- Ale informacje o kimś, nawet szczątkowe, można łączyć, szukać między nimi powiązań - tłumaczy Marcin Maj, ekspert do spraw białego wywiadu z serwisu niebezpiecznik.pl. - Są osoby, które bardzo starają się chronić swoją tożsamość i dane w sieci, podejmują różne działania zapobiegawcze, ale dwa, trzy nieostrożnie pozostawione ślady mogą nam powiedzieć o kimś bardzo dużo.

Uważaj, jak robisz selfie

Przestępców coraz częściej tropią i łapią analitycy sprzed komputerów i ich systemy informatyczne. Od inwencji i kompetencji cyfrowych tych specjalistów zależy, czy uda się kogoś namierzyć.

Kompetentny śledczy porówna na przykład wideo wrzucone na Tik-Toka ze zdjęciami z Instagrama podejrzanego. Sprawdzi, co widać na nich za oknem. Może ogród osoby? Mieszkanie jej partnera? Może na fotografii widać nazwę ulicy? Rejestrację samochodu?

Albo studzienkę ściekową. Bo z niej, przy odpowiednim zbliżeniu, można odczytać nazwę miasta. Wykwalifikowany analityk będzie też wiedział, że miasta wymieniają się studzienkami ściekowymi. Dlatego na Dolnym Śląsku trafi na studzienki na przykład z partnerskiego miasta w województwie świętokrzyskim.

- Wygląd latarni może być charakterystyczny dla jakiejś miejscowości uzdrowiskowej. Albo widoczny w tle zdjęcia niepowtarzalny kształt gór - mówi Maj. - Namierzyć kogoś można też po wzorze, który widać na bruku. Albo przepływającym w oddali statku. W sieci są serwisy pozwalające śledzić historie ich kursów. Wystarczy, że będziemy wiedzieć, kiedy mniej więcej wykonano zdjęcie, żeby namierzyć jego lokalizację - dodaje.

Kto śpi na Twitterze

Kompetentny analityk pobierze też wszystkie tweety danej osoby i przeanalizuje, w jakich godzinach ktoś publikuje i kiedy śpi. Wyciągnie z nich - jeśli ktoś nie ukrył się za VPN-em (wirtualną siecią, maskującą ruch internetowy) - dane geolokalizacyjne. Pokażą mu miejsce, z którego podejrzany (na przykład anonimowy troll publikujący obraźliwy hejt) publikuje, lokalizację jego pracy albo domu.

I stopniowo zacznie łączyć kropki.

Śledczy sprawdzi też, czy przestępca nie rozsiewa fejków na swój temat, którymi stara się zatrzeć ślady - fotomontaży lub materiałów z błędnym opisem, na przykład na zdjęciu ktoś jest w miejscu X, a w komentarzu pisze, że to miejsce Y.

I czy kiedyś nie miał konta na zamkniętej już Naszej Klasie, której archiwalne kopie ciągle indeksuje rosyjska wyszukiwarka Yandex.

Użyje też coraz bardziej popularnych narzędzi do rozpoznawania twarzy, nierzadko znajdując zdjęcia podejrzanego, o których sam nie miał pojęcia. Ludzkie oko nie widzi tylu szczegółów i drobnych podobieństw. Fotografie mogą być zrobione w różnych latach, ktoś mógł się zestarzeć, na jednym zdjęciu nosić brodę, na drugim nie. Algorytm ocenia to dużo bardziej precyzyjnie.

Czego policja chce od Facebooka?

Dane zebrane z sieci analityk porówna też z rejestrami publicznymi. Sprawdzi, czy osoba prowadziła kiedykolwiek działalność gospodarczą - a w Polsce w 2020 roku co piąty pracownik był na samozatrudnieniu. Jeśli podejrzany tam figuruje, na pewno wskazał adres swojej działalności.

Śledczy sprawdzi wtedy księgę wieczystą nieruchomości. W niej może trafić na numery ewidencyjne, które identyfikują osobę w Krajowym Rejestrze Sądowym. 

Takich rejestrów publicznych, z których może skorzystać, jest kilkadziesiąt.

Analityk policyjny dodatkowo skorzysta z takich źródeł, jak billingi połączeń, obrazy z kamer monitoringu, bazy zdjęć dowodów osobistych i dokumentów prawa jazdy etc. Coraz częściej sięgnie też po informacje podejrzanego - w tym prywatne wiadomości - do gigantów internetowych. W 2021 roku polskie władze zażądały od Facebooka danych z 12,8 tysiąca profili.

Jeśli osoba została zatrzymana, policja będzie mogła też przeanalizować dane z jego lub jej telefonu (SMS-y, wiadomości z komunikatorów, informacje z aplikacji). Funkcjonariusze robią to dzięki technologii izraelskiej firmy Cellebrite (korzysta z niej m.in. polska policja, CBA i Straż Graniczna), która pozwalać łamać zabezpieczenia smartfonów (zarówno z systemem Android, jak i IOS) i kopiować z nich informacje.

Śledczy pod ręką będzie miał też wyspecjalizowane narzędzia wywiadowcze, które pobierają, analizują i filtrują dane. I szukają między nimi ukrytych powiązań.

Oprogramowanie samo przeczesze różne źródła informacji, na przykład rządową bazę numerów PESEL czy ksiąg wieczystych, i zestawi je z danymi z mediów społecznościowych, numerami IP i wszelkimi śladami, które dobrowolnie (i często nieświadomie) zostawiamy w sieci. Znajdzie między nimi połączenia, które analityk mógł przeoczyć - i przedstawi je na klarownej, przypominającej pajęczynę grafice.

"W 80 procentach podobny" do sprawcy

Marzec 2022 roku, przedmieścia Kijowa. Kamera monitoringu nagrywa rosyjskich żołnierzy przed salonem samochodowym. Rozmawiają chwilę z jego nieuzbrojonym właścicielem i 68-letnim ochroniarzem. Puszczają ich.

Ale gdy tamci się odwracają, strzelają im w plecy. Później plądrują salon. W środku piją jacka danielsa i stukają się szklankami. Kamera rejestruje ich twarze. Oglądam je w siedzibie wrocławskiej firmy DataWalk, której system pomaga służbom i policji ścigać przestępstwa. Korzysta z niego m.in. Departament Sprawiedliwości USA czy Departament Obrony. Amerykańskie i kanadyjskie jednostki policji tropią z jego pomocą gangi i przemytników narkotyków.

Polska policja korzysta z technologii DataWalk od 2020 roku Firma wygrała wtedy (razem ze spółką Comp) przetarg na budowę Systemu Informacji Operacyjnych II dla Komendy Głównej Policji za 20 mln zł. W przetargu konkurowała z firmą Matic, za pośrednictwem której w 2017 roku Centralne Biuro Antykorupcyjne kupiło od izraelskiego NSO Group system szpiegowski Pegasus.

System analizuje z nagrania monitoringu stopklatki, na których najlepiej widać twarze. Posiadając wcześniej pobraną listę 1,6 tys. nazwisk rosyjskich żołnierzy odpowiedzialnych za masakrę w Buczy (ich imiona i nazwiska ukraińskie służby opublikowały w maju), pozwala odpytać zewnętrzne źródła, czyli serwisy społecznościowe (na przykład rosyjskie VKontakte), o potencjalne profile wylistowanych osób.

Program zwraca listę 57 kont społecznościowych. I automatycznie porównuje zdjęcia dodane na profilach ze stopklatkami z monitoringu. - Mógłby to zrobić człowiek przed komputerem, na piechotę zajęłoby to kilka godzin. Ale gdyby wyników było tysiące albo osoby nie byłyby do siebie podobne na zdjęciach, cały sztab ludzi musiałby sprawdzać, czy istnieją jakieś podobieństwa. Trzeba zaznaczyć, że nie zawsze byłoby to możliwe do ustalenia - mówi Kamil Góral, head of solutions, w DataWalk.

System korzysta z zewnętrznego narzędzia do rozpoznawania twarzy wpiętego w platformę. Zauważam jego nazwę: Oosto. To izraelska firma, która wcześniej nazywała się AnyVision. Była krytykowana za to, że jej technologia służy do inwigilacji Palestyńczyków.

Dzięki Oosto dowiadujemy się, że mężczyzna na jednym ze zdjęć jest "w 80 procentach podobny" do żołnierza z monitoringu. To niespełna 30-letni Rosjanin, dumnie pozujący na zdjęciu z rybą, które zamieścił na swoim profilu w serwisie społecznościowym.

- Nie znaczy to oczywiście, że algorytm ma zawsze rację. W tym miejscu wchodzi analityk, system tylko pomaga i skraca czas jego lub jej pracy. Nie podejmuje decyzji za człowieka, ale rozszerza jego zdolność analityczną. Pokazuje coś, czego w pierwszej kolejności nie widzimy. Niejako mówi: Skoncentruj się na tym. Oceń to, co znalazłem - tłumaczy Góral.

Kto jechał na święta do Rosji

Z pliku fotografii system odczytuje też dane geolokalizacyjne. Na mapie wyświetla się jezioro w południowej Syberii, położone niedaleko miasta Czyta. To tam prawdopodobnie podejrzany złowił rybę.

Wracamy do miejsca zbrodni. Kamil Góral zaznacza na mapie fragment obszaru wokół salonu samochodowego i pyta system o sygnały zostawione w tym miejscu przez urządzenia mobilne. Każdy smartfon pozostawia mnóstwo tego typu śladów, które bez kontekstu są w pełni anonimowe - firmy targetujące reklamy nie inwigilują każdego naszego ruchu, mogą co najwyżej wyświetlić irytujący baner czy promocję dopasowaną do naszych preferencji. Ale te ślady zestawione z innymi danymi, przy użyciu takich systemów, jak na przykład DataWalk, mogą ujawnić wiele informacji o konkretnych użytkownikach telefonów.

Wyświetla się kilka urządzeń. Pytamy system, czy któryś z tych smartfonów był na terenie Rosji 24 kwietnia, kiedy wypadały prawosławne Święta Wielkanocne. Wielu żołnierzy jechało wtedy na przepustki do domów i... bingo. Jeden z telefonów aktywnych pod Kijowem w czasie świąt był w rosyjskiej wsi w Kraju Zabajkalskim. Czyli bardzo blisko miejsca, w którym zrobiono zdjęcie profilowe dodane na serwisie społecznościowym. 

- Czy to w stu procentach pewne, że urządzenie należy do osoby ze zdjęcia? Nie, ale to bardzo prawdopodobne, mając tak wiele powiązanych ze sobą elementów w układance. Możemy pójść dalej i sprawdzić, gdzie telefon logował się później w Ukrainie - tłumaczy Góral.

Na mapie pokazują się kolejne miejsca działań wojennych: przedmieścia Kijowa, Sewastopol i Mariupol. 

- To hipotetyczny przykład użycia danych do identyfikowania przestępców. Ci żołnierze będą ścigani przez ukraińską prokuraturę za zbrodnie wojenne jak kryminaliści. A podobne zdarzenie, pewnie mniej drastyczne, mogłoby mieć miejsce na stacji benzynowej pod Warszawą - mówi ekspert.

Przestępstwa w sieci, oszustwa i kryptowaluty

Współczesny przestępca, ten bardziej skuteczny i mniej uchwytny, nie napada już jednak na stacje benzynowe czy tiry, ale raczej działa w przestrzeni cyfrowej. Wie, że policja posiada metody ścigania "analogowych" przestępstw. Złapanie i postawienie przed sądem tradycyjnego kryminalisty jest coraz łatwiejsze. Natomiast przestępstwa popełniane w sieci dużo trudniej analizować i udowodnić ich popełnienie.

A popełnić je można z dowolnego miejsca na świecie. Często też "nagroda" jest dużo większa.

Co przestępca zrobi na przykład z tysiącem skradzionych telewizorów? Trzeba je gdzieś przechować i później sprzedać. Znacznie łatwiej i bezpieczniej jest ukraść komuś tożsamość i oszukać tysiąc osób na Allegro czy OLX. Zrobić to sprzed ekranu na drugim końcu świata.

Środki pochodzące z tego typu przestępczości często ukrywa się w kryptowalutach. W ich przypadku dane o transakcjach są publicznie dostępne, ale często bardzo skomplikowane i trudne do analizy. Przestępcy, żeby ukryć cyfrowe aktywa, najczęściej rozpraszają je na wiele portfeli, starając się zatrzeć za sobą ślady. Ale te z powodzeniem przeczesują już algorytmy, których łatwo nie można zmylić.

 - W ostatnich dwóch latach zdolności służb do wykrywania przestępstw kryptowalutowych wzrosły nieporównywalnie. Dzisiaj nie da się już tak łatwo ukryć środków w bitcoinach. Jeśli mamy na przykład adres, który był sklepem w darknecie (czyli ukrytej części internetu, niedostępnej ze standardowych przeglądarek) i wiemy, że na ten portfel wpływały środki, na przykład za narkotyki, to algorytm wylicza, gdzie one dalej popłynęły kilka miesięcy później, nawet jak po drodze miały kilkanaście czy nawet kilkaset tak zwanych skoków po portfelach - opowiada Góral.

Palantir Gotham i deportowane dzieci

DataWalk, jak tłumaczą przedstawiciele firmy, jest "alternatywą" - tańszą i "zwinniejszą" - do oprogramowania Palantir Gotham, kontrowersyjnego koncernu, realizującego wielkie rządowe kontrakty związane z inwigilacją.

Palantir to firma znana z analizy danych dla trzyliterowych agencji rządowych, takich jak CIA czy NSA. Jej nazwa pochodzi z trylogii J.R.R. Tolkiena - od magicznej kuli, z której można odczytywać myśli i oglądać dowolne miejsca na świecie. Początkowo Palantir był podwykonawcą amerykańskiego wojska i wywiadu w Afganistanie i Iraku. Rzekomo miał pomóc w namierzeniu Osamy ben Ladena (chociaż nigdy nie zostało to potwierdzone). Jego oprogramowanie pomogło też amerykańskim władzom w skazaniu słynnego oszusta Berniego Madoffa.

Było też wielokrotnie krytykowane jako inwazyjne i służące masowej inwigilacji. Palantir dostarczył swój system m.in. amerykańskiej Służbie Celnej i Ochronie Granic do śledzenia migrantów z Meksyku. Portal Intercept nazwał go wtedy "napędem maszyny deportacyjnej Donalda Trumpa". 

Według Amnesty International oprogramowanie zostało wykorzystane do aresztowania i deportowania setek osób oraz oddzielania dzieci od rodziców. Służyło "realizacji szkodliwej polityki wymierzonej w osoby ubiegające się o azyl", a Palantir, zdaniem organizacji, nie spełnił elementarnego obowiązku poszanowania praw człowieka.

Naszym partnerem jest… ShadowDragon

Zaawansowane systemy śledczo-wywiadowcze mogą też pobierać ogromne ilości danych i naruszać prywatność zwykłych obywateli. Przedstawiciele DataWalk w rozmowie podkreślają, że nie dostarczają klientom żadnych baz danych. 

- Sprzedajemy tylko platformę, która łączy i analizuje różne wszechświaty danych - tłumaczą.

Skąd w takim razie pochodzą na przykład informacje z serwisów społecznościowych, które analizuje program? Podczas prezentacji DataWalk dla inwestorów giełdowych, dostępnej w serwisie YouTube, Kamil Góral pobiera tego typu dane, mówiąc: - Mogę uruchomić proces, który odpytuje jakieś źródło, nie wchodząc w szczegóły, i pobiera sobie dane.

Tym źródłem, jak odczytuję z ekranu, jest tajemnicza firma ShadowDragon. Na portalu Intercept prawnik Michael Kwet z Uniwersytetu Yale pisze, że to "narzędzie inwigilacji mediów społecznościowych, które wyśledzi każdy twój ruch". Używa go na przykład amerykańska policja w stanie Michigan.

Technologia ShadowDragon zasysa masowe ilości danych z ponad 120 platform, w tym z rosyjskich i chińskich mediów społecznościowych, aplikacji randkowych, Amazona czy z rojącego się od przestępców darknetu. Pozwala identyfikować osoby, mapować ich rodziny, znajomości i sieci powiązań. Na jednym z filmów firma chwali się, że "kiedy FBI zaczęło używać [jej technologii], biuro odkryło, że dochodzenie, które kiedyś zajmowało dwa miesiące, teraz trwa od pięciu do piętnastu minut".

Na stronie ShadowDragon twierdził też, że "monitoruje protokoły komunikatorów internetowych (WhatsApp, Telegram itp.)". Nie jest jasne, jakiego rodzaju informacje może z nich pobierać, ani jak firma to robi. W przypadku Telegrama może chodzić o inwigilację m.in. publicznych grup i czatów.

ShadowDragon gromadzi też informacje archiwalne oraz takie, które użytkownicy (i platformy, z których korzystali) starali się usunąć. Na jednym z przykładów prezentowanych przez firmę jej system był w stanie znaleźć numer telefonu, który podejrzany zostawił, logując się dziesięć lat wcześniej na starym koncie Foursquare (aplikacji do wyświetlania m.in. barów i restauracji w pobliżu) w domu swojej matki. Śledczym przy pomocy ShadowDragona udało się go namierzyć następnego dnia.

W jednym z wywiadów prezes ShadowDragon stwierdził: - Chcę wiedzieć wszystko o podejrzanym, gdzie kupuje kawę, gdzie tankuje benzynę, czy płaci w terminie rachunki i kim są jego rodzice.

ShadowDragon figuruje jako partner na stronie DataWalk - i odwrotnie.

Pytam Komendę Główną Policji, czy funkcjonariusze w Polsce korzystają z danych pochodzących od ShadowDragona. I z jakich jeszcze źródeł i narzędzi zewnętrznych wpiętych w DataWalk korzystają (na przykład rozpoznawanie twarzy Oosto).

Biuro Komunikacji Społecznej odmawia odpowiedzi, powołując się na art. 20a Ustawy o Policji: "w związku z wykonywaniem zadań, Policja zapewnia ochronę form i metod realizacji zadań, informacji oraz własnych obiektów i danych identyfikujących policjantów".

Policja nie odpowiada też na pytanie, ilu funkcjonariuszy ma dostęp do platformy DataWalk.

W Polsce doświadczonej Pegasusem

- Tego typu systemy korzystają z danych, które często sami dostarczamy do internetu, na przykład publikując coś na Facebooku (jako posty publiczne), albo wręcz jedynie logując się do różnych sieci czy portali. Z perspektywy praw człowieka ogromnym wyzwaniem jest, że do tych systemów trafiają nie tylko dane osób podejrzanych, ale każdego i każdej z nas. Poniekąd więc wszyscy jesteśmy w nich podejrzani. Porządkując chaos, w jakim znajdują się cząstki informacji o nas, tego typu usługi wprowadzają jakościową zmianę. Funkcjonariusze na wyciągnięcie kilku kliknięć mają coś, co wcześniej wymagało żmudnej pracy analitycznej. Tym czymś jest cyfrowy profil każdego i każdej z nas - komentuje prawnik i aktywista Wojciech Klicki z fundacji Panoptykon.

Jego zdaniem w wielu sytuacjach takie narzędzia są przydatne, jednak skala zagrożeń, jaka z nich wynika, jest duża. - Przede wszystkim w Polsce doświadczonej wykorzystaniem Pegasusa do celów politycznych, przy rosnących możliwościach organów ścigania rodzi się pytanie o to, czy mamy pewność, że zostaną one wykorzystane wyłącznie w uzasadnionym celu. Biorąc pod uwagę brak realnej kontroli nad działaniem polskich służb i policji oraz dotychczasowe doświadczenia, nie mam do tego zaufania - dodaje.

- To bardzo medialne powiedzieć, że wszyscy są inwigilowani - mówią przedstawiciele DataWalk. - Jeśli przez kogoś jesteśmy inwigilowani, to bardziej przez Facebooka. Ale nie mamy w Europie takiej sytuacji, jak w Chinach gdzie kamery mają wbudowaną technologię rozpoznawania twarzy i śledzą wszystkich na ulicach. Tu mówimy tylko o sytuacji: ktoś zrobi coś złego i da się pozbierać dużo śladów, żeby dotrzeć do sprawcy - komentuje Kamil Góral.

- My tylko stawiamy latarnię, dzięki której nie jest już tak ciemno. Trudno pod nią kogoś napaść i obrabować - mówi Paweł Wieczyński, prezes DataWalk.

I dodaje: - Przestępczości przeciwdziała przede wszystkim nieuchronność kary. Jeżeli kryminaliści będą wiedzieli, że w dzisiejszym, coraz bardziej scyfryzowanym świecie prędzej czy później zostaną złapani, to dwa razy się zastanowią, zanim popełnią przestępstwo. Podobnie rosyjscy zbrodniarze z Ukrainy muszą mieć świadomość, że jeśli kiedyś przekroczą granicę albo wylądują na lotnisku, to nawet posługując się fałszywą tożsamością, mogą zostać zatrzymani i postawieni przed wymiarem sprawiedliwości.

Nowe technologie zmieniają śledztwa

Postęp technologiczny stale zmienia to, jak prowadzi się dochodzenia - i jednocześnie jest potencjalnym wyzwaniem (oraz zagrożeniem) dla prywatności zwykłych obywateli. Powstają na przykład programy, które mogą coraz lepiej usuwać zamazania naniesione na zdjęcia.

 - Kiedyś ich po prostu nie było, ale niedługo może się okazać, że fotografie uznawane za zanonimizowane wcale takie nie są - mówi Marcin Maj z Niebezpiecznika. - Niedawno opracowano też metodę analizy szumu na fotografiach, która pozwala ustalić, czy dwa zdjęcia w sieci zrobiono tym samym sprzętem, czy nie. To zmienia bardzo dużo dla prywatności, bo możemy dzisiaj myśleć, że jedną fotkę robimy prywatnie, a drugą służbowo. Ale analiza szumu wykryje, że są to dwa zdjęcia pochodzące z tego samego urządzenia. A zdjęć cyfrowych w sieci są miliardy. Wystarczy, że ktoś zrobi aplikację wykorzystującą tę technologię - dodaje.

MAGAZYN O ŚLADACH. ZOBACZ WSZYSTKIE ARTYKUŁY TEGO WYDANIA >>>