O trzech takich, co chcieli prześwietlić wszystko, czyli jak się CBA na Pegazie przeleciało

Jak bumerang wraca temat używania przez polskie służby oprogramowania szpiegowskiego, które zarówno swoim działaniem, jak i sposobem zaimplementowania w naszym systemie prawnym, przypominają lisa, który wchodzi do kurnika przebrany za gospodarza. I po raz kolejny na pierwszym planie pojawiają się literki CBA, przy czym nie wynika to wcale z faktu, że są na początku alfabetu. Niestety nie wynika to również z faktu, że służba ta w jakikolwiek sposób przoduje w naszym kraju w walce ze złem i występkiem, lub choćby z tego, że się przodować stara.
Pegasus CBA

Na ślady obecności w polskim systemie telekomunikacyjnym oprogramowania izraelskiej firmy NSO trafiły niezależnie od siebie, Najwyższa Izba Kontroli, która ujawniła fakturę opiewającą na 34 miliony złotych, jak również kanadyjski Citizen Lab, specjalizujący się w tropieniu internetowego wścibstwa państw i rządów. Kanadyjczycy wykryli na terenie Polski aktywnego operatora systemu Pegasus, co w dużym skrócie oznacza, że jest on używany w działaniach operacyjnych jednej z naszych służb. NIK, jak po nitce do kłębka, trafił po fakturze opłaconej, o ironio, z dotacji Ministerstwa Sprawiedliwości, do CBA które oficjalnie sprawy nie komentuje. Wiadomo jedynie, że polski operator szpiegowskiego systemu przyjął dumnie brzmiącą nazwę „Orzeł biały”.

Czym jest Pegasus? Kolokwialnie rzecz ujmując, Pegasus to połączenie marzeń wścibskiej sąsiadki, z pragnieniem bycia niewidzialnym. System pozwala swojemu użytkownikowi na niepostrzeżone przejmowania pełnej kontroli nad telefonem dowolnej osoby. Nie ma przy tym potrzeby wysyłania dziwnych wiadomości tekstowych, czy klikania jakichkolwiek linków. Wystarczy wskazać numer telefonu, a po paru minutach urządzenie robi wszystko, czego wymaga od niego użytkownik Pegasusa. Warto podkreślić, że w przeciwieństwie do innych rozwiązań, nie wymaga ono udziału operatora komórkowego, lub stosowania dodatkowych, mobilnych urządzeń. Żadnych zbędnych śladów, nadmiernego zaangażowani personelu, a co za tym idzie minimalizacja papierologii. Oczywiście jeśli przyjmiemy zupełnie nieuzasadnione założenie, że ktokolwiek to kontroluje. Przecież nie po to robi się coś w tak bardzo skryty i anonimowy sposób, żeby musieć się później tłumaczyć.

Czy Pegasus jest rzeczywiście taki groźny? Tak, Pegasus to niezwykle skuteczne i niebezpieczne narzędzie. Skalę jego możliwości demonstruje przykład pewnego izraelskiego przedsiębiorcy, który rozważał możliwość zainwestowania w NSO Group, będącego producentem tego oprogramowania. Podczas spotkania z władzami spółki poproszono go o zgodę na zaprezentowanie możliwości programu na przykładzie jego własnego telefonu. Biznesmen zgodził się podkreślając jednak, że jego telefon to Apple po najnowszych aktualizacjach, zarejestrowany w siedzi zagranicznego, a nie izraelskiego operatora. Następnie podał przedstawicielom NSO numer urządzenia i położył je na stole. Po kilku minutach cała zawartość jego telefonu wraz z kontaktami, mailami, załącznikami i zdjęciami ukazała się na ekranie zamontowanego w sali konferencyjnej ekranu. Ponadto operator systemu bez problemu uruchomił też aparat oraz  mikrofon iPhona, rejestrując w ten sposób przebieg spotkania. W tym czasie smartfon nie zdradził żadnych oznak pracy, ani nie wymagał od swojego właściciela żadnej aktywności. Wrażenie robią nawet nie same możliwości Pegasusa, ale przede wszystkim szybkość działania, łatwość obsługi oraz brak jakiejkolwiek aktywności wymaganej od posiadacza komórki. Ponadto należy podkreślić, że zgodnie z zapewnieniami pracowników NSO, ich program jest w stanie hakować nawet urządzenia z najnowszym i w pełni aktualizowanym systemem, bez względu na to, czy będzie to Android czy iOS. Może również na bieżąco ściągać dane GPS, korespondencję SMS oraz email, a także podsłuchiwać i nagrywać trwające rozmowy telefoniczne i ściągać dane z chmury.

Kilka lat temu głośną była sprawa stosowania przez nasze służby, a konkretnie ponownie CBA, innego szpiegowskiego oprogramowania, będącego dziełem włoskiej spółki Hacking Team. O tym, że Remote Control System (tak brzmiała pełna nazwa włoskiego programu) trafił w ręce naszych specjalistów od walki z korupcją, opinia publiczna dowiedziała się po tym, jak niezidentyfikowani hakerzy wykradli Włochom kilkaset gigabajtów danych, zawierających między innymi dane odbiorców swoich produktów. Okazało się wtedy, że nasze dzielne służby znalazły się wśród takich wzorów demokracji i wolności, jak Maroko, Etiopia oraz Zjednoczone Emiraty Arabskie. Ponadto innymi zidentyfikowanymi użytkownikami RCS były rządy Bahrajnu, Bangladeszu, Egiptu, Malezji, Arabii Saudyjskiej, Meksyku, Sudanu, Mongolii, Kolumbii, Rosji, Węgier, Nigerii, Włoch, Afryki Południowej, Turkmenistanu, Omanu, Turcji, Uzbekistanu, oraz USA. W zdecydowanej większości na liście znalazły się kraje o opresyjnym, bądź w najlepszym przypadku mało demokratycznym stosunku do obywateli. Nic nie dały zapewnienia kierownictwa Hacking Team, o trzymaniu najwyższych standardów moralnych i nie oferowaniu produktów niedemokratycznym reżimom. Ujawnione dane, jak również późniejsze śledztwo dziennikarskie wykazało, że Włosi pchali swój produkt gdzie się tylko dało, a powołana hucznie rada etyki, mająca blokować transakcje budzące wątpliwości moralne, była w istocie wynajętą kancelaria prawną, mającą na celu uzasadnienie każdej transakcji w myśl zasady pecunia non olet. Dlaczego o tym piszę? Dlatego, że NSO również chwali się na swojej stronie oraz w trakcie spotkań, paneli dyskusyjnych i wywiadów, że w ramach swojego funkcjonowania powołała specjalny organ nadzoru, który opiniuje wszelkie transakcje
i którego zadaniem jest blokowanie tych, budzących wątpliwości. W skład owej rady mają wchodzić wybitni specjaliści w dziedzinie prawa, wolności obywatelskich, technologii oraz autorytety moralne i naukowe. Tyle, że dla dobra ich samych oraz przedsiębiorstwa, dane członków rady są niejawne. Tak więc w przypadku pytania o etykę działań NSO usłyszymy, że trzymają najwyższe standardy, o czym zapewnić mogą ludzie, z którymi porozmawiać nie można. Już sam ten fakt wystarczy, aby między bajki włożyć historie o niewspółpracowaniu z rządami stosującymi przemoc wobec własnych obywateli. Wspomniany na początku Citizen Lab ujawnił ponadto, że w Ameryce Południowej działania z wykorzystaniem Pegasusa prowadzono wobec niezależnych dziennikarzy oraz aktywistów społecznych.

W chwili obecnej, według Citizen Lab, Pegasus jest stosowany przez rządy 45 krajów. W oparciu o nie potwierdzone informacje, których źródłem ma być, prawdopodobnie były pracownik NSO, można przyjąć że przeciętna licencja Pegasusa dla danego użytkownika daje możliwość śledzenia od 15 do 30 celów jednocześnie. Oznacza to, że wbrew niektórym alarmującym tytułom artykułów, oprogramowanie to nie jest przeznaczone do masowej inwigilacji. Jego zadaniem jest ukierunkowana i bardzo ścisła kontrola wskazanego urządzenia i nie daje ono możliwości inwigilowania większych grup obywateli. Oczywiście w żaden sposób nie zmienia to faktu, że w ramach obowiązującego w Polsce porządku prawnego, stosowanie tego typu rozwiązań jest bezprawne. Godzi nie tylko w kwestie związane z nadzorem nad realizacją podsłuchów, co leży w gestii sądu i prokuratury, ale również umożliwia ukrycie tego faktu przed opinią publiczną. Wszelkie działania tego typu nie oparte na zgodzie odpowiednich organów są bezprawne. Sprawa nie byłaby może tak bardzo bulwersująca, gdyby nie fakt, że ostatnie nowelizacje prawa nadają materiałom pozyskanym w taki, bezprawny sposób, pełną moc dowodową. Oznacza to de facto zgodę na nielegalny podsłuch obywateli bez jakiejkolwiek kontroli. Tu warto zwrócić uwagę na jeszcze jeden aspekt całej sprawy. Izraelczycy podkreślają, że choć ich oprogramowanie to w istocie elektroniczna broń precyzyjna, o ogromnej skali oddziaływania, to jej celem jest wspieranie formacji dbających o bezpieczeństwo państwa w walce z terrorystami, handlarzami narkotyków, grupami zbrojnymi, szpiegostwem czy pedofilią i jako taka ma pełnić rolę prewencyjną oraz przeciwdziałać najcięższym przestępstwom. Tyle, że gdyby przyjąć takie właśnie założenie, to w naszym kraju, w jej posiadaniu powinna być ABW, CBŚ oraz ewentualnie SKW. To właśnie są formacje, którym przychodzi mierzyć się z najcięższymi przestępstwami i które w największym stopniu biorą na siebie ciężar obrony porządku prawnego RP. CBA, jako służba z założenia antykorupcyjna bardzo rzadko, żeby nie powiedzieć, że w ogóle nie zajmuje się sprawami, które dla dobra ogółu wymagałyby poświęcenia na ołtarzu praw i wolności obywatelskich. Od początku swojego powstania natomiast ciągnie się za tą formacją odór związany z poważnymi nadużyciami i politycznym wykorzystywaniem. Jej byłe i niestety będące również obecnym, kierownictwo zostało skazane przez sąd za przestępstwa. Ich działania pochłonęły miliony złotych nie przynosząc w zamian niemal absolutnie nic. Najlepsi i najbardziej skuteczni pracownicy są odsuwani od służby lub wręcz zastraszani, jeśli tylko okazuje się, że nie są ślepymi wykonawcami poleceń. Giną dowody i dokumenty, a wszelkie ślady nadużyć usuwa się z finezją i precyzją hipopotama. I ta oto, kompromitowana przez swoje upartyjnione kierownictwo formacja, po raz kolejny okazuje się wydawać ogromne, publiczne środki na oprogramowanie, którego użycie stanowi ewidentne naruszenie porządku prawnego. Na koniec warto jeszcze wspomnieć o tym, że po odnalezieniu przez inspektorów NIK słynnej już faktury na 34 miliony, Izba wystąpiła z wnioskiem o naruszenie dyscypliny wydatków publicznych, gdyż CBA, jak każda inna służba może być finansowana wyłącznie z środków budżetu państwa, a nie dotacji celowych, w tym przypadku z Ministerstwa Sprawiedliwości.

Podsumowując, mamy do czynienia z sytuacją w której Centralne Biuro Antykorupcyjne, słynące głównie z nadużyć swojego kierownictwa, dostaje, od słynącego z łamania prawa Ministerstwa Sprawiedliwości, na zakup nielegalnego w świetle polskiego prawa oprogramowania, 34 miliony złotych z dotacji, przyznanych niezgodnie z dyscypliną wydatków publicznych. Nie oceniając profesjonalizmu pracowników CBA niższego szczebla, a patrząc jedynie na działania kierownictwa tej instytucji, warto zastanowić się nad zmianą nazwy formacji. Wydaje się, że najlepiej jej charakter odda skrót BMW. Każde ze znanych, ironicznych jego rozwinięć, będzie jak ulał pasować do obecnego szefostwa. A nawiązując do kodowej nazwy polskiego operatora Pegasusa, „Orzeł biały”, nasuwa się wniosek, że ptak może jest biały, ale typ za nim wyjątkowo ciemny.

Pytania?
Skontaktuj się

Formularz kontaktowy

    Wyrażam zgodę na przetwarzanie danych osobowych przez Inveritas Tomasz Broniś z siedzibą w Grodzisku-Mazowieckim, przy ulicy Osowieckiej 1G w celu przesyłania treści marketingowych na mój adres e-mail lub numer telefonu podany powyżej w formularzu kontaktowym.

    Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest Inveritas Tomasz Broniś z siedzibą w Grodzkisku-Mazowieckim, przy ulicy Osowieckiej 1G. Wszelkie pytania i wątpliwości prosimy kierować do naszego ADO, Tomasz Broniś na adres kontakt@inveritas.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.