Nie tylko Pegasus. Sprawdź, jak władza może cię szpiegować, i jak utrudnić służbom zadanie

Od 18 lipca międzynarodowe śledztwo dziennikarskie ujawnia skalę inwigilacji działaczy opozycji, aktywistów, ludzi biznesu i dziennikarzy przy użyciu oprogramowania Pegasus stworzonego przez izraelską grupę NSO. Choć firma podkreśla, że oprogramowanie ma służyć walce z poważnymi przestępstwami i terroryzmem, praktyka okazuje się inna – wynika z listy 50 tys. celów, która wyciekła do dziennikarskiej organizacji Forbidden Stories.

Do szpiegowania własnych obywateli używał Pegasusa m.in. rząd Węgier. Według ustaleń Citizen Lab i TVN24 oprogramowanie używane jest również w Polsce.

W przeciwieństwie do innych znanych programów do inwigilacji, Pegasus może zainfekować telefon bez działania ze strony użytkownika, np. poprzez wysłanie na niego wiadomości.

OKO.press pyta holenderskiego badacza i konsultanta bezpieczeństwa Martijna Grootena, czego tak naprawdę się bać i jak się zabezpieczyć.

Maciek Piasecki, OKO.press: Wiele osób uważa, że nawet jeśli władza ich inwigiluje, to gdy nie łamią prawa, nie mają się czego bać. Mają rację?

Martijn Grooten: Każdy z nas ma coś, co chciałby ukryć.

Oczywiście niektórzy mają więcej do ukrycia niż inni. Jedni mają w swoich urządzeniach i w komunikatorach coś, czego ujawnienie mogłoby ich zawstydzić, sprawić, że poczuliby się niekomfortowo; inni – coś, co naraziłoby ich na fizyczne niebezpieczeństwo. Użycie programów grupy NSO, twórcy Pegasusa, sprawiało, że ludzie trafiali do więzienia lub zostali zabici – często to były osoby, których postawa życiowa zasługuje na podziw. Natomiast każdy z nas zasługuje na prywatność.

Po co władze szpiegują własnych obywateli, poza oczywistymi przypadkami przestępczości zorganizowanej czy terroryzmu?

Większość krajów daje swoim służbom prawo do naruszenia prywatności – pytanie tylko, w jaki sposób, wobec kogo i w jakim celu. Niektóre rządy szpiegują dziennikarzy i aktywistów opozycyjnych. Twierdzą przy tym nierzadko, że to członkowie siatek przestępczych czy terrorystycznych. A należy postawić między tymi przypadkami wyraźną granicę.

Jak konkretnie powinna zostać postawiona ta granica?

To już pole do negocjacji między obrońcami praw człowieka i wolności obywatelskich a zwolennikami silnej władzy. Natomiast każde takie działanie służb państwa powinno dać się konkretnie obronić, jeśli wyszłoby na światło dziennie. Dlaczego władza uznała tę osobę za terrorystę czy przestępcę? W wielu przypadkach tej odpowiedzi nie potrafi udzielić.

Czy osoby uczestniczące w protestach takich jak Strajk Kobiet, Strajk Przedsiębiorców czy akcje przeciwników szczepień są szczególnie narażone?

Jeżeli obawiasz się, że możesz stać się celem rządowej inwigilacji, zadbaj o swoje bezpieczeństwo. W ostatnich dniach dużo mówimy o działaniach programów grupy NSO, które są wyjątkowo złowrogie.

To może nie mieć znaczenia w przypadku masowych protestów, na których jest całe miasto, ale już w przypadku niewielkich, 100-osobowych wydarzeń – owszem. Każdej osobie wybierającej się na protest polecam poradnik Electronic Frontier Foundation dotyczący właśnie tego tematu.

Jak dużym zagrożeniem jest Pegasus? Używa się go tylko wobec celów o wysokim priorytecie, czy zwykli obywatele też mają powody do strachu?

Przeciętna osoba pracująca w fabryce czy piekarni raczej nie będzie celem takiego ataku, co nie znaczy, że nie ma się czego bać. Zagrożenie wynika jednak raczej z wpływu tego rodzaju działań na stan mediów i demokracji ogółem. Co innego np. osoby koordynujące protesty.

(Takie programy powstają choćby w Niemczech czy Włoszech, nie znamy nawet wszystkich przypadków, bo to środowisko dbające o tajemnice). Z pewnością jednak służby potrzebują w takim przypadku czasu, by zbadać, jak najlepiej podejść daną osobę, żeby spuściła gardę.

Jak duże nakłady ze strony władzy są tutaj potrzebne? Czy służby mają siły osobowe, żeby to wszystko przetworzyć? A może wszystko robi za nich sztuczna inteligencja?

Jeśli władza zdecyduje się użyć wobec kogoś tak drogiej technologii jak Pegasus, to z pewnością ma też przygotowane środki na jej obsługę i zapewne wiedzą, czego szukać: kontaktów, wiadomości w bezpiecznych komunikatorach, e-maili.

Jeśli już staniemy się celem ataku, czego dowiedzą się służby, a czego nie?

Można zakładać, że jeśli ktoś zyskał dostęp do naszego urządzenia, to wie wszystko, co można tam znaleźć – od ostatnio przeglądanych stron, przez wyszukiwania w mapach, do załączników w komunikatorach.

Szacuje się, że Polska ma 10 licencji na Pegasusa. To oznacza, że aktywnie w jednym momencie może być śledzonych 10 osób, czy może operatorzy mogą sobie skakać z telefonu na telefon, w ciągu kilku sekund wyciągać dane i iść dalej?

Nie możemy być tego pewni, ale z analizy instrukcji do programu wynika, że przeskakiwanie, choć możliwe, nie jest takie proste. Pegasus używa dziur w zabezpieczeniu typu zero-day, czyli takich najprawdopodobniej nie wykrytych przez twórców oprogramowania telefonów. Każde nowe użycie sprawia, że ingerencja może zostać wykryta, a dziura załatana. To ryzyko dla firmy NSO, bo muszą w takim przypadku włożyć sporo pracy w odkrywanie nowych luk.

A może Polacy zamiast inwigilacji ze strony własnych służb powinni bardziej się obawiać obcych sił? Wiele mówi się o atakach ze strony Rosji.

Zwykli obywatele raczej nie będę śledzeni przez obce służby. Ale już dziennikarze – możliwe. Szczególnie jeśli zajmują się relacjami polsko-rosyjskimi. Wiemy, że w przeszłości miało to miejsce.

Podsumowując, co zrobić, żeby być bezpiecznym?

Niestety odpowiedź jest bardzo trudna, bo każdy ma inny model zagrożenia.

– bardzo uważnie dbaj o urządzenia, używaj kilku, korzystaj z nich w bardzo wyspecjalizowanym stopniu. Reszta z nas może skorzystać z kilku rad, które utrudnią działania służbom i podniosą im poprzeczkę:

1. Ściągaj najnowsze wersje oprogramowania na swoje komputery i telefony;
2. do rozmów używaj komunikatora z szyfrowaniem, np. Signal;
3. kasuj dane takie jak wiadomości; niektóre komunikatory ma funkcję wiadomości znikających po jakimś czasie (wtedy nawet jeśli władza zyska dostęp do urządzenia, nie będzie miała dostępu do historii rozmów);
4. jak najmniej korzystaj z telefonu, np. nie trzymaj na nim e-maili (wtedy atak musi dotyczyć dwóch urządzeń);
5. dbaj o bezpieczeństwo haseł do serwisów i używaj dwustopniowego zabezpieczenia dostępu.