Prawa autorskie: Slawomir Kaminski / Agencja GazetaSlawomir Kaminski / ...
24 lipca 2021

Nie tylko Pegasus. Sprawdź, jak władza może cię szpiegować, i jak utrudnić służbom zadanie

Niewiele osób uczestniczących w Strajkach Kobiet czy Przedsiębiorców będzie zaatakowanych Pegasusem – koszty sięgają setek tysięcy złotych. Są jednak inne sposoby inwigilacji. Holenderski ekspert zabezpieczeń Martijn Grooten tłumaczy, czego się bać i jak się zabezpieczyć

Od 18 lipca międzynarodowe śledztwo dziennikarskie ujawnia skalę inwigilacji działaczy opozycji, aktywistów, ludzi biznesu i dziennikarzy przy użyciu oprogramowania Pegasus stworzonego przez izraelską grupę NSO. Choć firma podkreśla, że oprogramowanie ma służyć walce z poważnymi przestępstwami i terroryzmem, praktyka okazuje się inna – wynika z listy 50 tys. celów, która wyciekła do dziennikarskiej organizacji Forbidden Stories.

Do szpiegowania własnych obywateli używał Pegasusa m.in. rząd Węgier. Według ustaleń Citizen Lab i TVN24 oprogramowanie używane jest również w Polsce.

W przeciwieństwie do innych znanych programów do inwigilacji, Pegasus może zainfekować telefon bez działania ze strony użytkownika, np. poprzez wysłanie na niego wiadomości.

OKO.press pyta holenderskiego badacza i konsultanta bezpieczeństwa Martijna Grootena, czego tak naprawdę się bać i jak się zabezpieczyć.

Maciek Piasecki, OKO.press: Wiele osób uważa, że nawet jeśli władza ich inwigiluje, to gdy nie łamią prawa, nie mają się czego bać. Mają rację?

Martijn Grooten: Każdy z nas ma coś, co chciałby ukryć.

Jeśli dasz mi dostęp do swojego e-maila, z pewnością znajdę rzeczy, których mógłbym użyć do szantażowania cię.

Oczywiście niektórzy mają więcej do ukrycia niż inni. Jedni mają w swoich urządzeniach i w komunikatorach coś, czego ujawnienie mogłoby ich zawstydzić, sprawić, że poczuliby się niekomfortowo; inni – coś, co naraziłoby ich na fizyczne niebezpieczeństwo. Użycie programów grupy NSO, twórcy Pegasusa, sprawiało, że ludzie trafiali do więzienia lub zostali zabici – często to były osoby, których postawa życiowa zasługuje na podziw. Natomiast każdy z nas zasługuje na prywatność.

Po co władze szpiegują własnych obywateli, poza oczywistymi przypadkami przestępczości zorganizowanej czy terroryzmu?

Większość krajów daje swoim służbom prawo do naruszenia prywatności – pytanie tylko, w jaki sposób, wobec kogo i w jakim celu. Niektóre rządy szpiegują dziennikarzy i aktywistów opozycyjnych. Twierdzą przy tym nierzadko, że to członkowie siatek przestępczych czy terrorystycznych. A należy postawić między tymi przypadkami wyraźną granicę.

Jak konkretnie powinna zostać postawiona ta granica?

To już pole do negocjacji między obrońcami praw człowieka i wolności obywatelskich a zwolennikami silnej władzy. Natomiast każde takie działanie służb państwa powinno dać się konkretnie obronić, jeśli wyszłoby na światło dziennie. Dlaczego władza uznała tę osobę za terrorystę czy przestępcę? W wielu przypadkach tej odpowiedzi nie potrafi udzielić.

Czy osoby uczestniczące w protestach takich jak Strajk Kobiet, Strajk Przedsiębiorców czy akcje przeciwników szczepień są szczególnie narażone?

Jeżeli obawiasz się, że możesz stać się celem rządowej inwigilacji, zadbaj o swoje bezpieczeństwo. W ostatnich dniach dużo mówimy o działaniach programów grupy NSO, które są wyjątkowo złowrogie.

Jeśli zabierasz ze sobą telefon na protest to i bez Pegasusa władzy będzie łatwo ustalić, że tam byłeś.

To może nie mieć znaczenia w przypadku masowych protestów, na których jest całe miasto, ale już w przypadku niewielkich, 100-osobowych wydarzeń – owszem. Każdej osobie wybierającej się na protest polecam poradnik Electronic Frontier Foundation dotyczący właśnie tego tematu.

Jak dużym zagrożeniem jest Pegasus? Używa się go tylko wobec celów o wysokim priorytecie, czy zwykli obywatele też mają powody do strachu?

Przeciętna osoba pracująca w fabryce czy piekarni raczej nie będzie celem takiego ataku, co nie znaczy, że nie ma się czego bać. Zagrożenie wynika jednak raczej z wpływu tego rodzaju działań na stan mediów i demokracji ogółem. Co innego np. osoby koordynujące protesty.

Barierą jest jednak koszt – to, że władza nie lubi jakiejś grupy nie znaczy, że wyda setki tysięcy złotych na jej inwigilację. Być może wykorzysta jednak konkurencyjny, prostszy program, który wymaga np. kliknięcia w niebezpieczny link

(Takie programy powstają choćby w Niemczech czy Włoszech, nie znamy nawet wszystkich przypadków, bo to środowisko dbające o tajemnice). Z pewnością jednak służby potrzebują w takim przypadku czasu, by zbadać, jak najlepiej podejść daną osobę, żeby spuściła gardę.

Jak duże nakłady ze strony władzy są tutaj potrzebne? Czy służby mają siły osobowe, żeby to wszystko przetworzyć? A może wszystko robi za nich sztuczna inteligencja?

Jeśli władza zdecyduje się użyć wobec kogoś tak drogiej technologii jak Pegasus, to z pewnością ma też przygotowane środki na jej obsługę i zapewne wiedzą, czego szukać: kontaktów, wiadomości w bezpiecznych komunikatorach, e-maili.

Jeśli już staniemy się celem ataku, czego dowiedzą się służby, a czego nie?

Można zakładać, że jeśli ktoś zyskał dostęp do naszego urządzenia, to wie wszystko, co można tam znaleźć – od ostatnio przeglądanych stron, przez wyszukiwania w mapach, do załączników w komunikatorach.

Szacuje się, że Polska ma 10 licencji na Pegasusa. To oznacza, że aktywnie w jednym momencie może być śledzonych 10 osób, czy może operatorzy mogą sobie skakać z telefonu na telefon, w ciągu kilku sekund wyciągać dane i iść dalej?

Nie możemy być tego pewni, ale z analizy instrukcji do programu wynika, że przeskakiwanie, choć możliwe, nie jest takie proste. Pegasus używa dziur w zabezpieczeniu typu zero-day, czyli takich najprawdopodobniej nie wykrytych przez twórców oprogramowania telefonów. Każde nowe użycie sprawia, że ingerencja może zostać wykryta, a dziura załatana. To ryzyko dla firmy NSO, bo muszą w takim przypadku włożyć sporo pracy w odkrywanie nowych luk.

A może Polacy zamiast inwigilacji ze strony własnych służb powinni bardziej się obawiać obcych sił? Wiele mówi się o atakach ze strony Rosji.

Zwykli obywatele raczej nie będę śledzeni przez obce służby. Ale już dziennikarze – możliwe. Szczególnie jeśli zajmują się relacjami polsko-rosyjskimi. Wiemy, że w przeszłości miało to miejsce.

Podsumowując, co zrobić, żeby być bezpiecznym?

Niestety odpowiedź jest bardzo trudna, bo każdy ma inny model zagrożenia.

Jeśli zakładasz, że władze mogą wydać setki tysięcy złotych, by zdobyć informacje na twój temat, postępuj tak, jakbyś zaraz miał paść celem ataku

– bardzo uważnie dbaj o urządzenia, używaj kilku, korzystaj z nich w bardzo wyspecjalizowanym stopniu. Reszta z nas może skorzystać z kilku rad, które utrudnią działania służbom i podniosą im poprzeczkę:

  1. Ściągaj najnowsze wersje oprogramowania na swoje komputery i telefony;
  2. do rozmów używaj komunikatora z szyfrowaniem, np. Signal;
  3. kasuj dane takie jak wiadomości; niektóre komunikatory ma funkcję wiadomości znikających po jakimś czasie (wtedy nawet jeśli władza zyska dostęp do urządzenia, nie będzie miała dostępu do historii rozmów);
  4. jak najmniej korzystaj z telefonu, np. nie trzymaj na nim e-maili (wtedy atak musi dotyczyć dwóch urządzeń);
  5. dbaj o bezpieczeństwo haseł do serwisów i używaj dwustopniowego zabezpieczenia dostępu.

Udostępnij:

Maciek Piasecki

Maciek Piasecki (1988) – studiował historię sztuki i dziennikarstwo na Uniwersytecie Warszawskim, praktykował m.in. w Instytucie Kultury Polskiej w Londynie. W OKO.press relacjonuje na żywo protesty i sprawy sądowe aktywistów. W 2020 r. relacjonował demokratyczny zryw w Białorusi. Stypendysta programu bezpieczeństwa cyfrowego Internews.

Komentarze

Komentarze będą wkrótce dostępne