Pegasus – o szpiegu, którego nosisz w kieszeni

Z Wojciechem Klickim rozmawiamy o osiodłaniu Pegasusa, o czym milczą politycy i dziennikarze dyskutując na temat kontroli obywateli oraz o tym, jak możesz bronić się przed inwigilacją ze strony służb.

(Wywiad jest zredagowaną i uzupełnioną wersją podcastu Czy masz świadomość? pt. Pegasus. O czym milczą politycy i służby z 25 stycznia 2022 roku).

Rafał Górski: Co każdy z nas, obywateli, powinien wiedzieć o Pegasusie?

Wojciech Klicki: Pegasus to narzędzie, które służy do totalnej inwigilacji. Umożliwia pełną kontrolę aktywności użytkowników telefonów. To nie jest oprogramowanie służące do podsłuchu, jak się je niekiedy błędnie nazywa. Bez względu na to, czy w danym momencie używamy telefonu, czy nie, za pośrednictwem Pegasusa można włączyć kamerę i mikrofon w naszym urządzeniu.

Oprogramowanie umożliwia także kontrolowanie całej naszej aktywności w telefonie: przeglądanie zawartości skrzynki mailowej, treści rozmów prowadzonych za pośrednictwem komunikatorów, a także wgląd w historię naszych transakcji bankowych. Za pośrednictwem Pegasusa można także wykraść hasła, np. do aplikacji bankowej, i dokonać przelewu z naszego rachunku.

Moim zdaniem najbardziej przerażająca jest możliwość ingerowania w informacje zawarte w telefonie – operator Pegasusa, który zainfekował konkretny telefon, może skopiować na niego dokument czy inny plik wskazujący na to, że właściciel telefonu jest przestępcą.

Kto stworzył to narzędzie?

Pegasusa zaprojektowała i sprzedaje izraelska firma NSO. Należy w tym miejscu wspomnieć, że na świecie istnieje więcej podobnych, rozbudowanych narzędzi do inwigilacji, o których nie wiemy, gdyż nie wspomina się o nich w mediach.

Działanie Pegasusa opiera się na wykorzystywaniu błędów w kodzie oprogramowania telefonów.

Infekcja nie musi nastąpić na skutek aktywności właściciela telefonu – jeżeli operator Pegasusa, na przykład jakaś służba specjalna, chce zainfekować konkretne urządzenie, może to zrobić w sposób, który jest całkowicie niezależny od działań czy też braku działań po stronie właściciela. I na tym zasadza się potęga tego oprogramowania, gdyż jako użytkownicy telefonów jesteśmy wobec takiego stanu rzeczy bezbronni.

Czy z użyciem Pegasusa można infekować wyłącznie telefony? I czy jeśli ktoś jest posiadaczem starszego modelu, to również istnieje niebezpieczeństwo, że telefon zostanie zaatakowany?

Tak, istnieje. Pegasus jest oprogramowaniem, które ma na celu atakowanie wyłącznie telefonów – do inwigilacji komputerów przeznaczone są inne programy. Funkcjonuje pogląd, że osoby posiadające starszy telefon są bezpieczne – jest to niestety mit, choćby dlatego, że starsze urządzenia mają przeważnie nieaktualizowane oprogramowanie. Raz na jakiś czas użytkownicy nowszych telefonów otrzymują komunikat z zapytaniem o aktualizację oprogramowania. Z tego wynika, że producenci znaleźli kolejną lukę, przez którą takie programy jak Pegasus mogą się przedostawać. W starych telefonach już nikt tych dziur nie łata i w związku z tym są one bardziej podatne na ataki.

Działamy bez cenzury. Nie puszczamy reklam, nie pobieramy opłat za teksty. Potrzebujemy Twojego wsparcia. Dorzuć się do mediów obywatelskich.

Czy dotyczy to również telefonów stacjonarnych?

Problem dotyczy smartfonów, a dokładniej – telefonów mających połączenie z Internetem.

Czyli jeśli ktoś ma telefon, który nie posiada połączenia z Internetem, jest mniej podatny na ataki?

Oczywiście za pomocą takiego urządzenia nie można przeglądać stron internetowych czy prowadzić transakcji bankowych. Natomiast rozmowy oraz SMSy nadal mogą być przedmiotem zainteresowania służb, i to nie z użyciem wyrafinowanych narzędzi w rodzaju Pegasusa, lecz za pośrednictwem tak zwanej kontroli operacyjnej, którą w Polsce może prowadzić policja oraz osiem innych służb.

Jakie śledztwo zostało ujawnione 18 lipca 2021 roku?

W lipcu 2021 r. ujawniono informacje na temat pięćdziesięciu tysięcy telefonów zainfekowanych Pegasusem na całym świecie.

Konsorcjum dziennikarzy, ale też obrońców praw człowieka, z Amnesty International na czele, ujawniło konkretne przykłady z Meksyku, Maroka, Indii oraz Węgier – służby tych państw zastosowały tam Pegasusa w celu inwigilacji obrońców praw człowieka, dziennikarzy oraz opozycyjnych polityków.

Jaki wnioski wyciągnięto na podstawie ujawnionych informacji?

Myślę, że możemy się pokusić o ogólną tezę, że oprogramowanie, które zgodnie z deklaracjami producenta miało służyć wyłącznie do walki z najpoważniejszymi przestępstwami, na przykład z terroryzmem, w praktyce jest wykorzystywane do inwigilacji osób, które są w jakiś sposób niewygodne dla władzy. Ze względu na możliwość prowadzenia z jego użyciem totalnej inwigilacji użytkowników telefonów, Pegasus stwarza gigantyczną pokusę – zwłaszcza dla służb państw niedemokratycznych – by wykorzystywać go w celu śledzenia osób niewygodnych dla władzy.

Edward Snowden w książce „Pamięć nieulotna’’ cytuje wypowiedź szefa centralnego działu technicznego CIA z marca 2013 r.: „Staramy się zbierać wszelkie możliwe dane i zachować je na zawsze. Jesteśmy bardzo blisko tego, aby móc przetwarzać wszystkie informacje generowane przez człowieka”. Z kolei w książce „Polowanie na Snowdena” czytamy „Agencja NSA zbierała metadane na temat milionów Amerykanów. Bez czyjejkolwiek wiedzy i zgody rejestrowano rozmowy telefoniczne, nagłówki e-mail i ich tytuły. Na tej podstawie możliwe jest skonstruowanie pełnego elektronicznego zapisu historii życia jednostek, określenie ich przyjaciół, kochanków, radości i smutków”.

Liczba informacji, jakie pozostawiamy obecnie na swój temat w rozmaitych miejscach w Internecie, i do których służby mogą mieć dostęp, jest tak duża, że nie tylko pozwala skonstruować obraz naszych przyzwyczajeń, zachowań, całej sieci społecznej wokół nas, ale także – czego dowodzą badania Massachusetts Institute of Technology – pozwala z niemal stuprocentową pewnością przewidywać, co będziemy robili następnego dnia.

W kontekście rosnących zdolności służb do inwigilacji obywateli niezwykle istotne jest, na jakich zasadach służby mogą uzyskiwać dostęp do takich danych. Byłoby lepiej, gdyby był on weryfikowany i kontrolowany przez niezależne instytucje. Niestety w USA został przyjęty model zbierania „wszystkiego o wszystkich”, bo „a nuż się przyda”. Szkoda, że Amerykanie poszli wtedy tą drogą, bo nie była to droga jedyna. Pamiętam jak wysoko postawiony analityk CIA, a potem Amerykańskiej Agencji Bezpieczeństwa Narodowego William Binney mówił o tym, że istniały konkurencyjne propozycje – np. żeby zamiast zbierania „wszystkiego o wszystkich” do bazy danych prowadzonej przez służby trafiały tylko informacje, które dotyczą osób podejrzewanych. Niestety wybrano scenariusz totalny i masowy.

Jak Snowden komentuje kwestie związane z Pegasusem?

Snowden stawia tezę, że takie narzędzia powinny być absolutnie zabronione, gdyż przekraczają granice, których służby państw demokratycznych nie powinny przekraczać w celu ścigania nawet najpoważniejszych przestępstw.

Pamiętajmy bowiem o tym, że oprócz umożliwiania totalnej inwigilacji Pegasus pozwala operatorowi na dokonywanie innego rodzaju manipulacji – np. na podrzucanie materiałów obciążających. Ta funkcjonalność bardzo mnie niepokoi, gdyż istnieje możliwość, że sąd, który otrzymałby takie informacje w akcie oskarżenia, nie byłby w stanie ustalić, czy dane materiały faktycznie zostały pozyskane przez osobę podejrzaną, czy zostały jej podrzucone.

Nadziei upatruję nie tyle w globalnym czy regionalnym moratorium na stosowanie pewnego rodzaju narzędzi – wprowadzenie takiego rozwiązania wydaje mi się mało prawdopodobne – co w mechanizmach kontrolnych, które pozwoliłyby zminimalizować ryzyko, że oprogramowanie w rodzaju Pegasusa będzie stosowane wobec chociażby polityków opozycji, adwokatów czy dziennikarzy.

Z czego wynika wzrost zainteresowania Pegasusem w Polsce?

Wynika ono z tego, że na skutek działań rozmaitych podmiotów m.in. wobec trojga osób obecnych w polskiej przestrzeni publicznej – Romana Giertycha, Ewy Wrzosek i Krzysztofa Brejzy – zastosowano to oprogramowanie. Sytuacja ta w naturalny sposób wzbudza większe zainteresowanie niż fakt, że w lipcu [2021 r.] zostały ujawnione informacje na temat zastosowania Pegasusa w innych krajach. Jest ona dowodem na to, o czym mówimy jako Fundacja Panoptykon: że w Polsce kontrola nad służbami jest niewystarczająca. Wykorzystywano bowiem Pegasusa w celach partykularnych, absolutnie niezwiązanych z zapewnieniem bezpieczeństwa i ściganiem przestępczości.

Czyli Pana zdaniem polskie służby dysponują tym oprogramowaniem?

Moim zdaniem to już nie jest kwestia opinii. Po pierwsze – trwająca nie tylko w Polsce dyskusja wiąże się z tym, że naukowcy z Citizen Lab, ale także z Amnesty International nauczyli się znajdować ślady, jakie Pegasus pozostawia w telefonie (a był on początkowo reklamowany przez producenta jako oprogramowanie, które nie zostawia śladów). Wiemy już, że na telefonach trzech wymienionych wcześniej osób Pegasus został zainstalowany. Wiemy też z analiz Najwyższej Izby Kontroli, że polskie służby go kupiły. Do tej układanki należy dodać wypowiedzi prezesa Kaczyńskiego, że polskie służby dysponują Pegasusem – tej układanki nie da się ułożyć inaczej niż poprzez stwierdzenie, że Brejza, Wrzosek i Giertych byli inwigilowani właśnie za jego pośrednictwem.

O czym milczą polscy politycy oraz dziennikarze, dyskutując na temat Pegasusa?

Moim zdaniem dyskusja w nadmierny sposób koncentruje się na wykorzystaniu tego oprogramowania względem kilku osób, których nazwiska zostały ujawnione opinii publicznej. Dla jasności: uważam, że jest to absolutny skandal i jestem tym zbulwersowany, bo inwigilowanie m.in. szefa sztabu wyborczego partii opozycyjnej mogło mieć wpływ na proces wyborczy. Niemniej jest to tylko wierzchołek góry lodowej.

W Polsce rokrocznie podsłuchiwanych jest za pośrednictwem operatorów telekomunikacyjnych kilka tysięcy osób. Jednocześnie każdego roku służby pozyskują informacje o lokalizacji ponad miliona urządzeń. W związku z tym nie mamy do czynienia jedynie z problemem inwigilacji kilku wpływowych, niewygodnych dla władzy osób, lecz z problemem braku nadzoru nad służbami.

W Polsce od lat 90. nie udało nam się wypracować silnej, demokratycznej kontroli nad wykorzystywaniem tych narzędzi, które w największy sposób ingerują w prawa i wolności jednostki.

Na tym powinniśmy się skupić i o tym powinniśmy rozmawiać – np. czy powinna powstać nowa, niezależna instytucja, która by się tym zajmowała? Bądź też czy można rozszerzyć uprawnienia jakiejś innej instytucji, np. NIK-u? Czy po zakończeniu działań przez służby obywatelowi powinno przysługiwać prawo do bycia informowanym o tym, że był przedmiotem inwigilacji? Jestem realistą i wiem, że nawet jeśli powstanie projekt przepisów, które systemowo rozwiążą ten problem, zmiana stanu prawnego nie nastąpi w ciągu tygodni czy miesięcy. Przybliży nas to jednak do rozwiązania problemu, z którym borykamy się od wielu lat.

Sejmowa komisja śledcza do spraw Pegasusa rozpoczęła swoje działania. Czy ona rozwiąże problemy, o których rozmawiamy?

Przypomnijmy: w naszym kraju inwigilowano szefa sztabu wyborczego największej partii opozycyjnej. Oczywiście należy zbadać, kto kazał podjąć takie działania i w jaki sposób wykorzystywano informacje w ten sposób pozyskane. Jest to zadanie, które mogłaby postawić sobie parlamentarna komisja śledcza, gdyż mamy do czynienia z poważną sprawą, która mogła mieć wpływ na wynik wyborów. Nie chciałbym jednak, żeby pod ciężarem wyjaśniania tej sprawy zniknęła nam z oczu potrzeba rozwiązania systemowego.

Jako Fundacja Panoptykon od wielu lat alarmujemy, że w sposób masowy i pozbawiony należytej kontroli pozyskiwane są dane polskich obywateli. Dlatego postulujemy stworzenie niezależnej instytucji, która zajmowałaby się kontrolą nad służbami specjalnymi.

Taka instytucja mogłaby prowadzić zaplanowane kontrole, ale powinna także rozpatrywać skargi ze strony obywatelek i obywateli, którzy posiadaliby uzasadnione podejrzenia, że służby prowadziły wobec nich nielegalne działania. Drugim elementem systemowej reformy kontroli nad służbami specjalnymi powinno być wprowadzenie mechanizmu, który pozwoliłby wszystkim, którzy byli poddani inwigilacji, na uzyskanie informacji o tym fakcie. Nasze postulaty szczegółowo zaprezentowaliśmy w raporcie zatytułowanym „OSIODŁAĆ PEGAZA. Przestrzeganie praw obywatelskich w działalności służb specjalnych – założenia reformy”. Wśród autorów tego dokumentu znajdziemy zarówno obrońców praw człowieka (w tym byłego Rzecznika Praw Obywatelskich – Adama Bodnara), jak i osoby związane niegdyś ze służbami – gdyż w żadnym razie nie wychodzimy z założenia, że w służbach pracują tylko źli ludzie, powodowani niskimi pobudkami. Kładziemy nacisk na to, aby zminimalizować ryzyko nadużyć, ale jednocześnie nie wylać dziecka z kąpielą i nie uniemożliwić służbom realizacji ich działań na rzecz bezpieczeństwa obywateli i państwa.

Jak każdy z nas może bronić się przed inwigilacją ze strony służb?

Czytałem niedawno wypowiedź Edwarda Snowdena na temat Pegasusa. Snowden próbował odpowiedzieć na to samo pytanie. Jego zdaniem nasze szanse w tej kwestii są zbliżone do tych, jakie mamy, aby uchronić się przed wybuchem bomby atomowej. Owszem, możemy próbować podejmować jakieś działania, ale – mówiąc obrazowo – jak wybuchnie, to po nas.

O ile w przypadku bomby atomowej nasze szanse są faktycznie znikome, o tyle w przypadku kwestii inwigilacji ze strony służb nie lubię takiego stawiania sprawy. Sugeruje ono bowiem, że jako obywatele uczestniczymy w wyścigu zbrojeń, w którym naszym przeciwnikiem są służby – i że w związku z tym jesteśmy bezwzględnie skazani na porażkę. Nie zapominajmy, że to są przecież nasze służby i nasze państwo – ono nie może działać przeciwko nam. Owszem, powinniśmy aktualizować oprogramowanie w telefonach. Powinniśmy zachowywać standardy bezpieczeństwa informacyjnego – zarówno w kontekście działalności służb, jak i – może nawet w większym stopniu – komercyjnych, cyfrowych gigantów. Natomiast jestem przekonany, że klucz do ochrony przed inwigilacją obywateli ze strony państwa leży nie w działaniu poszczególnych jednostek, ale w systemowych zmianach o charakterze polityczno-prawnym.

Dziękuję za rozmowę.