Pisowskie Watergate

Pisowskie Watergate

Pegasus to raczej system inwigilacji totalnej niż urządzenie czysto podsłuchowe


Piotr Niemczyk – działacz opozycji w PRL, ekspert z zakresu bezpieczeństwa, w latach 1993-1994 zastępca dyrektora Zarządu Wywiadu UOP, stały doradca sejmowej Komisji ds. Służb Specjalnych.


Czym jest program Pegasus, który polskim służbom specjalnym pozwolił podsłuchiwać m.in. senatora opozycji Krzysztofa Brejzę, niepokorną prokurator Ewę Wrzosek czy adwokata Donalda Tuska, byłego ministra rządu PiS, Romana Giertycha?
– Pegasus jest systemem inwigilacyjnym stworzonym i sprzedawanym przez powstałą w 2010 r. izraelską firmę informatyczną NSO Group z siedzibą w mieście Herclija. Założycielami firmy są byli pracownicy Jednostki 8200 Izraelskiego Korpusu Wywiadowczego. System ten składa się z kilku elementów. Informatycy wyszukują luki w oprogramowaniu nowo powstających urządzeń telekomunikacyjnych, po to by w niezauważalny sposób „przejąć urządzenie” – smartfon, tablet, laptop, komputer. Luki, o których nie wie sam producent sprzętu, nazywane są zero-day. Dzięki ich wykorzystaniu można uzyskać pełen dostęp do np. konkretnego smartfona, po pierwsze – bez śladu, a po drugie – bez konieczności jakiejkolwiek aktywności jego posiadacza (kliknięcia np. w podejrzany link, otworzenia przesłanego zdjęcia itd.).

Nie znamy oczywiście szczegółowych specyfikacji innych tego typu systemów inwigilacyjno-przechwytujących (a jest ich sporo), ale owa nieinwazyjna, bezśladowa zdolność działania Pegasusa ewidentnie odróżnia go od podobnych rozwiązań poprzedniej generacji. Do tego towarzyszy temu programowi cały pakiet dodatkowych funkcji: rejestracja, zapisywanie rozmów i SMS-ów, możliwość sięgania do pamięci telefonu, wyszukiwania i reagowania na słowa klucze. Wejście w oprogramowanie urządzenia pozwala też na ominięcie systemów szyfrowania wiadomości podczas ich przesyłu np. przez aplikację Signal, WhatsApp, Telegram. Pegasus „widzi” te treści, zanim zostaną zaszyfrowane. Działa zatem w czasie rzeczywistym, jak również może gromadzić bez ograniczeń wszystkie dane z takiego urządzenia, zapisywać je i przechowywać „na kiedyś, na później, na zawsze”. Oprócz słów kluczy coraz częściej Pegasus ma możliwość analizowania i wyłapywania związków frazeologicznych, zbitek słów, które mogą nieść np. zaszyfrowane, zawoalowane znaczenia.

Na czarnym rynku istnieją podobne systemy inwigilacyjne (zdarzało się, że policje i służby specjalne różnych państw, zatrzymując przestępców, odnajdowały w ich smartfonach bardzo nowoczesne systemy komunikacyjno-kryptograficzno-inwigilacyjne), ale Pegasus jest bardziej zaawansowany.

Kto może się posługiwać tym systemem?
– NSO Group, twórca Pegasusa, żeby sprzedać go jakiejkolwiek instytucji lub firmie, musi mieć akceptację którejś z kluczowych instytucji wojskowo-wywiadowczych Izraela. Literalnie jest tak, że Ministerstwo Obrony Izraela ustala oficjalną, jawną listę państw (rządów), które spełniają warunki do ewentualnej sprzedaży im usług Pegasusa. Odbywa się to zresztą na zasadzie czasowej licencji, która obejmuje konkretną liczbę urządzeń do objęcia nadzorem. Obecnie jest na tej liście 37 państw (a było ponad 100) – podczas ostatniej redukcji wypadły z niej m.in. Polska i Węgry. Oficjalnie kryteria są powiązane z oceną praworządności i ochrony praw człowieka w każdym kraju. Faktycznie dochodzi tu jeszcze dość uznaniowy czynnik polityczny, którego kluczowym elementem jest ocena możliwego zagrożenia dla Izraela i USA.

Czyli raczej czynnik polityczny jest decydujący?
– Rzeczywistym powodem ograniczenia liczby krajów, które mogą korzystać z systemu, był konflikt USA z Izraelem. Powodem gniewu Amerykanów nie było bynajmniej ujawnienie faktu „spegasusowania” telefonów obrońców praw człowieka w Maroku czy Egipcie lub żony ważnego szejka z Arabii Saudyjskiej, tu zaważyło stwierdzenie użycia Pegasusa do zhakowania telefonów kilkunastu wysokich rangą urzędników amerykańskiego Departamentu Stanu. W konsekwencji Departament Handlu USA nałożył embargo na produkty NSO Group. Oznaczało to nie tylko zakaz zakupów produktów NSO Group w USA, ale także niemożność zakupów przez Izraelczyków technologii amerykańskich. Widać wyraźnie, że prawa człowieka są raczej listkiem figowym przy podejmowaniu decyzji.

To znaczy, że Izraelczycy przegięli, a ministrowie Kamiński i Wąsik stracili cenny, niebezpieczny w ich rękach instrument inwigilacyjny, który miał nie zostawiać śladu?
– Tak. Gdyby nie embargo amerykańskie, Ministerstwo Obrony Izraela nie skróciłoby listy państw dopuszczonych do stosowania Pegasusa z ponad 100 do przywołanych 37. Zresztą Pegasusa nie kupują wyłącznie instytucje rządowe. Często robią to firmy prywatne mające rządową „autoryzację”, widać tu duże podobieństwo do mechanizmów znanych z handlu bronią. Rządy mają wpływ, kontrolę i decyzyjność, ale na co dzień zajmują się tym prywatne firmy. W Polsce też Izraelczycy sprzedali oprogramowanie nie bezpośrednio CBA, tylko jakiemuś operatorowi pracującemu dla służb. Ten zabieg ma na celu m.in. odsunięcie od siebie bezpośredniej odpowiedzialności za   nielegalne działania. Lojalność takich pośredników, czyli niewykorzystywanie możliwości takiego systemu np. do prywatnych zleceń, wcale nie jest oczywista. Możemy się domyślać, że mieszają się tu interesy państwa, służb specjalnych i prywatnych zamierzeń. Nie wiadomo, czy kiedykolwiek tego się dowiemy.

Jak to działa praktycznie? Inwigilowany odkłada na biurko wyłączony telefon, a ten nadal słucha, rejestruje, pracuje kamera?
– Owszem, bo Pegasus korzysta z inwigilacyjnych możliwości np. smartfona bez wiedzy i świadomości jego właściciela/ki. Tak zresztą czasami nazywa się współczesne telefony: wielofunkcyjne urządzenia rejestrująco-inwigilujące, które mogą też spełniać funkcje komunikacyjne. Działają nawet wtedy, kiedy telefon jest wyłączony, bo działa mikrofon, który może nagrywać i zapisywać, może być włączona kamera. Jawne stają się wiadomości SMS, wiadomości ze zwykłych komunikatorów, takich jak Messenger, oraz tych szyfrowanych (np. WhatsApp czy Signal), zdjęcia i filmy, lokalizacja GPS, lista kontaktów, kalendarz, historia z przeglądarek.

Ktoś, kto posiada licencję na Pegasusa, ma pełną kontrolę nad wszystkimi funkcjami i możliwościami wybranego urządzenia elektronicznego. Ta rejestracja może dotyczyć wszystkich rozmów, na dowolny temat, nie tylko na taki, który został zidentyfikowany jako przestępczy, podejrzany. I zostaje w banku danych do wykorzystania. Tak właśnie wyglądało pozyskanie SMS-ów Krzysztofa Brejzy, wykorzystanych, spreparowanych i użytych potem przez Samuela Pereirę w materiałach propagandowych TVP Info.

Senator Brejza mógł się domyślać, że jego telefon może być poddany jakimś działaniom służb, w końcu był członkiem parlamentarnej grupy ds. służb specjalnych. Zwróćmy uwagę, że do medialnego ataku na niego wykorzystano rozmowy (a właściwie spreparowane SMS-y, wymieszane z wypowiedziami innych osób) pochodzące z 2014 r., zanim został on szefem kampanii wyborczej Platformy Obywatelskiej.

Kto realnie kontroluje takie zdobycze inwigilacyjne?
– Wygląda na to, że przy zakupie w takim pakiecie, w jaki zaopatrzyły się polskie służby, robią to izraelscy operatorzy programu i następnie przekazują rezultaty „klientowi”, w tym wypadku ma on nazwę „orzelbialy”, ale pracuje na potrzeby najpewniej CBA, rodzimej służby PiS.

To jest jeszcze jeden bardzo ciekawy wątek tej afery. Jeśli nie tylko polskie służby miały dostęp do zgromadzonych informacji, oznaczałoby to, że dopuszczono sposób działania całkowicie niezgodny z pragmatyką służb i z polskim prawem. Tu prawo jest jasne: nikt, kto nie ma prawnej, instytucjonalnej konieczności wchodzenia w posiadanie takich informacji, ściśle tajnych,  nie ma prawa mieć do nich dostępu. Oczywiście zdarza się, że służby różnych krajów prowadzą wspólne działania przeciw grupom przestępczym, terrorystycznym. Taka współpraca jest ściśle regulowana przepisami prawa. Nie sposób sobie wyobrazić, że istnieje takie formalne, systemowe uregulowanie inwigilacji polskiego parlamentarzysty, szefa sztabu wyborczego opozycyjnej partii. Dopuszczenie obcej służby do takiego pakietu informacji jest nie tylko idiotyzmem, jest przestępstwem.

To koniec takiej możliwości działań?
– Zawieszenie licencji na Pegasusa dla Polski nie oznacza, że polskie służby nie będą nadal korzystać z podobnych narzędzi. Już wiadomo o dystrybuowanym przez izraelską firmę Cytrox, zarejestrowaną w Macedonii Północnej, niemal identycznym systemie inwigilacyjnym Predator.

r.kurkiewicz@tygodnikprzeglad.pl

Fot. Krzysztof Żuczkowski

Wydanie: 02/2022, 2022

Kategorie: Kraj, Wywiady

Napisz komentarz

Odpowiedz na treść artykułu lub innych komentarzy