Pegasus może przejąć kontrolę nad całym urządzeniem, zdobyć wszystkie dane i oddziaływać na masową skalę. Może być wykorzystany do bieżącej walki politycznej i gospodarczej - mówi w wywiadzie dla Magazynu TVN24 Piotr Januszewicz, ekspert i były dyrektor departamentu cyberbezpieczeństwa w Ministerstwie Cyfryzacji. Ekspert zwraca też uwagę, że korzystając z komórek, często sami nieświadomie instalujemy sobie oprogramowanie szpiegujące.

Przed rokiem portal tvn24.pl napisał, że Centralne Biuro Antykorupcyjne dostało pieniądze z Funduszu Sprawiedliwości będącego gestii ministra sprawiedliwości Zbigniewa Ziobry i przeznaczyło je na zakup najnowocześniejszego systemu inwigilacji telefonów i komputerów. Na fakturze znalazły się przeznaczone na ten cel kwoty: przedpłata w wysokości 13,6 miliona złotych, odbiór sprzętu i programu – 11,64 miliona złotych, testy funkcjonalności – 5 milionów złotych oraz szkolenia – 3,4 miliona złotych.

Magazyn "Czarno na białym" TVN24 ujawnił w zeszłym tygodniu, że CBA kupiło prawdopodobnie izraelski system Pegasus. Szef CBA Ernest Bejda pytany przez reportera "Czarno na białym" o system Pegasus odpowiedział, że nie zna tej nazwy. Również Maciej Wąsik, zastępca koordynatora służb specjalnych zapewniał reportera TVN24, że nie zna takiego systemu, a "polskie służby działają na podstawie prawa". CBA w wydanym w środę oświadczeniu wyjaśniało, że nie zakupiło żadnego "systemu masowej inwigilacji Polaków".

O działanie systemu zapytaliśmy Piotra Januszewicza, który jest ekspertem ds. cyberbezpieczeństwa, rzeczoznawcą w zakresie zabezpieczeń technicznych ochrony osób i mienia oraz managerem systemów bezpieczeństwa informacji. Januszewicz jest absolwentem Politechniki Warszawskiej i Wydziału Cybernetyki Wojskowej Akademii Technicznej. Był współtwórcą i pierwszym szefem Centrum Bezpieczeństwa Cybernetycznego Sił Zbrojnych, a potem szefem departamentu cyberbezpieczeństwa w Ministerstwie Cyfryzacji, skąd odszedł pod koniec 2017 roku.

Grzegorz Łakomski, tvn24.pl: Szef CBA zrobił zaskoczoną minę, twierdząc, że nie zna nazwy Pegasus. Pan jest równie zaskoczony?

Piotr Januszewicz: Nie jestem zaskoczony. Znałem tę nazwę przed emisją materiału "Czarno na białym". Można ją znaleźć też w Wikipedii. To oprogramowanie, które najprawdopodobniej zostało stworzone przez izraelskie służby do walki z terroryzmem.

Jak działa ten system?

Wykorzystuje podatności, czyli luki w systemach telefonów. Pozwalają one na użycie urządzenia do innych funkcji, niż zostało przewidziane. Od momentu włamania telefon wykonuje działania zaprogramowane przez tego, który się włamał. Taki system jak Pegasus umożliwia dostęp do wszystkich funkcji telefonu, jak połączenia, SMS-y, wszystkie dane, lokalizacja, mikrofon i kamery. Wszystkie zdjęcia czy wiadomości będą po jego zastosowaniu dostępne. Programy do nauki hakowania też dają takie możliwości, jeśli się to zainstaluje na telefonie właściciela. W przypadku systemu takiego jak Pegasus ten dostęp jest jednak głębszy.

To znaczy?

Obejmuje on też szyfrowane komunikatory, jak WhatsApp czy Signal. Dostęp nie tylko do mikrofonu, ale i klawiatury sprawia, że nie są one bezpieczne. Komunikatory te szyfrują wiadomości na etapie wysyłania wiadomości. Tymczasem Pegasus najprawdopodobniej przechwytuje treść wiadomości w momencie jej pisania, zanim zostanie ona zaszyfrowana przez aplikację. To samo, jeśli rozmawiamy przez taką aplikację – jest to nagrywane i wysyłane zaszyfrowanymi paczkami do tego, kto korzysta z Pegasusa w taki sposób, by nikt się nie zorientował, że są to informacje "specjalne". Dlatego nie ma aplikacji, która byłaby bezpieczna. Prawdopodobnie Pegasus jest tworzony przez zespoły specjalistów, a nie pojedynczych hakerów. Zespoły te wyszukują i wykorzystują luki w systemach telefonów, o których ich producenci jeszcze nie wiedzą, więc nie ma przed tym ochrony, bo nikt nie wie, że takie oprogramowanie zostało zainstalowane.

Operatorzy dużych sieci komórkowych nie mogą wychwycić działania Pegasusa?

Mogliby wychwycić, tylko jeśliby wiedzieli, na jakie serwery wysyłają dane zainfekowane urządzenia.

Ale tego nie wiedzą?

Nie mogą takich informacji zbierać, bo to by się wiązało z inwigilacją własnych użytkowników. Operator musiałby sprawdzać, kto z kim się łączy i czy się czasem nie łączy z podejrzanymi serwerami. Musiałby też takie połączenie zablokować, do czego nie ma prawa. Operator może zbierać tylko informacje służące do zabezpieczenia całej sieci.

System inwigilacji obywateli Pegasus »

Sądy dają służbom zgodę na działania operacyjne w określonym czasie. Pegasus może dotrzeć do materiałów w szerszym zakresie?

Tak, każdy może mieć kompromitujące dane sprzed lat. A Pegasus umożliwia przejęcie kontroli nad całym urządzeniem i przejęcie wszystkich danych.

Wicepremier Jacek Sasin uspokaja, że uczciwi nie mają się czego obawiać.

Nie ma ludzi idealnych. Wystarczy, że ktoś się upije albo ma w telefonie jakikolwiek materiał, który można wykorzystać do jego skompromitowania. Rozumiałbym sytuację, że służby pozyskują tego typu narzędzie, by za zgodą sądu je instalować i prowadzić kontrolę operacyjną. Prawo telekomunikacyjne umożliwia służbom dostęp do treści przekazów (rozmów SMS, MMS) w takim przypadku, jednak pozostają trwałe ślady takiej działalności. Pegasus może być wykorzystywany przez organy państwa poza legalną ścieżką dostępu, którą ma każda ze służb. Stąd pytanie, po co się to robi? Czy nie po to, żeby działać niegodnie z prawem? Pegasus może być wykorzystany do bieżącej walki politycznej czy gospodarczej – do szukania materiałów kompromitujących. Nie ruszając się zza biurka, można się dowiedzieć wszystkiego o danej osobie. Użycie takiej wiedzy w walce politycznej praktycznie gwarantuje zwycięstwo w wyborach.

Zagrożenie jest aż tak duże?

Należy zwrócić uwagę na jedną rzecz: jesteśmy pierwszy raz w historii naszej cywilizacji w miejscu, w którym istnieją narzędzia tak masowego oddziaływania na pojedynczych ludzi. Pegasus daje możliwość oddziaływania na masową skalę. Niezwykle istotne w tej sytuacji jest pilnowanie standardów demokratycznego państwa i transparentności w wykorzystywaniu nowych technologii takich jak Pegasus. Jeśli służby specjalne mają zbyt dużo do powiedzenia w państwie i nie ma nad nimi kontroli, to szybko mogą wykorzystać instrumenty do sterowania obywatelami i eliminacji tych niewygodnych. Mieliśmy przed chwilą przykład kompromitowania niewygodnych sędziów. Dlatego w tej sprawie musi być pełna transparentność i nie ma miejsca na półcienie.

W przypadku Pegsusa, który może być używany w Polsce, tej transparentności brakuje?

Wszystko wskazuje na to, że ten system został zakupiony, ale nie mamy na to twardych dowodów. Choć nie mamy też zaprzeczenia.

Pegasus ma kosztować miliony złotych. Są w Polsce dostępne tańsze narzędzia do inwigilacji na szerszą skalę?

W Polsce są prawdopodobnie stosowane fałszywe stacje BTS, dostępne w internecie w cenie od kilkunastu do kilkudziesięciu tysięcy złotych. Taka fałszywa stacja przejmuje ruch z danego obszaru. Telefony logują się do niej. Podjechanie z taką stacją przykładowo pod budynek redakcji pozwoli na przejęcie i rejestrowanie połączeń i SMS-ów z telefonów.

Powiedział pan na jednej z konferencji, że ważnym elementem bezpieczeństwa systemu jest świadomość użytkowników. Najczęściej zagrożenie sprowadzamy na siebie sami?

Tak, jest mnóstwo oprogramowania szpiegującego, które sobie sami instalujemy. Zwykły Kowalski ściąga aplikacje, które mają dostęp do wszystkiego, co ma Pegasus. Darmowe aplikacje żądają od nas nieraz dostępu do kamery czy mikrofonu, choć nie jest im to potrzebne. Przykładowo aplikacja, która monitoruje działanie baterii. Jest mnóstwo oprogramowania, które nas szpieguje. W Czechach wykryto takie programy, które były dystrybuowane w legalnym sklepie.

Zdarzają się sytuacje, że ludzie rozmawiają, co chcieliby kupić, a potem widzą w swoim telefonie reklamy tych produktów, o których była mowa. Jak to możliwe?

Jeśli zgadzamy się, by jakaś aplikacja miała dostęp do naszego mikrofonu, to on może być bez naszej wiedzy włączany.

Czyli zgadzamy się na 24-godzinny podsłuch?

Tak to można określić. Wyrażamy zgodę, że dostawca aplikacji będzie nas obserwował przy pomocy tych elementów, na których użycie mu daliśmy zgodę.

To przerażające.

Tak. Wyrażając zgodę na udostępnianie danych, zgadzamy się, by ktoś nas profilował i zbierał dane, czym się interesujemy, co chcemy kupić, co można nam zaoferować. To są działania biznesowe.

Co się może dziać dalej z tymi danymi?

W zależności od intencji atakującego lub po prostu firmy, która dystrybuuje oprogramowanie, informacje takie mogą i służą głównie profilowaniu użytkownika w celu dostarczania reklam produktów, którymi jest zainteresowany. To czysty biznes. Jednak informacje takie mogą być sprzedawane i wykorzystywane do innych celów – politycznych czy gospodarczych.

Czy Pan, jako użytkownik smartfona, ma jakiś sposób na zabezpieczenie informacji?

Założyłem, że nie jestem bezpieczny. Nie mam na jednym urządzeniu kompletnych informacji. Staram się je rozrzucać na kilka, co oczywiście też nie gwarantuje pełnego bezpieczeństwa, ale je zwiększa. Natomiast jeśli ktoś się uprze, by wykraść moje dane, to znajdzie metodę.

Użycie starego modelu telefonu daje większe bezpieczeństwo?

Najwięcej uwagi się poświęca na szukaniu luk w systemach nowych urządzeń. Stary model telefonu, zwłaszcza jeśli nie ma połączenia z internetem, jest trochę bardziej bezpieczny, ale też ma system operacyjny, do którego da się wejść. Wymaga to jednak nieco zachodu. Najbardziej zagrożeni są ci, którzy używają najnowszych gadżetów, ponieważ jest presja konsumentów na producentów, by były coraz to nowsze i nowsze rozwiązania. To sprawia, że zespoły programistów mogą łatwiej popełniać błędy i tworzyć przypadkowe luki w oprogramowaniu.

Jak rząd PiS podchodzi do kwestii cyberbezpieczeństwa?

Za czasów tego rządu zmieniono najwięcej. Duża w tym zasługa unijnej dyrektywy NIS, która musiała zostać zaimplementowana. Dyrektywa dotyczy środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Pierwszy raz w Polsce powstała strategia cyberbezpieczeństwa i ustawa o Krajowym Systemie Cyberbezpieczeństwa oraz dokumenty wykonawcze.

Jeszcze jako szef departamentu cyberbezpieczeństwa w Ministerstwie Cyfryzacji mówił pan, że strategia to tylko pierwszy krok. Za nią powinno iść przygotowanie odpowiednich procedur na wypadek cyberataków i przygotowanie ludzi. Jak to obecnie wygląda?

Zawsze powtarzałem, że strategie to dwadzieścia kilka kartek papieru, a ustawa to tylko martwy zapis, zanim organy państwowe, biznes i obywatele nie zrealizują tego, co jest w niej zapisane. W celach strategicznych zapisaliśmy rozwój kadr i budowanie mocnej pozycji Polski na arenie międzynarodowej.  Gorzej to wygląda w praktyce. Nawet środki, które przyznano na te cele, nie zostały do końca z ich przeznaczeniem wykorzystane. Brakuje też kompetentnego personelu w administracji państwowej. Ludzie wolą pracować w sektorze prywatnym ze względu na lepszą płacę czy możliwość rozwoju. Nie ma nawet programu, który miałby na celu zmianę tej sytuacji. Brakuje postępu w zakresie edukacji, bo świadomość końcowego użytkownika systemu to kluczowy element jego bezpieczeństwa. Ludzie, jak wspominałem, powinni uważać na aplikacje, które mogą zostać wykorzystane do ich inwigilowania. Zwłaszcza że telefony trafiają do rąk coraz młodszych.

Na szczycie NATO w Warszawie uznano cyberprzestrzeń za piąty obszar traktatowej odpowiedzialności, zaraz po lądzie, morzu, powietrzu i kosmosie. To pokazuje, jak rośnie znaczenie cyberbezpieczeństwa?

Zawsze na świecie rządził ten, kto miał informację, ale zmieniły się sposoby jej zdobywania. Z punktu widzenia politycznego i militarnego interesuje nas kilka obszarów. Pierwszy polega na oddziaływaniu na ludzi za pomocą propagandy. Nowe środki, jak możliwość profilowania ludzi, są niezwykle skuteczne. Można im przygotować spersonalizowaną informację.

W mediach społecznościowych ludzie profilują się sami. Dlatego partie mogą precyzyjnie docierać ze swoim przekazem.

Wystarczy włączyć analizatory na Facebooku, by było wiadomo, kto z kim rozmawia, jakie ma poglądy i co lubi. Wykorzystując mechanizmy Big Data, możemy sprofilować prawie całe społeczeństwo, czyli tych, którzy korzystają z telefonów komórkowych i mediów społecznościowych. Pozostali nas nie interesują. W ten sposób możemy oddziaływać na ludzi i zmuszać ich do podjęcia działań, których sami by nie podjęli. To też jest rodzaj wojny, choć bez użycia środków zbrojnych. Kolejny obszar, w którym można wykorzystać cyberataki to paraliż gospodarki, na przykład przez paraliż systemów bankowych. Taki atak ma też znaczenie psychologiczne. Ostatni element to oddziaływanie na systemy dowodzenia przeciwnika. To pozwala nawet małej armii na pokonanie dużej.

Jak się zachowywać w mediach społecznościowych, internecie i jak korzystać z telefonów, żeby choć trochę zwiększyć swoje bezpieczeństwo?

Przede wszystkim trzeba myśleć. Poczucie anonimowości lub pęd do bycia on-line powodują, że zapominamy o naszej prywatności, o tym, że nie wszystko musimy publikować. Proszę popatrzeć na niektóre profile w mediach społecznościowych. Jest tam taki zbiór informacji, że nawet służby państwowe mniej mogą wiedzieć o tych osobach. Ile to było przypadków zdjęć nowego dowodu osobistego czy nawet karty płatniczej z obu stron. Stan majątkowy można szybko ocenić po profilu - dom, samochody, luksusowe podróże. To przyciąga przestępców. Zaczynają nas osaczać, profilować i przygotowywać się do ataku, a my im w tym pomagamy.