Pegasus może przejąć kontrolę nad całym urządzeniem, zdobyć wszystkie dane i oddziaływać na masową skalę. Może być wykorzystany do bieżącej walki politycznej i gospodarczej - mówi w wywiadzie dla Magazynu TVN24 Piotr Januszewicz, ekspert i były dyrektor departamentu cyberbezpieczeństwa w Ministerstwie Cyfryzacji. Ekspert zwraca też uwagę, że korzystając z komórek, często sami nieświadomie instalujemy sobie oprogramowanie szpiegujące.

Przed rokiem portal tvn24.pl napisał, że Centralne Biuro Antykorupcyjne dostało pieniądze z Funduszu Sprawiedliwości będącego gestii ministra sprawiedliwości Zbigniewa Ziobry i przeznaczyło je na zakup najnowocześniejszego systemu inwigilacji telefonów i komputerów. Na fakturze znalazły się przeznaczone na ten cel kwoty: przedpłata w wysokości 13,6 miliona złotych, odbiór sprzętu i programu – 11,64 miliona złotych, testy funkcjonalności – 5 milionów złotych oraz szkolenia – 3,4 miliona złotych.

Magazyn "Czarno na białym" TVN24 ujawnił w zeszłym tygodniu, że CBA kupiło prawdopodobnie izraelski system Pegasus. Szef CBA Ernest Bejda pytany przez reportera "Czarno na białym" o system Pegasus odpowiedział, że nie zna tej nazwy. Również Maciej Wąsik, zastępca koordynatora służb specjalnych zapewniał reportera TVN24, że nie zna takiego systemu, a "polskie służby działają na podstawie prawa". CBA w wydanym w środę oświadczeniu wyjaśniało, że nie zakupiło żadnego "systemu masowej inwigilacji Polaków".

Odtwarzaj

O działanie systemu zapytaliśmy Piotra Januszewicza, który jest ekspertem ds. cyberbezpieczeństwa, rzeczoznawcą w zakresie zabezpieczeń technicznych ochrony osób i mienia oraz managerem systemów bezpieczeństwa informacji. Januszewicz jest absolwentem Politechniki Warszawskiej i Wydziału Cybernetyki Wojskowej Akademii Technicznej. Był współtwórcą i pierwszym szefem Centrum Bezpieczeństwa Cybernetycznego Sił Zbrojnych, a potem szefem departamentu cyberbezpieczeństwa w Ministerstwie Cyfryzacji, skąd odszedł pod koniec 2017 roku.

Grzegorz Łakomski, tvn24.pl: Szef CBA zrobił zaskoczoną minę, twierdząc, że nie zna nazwy Pegasus. Pan jest równie zaskoczony?

Piotr Januszewicz: Nie jestem zaskoczony. Znałem tę nazwę przed emisją materiału "Czarno na białym". Można ją znaleźć też w Wikipedii. To oprogramowanie, które najprawdopodobniej zostało stworzone przez izraelskie służby do walki z terroryzmem.

Jak działa ten system?

Wykorzystuje podatności, czyli luki w systemach telefonów. Pozwalają one na użycie urządzenia do innych funkcji, niż zostało przewidziane. Od momentu włamania telefon wykonuje działania zaprogramowane przez tego, który się włamał. Taki system jak Pegasus umożliwia dostęp do wszystkich funkcji telefonu, jak połączenia, SMS-y, wszystkie dane, lokalizacja, mikrofon i kamery. Wszystkie zdjęcia czy wiadomości będą po jego zastosowaniu dostępne. Programy do nauki hakowania też dają takie możliwości, jeśli się to zainstaluje na telefonie właściciela. W przypadku systemu takiego jak Pegasus ten dostęp jest jednak głębszy.

Odtwarzaj

To znaczy?

Obejmuje on też szyfrowane komunikatory, jak WhatsApp czy Signal. Dostęp nie tylko do mikrofonu, ale i klawiatury sprawia, że nie są one bezpieczne. Komunikatory te szyfrują wiadomości na etapie wysyłania wiadomości. Tymczasem Pegasus najprawdopodobniej przechwytuje treść wiadomości w momencie jej pisania, zanim zostanie ona zaszyfrowana przez aplikację. To samo, jeśli rozmawiamy przez taką aplikację – jest to nagrywane i wysyłane zaszyfrowanymi paczkami do tego, kto korzysta z Pegasusa w taki sposób, by nikt się nie zorientował, że są to informacje "specjalne". Dlatego nie ma aplikacji, która byłaby bezpieczna. Prawdopodobnie Pegasus jest tworzony przez zespoły specjalistów, a nie pojedynczych hakerów. Zespoły te wyszukują i wykorzystują luki w systemach telefonów, o których ich producenci jeszcze nie wiedzą, więc nie ma przed tym ochrony, bo nikt nie wie, że takie oprogramowanie zostało zainstalowane.

Operatorzy dużych sieci komórkowych nie mogą wychwycić działania Pegasusa?

Mogliby wychwycić, tylko jeśliby wiedzieli, na jakie serwery wysyłają dane zainfekowane urządzenia.

Ale tego nie wiedzą?

Nie mogą takich informacji zbierać, bo to by się wiązało z inwigilacją własnych użytkowników. Operator musiałby sprawdzać, kto z kim się łączy i czy się czasem nie łączy z podejrzanymi serwerami. Musiałby też takie połączenie zablokować, do czego nie ma prawa. Operator może zbierać tylko informacje służące do zabezpieczenia całej sieci.

System inwigilacji obywateli Pegasus »

Oglądaj

• Sikorski: władza potrzebuje Pegasusa do utrzymania władzy
  Video: tvn24 Sikorski: władza potrzebuje Pegasusa do utrzymania władzy12.09.| - O ile wiem, nie wolno przeszukiwać materiałów wstecz, nawet obywatela, który jest o coś podejrzany. Można za zgodą sądu dokonywać inwigilacji na bieżąco. A Pegasus daje dostęp do wszystkich materiałów, które dana osoba ma na twardych dyskach, w chmurze, w telefonie. To już jest obłęd - ocenił w "Kropce nad i" TVN24 europoseł Radosław Sikorski, były marszałek Sejmu i były szef MSZ. zobacz więcej wideo »
• "Całe państwo stało się częścią partii politycznej"
  Video: tvn24 "Całe państwo stało się częścią partii politycznej"06.09.| Pegasus jest niebezpieczny, ponieważ jest zbudowana infrastruktura prawna do działań, które mogą wykorzystać ustawę antyterrorystyczną do działania, które może być zwrócone przeciwko przeciwnikom politycznym - mówił w "Faktach po Faktach" TVN24 Bartłomiej Sienkiewicz, były minister spraw wewnętrznych i kandydat Koalicji Obywatelskiej do Sejmu. zobacz więcej wideo »
• Lewica pyta o system Pegasus. "Oczekujemy jasnych odpowiedzi"
  Video: tvn24 Lewica pyta o system Pegasus. "Oczekujemy jasnych odpowiedzi"05.09| Lewica zapowiedziała skierowanie w trybie dostępu do informacji publicznej pytania do Centralnego Biura Antykorupcyjnego, ministra sprawiedliwości i ministra koordynatora służb specjalnych, czy Polska zakupiła program Pegasus, który miałby służyć do inwigilowania obywateli. - Oczekujemy jasnych odpowiedzi - powiedział lider Lewicy Razem Adrian Zandberg.zobacz więcej wideo »
• Pytania o system Pegasus w Polsce. "Przestępcza inwigilacja...
  Video: tvn24 Pytania o system Pegasus w Polsce. "Przestępcza inwigilacja...04.09 | Pytania o system Pegasus w Polsce. "Przestępcza inwigilacja obywateli"zobacz więcej wideo »
• PO-KO: żądamy, aby premier odpowiedział, czy system Pegasus...
  Video: tvn24 PO-KO: żądamy, aby premier odpowiedział, czy system Pegasus...04.09 | PO-KO: żądamy, aby premier odpowiedział, czy system Pegasus jest w Polscezobacz więcej wideo »
• Sasin w sprawie systemu Pegasus: uczciwi nie mają się czego...
  Video: tvn24 Sasin w sprawie systemu Pegasus: uczciwi nie mają się czego...3.09 | Wicepremier Jacek Sasin zapytany o system inwigilacji Pegasus odpowiada, że "uczciwi obywatele mogą być spokojni". To, że CBA mogło kupić ten izraelski system elektronicznego szpiegowania ujawnił magazyn "Czarno na białym". Nikt w Centralnym Biurze Antykorupcyjnym tego nie potwierdził, ale i nie zaprzeczył. zobacz więcej wideo »
• Jacek Sasin odpowiada na pytanie o system Pegasus
  Video: tvn24 Jacek Sasin odpowiada na pytanie o system Pegasus3.09 | Wicepremier Jacek Sasin zapytany o system inwigilacji Pegasus odpowiada, że „uczciwi obywatele mogą być spokojni”. To, że CBA mogło kupić ten izraelski system elektronicznego szpiegowania ujawnił magazyn „Czarno na białym”. Nikt w Centralnym Biurze Antykorupcyjnym tego nie potwierdził, ale i nie zaprzeczył.zobacz więcej wideo »
• Czy CBA używa potężnego systemu Pegasus? Szef CBA nie...
  Video: Fakty TVN Czy CBA używa potężnego systemu Pegasus? Szef CBA nie...Centralne Biuro Antykorupcyjne miało kupić od Izraela za 25 milionów złotych system Pegasus. To oprogramowanie, która pozwala uzyskać dostęp do smartfonów od Apple'a i z Androidem. Szef CBA Ernest Bejda nie potwierdził tych doniesień ani im nie zaprzeczył. W związku z Pegasusem opozycja ma wiele pytań do CBA, na które nie uzyskuje odpowiedzi.zobacz więcej wideo »
• CBA używa Pegasusa? Zybertowicz: zaprzeczenia nie ma, wiec...
  Video: TOK FM CBA używa Pegasusa? Zybertowicz: zaprzeczenia nie ma, wiec...02.09 | W dzisiejszym świecie służby muszą mieć daleko idące uprawnienia, ale i system nadzoru nad służbami musi być dalece głębszy niż obecny - mówił w TOK FM Andrzej Zybertowicz, doradca prezydenta Andrzeja Dudy. Odniósł się do podejrzeń, że Centralne Biuro Antykorupcyjne wykorzystuje jeden z najlepszych systemów inwigilacji na świecie Pegasus. zobacz więcej wideo »
• System Pegasus w rękach polskich służb?
  Video: tvn24 System Pegasus w rękach polskich służb?30.08 | Pegasus to system, dzięki któremu można nie tylko podsłuchiwać nasze rozmowy, ale także mieć dostęp do wszystkiego, co przechowujemy w telefonie. To potężne i niebezpieczne narzędzie totalnej inwigilacji. Czy dysponuje nim CBA? A jeśli tak, to skąd były na to pieniądze?zobacz więcej wideo »
• System Pegasus. Czy to potężne narzędzie kupiło CBA?
  Video: Fakty TVN System Pegasus. Czy to potężne narzędzie kupiło CBA?System Pegasus pozwala podsłuchiwać rozmowy, czytać SMS-y i maile, podglądać nasze zdjęcia i filmy. Może mieć dostęp do wszystkiego, co mamy w telefonie. Czy taki system kupiło CBA i do czego może służyć taka broń masowej inwigilacji? zobacz więcej wideo »
• Czy Pegasus działa w Polsce i czy kupiło go CBA?
  Video: tvn24 Czy Pegasus działa w Polsce i czy kupiło go CBA?28.08 | Czy Pegasus działa w Polsce? Są takie przesłanki - tak twierdzą informatycy, którzy tropią aktywność tego systemu na świecie. Jest też rodząca takie podejrzenie faktura prześwietlona przez Najwyższą Izbę Kontroli. Faktura na 35 milionów złotych wystawiona na Centralne Biuro Antykorupcyjne. Czy CBA, które zajmuje się korupcją, a nie terroryzmem, kupiło Pegasusa?zobacz więcej wideo »
• Jak działa Pegasus i do czego jest wykorzystywany?
  Video: tvn24 Jak działa Pegasus i do czego jest wykorzystywany?28.08 | Jak działa Pegasus i do czego jest wykorzystywany na świecie?zobacz więcej wideo »
• Czym jest Pegasus? "Czarno na białym"
  Video: tvn24 Czym jest Pegasus? "Czarno na białym"28.08 / "Czarno na białym" w środę o systemie Pegasus, który umożliwia między innymi podsłuchiwanie rozmów, śledzenie wiadomości SMS, maili, wiadomości z komunikatorów internetowych. Czy taki system zakupiło Centralne Biuro Antykorupcyjne? A jeśli tak, to w jakim celu? Więcej w "Czarno na Białym" w TVN24 o godzinie 20.30.zobacz więcej wideo »

Sądy dają służbom zgodę na działania operacyjne w określonym czasie. Pegasus może dotrzeć do materiałów w szerszym zakresie?

Tak, każdy może mieć kompromitujące dane sprzed lat. A Pegasus umożliwia przejęcie kontroli nad całym urządzeniem i przejęcie wszystkich danych.

Wicepremier Jacek Sasin uspokaja, że uczciwi nie mają się czego obawiać.

Nie ma ludzi idealnych. Wystarczy, że ktoś się upije albo ma w telefonie jakikolwiek materiał, który można wykorzystać do jego skompromitowania. Rozumiałbym sytuację, że służby pozyskują tego typu narzędzie, by za zgodą sądu je instalować i prowadzić kontrolę operacyjną. Prawo telekomunikacyjne umożliwia służbom dostęp do treści przekazów (rozmów SMS, MMS) w takim przypadku, jednak pozostają trwałe ślady takiej działalności. Pegasus może być wykorzystywany przez organy państwa poza legalną ścieżką dostępu, którą ma każda ze służb. Stąd pytanie, po co się to robi? Czy nie po to, żeby działać niegodnie z prawem? Pegasus może być wykorzystany do bieżącej walki politycznej czy gospodarczej – do szukania materiałów kompromitujących. Nie ruszając się zza biurka, można się dowiedzieć wszystkiego o danej osobie. Użycie takiej wiedzy w walce politycznej praktycznie gwarantuje zwycięstwo w wyborach.

Odtwarzaj

Zagrożenie jest aż tak duże?

Należy zwrócić uwagę na jedną rzecz: jesteśmy pierwszy raz w historii naszej cywilizacji w miejscu, w którym istnieją narzędzia tak masowego oddziaływania na pojedynczych ludzi. Pegasus daje możliwość oddziaływania na masową skalę. Niezwykle istotne w tej sytuacji jest pilnowanie standardów demokratycznego państwa i transparentności w wykorzystywaniu nowych technologii takich jak Pegasus. Jeśli służby specjalne mają zbyt dużo do powiedzenia w państwie i nie ma nad nimi kontroli, to szybko mogą wykorzystać instrumenty do sterowania obywatelami i eliminacji tych niewygodnych. Mieliśmy przed chwilą przykład kompromitowania niewygodnych sędziów. Dlatego w tej sprawie musi być pełna transparentność i nie ma miejsca na półcienie.

W przypadku Pegsusa, który może być używany w Polsce, tej transparentności brakuje?

Wszystko wskazuje na to, że ten system został zakupiony, ale nie mamy na to twardych dowodów. Choć nie mamy też zaprzeczenia.

Pegasus ma kosztować miliony złotych. Są w Polsce dostępne tańsze narzędzia do inwigilacji na szerszą skalę?

W Polsce są prawdopodobnie stosowane fałszywe stacje BTS, dostępne w internecie w cenie od kilkunastu do kilkudziesięciu tysięcy złotych. Taka fałszywa stacja przejmuje ruch z danego obszaru. Telefony logują się do niej. Podjechanie z taką stacją przykładowo pod budynek redakcji pozwoli na przejęcie i rejestrowanie połączeń i SMS-ów z telefonów.

Powiedział pan na jednej z konferencji, że ważnym elementem bezpieczeństwa systemu jest świadomość użytkowników. Najczęściej zagrożenie sprowadzamy na siebie sami?

Tak, jest mnóstwo oprogramowania szpiegującego, które sobie sami instalujemy. Zwykły Kowalski ściąga aplikacje, które mają dostęp do wszystkiego, co ma Pegasus. Darmowe aplikacje żądają od nas nieraz dostępu do kamery czy mikrofonu, choć nie jest im to potrzebne. Przykładowo aplikacja, która monitoruje działanie baterii. Jest mnóstwo oprogramowania, które nas szpieguje. W Czechach wykryto takie programy, które były dystrybuowane w legalnym sklepie.

Zdarzają się sytuacje, że ludzie rozmawiają, co chcieliby kupić, a potem widzą w swoim telefonie reklamy tych produktów, o których była mowa. Jak to możliwe?

Jeśli zgadzamy się, by jakaś aplikacja miała dostęp do naszego mikrofonu, to on może być bez naszej wiedzy włączany.

Czyli zgadzamy się na 24-godzinny podsłuch?

Tak to można określić. Wyrażamy zgodę, że dostawca aplikacji będzie nas obserwował przy pomocy tych elementów, na których użycie mu daliśmy zgodę.

To przerażające.

Tak. Wyrażając zgodę na udostępnianie danych, zgadzamy się, by ktoś nas profilował i zbierał dane, czym się interesujemy, co chcemy kupić, co można nam zaoferować. To są działania biznesowe.

Co się może dziać dalej z tymi danymi?

W zależności od intencji atakującego lub po prostu firmy, która dystrybuuje oprogramowanie, informacje takie mogą i służą głównie profilowaniu użytkownika w celu dostarczania reklam produktów, którymi jest zainteresowany. To czysty biznes. Jednak informacje takie mogą być sprzedawane i wykorzystywane do innych celów – politycznych czy gospodarczych.

Czy Pan, jako użytkownik smartfona, ma jakiś sposób na zabezpieczenie informacji?

Założyłem, że nie jestem bezpieczny. Nie mam na jednym urządzeniu kompletnych informacji. Staram się je rozrzucać na kilka, co oczywiście też nie gwarantuje pełnego bezpieczeństwa, ale je zwiększa. Natomiast jeśli ktoś się uprze, by wykraść moje dane, to znajdzie metodę.

Użycie starego modelu telefonu daje większe bezpieczeństwo?

Najwięcej uwagi się poświęca na szukaniu luk w systemach nowych urządzeń. Stary model telefonu, zwłaszcza jeśli nie ma połączenia z internetem, jest trochę bardziej bezpieczny, ale też ma system operacyjny, do którego da się wejść. Wymaga to jednak nieco zachodu. Najbardziej zagrożeni są ci, którzy używają najnowszych gadżetów, ponieważ jest presja konsumentów na producentów, by były coraz to nowsze i nowsze rozwiązania. To sprawia, że zespoły programistów mogą łatwiej popełniać błędy i tworzyć przypadkowe luki w oprogramowaniu.

Jak rząd PiS podchodzi do kwestii cyberbezpieczeństwa?

Za czasów tego rządu zmieniono najwięcej. Duża w tym zasługa unijnej dyrektywy NIS, która musiała zostać zaimplementowana. Dyrektywa dotyczy środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Pierwszy raz w Polsce powstała strategia cyberbezpieczeństwa i ustawa o Krajowym Systemie Cyberbezpieczeństwa oraz dokumenty wykonawcze.

Jeszcze jako szef departamentu cyberbezpieczeństwa w Ministerstwie Cyfryzacji mówił pan, że strategia to tylko pierwszy krok. Za nią powinno iść przygotowanie odpowiednich procedur na wypadek cyberataków i przygotowanie ludzi. Jak to obecnie wygląda?

Zawsze powtarzałem, że strategie to dwadzieścia kilka kartek papieru, a ustawa to tylko martwy zapis, zanim organy państwowe, biznes i obywatele nie zrealizują tego, co jest w niej zapisane. W celach strategicznych zapisaliśmy rozwój kadr i budowanie mocnej pozycji Polski na arenie międzynarodowej.  Gorzej to wygląda w praktyce. Nawet środki, które przyznano na te cele, nie zostały do końca z ich przeznaczeniem wykorzystane. Brakuje też kompetentnego personelu w administracji państwowej. Ludzie wolą pracować w sektorze prywatnym ze względu na lepszą płacę czy możliwość rozwoju. Nie ma nawet programu, który miałby na celu zmianę tej sytuacji. Brakuje postępu w zakresie edukacji, bo świadomość końcowego użytkownika systemu to kluczowy element jego bezpieczeństwa. Ludzie, jak wspominałem, powinni uważać na aplikacje, które mogą zostać wykorzystane do ich inwigilowania. Zwłaszcza że telefony trafiają do rąk coraz młodszych.

Odtwarzaj

Na szczycie NATO w Warszawie uznano cyberprzestrzeń za piąty obszar traktatowej odpowiedzialności, zaraz po lądzie, morzu, powietrzu i kosmosie. To pokazuje, jak rośnie znaczenie cyberbezpieczeństwa?

Zawsze na świecie rządził ten, kto miał informację, ale zmieniły się sposoby jej zdobywania. Z punktu widzenia politycznego i militarnego interesuje nas kilka obszarów. Pierwszy polega na oddziaływaniu na ludzi za pomocą propagandy. Nowe środki, jak możliwość profilowania ludzi, są niezwykle skuteczne. Można im przygotować spersonalizowaną informację.

W mediach społecznościowych ludzie profilują się sami. Dlatego partie mogą precyzyjnie docierać ze swoim przekazem.

Wystarczy włączyć analizatory na Facebooku, by było wiadomo, kto z kim rozmawia, jakie ma poglądy i co lubi. Wykorzystując mechanizmy Big Data, możemy sprofilować prawie całe społeczeństwo, czyli tych, którzy korzystają z telefonów komórkowych i mediów społecznościowych. Pozostali nas nie interesują. W ten sposób możemy oddziaływać na ludzi i zmuszać ich do podjęcia działań, których sami by nie podjęli. To też jest rodzaj wojny, choć bez użycia środków zbrojnych. Kolejny obszar, w którym można wykorzystać cyberataki to paraliż gospodarki, na przykład przez paraliż systemów bankowych. Taki atak ma też znaczenie psychologiczne. Ostatni element to oddziaływanie na systemy dowodzenia przeciwnika. To pozwala nawet małej armii na pokonanie dużej.

Jak się zachowywać w mediach społecznościowych, internecie i jak korzystać z telefonów, żeby choć trochę zwiększyć swoje bezpieczeństwo?

Przede wszystkim trzeba myśleć. Poczucie anonimowości lub pęd do bycia on-line powodują, że zapominamy o naszej prywatności, o tym, że nie wszystko musimy publikować. Proszę popatrzeć na niektóre profile w mediach społecznościowych. Jest tam taki zbiór informacji, że nawet służby państwowe mniej mogą wiedzieć o tych osobach. Ile to było przypadków zdjęć nowego dowodu osobistego czy nawet karty płatniczej z obu stron. Stan majątkowy można szybko ocenić po profilu - dom, samochody, luksusowe podróże. To przyciąga przestępców. Zaczynają nas osaczać, profilować i przygotowywać się do ataku, a my im w tym pomagamy.