Izabela Kacprzak i Grażyna Zawadka na łamach dziennika „Rzeczpospolita”, w obszernym artykule opisują jak rzeczywiście działał i jak był używany przez służby system operacyjny Pegasus. Przedstawiamy najważniejsze wnioski z tego tekstu.
Historia Pegasusa:
W 2016 roku CBA podjęło decyzję o poszukiwaniu oprogramowania, które umożliwiłoby kontrolę komunikatorów szyfrowanych z których coraz częściej zaczęli korzystać przestępcy.
Pegasus został zakupiony przez CBA we wrześniu 2017 roku od izraelskiej spółki NSO Group, poprzez firmę Matic, zgodnie z zatwierdzeniem rządu Izraela.
Jego działanie opiera się na odczytywaniu zawartości telefonów, nie ma możliwości ingerencji w treści.
Funkcjonowanie Pegasusa w Polsce:
Umieszczony był w najbardziej chronionej strefie centrali CBA.
Ograniczał się do dwóch komputerów i obsługiwało go kilkanaście osób.
Działał na zasadzie trybu „read only”, czyli odczytywał zawartość telefonów, a nie modyfikował treści.
Ograniczenia Pegasusa:
Nie miał możliwości wprowadzania zmian w treściach SMS-ów czy komunikatorów.
Nie był w stanie infekować telefonów bez interakcji użytkownika.
Nie mógł przechwytywać danych historycznych sprzed wydania zgody przez sąd.
Kontrola operacyjna i prawne aspekty:
Użycie Pegasusa wymagało zgody sądu, która opierała się na artykule 17 pkt. 4 ustawy o CBA: "W przypadku potrzeby zarządzenia kontroli operacyjnej wobec podejrzanego lub osoby będącej oskarżonym w innej sprawie, we wniosku Szefa CBA, o którym mowa w ust. 1, zamieszcza się informację o toczącym się wobec podejrzanego lub tej osoby postępowaniu."
Sądy były świadome zastosowania Pegasusa przez CBA do sprawdzania zawartości smartfonów, wnioski do nich kierowane były odpowiednio uzasadnione.
Możliwość nadużyć i środki bezpieczeństwa:
Istniała teoretyczna możliwość nadużyć, jednak system był zaprojektowany w taki sposób, aby rejestrować każde jego użycie.
Ewentualne nadużycia mogłyby zostać wykryte poprzez analizę logów systemowych.
Podsumowując, Pegasus był narzędziem używanym przez CBA do monitorowania komunikacji telefonicznej, zgodnie z prawem i zastosowanymi procedurami. Ograniczał się do odczytywania zawartości telefonów, nie ingerując w nie.
Ta ostatnia informacja jest o tyle cenna, że przeczy politycznej dezinformacji, że Biuro np. włamywało się do telefonu, zmieniało treść SMS-ów i „sfałszowany” materiał dawało do śledztwa (to sugerowała m.in. prok. Ewa Wrzosek, której prokuratura chce stawiać zarzuty za ujawnienie informacji z jednego ze śledztw).
W artykule wypowiada się Adam Haertle, redaktor naczelny portalu zaufanatrzeciastrona.pl, ekspert ws. Pegasusa.
Bezpieczeństwo danych:
"Owszem, serwery mogły być w siedzibie CBA, ale twórcy systemu zostawili pod swoją kontrolą kawałek systemu odpowiedzialny za sam proces infekcji, więc dane, kto został zarażony – muszą znajdować się w rękach NSO Group."
Potencjalne zagrożenia:
"Ten mechanizm od lat wykorzystują grupy przestępcze, wiele włamań np. do kont właśnie od tego się zaczyna. Chodzi o pobranie „ciasteczek” użytkownika z aplikacji i wykorzystanie ich do podszycia się pod tą osobę poprzez np. wysłanie maila."
Rejestracja działań systemu:
"Twórca oprogramowania wprowadza takie zabezpieczenia, które rejestrują każde wejście, użycie systemu, wobec kogo i kiedy."
Dostępność informacji o użyciu oprogramowania:
"Pełne informacje o użyciu oprogramowania powinny znajdować się na serwerach, w komputerach i jeśli nie zostały zniszczone, to powinniśmy je odczytać."
Źródło: Rp.pl
Comments