Za 25 mln zł CBA kupiło system inwigilacji Pegasus, ale nie chce przyznać czy go używa. „Nie kupiono go w celach testowych”

O możliwości wykorzystywania przez Centralne Biuro Antykorupcyjne oraz inne służby platformy o nazwie Pegasus doniosła w reportażu telewizyjnym stacja TVN24.

Z materiału wynika, że w trakcie kontroli w CBA Najwyższa Izba Kontroli natrafiła na fakturę opiewającą na kwotę 25 mln zł. Została ona przeznaczona na zakup systemu Pegasus, który służy do inwigilacji wybranych osób za pomocą smartfonów, z których korzystają. Z dodatkowych wyliczeń TVN24 wynika, że wraz z wdrożeniem wszystkie koszty Pegasusa mogły zamknąć się na poziomie 34 mln zł.

Politycy i przedstawiciele CBA nie chcieli odpowiadać na pytania autorów reportażu o to, czy Pegasus jest obecnie wykorzystywany przez polskie służby. Jednak eksperci z kanadyjskiej firmy zajmującej się cyberbezpieczeństwem potwierdzili, że są ślady użytkowania Pegasusa na terenie naszego kraju. Ponieważ oprogramowanie jest sprzedawane jedynie organom ścigania w poszczególnych krajach istnieje praktycznie pewność, że korzystają z niego służby w naszym kraju.

Pegasus może wszystko

Pegasus jest jednym z najbardziej zaawansowanych na świecie systemów elektronicznej inwigilacji. Jego atuty to szerokie możliwości śledzenia wybranej osoby oraz niewielka możliwość wykrycia tego narzędzia.

Pegasus dostaje się do smartfona konkretnego użytkownika pod postacią trojana, który infekuje telefon np. po kliknięciu przez użytkownika na podesłany link. Istnieją jednak przypuszczenia, że Pegasus jest w stanie zainstalować się w smartfonie także bez jakiegokolwiek działania ze strony właściciela sprzętu.

Po zainfekowaniu smartfona Pegasus uzyskuje dostęp do całej zawartości urządzenia. Może pobrać i przekazać na zewnątrz wszystkie dane zgromadzone w smartfonie, łącznie z nagraniami, pocztą elektroniczną czy treścią rozmów prowadzonych w komunikatorach.

Dodatkowo Pegasus jest w stanie przejąć kontrolę nad wbudowanym w smartfon głośnikiem oraz kamerą, co z kolei pozwala na bieżąco podsłuchiwać rozmowy wybranej osoby oraz śledzić obraz z jego najbliższego otoczenia.

Jedną z największych zalet Pegasusa z punktu wykorzystujących go służb jest fakt, że platforma jest bardzo trudna do wykrycia. Przy jakiejkolwiek próbie namierzenia tego narzędzia w smartfonie ofiary Pegasus znika z urządzenia i zaciera po sobie wszystkie elektroniczne ślady.

Korzystanie z Pegasusa to pewnik

CBA nie zdecydowało się odpowiedzieć na pytania w sprawie Pegasusa zadane przez Wirtualnemedia.pl. Pytaliśmy m.in. o to, czy platforma jest obecnie wykorzystywana przez biuro, a jeśli tak to w jakich celach. Instytucja wyjaśniła jednak odmowę ustami ustami swojego rzecznika.

- W odpowiedzi na pytania informuję, że zgodnie z art. 24 ustawy o CBA ,,W związku z wykonywaniem swoich zadań CBA zapewnia ochronę środków, form i metod realizacji zadań, zgromadzonych informacji oraz własnych obiektów i danych identyfikujących funkcjonariuszy CBA”. W związku z powyższym nie zabieram stanowiska wobec zadanych pytań – wytłumaczył w przesłanym do nas komunikacie Temistokles Brodowski, rzecznik CBA.

Z kolei w rozmowie z Wirtualnemedia.pl Wojciech Pilszak, ekspert w dziedzinie informatyki śledczej z zespołu e-Detektywi nie ma wątpliwości ani co do tego, że CBA korzysta z Pegasusa, ani też w sprawie wątpliwości prawnych z tym związanych.

- Odnośnie zakupu przez CBA systemu Pegasus nie chcielibyśmy wypowiadać się na temat transakcji, których nie jesteśmy w stanie potwierdzić - biorąc jednak pod uwagę doniesienia medialne na ten temat można to uznać za bardzo prawdopodobne – przyznaje Wojciech Pilszak. - Zakup tego rodzaju platformy technologicznej „wyłącznie na potrzeby testowe" byłby absurdalny, a zatem można przyjąć za pewnik, że jeśli rozwiązanie pozostaje w dyspozycji którejkolwiek ze służb, to jest ono wykorzystywane. Odrębną kwestią pozostaje pytanie, czy w obowiązującym w Polsce systemie prawnym takie rozwiązanie może być legalnie wykorzystywane. W naszej ocenie nasz system prawny nie dopuszcza stosowania tego rodzaju rozwiązań, a wszelka wykładnia rozszerzająca jest tutaj niedopuszczalna. Jednak w tej kwestii wypowiedzieć się powinni raczej prawnicy specjalizujący się w prawie karnym.

Zdaniem eksperta bardzo ogólnie rzecz ujmując platforma Pegasus pozwala na przejęcie całkowitej kontroli nad smartfonem, przez co możliwe jest gromadzenie informacji zarówno z urządzenia jak i jego otoczenia. Pilszak zaznacza też, że Pegasus jest przeznaczony do inwigilacji jedynie ściśle wybranych użytkowników, a nie przeciętnych obywateli.

- W kategoriach fikcji należy traktować stwierdzenie, że „przeciętny Kowalski" jest potencjalnym celem instytucji, które stać na zakup tak zaawansowanej technologii – ocenia Pilszak. - Oczywiście w wersji najbardziej drastycznej, aby chronić się przed inwigilacją przy wykorzystaniu takiego rodzaju rozwiązania należy na stałe pozbyć się telefonu. Proszę jednak zauważyć, iż platforma ta ukierunkowana jest na pozyskiwanie informacji ze smartfonów, a nie z urządzeń starszego typu. Stąd wykorzystanie starszych rozwiązań mogłoby być pewnego rodzaju zabezpieczeniem. Jednak najbardziej racjonalnym wydaje się być uświadomienie „przeciętnemu Kowalskiemu" pewnych zdroworozsądkowych reguł, np. że nie jest on na stałe związany z telefonem, i czasem lepiej zostawić urządzenie w domu, niż wszędzie je ze sobą zabierać.

Pegasus jest jak nóż, problemem system kontroli

Piotr Konieczny, chief information security officer w Niebezpiecznik.pl w rozmowie z nami zaznacza, że sprawa Pegasusa nie jest nowa. Informacje na temat jego wykorzystywania przez służby pojawiły się już 2 lata temu. Wówczas ślady tego oprogramowania wykryto także w smartfonach używanych w Polsce. Z kolei samo CBA przed zakupem Pegasusa inwestowało już wcześniej w podobne narzędzia. W 2012 r. biuro zakupiło za ok. milion zł oprogramowanie szpiegujące od włoskiej firmy Hacking Team.

- CBA konsekwentnie realizuje zdobywanie zdolności w obszarze tzw. „lawful hackingu", widać że na przestrzeni lat (i różnych „zwierzchników") testowano różne tego typu rozwiązania – zaznacza Piotr Konieczny. - Każda służba powinna i mam nadzieję, że każda to robi. Problem w tym, że tego typu narzędzia są jak nóż. Przydatne, legalne i niebudzące niepokoju w pewnych zastosowaniach (posmarowanie chleba pasztetem), ale niepokojące i naruszające prawo w innych (kilkunastokrotne ugodzenie kogoś w brzuch). Większość z nas raczej nie sprzeciwi się, kiedy służby za pomocą takiego narzędzia będą walczyły z grupami terrorystycznymi lub porywaczami dzieci, ale mało kto będzie się czuł komfortowo wiedząc, że oficer po godzinach swojej pracy (lub co gorsza w jej trakcie) może tym samym narzędziem inwigilować żonę swojego kolegi, którą ten podejrzewa o zdradę.

Według naszego rozmówcy niezbędna jest tu transparentność działań służb i ścisła kontrola. Problem w tym, że w Polsce prawo dopiero zaczyna regulować to, jak  tego typu narzędzi korzystać, ale nie jest to łatwe, bo m.in. ciężko jest przewidzieć „zakres" danych, jakie za pomocą całkowitego przejęcia kontroli nad czyimś urządzeniem się uzyska.

- Czasem też samo „uzyskanie dostępu" do czyjegoś urządzenia wymaga złamania prawa – przyznaje Konieczny. - Brakuje nam też instytucji, które w sposób nie budzący zastrzeżeń kontrolowałby kontrolujących i wychwytywały „nadużycia". Nie jest to łatwe, bo część z operacji agencji rządowych powinna być z założenia tajna - a to trochę stoi w sprzeczności z naturą „kontroli", która polega m.in. na transparentności działań – zaznacza ekspert.