Citizen Lab: „Ten, kto kontroluje Pegasusa może przejąć telefon i pozyskać treści, ale potem chcieć więcej. Zauważyliśmy taki schemat w przypadku senatora Brejzy” [WYWIAD]

„Operatorzy Pegasusa zwykle działają tak, że włamują się do urządzenia, kradną interesujące ich treści, takie jak logi czatu lub zdjęcia, i nie utrzymują tej infekcji przez długi czas. Ale potem włamują się ponownie, bo chcą więcej. Chcą wiedzieć nie tylko, co ich cel robił kiedyś, ale co robi teraz, np. w poniedziałek, w kolejnych dniach tygodnia. Kiedy obserwujemy taki wzorzec postępowania z czyimś telefonem, to nam mówi, że jego właściciel jest priorytetem dla służb. Że jest na celowniku. To zaobserwowaliśmy w telefonie senatora Brejzy” – mówi Faktowi John Scott Railton z Citizen Lab, kanadyjskiej organizacji monitorującej nadużycia władzy w sieci cyfrowej.

Badania Citizen Lab, interdyscyplinarnego laboratorium badawczego działającego przy Uniwersytecie Toronto, od lat przyczyniają się do zwiększania bezpieczeństwa cyfrowego obywateli. Niedawno na podstawie jego raportu firma Apple, globalny gigant, wprowadziła ważne poprawki dot. bezpieczeństwa do 1,65 mld swoich urządzeń. W grudniu Citizen Lab ustalił, że telefony komórkowe trojga krytyków władzy w Polsce, w tym czynnego senatora Krzysztofa Brejzy, były obiektem ataku wojskowym oprogramowaniem Pegasus.

 Z Johnem Scottem Railtonem rozmawia Katarzyna Kozłowska. 

 Fakt: Zdaje się, że Polska znalazła się w złym towarzystwie. Instytucja, w której pan pracuje wykryła włamania Pegasusem do telefonu polskiego senatora, tak jak wcześniej wykryła włamania do telefonów działaczy na rzecz praw człowieka w Syrii, Meksyku czy Egipcie. 

 John Scott Railton, starszy badacz, Citizen Lab:  To prawda. I wygląda na to, że dowiemy się o kolejnych przypadkach.

 To znaczy, że zgłaszają się do was osoby z Polski z prośbą o zbadanie telefonu? 

Citizen Lab nie komentuje swoich ustaleń, dopóki te nie zostaną upublicznione.

 Zidentyfikowaliście włamania Pegasusem do telefonu polskiego senatora Krzysztofa Brejzy. Brejza mówi wprost, że szpiegowały go polskie służby specjalne. Czy to też są ustalenia Citizen Lab, czy tylko przypuszczenia senatora? 

Powiedziałbym, że istnieje silny związek poszlakowy pomiędzy działaniami osób (i ludźmi, których mogły one zdenerwować), a faktem, że stały się one celem ataku. Jednak w tej chwili nie technicznie nie przypisujemy tego do konkretnego klienta Pegasusa.

Nasze badania zasadniczo składają się z dwóch komponentów. Pierwszy to praca, którą wykonujemy od lat, polegająca na monitorowaniu całego globu pod kątem wykorzystania Pegasusa. Właśnie w ramach tego badania w listopadzie 2017 roku natknęliśmy się na operatora tego oprogramowania w Polsce. Nasze ustalenia opublikowaliśmy wtedy w raporcie z 2018 roku. Drugi komponent to bardziej szczegółowa analiza, którą podejmujemy w przypadku, gdy coś nas zaalarmuje. Kiedy w listopadzie br. firma Apple [producent iphone’ów–red.] zaczęła rozsyłać do użytkowników monity, że ich urządzenia mogły być zainfekowane przez Pegasus, okazało się, że odbiorcą takiej wiadomości w Polsce jest osoba krytykująca władzę.

 Czytaj więcej:    Ta prokuratur krytykowała działania Ziobry. Dostała monit, że mogła być ofiarą cyberataku  

Zaczęliśmy bliżej przyglądać się sprawie i dziś już mamy trzy potwierdzone przypadki będące celami Pegasusa. Wszystkie te osoby są krytykami obecnej władzy.

To podkreśla tylko kluczowe znaczenie niezależnego dochodzenia, które należałoby podjąć. Jest wiele miejsc, w których znajdują się dowody inwigilacji. Na przykład mają je operatorzy komunikacyjni, u których zostały logi – potwierdzające, że takie a takie urządzenie zalogowane w sieci komunikowało się z serwerem Pegasusa. Podobnie, logi zostają na serwerze Pegasusa i ktokolwiek go obsługuje, będzie miał dostęp do informacji o tym, co i skąd zhakowano.

 Polskie służby na razie nie zaprzeczyły ani nie potwierdziły, że używają lub wykorzystywały Pegasusa do działań operacyjnych. Co, pana zdaniem, mają o tym myśleć polscy obywatele? Co pan by myślał? 

Potraktowałbym to, jak sygnał ostrzegawczy i zastanowiłbym się, co to dla mnie znaczy. Informacja o tym, że ktoś był celem politycznym ataku hakerskiego w połączeniu z brakiem woli wyjaśnienia tej sprawy przez władze, byłaby dla mnie czerwoną flagą. Warto sobie uświadomić, że Pegasus to narzędzie inwigilacji, o którym Służba Bezpieczeństwa mogła jedynie marzyć. W czasach Polski Ludowej, żeby kogoś szpiegować, trzeba było mieć sieć informatorów, trzeba było instalować w ścianach mikrofony i całą infrastrukturę. Teraz wystarczy jeden klik, by dostać się do czyjejś sypialni. Jako obywatel chciałbym wiedzieć, czy władza korzysta z takiego narzędzia zgodnie z jego przeznaczeniem, czy też go nadużywa. To dziś prawdziwy test praworządności.

 W przypadku włamania do telefonu senatora Brejzy stwierdziliście 33 ataki prowadzone w 2019 roku. Dlaczego tylko w 2019 roku?  

Trzeba by o to spytać tego, kto był operatorem Pegasusa.

 Ale czy to znaczy, że nie badaliście innych lat? Czy po prostu w innych latach nie było tych ataków? 

Zidentyfikowaliśmy ataki w 2019 roku. Miały one miejsce w okolicach wyborów parlamentarnych w Polsce.

 Po co włamywano się do telefonu senatora Brejzy 33 razy? W artykułach o Pegasusie czytałam, że po tym, jak raz to oprogramowanie się zainstaluje, operator zyskuje stały dostęp do urządzenia tego, kto jest jego celem. Co to w ogóle są te infekcje, o których mowa? Te 33 infekcje… 

Takie zaawansowane oprogramowanie szpiegowskie, jakim jest Pegasus, zazwyczaj nie pozostaje na telefonie superdługo. Kluczową jego cechą jest to, że może infekować urządzenie wielokrotnie. Operatorzy Pegasusa zwykle działają tak, że włamują się do urządzenia, kradną interesujące ich treści, takie jak logi czatu lub zdjęcia, i nie utrzymują tej infekcji przez długi czas. W końcu zawsze mogą po cichu i szybko ponownie zainfekować telefon i „uzupełnić” bazę danych, którą budują. A my możemy mieć czaty na naszym telefonie przez rok, dwa, a nawet więcej lat. Jest to skarbnica dla służb wywiadowczych. Mogą również wykraść „tokeny” dostępu do kont w chmurze, co oznacza, że mogą zachować dostęp do kont, nawet po zakończeniu ataku hakerskiego

Tak więc ten, kto kontroluje Pegasusa może przejąć telefon i pozyskać treści, ale potem chcieć więcej. Zauważyliśmy taki schemat w przypadku senatora Brejzy. Operatorzy Pegasusa chcieli wiedzieć nie tylko, co robił w przeszłości, ale chcieli monitorować go niemal w czasie rzeczywistym. Co senator robił w poniedziałek, tak… ale może jeszcze raz, co robi w czwartek. I w następnym tygodniu, i tak dalej. Kiedy obserwujemy ten schemat włamywania się do czyjegoś telefonu, mówi nam to, że właściciel jest dla służb priorytetem. Że jest on lub ona na celowniku. Jest to bardzo zbliżone do inwigilacji w czasie rzeczywistym.

 Kto finansuje badania, które prowadzicie nad Pegasusem? Czy to po prostu element waszej pracy w Citizen Lab, czy te badania są prowadzone w ramach specjalnego grantu? 

Jesteśmy całkowicie przejrzyści, jeśli chodzi o finansowanie. Od lat otrzymujemy wsparcie od szerokiej gamy organizacji [są wśród nich m.in. The Canada Centre for Global Security Studies, John D. and Catherine T. MacArthur Foundation, Donner Canadian Foundation, Ford Foundation, Hewlett Foundation, Oak Foundation, Open Society Foundation; lista darczyńców dostępna na stronie internetowej Citizen Lab-red.]. Nasze badania dot. Pegasusa nie są prowadzone w ramach osobnego grantu i finansowane przez konkretnego fundatora. Jesteśmy instytucją badawczą działającą przy Uniwersytecie Toronto. Jesteśmy badaczami i samodzielnie podejmujemy decyzję o tym, co jest przedmiotem naszych dociekań. Od 20 lat jesteśmy niezależni, i, co ważne, nie przyjmujemy zleceń na prowadzenie badań od rządów i wielkich korporacji.

 Wielu Polaków jest poważnie zaniepokojonych informacją o możliwym inwigilowaniu senatora systemem Pegasus. W naszym kraju jest duża polaryzacja, a do tego Polacy mają silną potrzebę dawania władzy informacji zwrotnych o jej działaniach. Jest wielu działaczy, którzy organizują protesty, całe środowiska piszą listy otwarte. Jeśli to prawda, że władza dysponuje narzędziem, które pozwala dosłownie przeniknąć czyjeś życie, to znaczy, że wiele działań o charakterze krytyki czy sprzeciwu może być udaremnionych. Gorzej – że w kręgach władzy może się pojawić pokusa: „Dajcie człowieka, znajdziemy paragraf”, a to narzędzie szybko dostarczy pretekstów do stawiania paragrafów. Jakie są pana trzy najważniejsze rady dla krytyków władzy w Polsce? 

Swego czasu opracowaliśmy w Citizen Lab Plan Bezpieczeństwa Cyfrowego, który następnie przekazaliśmy organizacji Consumer Reports. Polecam skorzystanie z niego każdemu, jako pierwszy krok w planowaniu swojego bezpieczeństwa cyfrowego.

 Skorzystaj z porady dot. bezpieczeństwa w sieci:    Security Planner  

Trzeba odpowiedzieć na kilka pytań zawartych w kwestionariuszu, np. jakiego rodzaju technologii używasz i jakie są twoje obawy. Na podstawie odpowiedzi system opracowuje spersonalizowane porady.

Co do samych rad. Po pierwsze, pamiętaj, aby twój telefon miał zawsze zaktualizowane oprogramowanie. Jeśli sprawa, którą się zajmujesz jest delikatna [np. badasz nadużycia władzy–red.] i sądzisz, że możesz stać się celem obserwacji służb, powinieneś skonsultować kwestię twojego bezpieczeństwa cyfrowego z ekspertem. Tak naprawdę jest niewiele środków umożliwiających trzymanie zdeterminowanych służb z dala od twojego telefonu, które możesz przedsięwziąć samodzielnie. Jeśli jesteś przedstawicielem opozycji albo krytykiem władzy w Polsce, pamiętaj, że do kwestii swojego bezpieczeństwa cyfrowego musisz podchodzić poważnie. Ponieważ wygląda na to, że czai się tam zagrożenie.

Po drugie: pamiętaj, że infekcja oprogramowaniem takim jak Pegasus nie wymaga od ciebie, jako celu, podjęcia jakichkolwiek działań. Nie zachęcam jednak nikogo, by stał się pesymistą. Chodzi raczej o to, by zastanowić się, jak sprawić, by koszty ewentualnego ewentualnego przechwytywania twoich danych wyraźnie wzrosły. Co prowadzi mnie do kolejnej sugestii: używaj znikających wiadomości dla wszystkiego, co jest zdalnie wrażliwe. To sprawi, że będzie bardziej czasochłonne dla kogoś, kto będzie próbował cię regularnie monitorować. A jeśli dowiesz się, że twoje dane zostały jednak przechwycone, możesz poczuć ulgę, że haker zyskał tylko jedno- dwutygodniową historię twoich wiadomości, a nie wiadomości z kilku lat.

Po trzecie: jeśli otrzymałeś albo otrzymasz od firm Apple ostrzeżenie o tym, że twój telefon mógł być celem działania Pegasusa, nie ignoruj go. Skontaktuj się z zaufaną instytucją, taką jak Citizen Lab, które pomoże ci ustalić więcej szczegółów ewentualnego naruszenia.

 Ten artykuł ukazał się po raz pierwszy 2 stycznia 2022 r. o godz. 21:15 

Chcesz, żebyśmy opisali Twoją historię albo zajęli się jakimś problemem? Masz ciekawy temat? Napisz do nas! Listy od czytelników już wielokrotnie nas zainspirowały, a na ich podstawie powstały liczne teksty. Wiele listów publikujemy w całości. Wszystkie historie   znajdziecie tutaj.   Napisz list do redakcji:   List do redakcji   Podziel się tym artykułem: Facebook Twitter

FAKT.PL

Więcej postów