Tomasz Sawczuk: Ile było przypadków użycia Pegasusa w Polsce?
Ronald Deibert: Jest Krzysztof Brejza, Roman Giertych, Ewa Wrzosek, Michał Kołodziejczak i Tomasz Szwejgiert. Jako Citizen Lab potwierdziliśmy pięć.
Co to oznacza?
Bardzo wysoki stopień pewności. Urządzenia tych osób zostały zhakowane za pomocą Pegasusa. Nie mamy co do tego wątpliwości. Znaleźliśmy wiele sygnatur cyfrowych, które możemy precyzyjnie powiązać z oprogramowaniem Pegasus.
Od czasu naszego raportu polski rząd przyznał, że zakupił oprogramowanie. A jednocześnie zaprzecza, że zostało ono wykorzystane w niewłaściwy sposób. To bardzo przypomina inne takie przypadki. Najpierw rządy mówią: „nie mamy tego oprogramowania”, „co to w ogóle jest Citizen Lab?”.
Tak było również w Polsce.
Następnie twierdzą, że rzeczywiście zakupili tę technologię, ale nie została ona wykorzystana w taki sposób, jak twierdzi Citizen Lab.
Wie pan, gdybym był obywatelem Polski, to pomyślałbym, że coś jest nie tak. Jak pisał Szekspir, „źle się dzieje w państwie duńskim”. Miałbym poczucie, że coś jest na rzeczy i chciałbym dowiedzieć się więcej. A jedynym sposobem na odkrycie prawdy jest seria niezależnych dochodzeń. My nie możemy zrobić już nic więcej.
Brejza odpowiadał za kampanię wyborczą największej partii opozycyjnej…
Został zhakowany w trakcie kampanii. Możemy to stwierdzić z pewnością. W tej sprawie mogę dodać, że została niezależnie oceniona przez ośrodek informatyczny Amnesty International. Potwierdzili oni nasze ustalenia. Dane z jego telefonu wyrwane z kontekstu zostały również wykorzystane w kampanii oszczerstw przeciwko niemu w telewizji publicznej. Tak więc istnieje wiele poszlak wskazujących, że rządowy operator włamywał się do telefonów opozycjonistów.
W mediach pisano o tym operatorze „Orzeł Biały”. To jest nazwa nadana przez Citizen Lab czy przez operatora?
To nasza nazwa. Nadaliśmy ją w 2018 roku, kiedy odkryliśmy siedem polskich serwerów, z których operował Pegasus. Podmiot, który obsługiwał Pegasusa w Polsce nazwaliśmy „Orłem Białym”. Wiemy, że działał od listopada 2017 roku i namierzał tylko polskie adresy IP. Dlaczego to ważne? Jest to kolejna poszlaka, że był to operator rządowy.
Co pan myśli, patrząc na ten polski przypadek?
Byłem w Polsce w latach dziewięćdziesiątych i w 2015 roku. Wiem, jak daleką drogę przeszła. Wiecie jako społeczeństwo, jak to jest żyć w dyktaturze i jak wygląda niekontrolowana inwigilacja. Dlatego teraz możecie pokazać, jak naprawić problemy, które ujawniły się w waszej demokracji. Uważam, że Polska ma wyjątkową okazję, by znów dać przykład reszcie świata.
Citizen Lab wykrył Pegasusa po raz pierwszy w 2016 roku. Jakie jest znaczenie tego odkrycia z dzisiejszej perspektywy?
To był wierzchołek góry lodowej.
Istnieje ogromny problem komercyjnego, nieuregulowanego przemysłu i rynku narzędzi inwigilacji. Technologia wypracowana przez firmy takie jak NSO Group, twórcę oprogramowania Pegasus, zapewnia rządom państwowym niezwykle wyrafinowane narzędzia do szpiegowania, włamywania się do urządzeń konkretnych osób. Jest tak zaawansowana, że pozwala na infiltrowanie systemu operacyjnego niezależnie od aktualności oprogramowania. Nie zostawia widocznych dowodów ingerencji i może monitorować wszystko, co dzieje się na urządzeniu.
Badacie inwigilację polityczną?
Szerzej – użycie technologii do innych celów niż oficjalnie reklamowane. Producenci mówią, że takie narzędzia mają służyć rządom do walki z przestępczością czy terroryzmem. Prawda jest taka, że rządy używają ich do namierzania dziennikarzy, polityków opozycji, obrońców praw człowieka. Ludzi i organizacji, które powinny być poza zasięgiem ich zainteresowania według wszelkich rozsądnych standardów tego, co oznacza przestępstwo lub terroryzm.
Wspomniał pan, że rządy używające Pegasusa podważają wasze ustalenia albo ignorują Citizen Lab. Jak pan odpowiada sceptykom?
Wielu ludziom nie podoba się to, co robimy. Zwłaszcza winni nadużyć próbują nas zdyskredytować lub oczernić. Takie zarzuty są łatwe do obalenia, ale wiem, że niektórzy odbiorcy w nie uwierzą. A my jesteśmy jak lekarz. Ludzie czasem nie chcą słyszeć diagnozy, którą stawiamy.
Mogę tylko powiedzieć, że po prostu wykonujemy swoją pracę, nasze badania spełniają wysokie standardy etyczne, jasno przedstawiamy dowody. Robimy, co w naszej mocy – w Polsce złożyliśmy zeznania przed komisją senacką. Od innych zależy, czy za tymi dowodami pójdzie dochodzenie. A działające w cieniu agencje będą nas próbowały zdyskredytować – tego należy się spodziewać.
Dlaczego Pegasus to taka głośna sprawa? Czy różni się czymś od innych programów, był jakoś wyjątkowy?
Wyróżnia się tym, że zidentyfikowano tak wiele przypadków nadużyć. Ale jest to również dość zaawansowana technologia. Dla przykładu, gdy przechwyciliśmy Pegasusa, utworzyliśmy jego kopię i przekazaliśmy informacje o włamaniach do Apple i Google, pracownicy tego ostatniego opisali Pegasusa jako najbardziej wyrafinowane oprogramowanie szpiegowskie, jakie kiedykolwiek widzieli. A więc zdolności zastrzeżone niegdyś dla wiodących światowych agencji wywiadu może teraz kupić prosto z półki praktycznie każdy rząd na świecie.
Pan również używa smartfona. Czy był pan celem ataków?
W Citizen Lab zawsze zakładamy, że jesteśmy celem ataku. Oczywiście, badamy nasze telefony za pomocą tych samych narzędzi, które stosujemy w śledztwach. Musimy chronić dane ze względu na poufny charakter spraw, którymi się zajmujemy. Często są to bardzo wrażliwe informacje, które trzeba izolować od internetu.
Wiemy o próbach ataków na mnie i pracowników Citizen Lab. Niektóre wykorzystywały metody hakerskie, jak w przypadku firmy Dark Matter ze Zjednoczonych Emiratów Arabskich, która zatrudnia byłych pracowników NSA. Byliśmy również na celowniku prywatnej firmy wywiadowczej Black Cube – w tym przypadku chodziło głównie o metody fizyczne. Również firma kontrolująca NSO Group próbowała skompromitować działania Citizen Lab i mnie osobiście w oczach podmiotów finansujących organizację. Nie zawsze chodzi o ataki hakerskie.
A gdyby wyrzucić smartfona do kosza?
Jedną z technik, które udokumentowaliśmy w naszej pracy, jest namierzanie pośrednie [ang. relational targeting]. Powiedzmy, że chciałbym pana śledzić, ale nie mogę uzyskać dostępu do pana urządzenia. Wtedy mogę dostać się do urządzenia pana rodzica, żony lub dziecka. Jeśli uda mi się włączyć mikrofon, będę mógł usłyszeć, o czym rozmawiacie, a to może być przydatne.
Współcześnie można być zresztą śledzonym na bardzo wiele sposobów. Coraz trudniej funkcjonować bez smartfona lub innego urządzenia cyfrowego, aby podróżować, pracować czy prowadzić działalność gospodarczą. Kamery są wszędzie. Inwigilujący mają do dyspozycji naprawdę wiele środków.
Czy wasze odkrycia uderzyły w NSO Group?
Bardzo ważne, aby docenić, jak bardzo udało się nam zwiększyć świadomość problemu. To zasługa nie tylko Citizen Lab, lecz także Amnesty International i dziennikarzy śledczych.
Z początku ta zwiększona uwaga była dwuznaczna. Była to dla nich niemal forma reklamy i możliwe, że NSO zyskało na tym rozgłosie. Ale teraz jest jasne, jak źle postrzegany jest ich produkt. Kojarzy się z wieloma nadużyciami na całym świecie. Rząd USA umieścił NSO Group na czarnej liście, ograniczającej dostęp do amerykańskich technologii. Spodziewam się, że będziemy świadkami kolejnych podobnych działań. Rating wiarygodności firmy drastycznie spadł, a niedawno została wyceniona jako prawie bezwartościowa.
Jednocześnie musimy być świadomi tego, że nawet jeśli NSO Group upadnie, nie będzie to oznaczało końca problemu. Prezesi, inwestorzy dokonają rebrandingu albo zmienią firmę. Pracownicy znajdą nową pracę. Już teraz istnieje wielu konkurentów dla NSO Group. To problem globalny.
Branża prywatnego oprogramowania szpiegowskiego rośnie?
Jej znaczenie na pewno rosło w ostatniej dekadzie. Wynika to z szeregu przyczyn. Jedną jest fakt, że cały czas nosimy przy sobie smartfony i inne urządzenia cyfrowe. Natomiast one są wymyślone w taki sposób, aby wyciągać od nas jak najwięcej danych – tak właśnie działa kapitalizm inwigilacji [ang. surveillance capitalism], o którym pisała Shoshanna Zuboff. Wszyscy korzystamy z aplikacji, które zbierają o nas informacje – a to jest z kolei kopalnia złota dla agencji bezpieczeństwa. Dostanie się do wnętrza urządzenia zapewnia dostęp do życia danej osoby w czasie rzeczywistym. Istnieje zatem ogromna pokusa, aby wykorzystywać możliwości, jakie daje ten przemysł.
Dawniej inwigilację na masową skalę umożliwiał dostęp do ruchu telekomunikacyjnego. Jednak od kiedy większość ruchu internetowego jest zaszyfrowana, staje się to znacznie trudniejsze. Nowa technologia daje sposób na proste obejście systemów szyfrujących end to end – trzeba dostać się do urządzenia. Tym sposobem zyskujemy dostęp do treści przed zaszyfrowaniem lub po odszyfrowaniu. Widzimy je tak, jak widzi je śledzony użytkownik.
Jakie to ma konsekwencje polityczne?
Jest to poważne zagrożenie dla liberalnej demokracji. Widzimy, że technologia ta jest wykorzystywana do atakowania jej filarów. Po pierwsze, celowanie w opozycję polityczną. To widzieliśmy w Polsce. Technologia została wykorzystana do namierzania opozycji – niezależnie od tego, co ktokolwiek myśli o tych ludziach, w wolnym i demokratycznym społeczeństwie inwigilowanie opozycji politycznej jest bezprawne. Widzimy również, że celem ataków są prawnicy. I jest to kolejny przykład z waszego kraju –w dodatku Roman Giertych był prawnikiem Donalda Tuska. A przecież ważnym elementem liberalnej demokracji jest zasada poufności między adwokatem a klientem. Inwigilowani są również dziennikarze śledczy i organizacje społeczeństwa obywatelskiego. Wszystko to ważne filary, które tworzą liberalną demokrację. Przez technologię, o której rozmawiamy, ulegają one erozji.
Podam przykład. Chwilę przed naszym wywiadem rozmawiałem z prawdziwą ofiarą inwigilacji, która pochodzi z Iranu. Teraz boi się korzystać ze swojego urządzenia, kontaktować z irańską diasporą w Kanadzie, jak również rodziną, która została w kraju. Proszę się zastanowić nad tym, co to oznacza. To sposób na wywoływanie paranoi i strachu. Dziesięć lat temu wszyscy zachwycali się tym, jak media społecznościowe wzmocnią pozycję społeczeństwa obywatelskiego. Obecnie obserwujemy odwrotny proces. Prywatne oprogramowanie szpiegowskie to podstawowe narzędzie represji na całym świecie.
Dlaczego rządy korzystają z oprogramowania do inwigilacji oferowanego przez prywatne firmy? Nie mogą zrobić sobie lepszego? A może to jest rozwiązanie dla biedniejszych krajów, które nie mają zaawansowanych zdolności technicznych?
Jedna kwestia, że obserwujemy ogólny trend prywatyzacji działalności wywiadowczej i militarnej. Tak jak rządy wykorzystują prywatnych kontrahentów do tajnych i skomplikowanych operacji wojskowych, tak samo zwracają się do prywatnych dostawców technologii śledzenia. Przedsiębiorstwa mają możliwość specjalizacji w skali, na którą nieraz nie mogą sobie pozwolić rządy. Bardzo trudno rozwinąć technologię na poziomie NSO Group, która jest firmą o wielomiliardowym kapitale, złożoną z wielu utalentowanych inżynierów, w tym wielu weteranów. Jest zatem problem wydajności.
Co do biedniejszych rządów… Tak naprawdę nie nazwałbym ich biednymi, bo płacą srogie kwoty za technologie, o których rozmawiamy. Ale w każdym razie nie mają one możliwości stworzenia odpowiedniego zaplecza technicznego i matematycznego. A teraz mogą kupić takie technologie prawie tak łatwo, jak słuchawki na Amazonie. Kolejnym powodem jest chęć zacierania śladów. Jeśli chcesz ukryć to, co robisz, to lepiej zawrzeć odpowiednią umowę z prywatnym podmiotem. To szczególnie niepokojące, bo widzimy również prywatne przedsiębiorstwa zawierające umowy z firmami z branży hakerów na wynajem. Znamy przykłady wykorzystywania tych technologii przez wielkie korporacje do ścigania swoich przeciwników. Citizen Lab badało na przykład sprawę Dark Basin, gdzie indyjska firma hakerska BellTroX była wynajmowana przez liczne prywatne firmy, które chciały komuś zaszkodzić.
Naiwne pytanie, ale jak to możliwe, że taka technologia jest w ogóle legalna?
W pewnym sensie jest to zdecydowanie nielegalne, narusza lokalne prawo, tak samo jak innego rodzaju szpiegostwo. Ale w praktyce jest to szara strefa. Natomiast w niektórych przypadkach istnieje szansa na odpowiedzialność. Weźmy Polskę. Jeśli to, co się stało, wydarzyło się bez odpowiedniej zgody sądu, to pewnie ktoś powinien być za to pociągnięty do odpowiedzialności. W demokratycznym kraju nie można tak po prostu podsłuchiwać ludzi.
Pegasus miał być niewykrywalny. Czy da się wyjaśnić laikowi, jak go w ogóle odkryliście?
To prawda, że miał być niewykrywalny, ale nawet najbardziej zaawansowane programy szpiegowskie pozostawiają cyfrowe ślady [ang. digital breadcrumbs]. Przede wszystkim kilka razy udało nam się przechwycić Pegasusa i inne programy szpiegowskie bezpośrednio z urządzeń ofiar. To bardzo ważne, ponieważ dzięki temu mogliśmy wykorzystać techniki inżynierii odwrotnej w odniesieniu do tego oprogramowania. Możemy tym samym odtworzyć spyware, zdefiniować wskaźniki jego użycia i prowadzić dalsze dochodzenie.
Wiemy więc następnie, jak działa dane oprogramowanie i jak rozpoznać jego użycie w telefonie ofiary. Gdy ofiara przekazuje nam urządzenie, zbieramy dane, a następnie szukamy śladów, które świadczą o nietypowych procesach, które nie powinny mieć miejsca. Niektóre możemy z bardzo dużą dozą pewności przypisać do konkretnych typów oprogramowania szpiegowskiego: Pegasus, Predator itp. Te wskaźniki są czasem tak precyzyjne, że możemy zobaczyć z dokładnością do sekundy, kiedy ktoś został zhakowany.
Kolejna rzecz: niezależna weryfikacja. Otóż urządzenia Apple zachowują takie zapisy. Gdy powiadomiliśmy firmę o naszych ustaleniach, oni zaczęli je potwierdzać. Pozwali NSO Group i jednocześnie załatali pewne luki oprogramowania wykorzystywane przez Pegasusa. Apple powiadomiło też wszystkie zidentyfikowane ofiary. Z jednej strony jest więc nasza staranna praca kryminalistyczna, a z drugiej strony weryfikacja producenta. Z kolei ośrodek prowadzony przez Amnesty International ma nieco inną metodologię i w wymagających tego przypadkach możemy wzajemnie sprawdzać swoje ustalenia.
Następna sprawa. Jeśli zhakuję pana urządzenie za pomocą Pegasusa, dane z urządzenia muszą gdzieś trafić. Są one wysyłane za pośrednictwem internetu do serwerów, które NSO Group kontroluje w imieniu swoich klientów. Używamy różnych technik mapowania sieci, mamy również dostęp do baz danych innych firm, które skanują internet, a to pozwala nam uzyskać dobry obraz infrastruktury podmiotów takich jak NSO Group, jak również tego, kim są ich prawdopodobni klienci rządowi. Powiem tak: można z dużą dozą pewności i precyzji powiedzieć, że czyjś telefon został zhakowany za pomocą Pegasusa, ale znacznie trudniej powiedzieć, kto za tym stoi. Jesteśmy jak śledczy na miejscu zbrodni. Możemy jasno stwierdzić, że doszło do morderstwa. Mamy łuski, możemy nawet powiedzieć, jakiej broni użyto. Ale kto pociągnął za spust? Tutaj polegamy na mniej lub bardziej poszlakowych dowodach.
W jaki sposób Apple i Google zareagowały na wasze ustalenia?
Cieszy to, że obie firmy podęły natychmiastowe kroki w celu załatania dziur w swoich systemach. Co więcej, Apple i Meta pozwały NSO Group, co daje perspektywę częściowego rozliczenia takich działań. Mimo to w naszej działalności jesteśmy z reguły krytyczni wobec tych platform i uważnie przyglądamy się ich praktykom. Mają one duży wgląd w to, co dzieje się w ich sieciach i wpływa na bezpieczeństwo użytkowników – i mogłyby robić w tym obszarze znacznie więcej.
Czy należy zakładać, że istnieje wiele programów szpiegowskich, o których wciąż jeszcze nie wiemy?
Bardzo wiele, naprawdę. Przykłady, o których rozmawiamy, to igła w stogu siana. W stogu siana o wysokości wieżowca. Citizen Lab to tylko jedna organizacja, Amnesty International to druga. Wciąż niewiele osób zajmuje się tak specjalistyczną pracą, a nasze możliwości są ograniczone. Chodzimy od ofiary do ofiary i wypełniamy jedynie małe fragmenty ogromnego obrazu całości, jeden po drugim.
To znaczy, że w sieci wszyscy widzą wszystko?
Istnieją różne stopnie widoczności. Media społecznościowe i kapitalizm nadzoru wytworzyły niezwykłą sytuację – ekosystem inwigilacji dla celów biznesowych. Jest to cała gospodarka zorientowana na wydobywanie informacji od użytkowników w celach reklamowych. Następnie mamy rządy i agencje bezpieczeństwa, które jadą na plecach sektora prywatnego, korzystając ze stworzonych przezeń rozwiązań. Są również prywatne firmy zajmujące się inwigilacją, które obsługują klientów rządowych i pomagają im zdobywać informacje. Niektóre czynią to przez masową analizę danych. Inne zajmują się oprogramowaniem szpiegowskim. Ich działalność ma wpływ na nas wszystkich. Gdy przekraczamy granicę, coraz częściej używana jest wobec nas technologia biometryczna. Bardzo trudno się przed tym ukryć. Stworzyliśmy ekosystem, któremu teraz podlegamy i dopiero zaczynamy doświadczać jego negatywnych reperkusji.
I co teraz trzeba zrobić?
Tego problemu na pewno nie da się rozwiązać na poziomie użytkowników. Oczywiście, możemy próbować zmniejszyć swoją ekspozycję na zagrożenia. Można aktualizować oprogramowanie, ale ostatecznie jednostka niewiele może zrobić.
Musimy spojrzeć szerzej. Często posługuję się metaforą stołka o trzech nogach. Po pierwsze, potrzebujemy silnego społeczeństwa obywatelskiego. Dziennikarze tacy jak pan i organizacje jak Citizen Lab muszą wykonywać pracę polegającą na pociąganiu firm i rządów do odpowiedzialności. Chciałbym, aby rosła popularność dziedziny badań, które prowadzimy. Dobrze byłoby zobaczyć kolejne odpowiedniki Citizen Lab na Uniwersytecie Warszawskim i innych. Po drugie, jest rola platform technologicznych, takich jak Apple i Google. Powinny robić więcej, aby chronić swoich użytkowników i pociągać do odpowiedzialności firmy wykorzystujące ich sieci.
Wreszcie jest najważniejsza noga: rola rządów, które również muszą zdziałać więcej. Oczywiście, pewne państwowe agencje bezpieczeństwa wolałyby nie wchodzić za głęboko w ten temat. Dla nich atmosfera tajemnicy jest korzystna. Nie lubią, gdy ludzie przyglądają się temu, co robią. I są przyzwyczajone do tego, że przez wiele dziesięcioleci były poza kontrolą opinii publicznej. W liberalnej demokracji jest to niedopuszczalne. Kanadyjska policja ujawniła ostatnio, że również korzysta z oprogramowania do inwigilacji. Nie mamy żadnego nadzoru nad tym, w jaki sposób je wykorzystują. Dlatego muszą istnieć odpowiednie zasady zarówno na poziomie przemysłowym, jak i rządowym.
Czy da się uregulować ten sektor w taki sposób, aby nie zmniejszać naszych zdolności obronnych? Można zgłosić zastrzeżenie, że jak Chiny czy Zjednoczone Emiraty Arabskie będą nadal używać tych technologii, a my będziemy zbyt restrykcyjni, to Zachód osłabnie, a oni zyskają nad nami przewagę.
To uprawnione pytanie. Myślę jednak, że w liberalnej demokracji można mieć dobrze wyposażone, dobrze wyszkolone, bardzo dobrze finansowane, chroniące nas przed zagrożeniami, pociągające przestępców do odpowiedzialności, wykorzystujące zaawansowaną technologię organy ścigania. Jedyna różnica między tym, co one robią, a tym, co może robić reżim autorytarny, polega na tym, że w demokrację liberalną wbudowane są instytucje kontroli i odpowiedzialności publicznej.