Pegasus: gorzej niż podsłuch. Umożliwia podrzucanie dowodów. Giertych, Wrzosek, Brejza, kto jeszcze...

24 listopada dowiedzieliśmy się, że prokurator Ewa Wrzosek była inwigilowana Pegasusem. Pytaliśmy: kto jeszcze? Dziś wiemy o kolejnych dwóch osobach - to Roman Giertych i senator Koalicji Obywatelskiej Krzysztof Brejza.

Można się spodziewać, że nie jest to koniec listy osób, przeciwko którym ten system był użyty w Polsce, a które trudno nazwać "niebezpiecznymi przestępcami". Nie jest to też jedyny system inwigilacji osobistej dostępny na rynku.

Co gorsza, często używane w kontekście takich narzędzi porównanie do "podsłuchu" jest nietrafione: Pegasus i systemy jemu podobne są znacznie bardziej niebezpieczne, dają ich operatorom nieporównanie większy dostęp do zainfekowanego urządzenia - i do atakowanej osoby.

„Jakaś firma z Kanady"

Informacje o trzech potwierdzonych infekcjach Pegasusem w Polsce mamy z dwóch źródeł: prokurator Wrzosek dostała ostrzeżenie o wykrytym ataku od firmy Apple, co zostało następnie potwierdzone przez organizację Citizen Lab i opisane przez Associated Press. O infekcjach na urządzeniach Romana Giertycha i senatora Brejzy również wiemy dzięki Citizen Lab.

Wbrew opinii wicemarszałka Sejmu Ryszarda Terleckiego, Citizen Lab nie jest "jakąś firmą" (choć faktycznie jest z Kanady). To jednostka badawcza przy University of Toronto, największej uczelni wyższej w Kanadzie. Od dwóch dekad zajmują się badaniem zagrożeń dla otwartego Internetu i dla cyfrowych praw człowieka.

W 2016 roku zbadali i opisali przypadek Ahmeda Mansoora, aktywisty ze Zjednoczonych Emiratów Arabskich, który został zaatakowany przy pomocy złośliwego oprogramowania wykorzystującego nieznane wówczas (a więc i nie załatane) luki bezpieczeństwa w produktach firmy Apple. W październiku 2018 ustalili, że na telefon przyjaciela dziennikarza Dżamala Chaszukdżiego włamały się służby Arabii Saudyjskiej, co mogło mieć związek z jego morderstwem.

Twórcami złośliwego oprogramowania użytego w obu tych atakach była NSO Group. Ta sama firma, która dziś stoi za Pegasusem.

Gorszy niż podsłuch

"Pegasus jest znacznie bardziej inwazyjny, niż podsłuch telefoniczny. Ma dostęp do wszystkiego na Twoim telefonie, w tym do osobistych zdjęć i nagrań wideo, może też korzystać z GPS, uruchamiać kamerę czy mikrofon - mówi Etienne Maynier, technolog pracujący w Amnesty International. - Daje to wiedzę o tym, gdzie jesteś i co się dzieje w pokoju, w którym przebywasz, o ile tylko masz swój telefon przy sobie."

GPS, kamera i mikrofon mogą być przez systemy inwigilacji osobistej uruchamiane w dowolnym momencie, przez cały okres infekcji smartfona. Podsłuchiwane mogą być rozmowy telefoniczne, dla operatora dostępne są też wszystkie pliki na urządzeniu. Jak również rozmowy i pliki zapisane w komunikatorach, w tym tych szyfrowanych; przy czym nie oznacza to, żeby np. Signal "został złamany": po prostu na zainfekowanym urządzeniu atakujący ma taki sam (lub większy!) zakres dostępu, jak jego zwykły użytkownik.

Co istotne, ten dostęp obejmuje również ustawienia i dane uwierzytelniające (np. ciasteczka w przeglądarce) zachowane w aplikacjach zainstalowanych na zaatakowanym urządzeniu.

Osoba obsługująca Pegasusa może sobie zatem zapewnić dostęp również do kont e-mail, kont na komunikatorach internetowych i innych usług powiązanych z zainfekowanym urządzeniem. Wystarczy, że przeniesie odpowiednie ustawienia na inne urządzenie z tymi samymi aplikacjami. Wprawdzie nie jest to funkcjonalność samego Pegasusa, ale zdecydowanie jest możliwe, by w ten sposób wykorzystać dane, do których daje on dostęp.

To gorsze, niż wykradnięcie hasła, bo obchodzi uwierzytelnienie dwuskładnikowe. Nie oznacza to oczywiście, że uwierzytelnienie dwuskładnikowe jest nieskuteczne - jest to ważna metoda zabezpieczenia się w Sieci, z której koniecznie powinniśmy korzystać! Pokazuje to jednak, jak bardzo niebezpiecznymi narzędziami są systemy włamywania się na urządzenia, z których na co dzień korzystamy.

Co gorsza, tak uzyskany dostęp kont nie byłby tylko do odczytu: gdy już się wejdzie w posiadanie danych uwierzytelniających, ma się pełny dostęp. Oznacza to, że atakujący teoretycznie mogliby preparować dowody na kontach osób inwigilowanych.

Czarny scenariusz

Naprawdę czarnym scenariuszem jest więc możliwość usuwania kłopotliwych danych z kont osób niewygodnych dla mocodawców operatora systemu inwigilacji osobistej lub podrzucania na nie spreparowanych „dowodów”.

To jest wykonalne już przy obecnych, znanych możliwościach systemu Pegasus – wystarczy, że jego operator pobierze dane uwierzytelniające z zainfekowanego urządzenia, skonfiguruje dostęp na innym urządzeniu… i nie ma skrupułów.

Technicznie możliwe byłoby też, by system używany to zainfekowania urządzenia dawał operatorowi możliwość modyfikowania danych na samym urządzeniu (a więc również ich usuwania). Dostępne (dosyć ograniczone) informacje o systemie Pegasus nie wskazują na istnienie takiej funkcjonalności obecnie. Ale należy się liczyć z tym, że może zostać zaimplementowana. Jak nie w nim, to być może u konkurencji.

Nie jest to czcza spekulacja. Dwoje indyjskich aktywistów, Surendra Gadling i Rona Wilson, zostali w 2018 roku uznani za winnych planowania obalenia rządu na bazie dowodów znalezionych na ich laptopach. Po dogłębnej analizie tych urządzeń eksperci doszli jednak do wniosku, że dowody zostały spreparowane i umieszczone na laptopach przez nieznanych włamywaczy.

Okazało się też, że Telefon Wilsona był zainfekowany Pegasusem.

Warto zauważyć, że nawet tylko ewentualna możliwość dokonywania takich ingerencji w dane na kontach osób atakowanych i na zainfekowanych urządzeniach rodzi poważne pytania dotyczące wiarygodności jakichkolwiek dowodów cyfrowych.

Skoro możliwe jest przejęcie kontroli nad dowolnym urządzeniem, i potencjalnie umieszczenie na nim dowolnych plików - jak można ufać w sądzie jakimkolwiek danym z jakiegokolwiek urządzenia? Skoro możliwe jest wykorzystanie danych uwierzytelniających z przejętego urządzenia do włamania się na konto e-mail i spreparowanie na nim wiadomości, czy e-maile mogą nadal być dowodami w sądzie?

Polskie skrupuły

Zainfekowanie urządzeń Ewy Wrzosek, Romana Giertycha i Krzysztofa Brejzy jest faktem, ale ani Citizen Lab, ani Apple, nie przypisują (przynajmniej na razie) odpowiedzialności za te ataki nikomu konkretnemu. Stanisław Żaryn, rzecznik prasowy ministra koordynatora służb specjalnych Mariusza Kamińskiego, twierdził w rozmowie z Associated Press, że jakiekolwiek sugestie inwigilacji na potrzeby polityczne przez polski rząd są fałszywe.

Oczywiście teoretycznie możliwe jest, że ktoś inny niż polskie służby (które dostęp do Pegasusa mają od 2017 roku) zaatakował urządzenia mecenasa pracującego z ważnymi osobistościami opozycji bezpośrednio przed wyborami parlamentarnymi 2019 roku.

Możliwe też, że ktoś inny, niż polskie władze, polecił włamać się 33 razy na telefon szefa sztabu wyborczego największej partii opozycyjnej - i to w trakcie kampanii wyborczej.

Możliwe wreszcie, że ktoś kompletnie niezwiązany z polskim rządem postanowił inwigilować czynną prokurator kilka miesięcy po tym, jak wszczęła śledztwo w sprawie "wyborów kopertowych".

Teoretycznie - wszystko jest przecież możliwe.

Prostsze i bardziej oczywiste wydaje się jednak inne rozwiązanie. Tym bardziej, że polski rząd trudno posądzić o skrupuły - wystarczy wspomnieć niesławną "Krowę Kamińskiego". Skoro minister koordynator służb specjalnych nie widział problemu w tworzeniu rasistowskiej, antyuchodźczej narracji przy pomocy materiału zoofilskiego (najprawdopodobniej) nagranego jeszcze w czasach kaset VHS, czy zadrżałaby mu ręka nad poleceniem włamania się na urządzenia osób niewygodnych dla jego partii?

Ciemny rynek

Rzecz jasna, Pegasus nie jest jedynym takim systemem, a NSO Group nie jest jedyną firmą zajmującą się ich rozwojem. Systemy tego typu tworzone i sprzedawane są od lat.

Firmy za nie odpowiedzialne - jak Gamma Group (produkt: FinFisher), Hacking Team, NSO Group czy Candiru - niezmiennie twierdzą, że ich narzędzia inwigilacji trafiają wyłącznie do demokratycznych rządów, i to wyłącznie w celach rozpracowywania poważnych przestępców i terrorystów.

Co ciekawe, firmy te dosyć często same padają ofiarą włamań: dane Gamma Group wyciekły w 2014 r, a z Hacking Team w 2015 roku. Okazało się wtedy, że sprzedawane przez tę ostatnią firmę narzędzia trafiły do Bahrajnu czy Kazachstanu; były też wykorzystywane przez kartele narkotykowe w Meksyku. Podobnie zresztą jak Pegasus. To tyle jeśli chodzi o demokratyczne rządy.

„Osiodłać pegaza"

Polskie (i nie tylko polskie) służby konsekwentnie odmawiają podawania jakichkolwiek informacji dotyczących wykorzystania tego typu narzędzi inwigilacji osobistej. Wiemy jednak, że Centralne Biuro Antykorupcyjne miało dostęp do Pegasusa od 2017 roku, zaś wyciek danych z Hacking Team zawierał informacje sugerujące, że z CBA korzystało wcześniej również z narzędzi tej firmy.

Organizacje pozarządowe od lat sygnalizują, że nie mamy narzędzi realnego, niezależnego nadzoru nad tymi niebezpiecznymi systemami. Informacje o ich wykorzystaniu mamy albo (o ironio!) z wycieków danych od samych producentów, albo od wielkich firm technologicznych jak Apple, albo dzięki mrówczej, niewdzięcznej pracy badaczy i ekspertek pracujących w Citizen Lab i organizacjach im podobnych.

Ponad dwa lata temu Biuro Rzecznika Praw Obywatelskich zaproponowało konkretne rozwiązania mające taką realną kontrolę wprowadzić. Opierało się na dwóch filarach:

• stworzeniu niezależnego organu do spraw kontroli nad działalnością służb specjalnych;
• przyznaniu każdej osobie prawa do informacji o byciu przedmiotem zainteresowania ze strony służb i prawa dostępu do przetwarzanych przez nie danych osobowych.

Nie ma co liczyć, że rozwiązania te zostaną wprowadzone przez obecny rząd. Ale trzeba koniecznie o nich przypominać i domagać się ich wprowadzenia. Kiedyś władza się zmieni, przejmie jednak przecież te same niebezpieczne zabawki.

Być może warto się też zastanowić, czy tak niebezpieczne narzędzia inwigilacji osobistej w ogóle mieszczą się w ramach demokratycznego państwa prawa. Lepszych dowodów na to, że były, są i będą nadużywane, dziś już nie potrzebujemy.