- Niestety większość ofiar nie zauważy czegokolwiek, co wskazywałoby, że ich telefon jest inwigilowany. Od czasu do czasu na telefonach może zostaną wyświetlone jakieś dziwne treści, ale to nie jest standard - uważa John Scott-Railton, ekspert Citizen Lab University of Toronto, Munk School.
Czy osoba inwigilowana Pegasusem lub Predatorem może dowiedzieć się o tym samodzielnie, bez pomocy specjalistycznych ośrodków badawczych takich jak Citizen Lab?
Zachęcamy osoby, które uważają, że mogą być celem, do kontaktu z ekspertami. Są dostępne niektóre narzędzia publicznie, takie jak MVT (Mobile Verification Toolkit - red.) stworzone przez Amnesty International, które może być używane przez kogoś z pewnym stopniem biegłości technicznej. To może być dobry wstępny test, ale dla ostatecznego rozstrzygnięcia ważne jest skonsultowanie się z ekspertami.
Jakie mogą być pierwsze oznaki, że nasz smartfon został zainfekowany przez Pegasusa lub inne oprogramowanie szpiegujące?
Artykuł, w którym ktoś opublikuje informacje z twojego życia prywatnego. To żart, ale niestety większość ofiar nie może zauważyć czegokolwiek, co wskazywałoby, że ich telefon jest inwigilowany. Od czasu do czasu na telefonach może zostaną wyświetlone jakieś dziwne treści, ale to nie jest standard. Tylko raz telefon ofiary naprawdę się nagrzewał, ponieważ został zainfekowany jednocześnie Pegasusem i Predatorem w tym samym czasie.
W jakikolwiek sposób możemy zabezpieczyć się przed inwigilacją Pegasusem lub Predatorem?
Tak naprawdę nie ma nic, co moglibyśmy zrobić, żeby się uchronić przed oprogramowaniem tworzonym przez grupy najemników szpiegowskich. Są jednak rzeczy, które można zrobić, aby być bezpieczniejszym w internecie, np. dbać o to, aby aktualizować oprogramowanie w telefonie i korzystać z weryfikacji dwuskładnikowej dla wszystkich kont. Ale niestety nawet ludzie, którzy dbają o swoje cyberbezpieczeństwo, mają trudności z uchronieniem się przed takim oprogramowaniem jak Pegasus. I to jest bezpośrednim powodem pokusy do nadużyć ze strony rządów i wymaga nadzoru w systemach demokratycznych.
Do jakich danych mają dostęp służby prowadzące inwigilację? Co widzi osoba mająca wgląd do naszego smartfona za pośrednictwem Pegasusa czy Predatora?
Wszystko, co możesz zrobić na telefonie, wszystko, co masz w telefonie, jest dostępne za pośrednictwem tych programów. Na przykład oprogramowanie szpiegujące może nie tylko zbierać twoje wiadomości lub zdjęcia, teksty, twój głos z notatki głosowej czy zaszyfrowaną historię czatów, ale może też zdalnie włączyć kamerę lub twój mikrofon i obserwować cię w pokoju lub rejestrować to, co mówisz do siebie czy swojego partnera lub partnerki.
Jak długo i w jaki sposób dane osób inwigilowanych są przechowywane?
Wiemy od końca Układu Warszawskiego, że służby przechowywały dane, które zgromadziły na zawsze. Kiedy je zbiorą, budują dossier inwigilowanego. Wszystko, czego potrzebujesz, aby zachować te dane, to zaledwie kilka dysków twardych. Ścieżka transmisji tych danych może być bardzo różna - od zainfekowanego telefonu po osobę, która ostatecznie dane wykorzystuje, ale może ona biec przez serwery na całym świecie, co jest naprawdę niepokojące. Mamy różne gwarancje bezpieczeństwa i prywatności, ale one kończą się w rękach klienta Pegasusa. Pytanie, czy producent oprogramowania może te dane kopiować na własny użytek? Wydaje się, że nawet rządy, które kupują Pegasusa lub Predatora nie są w stanie odpowiedzieć na to pytanie, które wydaje się fundamentalne dla bezpieczeństwa narodowego.
W ilu krajach UE potwierdzono przypadki użycia Pegasusa lub Predatora? Czy poza UE ten problem jest równie duży, czy raczej marginalny?
Mamy wiele krajów, w których zidentyfikowaliśmy użycie Pegasusa. W czterech państwach członkowskich problem urósł do rangi dużych skandali wewnętrznych: w Polsce, na Węgrzech, w Hiszpanii, a obecnie przede wszystkim w Grecji.
Poza UE wygląda to różnie. W Tajlandii np. celem inwigilacji padali głównie politycy i dysydenci. Na początku roku opublikowaliśmy informacje o powszechnym wykorzystywaniu Pegasusa przeciwko dziennikarzom w Salwadorze. Ale najgłośniejsze przykłady użycia Pegasusa są w Meksyku, gdzie np. dziennikarz, który uciekał przed kartelem i został ostatecznie zamordowany, był wcześniej inwigilowany Pegasusem. Mieliśmy też drugi przypadek w Meksyku zabójstwa dziennikarza, który - jak się okazało również po jego śmierci - był podsłuchiwany. W Ameryce Łacińskiej pojawiają się absolutnie szokujące przypadki.
Czy inwigilowani to tylko politycy, osoby publiczne, dziennikarze, czy odnotowujecie przypadki inwigilacji „zwykłych obywateli”?
Twórcy oprogramowania szpiegującego, takiego jak Pegasus, twierdzą, że jest on przeznaczony wyłącznie do stosowania wobec przestępców i terrorystów. Celowo pomijają oczywiście przypadki innego zastosowania. Na przykład często widzimy, że rządy używają Pegasusa wobec siebie nawzajem. Klasyczne szpiegostwo. A potem dochodzi do wielu nadużyć, ponieważ jedni dochodzą do władzy i wykorzystują nielegalnie zdobyte informacje. Natomiast są też i inne, dość dziwne przypadki - jak chociażby ten pracownika NSO Group (twórcy Pegasusa - red.), który użył Pegasusa do namierzenia swojej miłości. Lub prezydent jednego z krajów szpiegujący swoją gospodynię. Widzimy, że często ofiarami inwigilacji padają rodzice lub członkowie rodziny z uwagi na takie, a nie inne zachowania dzieci. Inwigilowani są też przyjaciele czy współpracownicy osób publicznych.
Pegasus i Predator zostały opracowane przez izraelskich producentów. Czy analizowaliście oprogramowanie stworzone w jakimkolwiek innym kraju?
Predator jest również powiązany z Macedonią, Grecją i Cyprem (w tych krajach zarejestrowana była działalność sieci hakerów Intellexa, do której należy spółka Cytrox - twórca Predatora - red). Kiedy 10 lat temu po raz pierwszy zaczęliśmy zajmować się oprogramowaniem szpiegującym, pierwsze sprawy dotyczyły Włoch, Niemiec i Wielkiej Brytanii. ©℗
Rozmawiał Mateusz Roszak