Książka

Laurent Richard, Sandrine Rigaud: Pegasus

Richard, Rigaud Pegasus - okładka książki
Tygodnik Spraw Obywatelskich – logo

Nr 216 / (8) 2024

Witajcie w świecie powszechnej inwigilacji. Wystarczy odpowiednio zasobny portfel, bo moralność i etyka nie mają żadnego znaczenia. Oto orwellowski koszmar, który dzieje się dziś, na naszych oczach. Nikt nie jest bezpieczny, bo przecież… Każdy z nas nosi w kieszeni szpiega (z opisu wydawnictwa).

Wydawnictwu Insignis dziękujemy za udostępnienie fragmentu do publikacji. Zachęcamy do lektury całej książki.

(…)

Przedstawiciele NSO podkreślają, że system Pegasus oraz usługi wsparcia technicznego dla operatorów oprogramowania są ściśle licencjonowane i dostęp do nich mają tylko wybrane podmioty rządowe, które mogą je wykorzystywać wyłącznie do zapobiegania przestępczości i jej zwalczania, a także do zbierania informacji do celów wywiadowczych. Podkreślają to bardzo stanowczo, bo – mój Boże – wyobraźcie sobie, co by było, gdyby takie narzędzie dostało się w niepowołane ręce.

Firma twierdzi, że stworzony przez nią i stale rozwijany oraz ulepszany system cybernetycznej inwigilacji, użytkowany przez ponad sześćdziesięciu klientów w ponad czterdziestu różnych krajach, pomógł uczynić świat znacznie bezpieczniejszym miejscem.

Wykorzystanie systemu Pegasus do inwigilacji terrorystów, przestępców i pedofilów (zapobieganie przestępstwom pedofilskim to jeden z głównych argumentów, jakimi szermują przedstawiciele NSO w ostatnich kilku latach), pozwoliło rzekomo uratować dziesiątki tysięcy ludzkich istnień. Liczby te są niemożliwe do zweryfikowania, ale sposób, w jaki NSO przedstawia korzyści płynące ze stosowania Pegasusa – rzecz jasna w granicach wyznaczanych przez prawo i etykę – sprawia, że wydają się one bezdyskusyjne. Kto nie chciałby powstrzymać pedofilów? Albo terrorystów? Czy ktokolwiek mógłby mieć coś przeciwko temu? „Centrum kontroli misji, mamy problem”, brzmiała wiadomość przekazana Cherie Blair podczas rozmowy telefonicznej tamtego ciepłego sierpniowego wieczoru w 2020 roku.

„NSO dowiedziało się, że ich oprogramowanie mogło zostać wykorzystane w niewłaściwy sposób i użyte do monitorowania telefonów komórkowych baronessy Shackleton oraz jej klientki, Jej Królewskiej Wysokości księżniczki Hayi”, wyjaśniła Blair podczas postępowania sądowego w Londynie kilka miesięcy później. „Osoba z kierownictwa NSO poinformowała mnie, że firma była tym bardzo zaniepokojona”.

Na podstawie materiału procesowego zebranego w postępowaniu przed londyńskim sądem można stwierdzić, że obawy kierownictwa NSO były dwojakiego rodzaju. Przede wszystkim sprawa dotyczyła znanych osób o wysokim statusie społecznym. Pegasusa użyto do inwigilacji kobiety należącej do dwóch wpływowych bliskowschodnich rodzin panujących, a także jej pełnomocniczki prawnej, ustosunkowanej brytyjskiej adwokatki, baronessy Fiony Shackleton. Shackleton jest nie tylko renomowaną prawniczką, specjalizującą się w sprawach rozwodowych, w których reprezentowała interesy wielu bogatych i sławnych klientów, takich jak Paul McCartney, Madonna, książę Andrzej czy książę Karol, ale także członkinią brytyjskiej Izby Lordów. Jeszcze bardziej kłopotliwy dla izraelskiej firmy był fakt, że zainfekowanie telefonów baronessy i księżniczki Pegasusem wykrył specjalista do spraw cyberbezpieczeństwa niezwiązany z NSO. Skoro udało mu się odkryć ten jeden przypadek wykorzystania programu Pegasus, to co jeszcze zdołał ustalić? I jak wiele z tego mogło wkrótce trafić do wiadomości publicznej?

Cherie Blair zeznała, że jej rozmówca z NSO poprosił ją o „pilne skontaktowanie się z baronessą Shackleton, tak aby mogła ona powiadomić o tym incydencie księżniczkę Hayę”. „Osoba z kierownictwa NSO zapewniła mnie również, że firma podjęła odpowiednie kroki w celu uniemożliwienia nieuprawnionego dostępu do obu telefonów”.

O szczegółach nocnej rozmowy telefonicznej Cherie Blair oraz operacji szpiegowania księżniczki i jej adwokatki opinia publiczna dowiedziała się dopiero ponad rok później, i to tylko dlatego, że informacje te wypłynęły w toku odbywającego się w Londynie procesu o prawo do opieki nad dziećmi pomiędzy księżniczką Hayą a jej mężem, szejkiem Mohammedem Ibn Rashidem Al Maktoumem, premierem Zjednoczonych Emiratów Arabskich i emirem Dubaju. Według ustaleń przewodniczącego wydziału rodzinnego brytyjskiego Sądu Najwyższego, opublikowanych w październiku 2021 roku, telefony komórkowe księżniczki, jej prawniczki baronessy Shackleton oraz czterech innych, blisko związanych z nimi osób zostały zhakowane za pomocą oprogramowania do cyberinwigilacji, a konkretnie „stworzonego przez NSO programu Pegasus”.

Sędzia uznał za więcej niż prawdopodobne, że inwigilacja „przeprowadzona była przez urzędników lub agentów [męża księżniczki, szejka Mohammeda Ibn Rashida Al Maktouma], Emiratu Dubaju lub Zjednoczonych Emiratów Arabskich”. Działania inwigilacyjne, zdaniem sędziego, „prowadzone były za wyraźną lub dorozumianą zgodą [szejka]”.

Historia księżniczki, baronessy i Pegasusa mogła równie dobrze trafić do plotkarskiej prasy i po kilku tygodniach nikt by już o niej nie pamiętał. Bogaty i wpływowy człowiek używał drogiego oprogramowania do szpiegowania swojej żony i prawniczki prowadzącej jej sprawę rozwodową? No cóż, jeśli decydujesz się poślubić szejka, a potem mu się narazisz, możesz się spodziewać, że sprawy przybiorą nieprzyjemny obrót. Poza tym NSO całkiem sprawnie poradziło sobie z ograniczaniem negatywnych skutków, jakie mogła mieć dla firmy ta cała afera. Brytyjski sąd przyjął zapewnienia przedstawicieli NSO o zerwaniu przez nich współpracy ze Zjednoczonymi Emiratami Arabskimi i zablokowaniu możliwości dalszego korzystania przez organy państwowe tego kraju z systemu Pegasus; jak zauważył sędzia, podjęcie tej decyzji naraziło NSO na straty „rzędu kilkudziesięciu milionów dolarów”. Być może firma faktycznie poniosła takie straty – kto to wie?

(…)

Zespół redakcyjny „Guardiana” już kilka minut po godzinie osiemnastej czasu francuskiego odświeżał strony internetowe partnerskich redakcji. Paul Lewis podniósł słuchawkę, żeby zadzwonić do Craiga Timberga z „Washington Post”. Byli rówieśnikami, obaj pracowali dla kilku najbardziej szanowanych anglojęzycznych organizacji dziennikarskich na świecie i zazwyczaj zaciekle rywalizowali o ciekawe tematy po obu stronach Atlantyku. Dziś było jednak inaczej. „Cześć, Craig”, powiedział Paul, który pozwolił sobie na przyjacielski żarcik. „Czemu jeszcze nie publikujcie? Zaraz to puścicie? A, okej. Myśleliśmy, że może stchórzyliście”.

Craig zachęcił Paula do obejrzenia przygotowanych przez „Washington Post” materiałów wideo poświęconych Projektowi Pegasus.

„O, w takim razie chyba będę musiał was zasubskrybować. A nie. Przecież ja już was subskrybuję. Macie ładne grafiki. Nawet bardzo ładne”.

Craig nie był pewien, czy Paul nadal żartuje.

„Nie, naprawdę mi się podoba”, zarzekał się Paul. „I macie nawet te modne przewijane newsy. Nam zabrakło czasu na takie bajery. Nasi graficy będą wściekli, kiedy to zobaczą. No cóż, gratulacje z okazji doprowadzenia projektu do końca”.

W jednej chwili zyskałem dostęp do ogromu artykułów z całego świata. Przeglądając je, przyłapałem się na tym, że szukam w nich nazwiska osoby, która była dla mnie inspiracją i bodźcem do zainicjowania Projektu Pegasus. Pierwszego nazwiska, które zidentyfikowałem na naszej liście, w wynajętym mieszkaniu w Berlinie, podczas naszego pierwszego spotkania z Claudiem i Donnchą. Nazwiska Chadidży Ismaiłowej.

Świadomość, że jej historia została nagłośniona i usłyszano o niej na wszystkich kontynentach, że poznały ją setki milionów ludzi, była bardzo satysfakcjonująca. Tymczasem Chadidża wróciła tego dnia do Baku. Być może nie będzie w stanie uwolnić się od rządowej inwigilacji (i towarzyszących jej gróźb i prześladowań), ale miałem nadzieję, że dzięki rezultatom pracy naszego konsorcjum będzie choć trochę lepiej chroniona. Oczywiście pracowała już nad kolejnym dziennikarskim śledztwem dotyczącym rządów Alijewa, prowadząc samotną walkę o demokrację w ojczyźnie, której nie chciała opuścić.

W jednym z artykułów, jakie ukazały się pierwszego dnia Projektu Pegasus, zacytowano słowa Chadidży, które przykuły moją uwagę:

„Ważne jest, aby ludzie widzieli przykłady dziennikarzy, którzy nie przestają działać pomimo prób zastraszenia.

To jest jak z wojną. Gdy porzucasz swój okop, zajmuje go nieprzyjaciel (…) Musisz utrzymać pozycję, bo inaczej zostanie ona zajęta i będziesz mieć coraz mniej miejsca, coraz mniej przestrzeni, twoja przestrzeń będzie się kurczyć i w końcu trudno będzie ci oddychać”.

(…)

W ciągu tamtego pierwszego tygodnia nasze telefony dzwoniły prawie nieustannie, a wielu dzwoniących miało do nas tę samą prośbę. Sprawdźcie, proszę, czy mój numer jest na liście? Francuscy urzędnicy rządowi i prokuratorzy chcieli koniecznie zapoznać się z naszą listą, a policja wysłała funkcjonariusza, który miał osobiście przedstawić mi tę sprawę. Zgodziłem się spotkać z nim przed kawiarnią w pobliżu Gare de Lyon. Przyjechał na spotkanie motocyklem i od pierwszej chwili robił ujmujące wrażenie. Na początek uraczył mnie opowieścią o tym, jak jeździ się motocyklem po Paryżu. Potem powiedział, że przeczytał wszystkie publikacje związane z Projektem Pegasus, które wydały mu się bardzo pouczające. Zapewnił, że jesteśmy po tej samej stronie i zaczął wyłuszczać powody, dla których powinienem udostępnić listę francuskim władzom. Jak stwierdził, i my, i oni szukamy rzeczywistych i potencjalnych ofiar Pegasusa. „Pomyśl o tych wszystkich ludziach”, powiedział. „Czy nie zależy ci, żeby zapewnić im ochronę?”

Rozmowa toczyła się w przyjaznym tonie nawet po tym, jak wyjaśniłem mu, że nie jesteśmy funkcjonariuszami państwowymi, tylko dziennikarzami. Zrobiliśmy, co do nas należało, ostrzegając świat o niebezpieczeństwach związanych z Pegasusem. Lista nie była naszą własnością i nie byliśmy upoważnieni do tego, by komukolwiek ją przekazywać; zobowiązaliśmy się też nie ujawniać tożsamości naszego informatora, któremu wciąż groziło niebezpieczeństwo.

Policjant zapewnił, że szanuje etykę dziennikarską i rozumie wynikający z niej obowiązek ochrony źródła informacji. Ale przestrzegł mnie, że jeśli nie będę dobrowolnie współpracował, francuskie organy ścigania prawdopodobnie postarają się uzyskać sądowy nakaz udostępnienia im listy albo nakaz rewizji.

Trochę mu współczułem, bo przełożeni wysłali go na to spotkanie w pojedynkę, przez co musiał grać zarówno dobrego, jak i złego policjanta. Poprosił, żebym postarał się zrozumieć presję, jaką wywiera na niego prokurator. Na liście znajdowały się numery telefonów wielu ważnych osób. Czy nie sądzę, że w tej sytuacji udzielenie pomocy władzom to nasz patriotyczny obowiązek? Naciskał na mnie jeszcze przez chwilę, ale kiedy zdał sobie sprawę, że nie zamierzam ustąpić, wrócił do roli dobrego gliny. Powiedział, że szanuje nasze stanowisko i uważa je za słuszne. Dodał, że stanie w naszej obronie, jeśli prokurator rzeczywiście spróbuje zdobyć nakaz wydania dokumentów albo nakaz rewizji. Zanim się rozstaliśmy, zadał mi pytanie, którego spodziewałem się od początku spotkania. Czy mógłbym sprawdzić dla niego kilka numerów? Zobaczyć, czy są na liście?

Następnego dnia otrzymałem oficjalne wezwanie do wydania listy. Później skontaktował się ze mną mój nowy znajomy z policji i oświadczył, że jest bardzo rozczarowany tym, że nie chcemy im pomóc w chronieniu ofiar. Dodał, że jeśli nie zastosujemy się do wezwania i nie wydamy listy, sytuacja może się zaognić.

„Jesteśmy na dobrej drodze do uzyskania nakazu rewizji”, uprzedził.
„Zdawało mi się, że obiecywałeś nas bronić”, przypomniałem mu.

Koniec końców nie zostaliśmy zmuszeni do przekazania listy francuskim organom ścigania, a prokuratura nawet nie próbowała uzyskać nakazu przeszukania. Wyświadczyłem jednak przysługę pewnemu piastującemu bardzo wysokie stanowisko francuskiemu urzędnikowi, który uważnie śledził sprawę Pegasusa i zwrócił się do mnie z prośbą o sprawdzenie, czy na liście figuruje któryś z podanych przez niego numerów. Wszystkie numery, które mi podał, składały się tylko z sześciu cyfr, zamiast ze standardowych dziesięciu, przez co nie byłem w stanie ustalić, do kogo należały. Zgodziłem się poszukać ich na liście, ponieważ miałem nadzieję, że urzędnik w ramach rewanżu zdradzi nam nazwiska ich użytkowników, które moglibyśmy później wykorzystać w ewentualnej publikacji. Wydawało mi się dość oczywiste, że były to numery francuskich oficjeli, których telefony zostały poddane analizie kryminalistycznej przez francuskie służby i znaleziono dowody na zainfekowanie tych urządzeń oprogramowaniem szpiegującym. Niektóre z nich rzeczywiście znajdowały się na naszej liście.

„Jest gorzej, niż myślałem”, powiedział urzędnik, gdy przekazałem mu tę wiadomość.

„Odkryliście ślady infekcji w telefonach ministrów, których nie wymieniliśmy w naszych publikacjach?”, zapytałem. Przyznał, że tak właśnie było. „Zaczynam się zastanawiać – dodał ponuro – czy są w ogóle tacy, którzy uniknęli infekcji”.

Oficjalne potwierdzenia ataków Pegasusem, o których informowaliśmy w naszych artykułach i raportach, a także potwierdzenia ataków, których wcześniej nie udało się wykryć, zaczęły pojawiać się w pierwszych tygodniach po ukazaniu się naszych publikacji i pojawiają się do dziś. Jednocześnie poruszone przez nas wątki były podejmowane przez inne media na całym świecie. Czuliśmy, że ten temat nieprędko zniknie z pierwszych stron gazet. Badania przeprowadzone przez francuską Narodową Agencję Bezpieczeństwa Systemów Informacyjnych (ANSSI) potwierdziły ustalenia Claudia i Donnchy dotyczące ataków na telefony Edwy’ego Plenela i Lénaïg Bredoux; po badaniach przeprowadzonych przez ANSSI do listy ofiar Pegasusa dopisano także dziennikarza stacji telewizyjnej France24. Serwis Mediapart podał później informację, że ANSSI stwierdziła „obecność podejrzanych śladów” w telefonach pięciu ministrów francuskiego rządu.

Ostatecznie ANSSI potwierdziła prawie wszystkie wskazane przez nas przypadki ataków Pegasusem na obywateli francuskich, a także zidentyfikowała we Francji wiele nowych ofiar oprogramowania szpiegującego firmy NSO.

Security Lab znalazło dowody na to, że Pegasusem inwigilowano brytyjską adwokatkę, która była pełnomocniczką prawną księżniczki ze Zjednoczonych Emiratów Arabskich. Z dokumentów sądowych opublikowanych w Londynie na początku października wynikało, że emir Dubaju prawdopodobnie zlecił szpiegowanie Pegasusem pozostającej z nim w separacji żony, prowadzącej jej sprawę rozwodową znanej prawniczki (a zarazem członkini brytyjskiego parlamentu), a także kilku osób z najbliższego otoczenia małżonki emira. Pewna organizacja pozarządowa z Dublina przyłapała Izrael na używaniu Pegasusa do inwigilowania sześciu palestyńskich działaczy na rzecz praw człowieka (ustalenia te potwierdzili w dwóch niezależnych analizach specjaliści z Citizen Lab i Security Lab). Okazało się, że na kilka tygodni przed ukazaniem się raportu w tej sprawie izraelski rząd sprytnie zaklasyfikował pracodawców trzech szpiegowanych działaczy jako „organizacje terrorystyczne”, ale ten formalny wybieg zastosowano długo po przeprowadzeniu nielegalnej inwigilacji.

Dzięki dowodom zebranym przez Carmen Aristegui i jej informatora w Meksyku na początku listopada 2021 roku aresztowano byłego pracownika firmy Uriego Ansbachera i oskarżono go o używanie Pegasusa do inwigilowania co najmniej jednej dziennikarki – potwierdzonym celem inwigilacji była sama Carmen. Był to pierwszy ujawniony przypadek użycia Pegasusa przez prywatną firmę do szpiegowania osoby prywatnej.

Do takich konsekwencji prowadzi brak kontroli nad użytkowaniem i rozpowszechnianiem cyberbroni klasy wojskowej.

Ale meksykański rząd obiecywał teraz opinii publicznej pełną przejrzystość i zaczął ujawniać różne szokujące informacje. „W zeszłym tygodniu główny śledczy rządowej komisji do spraw przeciwdziałania praniu brudnych pieniędzy ujawnił, że poprzednie administracje rządowe wydały około 300 milionów dolarów z budżetu państwa na zakup oprogramowania szpiegującego”, donosiła agencja Associated Press. „Zdaniem szefa meksykańskiego wywiadu finansowego rachunki za zakup przez agencje rządowe oprogramowania takiego jak system Pegasus wydają się zawyżone, a część zysków osiąganych przez podmioty sprzedające to oprogramowanie mogła trafiać do urzędników państwowych w formie łapówek”.

Wkrótce okazało się, że Pegasusa do szpiegowania przeciwników politycznych używały nie tylko rządy Meksyku, Węgier czy Indii, ale także Polski i Hiszpanii.

(…)

L.Richard, S.Rigaud: Pegasus. Jak szpieg, którego nosisz w kieszeni, zagraża prywatności, godności i demokracji, Wydawnictwo Insignis, 2023

Sprawdź inne artykuły z tego wydania tygodnika:

Nr 216 / (8) 2024

Przejdź do archiwum tekstów na temat:

# Nowe technologie # Polityka

Być może zainteresują Cię również: