Pegasus to wierzchołek góry lodowej. Jak nas obserwują?

System Pegasus to wierzchołek góry lodowej. Aktywność rządów w sieci systematycznie rośnie. Czy powinniśmy się bać?

Publikacja: 23.09.2019 21:29

Cyberprzestępcy są dziś najgroźniejszą bronią reżimów, a cyberszpiedzy najbardziej efektywną grupą p

Cyberprzestępcy są dziś najgroźniejszą bronią reżimów, a cyberszpiedzy najbardziej efektywną grupą pozyskującą informacje

Foto: Adobe Stock

Katarzyna Kucharczyk

Ponaddwukrotnie wzrosła liczba przeprowadzanych przez służby państwowe akcji pozyskiwania informacji bez wiedzy użytkowników w 2018 r. w porównaniu z 2017 r. – wynika z raportu Verizon Data Breach Investigations. Inwigilacja w sieci jest już normą. Chyba każdy słyszał o programie Echelon, używanym przez amerykańską Agencję Bezpieczeństwa Narodowego. Dyskusja o inwigilacji odżyła po wykryciu użycia w Polsce sytemu Pegasus – narzędzia służącego do elektronicznego szpiegowania. Centralne Biuro Antykorupcyjne, zapytane przez nas, czy dysponuje tym systemem, odpowiada wymijająco.

CZYTAJ TAKŻE: Rządy mają dość. Coraz brutalniejsza kontrola internetu

„Kontrola operacyjna jest prowadzona w uzasadnionych i opisanych prawem przypadkach, po uzyskaniu zgody Prokuratora Generalnego i wydaniu postanowienia przez sąd” – czytamy w przesłanej odpowiedzi.

Inwigilacja czy nie

Co ciekawe, Centralne Biuro Antykorupcyjne dużo wcześniej, bo już w 2012 r., inwestowało w podobne narzędzia. Wtedy jednak sprawa przeszła praktycznie bez echa.

– CBA konsekwentnie realizuje zdobywanie zdolności w obszarze tzw. lawful hackingu, widać, że na przestrzeni lat (i różnych „zwierzchników”) testowano różne tego typu rozwiązania. Każda służba w Polsce powinna i mam nadzieję, że każda to robi – komentuje Piotr Konieczny, szef zespołu bezpieczeństwa niebezpiecznik.pl, firmy zajmującej się włamywaniem na serwery innych firm za ich zgodą, w celu namierzenia błędów w ich infrastrukturze, zanim zrobią to prawdziwi włamywacze. Konieczny dodaje, że niektóre z naszych agencji decydują się na gotowe rozwiązania autorstwa firm trzecich, jak Pegasus, a inne skupują informacje o błędach, a następnie „uzbrajają” te błędy do swoich operacji.

CZYTAJ TAKŻE: Hakerzy złamali WhatsAppa. Który rząd za tym stoi?

– Ze względu na koszty i trud związany z pozyskaniem tego typu narzędzi nikt przy zdrowych zmysłach nie marnuje ich na przeciętnego Kowalskiego – uspokaja Konieczny. Eksperci zgodnie podkreślają, że opisywanie Pegasusa jako systemu do inwigilacji obywateli nie jest trafne.

Pegasus nie wymaga współpracy z operatorem telekomunikacyjnym. Punktowo infekuje konkretny telefon komórkowy, podobnie jak oprogramowanie złośliwe

– Najprawdopodobniej umożliwia on jednoczesne podsłuchiwanie maksymalnie kilkudziesięciu osób i nie mamy żadnych dowodów, by sądzić, że na tej liście znajduje się ktoś inny niż osoby aktualnie podejrzane o przestępstwa korupcyjne na dużą skalę – uspokaja Adam Haertle, ekspert ds. bezpieczeństwa informatycznego.

Pegasus nie wymaga współpracy z operatorem telekomunikacyjnym. Punktowo infekuje konkretny telefon komórkowy, podobnie jak oprogramowanie złośliwe.

CZYTAJ TAKŻE: Komunikatory to złudne poczucie bezpieczeństwa

– Dodatkowo jest produktem komercyjnym, a więc każda jego dodatkowa funkcjonalność i zasięg może istotnie wpływać na koszty rozwiązania. Te cechy wyłączają raczej masowość zastosowania – podkreśla Marcin Ludwiszewski, szef zespołu ds. cyberbezpieczeństwa w Deloitte w Polsce.

Koncepcja tzw. government trojans powstała wiele lat temu. Są one opracowywane i stosowane przez służby w innych krajach od lat. – W tej chwili mamy wersje mobilne takich rozwiązań – podkreśla Ludwiszewski.

Potrzebny złoty środek

Narzędzia tego typu budzą kontrowersje. – Są jak nóż. Przydatne, legalne i niebudzące niepokoju w pewnych zastosowaniach (posmarowanie chleba pasztetem), ale niepokojące i naruszające prawo w innych (kilkunastokrotne ugodzenie kogoś w brzuch) – mówi Konieczny. Dodaje, że większość z nas raczej nie sprzeciwi się, kiedy służby za pomocą takiego narzędzia będą walczyły z grupami terrorystycznymi lub porywaczami dzieci, ale mało kto będzie się czuł komfortowo, wiedząc, że oficer po godzinach swojej pracy (lub co gorsza w jej trakcie) może tym samym narzędziem inwigilować żonę swojego kolegi, którą ten podejrzewa o zdradę.

CZYTAJ TAKŻE: Google i Facebook wiedzą, jakie strony dla dorosłych odwiedzasz

Dlatego niezbędna jest transparentność działań służb i ścisła kontrola. Problem w tym, że w Polsce prawo dopiero zaczyna regulować, jak z tego typu narzędzi korzystać. Nie jest to łatwe, bo ciężko przewidzieć zakres danych, jakie za pomocą przejęcia kontroli nad czyimś urządzeniem się uzyska.

– Czasem samo uzyskanie dostępu do czyjegoś urządzenia wymaga złamania prawa – podkreśla Konieczny. Dodaje, że brakuje instytucji, która w sposób niebudzący zastrzeżeń wychwytywałaby nadużycia. Problematyczny jest fakt, że część operacji agencji rządowych powinna być z założenia tajna, a to stoi w sprzeczności z naturą „kontroli”.

CZYTAJ TAKŻE: Nawet lodówka stanie się szpiegiem

W podobnym tonie wypowiada się Kamil Woźniak, menedżer ds. bezpieczeństwa z F5. – Świat, w którym przestępca potrzebował zrobić zdjęcie tajnym dokumentom, żeby je wykraść, a terrorysta musiał zdetonować bombę, żeby dokonać zniszczenia, funkcjonuje już tylko na marginesie znacznie większej płaszczyzny, czyli cyfrowej rzeczywistości – mówi. Ocenia, że dziś większym zagrożeniem są ataki w postaci fałszywych wiadomości w mediach społecznościowych, a cennych dokumentów w wersji cyfrowej jest znacznie więcej niż wydrukowanych. Dlatego rządy nie mogą sobie pozwolić na pozostanie w XX wieku, jeśli mają chronić społeczność, która je wybrała. – Spokój o prywatne dane może być mierzony jedynie wielkością zaufania przeciętnego Polaka do rządu i służb. Niemniej, zwróćmy uwagę, że uprawnienia oraz możliwości służb są w Polsce tak duże, jak nigdy dotąd, zaś kontrola obywatelska jest ograniczona – podsumowuje ekspert z F5.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: cyfrowa.rp.pl

IT
Planowanie infrastruktury IT w MŚP
IT
Planowanie infrastruktury IT w MŚP
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
Materiał Promocyjny
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
Wiele firm wykorzystuje brak wiedzy i oszukuje konsumentów – zwrócili uwagę uczestnicy konferencji L
IT
Jak uczynić zakupy w internecie bezpiecznymi. Niska świadomość klientów
W Google Maps pojawią się raporty drogowe z Waze
IT
Mapy Google powiedzą, gdzie stoi policja. A w kolejce do wprowadzenia już kolejne nowości
Porty kontenerowe to miejsca strategiczne, dźwigi mogą pomagać w przeładunku towarów, ale i dostarcz
IT
Amerykanie alarmują: chińskie dźwigi portowe szpiegują. Są też w Polsce
W domu i poza domem szybki internet i telewizja z Play
Materiał Promocyjny
W domu i poza domem szybki internet i telewizja z Play
Rzeczpospolita jest partnerem medialnym konferencji
IT
Firmy i konsumenci mogą wykorzystać atuty transformacji cyfrowej
„Nowy finansowy ja” w nowym roku – aplikacja banku pomoże w wypracowaniu dobrych nawyków
Materiał Promocyjny
„Nowy finansowy ja” w nowym roku
e-Wydanie