„Tajne służby zwykle działają z Pegasusem tak, że włamują się do urządzenia, kradną całą jego zawartość, na przykład wszystkie zdjęcia, rozmowy i informacje z ostatnich dwóch lat, i wszystko, co zostało zgromadzone w chmurze. Ale potem włamują się ponownie, bo chcą więcej. Chcą wiedzieć nie tyko, co ich cel robił kiedyś, ale co robi teraz, np. w poniedziałek, w kolejnych dniach tygodnia. Kiedy obserwujemy taki wzorzec postępowania z czyimś telefonem, to nam mówi, że jego właściciel jest priorytetem dla służb. Że jest na celowniku. To zaobserwowaliśmy w telefonie senatora Brejzy” – mówi Faktowi John Scott Railton z Citizen Lab, kanadyjskiej organizacji monitorującej nadużycia władzy w sieci cyfrowej.
Badania Citizen Lab od lat przyczyniają się do zwiększania bezpieczeństwa cyfrowego obywateli. Niedawno na podstawie jego raportu firma Apple, globalny gigant, wprowadziła ważne poprawki dot. bezpieczeństwa do 1,65 mld swoich urządzeń. W grudniu Citizen Lab ustalił, że telefony komórkowe trojga krytyków władzy w Polsce, w tym czynnego senatora Krzysztofa Brejzy, były obiektem ataku wojskowym oprogramowaniem Pegasus. Z Johnem Scottem Railtonem rozmawia Katarzyna Kozłowska.
Fakt: Zdaje się, że Polska znalazła się w złym towarzystwie. Instytucja, w której pan pracuje wykryła włamania Pegasusem do telefonu polskiego senatora, tak jak wcześniej wykryła włamania do telefonów działaczy na rzecz praw człowieka w Syrii, Meksyku czy Egipcie.
John Scott Railton, starszy badacz, Citizen Lab: To prawda. I wygląda na to, że dowiemy się o kolejnych przypadkach.
To znaczy, że zgłaszają się do was osoby z Polski z prośbą o zbadanie telefonu?
Citizen Lab nie komentuje swoich ustaleń, dopóki te nie zostaną upublicznione.
Zidentyfikowaliście włamania Pegasusem do telefonu polskiego senatora Krzysztofa Brejzy. Brejza mówi wprost, że szpiegowały go polskie służby specjalne. Czy to też są ustalenia Citizen Lab, czy tylko przypuszczenia senatora?
Powiedziałbym, że istnieje wyraźny związek pomiędzy faktem, że w Polsce zidentyfikowaliśmy aktywnego operatora Pegasusa oraz tym, że cele Pegasusa to osoby mające ścisły związek z władzą, a konkretnie krytykujące tę władzę.
Nasze badania do tej pory składały się z dwóch komponentów. Pierwszy to praca, którą wykonujemy od lat, polegająca na monitorowaniu całego globu pod kątem wykorzystania Pegasusa. Właśnie w ramach tego badania w listopadzie 2017 roku natknęliśmy się na operatora tego oprogramowania w Polsce. Nasze ustalenia opublikowaliśmy wtedy w raporcie z 2018 roku. Drugi komponent to bardziej szczegółowa analiza, którą podejmujemy w przypadku, gdy coś nas zaalarmuje. Kiedy w listopadzie br. firma Apple [producent iphone’ów–red.] zaczęła rozsyłać do użytkowników monity, że ich urządzenia mogły być zainfekowane przez Pegasus, okazało się, że odbiorcą takiej wiadomości w Polsce jest osoba krytykująca władzę.
Czytaj więcej: Ta prokuratur krytykowała działania Ziobry. Dostała monit, że mogła być ofiarą cyberataku
Zaczęliśmy bliżej przyglądać się sprawie i dziś już mamy trzy potwierdzone przypadki będące celami Pegasusa. Wszystkie te osoby, będące celem Pegasusa, są krytykami władzy.
To podkreśla tylko kluczowe znaczenie niezależnego dochodzenia, które należałoby podjąć. Jest wiele miejsc, w których znajdują się dowody inwigilacji. Na przykład mają je operatorzy komunikacyjni, u których zostały logi – potwierdzające, że takie a takie urządzenie zalogowane w sieci komunikowało się z serwerem Pegasusa. Podobnie, logi zostają na serwerze Pegasusa i ktokolwiek go obsługuje, będzie miał dostęp do informacji o tym, co i skąd zhakowano.
Polskie służby na razie nie zaprzeczyły ani nie potwierdziły, że używają lub wykorzystywały Pegasusa do działań operacyjnych. Co, pana zdaniem, mają o tym myśleć polscy obywatele? Co pan by myślał?
Potraktowałbym to jak sygnał ostrzegawczy i zastanowiłbym się, co to dla mnie znaczy. Informacja o tym, że ktoś był celem politycznym ataku hakerskiego w połączeniu z brakiem woli wyjaśnienia tej sprawy przez władze, byłaby dla mnie czerwoną flagą. Warto sobie uświadomić, że Pegasus to narzędzie inwigilacji, o którym Służba Bezpieczeństwa mogła jedynie marzyć. W czasach Polski Ludowej, żeby kogoś szpiegować, trzeba było mieć sieć informatorów, trzeba było instalować w ścianach mikrofony i całą infrastrukturę. Teraz wystarczy jeden klik, by dostać się do czyjejś sypialni. Jako obywatel chciałbym wiedzieć, czy władza korzysta z takiego narzędzia zgodnie z jego przeznaczeniem, czy też go nadużywa. To dziś prawdziwy test praworządności.
W przypadku włamania do telefonu senatora Brejzy, stwierdziliście 33 ataki prowadzone w 2019 roku. Dlaczego tylko w 2019 roku?
Trzeba by o to spytać tego, kto był operatorem Pegasusa.
Ale czy to znaczy, że nie badaliście innych lat? Czy po prostu w innych latach nie było tych ataków?
Zidentyfikowaliśmy ataki w 2019 roku. Miały one miejsce w okolicach wyborów parlamentarnych w Polsce.
Po co włamywano się do telefonu senatora Brejzy 33 razy? W artykułach o Pegasusie czytałam, że po tym, jak raz to oprogramowanie się zainstaluje, operator zyskuje stały dostęp do urządzenia tego, kto jest jego celem. Co to w ogóle są te infekcje, o których mowa? Te 33 infekcje…
Takie wyrafinowanie oprogramowanie szpiegowskie, jakim jest Pegasus, zazwyczaj nie pozostaje na telefonie superdługo. Jego cechą jest to, że może infekować urządzenie wielokrotnie. Tajne służby działają zwykle tak, że włamują się do urządzenia, kradną całą jego zawartość, na przykład wszystkie zdjęcia, rozmowy i informacje z ostatnich dwóch lat, i wszystko, co zostało zgromadzone w chmurze. W ten sposób budują sobie bazę danych. Ale potem włamują się ponownie, bo chcą więcej. Chcą wiedzieć nie tyko, co ich cel robił kiedyś, ale co robi teraz, np. w poniedziałek, w kolejnych dniach tygodnia. A potem w następnym i następnym. Kiedy obserwujemy taki wzorzec postępowania z czyimś telefonem, to nam mówi, że jego właściciel jest priorytetem dla służb. Że jest na celowniku. To jest prawdziwa inwigilacja w czasie rzeczywistym. Taki wzorzec zauważyliśmy u Brejzy. Zwykle obserwujemy znacznie mniejszą częstotliwość włamań.
Kto finansuje badania, które prowadzicie nad Pegasusem? Czy to po prostu element waszej pracy w Citizen Lab, czy te badania są prowadzone w ramach specjalnego grantu?
Jesteśmy całkowicie przejrzyści, jeśli chodzi o finansowanie. Od lat otrzymujemy wsparcie od szerokiej gamy organizacji [są wśród nich m.in. The Canada Centre for Global Security Studies, John D. and Catherine T. MacArthur Foundation, Donner Canadian Foundation, Ford Foundation, Hewlett Foundation, Oak Foundation, Open Society Foundation; lista darczyńców dostępna na stronie internetowej Citizen Lab-red.]. Nasze badania dot. Pegasusa nie są prowadzone w ramach osobnego grantu i finansowane przez konkretnego fundatora. Jesteśmy instytucją badawczą działającą przy Uniwersytecie Toronto. Jesteśmy badaczami i samodzielnie podejmujemy decyzję o tym, co jest przedmiotem. Od 20 lat jesteśmy niezależni, i, co ważne, nie przyjmujemy zleceń na prowadzenie badań od rządów i wielkich korporacji.
Wielu Polaków jest poważnie zaniepokojonych informacją o możliwym inwigilowaniu senatora systemem Pegasus. W naszym kraju jest duża polaryzacja, a do tego Polacy mają silną potrzebę dawania władzy informacji zwrotnych o jej działaniach. Jest wielu działaczy, którzy organizują protesty, całe środowiska piszą listy otwarte. Jeśli to prawda, że władza dysponuje narzędziem, które pozwala dosłownie przeniknąć czyjeś życie, to znaczy, że wiele działań o charakterze krytyki czy sprzeciwu może być udaremnionych. Gorzej – że w kręgach władzy może się pojawić pokusa: „Dajcie człowieka, znajdziemy paragraf”, a to narzędzie szybko dostarczy pretekstów do stawiania paragrafów. Jakie są pana 3 najważniejsze rady dla krytyków władzy w Polsce?
Swego czasu opracowaliśmy w Citizen Lab Plan Bezpieczeństwa Cyfrowego, który następnie przekazaliśmy organizacji Consumer Reports. Polecam skorzystanie z niego każdemu, jako pierwszy krok w planowaniu swojego bezpieczeństwa cyfrowego.
Skorzystaj z porady dot. bezpieczeństwa w sieci: Security Planner
Trzeba odpowiedzieć na kilka pytań zawartych w kwestionariuszu, np. jakiego rodzaju technologii używasz i jakie są twoje obawy. Na podstawie odpowiedzi system opracowuje spersonalizowane porady.
Co do samych rad. Po pierwsze, pamiętaj, aby twój telefon miał zawsze zaktualizowane oprogramowanie. Jeśli sprawa, którą się zajmujesz jest delikatna (np. badasz nadużycia władzy–red.) i sądzisz, że możesz stać się celem obserwacji służb, powinieneś skonsultować kwestię twojego bezpieczeństwa cyfrowego ze ekspertem. Tak naprawdę jest niewiele środków umożliwiających trzymać zdeterminowane służby z dala od twojego telefonu, które możesz przedsięwziąć samodzielnie. Jeśli jesteś przedstawicielem opozycji albo krytykiem władzy w Polsce, pamiętaj, że do kwestii swojego bezpieczeństwa cyfrowego musisz podchodzić poważnie. Ponieważ wygląda na to, że czai się tam zagrożenie.
Po drugie: pamiętaj, że infekcja oprogramowaniem takim jak Pegasus nie wymaga od ciebie, jako celu, podjęcia jakichkolwiek działań. Nie możesz więc czuć się bezpiecznie – ale nie w rozumieniu, że masz coś na sumieniu. Chodzi o to, żeby mieć tego świadomość oraz świadomość możliwości podjęcia działań, które sprawią, że zhakowanie twojego telefonu będzie dla drugiej strony bardziej czasochłonne i kosztowne.
Po trzecie: jeśli otrzymałeś albo otrzymasz od firm Apple ostrzeżenie o tym, że twój telefon mógł być celem działania Pegasusa, nie ignoruj go. Skontaktuj się z zaufaną instytucją, taką jak Citizen Lab, które pomoże ci ustalić więcej szczegółów ewentualnego naruszenia.