- Ogromną zaletą Pegasusa i podobnych mu programów jest to, że udostępniają tak potężne funkcje w łatwy i prosty sposób. Przy kawie i serniku za pomocą kilku klików można wejść w posiadanie ogromnej ilości informacji - Z Łukaszem Olejnikiem rozmawia Patryk Słowik
Dr Łukasz Olejnik niezależny badacz i doradca cyberbezpieczeństwa i prywatności; pisze na Prywatnik.pl / Dziennik Gazeta Prawna
Pegasus wielu z nas kojarzy się z leciwą konsolą do gier. Tymczasem – jeśli wierzyć zagranicznym mediom – to najpotężniejsze narzędzie na świecie służące do inwigilacji. Czy rzeczywiście tak jest?
Nie. Jeśli miałoby to być najpotężniejsze narzędzie inwigilacji, to musielibyśmy doprecyzować: w odniesieniu do czego? Do innych metod czy do innych tego typu systemów? Nie ma większego sensu porównywanie podsłuchu laserami czy mikrofonami do Pegasusa. Takie oprogramowania rządzą się własnymi prawami, mają zalety i ograniczenia. Inna sprawa, że to rozwiązanie bardzo efektywne. Ale zostawiając na marginesie zapotrzebowanie na chwytliwe nagłówki prasowe – sprawa jest złożona i poważna.
To po kolei: czym jest Pegasus?
To oprogramowanie dostępowe działające na zasadzie hakowania obranego celu – przełamania zabezpieczeń smartfona – w celu dokonania pewnych działań: z reguły pozyskania informacji o użytkowniku. Przy czym Pegasus nie jest jedynym takim wielofunkcyjnym „kombajnem”, choć to faktycznie bardzo złożone i kompleksowe narzędzie. Jedną z cech takich systemów jest to, że do korzystania z nich nie jest wymagana ekspercka wiedza. W zespołach, które ich używają, nie trzeba budować kompetencji, co przez niektórych jest uznawane za zaletę – bo można iść na skróty, szybciej. A przez innych za wadę – ludziom, którzy wykorzystują takie systemy, może brakować rzeczywistej świadomości działania tej infrastruktury. No, i pamiętajmy jeszcze o tym, że Pegasus pozostaje pod kontrolą twórców – izraelskiej NSO Group.
Magazyn DGP 6 września / Dziennik Gazeta Prawna
Jak działa Pegasus? Przypomina wirus komputerowy?
W pewnym sensie tak. Choć nie lubię używać tego określenia, które niewiele dziś już znaczy. Lepiej stosować inne: oprogramowanie szpiegowskie, spyware. W uproszczeniu Pegasus infekuje urządzenie użytkownika. Ale żeby zrozumieć, w jaki sposób do tego dochodzi, trzeba wyjaśnić, jak działa przełamywanie zabezpieczeń.
Jak?
Aplikacje w smartfonie – może być to przeglądarka internetowa, klient poczty e-mail, gra, komunikator lub aplikacja do odczytywania i wysyłania SMS – to oprogramowanie, któremu twórcy nadali określone funkcje. Programy pracują, interpretując dane wejściowe – to mogą być np. działania podejmowane przez użytkownika, a w przypadku komunikatorów – choćby wiadomości przychodzące. W uproszczeniu przełamywanie zabezpieczeń to dostarczenie specyficznie spreparowanych danych, by wykorzystać niedoskonałości aplikacji.
Jak wygląda cyberatak?
Użytkownik może otrzymać SMS czy e-maila z odpowiednio przygotowanym linkiem. Po jego uaktywnieniu, czyli wejściu na stronę WWW, spreparowane dane są „wstrzykiwane” do oprogramowania. To tylko jedna z metod.
I co się następnie dzieje?
Po skutecznym ataku mamy do czynienia ze swego rodzaju magią, bo okazuje się, że można wbudowywać w program dodatkowe funkcje. Wyobraźmy sobie, że odkryliśmy, siedząc przed telewizorem, jak za pomocą wciśnięcia kombinacji klawiszy na pilocie doprowadzić do tego, że aktorzy w nagranym filmie mówią i robią rzeczy nieprzewidziane przez jego twórców. Właśnie w taki sposób, po obejściu standardowego trybu działania np. przeglądarki, a później systemu operacyjnego, zaczyna pracować nasz smartfon.
Co się dzieje po uzyskaniu kontroli nad systemem smartfona przez Pegasusa?
Po przełamaniu zabezpieczeń można zainstalować na urządzeniu zewnętrzne oprogramowanie – w tym przypadku implant inwigilacyjny. To on udostępnia interesujące funkcje, bo Pegasus to przecież cała infrastruktura. System potrafi identyfikować, jakie metody przełamania zabezpieczeń zastosować dla odpowiedniego celu. Zarządza komunikacją i kontrolą nad implantem, czyli przykładowo zlecaniem mu działań. To wszystko brzmi skomplikowanie, ale zaletą Pegasusa i podobnych mu programów jest to, że udostępniają tak potężne funkcje w łatwy i prosty sposób. Nie trzeba być ekspertem, bo korzysta się z gotowego schematu. Przy kawie i serniku za pomocą kilku klików można wejść w posiadanie ogromnej ilości informacji.
Od kilkunastu miesięcy spekuluje się, że polskie służby specjalne zakupiły ten system. Czy w ich działalności Pegasus może być przydatny?
Zdecydowanie tak, bo smartfon to dziś centrum naszego życia. Mamy w nim e-maile, kalendarze spotkań, rezerwacje podróży, zdjęcia, informacje zdrowotne, loginy i hasła, komunikatory. Wśród tych danych mogą się znajdować poszlaki, ślady, a nawet dowody przydatne w śledztwach. Jednak w tym kontekście nie powinniśmy ograniczać się do mówienia o Pegasusie – to tylko jedno z takich narzędzi. Trzeba zwrócić uwagę na to, że rządy i podległe im służby chcą zyskać prawa do zdalnego dostępu do urządzeń elektronicznych wybranych celów. Ogólnie rzecz ujmując – chodzi o legalne hakowanie. Ten „zdalny dostęp” to eufemizm, bo przecież dalej byłoby to włamywanie się do komputerów czy smartfonów. Ale w środowisku eksperckim takie określenie jest stosowane.
Jakie dane zbiera Pegasus? Czy dzięki niemu służby mogą podsłuchiwać rozmowy i oglądać zdjęcia zapisane w telefonie?
Czy mogą usłyszeć to, co mówimy, gdy nie korzystamy ze smartfona?

To oprogramowanie może wiele. Poza przejęciem danych użytkownika może też oferować możliwość włączania mikrofonu także wtedy, gdy nie korzysta się ze smartfona. Być może Pegasus zapewnia też dostęp do informacji zapisanych przez nas w chmurach, miejscach przechowywania danych, do których jedynie się logujemy.

Pegasus służy walce z terroryzmem, sprawdzaniu wytypowanych osób, czy może służyć inwigilowaniu każdego obywatela?
To, do czego służy, zależy od jego operatora. NSO Group utrzymuje, że jej celem było stworzenie oprogramowania do zgodnej z prawem walki z terroryzmem oraz przestępczością, a użycie programu ma podlegać weryfikacji. Ale w jaki sposób – tego już nie wiemy. Prawdą jest, że Pegasus to system inwigilacji ukierunkowanej, zatem nie chodzi o masowe podsłuchy. Ale pamiętajmy, że choć jest teraz o nim bardzo głośno, to stanowi tylko wycinek znacznie szerszego problemu inwigilacji. Nie dalej jak tydzień temu ujawniono, że w Chinach zhakowano tysiące użytkowników smartfonów z systemami iOS , a podobno – choć brak na to dowodów – także Android oraz Windows. Portal TechCrunch wskazywał, że celem byli Ujgurzy (muzułmanie zamieszkujący prowincję Sinciang, w której działają ruchy separatystyczne – red.), zaś akcja trwała od co najmniej 2016 r. Wystarczyło wejść na zainfekowaną stronę internetową, by ściągnąć na smartfona funkcjonalnie podobny do Pegasusa implant dostępowy. Przy czym to narzędzie hakowało wszystkich. Właśnie ta masowość ukazuje skalę problemu nieporównywalną z Pegasusem, który ma być używany w sposób ukierunkowany. Do tego w krajach demokratycznych istnieje niezależny nadzór nad służbami specjalnymi, procedury, jakaś doza transparentności.
Czy w ogóle korzystanie z takich narzędzi jak Pegasus jest legalne? I czy może być ono wykorzystywane do inwigilacji osób, które mają ustawowe prawo do zachowania tajemnicy, czyli np. dziennikarzy lub adwokatów?
Technologia nie dyskryminuje ze względu na profesję. Biznesmeni, politycy, adwokaci czy dziennikarze używają tych samych smartfonów, co wszyscy. Pytanie o to, czy jest to legalne, to zupełnie inna kwestia. Obywatele mogą oczekiwać, że w państwie prawa obowiązują odpowiednie ograniczenia i procedury.
Fundacja Panoptykon wskazuje, że Pegasus jest w Polsce nielegalny, gdyż pozwala uzyskać dostęp do danych archiwalnych, tymczasem sądy wydają zgodę na działania operacyjne „na przyszłość”.
To dość oryginalny sposób argumentacji. Z podobnymi problemami nie borykają się inni operatorzy Pegasusa i instytucje krajów stosujące dostęp zdalny, czyli hakowanie systemów. W niektórych państwach rzeczywiście wprost nadaje się służbom specjalne uprawnienia do kontroli zdalnej, z kolei w innych panuje pogląd, że wystarczą zasady ogólne. W Polsce społeczeństwo i opinia publiczna najwyraźniej nie czują potrzeby przeprowadzenia takiej debaty, choć to strategiczny element cyberbezpieczeństwa. Ale też kto by miał taką rozmowę prowadzić? Być może będzie więc podobnie jak w przypadku zagadnień dotyczących prywatności w internecie oraz cyberbezpieczeństwa, czyli przejmie się wnioski płynące z Zachodu? Debata z prawdziwego zdarzenia byłaby przydatna, choćby po to, by umożliwić dobranie właściwych, opartych na analizie i wiedzy rozwiązaniach skrojonych dla kontekstu lokalnego.
Czy zwykły Kowalski może się przed inwigilacją zabezpieczyć? Czy dobre oprogramowanie antywirusowe uchroni przed kontrolą ze strony służb?
Oprogramowanie antywirusowe może nie wykryć tych najbardziej skutecznych implantów. Zresztą antywirusy na smartfonach to rzadkość. Panuje, zresztą uzasadnione, przekonanie, że niewiele mogą pomóc, szczególnie jeśli miałoby się je traktować jako protezy zastępujące zdrowy rozsądek. Przede wszystkim zawsze warto mieć aktualne oprogramowanie, w tym system operacyjny. Ale trzeba przyjąć do wiadomości, że służby i cyberprzestępcy będą cały czas szukać dziur w programach, które można wykorzystać do inwigilacji. Osobną sprawą jest, czy w demokratycznym kraju zwykły obywatel powinien obawiać się służb i czy to na pewno główne z zagrożeń cyberbezpieczeństwa dla przeciętnego użytkownika.
Coraz częściej mówi się o wykorzystywaniu oprogramowania, które utrudnia śledzenie. Radzi się internautom korzystanie z Signala, nie Messengera, dziennikarze śledczy często mają skrzynki na Tutanota, a nie na Gmailu. Czy to rzeczywiście zwiększa bezpieczeństwo, czy to sztuka dla sztuki?
Signal to dobry komunikator, ale co on oferuje? Zabezpiecza kanał komunikacji między użytkownikami w taki sposób, że zewnętrzny obserwator nie będzie w stanie go odszyfrować. To wydatnie zwiększa bezpieczeństwo komunikacji. Jeśli dla uproszczenia uznamy, że rozmówców jest dwóch, to monitorując sieć, nie poznamy treści ich rozmowy. Ale, skoro mówimy o Pegasusie, to przy jego pomocy można zhakować urządzenie jednego z uczestników pogawędki, co umożliwi pobranie historii czatu lub sprawi, że w czasie rzeczywistym będziemy widzieć to, co piszą oni do siebie. Trzeba się zastanowić, przed czym lub przed kim chcemy się ochronić i odpowiednio dobrać metody. To, że wszystko można zhakować, nie oznacza, że zhakowane zostanie wszystko, każdy i zawsze. Bo takie działania kosztują. Mówiąc wprost: nie siejmy paniki, bo nie jest tak, że nagle każdy z nas został wzięty na celownik.
Czyli jakiej rady udzieliłby pan tym, którzy mimo wszystko obawiają się o swoje bezpieczeństwo i myślą o tym, jak zabezpieczyć się przed Pegasusem, który na pewno służby wobec nich będą chciały wykorzystać?
Najważniejsze: myśleć. Przykładowo, przez lata wmawiano nam, iż hasła trzeba regularnie zmieniać. Mało tego – wiele systemów tego od nas wymaga. Nie zastanawiano się nad tym, że takie zalecenie w większości przypadków prowadzi do sytuacji, w której zmęczony częstymi zmianami użytkownik wymyśla coraz „słabsze” hasła, by móc je zapamiętać.
Czy w ogóle przeciętny obywatel powinien się obawiać? Gdy wychodzą na jaw kolejne afery związane z zabezpieczeniami, zastanawiam się, po co rządy miałyby podsłuchiwać Słowika lub Olejnika?
Nie podejrzewam pana o to, że przechowuje pan na smartfonie lub skrzynkach e-mailowych treści tajne, nawet jeśli byłyby związane z pańską pracą. Trudno mi ocenić, czy ma pan dostęp do informacji bądź systemów znajdujących się w zainteresowaniu obcych wywiadów, ale jeśli nie, to podejrzewam, że chińskie i amerykańskie służby wolą skierować swoje siłą rzeczy ograniczone zasoby w inne strony. Zaś pospolici cyberprzestępcy nie mają dostępu do najbardziej zaawansowanych narzędzi, choćby dlatego że mogą one kosztować nawet miliony dolarów.
Przeżywanie przez media, że polskie służby mogą korzystać z Pegasusa, to sianie paniki? Nie jest tak, że od dawna państwo inwigiluje obywateli? I zmieniają się co najwyżej wykorzystywane metody?
Ależ Pegasus i podobne mu systemy zmieniają absolutnie wszystko, gdy chodzi o łatwość wejścia w posiadanie informacji. Bo przecież nigdy w historii ludzkości nie mieliśmy sytuacji, że w urządzeniu mieszczącym się w kieszeni znajduje się właściwie kompletny zapis życia, osobiste historie i tajemnice. Nigdy żadne służby nie miały też dostępu do tak bogatych danych. I to jest istotą sprawy. Bo dziś nie tylko można mieć dostęp do tych wszystkich informacji, ale na ich podstawie można przewidywać, co osoba inwigilowana zamierza zrobić. Zdalny dostęp ukierunkowany, czyli hakowanie w majestacie prawa, to dziś część szerszego zagadnienia cyberbezpieczeństwa państwa. W wielu krajach trwają rozmowy na ten temat, nawet pojawiają się głosy, że takie rozwiązanie powinno być legalne. Argumentuje się, że jest lepsze od innych kontrowersyjnych propozycji, np. takich, które zakładają celowe, systemowe osłabianie siły szyfrowania komunikatorów. Gdyby takie rozwiązania przeszły, byłoby to bardzo szkodliwe, bo dotykałoby nas wszystkich. Rodziłyby się kolejne pytania: czy ważniejsza jest walka z przestępczością, czy też ważniejsze są gwarancje prywatności oraz bezpieczeństwa, które państwo gwarantuje obywatelom i gospodarce cyfrowej? Ale czy ktokolwiek w Polsce o tym mówi? Prawdziwej debaty o polityce technologii – nie tylko o cyberbezpieczeństwie, u nas nie ma. Tym bardziej rośnie znaczenie tych, które odbywają się na Zachodzie, bo tam decyduje się o standardach. ©℗
Trzeba się zastanowić, przed czym lub przed kim chcemy się ochronić i odpowiednio dobrać metody. To, że wszystko można zhakować, nie oznacza, że zhakowane zostanie wszystko, każdy i zawsze. Bo takie działania kosztują. Mówiąc wprost: nie siejmy paniki, bo nie jest tak, że nagle każdy z nas został wzięty na celownik
Łukasz Olejnik niezależny badacz i doradca cyberbezpieczeństwa i prywatności, research associate w Centre for Technology and Global Affairs Uniwersytetu Oxfordzkiego. Był doradcą ds. cyberwojny w Międzynarodowym Komitecie Czerwonego Krzyża w Genewie
fot. STUDIO KOLECKI/Mat. prasowe