Legalne, ale tajne? Analiza kontrowersji wokół RCS

Atak na serwery i zabezpieczenia Hacking Team – włoskiej firmy specjalizującej się w oprogramowaniu szpiegującym – uchylił nam drzwi do świata, który polskie i zagraniczne służby najchętniej chowają pod podłogą. Podejmowane przez różne organizacje, w tym Fundację Panoptykon, próby wydobycia informacji od służb o narzędziach, z jakich korzystają, napotykają niezmienny opór. Wpadka Hacking Team pokazuje, że ta taktyka ma krótkie nogi: jeśli państwo podejmuje kontrowersyjne działania przeciwko obywatelom, wcześniej czy później – w wyniku wewnętrznego wycieku, ataku czy po prostu rzetelnego, dziennikarskiego śledztwa – wyjdzie to na jaw. Korzystając z medialnych doniesień, podsumowujemy, jakie możliwości polskie służby mogły zyskać dzięki usługom Hacking Team i czy było to zgodne z polskim prawem.

Na co pozwala Remote Control System?

Flagowym produktem, który Hacking Team oferowało służbom specjalnym, był Remote Control System (RCS) – kompleksowa platforma służąca do infekowania, a następnie zdalnego i ukrytego kontrolowania urządzeń takich jakich komputery i telefony komórkowe. RCS umożliwia przejęcie kontroli nad wybranym urządzeniem, a następnie utrwalanie wszystkich czynności jego użytkownika. Operator może oglądać odwiedzane przez ofiarę strony, czytać przesyłaną pocztę, słuchać rozmów wykonywanych przez Skype, a nawet przechwytywać wpisywane hasła. Trudno sobie wyobrazić głębszą ingerencję w prywatność użytkownika.

A to jeszcze nie koniec: przeprowadzona przez społeczność hakerską analiza kodu RCS daje podstawy, by sądzić, że to narzędzie umożliwiało również modyfikowanie treści na zainfekowanych urządzeniach, np. podrzucanie fałszywych dowodów. Taka prowokacja, w postaci podrzucenia np. materiału o charakterze pedofilskim, otwiera służbom szerokie możliwości działania – od zajęcia sprzętu po zatrzymanie właściciela. Na podstawie samej analizy kodu trudno jednak ustalić, czy taka funkcja mogła zostać uruchomiona przez administratorów zarządzających faktycznymi instalacjami RCS. Tym samym nie wiemy, przez kogo i jak była wykorzystywana (o ile w ogóle).

Według ostatnich doniesień oprogramowanie dostarczane przez Hacking Team miało też umożliwiać śledzenie użytkowników w sieci TOR, która – co do zasady – gwarantuje anonimowość, ponieważ nie jest w niej ujawniany prawdziwy numer IP użytkownika. Strategia Hacking Team nie opierała się na podważaniu zasad, na jakich działa TOR, ale na zastawianiu pułapek na osoby próbujące dostać się do tej sieci – właśnie po to, by móc zainfekować ich urządzenie i śledzić dalsze działania „od wewnątrz”.

CBA kupuje licencję

Ujawnione dokumenty pozwalają na zrekonstruowanie listy klientów Hacking Team. Są na niej reżimy niecieszące się dobrą reputacją, jeśli chodzi o przestrzeganie praw człowieka – m.in. Kazachstan, Azerbejdżan, Uzbekistan, Oman, Arabia Saudyjska, Etiopia, Nigeria, Sudan. I jest także Polska. W 2012 r. Centralne Biuro Antykorupcyjne kupiło od Hacking Team licencję za 178 tys. euro, a w kolejnych latach płaciło ponad 35 tys. euro rocznie za wsparcie techniczne. To jednak nie oznacza, że polskie służby mogły korzystać (ani że w praktyce korzystały) ze wszystkich możliwości, jakie daje RCS.

CBA kupiło od Hacking Team licencję za 178 tys. euro, a kolejne 35 tys. euro rocznie płaciło za wsparcie techniczne.

Oprogramowanie składa się z różnych modułów, których funkcje i możliwości różnią się zasadniczo, m.in. w zależności od systemu operacyjnego i typu urządzenia, jakiego dotyczy konkretna licencja. Zakres możliwości technicznych, jakie stwarzała licencja wykupiona przez CBA, nie jest jasny. Wiemy tylko, że pozwalała na zainfekowanie do 10 komputerów, bez możliwości zarażania urządzeń mobilnych.

Z opublikowanych maili wynika, że w 2014 r. CBA rozważała zmianę licencji na taką, która pozwala infekować również urządzenia mobilne, ale nie potwierdzono tej dodatkowej transakcji. Korespondencja między polską służbą i Hacking Team sugeruje, że sposób działania RCS nie był szczególnie przyjazny i polscy administratorzy nie byli z niego zadowoleni. Można zatem przypuszczać, że ta współpraca z czasem została rozwiązana. Ujawnione dokumenty wskazują jednak na próby sprzedaży systemu RCS innym polskim służbom, ale nie mamy dowodów ewentualnych transakcji.

Co na to polskie prawo?  

Zgodnie z obowiązującym prawem polskie służby – w tym CBA – mogą dość swobodnie korzystać z narzędzi służących do kontrolowania (przechwytywania) komunikacji elektronicznej w sposób niejawny. Przepis, z którego wynikają te uprawnienia, został sformułowany na tyle ogólnikowo, że nie wyklucza zastosowania takiego oprogramowania jak RCS. To jeden z problemów, na które w swoim wniosku do Trybunału Konstytucyjnego zwróciła uwagę Rzecznik Praw Obywatelskich. Niestety, sędziowie stwierdzili, że na poziomie przepisów nie ma potrzeby doprecyzowania uprawnień służb, tak długo jak sądy – wyrażając zgodę na kontrolę operacyjną – jasno wyznaczają jej granice. Praktyka sądowa na tym polu jest bardzo różna, ale jasne wskazanie narzędzia i sposobu, w jaki może zostać wykorzystane, nie należy do standardu. W efekcie decydują prowadzący kontrolę operacyjną agenci. W ramach istniejących uprawnień, na podstawie ogólnie sformułowanej zgody sądu, mogą włamać się na nasze urządzenie, przechwycić hasło do poczty, przeczytać maile czy podsłuchać rozmowę.

W ramach istniejących uprawnień służby mogą włamać się na nasze urządzenie, przechwycić hasło do poczty, przeczytać maile czy podsłuchać rozmowę.

Jak pokazała sprawa Beaty Sawickiej, poza ścisłymi ramami tzw. operacji specjalnych służby nie mogą jednak stosować prowokacji. A zatem, gdyby nawet – dzięki systemowi RCS – CBA zyskało techniczną możliwość podstawiania śledzonym osobom fałszywych dowodów, nie mogłoby z niej skorzystać w granicach prawa. Operacje specjalne, które prawo dopuszcza w uzasadnionych przypadkach, nie polegają na wrabianiu niewinnej osoby w przestępstwo czy wykroczenie, którego nie popełniła.

Kolejny prawny problem związany z możliwościami systemu RCS to ewentualne ujawnianie informacji na temat prowadzonej kontroli operacyjnej samej firmie Hacking Team. Wśród komentatorów ten wątek wzbudza największe kontrowersje: czy dostawcy systemu mogli się dowiedzieć, jak ich narzędzie jest wykorzystywane w praktyce? Nie ma na to twardych dowodów – są tylko spekulacje oparte o elementy kodu (tzw. watermarking).

Kontrowersje i otwarte pytania

Medialne spekulacje to z pewnością za mało, by czynić polskim służbom zarzut z naruszenia standardów ochrony informacji niejawnych i narażenia obywateli czy samych instytucji państwa na nielegalne szpiegowanie przez włoską firmę. Kierunek tej dyskusji pokazuje jednak możliwe zagrożenia: decydując się na zakup komercyjnych rozwiązań, szczególnie za granicą, polskie służby stają przed poważnym wyzwaniem w postaci zweryfikowania możliwych technicznych haków i dobrego zabezpieczenia swoich interesów. W praktyce nie musi to być proste. Na kanwie tej sprawy wraca też pytanie o etyczne standardy w handlu bronią i szpiegowskim oprogramowaniem. Czy Polska powinna zawierać transakcje z firmami, które de facto wspierają działania autorytarnych reżimów? Jeśli poważnie traktujemy prawa człowieka, dobrą praktyką byłoby bojkotowanie takich dostawców, jako wyraz oficjalnej polityki państwa. Wreszcie, z perspektywy obywateli, nasuwa się pytanie o sens i granice utrzymywania takich transakcji w sferze tajności. Skoro państwo nie widzi potrzeby ukrywania swoich zdolności inwigilacyjnych wobec zagranicznej firmy, dlaczego tak się obawia własnych obywateli?

Kilka tygodni temu zwróciliśmy się do Centralnego Biura Antykorupcyjnego z wnioskiem o udostępnienie informacji publicznej dotyczącej wykorzystywanych narzędzi inwigilacji, która może dotyczyć każdego obywatela. CBA wydało decyzję odmowną, powołując się na konieczność zachowania tajemnicy w zakresie wykorzystywanych metod i środków pracy. O wykorzystywanie – już konkretnie systemu RCS – pytała też Helsińska Fundacja Praw Człowieka. I tym razem CBA uznało, że jest to informacja niejawna, a sąd administracyjny oddalił skargę organizacji w tej sprawie. Tak długo, jak oficjalna droga do informacji pozostaje zablokowana, jesteśmy skazani na domysły i wycieki.

Czy nie lepiej byłoby, tak jak ma to miejsce w przypadku podsłuchów (których stosowania nikt się nie wypiera, a służby same publikują dane pokazujące skalę ich wykorzystania) czy dostępu do billingów, wprowadzić temat koni trojańskich i innych metod przechwytywania komunikacji elektronicznej w sferę merytorycznej debaty publicznej? Jeśli takie działania są realizowane w granicach prawa, nie ma powodu, by je ukrywać.

Katarzyna Szymielewicz

Współpraca: Kamil Śliwowski, Wojciech Klicki

Ujawnione dokumenty z „wątkiem polskim”

Więcej na ten temat:

Citizenlab: Mapping Hacking Team's untraceable spyware

Fundacja Panoptykon: Perypetie zbierania informacji