Czym zatem jest ów groźny program szpiegowski? To produkt założonej w 2010 roku przez Nivę Karmiego, Omri Laviego i Shalevo Hulię izraelskiej firmy NSO Group, produkującej oprogramowanie szpiegowskie do zdalnego monitorowanie smartfonów i urządzeń przenośnych. Od 2017 roku firma zatrudnia prawie 500 osób i ma siedzibę w Herzliya, niedaleko Tel Awiwu w Izraelu. NSO Group jest spółką zależną od grupy firm Q Cyber Technologies. Nazwa NSO jest używana jedynie w Izraelu. Firma posiada filię w Luksemburgu o nazwie OSY Technologies, a w Ameryce Północnej posiada spółkę zależną, wcześniej znaną jako Westbridge. Co istotne, izraelska firma NSO Group nie prowadzi bezpośrednich interesów z kontrahentami zagranicznymi, ale działa za pośrednictwem innych firm na całym świecie. To pozwala na zacieranie śladów dotyczących sprzedaży oprogramowania szpiegowskiego organizacjom i dyktaturom łamiącym prawa człowieka.
Follow the money
Według kilku raportów opublikowanych między innymi przez agencję Reuters, oprogramowanie stworzone przez NSO Group było wykorzystywane w ukierunkowanych atakach na obrońców praw człowieka i dziennikarzy w różnych krajach, w których łamane są zasady praworządności. Oprogramowanie NSO Group zostało użyte w państwowym szpiegostwie przeciwko Pakistanowi i było kluczowe przy organizacji zamachu na saudyjskiego dysydenta Jamala Khashoggi przez agentów saudyjskiego rządu.
Oprogramowanie NSO Group wzbudza wielki niepokój wśród firm związanych z technologiami cyfrowymi. W październiku 2019 r. firma WhatsApp i jej firma macierzysta Meta Platforms (wtedy znana jako Facebook) złożyły w sądzie amerykańskim pozew przeciwko NSO i Q Cyber Technologies na podstawie amerykańskiej ustawy o oszustwach i nadużyciach komputerowych (CAFA). W odpowiedzi na oskarżenia, kierownictwo NSO wydało oświadczenie, że zapewnia upoważnionym rządom technologię, która pomaga im zwalczać terroryzm i przestępczość. Czy to prawda? Niestety, są opinie, że prawda jest znacznie bardziej skomplikowana. W artykule opublikowanym 6 czerwca 2021 roku na łamach Washington Post, amerykańska dziennikarka Dana Priest dowiodła, że zgodnie z izraelskim prawem oprogramowanie szpiegujące Pegasus jest klasyfikowane jako broń i każdy eksport tej technologii musi zostać zatwierdzony przez rząd tego kraju. Czy tak jest zawsze? Dochody firmy nie zgadzają się z dokumentacją przedstawianą izraelskiej skarbówce. W 2013 roku roczne przychody wyniosły około 40 mln USD i 150 mln USD w 2015 r. W czerwcu 2017 firma została wystawiona na sprzedaż za 1 miliard dolarów przez Francisco Partners (powstała w 1999 roku amerykańska firma private equity skupiająca się wyłącznie na inwestycjach w technologie i firmy usługowe wykorzystujące technologie cyfrowe).
NSO Group na czarnej liście w USA
Choć Izrael jest kluczowym sojusznikiem politycznym i wojskowym Stanów Zjednoczonych, izraelska firma NSO Group została 3 listopada 2021 r. dodana do amerykańskiej listy podmiotów (Entity List) podejrzanych o działanie „wbrew polityce zagranicznej i interesom bezpieczeństwa narodowego USA”. Sprzedaż produktów tej firmy jest zakazana w USA. Dodatkowo 23 listopada 2021 r. NSO Group została pozwana przez Apple, Inc. za wykorzystywanie produktów Apple do szpiegowania użytkowników sprzętu tej marki.
Produkty NSO Group powinny wzbudzać poważny niepokój wśród użytkowników Whatsappa. W maju 2019 r. WhatsApp ogłosił, że część jej oprogramowania została rozpracowana przez NSO Group. Użytkownicy Whatsappa byli narażeni na działanie oprogramowania szpiegującego, nawet jeśli nie odebrali połączenia. Program szpiegujący działał zatem niezależnie od tego, czy w ogóle korzystaliśmy z tego komunikatora.
W odpowiedzi na rzekomy cyberatak, WhatsApp złożył w sądzie okręgowym San Francisco pozew przeciwko NSO na podstawie ustawy CAFA i innych amerykańskich przepisów. „Atak” oprogramowania szpiegowskiego miał być wymierzony w 1400 użytkowników w 20 krajach, w tym „co najmniej 100 obrońców praw człowieka, dziennikarzy i innych członków społeczeństwa obywatelskiego”. W rzeczywistości liczba ta mogła być znacznie większa i dotyczyć o wiele większej liczby użytkowników na całym świecie, w tym głównie z Arabii Saudyjskiej, Zjednoczonych Emiratów Arabskich, Bahrajnu, Kazachstanu, Maroka i Meksyku.
Z dokumentów sądowych wynika, że włamania na konta 1400 użytkowników Whatsapp pochodziły z serwerów NSO Group, a nie od jej klientów. Jak twierdzą przedstawiciele Whatsapp to nie rządy czy służby specjalne obsługujące tajemniczy program Pegasus, ale bezpośrednio firma „NSO używała sieci komputerów do monitorowania i aktualizowania Pegasusa po jego wszczepieniu na urządzenia użytkowników. Te kontrolowane przez NSO komputery służyły jako centrum komunikacyjne, przez które NSO kontrolowało działanie i użytkowanie Pegasusa przez swoich klientów”. WhatsApp podkreśla, że NSO uzyskało „nieautoryzowany dostęp” do ich serwerów dzięki inżynierii wstecznej aplikacji WhatsApp, aby móc obejść funkcje bezpieczeństwa. W odpowiedzi na te zarzuty NSO odpowiedziało: „Grupa NSO nie obsługuje oprogramowania Pegasus dla swoich klientów”.
Czy zatem program szpiegujący, który, jak wykazało w 2019 roku dziennikarskie śledztwo reporterów programu „Czarno na białym”, został zakupiony dla polskich służb specjalnych, był obsługiwany w Polsce, czy przez NSO Group w Izraelu? W 2020 roku dziennikarze Rzeczpospolitej” ustalili, że Pegasus był wykorzystany w śledztwie CBA przeciw byłemu ministrowi Sławomirowi Nowakowi, który pracował w sztabie wyborczym Rafała Trzaskowskiego. Co istotne, Minister Koordynator Służb Specjalnych Mariusz Kamiński nie zaprzeczył, że program firmy NSO Group był wykorzystywany w śledztwie.
Pegasus na starym kontynencie
O Pegasusie zrobiło się w Europie bardzo głośno w lipcu 2021 roku, kiedy ujawniono, że oprogramowanie szpiegowskie posłużyło do inwigilacji prezydenta Francji. Wtedy została opublikowana lista 1406 witryn internetowych potencjalnie wykorzystywanych do rozprzestrzeniania Pegasusa. Wśród nich znalazły się polskie strony emonitoring-przesylek oraz e-prokuror.info.
To może wskazywać na niepokojący wzrost stosowania Pegasusa do inwigilacji osób publicznych (a może także i prywatnych relacji) w Polsce. Musimy sobie zdawać sprawę, że szpiegowski system Pegasus nie jest jedynie jakąś formą „podglądania” określonych czynności w sferze komunikowania się w obszarze technologii cyfrowych, ale służy do totalnej inwigilacji wszystkich bez wyjątku obywateli i w każdym miejscu. Nie ma treści na smartfornie, które można uznać za bezpieczne i prywatne. To, że amerykański Departament Handlu umieścił firmę NSO Group na swojej czarnej liście oznacza, że jest ona równie groźna jak wielkie organizacje terrorystyczne. Ale czy państwo polskie współpracuje z ISIS czy Hezzbollachem? Oczywiście nie. Dlaczego zatem miałoby używać technologii opracowanej i kontrolowanej przez firmę uznaną za niebezpieczną dla bezpieczeństwa narodowego naszego głównego sojusznika wojskowego i politycznego? W jakim świetle przed Europą stawiałoby Polaków umieszczenie kluczowych polskich stron rządowych na liście dystrybutorów Pegasusa?
Jak działa Pegasus?
Musimy być świadomi, że urządzenie zainfekowane Pegasusem przypomina dom ze szklanymi ścianami. Wszystko cokolwiek robimy za pomocą smartfona jest pod obserwacją nieznanych nam ludzi, począwszy do zdjęć i nagrań wideo, przez e-maile, SMS-y, listę kontaktów, aż po śledzenie naszej lokalizacji. Nasze rozmowy nie są już prywatne. Każda rozmowa, nieważne jak mało istotna, jest nagrywana. Ale niestety, to nie koniec możliwości Pegasusa, Także otoczenie smartfona w wersji audio oraz wideo jest na podsłuchu. Podsłuchiwana jest nawet szyfrowana transmisja dźwięku oraz odczytywanie zaszyfrowanych wiadomości z różnorodnych aplikacji na urządzeniu.
Czy zatem nasze smartfony mogą być zainfekowane Pegasusem?
Raczej nie, ponieważ barierą dla takich masowych działań inwigilacyjnych jest po prostu ich naprawdę wysoki koszt. Takie szpiegowanie jednej osoby to koszt zakupu licencji za 100 tys. złotych (1 licencja = 1 osoba). Pegasus może zatem budzić lęk głównie osób zajmujących znaczącą pozycję w życiu publicznym. Przeciętny Kowalski może nadal przeklinać na komunikatorach czy oglądać treści, do których nie chciałby się przyznać publicznie. Czy polskie służby specjalne używają Pegasusa? Nie znamy odpowiedzi na to pytanie. Rodzą się jedynie podejrzenia, pewne poszlaki, skojarzenia. Wszystko jest pod znakiem zapytania. NSO GROUP ogłosiło, że produkty tej firmy są dostępne jedynie dla służb specjalnych walczących ze zorganizowaną przestępczością. Formalnie Polski nie ma na liście 37 państw-klientów tej firmy. Ale raport The Citizen Lab zawiera listę kilkudziesięciu czołowych operatorów korzystających z Pegasusa w 45 krajach, w tym także w Polsce (od listopada 2017 roku). Raport ten nie wskazuje jak polskie smartfony zostały „zainfekowane” Pegasusem, ale jedynie stwierdza, że program szpiegujący był obecny w telefonach komórkowych używanych w naszym kraju.
