PEGASUS W POLSKICH RĘKACH TO BROŃ OBOSIECZNA

Wykorzystywanie zagranicznego oprogramowania szpiegującego takiego jak osławiony Pegasus niesie za sobą szereg ryzyk. Czy zdają sobie z nich sprawę polskie służby?

Tajemnicza spółka

Izraelska firma technologiczna NSO Group Technologies skupia na sobie coraz częściej międzynarodową uwagę ponieważ została powiązana z dużą liczbą doniesień o prześladowaniach obrońców praw człowieka i dziennikarzy na całym świecie.

W ostatnim czasie Facebook, który jest właścicielem WhatsApp, złożył pozew w Kalifornii przeciwko NSO za użycie zaawansowanego systemu Pegasus, który miał posłużyć do zhakowania telefonów 1400 osób za pośrednictwem tego popularnego komunikatora.

Założyciele NSO, Omri Lavie i Shalev Hulio, twierdzą, że nie są wtajemniczeni w sposób, w jaki klienci korzystają z ich systemu. W założeniu służy on wyłącznie do obrony przed terroryzmem i poważnymi przestępstwami.

Jednak Facebook w swoim pozwie przeciwko NSO ujawnienia szczegóły, które podważają te wyjaśnienia. Wiele mówiącym dokumentem, na temat możliwości systemu Pegasus i okoliczności jego dystrybucji jest, dołączona do pozwu umowa z 2015 roku, między lokalnym przedstawicielem spółki NSO, a organizacją rządową afrykańskiej Ghany.

Afrykański kłopot prywatnej wywiadowni

Według NSO, jej produkty są sprzedawane tylko organom wywiadowczym i organom ścigania, a dostarczane po starannym sprawdzeniu odbiorcy, ale umowa dołączona do pozwu Facebooka reguluje transakcję wartą miliony dolarów między lokalnym przedstawicielem NSO w Ghanie, a organem ds. telekomunikacji tego kraju (National Communications Authority- NCA). Nie jest to organ ścigania i dlatego nie ma jasności do czego potrzebne było mu ofensywne cyber narzędzie.

NSO nie była też bezpośrednio stroną umowy z Ghaną, natomiast miała umowę o świadczenie wsparcia ze swoim lokalnym przedstawicielem, IDL.

Cała ta sytuacja doprowadził w Ghanie do postępowania sądowego przeciwko urzędnikom NCA i dyrektorowi generalnemu IDL za rzekome „spiskowanie w celu spowodowania straty finansowej dla państwa”. Według akt sądowych oprogramowanie Pegasus trafiło do prywatnego domu Baby Kamary, doradcy prezydenta Ghany.

Kamara, który jest jednym z 20 najbogatszych ludzi w Ghanie był wówczas członkiem Rady Bezpieczeństwa Narodowego – NSCS). Zeznał on przed sądem w Ghanie, że wiedział o zakupie systemu, ale nie zamówił go i nie wiedział, do czego służy mimo, że ten został dostarczony do jego domu.

Według zeznań inspektora policji Michaela Nkrumaha transfer do domu Kamary odbył się na polecenie Salifu Osmana, wówczas zastępcy szefa NSCS. Natomiast jego przełożony zeznał, że systemu nie ma na liście inwentarzowej Rady i że nie zaakceptował takiego zamówienia. Zastępca dyrektora Duncan Opare, zeznał w sądzie w lutym, że zgodnie z aktami agencji, Sekretariat Rady Bezpieczeństwa Narodowego nigdy nie podejmował działań, aby kupić sprzęt w imieniu i na rzecz państwa.

Haaretz, który opisuje tą sprawę zwrócił się do NSO z prośbą o komentarz. Otrzymał odpowiedź, że system firmy nigdy nie był zainstalowany w żadnym prywatnym domu. Jednak sam fakt, że został dostarczony do domu osoby, która zeznała, że nie ma z tym nic wspólnego, a także oświadczenia wyższych urzędników NSCS, rodzi pytania.

NSO ma nadzór nad oprogramowaniem, które sprzedaje

NSO twierdzi, że chociaż opracowuje ofensywne narzędzia cyber – technologiczne, sam ich nie obsługuje, ale ta logika ma luki. Co prawda sama firma nie decyduje, kogo hakować, ale systemy szpiegowskie, które sprzedaje NSO, są złożone i nie ma wielu dostawców usług, którzy mogliby pomóc w ich obsłudze.

Dlatego też, gdy firmy technologiczne sprzedające takie systemy, szczególnie organizacjom, oferują również pakiet różnych opcji wsparcia przez całą dobę.

Wsparcie jest realizowane drogą e-mail i po zdalnym połączeniu z systemem klienta, w celu dostosowania aktualizacji i poprawek lub rozwiązania problemów podczas bieżącej pracy. Rodzi to szereg pytań dotyczących danych, do których NSO ma dostęp, nawet jeśli pozornie jej pracownicy nie są nimi zainteresowani.

Po fali rosnącej krytyki w ubiegłym roku firma ogłosiła utworzenie komitetu nadzorczego, który ma gwarantować, spełnienie wymagań ONZ dotyczących ochrony praw człowieka. NSO wcześniej miało już komitet etyki biznesu. Nowy komitet ma go zastąpić. Haaretz zapytał NSO, jak długo poprzedni komitet działał i co zrobił w tym czasie. Zadał również pytania czy istnieje dokument prawny określający uplasowanie nowego komitetu, kim będą jego członkowie i jak zostaną wybrani. Nie otrzymał jasnych odpowiedzi. Firma postanowiła nie podawać konkretnych szczegółów dotyczących pracy nowego komitetu i zamiast tego wydała ogólne oświadczenie stwierdzając, że „Plan dotyczy mechanizmów zatwierdzania transakcji, zobowiązań wymaganych od klientów, szkoleń i radzenia sobie z odchyleniami. Polityka będzie wspierana przez szereg wewnętrznych procedur i zasad działania, w tym umożliwianie stronom zewnętrznym skontaktowania się z firmą za pośrednictwem systemu, który zostanie ustanowiony w celu rozpatrywania skarg”.

Kontekst polski

Jak widać wykorzystywanie systemu Pegasus wiąże się z ryzykami o, których decydują: jego funkcjonalność, sposób zaprojektowania, wykorzystania i również sposób dystrybucji, a także dostępności do niego. Nie trzeba też nikogo przekonywać jak kluczowym elementem jest późniejszy serwis lub inny rodzaj wsparcia. Czy Polska może być użytkownikiem tego typu oprogramowania? Wszystko wskazuje na to, że tak. Więc trzeba zadać pytania o zidentyfikowane ryzyka z tym związane. Czy je dostrzegamy?. Z całą pewnością jakieś ryzyka znają służby bo ostatnio TVN 24 poinformował, że wojskowy kontrwywiad ostrzega żołnierzy, pracowników wojska i urzędników MON przed korzystaniem z popularnych komunikatorów bo dane użytkowników, które one zbierają są wykorzystywane w celach marketingowych.

Co powodowało kontrwywiadem, że wykonał tak ciężką pracę myślową, która doprowadziła go do tych „odkrywczych” wniosków? Trudno powiedzieć, ale niestety stan kondycji polskich służb utwierdza nas w przekonaniu, że należy wskazać też inne zagrożenia. Tym razem nie zadamy pytań o to czy jest prawnie dopuszczalne wykorzystanie tego oprogramowania w Polsce, ponieważ więcej na ten temat już pisaliśmy tutaj.

Nie posądzamy polskich służb specjalnych o złe intencje, które były podłożem decyzji o ewentualnym zakupie tego systemu. Pytamy jednak czy zidentyfikowano wszystkie ryzyka, które jak wynika z artykułu w Haaretz są realne. Jak wygląda umowa wsparcia i czy dane pozyskiwane za pośrednictwem tego systemu są transferowane zagranicę? Jeżeli tak to na jakiej podstawie prawnej? Czy ABW, która zajmuje istotne miejsce w krajowym systemie cyberbezpieczeństwa wykluczyła, istnienie w oprogramowaniu jakiegoś backdoor’a, którym może odbywać się transfer informacji do NSO Group, a następnie do izraelskiego wywiadu lub grupy przestępczej? Bo jak widać po przykładach opisywanych przez prasę zagraniczną i to jest możliwe. Być może mylimy się w ocenie, ale aby wyeliminować taką możliwość należy przeprowadzić stosowne badania laboratoryjne oprogramowania. Do tego jednak trzeba mieć odpowiedni potencjał i kody źródłowe. „Stawiamy dolary przeciwko orzechom”, że nie mamy jednego i drugiego. NSO nie przekaże kodów źródłowych nikomu – no chyba, że za pieniądze, na które nas nie stać – ,a potencjał gdyby był, to sami byśmy opracowywali takie rozwiązania szpiegujące. I na koniec jeszcze jedna myśl. Czy służby potrafią obronić nas przed Pegasusem, wykorzystywanym przez innych, bo jak się okazuje jest to broń obosieczna? Nie wiemy dlaczego, ale do głowy przychodzi obraz małpy z brzytwą…

Źródło: Haaretz/własne

Redakcja

Redakcja portalu O służbach. Napisz do nas na adres: redakcja@osluzbach.pl
Follow Me: