Co wiemy o atakach Pegasusem na NIK

W piątek 4 lutego 2022 RMF FM nieoficjalnie doniosło, że wyniki prac wewnętrznego zespołu do spraw cyberbezpieczeństwa Izby wskazują na możliwość przeprowadzenia ponad sześciu tysięcy "ataków" i zainfekowania Pegasusem ponad pięciuset urządzeń mobilnych, z których korzystali jej kontrolerzy.

W poniedziałek 7 lutego o 13:00 ma się odbyć konferencja prasowa, na której NIK odniesie się do tych doniesień. Na chwilę obecną wiemy bardzo mało, wypada więc podchodzić do nich bardzo ostrożnie.

Czy to w ogóle możliwe?

Zainfekowanie ponad pięciuset urządzeń brzmi niemal fantastycznie. Prosta matematyka pokazuje, że jest to jednak realne, potwierdzają to też eksperci, z którymi rozmawiałem.

Z tego, co wiemy, CBA pozyskało ponad 30 licencji na Pegasusa. To oznacza, że ponad 30 urządzeń może być inwigilowanych jednocześnie. Nie ogranicza to jednak liczby urządzeń, które w ogóle mogą zostać zainfekowane, najwyraźniej nie ma też dodatkowych kosztów związanych ze zmianą tego, które urządzenia są w danej chwili aktywnie nadzorowane.

Wiele wskazuje na to, że Pegasus blokuje aktualizacje na raz zainfekowanym urządzeniu. Robi to prawdopodobnie po to, by ułatwić potencjalną reinfekcję nawet po tym, gdy operator przestanie je aktywnie inwigilować.

Oznacza to, że możliwe by było infekowanie po kolei urządzeń używanych przez NIK, ekstrahowanie z nich danych i atakowanie kolejnej grupy urządzeń. Jeśli założymy, że używane w tym celu było 30 licencji (a więc 30 jednoczesnych infekcji), i że takie szybkie włamanie z pobraniem danych zajmowałoby średnio 2 dni (co wydaje się być dość bezpiecznym założeniem, choć nie wiemy dokładnie, ile czasu zajmuje zmiana celu dla Pegasusa), przerobienie listy pięciuset urządzeń zajęłoby około jednego miesiąca.

W międzyczasie analitycy mogą analizować wykradzione dane i ewentualnie zdecydować, które urządzenia zainfekować ponownie i na dłużej.

Jak NIK mógł tak szybko ustalić listę potencjalnie inwigilowanych urządzeń?

Zgodnie z nieoficjalnymi doniesieniami RMF FM, lista prawdopodobnie zainfekowanych urządzeń została ustalona poprzez sprawdzenie, które urządzenia łączyły się z domenami i adresami IP powiązanymi z systemem Pegasus. Taka lista została opublikowana przez Citizen Lab (np. tu) i Amnesty International (tutaj).

Pozyskaną w ten sposób listę potencjalnie zainfekowanych urządzeń należy zweryfikować, używając odpowiedniego narzędzia, stworzonego przez badaczy systemu Pegasus. Narzędzie wymaga specjalistycznej wiedzy, ale umożliwia ustalenie z dużą dozą prawdopodobieństwa, że Pegasus na danym urządzeniu się pojawił.

W porównaniu z niezależnymi badaczami (np. Citizen Lab właśnie), NIK miałby ułatwione zadanie: ma przecież bezpośredni dostęp do urządzeń mobilnych, z których korzystają kontrolerzy. Ma też (lub może łatwo uzyskać) dostęp do danych połączeń sieciowych nawiązywanych przez te urządzenia. Może więc w miarę szybko ustalić listę podejrzanych urządzeń, po czym dokonać niezbędnej weryfikacji (korzystając być może z zewnętrznych ekspertów).

Co budzi wątpliwości?

Systemy typu Pegasus dość często zmieniają domeny, z których korzystają do infekowania urządzeń, domeny zaś mogą wskazywać na wiele różnych adresów IP, lub często zmieniać adres IP, na który wskazują.

Adres IP wspomniany w tekście Onetu to najwyraźniej hosting współdzielony. Innymi słowy, wiele różnych domen będzie na ten adres wskazywało, wiele różnych podmiotów będzie z niego korzystać. To, że ten adres pojawia się pośród połączeń sieciowych nie musi jeszcze oznaczać, że dane urządzenie zostało zaatakowane. Może to być zupełnie niewinne wejście na kompletnie niezwiązaną z Pegasusem stronę internetową.

Oczywiście zrobienie listy takich połączeń to dobry pierwszy krok, ale jak wspomniałem wyżej: konieczna jest bezpośrednia weryfikacja, przy użyciu odpowiedniego narzędzia, czy dane urządzenie faktycznie było zainfekowane.

RMF FM wspomina o "próbach wejścia w telefony, laptopy, tablety i serwery pracowników Izby". Pegasus nie atakuje serwerów ani laptopów. Pegasus skupia się wyłącznie na urządzeniach mobilnych (smartfonach, tabletach i tym podobnych), działających pod kontrolą systemów z rodziny Android lub iOS.

To oczywiście nie oznacza, że jakieś inne narzędzie nie zostało użyte w celu uzyskania kontroli nad laptopami czy serwerami związanymi z NIK. Jednak bardziej prawdopodobne wydaje się, że te urządzenia łączyły się z podejrzanym adresem IP, być może w zupełnie niezwiązanym z Pegasusem celu, a to zostało (niepoprawnie) zinterpretowane jako "atak".

Więcej pytań niż odpowiedzi

Czy zatem faktycznie wystąpiła inwigilacja Najwyższej Izby Kontroli na ogromną skalę? W tej chwili trudno powiedzieć, ale nie można tego wykluczyć.

Jeśli informacje dotyczące tych ataków się potwierdzą, mielibyśmy do czynienia z prawdopodobnie największym dotychczas ujawnionym przypadkiem systematycznej inwigilacji instytucji kontrolerskiej w państwie demokratycznym.

Byłby to jasny, jednoznaczny dowód, że (zgodnie z obawami ekspertek i aktywistów) inwigilacja osób związanych z opozycją to nie jest wyjątek, rzadkie nadużycie systemu używane przede wszystkim do śledzenia groźnych przestępców, a raczej podstawowy sposób użycia tego typu zaawansowanych systemów cyfrowej inwigilacji osobistej.

Jak słusznie zauważył Łukasz Olejnik, takie nadzwyczajne twierdzenia wymagają jednak nadzwyczajnych dowodów. A tych dzisiaj po prostu brak.

Więcej dowiemy się w poniedziałek.