Pegasus to wierzchołek góry lodowej. Jak nas obserwują?

Cyberprzestępcy są dziś najgroźniejszą bronią reżimów, a cyberszpiedzy najbardziej efektywną grupą pozyskującą informacje
Adobe Stock

System Pegasus to wierzchołek góry lodowej. Aktywność rządów w sieci systematycznie rośnie. Czy powinniśmy się bać?

Ponaddwukrotnie wzrosła liczba przeprowadzanych przez służby państwowe akcji pozyskiwania informacji bez wiedzy użytkowników w 2018 r. w porównaniu z 2017 r. – wynika z raportu Verizon Data Breach Investigations. Inwigilacja w sieci jest już normą. Chyba każdy słyszał o programie Echelon, używanym przez amerykańską Agencję Bezpieczeństwa Narodowego. Dyskusja o inwigilacji odżyła po wykryciu użycia w Polsce sytemu Pegasus – narzędzia służącego do elektronicznego szpiegowania. Centralne Biuro Antykorupcyjne, zapytane przez nas, czy dysponuje tym systemem, odpowiada wymijająco.

CZYTAJ TAKŻE: Rządy mają dość. Coraz brutalniejsza kontrola internetu

„Kontrola operacyjna jest prowadzona w uzasadnionych i opisanych prawem przypadkach, po uzyskaniu zgody Prokuratora Generalnego i wydaniu postanowienia przez sąd” – czytamy w przesłanej odpowiedzi.

Inwigilacja czy nie

Co ciekawe, Centralne Biuro Antykorupcyjne dużo wcześniej, bo już w 2012 r., inwestowało w podobne narzędzia. Wtedy jednak sprawa przeszła praktycznie bez echa.

– CBA konsekwentnie realizuje zdobywanie zdolności w obszarze tzw. lawful hackingu, widać, że na przestrzeni lat (i różnych „zwierzchników”) testowano różne tego typu rozwiązania. Każda służba w Polsce powinna i mam nadzieję, że każda to robi – komentuje Piotr Konieczny, szef zespołu bezpieczeństwa niebezpiecznik.pl, firmy zajmującej się włamywaniem na serwery innych firm za ich zgodą, w celu namierzenia błędów w ich infrastrukturze, zanim zrobią to prawdziwi włamywacze. Konieczny dodaje, że niektóre z naszych agencji decydują się na gotowe rozwiązania autorstwa firm trzecich, jak Pegasus, a inne skupują informacje o błędach, a następnie „uzbrajają” te błędy do swoich operacji.

CZYTAJ TAKŻE: Hakerzy złamali WhatsAppa. Który rząd za tym stoi?

– Ze względu na koszty i trud związany z pozyskaniem tego typu narzędzi nikt przy zdrowych zmysłach nie marnuje ich na przeciętnego Kowalskiego – uspokaja Konieczny. Eksperci zgodnie podkreślają, że opisywanie Pegasusa jako systemu do inwigilacji obywateli nie jest trafne.

Pegasus nie wymaga współpracy z operatorem telekomunikacyjnym. Punktowo infekuje konkretny telefon komórkowy, podobnie jak oprogramowanie złośliwe

– Najprawdopodobniej umożliwia on jednoczesne podsłuchiwanie maksymalnie kilkudziesięciu osób i nie mamy żadnych dowodów, by sądzić, że na tej liście znajduje się ktoś inny niż osoby aktualnie podejrzane o przestępstwa korupcyjne na dużą skalę – uspokaja Adam Haertle, ekspert ds. bezpieczeństwa informatycznego.

Pegasus nie wymaga współpracy z operatorem telekomunikacyjnym. Punktowo infekuje konkretny telefon komórkowy, podobnie jak oprogramowanie złośliwe.

CZYTAJ TAKŻE: Komunikatory to złudne poczucie bezpieczeństwa

– Dodatkowo jest produktem komercyjnym, a więc każda jego dodatkowa funkcjonalność i zasięg może istotnie wpływać na koszty rozwiązania. Te cechy wyłączają raczej masowość zastosowania – podkreśla Marcin Ludwiszewski, szef zespołu ds. cyberbezpieczeństwa w Deloitte w Polsce.

Koncepcja tzw. government trojans powstała wiele lat temu. Są one opracowywane i stosowane przez służby w innych krajach od lat. – W tej chwili mamy wersje mobilne takich rozwiązań – podkreśla Ludwiszewski.

Potrzebny złoty środek

Narzędzia tego typu budzą kontrowersje. – Są jak nóż. Przydatne, legalne i niebudzące niepokoju w pewnych zastosowaniach (posmarowanie chleba pasztetem), ale niepokojące i naruszające prawo w innych (kilkunastokrotne ugodzenie kogoś w brzuch) – mówi Konieczny. Dodaje, że większość z nas raczej nie sprzeciwi się, kiedy służby za pomocą takiego narzędzia będą walczyły z grupami terrorystycznymi lub porywaczami dzieci, ale mało kto będzie się czuł komfortowo, wiedząc, że oficer po godzinach swojej pracy (lub co gorsza w jej trakcie) może tym samym narzędziem inwigilować żonę swojego kolegi, którą ten podejrzewa o zdradę.

CZYTAJ TAKŻE: Google i Facebook wiedzą, jakie strony dla dorosłych odwiedzasz

Dlatego niezbędna jest transparentność działań służb i ścisła kontrola. Problem w tym, że w Polsce prawo dopiero zaczyna regulować, jak z tego typu narzędzi korzystać. Nie jest to łatwe, bo ciężko przewidzieć zakres danych, jakie za pomocą przejęcia kontroli nad czyimś urządzeniem się uzyska.

– Czasem samo uzyskanie dostępu do czyjegoś urządzenia wymaga złamania prawa – podkreśla Konieczny. Dodaje, że brakuje instytucji, która w sposób niebudzący zastrzeżeń wychwytywałaby nadużycia. Problematyczny jest fakt, że część operacji agencji rządowych powinna być z założenia tajna, a to stoi w sprzeczności z naturą „kontroli”.

CZYTAJ TAKŻE: Nawet lodówka stanie się szpiegiem

W podobnym tonie wypowiada się Kamil Woźniak, menedżer ds. bezpieczeństwa z F5. – Świat, w którym przestępca potrzebował zrobić zdjęcie tajnym dokumentom, żeby je wykraść, a terrorysta musiał zdetonować bombę, żeby dokonać zniszczenia, funkcjonuje już tylko na marginesie znacznie większej płaszczyzny, czyli cyfrowej rzeczywistości – mówi. Ocenia, że dziś większym zagrożeniem są ataki w postaci fałszywych wiadomości w mediach społecznościowych, a cennych dokumentów w wersji cyfrowej jest znacznie więcej niż wydrukowanych. Dlatego rządy nie mogą sobie pozwolić na pozostanie w XX wieku, jeśli mają chronić społeczność, która je wybrała. – Spokój o prywatne dane może być mierzony jedynie wielkością zaufania przeciętnego Polaka do rządu i służb. Niemniej, zwróćmy uwagę, że uprawnienia oraz możliwości służb są w Polsce tak duże, jak nigdy dotąd, zaś kontrola obywatelska jest ograniczona – podsumowuje ekspert z F5.

Tagi:

Mogą Ci się również spodobać

Policja nie rozpozna bandyty po twarzy

Gubernator Kalifornii Gavin Newsom podpisał ustawę zakazującą wykorzystywania przez organy ścigania biometrycznego systemu nadzoru. ...

Google wprowadzi Q, nowego Androida

We wtorek rusza trzydniowa, najważniejsza konferencja giganta, skierowana do deweloperów i programistów. Coroczna impreza ...

Skrzynie z łupami zakazane? Chodzi o miliardy dolarów

Mikropłatności dokonywane w grach to dla producentów żyła złota. Część takich rozwiązań ma jednak ...

Steve Wozniak: Przyszłość to robotyka

Gdyby ktoś, kto idzie właśnie na politechnikę zapytał mnie, co ma robić, by znaleźć ...

Sony przegrało bitwę z Nintendo

Wejście dwa lata temu na rynek przenośnych konsol Nintendo Switch wywróciło rynek do góry ...

Gra CI Games promowana przez Nintendo

„Röki” z portfela giełdowej spółki znalazło się wśród zapowiedzi nowych produkcji na konsolę Switch. ...