Wszystko, co wiemy o Pegasusie

Z informacji tvn24.pl, potwierdzonych w niezależnych od siebie źródłach, wynika, że system Pegasus umożliwia zdalne przejęcie kontroli nad telefonem i następnie:

- reset urządzenia; - odinstalowywanie aplikacji; - debugowanie; - rejestrację i wstrzymanie rejestracji otoczenia; - rozpoczęcie i zatrzymanie nagrywania ekranu; - zrobienie zrzutu ekranu; - zrobienie zdjęcia przednią i tylną kamerą; - nagrywanie oraz wstrzymanie nagrywania przednią i tylną kamerą; - rozpoczęcie oraz wstrzymanie transmisji na żywo.

Oprócz tych funkcji Pegasus umożliwia śledzenie właściciela poprzez wbudowany w telefonie GPS, wgląd w kontakty, zapisane zdjęcia i filmy, a także czaty i rozmowy prowadzone poprzez popularne komunikatory szyfrujące treść rozmów.

Jednak nie tylko przejęcie zdalnej kontroli nad telefonem stanowi o "rewolucyjności" tego oprogramowania. Według naszych rozmówców ze świata służb specjalnych jego unikalność polega na tym, że z procesu "podsłuchiwania" eliminowani są operatorzy telekomunikacyjni.

- W przypadku wniosku do sądu o klasyczny podsłuch rozmów telefonicznych często konieczne jest następnie zwrócenie się do operatorów telekomunikacyjnych, by fizycznie włączyli podsłuch. Pegasus eliminuje to ogniwo. To pokusa do nielegalnego używania Pegasusa - ocenia jedno z naszych źródeł.

CZYM JEST PEGASUS? ZOBACZ MATERIAŁY REPORTERÓW MAGAZYNU "CZARNO NA BIAŁYM"

W Polsce system Pegasus kupiło Centralne Biuro Antykorupcyjne jeszcze w 2018 roku i jako jedyna formacja jest dotąd jego użytkownikiem. Kulisy tej transakcji, sfinansowanej głównie ze środków z Funduszu Sprawiedliwości, ujawniliśmy w tvn24.pl we wrześniu 2018 roku.

W ocenie Najwyższej Izby Kontroli przyjmując dotację z Funduszu Sprawiedliwości, ówczesny Szef CBA Ernest Bejda (aktualnie członek zarządu PZU SA) złamał prawo. Artykuł 4 punkt 1 ustawy o służbie antykorupcyjnej brzmi bowiem: "Działalność CBA jest finansowana z budżetu państwa", tymczasem środki z Funduszu Sprawiedliwości nie wchodzą w skład budżetu państwa.

Postępowanie o złamanie dyscypliny finansów publicznych przez Ernesta Bejdę trwało kolejne dwa lata - aż do 14 września 2020 roku. Wtedy wiceminister finansów Piotr Patkowski, główny rzecznik dyscypliny finansów publicznych, zakończył postępowanie.

"Oceniając szkodliwość dla finansów publicznych zarzucanego CBA czynu wzięto pod uwagę, że w 2017 roku przepisy prawa mogły być niejednoznacznie interpretowane. Dlatego postępowanie zakończyło się odmową wszczęcia postępowania wyjaśniającego. Odmowa nastąpiła z uwagi na znikomą szkodliwość dla finansów publicznych, a nie stwierdzenie, że nie doszło do naruszenia przepisów" - taką informację przekazało nam biuro prasowe resortu finansów, pytane o finał postępowania w sprawie Ernesta Bejdy.

Według naszych rozmówców ze służb, Pegasus jest uruchamiany zdalnie, do zainfekowania telefonu nie jest potrzebna żadna reakcja właściciela, nie musi on klikać w żaden przesłany mu link czy choćby odczytywać przesyłaną mu wiadomość.

W oficjalnej wypowiedzi dla PAP rzecznik ministra koordynatora służb specjalnych Stanisław Żaryn nie zaprzeczył, że CBA użytkuje ten system. Skupił się jedynie na prawnych kwestiach.

- W Polsce kontrola operacyjna może być prowadzona po uzyskaniu zgody Prokuratura Generalnego i po wydaniu stosownego postanowienia przez sąd - powiedział Żaryn. Dodał, że "te procedury są dochowywane i polskie służby działają zgodnie z prawem". Odmówił jednak zajęcia stanowiska w kwestii tego, jakie konkretne metody operacyjne bądź narzędzia do ich stosowania są wykorzystywane w Polsce.

Rzeczywiście prawo pozwala w Polsce służbom specjalnym (ABW, SKW, CBA) i mundurowym na stosowanie różnych form kontroli operacyjnej: podsłuchu telefonicznego, kontroli korespondencji internetowej, podglądu i podsłuchu pomieszczeń.

To możliwe nawet wtedy, gdy nie toczy się żadne śledztwo w prokuraturze, a funkcjonariusze dopiero rozpracowują działalność przestępczą.

Ustawa nakłada jednak obowiązek na szefa danej służby, by za pośrednictwem prokuratury za każdym razem kierował wniosek do sądu o zgodę na rozpoczęcie kontroli. Sam wniosek powinien zawierać pogłębione uzasadnienie, wskazujące m.in., że do przestępstwa doszło lub dochodzi oraz że inne metody pracy śledczych nie przyniosły efektów.

- W naszych wnioskach po prostu nie ujawniamy sądowi, że będziemy używać Pegasusa - mówią nam zgodnie byli i aktualni funkcjonariusze Centralnego Biura Antykorupcyjnego.

To o tyle istotne, że w ocenie wielu ekspertów zgodnie z prawem nie można w Polsce używać systemu o tak potężnych możliwościach jak Pegasus.

- Kontrola operacyjna i kontrola procesowa (zarządzana przez prokuratora, na potrzeby trwającego już śledztwa - red.), na którą zezwala sąd jest dokonywana przez operatora, który dysponuje danymi naszych telefonów. Operatorzy jako tacy dysponują konkretnymi urządzeniami, konkretnymi możliwościami udostępniania zawartości naszych telefonów, stron internetowych czy też wszystkich innych środków przekazu. Sądowi te wszystkie okoliczności są znane i we wniosku [do sądu - red.] powinno być wskazane, który operator, przy pomocy jakich narzędzi będzie dokonywał tej kontroli - tłumaczyła sędzia Beata Morawiec, prezes Stowarzyszenia Sędziów "Themis", która we wtorek była gościem w "Faktach po Faktach" TVN24.

Sędzia Morawiec wskazała, że sąd "nie może wydać zgody na kontrolę operacyjną Pegasusem". - Pegasus jest wyjątkowym systemem, który ma być wykorzystywany zgodnie z licencją, ze swoim przeznaczeniem, tylko w wyjątkowych sytuacjach - podkreśliła. Dodała, że "w normalnym postępowaniu procesowym, operacyjnym, takie zezwolenia [na użycie tego oprogramowania - red.] są niemożliwe, a używane w ten sposób dowody nie mogą stanowić dowodu przed sądem".

Dopytywana, czy to oznacza, że nie można legalnie użyć Pegasusa, odparła, iż "naszym zdaniem nie można".

Podobnego zdania jest Paweł Wojtunik. - Materiałów zdobytych za pośrednictwem Pegasusa nie będzie można użyć przed sądem, podczas ewentualnego procesu. Zatem w jakim celu są one gromadzone, przetwarzane? - pyta.

Jednak CBA w 2014 roku, czyli w czasie, w którym kierował nim Wojtunik, kupiło za 250 tysięcy euro dość podobnie działające oprogramowanie szpiegowskie. Opinia publiczna dowiedziała się o sprawie, gdy hakerzy włamali się do włoskiego twórcy tego trojana, firmy Hacking Team. Wypłynęła wtedy lista klientów, na której widniało właśnie polskie CBA.

Według naszych informacji trojana zastosowano wtedy co najwyżej dwa razy, ostatecznie go porzucając. Decyzja taka zapadła po konsultacjach z prokuratorami i sędziami, którzy ocenili, że oprogramowanie zbyt głęboko ingeruje w komputery - dając CBA pełen dostęp, włącznie z możliwością instalowania aplikacji bądź umieszczania plików. Uznano, że polskie prawo (które od tamtej pory nie zmieniło się) nie zezwala na taką formę inwigilacji.

Na kolejny problem związany z używaniem w Polsce Pegasusa zwracał uwagę były szef Agencji Bezpieczeństwa Wewnętrznego, a następnie twórca Narodowego Centrum Kryptologii generał Krzysztof Bondaryk. Oceniał, że polskie służby nie były w stanie zapewnić integralności systemu - czyli tego, że nie przekazuje on danych również do swojego producenta, izraelskiej firmy NSO.

- Właśnie dlatego systemu nie chciała kupić Agencja Bezpieczeństwa Wewnętrznego, największa polska służba specjalna o najszerszym spektrum zwalczanych zagadnień: od przestępczości ekonomicznej przez terroryzm po szpiegostwo - słyszymy od rozmówcy ze służb specjalnych.

Wiadomo, że CBA nie kupowało Pegasusa bezpośrednio od izraelskiego NSO. Pośrednikiem była warszawska firma informatyczna, specjalizująca się właśnie w cyberbezpieczeństwie.

Jej rola ograniczyła się do spolszczenia interfejsu, przeprowadzenia szkoleń dla funkcjonariuszy CBA i aktualizację aplikacji.