraz większym stopniu użytkownicy korzystają z komunikatorów internetowych, które automatycznie szyfrują dane.
Nie da się ich podsłuchać "monitorując" sieć. A gdy jest to szyfrowanie end-to-end, to dostępu nie ma także dostawca komunikatora. Warto więc używać Signal czy nawet WhatsApp, które szyfrują domyślnie. I jest to silne szyfrowanie, tzw. end-to-end.
Tak dzieje się również, kiedy wysyłamy wiadomości z iPhone. Gdy "chmurki" pod wysyłanymi wiadomościami są niebieskie, znaczy to że wiadomość nie jest wysłana SMS-em, a szyfrowanym iMessage.
W normalnej sytuacji, bezpiecznego i aktualizowanego systemu, nikt poza użytkownikiem i ewentualnie innymi osobami z fizycznym dostępem do sprzętu, nie powinien być w stanie dostać się do danych na smartfonie.
Oczywiście w wielu przypadkach dane nie znajdują się na smartfonie, tylko np. w "chmurze", czyli na zdalnych serwerach. Wtedy dostęp do nich ogranicza się do ludzi znających hasło, a jeśli – oby – użytkownik stosuje uwierzytelnianie wieloskładnikowe, potrzeba też innych danych, np. możliwości przepisania kodu SMS.
Czy takie działania są zgodne z prawem? Czy służby mogą mieć dostęp do wszystkich naszych danych?
To jest doskonałe pytanie. Coraz więcej krajów Unii Europejskiej prawnie umożliwia służbom zdalny dostęp wprost, czyli "hakowanie w granicach prawa". Obecnie prace nad tym trwają m.in w Niemczech, ale mówi się też o kolejnych krajach. W innych do uzasadnienia takich działań czasem wykorzystuje się inne zapisy, bardziej ogólne.
A jak jest w Polsce?
Obecnie o możliwości zdalnego dostępu w celu pozyskania informacji w polskim prawie nie ma mowy wprost. W Polsce debata na ten temat nie jest prowadzona. Ostatnio trochę wspomina się o cyber armii i ewentualności wyposażenia w narzędzia, ale to względem organów ścigania, osobny temat.
W wielu krajach o temacie, zarówno potrzebach, możliwościach i ograniczeniach, mówi się jednak coraz bardziej otwarcie