Najwyższa Izba Kontroli ocenia, że finansując system do inwigilacji pieniędzmi z funduszu na ofiary przestępstw, CBA i minister sprawiedliwości złamali prawo.
Nowy system do inwigilacji telefonów i komputerów Centralnego Biura Antykorupcyjnego kosztował ponad 33 mln złotych. To najdroższy system tego typu w historii polskich służb. Według ustaleń portalu Niebezpiecznik jest to najpewniej system Pegasus – jeden z najskuteczniejszych tego typu, pozwalający przejąć kontrolę nad prawie dowolnym telefonem.
Podsłuch za miliony
Sprawa niecodziennego zakupu wyszła na jaw przy okazji kontroli NIK ws. Funduszu Sprawiedliwości. To specjalny fundusz, wcześniej nazywany Funduszem Pomocy Poszkodowanym i Pomocy Postpenitencjarnej, do którego trafi ają pieniądze z kar, nakładanych przez sądy na sprawców przestępstw. W wakacje wyszło na jaw, że środki z tego funduszu trafi ły jednak nie do ofi ar przestępstw, a do CBA. Zainteresowanie było tym większe, że danina była rekordowo wysoka, bo aż 25 mln złotych. Fakt, że CBA przejęło pieniądze dla ofiar przestępstw, zainteresował media, a w następstwie licznych publikacji uruchomiła się NIK.
Teraz skandal doczekał się kontynuacji, bo na jaw wypłynęła znajdująca się w aktach kontroli NIK faktura, pokazująca, na co CBA przeznaczyło pieniądze. Jak poinformował TVN 24, fakturę opiewającą na ponad 33 mln złotych CBA wystawiła warszawska fi rma informatyczna. Jej tytuł nie pozostawiał wątpliwości: „zakup środków techniki specjalnej służących do wykrywania i zapobiegania przestępczości”. W aktach NIK znalazły się nawet wyszczególnione koszty: przedpłata – 13,6 mln złotych, odbiór sprzętu i programu – 11,64 mln, testy funkcjonalności – 5 mln, szkolenia – 3,4 mln. Łącznie daje to kwotę 33,64 mln złotych.
Na fakturze znalazł się też podpis i pieczątka szefa CBA Ernesta Bejdy oraz wiceszefa pionu techniki operacyjnej Biura. Co ciekawe – Ministerstwo Finansów nie mogło zweryfi kować, co jest przedmiotem faktury, ponieważ dokumenty CBA są tajne.
Ocena NIK
Wyniki kontroli NIK są dla CBA i Ministerstwa Sprawiedliwości druzgocące. Inspektorzy badali dwa wątki w tej sprawie.
– Pierwszy dotyczył tego, w jaki sposób w Ministerstwie Sprawiedliwości została rozliczona dotacja dla CBA. Księgowa, która powinna sprawdzić wszystkie rachunki, nie miała nawet prawa spojrzeć w dokumenty CBA, gdyż dotyczą one tajemnic chronionych ustawą. Nie mógł tego zrobić również wiceminister sprawiedliwości, który formalnie nadzoruje wydatki z Funduszu Sprawiedliwości. Drugi poważniejszy problem, na który zwrócił uwagę NIK w swoim oficjalnym raporcie, dotyczy samej dotacji dla CBA – wyjaśnił red. Robert Zieliński.
– Doszło do złamania przepisów prawa, które wyraźnie mówią, że służby specjalne, w tym CBA, mogą być finansowane wyłącznie z budżetu państwa. Będziemy składali wniosek o naruszeniu dyscypliny finansów publicznych – ocenił sytuację prezes Najwyższej Izby Kontroli, Krzysztof Kwiatkowski, dla TVN 24.
Co naprawdę kupiło CBA?
Tajemnicza warszawska firma, od której CBA kupiło system za ponad 33 mln złotych, jest – według oficjalnych informacji – partnerem francuskiej firmy, wyspecjalizowanej w technologiach informatycznych. O ile reporterom TVN 24 nie udało się wskazać, o który konkretnie system analizowania danych może chodzić, uzyskane informacje szybko rozszyfrowali dziennikarze zajmujący się bezpieczeństwem informatycznym. Systemem tym miał okazać się Pegasus – jeden z najlepszych tego typu na świecie, pozwalający użytkownikom włamać się na prawie każdy model telefonu.
Co najważniejsze – bez wiedzy czy udziału operatora. To o tyle ważne, że dotychczas służby, aby założyć komuś technikę operacyjną, musiały zwrócić się do sądu, który po wydaniu zgody, zwracał się do operatora komórkowego, w którego sieci znajdował się numer celu. Na to, że CBA weszło w posiadanie systemu do szpiegowania, stworzonego przez izraelską firmę NGO Group, wskazują też wyniki raportu Th e Citizen Lab. Ta kanadyjska organizacja pozarządowa w swoim raporcie (który ukazał się jeszcze przed wynikami kontroli NIK) wskazała, że odkryła ślady działania systemu Pegasus w Polsce.
Co więcej – inny serwis specjalizujący się w bezpieczeństwie informatycznym – Zaufana Trzecia Strona – zauważył, że fakturę CBA wystawiono we wrześniu zeszłego roku, a pierwsze ślady użycia Pegasusa przypadają na listopad ub. roku.
Co może Pegasus?
Za pośrednictwem nowego nabytku CBA może teraz m.in. podsłuchiwać rozmowy telefoniczne, czy czytać wiadomości w komunikatorach. Wystarczy, że ofiara kliknie link podesłany jej przez operatora systemu. Jednak istnieje też możliwość przejęcia urządzenia ofiary bez interakcji z jej strony. W raporcie The Citizen Lab wskazano polskich operatorów, w których sieciach namierzono inwigilowane osoby. Są to: Polkomtel, Orange, T-mobile, Fiberlink Sp. z o.o., Prosat s.c., Vectra S.A., Netia SA. Niebezpiecznik przypomniał też historię tego, jak świat dowiedział się o izraelskim systemie do szpiegowania.
– Dwa lata temu wpadkę zaliczyły służby Zjednoczonych Emiratów Arabskich. Dzięki ich nieudolności świat dowiedział się o tym, że klienci rządowego trojana o nazwie Pegasus, stworzonego przez izraelską firmę NSO Group, dysponowali łańcuchem 3 nieznanych publicznie podatności na system iOS (tzw. 0-day). Służby ZEA próbowały za pomocą tych podatności przejąć kontrolę nad telefonem Ahmeda Mansoora, międzynarodowego obrońcy praw człowieka.
Nie wyszło im to jednak, bo na nasze szczęście, a ich nieszczęście, Mansoor był w przeszłości wielokrotnie atakowany i się chłopak dotkliwie nauczył, aby nie klikać w linki z podejrzanych wiadomości. Dlatego treść podejrzanego SMS-a przesłał do Citizen Labu, a tam analitycy na kontrolowanym przez nich urządzeniu uruchomili exploita, przeanalizowali, z jakich dziur korzysta i donieśli o nich firmie Apple. Parę dni później Apple wypuściło łatkę, która automatycznie wgrała się na wszystkie iPhony i iPady. I w tym momencie wszyscy wykorzystujący Pegasusa do różnych operacji, czyli służby specjalne z wielu krajów, równocześnie zakrzyknęły „o kurza twarz!“. Bo przez nieudaną akcję służb ZEA, spalony został exploit, z którego korzystały także służby specjalne innych krajów, do operacji poważniejszych niż piętnowanie opozycji politycznej, np. inwigilowania środowisk terrorystycznych lub grup przestępczych handlujących narkotykami – opisał historię ujawnienia Pegasusa Niebezpiecznik.
W tej historii najistotniejszy jest fakt, że służby wykorzystują to oprogramowanie nie tylko do śledzenia terrorystów czy przestępców, ale też dziennikarzy czy polityków opozycji. Teraz CBA, oprócz podsłuchiwania rozmów, może również przejmować wiadomości tekstowe, e-maile, adresy przeglądanych stron internetowych, zdjęcia czy dane z komunikatorów, jak Skype, czy WhatsApp. W raporcie Citizen Lab znaleźć można listę 1014 domen, wskazujących na serwery zarządzane przez służby z różnych krajów w celu obsługi ofiar Pegasusa (oprócz Polski system wykryto w 44 krajach).
– Badacze oszacowali, że te serwery są zarządzane przez 36 niezależnych od siebie grup (czyt. służb różnych krajów). Infekcje z terenów Polski przypisano grupie, którą nazwano ORZELBIALY – wyjaśniają dziennikarze Niebezpiecznika. Pegasus nie jest jednak skuteczny wyłącznie w przypadku urządzeń firmy Apple – może równie dobrze działać na urządzeniach z systemem operacyjnym Android (np. Samsungi itd.).
Co ciekawe – Pegasus byłby już kolejnym systemem tego typu, jaki zakupiło CBA. Trzy lata temu Biuro zakupiło oprogramowanie włoskiej firmy Hacking Team do inwigilacji komputerów. Wówczas zapłaciło za nie „zaledwie” 200 tys. euro. Według TVN 24 za zakup obu systemów – włoskiego i nowego, izraelskiego – odpowiedzialny miał być ten sam funkcjonariusz CBA. Figurował on w mailach między Biurem i Hacking Team, a teraz jego podpis znalazł się na fakturze odnalezionej przez NIK.