ORZELBIALY – tak się nazywa polski operator programu Pegasus, wykryty przez specjalistów z Citizen Lab przy uniwersytecie w Toronto. Na razie wszystkie ślady obecności „wirusa” w Polsce prowadzą do Centralnego Biura Antykorupcyjnego. Ale po co funkcjonariuszom tej służby aż tak potężne narzędzie?
Pegasus – większości z was ta łacińska nazwa mitologicznego skrzydlatego konia kojarzy się pewnie z 8-bitową polską konsolą do gier, która przebojem zdobyła serca nastolatków w latach 90. Tyle jeśli chodzi o pozytywne skojarzenia. Tak samo jednak nazywa się izraelskie oprogramowanie szpiegowskie, które zostało niedawno wykryte w Polsce przez Citizen Lab – kanadyjski zespół badający cyfrowe bezpieczeństwo na świecie, a konkretnie: zajmujący się monitorowaniem cyfrowego łamania praw człowieka. Można wręcz powiedzieć, że Pegasus to konik Kanadyjczyków, bo to oni zaczęli jako pierwsi śledzić adresy i szerokości geograficzne, pod którymi pojawiał się program. Z czasem doniesienia o kolejnych ofiarach zataczały coraz szersze kręgi. Wirusa zainstalowanego miał nie tylko Ahmed Mansoor, pochodzący z ZEA dysydent, który jako pierwszy nawiązał kontakt z Citizen Lab, ale też zamordowany w zeszłym roku w konsulacie saudyjskim w Stambule dziennikarz Dżamal Chaszukdżi czy legendarny szef kartelu narkotykowego, „El Chapo”.
czytaj także
Piszę o wirusie, choć googlując ten temat, raczej spotkacie się z nazwą „profesjonalne oprogramowanie szpiegowskie”. Problem polega na tym, że działanie Pegasusa niczym nie różni się od złośliwych programów, które mogliby zainstalować na waszych komputerach przestępcy (np. podczas pobierania przez was torrentów). Technicznie rzecz biorąc, to po prostu nowe wcielenie krążących po internecie „od zawsze” koni trojańskich – zresztą nazwa programu nieprzypadkowo odwołuje się do tego zwierzęcia. I choć jego twórcy chwalą się, że wystarczy znać numer telefonu ofiary, żeby zainfekować jej urządzenie, to prawda jest trochę bardziej skomplikowana. Na nasze szczęście.
Mit założycielski
Za stworzenie Pegasusa odpowiedzialna jest NSO Group, a więc firma hakerska, która, działając pod auspicjami izraelskiego rządu, jest w stanie funkcjonować jak normalna korporacja. Do jej założycieli należą Shalev Hulio i Omri Lavie. Panowie poznali się w liceum, gdzie podobno – tu oficjalna wersja wydarzeń – pasjonowali się sztuką i teatrem. Obowiązkowa służba wojskowa tak bardzo spodobała się Huliowi, że gdy tylko dostał wezwanie na II wojnę libańską (2006), porzucił sprzedawanie soli z Morza Martwego w USA i natychmiast wrócił do kraju. Pierwszy pomysł na wielki biznes narodził się niewiele później – Shalev i Omri stworzyli aplikację, która miała sprzedawać ciuchy, w które ubrani byli bohaterowie popularnych seriali, np. Seksu w wielkim mieście. Ten projekt rozbił się o kryzys finansowy 2008 roku, ale nieźle pokazuje zarówno łatwość w znajdowaniu inwestorów, jak i horyzont ich biznesowych ambicji.
Drugim pomysłem biznesowym była apka, która miała pomóc „cyfrowo wykluczonym” użytkownikom skonfigurować swoje iPhony. Generalnie jej działanie polegało na tym, że użytkownik oddawał operatorowi upoważnienia do sterowania swoim telefonem, a on np. podpinał do niego skrzynkę mailową. W oficjalnej wersji wydarzeń konstatacja, że ludzie sami chętnie oddają swoje dane w ręce firm internetowych, na czym z kolei można zarobić, miała się nie zrodzić w nieskalanych grzechem głowach właścicieli. Jak twierdził w jedynym udzielonym wywiadzie Shalev Hulio – przyczynkiem do rozmowy była śmierć Dżamala Chaszukdżiego – to jedna z europejskich agencji wywiadowczych zadzwoniła do niego, próbując namówić na współpracę. Zresztą oficjalna wersja obfituje w więcej nieprawdopodobnych zdarzeń: choćby anegdotę, według której CEO firmy miał zrekrutować swojego głównego informatyka prosto z ulicy, podsłuchując rozmowę w kawiarni.
czytaj także
Wiecznie dobra pragnąc, zło czyni
Jak było naprawdę, możemy się tylko domyślać. Prawdopodobnie trzon technologiczny NSO, a co za tym idzie Pegasusa, tworzyli informatycy, którzy odbyli wcześniej szkolenia w jednostce wojskowej 8200, będącej tajną komórką hakerską armii izraelskiej. Jest to o tyle prawdopodobne, że jednostka stworzyła wcześniej Stuxnet – jedno z najgroźniejszych złośliwych oprogramowań, zbudowane do kradzieży danych przemysłowych, wykorzystane do ataku na jedną z irańskich elektrowni atomowych.
Kontakty biznesowe miał dostarczyć NSO Awigdor Ben-Gal ps. Janusz, urodzony w Łodzi w 1936 roku generał wojsk lądowych, który po odejściu ze służby dobrze odnajdywał się na styku działalności wojskowej i biznesowej. Awigdor Ben-Gal wchodził w skład zarządu Israel Areospace Industry, potentata wśród producentów samolotów wojskowych. To dzięki niemu wśród kupców nowego oprogramowania pojawili się Meksykanie, Saudyjczycy czy proizraelski rząd Togo. Do dziś Citizen Lab zlokalizowało Pegasusa w 45 krajach – choć to nie oznacza, że wszystkie z nich kupiły oprogramowanie od NSO Group. Wystarczy, że ktoś z wgranym oprogramowaniem przebywał w innym kraju lub że posługiwał się siecią TOR (która zmienia lokalizację urządzenia).
Pierwszym kupcem był rząd Meksyku. I choć ten zapewniał, że do obsługi Pegasusa powoła zupełnie nowe ciało, do którego będą trafiać tylko nieskazitelnie czyści wojskowi, a sam program zostanie wykorzystany wyłącznie do walki z kartelami narkotykowymi, to wiemy, że tak nie było. Wprost przeciwnie, oprogramowanie znalazło się choćby na telefonach lekarzy: dr Simona Barquery, dyrektora ds. polityki żywieniowej w Meksykańskim Instytucie Zdrowia Publicznego, Luisa Manuela Encarnaciona, szefa fundacji walczącej z otyłością, a także Alejandra Calvillo – także zajmującego się problemem otyłości wśród meksykańskiej młodzieży. Czym zawiniła ta trójka? Wszyscy byli zwolennikami wprowadzenia tzw. soda tax, czyli podatku od słodzonych napojów gazowanych. Śledząc ten przypadek, warto zwrócić uwagę na dwie rzeczy. Po pierwsze, udowadnia on, że jeśli broń istnieje, to zostanie wykorzystana. Meksykański rząd nie potrzebował dużo czasu, żeby ostrze, które miało być wymierzone w handlarzy narkotyków, skierować w stronę sprawiających mu problemy aktywistów. Po drugie, możemy prześledzić, w jaki sposób zainfekowano telefony lekarzy. Na razie jedyny zidentyfikowany sposób to phising, a więc tzw. złe linki.
Łatwo byłoby teraz powiedzieć, że po prostu nie należy klikać w nic, co wygląda jak srogi bait, ale nie jest to takie proste. Polscy internauci nie są jednakowo wyczuleni na podejrzane strony. Czym innym będzie nachalna propozycja udziału w loterii lub dziwna wiadomość od niewidzianego od 20 lat znajomego – czym innym pop-upy wyskakujące podczas oglądania streamu z wydarzenia sportowego. Jedne wydadzą się nam tanią podpuchą, przez inne będziemy przeklikiwać jak oszalali, żeby obejrzeć mecz. Trudno powiedzieć, jaką strategię obiorą macherzy z CBA. Meksykańskie służby z jednej strony stawiały na dość popularne zagrywki, z drugiej zadawały sobie trud, żeby personalizować wiadomości. Dotyczyły one rzekomego wypadku córki, pogrzebu czyjegoś ojca (czyjego – nie wiadomo, numer nieznany), a także „dowodu” na zdradę, której miała się dopuścić żona jednego z aktywistów. Szczegóły każdej wiadomości miały się ujawnić po kliknięciu w link.
Ten oczywiście nie był tematycznie połączony z żadnym podanym w wiadomości wątkiem, a instalował Pegasusa. Przez prawie dziesięć lat działania NSO Group program zyskał opinię najlepszego oprogramowania do włamywania się na produkty firmy Apple, a więc te, które uchodziły za absolutnie odporne na hakerskie ataki (dość powiedzieć, że Apple nie sprzedaje programów antywirusowych, uznając, że jego system ich nie potrzebuje). Przez lata w Polsce iPhone’y czy macbooki były kupowane nie tylko ze względu na swoją niezawodność, ale także stanowiły wyznacznik statusu społecznego. Innymi słowy, Pegasus służy do hakowania danych wyższej klasy średniej i szeroko pojętej klasy kreatywnej. Do tego grona zaliczają się nie tylko politycy opozycji, ale też dziennikarze, aktywiści, artyści, a także grupy zawodowe, z którymi już wcześniej rząd Prawa i Sprawiedliwości miała na pieńku, jak sędziowie i lekarze. Posiadacze iPhone’ów powinni zapamiętać, że jakimś sposobem na podniesienie bezpieczeństwa swojego urządzenia jest aktualizowanie go do najnowszej wersji. Wygląda to trochę jak w przypadku komunikatorów używających szyfrowania end-to-end, czyli popularnych Signala czy Telegramu: oba zapiszą wiadomości wyłącznie na telefonach użytkowników, pod warunkiem że te będą zawierać najnowszą wersję oprogramowania. W przeciwnym razie może powstać luka.
czytaj także
Zainstalowany Pegasus zajmuje się skanowaniem danych telefonu jak szalony. Przegląda esemesy, wiadomości z komunikatorów, zdjęcia, zrzuty ekranów, dane audio i wideo, to, jakie klawisze przyciskamy (to ostatnie stanowi jeden z bardziej bezczelnych sposobów dekodowania haseł bezpieczeństwa). Program może też przejąć kontrolę i samodzielnie włączyć kamerę wraz z mikrofonem.
Ani NSO Group, ani korzystający z usług firmy polski rząd nie mają żadnego interesu w tym, żeby zostać złapanym na gorącym uczynku. Dlatego oprogramowanie potrafi się skutecznie ukryć (nie szukajcie pliku pegasus.zip, bo go nie ma), ale też w razie odkrycia… zniszczyć. Jeśli oprogramowanie stwierdzi – niestety nie wiemy, na jakiej podstawie – że szpiegowana osoba nie jest tą, o którą chodziło, to się po prostu wyinstaluje. Niszczy go także odcięcie od internetu – jeśli nie będzie mieć łączności z „bazą” przez dwa miesiące, uzna, że nie warto dłużej pozostawać na komputerze użytkownika.
A skąd właściwie wiemy, że CBA kupiło Pegasusa? Na ten trop wpadła najpierw Najwyższa Izba Kontroli, która znalazła dziwnie wyglądający, drogi zakup. Miał on być sfinansowany z Funduszu Sprawiedliwości, powołanego w 2017 roku przez Zbigniewa Ziobrę w celu wypłaty odszkodowań ofiarom przestępstw. Jako że zakup superprogramu szpiegowskiego nijak się w cele statutowe Funduszu nie wpisuje, urzędnicy NIK postanowili złożyć w tej sprawie zawiadomienie.
czytaj także
Pytani o Pegasusa politycy PiS, ani nie potwierdzają, ani nie zaprzeczają, że program znalazł się w rękach CBA. Premier Mateusz Morawiecki na środowej konferencji prasowej powiedział, że wszystko w tej sprawie będzie ogłoszone „w swoim czasie”. Z kolei w oświadczeniu CBA można przeczytać, że służba nie zakupiła „żadnego »systemu masowej inwigilacji Polaków«”, co trudno nazwać odpowiedzią na pytanie o zakup Pegasusa. Według ustaleń Citizen Lab polski operator programu został zarejestrowany jako „ORZELBIALY”.
Tak się rodzi dyktatura
Można by pomyśleć, że na razie cała powyższa opowieść przypomina któryś z odcinków Black Mirror. Mowa bowiem o świecie, w którym hakerzy zakładają poważne firmy (szacuje się, że wartość NSO Group przekroczyła miliard dolarów), a o ich usługi zabiegają kraje Trzeciego Świata, w tym także Polska, która chce mieć swojego profesjonalnego ORLABIALEGO do łapania szpiegów i przestępców.
czytaj także
Niestety, historia o chłopcach w maskach, którzy pod osłoną nocy wykradną dane przestępcom chcącym zrobić Polakom kuku, przestaje być zabawna, jeśli dołączymy do niej mały appendix. Stanowi go artykuł 168a Kodeksu karnego. Cytuję: „Dowodu nie można uznać za niedopuszczalny wyłącznie na tej podstawie, że został uzyskany z naruszeniem przepisów postępowania lub za pomocą czynu zabronionego, o którym mowa w art. 1 Warunki odpowiedzialności karnej § 1 Kodeksu karnego, chyba że dowód został uzyskany w związku z pełnieniem przez funkcjonariusza publicznego obowiązków służbowych w wyniku: zabójstwa, umyślnego spowodowania uszczerbku na zdrowiu lub pozbawienia wolności”.
Innymi słowy, jeśli funkcjonariusz CBA zrobi waszym telefonem zdjęcie, to może ono posłużyć w sądzie jako dowód przeciwko wam. Nie powinno dziwić, że przepis ten wszedł w życie wraz z nowelizacją w 2016 roku i choć – jak wskazywał Rzecznik Praw Obywatelskich Adam Bodnar, łamie on konstytucyjne prawo do sądu, prawo do prywatności, prawo do ochrony tajemnicy komunikowania się, a także zakaz tortur – nic w tej sprawie nie udało się zrobić.
Mariusz Kamiński szefem MSWiA. Służby specjalne mogą być wykorzystane przeciwko opozycji
czytaj także
Szefem MSW został właśnie Mariusz Kamiński. W międzyczasie prezes Kaczyński zdecydował się nie odwoływać ze stanowiska Zbigniewa Ziobry (mógł to zrobić, na dwa miesiące przed wyborami Ziobro nie miałby jak mu zaszkodzić). Dziś dowiadujemy się, że obaj – bo nie wierzę w to, że CBA dostało Pegasusa na wyłączność – dostają nową, bardzo niebezpieczną zabawkę. Nie trzeba już wynajmować kelnerów i montować podsłuchów, wystarczy sprytnie wstawiony link. Dowody można złapać w każdej sekundzie, odpowiedni sąd dobierze do nich kontekst, człowiek dostanie wyrok i będzie skompromitowany. Nieoficjalnie mówi się, że powrót Mariusza Kamińskiego do MSW nie wyczerpuje jego ambicji. Ich horyzont miałoby wyznaczać powołanie Ministerstwa Bezpieczeństwa Narodowego – znanego także jako bezpieka.
***
Jan Rojewski – poeta, dziennikarz. Autor tomu poetyckiego Ikonoklazm (2018), za który otrzymał nominację do Nagrody Poetyckiej Silesius oraz Nagrody Literackiej Gdynia. Publikował m.in. w „Gazecie Wyborczej”, „Rzeczpospolitej”, „Dzienniku Gazecie Prawnej”, „Onecie”, „Tygodniku Powszechnym”, „Miesięczniku Znak”. Stale współpracuje z „Polityką”. Obecnie pracuje nad książka reporterską.
