Trzy lekcje po aferze z Pegasusem

Dziennikarze, adwokaci i najważniejsi politycy, m.in. prezydent Francji Emmanuel Macron, byli inwigilowani za pomocą Pegasusa – wynika z lipcowych doniesień Guardiana. Pegasus to oprogramowanie służące do totalnej inwigilacji, do którego dostęp mają również polskie służby. Z tej afery płyną trzy ważne wnioski.

1. Zamiast terrorystów – niepokorni obywatele i obywatelki

Twórcy Pegasusa (wciąż) twierdzą, że ich program został stworzony do walki z najpoważniejszymi przestępcami. Tymczasem państwa, które kupiły system, wykorzystują go w zgoła innych celach, np. na Węgrzech za jego pomocą inwigilowani byli niezależni dziennikarze. To nie pierwsza sytuacja, w której nowe uprawnienia lub technologie wykorzystywane przez służby do walki z terroryzmem lub w innych szczytnych celach używane są przeciwko wszystkim obywatelom.
Dla przykładu: w indyjskim Delhi rozpoznające twarze kamery zostały zainstalowane w celu poszukiwania zaginionych dzieci. Szybko okazało się jednak, że urządzenia służą do rozpoznawania uczestników demonstracji. Z kolei unijną odpowiedzią na zamachy w Londynie i Madrycie było przyjęcie tzw. dyrektywy retencyjnej – przepisów zobowiązujących operatorów telekomunikacyjnych do przechowywania lokalizacji klientów i udostępniania ich na wniosek służb. Czas pokazał, że informacje te są wykorzystywane bez jakiejkolwiek kontroli, w sprawach błahych przestępstw, a niekiedy nawet wykroczeń (np. jeżdżenia koleją na gapę).

Lekcja pierwsza

Wyjątkowe możliwości służb (prawne czy technologiczne) mają tendencje do rozszerzania się. To, co początkowo ma służyć do walki z tymi, w których obronie nikt nie stanie, wkrótce jest wykorzystywane w codziennej pracy służb. Dlatego powinniśmy być szczególnie ostrożni, słysząc, że nowe rozwiązanie jest potrzebne do walki z terrorystami, porywaczami dzieci lub – ostatnio w polskim kontekście – rosyjskimi przestępcami czy tzw. antyszczepionkowcami.

2. Koniec złudzenia bezpiecznej komunikacji?

Pegasus pozwala przejąć kontrolę nad urządzeniem i wszystkimi znajdującymi się na nim informacjami, także rozmowami prowadzonymi za pośrednictwem „bezpiecznych” komunikatorów, takich jak WhatsApp czy Signal. Zainfekowanie telefonu oprogramowaniem szpiegowskim zaprzepaszcza starania o zachowanie poufności komunikacji, np. poprzez szyfrowanie wiadomości.
Rosnąca popularność szyfrowanych komunikatorów czy dysków jest solą w oku wielu rządów. W kierunku uzyskania możliwości siłowego dostępu do zabezpieczonych informacji idzie nasz rząd, który w lipcu zapowiedział stworzenie Centralnego Biura Zwalczania Cyberprzestępczości. Biuro ma tworzyć oprogramowanie do łamania haseł i włamywania się na serwery – oczywiście w ramach walki z najpoważniejszą przestępczością (na konferencji prasowej ogłaszającej inicjatywę premier Mateusz Morawiecki mówił nawet o „rosyjskich hakerach”).
Złośliwe oprogramowanie to nie jedyne zagrożenie dla bezpiecznej komunikacji: strona polityczna wywiera presję, by odebrać obywatelom możliwość poufnej komunikacji. Niedawno Catherine De Bolle (dyrektor wykonawcza w Europolu) apelowała na łamach serwisu Politico o prawne uregulowanie szyfrowania. „Regulowane szyfrowanie” to jednak eufemizm: chodzi o to, by rząd mógł się dostać tylnymi drzwiami do treści naszych wiadomości. Podważa to bezpieczeństwo komunikacji i pozostawia ją podatną na ataki ze strony wrogich podmiotów. Nie ma czegoś takiego jak tylne drzwi tylko dla „dobrych rządów”. Afera w sprawie Pegasusa przypomina, że nie wszystkie rządy są „dobre” i że „dobre rządy” też mogą mieć coś za uszami.
Służby nie zawsze mają techniczny dostęp do wszystkich zaszyfrowanych informacji. Nawet FBI potrzebowało kilku lat, żeby zdobyć dostęp do danych zaszyfrowanych przez Apple’a. Jednak od dłuższego czasu widać rosnący nacisk na ograniczenie bezpieczeństwa i poufności komunikacji obywateli.

Lekcja druga

Szyfrowana komunikacja to nie tylko narzędzie wykorzystywane przez przestępców. To przede wszystkim możliwość swobodnej komunikacji adwokata z klientem, dziennikarza z informatorem, a w niektórych krajach – np. grup dyskryminowanych lub obywateli i obywatelek chcących zaprotestować przeciwko władzy. Powinniśmy się troszczyć o możliwość bezpiecznej komunikacji, na co dzień wybierając szyfrowane komunikatory i patrząc na ręce tym, którzy chcą tę możliwość ograniczyć.

3. Jest coraz gorzej

Żyjemy w złotej erze służb, które nigdy nie mogły dowiedzieć się tak wiele – i o tylu osobach – naraz. Żaden podsłuch w pokoju czy OZI („osobowe źródło informacji”) nie ujawni służbom tyle, co telefon komórkowy. Noszony stale w kieszeni smartfon może dostarczać szczegółowej wiedzy o zainteresowaniach użytkownika (aktywność w Internecie), korespondencji, kontaktach, transakcjach finansowych (płatności mobilne), a nawet zabezpieczeniach na innych nośnikach danych (np. informacje o sposobach dwuetapowej weryfikacji). Naukowcy z Massachusetts Institute of Technology ustalili, że tylko na podstawie informacji o lokalizacji i billingu z jednego miesiąca można odtworzyć sieć kontaktów, a w 90% przypadków ustalić tożsamość osób należących do tej sieci. Co więcej, w 95% przypadków na podstawie tych danych można przewidzieć, gdzie znajdzie się właściciel telefonu w ciągu kolejnych 12 godzin.
Żadne służby, nawet rekordowo liczne Stasi (w ciągu 41 lat istnienia służba miała 600 000 współpracowników), nie mogły pozwolić sobie na to, by każdy obywatel i obywatelka mieli „ogon”, a lokalizacja każdego Niemca i Niemki była dostępna na wyciągnięcie ręki. Wraz z rozwojem technologii problem zniknął. Dziś polscy funkcjonariusze Policji i ośmiu innych służb mogą kilkoma kliknięciami sprawdzić, gdzie każdy i każda z nas przebywał w ciągu ostatnich 12 miesięcy.
Problem się pogłębia, a rozwój technologii ułatwia inwigilację i profilowanie osób „podejrzanych”. Obywatele protestujący przeciwko opresyjnej władzy dotąd narażali się na przemoc fizyczną, ale ryzyko negatywnych konsekwencji po antyrządowych demonstracjach było ograniczone słabą jakością zdjęć i filmów. Widać to doskonale na materiałach archiwalnych Służby Bezpieczeństwa. Dzisiejsi demonstranci – tak jak ci, którzy protestowali w Hongkongu – muszą liczyć się z tym, że wszędobylskie kamery, wyposażone w funkcję rozpoznawania twarzy, posłużą do stworzenia kompletnej listy protestujących. Być może – jak donosiła Gazeta Wyborcza – takie oprogramowanie wykorzystywane jest także w Polsce przez Agencję Bezpieczeństwa Wewnętrznego. Jednak nawet jeśli ABW nie używa go teraz, to technologia ta może upowszechnić się już za kilka lat (przez obniżenie kosztów produkcji albo tworzenie rodzimych rozwiązań).

Lekcja trzecia

Coraz pilniejsze staje się wprowadzenie kontroli nad stosowaniem przez służby specjalne narzędzi inwigilacji. Powinna ona obejmować dwa elementy: stworzenie niezależnego organu mogącego sprawdzać, czy służby nie nadużywały swoich uprawnień, oraz mechanizmu informowania osób, które były inwigilowane, o tym fakcie (oczywiście po upływie pewnego czasu, np. 12 miesięcy). Oba te rozwiązania są obecne w większości państw Unii Europejskiej. W krótkiej perspektywie czasowej w kraju, w którym – jak twierdzi nawet związany z partią rządzącą senator Jan M. Jackowski – jesteśmy „w fazie polityki hakowej, mającej na celu skłaniać polityków do określonych działań”, trudno liczyć na tak rewolucyjną zmianę. Jednak takiego programu powinniśmy domagać się zarówno od rządzących, jak i przede wszystkim od polityków demokratycznej opozycji.

Wojciech Klicki

Tekst ukazał się 05.08 na stronie OKO.press.

Polecamy:

• Politico: We need more protection from government surveillance — not less
• Panoptykon: Podsłuch jak się patrzy

Projekt „Wszystko pod kontrolą” realizowany jest z dotacji programu Aktywni Obywatele – Fundusz Krajowy finansowanego przez Islandię, Liechtenstein i Norwegię w ramach Funduszy EOG.