Pegasus: Czym jest i jak działa system inwigilacji, z którego mogło korzystać CBA. Wielki Brat z powieści Orwella potrafił nieco mniej

Fot. Pixabay

Witold Głowacki

Za pomocą systemu cyfrowej inwigilacji Pegasus można prześwietlać terrorystów czy baronów narkotykowych. Jak pokazał przykład Meksyku, można użyć go przeciwko obrońcom praw człowieka lub dziennikarzom.

Program szpiegujący Pegasus jest bardzo przydatnym i skutecznym narzędziem śledzenia terrorystów i poważnych przestępców. Wielokrotnie jednak zdarzały się przypadki jego wykorzystywania przez służby do zupełnie innych celów - w tym do inwigilacji osób niewygodnych dla władzy. Czy działa również w Polsce?

Wiosna 2017 roku. W Meksyku wybucha bardzo poważna afera. W jej wyniku wspólne zawiadomienie o przestępstwie popełnionym przez rząd składa kilkanaścioro dziennikarzy, prawników i obrońców praw człowieka. Śledztwo wszczyna niezależny specjalny prokurator ds. badania przestępstw przeciw wolności słowa, Ricardo Sanchez. Nic dziwnego - bo jedną z trzech instytucji odpowiadających za aferę jest prokuratura generalna.

Co takiego się stało? Otóż na telefonach łącznie kilkudziesięciorga osób, których całkowicie zgodna z prawem i zawodową etyką działalność była z różnych powodów niewygodna dla meksykańskich rządzących, wykryto zaawansowane oprogramowanie szpiegujące. Był to słynny dziś i w Polsce Pegasus, ten sam program, który najprawdopodobniej kupiło również nasze Centralne Biuro Antykorupcyjne, w dodatku za pieniądze z funduszu wspomagania ofiar przestępstw.

Dr Krzysztof Liedel: System Pegasus może wszystko

Jakież to zbrodnie popełnili inwigilowani przez meksykański rząd dziennikarze i obrońcy praw człowieka? Otóż publicyści Alejandro Calvillo i Luis Encarnación oraz naukowiec Simon Barquera prowadzili kampanię medialną na rzecz opodatkowania napojów słodzonych, co oczywiście miało wspomagać walkę z nadwagą, ale nie podobało się powiązanym z lobbystami przemysłu spożywczego oficjelom. Dokładnie z tego samego powodu inwigilowani byli dr Simon Barquera, dyrektor ds. dietetyki w Meksykańskim Instytucie Zdrowia Publicznego, i Luis Manuel Encarnacion, szef fundacji walczącej z otyłością

Z kolei reporterka Carmen Aristegui w swych materiałach śledczych zajmowała się tematami niewygodnymi dla rządzących, aferami, korupcją. Inwigilowany był nawet telefon dziecka jednej z wziętych przez rząd na celownik osób.

Operator Pegasusa może z zainfekowanym smartfonem zrobić dosłownie wszystko - łącznie z zepsuciem go w wybranym momencie

Przy okazji - Carmen Aristegui dowiodła, że meksykański rząd kupił Pegasusa już w 2012 roku - na początek wyłącznie na użytek ministerstwa obrony. Nieco później wyszło na jaw - zdaje się, że ujawniła to w izraelskich mediach firma NSO Group, czyli producent Pegasusa, że transakcja została dopięta wcześniej. Już w wigilijny wieczór 2011 roku meksykański prezydent miał dziękować ówczesnemu szefowi NSO Group, generałowi Awigdorowi Ben-Galowi, mówiąc „Nie mogłem prosić o lepszy prezent świąteczny. Dzięki temu, co nam dałeś, możemy w końcu wyeliminować kartele”.

Meksykański rząd bronił się przed zarzutami dotyczącymi inwigilacji dziennikarzy i obrońców praw człowieka, informując, jakoby Pegasus miał posłużyć między innymi do zlokalizowania i pojmania El Chapo, czyli Joaquína Guzmána Loery - najpotężniejszego meksykańskiego barona narkotykowego, przez ładnych kilka lat cieszącego się mianem „drugiego najbardziej poszukiwanego człowieka na ziemi” - tym pierwszym był wtedy Osama bin Laden.

Pegasus w Polsce

Wszystko wskazuje na to, że od 2017 roku Pegasus stosowany był w Polsce. Niedawno dziennikarze TVN24 w programie „Czarno na białym” przedstawili liczne dowody na to, że licencja na program została zakupiona już w 2015 roku przez polskie Centralne Biuro Antykorupcyjne. Na badanej przez Najwyższą Izbę Kontroli fakturze znalazła się kwota 25 milionów złotych. Według szacunków reporterów TVN24 łączny koszt oprogramowania razem z wdrożeniem i serwisem mógł wynieść do 34 milionów złotych.

„W związku z wykonywaniem swoich zadań CBA zapewnia ochronę środków, form i metod realizacji zadań, zgromadzonych informacji oraz własnych obiektów i danych identyfikujących funkcjonariuszy CBA” - tak brzmiała standardowa odpowiedź rzecznika CBA na pytania dziennikarzy o wykorzystywanie Pegasusa. Biuro ogłosiło też, że „nie zakupiło żadnego systemu masowej inwigilacji Polaków”.

Wątpliwości opinii publicznej budzi przede wszystkim fakt, że Pegasusa mogło zakupić akurat CBA - czyli służba nie zajmująca się ani zwalczaniem terroryzmu, ani najbardziej brutalnych form przestępczości zorganizowanej - do zwalczania których oprogramowanie zostało stworzone. Do tego polskie prawo nie w pełni nadąża za technologią - część funkcji i możliwości Pegasusa w zasadzie nie podlega szczegółowym regulacjom, co zaś za tym idzie, bardzo nieostre mogą być kryteria ich zastosowania.

Jak działa Pegasus?

Pegasus zalicza się do kategorii spyware, czyli programów szpiegujących. Jego zasadniczy sposób działania przypomina znane od dekad trojany - moduł dostępowy Pegasusa po zainstalowaniu na smartfonie przejmuje nad nim kontrolę. Od tego momentu operator oprogramowania może zrobić z tym smartfonem, właściwie co tylko zechce.

Pegasusa stworzyła firma izraelska NSO Group, prawdopodobnie na użytek Mossadu. Dziś licencję na użytkowanie oprogramowania może kupić każdy rząd. „Dostarczamy upoważnionym władzom technologię do zwalczania terroryzmu i przestępczości” - tak izraelska firma definiuje swą misję.

NSO Group ma dwie historie. Jedna - ta chętnie opowiadana w mediach - przypomina opowieści z początków Doliny Krzemowej. Oto dwóch zdolnych młodych izraelskich przedsiębiorców w tenisówkach stworzyło aplikację, która (chronologicznie gdzieś w okolicach iPhone’a 3G) pozwalała na zdalne konfigurowanie nowo nabytych iPhone’ów na życzenie ich świeżo upieczonych, niezbyt jeszcze swobodnie poruszających się w nowej rzeczywistości, posiadaczy. Dopiero po kilku latach do naszych zdolnych deweloperów mieli się zgłosić smutni panowie z pytaniem, czy czasem nie dałoby się nieco zmodyfikować tej zabawnej appki - tak aby mogła działać również bez życzenia świeżo upieczonego właściciela iPhone’a. Aha - nie tylko iPhone’a, ale i BlackBerry (wtedy jeszcze bardzo popularnego i uważanego za bardzo bezpieczny) albo też dowolnego smartfona z Androidem. - Ależ oczywiście - mieli ochoczo odpowiedzieć Shalev Hulio i Omri Lavie - bo tak się nazywają założyciele NSO Group. Po czym natychmiast zabrali się do pracy.

Historia druga brzmi zupełnie inaczej. Opowieść o dwóch znajomkach ze szkoły średniej, którzy poszli drogą miniaturowego Steve’a Jobsa, jest w niej tylko przykrywką. Natomiast sam Pegasus ma być jedynie eksportową wersją oprogramowania stworzonego na zlecenie izraelskiego rządu przez specjalistów ze słynnej izraelskiej jednostki 8200 - czyli z tajnego zespołu zajmującego się prowadzeniem cyberwojny na wszelkie możliwe sposoby.

Na czele NSO Group do śmierci w 2016 roku stał generał Awigdor Ben-Gal, który urodził się w 1936 roku w Łodzi i po 1989 roku regularnie odwiedzał Polskę. Dla Izraelczyków był bohaterem trzech wojen - po bitwie pancernej w Dolinie Łez podczas wojny Jom-Kippur Mosze Dajan ogłosił, że to Awigdor Ben-Gal „ocalił Izrael”. Ben-Gal ze swoimi ludźmi zatrzymał wtedy silne syryjskie uderzenie pancerne.

Polska klasa polityczna poznała go jednak już jako emeryta - i zarazem członka zarządu ważnej firmy zbrojeniowej Izrael Aerospace Industries, słynącej z produkcji dronów (od lat 70.!) i innych zaawansowanych technologii wojskowych (pociski LAHAT i ostatnio Nimrod, udział w budowie satelitów szpiegowskich Ofeq itp.). Niewykluczone, że to on prowadził kluczowe negocjacje w sprawie polskiej transakcji dotyczącej Pegasusa.

Pegasus to system, o którym jeszcze niedawno tylko marzyły wszystkie służby świata. W sprzyjających okolicznościach pozwala na dosłownie totalną inwigilację. W dodatku jego interfejs jest relatywnie prosty i przyjazny dla użytkownika - szkolenie operatora jest krótkie i nie wymaga zaawansowanych kwalifikacji informatycznych.

Oprogramowanie pozwala służbom na uzyskanie pełnego dostępu do inwigilowanego smartfona.

Operator Pegasusa może więc przejrzeć absolutnie wszystkie wiadomości w telefonie - niezależnie od tego, czy chodzi o zwykły SMS, czy też o konwersacje w którymś z szyfrowanych komunikatorów.

Operator Pegasusa może też użyć zainfekowanego smartfona w dowolny sposób. Może z niego wysłać wiadomość, może ją skasować, może dodawać, edytować i usuwać wpisy inwigilowanego w mediach społecznościowych. Oczywiście może też z zainfekowanego telefonu zadzwonić, podszywając się pod właściciela, ale to już w dzisiejszych czasach zupełny banał, sposoby na to opracowano już dawno.

Oczywiście Pegasus może też zapisywać wszystko, co inwigilowany wklepuje z pomocą smartfonowej klawiatury, do standardowych funkcji oprogramowania należy też wykonywanie zrzutów ekranu - na życzenie lub automatycznie - w dowolnie ustawionych odstępach czasowych.

W ten sposób operator może poznać każde hasło stosowane przez inwigilowanego, treść każdej wysłanej przez niego wiadomości.

Nie ma też większego problemu z uzyskaniem pełnego dostępu do konta bankowego inwigilowanego (o ile tylko używa on do tego którejś z mobilnych aplikacji lub loguje się do panelu internetowego banku za pomocą smartfona). Ba w większości wypadków możliwe jest nawet wykonywanie przelewów - bo przecież najczęściej stosowanym przez banki uwierzytelnieniem jest w takim wypadku kod wysyłany SMS-em.

Na tym jednak nie koniec. Bo Pegasus daje również dostęp do kamery, mikrofonu i geolokalizacji smartfona. Z pomocą Pegasusa operator oprogramowania może więc zamienić zainfekowanego smartfona w wyrafinowaną pluskwę, z którą inwigilowany nie rozstaje się ze swej własnej, nieprzymuszonej woli. Pluskwę, która w czasie rzeczywistym przesyłać będzie do operatora zapis wszystkich dźwięków zebranych przez mikrofon smartfona (tak, tak, zwiększenie czułości też jest możliwe, aż do granic możliwości sprzętowych danego urządzenia, te zaś są nadspodziewanie spore nawet w wypadku smartfonów ze średniej półki), obraz z jego kamery, a do tego pełną ścieżkę geolokalizacyjną pozwalającą odtworzyć każdy krok inwigilowanego.

Aha, można jeszcze zdalnie po prostu zepsuć smartfona. W ten sposób inwigilowany może stracić łączność w kluczowym dla siebie momencie. W wypadku na przykład akcji antyterrorystycznej może to być bardzo przydatna funkcja.

W Meksyku systemu Pegasus użyto wobec dziennikarzy i naukowców, którzy chcieli opodatkowania napojów gazowanych

Żeby w ogóle umieścić Pegasusa na smartfonie trzeba albo uzyskać do niego fizyczny dostęp, albo nakłonić użytkownika do instalacji oprogramowania, albo wreszcie skorzystać z którejś z wciąż wykrywanych luk w zabezpieczeniach oprogramowania uważanego powszechnie za bezpieczne.

Pierwszą metodę znamy wszyscy z filmów sensacyjnych. Kilka minut nieuwagi, na przykład w kawiarni czy choćby w pracy - i nasz telefon może trafić w ręce specjalisty po czym niepostrzeżenie powrócić na stolik - oczywiście już z oprogramowaniem dostępowym Pegasusa na pokładzie.

Drugą metodę znamy jeszcze lepiej - przecież posługują się nią masowo twórcy ransomware, internetowi przestępcy oraz autorzy zwykłych złośliwych wirusów.

Wobec trzeciej metody jesteśmy jednak bezbronni. Pegsusa - z wykorzystaniem aktualnych luk w zabezpieczeniach jakiegokolwiek oprogramowania na smartfonie da się bowiem zainstalować również bez żadnego udziału inwigilowanego. Dopóki luka nie została wykryta, nie pomoże nawet najlepszy i najbardziej aktualny program antywirusowy czy zabezpieczający przed szpiegowaniem.

Skąd to wszystko wiemy? Otóż działanie Pegasusa na całym świecie stara się monitorować Citizen Lab - zespół informatyków, hakerów i badaczy z Kanady, który postawił sobie za cel ujawnianie przypadków łamania praw człowieka metodami stricte cyfrowymi.

Już rok temu działanie Pegasusa zostało przez zespół Citizen Lab wykryte w łącznie 45 krajach - od Stanów Zjednoczonych czy Wielkiej Brytanii, przez RPA, Jordan czy Łotwę, aż po Kenię, Kazachstan, Uzbekistan czy Wybrzeże Kości Słoniowej.

Już wtedy też autorzy raportu Citizen Lab o użytkowaniu Pegasusa wskazywali, że zainfekowane tym oprogramowaniem smartfony wykryto również w Polsce. Na liście operatorów znalazł się taki o kryptonimie „ORZELBIALY” - węgierskie służby oznaczone są tam kryptonimem „TURUL” (od węgierskiego godła), a na przykład szwajcarskie występują jako „EDELWEIS” („szarotka”).

Pegasus to potężne, ale i bardzo niebezpieczne narzędzie. Granica między zwalczaniem przestępczości a złamaniem podstawowych praw człowieka jest w wypadku tego systemu bardzo, bardzo krucha. A prawo nie nadąża tu za realiami.

Dla Pegasusa nawet wykrycie „myślozbrodni” z powieści Orwella to pestka. Wielki Brat z „Roku 1984” potrafił naprawdę wiele, ale jednak trochę mniej.

Więcej na temat:

Komentarze

4000/4000

Ta strona jest chroniona przez reCAPTCHA i obowiązują na niej polityka prywatności oraz warunki korzystania z usługi firmy Google. Dodając komentarz, akceptujesz regulamin oraz Politykę Prywatności.

08.05.2020 00:11:06

Nie da się elektronicznie to da się tak:

https://www.spyshop.pl/mikrofon-laserowy-spectra-laser-m-podsluch-przez-szyby-i-sciany-458.html

23.01.2020 12:48:45

N3310 i albo po herbacie albo mają pod górkę......

23.09.2019 11:41:50

Bez Pegasusa na każdym smartfonie niemal każde oprogramowanie "dobrowolnym przymusem" wymusza zgodę na inwigilację poprzez dostęp do "zasobów" smartfona uprzejmie o tym informując lub nie informując użytkownika. Ten artykuł to suplement do unijnej "dyrektywy wściekle uwierzytelniającej m.in. transakcje bankowe"? "Smartfon - cudowny wynalazek" stopniał jak bałwanek na wiosnę?

Jeśli uważasz, że któryś z komentarzy łamie regulamin, to wyślij nam link do tego artykułu na demaskator24@polskapress.pl

Masz materiał do sprawdzenia?

Prześlij do nas informacje, które weźmiemy pod lupę

Czytaj także

Polecane dla Ciebie