Pegasus – problemem są pieniądze
Pegasus – oprogramowanie szpiegujące zostało kupione przez Centralne Biuro Antykorupcyjne za 34 mln złotych – podała stacja TVN24, której reporterzy przeanalizowali wyniki kontroli Najwyższej Izby Kontroli. NIK zwróciła uwagę na fakturę dotyczącą zapłaty 25 mln za program i 8,5 mln zł za testy i szkolenia. Pieniądze pochodziły z Funduszu Sprawiedliwości ustanowionego na rzecz ofiar przestępstw. Dane dostawcy widoczne na fakturze sugerują, że był to pośrednik pomiędzy CBA a izraelskim twórcą programu firmą NSO Group.
Wyjaśnijmy od razu dwie kwestie: po pierwsze, Pegasus nie jest narzędziem masowej inwigilacji. Cel zawsze musi być konkretnie określony. Po drugie, Centralne Biuro Antykorupcyjne ma prawo korzystać z różnych narzędzi, w tym zapewne też z takiego, jakim jest Pegasus.
Problem tkwi natomiast w art. 4 Ustawy z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym, który brzmi:
1. Działalność CBA jest finansowana z budżetu państwa.
2. Koszty realizacji zadań CBA, w zakresie których – ze względu na wyłączenie ich jawności – nie mogą być stosowane przepisy o finansach publicznych, rachunkowości i zamówieniach publicznych, są finansowane z utworzonego na ten cel funduszu operacyjnego.
3. Szef Centralnego Biura Antykorupcyjnego określi, w drodze zarządzenia, stanowiące informacje niejawne szczegółowe zasady tworzenia funduszu operacyjnego, o którym mowa w ust. 2, oraz gospodarowania tym funduszem.
Istota rzeczy leży więc nie w tym, że czy się nam to podoba, że taka aplikacja jak Pegasus została kupiona, lecz za czyje pieniądze. Te bowiem pochodziły wedle dużego prawdopodobieństwa z Funduszu Sprawiedliwości na rzecz ofiar przestępstw. A Fundusz Sprawiedliwości nie po to został stworzony. Jest on bowiem, jak czytamy na stronie, funduszem celowym ukierunkowanym na pomoc osobom pokrzywdzonym i świadkom, przeciwdziałanie przestępczości oraz pomoc postpenitencjarną. I nigdzie w ustawie dotyczącej ten instytucji nie wspomina się o dofinansowaniu działalności CBA.
Totalna inwigilacja – nie od dzisiaj
Faktem jest, że Pegasus nie jest narzędziem do totalnej inwigilacji. Wyobrażanie sobie, że uruchomienie aplikacji spowoduje, że wszystkie nasze rozmowy, wiadomości i filmy trafią do żądnych wrażeń funkcjonariuszy CBA jest błędem. Korzystanie z Pegasusa przypomina raczej “Życie na podsłuchu”, niż działanie Echelona – globalnej sieci wywiadu elektronicznego.
Inna rzecz, że już w 2018 r. eksperci z Citizen Lab, organizacji monitorującej bezpieczeństwo w internecie, opublikowali wyniki dwuletniego badania, z którego wynika, że Pegasus był używany przez władze krajów, o których można powiedzieć, że są na bakier z prawami człowieka, m.in. w Bahrajnie, Zjednoczonych Emiratach Arabskich, Arabii Saudyjskiej. Jego ślady pojawiły się także w USA, Francji, Turcji, RPA oraz, w życiu byście nie zgadli, w Polsce. Łącznie w 45 krajach.
Piotr Kupczyk rzecznik prasowy Kaspersky Lab zapytany wówczas przez Gazetę Wyborczą powiedział: Pegasus jest zaprojektowany do ukradkowej inwigilacji, więc jeżeli nie pojawią się żadne błędy w implementacji tego narzędzia, użytkownik nie będzie w stanie wykryć jego obecności. Można go jednak usunąć korzystając z popularnych antywirusów na Androida. Użytkownicy iOS są w gorszej sytuacji, bo Apple nie wpuszcza aplikacji antywirusowych do swojego sklepu.
Pegasus wie wszystko
Od 2016 r. Citizen Lab zbierało dane na temat działalności elektronicznego szpiega. Według raportu, do 2018 r. funkcjonowało 36 różnych systemów szpiegujących wykorzystujących program izraelskiej firmy. Każdy z nich miał mieć własnego operatora. Aby ich zidentyfikować, eksperci użyli własnej techniki analitycznej o nazwie Athena. Pogrupowali adresy IP operatorów i każdej takiej grupie nadali własna nazwę. W przypadku Polski było to “ORZELBIALY”. Następnie eksperci przeanalizowali adresy IP wykorzystywane przez operatorów pod kątem nazw domen pochodzących z protokołów TLS. Dzięki temu możliwe stało się określenie obszaru zainteresowania każdego z operatorów Pegasusa. Na koniec Citizen Lab na podstawie analizy pamięci podręcznej serwerów DNS wygenerował listę krajów, w których może być aktywny Pegasus.
Pegasus atakuje smartfony wyłudzając dostęp do wiadomości, haseł, kamery i mikrofonu. Umożliwia także podsłuchiwanie rozmów. Żadna aktywność użytkownika smartfonu nie umknie jego uwadze. To jeszcze nie wszystko. Tak się składa, że w lipcu tego roku dziennik “Financial Times” poinformował, że oprogramowanie zyskało możliwości pobierania danych nie tylko z podsłuchiwanego urządzenia, ale i z chmury połączonej z usługami, z których dana osoba korzysta. Służby zyskują więc dostęp także do historii lokalizacji, zarchiwizowanych SMS-ów, rozmów z komunikatorów i zdjęć przesyłanych za ich pomocą. A nowe funkcje Pegasusa, jak podkreśla “Financial Times”, wykorzystują skopiowane mechanizmy uwierzytelniania usług takich jak m.in. Google Drive, Messenger Facebooka, czy chmura iCloud Apple’a.
Co na to NSO Group? Według “Financial Times” izraelska firma cały czas podkreśla, że swój produkt sprzedaje jedynie odpowiedzialnym rządom państw, które działają na rzecz zapobiegania atakom terrorystycznym i innym aktom przestępczym. O prawach człowieka jakoś się przy tym nie zająkując.
Po co w takim razie CBA ten zakup?
TVN24 twierdzi, że CBA kupiło program. CBA oświadcza, że tego nie zrobiło. W środę na stronie biura ukazało się oświadczenie:
Zawiera ono zdanie, że CBA “nie zakupiło żadnego systemu masowej inwigilacji Polaków”. I w tej materii należy się z CBA zgodzić. Nawet, jeśli Pegasus został kupiony, to faktycznie w oświadczeniu nie ma nieprawdy. Nie jest to bowiem system masowej inwigilacji.
Jeśli jednak izraelska aplikacja miałaby być kupiona, to co wówczas kierowałoby nabywcą, poza oczywistymi potrzebami operacyjnymi? Można przypuszczać, że chodzi o… chwalebną oszczędność i troskę o publiczne środki. Gdy bowiem w 2018 r. pojawił się raport Citizen Lab, serwis Fast Company podał cennik NSO Group obowiązujący w roku 2016. Z cennika wynikało, że zlecenie NSO Group złamania 10 urządzeń to koszt 650 tys. dol. (ok. 2,5 mln zł), a instalacja oprogramowania szpiegowskiego – 500 tys dol. (czyli ponad 1,9 mln zł). Zakładając, że ceny od tamtego czasu się nie zmieniły, zakup programu jest zdecydowanie bardziej opłacalny niż zlecanie usługi.
Ów ewentualny interes CBA z izraelską firmą ma tylko jeden feler. Według Lukáša Štefanko, analityka zagrożeń z firmy ESET, Pegasus jest jednak wykrywany i blokowany przez ESET Mobile Security (pakiet dla urządzeń z Androidem). Antywirus rozpoznaje go jako Spy.Chrysaor i blokuje odnośniki do stron, które mogą go zawierać. Posiadacze urządzeń Apple muszą niestety polegać na mechanizmach zabezpieczających tego producenta, ponieważ Apple nie daje możliwości udostępniania antywirusa w swoim ekosystemie.
Czy 34 mln za niewykrywalne oprogramowanie szpiegowskie, które można jednak zablokować to dużo? No cóż, zważywszy na cenę zlecenia usługi sprawdzenia, co komu w smartfonie piszczy – w zasadzie nie. Biorąc jednak pod uwagę możliwości antywirusa… | CHIP
PS Kto ma antywirusa na komórce, ręka do góry. Nikt? I w tym cała dla nabywcy nadzieja.