Korzystając ze smartfonów i tabletów, które bardzo ułatwiają życie, musimy pamiętać, że ceną za tę wygodę jest nasza prywatność.
Korzystasz ze smartfona lub tabletu? Zapomnij o prywatności. Nosisz przy sobie urządzenie, które inwigiluje cię non stop. Wybitni eksperci od bezpieczeństwa potrafi ą zabezpieczyć w nich swoje dane, ale nawet oni nie mogą być pewni, że na zawsze. W każdej chwili może pojawić się nowe narzędzie do czerpania wiedzy z tych urządzeń, kompletnie poza kontrolą. Dlatego korzystając ze smartfonów i tabletów, które bardzo ułatwiają życie, musimy pamiętać, że ceną za tę wygodę jest nasza prywatność. We wrześniu 2018 r. Polacy usłyszeli, że Centralne Biuro Antykorupcyjne dysponuje systemem włamywania się na smartfony i tablety – Pegasusem (stworzonym przez izraelską firmę technologii wojskowych NSO Group). Pierwszym źródłem był raport The Citizen Lab (studio badawcze na uniwersytecie w Toronto w Kanadzie, zajmujące się badaniami technologii informacyjnych i komunikacyjnych, praw człowieka i globalnego bezpieczeństwa). W swoim raporcie kanadyjski instytut badawczy wymienił polskich operatorów GSM, w którego sieciach namierzono inwigilowane przez służby osoby. Były to sieci: Polkomtel Sp. z o.o., Orange Polska SA, T-Mobile Polska SA, FIBERLINK Sp. z o.o., PROSAT s.c., Vectra S.A., Netia SA.
Ta informacja zbiegła się z publikacją raportu Najwyższej Izby Kontroli, że CBA – zdaniem kontrolerów – nielegalnie zakupiło za 33 mln zł system do włamywania się na smartfony i tablety. Na fakturze od warszawskiej firmy napisano: „zakup środków techniki specjalnej służących do wykrywania i zapobiegania przestępczości”. Nie podano, o jaki system chodzi, ale w świetle raportu kanadyjskich obrońców praw człowieka można być prawie pewnym, że chodziło właśnie o słynnego Pegasusa. Do tej pory polskie służby i politycy oficjalnie nie potwierdziły, że dysponują Pegasusem. Według nieoficjalnych informacji „Rzeczpospolitej” właśnie Pegasusa użyto przeciwko byłemu ministrowi w rządzie Platformy Obywatelskiej Sławomirowi Nowakowi, który w lipcu trafił na 3 miesiące do aresztu, podejrzany o przyjmowanie łapówek podczas swojej pracy w ukraińskich państwowych instytucjach. Pegasus stał się w mediach legendą. Problem w tym, że wcale nie jest jedynym narzędziem, które służby wykorzystują do zbierania cyfrowych informacji na nasz temat. Ani nawet najskuteczniejszym.
Co może Pegasus?
Jeżeli Pegasus zainstaluje się na urządzeniu, oprócz zbierania SMS-ów i tradycyjnych rozmów (służby mogą to robić bez specjalistycznego oprogramowania) pozyskuje wszelkie informacje z urządzenia. Jakie strony internetowe przeglądamy, jakie słowa wpisujemy w wyszukiwarkę, zbiera dane z kalendarza, ale najważniejsze: również naszą korespondencję elektroniczną i rozmowy na wszelkich komunikatorach. Oczywiście także wszystkie pliki i zdjęcia. Generalnie wszystko. Urządzenie zostało tak zaprojektowane, że gdy rozpoczynano jego szukanie, usuwało się ze sprzętu, nie zostawiając śladów swojej działalności. Świat dowiedział się o Pegasusie przez przypadek. Dokładniej przez tajne służby Zjednoczonych Emiratów Arabskich. Dzięki ich nieudolności świat dowiedział się, że kupiły one od wspomnianej izraelskiej firmy 3 luki w systemie operacyjnym Apple’a iOS (dla urządzeń mobilnych iPhone, iPod touch oraz iPad). W tamtym czasie, aby włamać się do urządzenia mobilnego, trzeba było skłonić ofiarę do kliknięcia w link (dziś, niestety, nie jest to już konieczny warunek). Służby ZEA wysłały wiadomość do obrońcy praw człowieka Ahmeda Mansoora. Ten jednak był wyczulony (bierzcie przykład!) i zamiast kliknąć, przesłał wiadomość do The Citizen Lab. Tamtejsi specjaliści weszli w pułapkę w sposób kontrolowany, analizując, jakie luki wykorzystuje. Następnie zaś przekazali wszystkie informacje firmie Apple. Ta z kolei błyskawicznie wypuściła aktualizację (tzw. łatki) – zamknęły one dziury, przez które tajne służby różnych krajów włamywały się na mobilny sprzęt. Na kilka miesięcy Pegasus został wyłączony z gry. Wymuszona przerwa sprawiła jednak, że powrócił niebezpieczniejszy niż wcześniej.
Jak oni to robią?
Zmianę taktyki NSO Group i jej klientów (w większości to tajne służby różnych krajów) zidentyfikował ponownie kanadyjski The Citizen Lab. Tym razem w grupie pojawiła się Polska. W naszym kraju służby, infekując urządzenia mobilne, robiły to pod subtelnym kryptonimem „ORZELBIALY”. Kanadyjscy badacze podkreślali, że Pegasus nie służy tylko złym celom. Jest skutecznym narzędziem walki z terroryzmem i groźną przestępczością, dlatego w swoim raporcie nie podali nazw serwerów, z których korzystają polskie służby wykorzystujące Pegasusa. Uznali, że nie ma dowodów, aby był on używany niezgodnie z prawem. Problem w tym, że w Polsce nie ma prawa zezwalającego służbom włamywać się na urządzenia mobilne i komputery. Kontrolę rozmów telefonicznych, stosowanie technik operacyjnych zatwierdza sąd. W wypadku użycia Pegasusa takiej kontroli zwyczajnie obecnie nie ma. Trochę to wygląda tak, jakby służby włamywały się do domu osoby podejrzanej o przestępstwo pod jej nieobecność. Takich instytucji nie ma w polskim prawie, dlatego opozycja w Polsce słusznie podkreślała konieczność uregulowania kwestii prawnych i nadzoru nad stosowaniem tak inwazyjnych metod prowadzenia śledztwa. Odpowiedź niektórych polityków, że „niewinni nie muszą się bać”, spotkała się z ripostą, aby opublikowali w takim razie zawartość swoich urządzeń mobilnych w Internecie.
Mechanizm wykorzystania Pegasusa wymaga wynajęcia specjalnych serwerów (komputerów mogących gromadzić i udostępniać duże ilości danych), z których prowadzony jest atak. Właśnie te serwery pozwalają specjalistom identyfikować działalność NGO Group.
Co ciekawe, izraelska firma podkreślała zawsze, że jej działalność polega na sprzedaży tego oprogramowania legalnym rządom, a także, że oprogramowanie nie może służyć do inwigilacji amerykańskich obywateli. Z tym ostatnim twierdzeniem nie zgodziła się firma WhatsApp, której komunikator zhakowali izraelscy programiści. WhatsApp należy do amerykańskiego giganta – Facebooka. W 2019 r. prawnicy tej firmy wytoczyli NGO Group proces, oskarżając ją o prowadzenie włamań na telefony użytkowników WhatsAppa z serwerów umieszczonych na terenie USA. Prawnicy WhatsAppa wskazali dość precyzyjnie, że izraelska firma wysłała złośliwe oprogramowanie na około 1400 telefonów komórkowych, aby przejąć nad nimi kontrolę. Ich zdaniem w grę nie wchodziła inwigilacja przestępców, ale dysydentów politycznych, dziennikarzy, dyplomatów i obrońców praw człowieka. NSO, oczywiście, wszystkiemu zaprzecza.
Prawnicy WhatsAppa dysponują jednak twardymi dowodami. Wskazali fałszywe konta na WhatsAppie, które założyli izraelscy programiści (bardziej pasuje chyba słowo hakerzy), po to tylko, aby za ich pośrednictwem infekować telefony innych użytkowników aplikacji. „To był atak był wymierzony w co najmniej 100 członków społeczeństwa obywatelskiego. To podręcznikowy przykład nadużyć” – podał zarząd WhatsAppa w oświadczeniu i przekazał, że inwigilowani użytkownicy mieli numery Bahrajnu, Zjednoczonych Emiratów Arabskich i Meksyku. Prawnicy WhatsApp w kolejnych miesiącach procesu podali dokładną liczbę ataków przeprowadzonych z amerykańskich serwerów w kwietniu i maju 2019 r. Było ich około 700. „Ta inwazja na serwery WhatsApp i urządzenia użytkowników była bezprawnym włamaniem się do komputera i stanowiła przykład przestępstwa związanego z nieuprawnionym dostępem do danych” – przekonywali prawnicy WhatsAppa w piśmie procesowym. Sprawa się toczy, a wyrok będzie precedensowy. Linia obrony NGO Group, że nie prowadzi działalności w USA, legła w gruzach. Teraz próbuje ona argumentować, że jako izraelska firma nie powinna być sądzona w USA, ale raczej to nie wystarczy. Ta batalia jednak nigdy się nie skończy. Tak jak zawsze będą ci, co łamią prawo i ci, co ich za to ścigają, tak zawsze będą ci, którzy będą produkować zabezpieczenia i ci, którzy będą tworzyć wytrychy je łamiące.
Wyścig bez końca
W Polsce sytuacja jest bardzo niejasna, jeżeli chodzi o Pegasusa. To jednak tylko wierzchołek góry lodowej. Własne systemy inwigilacji elektronicznej ludzi ma każda służba specjalna, poczynając od policji, a na Agencji Wywiadu kończąc. Wbrew pozorom inwigilacja Pegasusem nie jest niebezpieczna dla „zwykłych” ludzi. Po pierwsze jest droga. Koszt jednej licencji to ok. 100 tys. zł. Po drugie wymaga zaangażowania ludzi w analizę zebranych danych. Dodatkowo – jak widać było z przykładów – używanie Pegasusa, do którego kody źródłowe i infrastrukturę trzyma izraelska firma, jest zwyczajnie niebezpieczne. Wie ona, kim interesują się polskie służby. Otrzymuje te same informacje, co ona. Jest także ryzyko, że niezależni zewnętrzni audytorzy ujawnią atak, narażając nadużywających tego sprzętu na kompromitację.
„Harnaś” i stado pegasusów
Sama policja już 2010 r. używała systemu informatycznego „Moniuszko” do inwigilacji telefonów od izraelskiej firmy (zakupionego bez przetargu za 10–14 mln zł). System okazał się niewypałem – ciągle się wieszał. Na dodatek izraelska firma nie przekazała kodów źródłowych, czyli krótko mówiąc mogła inwigilować polską policję. Na początku 2013 r. już w przetargu policja zamówiła „polskiego pegasusa”, program do inwigilacji telefonów „Harnaś”. On jest właśnie najczęściej używanym programem szpiegującym Polaków. Pozwala na lokalizowanie dzwoniących, słuchanie ich rozmów, czytanie SMS-ów, MMS-ów, a także poczty elektronicznej pisanej ze smartfonów. Poza zasięgiem „Harnasia” są szyfrowane komunikatory. Agencja Wywiadu dysponuje z kolei 8 specjalnymi szpiegowskimi programami. Najskuteczniejszy z nich realizuje inwigilację przy pomocy amerykańskiej NSA (Krajowej Agencji Bezpieczeństwa, najpotężniejszej tajnej służby USA). NSA była przez lata tak tajna, że w XX w. żartowano, iż jest to skrót od „No Such Agency” (Nie ma takiej agencji). To, co polski program zbierze przy pomocy satelity, amerykańscy sojusznicy mają odkodować. Teoretycznie programy te nie powinny być wykorzystywane na obywatelach polskich, bo szpiegowaniem ich nie zajmuje się AW. Teoretycznie, bo kilka lat temu funkcjonariuszka AW o uroczym pseudonimie „Czarna Mamba” wyleciała z pracy właśnie za użycie tego programu w Polsce przeciwko polskim obywatelom. Tutaj system zadziałał. Jednak w wielu wypadkach kontrola nad tymi, którzy szpiegują Polaków, jest iluzoryczna.
Specjalne pokoje szpiegów
Zgodnie z polskim prawem (art. 179 b. ust. 4b) każdy operator telekomunikacyjny musi wydzielić przedstawicielowi służb specjalnych „pokój”, z którego będzie miał on dostęp do wszystkich baz danych „bez udziału pracowników przedsiębiorcy telekomunikacyjnego”. Praca operatorów takich pokojów jest zupełnie poza kontrolą. Mogą oni czytać SMS-y, słuchać rozmów i sprawdzać bilingi do woli. Teoretycznie robiąc to łamią prawo. Faktycznie nie ma narzędzi kontroli ich pracy, więc mogą robić, co chcą. Jak wiadomo, cnota to jest permanentny brak okazji. W takim wypadku funkcjonariusze są stawiani przed szeregiem pokus. Od inwigilowania swoich bliskich po zbieranie informacji na temat potencjalnych partnerów. Takie zachowanie nie jest niczym specjalnym. Opisał je dokładnie słynny Edward Snowden, były agent CIA, który ujawnił światu skalę możliwości szpiegowskich Stanów Zjednoczonych. Dziś Snowden mieszka w Moskwie, gdzie znalazł azyl. Stało się to przyczyną plotek, że jego czyn nie był szlachetnym aktem, ale rosyjską operacją specjalną. Prawda może być też inna. Rosjanie dostrzegli Snowdena i zwyczajnie rozbudzili jego wyrzuty sumienia z powodu tego, co robi i pewną naiwność. Jakby nie było, skala tego, co pokazał światu Snowden, była przerażająca. Generalnie amerykańskie służby wiedzą wszystko o wszystkich. Wiedzę tę wykorzystują nie tylko w celach zwalczania terroryzmu czy przestępczości, ale także w polityce międzynarodowej (skandalem skończyło się np. ujawnienie, że Amerykanie podsłuchiwali niemiecką kanclerz Angelę Merkel) czy w negocjacjach handlowych, nawet pomocy amerykańskim firmom w wygrywaniu przetargów w innych państwach. Trudno się dopatrzyć moralności w takim działaniu.
Włącz myślenie
Większość ludzi, którzy wykonują proste, codzienne prace, nie przejmuje się inwigilacją. Niesłusznie. Nie chodzi bowiem tylko o to, że szpiegują nas tajne służby albo policja. Smartfony to przenośne komputery, które gromadzą informacje i wiedzą więcej o nas niż my sami. Instalując i korzystając z rozmaitych aplikacji (zwykle „darmowych”) nie zdajemy sobie sprawy, że ceną jest zgoda na przesyłanie naszych danych. Trzeba bardzo uważać, na co wyrażamy zgodę. Dane gromadzone na nasz temat są potem komercyjnie wykorzystywane. Nie chodzi tylko o to, że otrzymujemy specjalnie dla nas wybrane reklamy, ale także o to, iż możemy być manipulowani i oszukiwani. Musimy mieć też świadomość, że dokonując płatności np. kartą płatniczą przekazujemy informacje o naszym sposobie i trybie życia. Fakt iż np. w soboty rano kupujemy alkohol albo regularnie płacimy za leki na stres w aptece, może się odbić na wysokości naszego ubezpieczenia na życie czy zgodzie na udzielenie długoletniego kredytu. Najgroźniejsza jest nieświadomość. Nie tylko w Polsce, ale na całym świecie istnieje bardzo małe zrozumienie, jak wielka rewolucja w gromadzeniu danych się dokonała. Tajne służby, mając np. dostęp do stron, które przeglądała osoba, którą się interesują, są w stanie ocenić i dobrać człowieka, który nawiąże z nią kontakt. Przenośne komputery mówią oficerom służb o nas więcej niż najlepsi współpracownicy. Co najśmieszniejsze, wcale nie muszą do tego czytać i słuchać o czym mówiliśmy. Analiza samych połączeń, z kim się kontaktujemy, kto do kogo dzwoni, kto oddzwania, pozwala stworzyć siatki powiązań. Zidentyfikować lidera grupy, która jest celem działań służb, i na nim skoncentrować swoje działania. Informacja jest najpotężniejszą bronią, jaką wymyślił człowiek. Dostarczając informacje o sobie wiedzmy, że się narażamy. Szczególnie jeżeli pełnimy ważne funkcje publiczne lub działamy w biznesie. W tym ostatnim wypadku na równi z tajnymi służbami zagraża nam biznesowa konkurencja. Szpiedzy prywatni są jeszcze bardziej niebezpieczni niż ci na etatach państwa, bo nie mają żadnych zahamowań.
Krótki kurs BHP
Bronić przed kradzieżą naszych danych oczywiście się możemy. Najlepiej ważne spotkania biznesowe, zawodowe itp. odbywać bez telefonów. Na pewnym poziomie stało się to już niemal normą, że przed wejściem do pokoju rozmów telefony zostawia się w specjalnym pomieszczeniu. Aby wyeliminować zmianę naszego urządzenia w zdalnie sterowany dyktafon, można używać specjalnych torebek, przenośnych „klatek Faradaya”, które sprawiają, że nasz telefon przestaje komunikować się otoczeniem. To przydatne, bo telefon możemy schować w każdym momencie i nie tracić z nim kontaktu (kosztuje około 100 złotych, ale jest bardzo przydatne). Kolejna ważna sprawa to regularne instalowanie aktualizacji, a także profilaktyka: nigdy pod żadnym pozorem nie wolno klikać w żadne linki w SMS-ach czy e-mailach, tak od obcych, jak i od znajomych. W tym ostatnim wypadku nie chodzi o to, że boimy się ataku hakerskiego od znajomego, ale faktu, że może to być wirus. W takiej sytuacji najlepiej zapytać znajomego, czego dotyczy link. W wypadku obcych e-maili i SMS-ów skasować bez czytania. W grę może bowiem chodzić nie tylko atak tajnych służb, ale też hakerów. Jeżeli przeglądamy Internet za pośrednictwem mobilnego urządzenia, to koniecznie przy użyciu VPN (czyli Wirtualna Prywatna Sieć) – zmienia ona nasz numer IP tak, że po internecie żeglujemy anonimowo. Musimy się pogodzić z tym, że chcąc chronić naszą prywatność musimy mądrzej korzystać z dobrodziejstw techniki. Rozmawiając przez urządzania mobilne (a także stacjonarne komputery) pamiętajcie: wszystko, co powiecie lub napiszecie, może być użyte przeciwko wam.
Tekst został opublikowany w czasopiśmie „Gentleman”