Pegasus to wierzchołek góry lodowej. Jak nas obserwują?

System Pegasus to wierzchołek góry lodowej. Aktywność rządów w sieci systematycznie rośnie. Czy powinniśmy się bać?

Publikacja: 23.09.2019 21:29

Cyberprzestępcy są dziś najgroźniejszą bronią reżimów, a cyberszpiedzy najbardziej efektywną grupą p

Cyberprzestępcy są dziś najgroźniejszą bronią reżimów, a cyberszpiedzy najbardziej efektywną grupą pozyskującą informacje

Foto: Adobe Stock

Katarzyna Kucharczyk

Ponaddwukrotnie wzrosła liczba przeprowadzanych przez służby państwowe akcji pozyskiwania informacji bez wiedzy użytkowników w 2018 r. w porównaniu z 2017 r. – wynika z raportu Verizon Data Breach Investigations. Inwigilacja w sieci jest już normą. Chyba każdy słyszał o programie Echelon, używanym przez amerykańską Agencję Bezpieczeństwa Narodowego. Dyskusja o inwigilacji odżyła po wykryciu użycia w Polsce sytemu Pegasus – narzędzia służącego do elektronicznego szpiegowania. Centralne Biuro Antykorupcyjne, zapytane przez nas, czy dysponuje tym systemem, odpowiada wymijająco.

CZYTAJ TAKŻE: Rządy mają dość. Coraz brutalniejsza kontrola internetu

„Kontrola operacyjna jest prowadzona w uzasadnionych i opisanych prawem przypadkach, po uzyskaniu zgody Prokuratora Generalnego i wydaniu postanowienia przez sąd” – czytamy w przesłanej odpowiedzi.

Inwigilacja czy nie

Co ciekawe, Centralne Biuro Antykorupcyjne dużo wcześniej, bo już w 2012 r., inwestowało w podobne narzędzia. Wtedy jednak sprawa przeszła praktycznie bez echa.

– CBA konsekwentnie realizuje zdobywanie zdolności w obszarze tzw. lawful hackingu, widać, że na przestrzeni lat (i różnych „zwierzchników”) testowano różne tego typu rozwiązania. Każda służba w Polsce powinna i mam nadzieję, że każda to robi – komentuje Piotr Konieczny, szef zespołu bezpieczeństwa niebezpiecznik.pl, firmy zajmującej się włamywaniem na serwery innych firm za ich zgodą, w celu namierzenia błędów w ich infrastrukturze, zanim zrobią to prawdziwi włamywacze. Konieczny dodaje, że niektóre z naszych agencji decydują się na gotowe rozwiązania autorstwa firm trzecich, jak Pegasus, a inne skupują informacje o błędach, a następnie „uzbrajają” te błędy do swoich operacji.

CZYTAJ TAKŻE: Hakerzy złamali WhatsAppa. Który rząd za tym stoi?

– Ze względu na koszty i trud związany z pozyskaniem tego typu narzędzi nikt przy zdrowych zmysłach nie marnuje ich na przeciętnego Kowalskiego – uspokaja Konieczny. Eksperci zgodnie podkreślają, że opisywanie Pegasusa jako systemu do inwigilacji obywateli nie jest trafne.

Pegasus nie wymaga współpracy z operatorem telekomunikacyjnym. Punktowo infekuje konkretny telefon komórkowy, podobnie jak oprogramowanie złośliwe

– Najprawdopodobniej umożliwia on jednoczesne podsłuchiwanie maksymalnie kilkudziesięciu osób i nie mamy żadnych dowodów, by sądzić, że na tej liście znajduje się ktoś inny niż osoby aktualnie podejrzane o przestępstwa korupcyjne na dużą skalę – uspokaja Adam Haertle, ekspert ds. bezpieczeństwa informatycznego.

Pegasus nie wymaga współpracy z operatorem telekomunikacyjnym. Punktowo infekuje konkretny telefon komórkowy, podobnie jak oprogramowanie złośliwe.

CZYTAJ TAKŻE: Komunikatory to złudne poczucie bezpieczeństwa

– Dodatkowo jest produktem komercyjnym, a więc każda jego dodatkowa funkcjonalność i zasięg może istotnie wpływać na koszty rozwiązania. Te cechy wyłączają raczej masowość zastosowania – podkreśla Marcin Ludwiszewski, szef zespołu ds. cyberbezpieczeństwa w Deloitte w Polsce.

Koncepcja tzw. government trojans powstała wiele lat temu. Są one opracowywane i stosowane przez służby w innych krajach od lat. – W tej chwili mamy wersje mobilne takich rozwiązań – podkreśla Ludwiszewski.

Potrzebny złoty środek

Narzędzia tego typu budzą kontrowersje. – Są jak nóż. Przydatne, legalne i niebudzące niepokoju w pewnych zastosowaniach (posmarowanie chleba pasztetem), ale niepokojące i naruszające prawo w innych (kilkunastokrotne ugodzenie kogoś w brzuch) – mówi Konieczny. Dodaje, że większość z nas raczej nie sprzeciwi się, kiedy służby za pomocą takiego narzędzia będą walczyły z grupami terrorystycznymi lub porywaczami dzieci, ale mało kto będzie się czuł komfortowo, wiedząc, że oficer po godzinach swojej pracy (lub co gorsza w jej trakcie) może tym samym narzędziem inwigilować żonę swojego kolegi, którą ten podejrzewa o zdradę.

CZYTAJ TAKŻE: Google i Facebook wiedzą, jakie strony dla dorosłych odwiedzasz

Dlatego niezbędna jest transparentność działań służb i ścisła kontrola. Problem w tym, że w Polsce prawo dopiero zaczyna regulować, jak z tego typu narzędzi korzystać. Nie jest to łatwe, bo ciężko przewidzieć zakres danych, jakie za pomocą przejęcia kontroli nad czyimś urządzeniem się uzyska.

– Czasem samo uzyskanie dostępu do czyjegoś urządzenia wymaga złamania prawa – podkreśla Konieczny. Dodaje, że brakuje instytucji, która w sposób niebudzący zastrzeżeń wychwytywałaby nadużycia. Problematyczny jest fakt, że część operacji agencji rządowych powinna być z założenia tajna, a to stoi w sprzeczności z naturą „kontroli”.

CZYTAJ TAKŻE: Nawet lodówka stanie się szpiegiem

W podobnym tonie wypowiada się Kamil Woźniak, menedżer ds. bezpieczeństwa z F5. – Świat, w którym przestępca potrzebował zrobić zdjęcie tajnym dokumentom, żeby je wykraść, a terrorysta musiał zdetonować bombę, żeby dokonać zniszczenia, funkcjonuje już tylko na marginesie znacznie większej płaszczyzny, czyli cyfrowej rzeczywistości – mówi. Ocenia, że dziś większym zagrożeniem są ataki w postaci fałszywych wiadomości w mediach społecznościowych, a cennych dokumentów w wersji cyfrowej jest znacznie więcej niż wydrukowanych. Dlatego rządy nie mogą sobie pozwolić na pozostanie w XX wieku, jeśli mają chronić społeczność, która je wybrała. – Spokój o prywatne dane może być mierzony jedynie wielkością zaufania przeciętnego Polaka do rządu i służb. Niemniej, zwróćmy uwagę, że uprawnienia oraz możliwości służb są w Polsce tak duże, jak nigdy dotąd, zaś kontrola obywatelska jest ograniczona – podsumowuje ekspert z F5.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: cyfrowa.rp.pl

IT
Wybory prezydenckie w Polsce mogą paść ofiarą hakerów i dezinformacji
IT
Rosja zakłóci wybory prezydenckie w Polsce? Ma nową broń
Gospodarka natychmiastowości to wyzwanie i szansa
Materiał Promocyjny
Gospodarka natychmiastowości to wyzwanie i szansa
Jest potwierdzenie potężnego ataku hakerskiego na polską firmę. Czy dane są bezpieczne?
IT
Jest potwierdzenie potężnego ataku hakerskiego na polską firmę. Czy dane są bezpieczne?
Polska objęta restrykcjami. USA ograniczą eksport najnowszych chipów
IT
Polska objęta restrykcjami. USA ograniczą eksport najnowszych chipów
W sytuacji, gdy cyberbezpieczeństwo staje się priorytetem, rynek coraz wyżej wycenia kompetencje osó
IT
Powrót bonanzy informatyków? Tyle mogą zarobić pracownicy IT
7 powodów, dla których warto przejść na Małą Księgowość
Materiał Promocyjny
7 powodów, dla których warto przejść na Małą Księgowość
Samoloty pasażerskie przelatujące w rejonie Morza Bałtyckiego nieraz stykały się z zakłócaniem sygna
IT
Jest skuteczny sposób na zagłuszanie sygnału GPS przez Rosję. Podejrzano wieloryby
Wystartowały tegoroczne ferie zimowe
Materiał Promocyjny
Wystartowały tegoroczne ferie zimowe
e-Wydanie