Trzy lekcje po aferze z Pegasusem

Artykuł

Dziennikarze, adwokaci i najważniejsi politycy, m.in. prezydent Francji Emmanuel Macron, byli inwigilowani za pomocą Pegasusa – wynika z lipcowych doniesień Guardiana. Pegasus to oprogramowanie służące do totalnej inwigilacji, do którego dostęp mają również polskie służby. Z tej afery płyną trzy ważne wnioski.

1. Zamiast terrorystów – niepokorni obywatele i obywatelki

Twórcy Pegasusa (wciąż) twierdzą, że ich program został stworzony do walki z najpoważniejszymi przestępcami. Tymczasem państwa, które kupiły system, wykorzystują go w zgoła innych celach, np. na Węgrzech za jego pomocą inwigilowani byli niezależni dziennikarze. To nie pierwsza sytuacja, w której nowe uprawnienia lub technologie wykorzystywane przez służby do walki z terroryzmem lub w innych szczytnych celach używane są przeciwko wszystkim obywatelom.
Dla przykładu: w indyjskim Delhi rozpoznające twarze kamery zostały zainstalowane w celu poszukiwania zaginionych dzieci. Szybko okazało się jednak, że urządzenia służą do rozpoznawania uczestników demonstracji. Z kolei unijną odpowiedzią na zamachy w Londynie i Madrycie było przyjęcie tzw. dyrektywy retencyjnej – przepisów zobowiązujących operatorów telekomunikacyjnych do przechowywania lokalizacji klientów i udostępniania ich na wniosek służb. Czas pokazał, że informacje te są wykorzystywane bez jakiejkolwiek kontroli, w sprawach błahych przestępstw, a niekiedy nawet wykroczeń (np. jeżdżenia koleją na gapę).

Lekcja pierwsza

Wyjątkowe możliwości służb (prawne czy technologiczne) mają tendencje do rozszerzania się. To, co początkowo ma służyć do walki z tymi, w których obronie nikt nie stanie, wkrótce jest wykorzystywane w codziennej pracy służb. Dlatego powinniśmy być szczególnie ostrożni, słysząc, że nowe rozwiązanie jest potrzebne do walki z terrorystami, porywaczami dzieci lub – ostatnio w polskim kontekście – rosyjskimi przestępcami czy tzw. antyszczepionkowcami.

2. Koniec złudzenia bezpiecznej komunikacji?

Pegasus pozwala przejąć kontrolę nad urządzeniem i wszystkimi znajdującymi się na nim informacjami, także rozmowami prowadzonymi za pośrednictwem „bezpiecznych” komunikatorów, takich jak WhatsApp czy Signal. Zainfekowanie telefonu oprogramowaniem szpiegowskim zaprzepaszcza starania o zachowanie poufności komunikacji, np. poprzez szyfrowanie wiadomości.
Rosnąca popularność szyfrowanych komunikatorów czy dysków jest solą w oku wielu rządów. W kierunku uzyskania możliwości siłowego dostępu do zabezpieczonych informacji idzie nasz rząd, który w lipcu zapowiedział stworzenie Centralnego Biura Zwalczania Cyberprzestępczości. Biuro ma tworzyć oprogramowanie do łamania haseł i włamywania się na serwery – oczywiście w ramach walki z najpoważniejszą przestępczością (na konferencji prasowej ogłaszającej inicjatywę premier Mateusz Morawiecki mówił nawet o „rosyjskich hakerach”).
Złośliwe oprogramowanie to nie jedyne zagrożenie dla bezpiecznej komunikacji: strona polityczna wywiera presję, by odebrać obywatelom możliwość poufnej komunikacji. Niedawno Catherine De Bolle (dyrektor wykonawcza w Europolu) apelowała na łamach serwisu Politico o prawne uregulowanie szyfrowania. „Regulowane szyfrowanie” to jednak eufemizm: chodzi o to, by rząd mógł się dostać tylnymi drzwiami do treści naszych wiadomości. Podważa to bezpieczeństwo komunikacji i pozostawia ją podatną na ataki ze strony wrogich podmiotów. Nie ma czegoś takiego jak tylne drzwi tylko dla „dobrych rządów”. Afera w sprawie Pegasusa przypomina, że nie wszystkie rządy są „dobre” i że „dobre rządy” też mogą mieć coś za uszami.
Służby nie zawsze mają techniczny dostęp do wszystkich zaszyfrowanych informacji. Nawet FBI potrzebowało kilku lat, żeby zdobyć dostęp do danych zaszyfrowanych przez Apple’a. Jednak od dłuższego czasu widać rosnący nacisk na ograniczenie bezpieczeństwa i poufności komunikacji obywateli.

Lekcja druga

Szyfrowana komunikacja to nie tylko narzędzie wykorzystywane przez przestępców. To przede wszystkim możliwość swobodnej komunikacji adwokata z klientem, dziennikarza z informatorem, a w niektórych krajach – np. grup dyskryminowanych lub obywateli i obywatelek chcących zaprotestować przeciwko władzy. Powinniśmy się troszczyć o możliwość bezpiecznej komunikacji, na co dzień wybierając szyfrowane komunikatory i patrząc na ręce tym, którzy chcą tę możliwość ograniczyć.

3. Jest coraz gorzej

Żyjemy w złotej erze służb, które nigdy nie mogły dowiedzieć się tak wiele – i o tylu osobach – naraz. Żaden podsłuch w pokoju czy OZI („osobowe źródło informacji”) nie ujawni służbom tyle, co telefon komórkowy. Noszony stale w kieszeni smartfon może dostarczać szczegółowej wiedzy o zainteresowaniach użytkownika (aktywność w Internecie), korespondencji, kontaktach, transakcjach finansowych (płatności mobilne), a nawet zabezpieczeniach na innych nośnikach danych (np. informacje o sposobach dwuetapowej weryfikacji). Naukowcy z Massachusetts Institute of Technology ustalili, że tylko na podstawie informacji o lokalizacji i billingu z jednego miesiąca można odtworzyć sieć kontaktów, a w 90% przypadków ustalić tożsamość osób należących do tej sieci. Co więcej, w 95% przypadków na podstawie tych danych można przewidzieć, gdzie znajdzie się właściciel telefonu w ciągu kolejnych 12 godzin.
Żadne służby, nawet rekordowo liczne Stasi (w ciągu 41 lat istnienia służba miała 600 000 współpracowników), nie mogły pozwolić sobie na to, by każdy obywatel i obywatelka mieli „ogon”, a lokalizacja każdego Niemca i Niemki była dostępna na wyciągnięcie ręki. Wraz z rozwojem technologii problem zniknął. Dziś polscy funkcjonariusze Policji i ośmiu innych służb mogą kilkoma kliknięciami sprawdzić, gdzie każdy i każda z nas przebywał w ciągu ostatnich 12 miesięcy.
Problem się pogłębia, a rozwój technologii ułatwia inwigilację i profilowanie osób „podejrzanych”. Obywatele protestujący przeciwko opresyjnej władzy dotąd narażali się na przemoc fizyczną, ale ryzyko negatywnych konsekwencji po antyrządowych demonstracjach było ograniczone słabą jakością zdjęć i filmów. Widać to doskonale na materiałach archiwalnych Służby Bezpieczeństwa. Dzisiejsi demonstranci – tak jak ci, którzy protestowali w Hongkongu – muszą liczyć się z tym, że wszędobylskie kamery, wyposażone w funkcję rozpoznawania twarzy, posłużą do stworzenia kompletnej listy protestujących. Być może – jak donosiła Gazeta Wyborcza – takie oprogramowanie wykorzystywane jest także w Polsce przez Agencję Bezpieczeństwa Wewnętrznego. Jednak nawet jeśli ABW nie używa go teraz, to technologia ta może upowszechnić się już za kilka lat (przez obniżenie kosztów produkcji albo tworzenie rodzimych rozwiązań).

Lekcja trzecia

Coraz pilniejsze staje się wprowadzenie kontroli nad stosowaniem przez służby specjalne narzędzi inwigilacji. Powinna ona obejmować dwa elementy: stworzenie niezależnego organu mogącego sprawdzać, czy służby nie nadużywały swoich uprawnień, oraz mechanizmu informowania osób, które były inwigilowane, o tym fakcie (oczywiście po upływie pewnego czasu, np. 12 miesięcy). Oba te rozwiązania są obecne w większości państw Unii Europejskiej. W krótkiej perspektywie czasowej w kraju, w którym – jak twierdzi nawet związany z partią rządzącą senator Jan M. Jackowski – jesteśmy „w fazie polityki hakowej, mającej na celu skłaniać polityków do określonych działań”, trudno liczyć na tak rewolucyjną zmianę. Jednak takiego programu powinniśmy domagać się zarówno od rządzących, jak i przede wszystkim od polityków demokratycznej opozycji.

Wojciech Klicki

Tekst ukazał się 05.08 na stronie OKO.press.

Polecamy:

Komentarze

Szkoda, że Panoptykon się nie wypowie w sprawie "przepustek kovidowych. Przecież jest to budowanie Aadhaar na gruncie polskim. Nie wypowie się nic o braku działań polityków. Pisałam z do wiadomości Panoptykonu o interwencję poselską w URPL w sprawie tajnych składów substancji czynnej tzw. szczepionek przeciwko COVID-19. Nie otrzymałam żadnej odpowiedzi od fundacji ani od adresowanych posłów. Mimo, że dostałam potwierdzenia odebrania mojego maila.
Dlaczego Panoptykon nie pisze o prawdziwym celu tych paszportów unijnych? Jaki mają sens w sytuacji, gdy zaszczepieni zarażajπą tak samo jak niezaszczepieni?
Czy niewejście niezaszczepionego do hotelu coś zmienia?
Gdzie jesteście, gdy potrzebne są działania i uświadomienie obywateli na co się zgadzają.

Dziękuję za informację. Warto jednak dodać nowy artykuł podsumowujący co się dzieje. Część rzeczy poszło za daleko choćby ze względu na nieskuteczność szczepionek (szczepieni zarażają i chorują na deltę / lambdę), a sanitaryzm jaki się rozwija w naszym kraju woła już o litość lub rebelię. Gorzej bo sanitaryzm wspierają wszystkie partie oprócz Konfederacji. Zgadzam się z podejściem Konfederacji do kwestii passów sanitarnych, ale niestety daleko mi do ich poglądów w innych sprawach. W tym kraju nie mam na kogo głosować, bo wszyscy są kupieni i działają na szkodę obywatela i przeciwko wolności i prywatności.

Warto zapytać też Warszawę dlaczego i ile jest kamer w tramwajach i na ulicach i jak ta liczba zmieniała się rok do roku.

@ Hotaru
widzę że powinnaś sama jakiś portal lub bolga otworzyć - czemu chcesz "wyręczać" się cudzymi "rękami?

@Hotaru w 2016 roku wydaliśmy poradnik Zabawki Wielkiego Brata, w którym dokładniej pisaliśmy o monitoringu publicznym (również w liczbach). Niestety obecnie nie posiadamy aktualnych danych o liczbie kamer wykorzystywanych w ramach monitoringu publicznego.

Pani Aleksandro i właśnie należałoby zapytać, jak to się zmieniło po 5 latach. Czy jest jeszcze gorzej, czy może usuwają te kamery?

Dodaj komentarz