Od kilku tygodni trwają prace komisji śledczej do spraw Pegasusa, która ma ustalić "krąg osób odpowiedzialnych, pokrzywdzonych i atakowanych" w czasach rządów Zjednoczonej Prawicy. 4 marca "Superwizjer" TVN i "Gazeta Wyborcza" informowały z kolei o stosowaniu w Prokuraturze Krajowej za czasów Zbigniewa Ziobry systemu Hermes. Czym on jest? Co odróżnia go od Pegasusa? Skąd pochodzi i co jest "najbardziej problematyczną kwestią" związaną z jego użyciem? Wyjaśnia dr Adam Behan, pracownik Katedry Prawa Karnego Uniwersytetu Jagiellońskiego w Krakowie, ekspert z zakresu cyberbezpieczeństwa.
19 lutego rozpoczęła pracę komisja śledcza do spraw Pegasusa. Jak zapowiedziała jej przewodnicząca Magdalena Sroka (PSL-TD), komisja "ustali krąg osób odpowiedzialnych, pokrzywdzonych i atakowanych systemem Pegasus" w czasach rządów Zjednoczonej Prawicy, żeby "pokazać mechanizm działania władzy marzącej o władzy absolutnej". - Władzy, która przy użyciu tego systemu łamała zasady demokracji, łamała polityków, podsłuchiwała adwokatów, dziennikarzy i zwykłych ludzi - mówiła posłanka Sroka.
Dwa tygodnie później, 4 marca, "Superwizjer" TVN i "Gazeta Wyborcza" informowały z kolei, że w Prokuraturze Krajowej za czasów Zbigniewa Ziobry funkcjonowały "mocno zaawansowane narzędzia analityczne", co potwierdził pełniący obowiązki prokuratora krajowego Jacek Bilewicz. Jak wynika z informacji "Superwizjera", chodzi o system Hermes, używany jako narzędzie analizy kryminalnej w Departamencie Przestępczości Gospodarczej, gdzie prowadzone były ważne dla ekipy Zbigniewa Ziobry śledztwa. W najbliższych dniach ma zapaść decyzja o prokuratorskim śledztwie w sprawie wykorzystywania tego narzędzia.
W mediach system Hermes bywał określany mianem "bardziej zaawansowanego Pegasusa" czy "Pegasusa bis". Czy tak jest w rzeczywistości? Jakie są funkcjonalności tego oprogramowania? Skąd ono pochodzi? Czym się różni od Pegasusa? Tłumaczy dr Adam Behan, pracownik Katedry Prawa Karnego UJ, specjalista ds. cyberbezpieczństwa.
Skąd pochodzą Pegasus i Hermes? W jakim celu powstały
Twórcą Pegasusa jest NSO Group, firma założona przez byłych członków elitarnej jednostki 8200 izraelskiego korpusu wywiadowczego, odpowiedzialnej za zbieranie danych wywiadowczych. - Oprogramowanie to powstało około 2011 roku. Pierwotnie zostało zaprojektowane do szeroko rozumianej walki z terroryzmem. W późniejszym czasie było wykorzystywane także do zwalczania najpoważniejszej przestępczości - wskazuje w rozmowie z tvn24.pl dr Adam Behan. Swojej skuteczności Pegasus dowiódł m.in. podczas zatrzymania przez meksykańskie władze Joaquína Guzmána, barona narkotykowego znanego jako "El Chapo". Pomógł też europejskim śledczym w zlikwidowaniu międzynarodowej siatki pedofilów, działającej w ponad 40 krajach.
- Jeśli zaś chodzi o Hermesa, nie mamy pewności co do tego, kto jest jego autorem - stwierdza dr Behan. - Istnieją pogłoski, jakoby wywodził się on z Izraela, jednak dotąd nie zostały one potwierdzone żadnym oficjalnym dokumentem - dodaje. Mówiąc o tym, do czego zaprojektowany został Hermes, ekspert podkreśla, że i na ten temat informacje są ograniczone. Ostatnie oświadczenia Prokuratury Krajowej wskazują jednak, iż jego celem jest usprawnienie i zautomatyzowanie procesu gromadzenia oraz analizowania publicznie dostępnych danych na temat osób, firm czy innych podmiotów, czyli innymi słowy prowadzenie tzw. białego wywiadu (ang. open-source intelligence, OSINT).
Jak działa Pegasus, a jak Hermes
Pegasus to system typu spyware, którego zadaniem jest "włamać się" na czyjeś urządzenie mobilne i uzyskać na nim prawa administratora. Takie uprawnienia systemowe pozwalają tym samym na pełną inwigilację przejętego urządzenia i jego użytkowników.
Co można zrobić na urządzeniu, do którego włamało się z jego pomocą? - Wszystko - stwierdza krótko dr Adam Behan. - Nie ma najmniejszego problemu, żeby wówczas pobierać i przeglądać dane, wykonywać połączenia, włączać kamerę czy mikrofon. Możliwe jest wszystko, na co pozwala producent systemu operacyjnego, a nawet więcej - kontynuuje.
Czym jest to "więcej"? - Zobrazuję to na przykładzie aparatu w telefonie komórkowym. Jeśli po jego włączeniu użytkownik może zrobić zdjęcie tylko z opóźnieniem 3, 5 lub 15 sekund, to wykonanie zdjęcia z opóźnieniem sekund siedmiu jest niemożliwe nie ze względu na to, że system operacyjny czy aparat nie jest w stanie zrobić zdjęcia z opóźnieniem siedmiu sekund, ale dlatego, że producent systemu czy nakładki nie zapewnił takiej możliwości. Jeśli jednak, tak jak w przypadku Pegasusa, ma się dostęp administracyjny do systemu operacyjnego, to można wydać każdą komendę. Można więc nakazać zrobienie zdjęcia przykładowo co 49 sekund i zlecić ich późniejsze przesłanie na wskazany serwer oraz usunięcie ich z telefonu w taki sposób, by użytkownik nigdy nie zorientował się, że zostały zrobione - tłumaczy. Jak konkluduje, "możliwości są nieograniczone".
Informacje przekazane dotąd przez Prokuraturę Krajową wskazują, że Hermes jest systemem o zupełnie odmiennym działaniu. W oświadczeniach PK stwierdzono bowiem, iż jest on oprogramowaniem typu OSINT (Open Source Intelligence), czyli oprogramowaniem służącym do przeprowadzania tzw. białego czy inaczej etycznego wywiadu - tłumaczy dr Adam Behan. Narzędzia tego typu służą do zbierania informacji oraz ich przedstawiania w formie graficznej lub tabelarycznej, ukazującej powiązania czy punkty styczne istniejące między podmiotami, które analizujemy. To z kolei znacząco ułatwia późniejszą analizę danych, której dokonują już osoby obsługujące takie narzędzia.
Skąd pochodzą gromadzone przez systemy typu OSINT informacje? - Zbierają one dane z powszechnie dostępnych źródeł. Mowa więc o danych umieszczonych na rozmaitych stronach internetowych, także tych znajdujących się dark webie, forach czy mediach społecznościowych. Można do nich również wgrywać informacje z baz danych, rozszerzając zakres analizowanych danych o na przykład publiczne rejestry, a w przypadku programu działającego w prokuraturze najpewniej także o rejestry niepubliczne - opisuje dr Behan. Jak podkreśla, "jeśli Hermes jest rzeczywiście systemem typu OSINT, nie można mówić w jego przypadku o jakimkolwiek włamywaniu się, przełamywaniu zabezpieczeń czy wykradaniu wiadomości z szyfrowanych komunikatorów typu WhatsApp".
- Podobną analizę do tej, jaką prowadzi się z użyciem narzędzi OSINT-owych, można przeprowadzić też z przeglądarką internetową, kartką papieru i długopisem, tyle że zajmie to zdecydowanie więcej czasu. Korzystanie z oprogramowania tego rodzaju jest obecnie powszechne. Używają go nie tylko służby, ale i firmy czy inne większe podmioty gospodarcze. Przedsiębiorstwa wykorzystują je przykładowo do badania swoich kontrahentów czy kandydatów na pracowników - stwierdza rozmówca tvn24.pl. Podkreśla jednak, że ze względu na ograniczoną ilość informacji na temat Hermesa nie można z całą pewnością stwierdzić, że jest to oprogramowanie posiadające wyłącznie funkcjonalności systemu typu OSINT.
Kogo szpiegowano Pegasusem?
19 lutego sejmowa komisja śledcza ds. Pegasusa podała listę osób, które były lub mogły być ofiarami Pegasusa lub innego oprogramowania stosowanego przez służby do inwigilacji. Poza Krzysztofem Brejzą, Romanem Giertychem, Ewą Wrzosek i Michałem Kołodziejczakiem - w przypadku których użycie Pegasusa potwierdziły już wcześniej organizacje Citizen Lab, Amnesty International lub inne podmioty - znaleźli się na niej: Adam Hofman, Dawid Jackiewicz, Mariusz Antoni Kamiński, Sławomir Nowak, Grzegorz Napieralski, Paweł Tamborski, Rafał Baniak, Jakub Banaś, Ryszard Brejza, Magdalena Łośko, Jacek Karnowski, Andrzej Malinowski, Andrzej Długosz, Tomasz Szwajgiert, Waldemar Skrzypczak oraz Katarzyna Kaczmarek. Zgodnie z doniesieniami RMF FM podsłuchiwany Pegasusem miał być także były premier Mateusz Morawiecki.
Co do Hermesa nie podano, wobec kogo konkretnie mógł on być używany. Informacji na ten temat mogą jednak dostarczyć "czynności procesowe zmierzające do weryfikacji zasadności zakupu i sposobu wykorzystywania" wszczęte przez Prokuraturę Krajową 4 marca.
Koszt zakupu systemów Pegasus i Hermes
Jak wykazała przed dwoma laty Najwyższa Izba Kontroli, Centralne Biuro Antykorupcyjne sfinansowało zakup Pegasusa dzięki środkom pozyskanym od Ministerstwa Sprawiedliwości z Funduszu Sprawiedliwości. Koszt zakupu oprogramowania wyniósł 25 milionów złotych. Kolejne 8,4 miliona złotych CBA przeznaczyło na testy jego funkcjonalności i szkolenia związane z jego wykorzystaniem. Łącznie mowa więc o kwocie 33,4 miliona złotych. Nie wiadomo, ile przeznaczono na dalszą obsługę oprogramowania czy też jego aktualizacje.
Na zakup Hermesa, zgodnie z ustaleniami "Gazety Wyborczej", wydano 15 milionów złotych. Nie są znane koszty jego późniejszej eksploatacji. Z ustaleń "Superwizjera" TVN wynika jednak, że za samą obsługę systemu zatrudnione do tego osoby miały otrzymywać wynagrodzenia w wysokości nawet do tysiąca złotych za godzinę. Wskazują na to zawierane z nimi umowy zlecenia.
"Najbardziej problematyczna kwestia"
Rozmawiając z tvn24.pl, dr Adam Behan zwraca uwagę na jedną, w jego ocenie, "najbardziej problematyczną kwestię" związaną z użyciem systemów Pegasus i Hermes przez polskie służby. - Problemem tym jest fakt, iż nie wiemy, czy oprogramowania te uzyskały stosowne akredytacje bezpieczeństwa teleinformatycznego, które przyznać winna Agencja Bezpieczeństwa Wewnętrznego lub Służba Kontrwywiadu Wojskowego - stwierdza Adam Behan. Dlaczego jest to istotne? - Użycie systemów informatycznych, które nie zostały zweryfikowane pod kątem podstawowych wymagań bezpieczeństwa teleinformatycznego, związanego z ochroną informacji niejawnych, może bowiem prowadzić do udostępniania danych przetwarzanych przez te programy ich producentom. Umieszczanie przez producentów tak zwanych backdoorów, czyli celowo pozostawianych luk w zabezpieczeniach, zapewniających im dostęp do danych wprowadzanych do systemu, nie jest bowiem rzadką praktyką - tłumaczy ekspert. Jak zatem takie udostępnianie miałoby działać?
- Weźmy za przykład model działania Pegasusa i bardzo uprośćmy wyjaśnienie tego schematu. Wyobraźmy sobie, że centrala CBA, gdzie znajduje się polska instalacja systemu Pegasus, jest w Warszawie, a służba ta podsłuchuje Pegasusem osobę ze Szczecina. Zebrane przez CBA dane nie będą w tym przypadku szły "bezpośrednio" ze Szczecina do Warszawy, ale przejdą przez całą sieć tzw. serwerów pośredniczących proxy ustawionych przez producenta oprogramowania, w tym wypadku przez izraelskie NSO Group. Zanim więc dane trafią do komputerów CBA w Warszawie, przejdą przez komputery, którymi najpewniej zarządza wywiad obcego państwa. Ten z kolei jest w stanie je wówczas przeczytać, usunąć czy zmodyfikować przed przesłaniem do Warszawy. To jest niezwykle niebezpieczne dla państwa polskiego, bo daje bezcenne informacje wywiadowi innego państwa, które w przyszłości mogą być przez niego wykorzystywane - wyjaśnia Behan. Jak dodaje, analogiczne obawy występują odnośnie Hermesa, z tą tylko różnicą, że w jego przypadku nie wiadomo nawet, kto jest twórcą oprogramowania.
Źródło: TVN24.pl