Rozdział pierwszy. O co chodzi?
Rozdział pierwszy
O co chodzi?
Ujawniona we wrześniu 2023 roku operacja Jaszczurka1 jest
chyba najlepiej udokumentowanym przypadkiem inwigilacji z zastosowaniem
Pegasusa2. I to nie tylko w Polsce, ale prawdopodobnie na
świecie. Według informacji mediów, w 2019 roku, w trakcie kampanii
wyborczej przed wyborami do parlamentu, telefon senatora Krzysztofa
Brejzy był infekowany ponad czterdzieści razy. Ale inwigilacja, co
ważne, nie polegała tylko na włamaniach do dwóch telefonów senatora i niektórych osób z jego otoczenia. Uruchomione zostały także tradycyjne
podsłuchy na łączach telekomunikacyjnych, obserwacja, a znajomi i współpracownicy Krzysztofa Brejzy byli nagabywani przez funkcjonariuszy
służb, a nawet wzywani na przesłuchania3. Pretekstem do
uruchomienia tak rozbudowanej operacji inwigilacyjnej była sprawa
rzekomych nadużyć w Urzędzie Miasta Inowrocławia, którym kierował ojciec
senatora, prezydent Ryszard Brejza.
Można jednak przypuszczać, że prawdziwym powodem inwigilacji polityka
było to, że w 2019 roku był szefem sztabu wyborczego Koalicji
Obywatelskiej, czyli sojuszu kilku partii, które wystawiały kandydatów
do parlamentu, rywalizując z partią rządzącą o zdobycie większości w sejmie i senacie. Wygląda również na to, że inwigilacja szefa sztabu
przyczyniła się do porażki Koalicji Obywatelskiej w wyborach.
A sprawa polityka to nie jedyna, którą ujawniły w Polsce międzynarodowe
laboratoria, pracujące nad identyfikacją przypadków infekowania
smartfonów Pegasusem. Wspomniane laboratoria, czyli Citizens Lab i Amnesty Tech, ujawniły, że infekowane były także telefony osób o bardzo
różnych zawodach i zróżnicowanym zaangażowaniu w sprawy publiczne. Byli
to: niewygodna dla polityków kierujących Ministerstwem Sprawiedliwości
prokurator Ewa Wrzosek, adwokat Roman Giertych, dziennikarz i aktywista
Tomasz Szwejgiert, były szef Centralnego Biura Antykorupcyjnego Paweł
Wojtunik. Co ciekawe, Pegasusa stosowano także wobec osób związanych z aparatem władzy, ale podejrzewanych o nielojalność wobec kierownictwa
PiS. Wśród nich znaleźli się byli posłowie, były minister, lobbysta i odwołany wcześniej szef Gabinetu Politycznego Ministra Obrony Narodowej.
Śledztwa dziennikarskie i prace specjalnej komisji powołanej przez senat
wykazały, że zakup Pegasusa doszedł do skutku z naruszeniem przepisów
dotyczących finansów publicznych, wykorzystywanie systemu było niezgodne
z polskim prawem, a system nie był certyfikowany przez Agencję
Bezpieczeństwa Wewnętrznego, w szczególności w związku z tym, że dane
pozyskiwane przez Pegasusa były transmitowane za pośrednictwem serwerów
ulokowanych w Izraelu i innych państwach, a więc wysoce prawdopodobne
było ich przechwytywanie przez obce służby specjalne.
Takie działania służb specjalnych da się porównać tylko do największych
afer podsłuchowych na świecie. Chociażby z Watergate, czyli
ujawnieniem nielegalnych podsłuchów zainstalowanych przez osoby
powiązane z CIA w sztabie wyborczym Partii Demokratycznej przed wyborami
prezydenckimi w USA w 1972 roku, w których demokraci wystawili
kontrkandydata przeciwko urzędującemu prezydentowi Richardowi Nixonowi.
Niestety, ujawnienie Pegasusa i zablokowanie go przez autora programu,
izraelską firmę NSO, w niektórych państwach podejrzewanych o łamanie
praworządności nie rozwiązało problemu. Wcześniej i później służby
państwowe, policje polityczne, zorganizowane grupy przestępcze i firmy
działające w ramach tak zwanego wywiadu konkurencyjnego używały i używają mniej lub bardziej zaawansowanych programów pozwalających
włamywać się do cudzych smartfonów i komputerów. Najbardziej znane są
produkty włoskiej firmy Hacking Team (Da Vinci i Galileo), ale na rynku
usług związanych z bezpieczeństwem i szpiegostwem gospodarczym można
znaleźć wiele programów typu malware i spyware, które co prawda mają
ograniczenia uniemożliwiające nielegalne włamania, ale profesjonalni
programiści potrafią je usunąć. Wystarczy wrzucić do wyszukiwarek takie
słowa jak: spyware, spyone, spylogger czy spyphone, żeby się o tym przekonać.
Obok programów komercyjnych, działające pod nowymi nazwami NSO czy
Hacking Team nadal tworzą aplikacje dla służb państwowych, a ich
konkurenci oferują nowe, jeszcze sprawniej inwigilujące systemy. Jednym
z głośniejszych jest Predator oferowany przez, również izraelską, firmę
Quadream.
Należy jednak pamiętać, że programy oferowane służbom przez firmy
zewnętrzne to tylko wierzchołek góry lodowej. Służby wszystkich
znaczących w polityce międzynarodowej państw opracowują własne programy
do szpiegowania. Najbardziej znany, obok Pegasusa, jest amerykański
PRISM, wykorzystywany przez NSA, a ujawniony przez Edwarda
Snowdena4. W Polsce mówi się o mało znanym programie Harnaś,
który podobno wszedł do użycia w 2013 roku. Trudno jest jednak
sprawdzić, czy jest to system stworzony przez polskich programistów, czy
tylko przystosowany do specyfiki języka polskiego program zagraniczny.
Dlaczego warto o tym wszystkim pamiętać?
Zawodowi funkcjonariusze służb specjalnych traktują takie systemy jako
narzędzia pracy. Służby kontrwywiadowcze i odpowiadające za
bezpieczeństwo wewnętrzne używają ich do obserwacji funkcjonariuszy i ewentualnych agentów wywiadów zagranicznych, a także terrorystów i zorganizowanych grup przestępczych. Natomiast szpiedzy działający na
wrogim terenie muszą mieć świadomość, że takie systemy działają
przeciwko nim. Dlatego jedną z najważniejszych umiejętności, jakich uczy
się w ośrodkach szkolenia szpiegów, jest aktywność w sytuacji, w której
każdy krok może być śledzony, każda rozmowa nagrywana, każde spotkanie
fotografowane.
Dzięki wcześniejszym aferom, a także przypadkom ujawnionym przez
Citizens Lab i Amnesty Tech, wszyscy dowiedzieliśmy się o tym, że w wielu państwach systemami inwigilującymi kontroluje się polityków
opozycji, działaczy społecznych, dziennikarzy, prawników, ekologów, a nawet duchownych.
Dlatego można zaryzykować stwierdzenie, że właściwie nie ma takich osób,
które mogłyby powiedzieć o sobie, że z pewnością nikt się nimi nie
interesuje. O tym, że objęte kontrolą operacyjną mogą być osoby zupełnie
przypadkowe, świadczy przypadek Mariusza Gierszewskiego, dziennikarza
śledczego Radia Zet, o którym więcej w rozdziale o podsłuchach.
Całkowicie przypadkowe osoby mogą się znaleźć "w zainteresowaniu" służb
z bardzo różnych powodów. Można sobie wyobrazić, że członek
zorganizowanej grupy przestępczej regularnie odwiedza dentystę. Jest
tylko kwestią czasu, kiedy wywiadowcy zaczną się zastanawiać, czy nie
zacząć rejestrować rozmów telefonicznych stomatologa, a także czy nie
zainstalować podsłuchu w gabinecie, żeby poznać treści rozmów lekarza z pacjentami.
Podobne podejrzenia mogą paść na przykład na księgowego, który obsługuje
firmy wplątane w nadużycia podatkowe albo wręcz należące do członków
jakichś lokalnych mafii. W efekcie Bogu ducha winny człowiek staje się
bohaterem nagrań i filmów zarejestrowanych przez jakiegoś Pegasusa.
Nic dziwnego, że politycy, prawnicy, dziennikarze, działacze opozycji, w szczególności tak zwanej opozycji ulicznej, kiedy umawiają się na
rozmowę, to telefony zostawiają w sąsiednim pomieszczeniu. Czy to jest
skuteczne? Niekoniecznie. Fachowcy mają różne procedury, dzięki którym i tak potrafią ustalić, o co chodziło na spotkaniu. Już sam fakt, że kilka
telefonów znalazło się w jednym miejscu, zwykle okazuje się
interesujący.
Czy da się przed tymi wszystkimi technikami zabezpieczyć?
Nawet profesjonalnie wyszkoleni oficerowie wywiadu czasami wpadają. A co
powiedzieć o osobach, które prowadzą publiczną aktywność polityczną czy
społeczną albo - pracując nad jakimś śledztwem dziennikarskim - muszą
pozostawać w kontakcie z redakcją?
Historia zna takie przypadki, w których poszukiwani zastosowali skrajne
środki bezpieczeństwa, a mimo to wpadli. Jednym z najbardziej znanych
jest Ted Kaczyński, czyli Unabomber. Ten Amerykanin z polskimi
korzeniami, przez 27 (słownie: dwadzieścia siedem) lat ukrywał się przed
organami ścigania, jednocześnie dokonując zamachów terrorystycznych za
pomocą bomb ukrytych w listach. FBI stawało na głowie, żeby go dopaść.
Udało się go złapać dopiero w 1996 roku. Ale nie dzięki wyrafinowanym
działaniom techniki operacyjnej, tylko dlatego, że jego rodzony brat,
David, z którym od lat nie utrzymywał kontaktu, rozpoznał jego styl
pisania, czytając manifest Kaczyńskiego w "The New York Times",
opublikowany w czerwcu 1995 roku. Dzięki temu obaj bracia Kaczyńscy
przeszli do historii.
Najnowocześniejsza ówczesna technika nie pomogła ustalić miejsca
ukrywania się sprawcy zamachów. Unabomber praktycznie zerwał kontakt
ze światem. Mieszkał na odludziu w stanie Montana. W jego chatce nie
było nawet wody i elektryczności, nie mówiąc o narzędziach do
komunikacji telefonicznej czy elektronicznej. Bomby wysyłał z różnych
poczt na obszarze całych Stanów Zjednoczonych, niektóre podkładał
osobiście. Prawdopodobnie z nikim nie współpracował. Ale jaki z tego
morał? Nawet jeżeli zerwiesz wszystkie kontakty i nie używasz żadnej
elektroniki, to i tak służby mogą cię złapać, bo ktoś z przyjaciół lub
rodziny prędzej czy później na ciebie doniesie.
Drugi z najbardziej znanych przypadków ukrywającej się w wyrafinowany
sposób osoby to ustalenie przez NSA i CIA miejsca pobytu Osamy bin
Ladena. Szef Al-Kaidy ukrywał się w specjalnie przystosowanym do tego
kompleksie budynków, otoczonych murem, na peryferiach Abbottabadu,
liczącego ponad dwieście tysięcy mieszkańców pakistańskiego miasta. Nie
korzystał z żadnej komunikacji elektronicznej ani nawet z telefonu
stacjonarnego. Ze współpracownikami porozumiewał się przez kurierów,
którzy zostali przeszkoleni, w jaki sposób bezpiecznie używać
smartfonów.
W 2007 roku CIA zorientowała się, że jednym z najbliższych bin Ladenowi
kurierów jest Al-Kuwaiti, wcześniej bliski współpracownik Khalida
Sheikha Mohammeda (jednego z przesłuchiwanych w tajnych więzieniach CIA,
najprawdopodobniej także w Polsce). Rozpoczęły się jego poszukiwania.
Dzięki specjalnie uruchomionej operacji CIA udało się dowiedzieć -
podsłuchując telefony krewnych Al-Kuwaitiego - że kurier Osamy
najprawdopodobniej mieszka właśnie w Abbottabadzie. Wywiad amerykański
zaczął przyglądać się temu pakistańskiemu miastu, zarówno narzędziami
wywiadu satelitarnego, jak i SIGINTu. Zaczęto monitorować ruch telefonów
komórkowych w mieście i jego okolicach. W pewnym momencie analitycy CIA
zauważyli pewną prawidłowość. Jeden z telefonów logował się do sieci
wokół miasta, ale nie w jakimś konkretnym obszarze, tylko w określonej
odległości od przedmieść Abbottabadu. Gdyby połączyć punkty, w których
wytypowany telefon logował się i przez pewien czas działał, można by
narysować okrąg o promieniu około trzydziestu kilometrów, którego środek
znajdował się na terenie jednego z zamożnych przedmieść miasta.
Tego, co się zdarzyło później, nie ma co przypominać. Powstały setki
relacji, dziesiątki książek i filmów. Ale wniosek, który warto
szczególnie podkreślić, jest taki, że nawet jeżeli zrezygnujemy z komunikacji elektronicznej i nie pozwolimy sobie zrobić zdjęcia z samolotu czy satelity, to i tak musimy cały czas myśleć o zagrożeniach i unikać jakiejkolwiek regularności. Szczególnie wtedy, kiedy coś
"knujemy", ale nie tylko. Trzeba często zmieniać urządzenie do łączności
oraz karty SIM i starannie wybierać miejsce, z którego nawiązywane jest
połączenie. Właśnie dlatego łączność jest nazywana piętą achillesową
wywiadów. Nigdy nie wiadomo, jakie formy łączności nauczył się
rozpoznawać przeciwnik.
Paul Whelan, były policjant i żołnierz amerykański Korpusu Piechoty
Morskiej, został aresztowany w grudniu 2018 roku w Moskwie, w hotelu
Metropol. Znaleziono przy nim dysk USB, na którym znajdowały się dane
"wszystkich pracowników tajnej agencji bezpieczeństwa". Amerykanin
tłumaczył, że na dysku miały być filmy i zdjęcia z jego poprzedniego
pobytu w Rosji.
W efekcie Whelan dostał wyrok szesnastu lat więzienia o zaostrzonym
rygorze5.
To kolejny przykład wad i zalet łączności elektronicznej. Zawsze warto
zorientować się, co znajduje się na nośniku, który ma się gdzieś
przewieźć, aby potem zachowywać się adekwatnie do wynikającego z tego
ryzyka. Na pewno jednak nie należy przyjmować pamięci elektronicznych od
nieznajomych.
Innym przykładem ewidentnej prowokacji skierowanej przeciwko wywiadowi
amerykańskiemu było zatrzymanie w maju 2013 roku na gorącym uczynku
trzeciego sekretarza ambasady USA w Moskwie. Ryan Fogle miał nawiązać
kontakt z oficerem FSB, który dawał sygnały, że jest sfrustrowany służbą
w kontrwywiadzie rosyjskim i jest gotów pójść na współpracę z CIA.
Ponieważ amerykańska rezydentura w Moskwie nie zdecydowała się na
kontakt telefoniczny lub elektroniczny, Fogle - wyposażony w tak zwaną
szatnię operacyjną: dwie peruki, trzy pary okularów - miał dostarczyć
szczegółową ofertę współpracy funkcjonariuszowi FSB w taki sposób, że
przechodząc obok niego na ulicy, miał włożyć mu do kieszeni list z propozycjami. Zawierał podobno propozycję jednego miliona dolarów
rocznie za współpracę z CIA, a także instrukcję, jak skonfigurować
pocztę elektroniczną, żeby w bezpieczny sposób kontaktować się z wywiadem amerykańskim. Wtedy właśnie okazało się, że oferent jest
prowokatorem. Kiedy zorientował się, że w jego kieszeni znalazł się
dokument, zaczął obezwładniać młodego Amerykanina i natychmiast
dołączyli do niego inni funkcjonariusze, a całe zdarzenie zostało
nagrane.
Jak widać, unikanie łączności telefonicznej wcale nie musi być remedium
na inwigilację. Gdyby oficer CIA próbował nawiązać kontakt przez telefon
lub mailowo, pewnie też by się zdekonspirował, ale przynajmniej
uniknąłby kompromitującego aresztowania.
Posty w mediach społecznościowych też potrafią zdekonspirować spiskowca.
Świadczy o tym przypadek Jacka Teixeiry, ochotnika w 102. Skrzydle
Wywiadowczym Lotnictwa Gwardii Narodowej w Massachusetts. Ten młody
żołnierz, mający dostęp do informacji top secret, pomiędzy
październikiem 2022 a kwietniem 2023 publikował w serwisie Discord, na
którym dyskutowali na różne tematy gracze Minecrafta, tajne dokumenty.
Teixeira popisywał się przed kolegami dostępem do niejawnych analiz
Pentagonu.
Zanim doszło do aresztowania, dane osobowe gwardzisty ujawnił "The New
York Times", którego dziennikarze śledczy zwrócili uwagę na dwie rzeczy.
Analizując profil Teixeiry na Discordzie, stwierdzili, że jest powiązany
z profilem na innym kanale oferującym gry - Steamie. Idąc dalej, trafili
na profile członków rodziny żołnierza.
Drugim tropem były zdjęcia tajnych dokumentów, które w trakcie
fotografowania leżały na granitowym blacie. Dziennikarze odkryli, że w domu Teixeiry znajduje się taki właśnie blat, ponieważ siostra
podejrzanego zamieściła jego zdjęcie na Instagramie. Ten sam blat
odnaleziono w mediach społecznościowych na profilach innych członków
rodziny. W efekcie Jack Teixeira został aresztowany w kwietniu 2023
roku.
Jeszcze inaczej doszło do aresztowania Carstena Linkego, oficera BND -
wywiadu niemieckiego. Został zwerbowany przez Rosjan i przekazywał
między innymi wrażliwe informacje dotyczące wojny w Ukrainie. Został
aresztowany w grudniu 2022 roku. Dobrze wiedział, jak się chronić przed
inwigilacją, ponieważ sam pracował w pionie wywiadu elektronicznego. Do
przekazywania tajnych materiałów rosyjskiemu wywiadowi wykorzystywał
kuriera. Był nim handlarz diamentów rosyjskiego pochodzenia Arthur
Eller. On również był specjalistą od technologii informatycznych. Jako
biznesmen regularnie podróżował do Rosji i w latach 2019-2022 był w Moskwie aż czterdzieści pięć razy. Pomimo że przy przekraczaniu granicy
rosyjskiej nie stemplowano jego paszportu pieczęciami potwierdzającymi
wjazd, służby amerykańskie i tak wpadły na jego trop. Kiedy odwiedzał
rodzinę w Miami, został zatrzymany przez FBI. Okazało się, że tajne
dokumenty nie były zapisywane na żadnych nośnikach, tylko drukowane na
papierze i przemycane w bagażu.
W jaki sposób Amerykanie wpadli na jego trop? Wygląda na to, że oprócz
operacyjnie zdobytych informacji, na jego podróże wskazywały wpisy na
jednym z portali oceniających noclegi. Były tam opinie na temat hoteli i restauracji prawie z całego świata, w tym z Rosji, Dubaju i Istambułu -
czyli miast, których lotniska są największymi portami tranzytowymi dla
podróżnych lecących z i do Rosji. Amerykanie wypuścili Ellera, ale
uprzedzili Niemców, którzy aresztowali kuriera zaraz po jego przylocie
do Monachium w styczniu 2023 roku.
Te wszystkie przykłady potwierdzają, że nie ma reguł dotyczących
inwigilacji elektronicznej. Z jednej strony korzystanie z urządzeń
telekomunikacyjnych znacznie ją ułatwia, z drugiej, brak takiej
komunikacji zwraca uwagę. A trzeba jeszcze pamiętać, żeby nie ujawniać
żadnych szczegółów życia prywatnego, nawet takich: gdzie mieszka
rodzina, jakie jest wyposażenie domu, w jakich hotelach i restauracjach
się bywa.
***
Ale wróćmy na polskie podwórko. Inwigilacja elektroniczna była
prowadzona nie tylko w tych najbardziej znanych sprawach politycznych. W lutym 2014 roku Citizens Lab z Kanady ujawniło, że Polska jest jednym z państw, które kupiły oprogramowanie od Hacking Team. Podobno Centralne
Biuro Antykorupcyjne wydało na ten zakup dwieście pięćdziesiąt tysięcy
euro, a wraz z aktualizacjami ogólne koszty zakupu wyniosły około
półtora miliona złotych, czyli mniej więcej czterdzieści razy mniej niż
łączne koszty zakupu Pegasusa. Informacja wywołała spore zamieszanie w niektórych mediach. W efekcie konieczne były wyjaśnienia szefa CBA przed
Sejmową Komisją do spraw Służb Specjalnych. Nie wykryto jednak żadnych
nieprawidłowości.
Na przełomie 2014 i 2015 roku na portalach poświęconych bezpieczeństwu
IT zaczynają pojawiać się pogłoski, że w miejsce DaVinci i Galileo,
opracowanych przez włoski Hacking Team, wchodzi nowy system - Pegasus
izraelskiej firmy NSO. Natychmiast hakerzy i różne rządowe instytucje na
całym świecie zaczynają szukać informacji na temat nowego programu. I mimo to polski rząd postanawia go kupić w 2017 roku.
Jest to poprzedzone zmianą przepisów dotyczących czynności
operacyjno-rozpoznawczych - a więc inwigilacji - w tak zwanych ustawach
branżowych, czyli tych aktach normatywnych, które dotyczą pracy i zadań
Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Centralnego Biura
Antykorupcyjnego, Policji, Służby Kontrwywiadu Wojskowego, Służby
Wywiadu Wojskowego i innych służb prowadzących pracę operacyjną. W 2016
roku weszła w życie ustawa zmieniająca przepisy o kontroli operacyjnej.
We wszystkich ustawach dotyczących służb wprowadzono jednobrzmiące
zapisy takiej treści:
"Kontrola operacyjna prowadzona jest niejawnie i polega na:
(...)
- uzyskiwaniu i utrwalaniu treści korespondencji, w tym korespondencji
prowadzonej za pomocą środków komunikacji elektronicznej;
- uzyskiwaniu i utrwalaniu danych zawartych w informatycznych nośnikach
danych, telekomunikacyjnych urządzeniach końcowych, systemach
informatycznych i teleinformatycznych".
Wcześniej ten przepis ograniczał się do stwierdzenia:
"Kontrola operacyjna prowadzona jest niejawnie i polega na:
(...)
- stosowaniu środków technicznych umożliwiających uzyskiwanie w sposób
niejawny informacji i dowodów oraz ich utrwalanie, a w szczególności
treści rozmów telefonicznych i innych informacji przekazywanych za
pomocą sieci telekomunikacyjnych".
Wcześniej nie było mowy o "uzyskiwaniu i utrwalaniu danych w systemach
informatycznych i teleinformacyjnych", a także "telekomunikacyjnych
urządzeniach końcowych".
Jedną z grup, które najbardziej odczuły tę zmianę w przepisach, byli
Obywatele RP. Między jesienią 2016 a pierwszą połową 2018 roku niektórzy
z uczestników tego ruchu byli zatrzymywani przez policję po kilkanaście
albo nawet kilkadziesiąt razy, najczęściej w związku z udziałem lub
przygotowaniami do protestów ulicznych. Inwigilacja była tak nasilona,
że kiedy Obywatele RP umawiali się gdzieś za pomocą różnych form
komunikacji, okazywało się, że w wyznaczonym miejscu policja już na nich
czekała.
Szczególnie wyraźnie było to widać na przykładzie operacji Sejm, którą
prowadziła policja w lipcu 2017 roku. Szczegóły operacji ujawniły media
na podstawie przekazanych redakcjom nagrań, które zrobili specjaliści od
nasłuchu policyjnej komunikacji.
Policja tłumaczyła się, że prowadziła "monitoring prewencyjny" - a należy zaznaczyć, że takiego pojęcia nie ma w polskim prawie - który
ograniczał się do najbliższego otoczenia sejmu, gdzie prowadzone były
protesty. Najbardziej inwigilowani byli liderzy Obywateli RP: Tadeusz
Jakrzewski, Paweł Kasprzak i Wojciech Kinasiewicz. Wytoczyli oni policji
sprawę o przekroczenie uprawnień. Niestety, sąd nie zdecydował się na
ukaranie policjantów, uzasadniając to twierdzeniem, że "monitoring" miał
miejsce tylko w miejscu prowadzonej manifestacji. Niestety, sąd nie
sprawdził, że w aktach sprawy były dowody na prowadzenie inwigilacji
wiele kilometrów od sejmu. Na przykład: w rejonie Klubu Państwo Miasto
na północnych krańcach ulicy Andersa czy sklepu z narzędziami na
dalekiej Woli.
Jeszcze bardziej charakterystyczna była pogoń tajniaków za Pawłem
Kasprzakiem i Wojciechem Kinasiewiczem. W lipcu 2018 roku - czyli sporo
ponad pół roku po zakupie Pegasusa - szykując się do protestu, zostawili
swoje smartfony koleżankom i kolegom. W efekcie nie dało się ich
obserwować żadnym narzędziem śledzącym telefony. Na tyłach sejmu zbiegli
ze skarpy prowadzącej na Powiśle, przez park, w taki sposób, żeby nie
dało się jechać za nimi samochodem. Przy samej ulicy Rozbrat czekały na
nich rowery. Kiedy na nie wsiedli, kilku mężczyzn, udających
spacerowiczów, wpadło w popłoch i zaczęło biegać w różne strony,
rozmawiając ze swoimi rękawami i klapami marynarek. Uciekających
Obywateli nie udało się dogonić, a zaplanowany protest wreszcie doszedł
do skutku.
Niestety, znacznie poważniejszych konsekwencji doświadczają aktywiści
pomagający uchodźcom w rejonie granicy polsko-białoruskiej w ramach
Grupy Granica. W przypadku zatrzymania policja czy straż graniczna
zabiera im telefony i przejmuje dane ze skrzynek pocztowych, a także
kontakty, zapisy w komunikatorach i SMS-ach. Na tej podstawie ABW wzywa
i przesłuchuje aktywistów pod zarzutem przemytu ludzi. W takiej sytuacji
nie ma dobrego wyjścia, może z wyjątkiem kasowania na bieżąco starszych
wpisów, aby nie dało się ich interpretować jako dowodu przestępstwa.
Całkiem jednak nie da się pozbyć smartfonów, chociażby dlatego, że bez
nich nie da się przesyłać pinezek wskazujących miejsca, w których
znajdują się ludzie potrzebujący pomocy.
***
Kolejny problem, który dotyczy potencjalnej inwigilacji, to wielość
rejestrów, na podstawie których można zdobyć dane właściwie o każdym.
Zaczynając od obowiązkowego dla wszystkich mieszkańców systemu PESEL, na
podstawie którego można także opracować strukturę rodziny, danych
bankowych i rachunków telefonicznych, także za gaz, wodę, elektryczność
i ogrzewanie, poprzez dane dotyczące ubezpieczeń, zatrudnienia,
działalności gospodarczych osób fizycznych i wszystkich innych
przedsiębiorstw, danych z Centralnej Ewidencji Pojazdów i Kierowców,
beneficjentów pomocy publicznej, zwycięzców przetargów na różne usługi i dostawy, wykazów uczniów, studentów i absolwentów, na elektronicznych
zbiorach danych medycznych, ewidencji recept elektronicznych i rejestrze
ciąż skończywszy. Są jeszcze zbiory danych uczestników programów
lojalnościowych, ale nie ma obowiązku, aby się do nich zapisywać.
Niestety, obecności w rządowych rejestrach nie da się uniknąć, chyba że
ktoś wyjedzie za granicę, gdzie wcale nie musi być lepiej. Jedyne, co
można zrobić, to w trakcie wyborów głosować na polityków, którzy dają
gwarancję ograniczenia dostępu do danych bez zgody i wiedzy osób,
których dotyczą.
Jesteśmy też przed wyzwaniem, jakie niesie ze sobą sztuczna
inteligencja. Niewątpliwie jest już wykorzystywana do analizy danych. Na
przykład selekcji, z różnych zbiorów i innych źródeł, informacji, które
pomogą ustalić charakterystykę wybranej osoby. Bez znaczenia, czy to
członek zorganizowanej grupy przestępczej, terrorysta, przemytnik,
polityk, aktywista, dziennikarz czy przedsiębiorca. W innym miejscu tej
książki wyjaśniam, jak można wyszukiwać specyficzne cechy, świadczące na
przykład o agresywnym charakterze jakiejś osoby, poglądach politycznych,
zaangażowaniu społecznym, chorobach, a także sposobie spędzania wolnego
czasu, hobby i lekturach.
Sztuczna inteligencja już potrafi lub niedługo będzie potrafiła
przeanalizować dowolny tekst czy nagranie, żeby określić charakter i poglądy autora. A także, w drugą stronę, podrobić tekst w taki sposób,
że będzie wyglądał na napisany przez konkretną osobę. Na przykład donos
albo przyznanie się do winy, którym będzie można popsuć reputację
jakiegoś konkurenta czy przeciwnika.
***
Myślę jednak, że najważniejsza sprawa to nie dać się wpędzić w paranoję.
Nadmierna ostrożność może spowodować, że przestaniemy robić cokolwiek.
Po kilku tygodniach, w trakcie pisania tej książki, komputer, na którym
pracowałem, odmówił kooperacji. Bardzo zaniepokojony zwróciłem się do
wydawnictwa, dla którego piszę, o pomoc. Pomogli. Redakcja
zaproponowała, że pożyczy mi laptopa. Na wszelki wypadek spytałem,
jakiej marki jest komputer. Okazało się, że wyprodukowano go w Chinach.
Nie miałem wyboru, mimo że o chińskiej elektronice wiadomo, że
producenci instalują w niej backdoory, pozwalające chińskim służbom na
przejmowanie korespondencji i dokumentacji przechowywanej na
produkowanych w ich państwie urządzeniach.
Podsumowując, napisałem książkę o unikaniu inwigilacji na komputerze
firmy znanej z tego, że jej komputery mogą być kontrolowane przez
chińskie służby. Wygląda więc na to, że pierwszym jej czytelnikiem
będzie nie redaktor, korektor lub drukarz, tylko wywiad Państwa Środka.
Rozdział drugi. Media społecznościowe
Rozdział drugi
Media społecznościowe
Problem monitorowania profili w mediach społecznościowych rośnie i przybiera na sile. Za ich pośrednictwem pracodawcy sprawdzają, co
pracownicy robią po pracy i czy nie krytykują firmy, w której są
zatrudnieni. Przestępcy szukają potencjalnych ofiar i rozpoznają ich
wrażliwe punkty. Konkurujące ze sobą firmy analizują nawzajem swoje
profile, chociażby po to, żeby śledzić strategię sprzedaży lub
marketingu. Szukają też w ten sposób fachowców, których dałoby się
podkupić. Przeciwnicy polityczni polują na potknięcia, którymi
nieostrożnie mogą pochwalić się ich adwersarze. W tym gronie nie brakuje
również prywatnych agencji detektywistycznych i służb państwowych. I właśnie z tego powodu w wielu urzędach czy służbach pracownicy i funkcjonariusze mają zakaz zakładania i posiadania profili w mediach
społecznościowych.
Kiedyś, prowadząc firmę detektywistyczną, poprosiłem współpracowników o policzenie, w ilu przypadkach sprawdzenie profili na Facebooku,
LinkedInie, Twitterze i kilku innych portalach zaowocuje wartościowymi
informacjami. Okazało się, że prawie połowa prywatnych przedsiębiorców i pracowników korporacji zamieszcza informacje, które mogą być przydatne
do różnych ustaleń czy działań. Bywa, że samo zdjęcie pozwala, dzięki
wyszukiwarkom i porównywarkom zdjęć, dowiedzieć się czegoś nowego. Nie
mówiąc już o takich oczywistościach jak hobby, sposób spędzania wolnego
czasu, wyjazdy wakacyjne, poglądy polityczne, konflikty z różnymi
osobami, relacje rodzinne, lista znajomych, sukcesy i frustracje
zawodowe.
I teraz spróbujmy sobie wyobrazić, że te gigantyczne zbiory danych są -
jak twierdzi Alex Berenson6 - regularnie "przeczesywane": "NSA
śledziła rozmowy telefoniczne, e-maile, komunikatory internetowe, zmiany
statusów na Facebooku - cyfrową falę tsunami.
Codziennie w świat wypływały miliardy wiadomości, otwartych i zakodowanych. NSA poświęcała masę energii już na samą segregację
potencjalnie interesujących ją informacji. Jedynym zajęciem jednej
trzeciej agencyjnych komputerów było decydowanie, czym powinny zajmować
się pozostałe dwie trzecie"7.
Podsłuchy i kontrolę poczty elektronicznej zostawiamy tym razem na boku,
bo jest o nich mowa w innych rozdziałach. Koncentrując się wyłącznie na
mediach społecznościowych, i tak możemy wyszczególnić kilka sposobów
pozyskiwania informacji. Po pierwsze, samo przeglądanie wpisów na
Facebooku, Twitterze, LinkedInie i w podobnych serwisach już daje sporo
wiedzy. Trochę trudniej jest coś znaleźć, kiedy użytkownik profilu
zastrzega prywatność całego konta albo jego fragmentów, na przykład:
listy znajomych, zdjęcia, niektóre posty i informacje na swój temat.
Trzeba się wtedy nieco postarać, aby dotrzeć do tych informacji. Jeszcze
inaczej jest w przypadku, gdy interesujące nas profile należą do
zamkniętych grup, w których wymieniają się informacjami. Wtedy i na to
trzeba znaleźć jakiś sposób.
Świadomi tych zagrożeń administratorzy mediów społecznościowych oraz
inni świadczeniodawcy, jak na przykład banki, sklepy internetowe czy
pośrednicy w handlu nieruchomościami, dość regularnie przypominają,
jakich zasad należy przestrzegać, żeby w sieci poruszać się w miarę
bezpiecznie. Można z tych rad zrobić katalog:
- trzeba chronić swoje hasła logowania, starając się, aby nie były łatwe
do odgadnięcia; zwykle rekomendowane jest, aby hasło składało się co
najmniej z ośmiu znaków, wśród których znajdą się cyfry, wielkie i małe
litery, a także znaki diakrytyczne oraz różne symbole z biblioteki
znaków specjalnych; hasła ponadto powinny być też regularnie zmieniane;
- widoczność wpisów o sprawach prywatnych należy ograniczać tylko do
grona znajomych, podobna zasada powinna dotyczyć danych dotyczących
miejsca pracy i spraw zawodowych;
- na prywatnych kontach przyjmować zaproszenia wyłącznie od osób, które
się zna;
- zastanawiać się, czy wybieramy właściwe tagi, nie wprowadzać tagów
przesadnie atrakcyjnych, żeby zwiększyć zasięg posta, ale mylących co do
jego rzeczywistej treści (na przykład "sex"), ani takich, które mogą
okazać się słowami kluczami do poszukiwań administratorów portalu i wszystkich innych, którzy lubią ingerować w cudze treści;
- unikać informacji o życiu osobistym, a w szczególności intymnym;
- bardzo ostrożnie umieszczać opinie i zdjęcia, każdorazowo zastanawiać
się, czy nie ujawnimy danych wrażliwych i czy komentarz lub zdjęcie nie
będą powodem do szyderstwa lub ataku ze strony internautów;
- nie otwierać linków od nieznanych osób, zawierających ogłoszenia,
reklamy, które trafią na nasz profil, próśb o wypełnienie ankiet na
dowolny temat czy zachęt do zakupów w superokazyjnych cenach;
- zainstalować i regularnie aktualizować programy antywirusowe,
większość z nich w najnowszych wersjach, które wykrywają także
niepożądane oprogramowanie, chociaż trzeba pamiętać jednocześnie, że
programy antywirusowe są spóźnione wobec najnowszych wirusów i trojanów;
- regularnie sprawdzać, czy zapora systemowa Windows lub innego systemu
operacyjnego działa poprawnie;
- unikać "podejrzanych" i niezabezpieczonych stron www;
- skanować pendrive'a przed włożeniem do portu USB;
- posługiwać się wyłącznie legalnym oprogramowaniem.
W przeciwnym wypadku narażamy się na ponadprzeciętne zagrożenie, takimi
zdarzeniami jak: kradzież tożsamości w celu wykorzystania jej do działań
nieetycznych lub przestępczych, cyberprzemoc, stalking, spam,
zainfekowanie komputera szkodliwym oprogramowaniem typu malware lub
spyware.
Czy zainstalowanie niepożądanego oprogramowania jest łatwo zauważyć?
Zwykle nie, chociaż wielu specjalistów od cyberbezpieczeństwa
podpowiada, jakie mogą być najbardziej typowe symptomy zainfekowania
naszych urządzeń. Wśród najczęściej wymienianych pojawiają się
następujące:
- urządzenie pracuje wolniej;
- smartfon lub komputer mocniej się nagrzewają, nawet wtedy, gdy nie są
używane - w przypadku komputerów stacjonarnych może się to objawiać
częstszym włączaniem się wiatraka;
- komputer, tablet czy smartfon uruchamiają się wolniej, a pobieranie
danych z jakiejkolwiek strony czy aplikacji trwa dłużej niż zwykle;
- maleje ilość miejsca w pamięci podręcznej lub na dysku komputera;
- bombardowanie spamem, reklamami, ofertami zakupów i propozycjami
zarejestrowania się na stronach, których nigdy nie odwiedzaliśmy;
- problemy z dostępem do internetu, przy logowaniu się do sieci wi-fi
konieczność wpisywania loginu i hasła, pomimo że były zapamiętane w systemie;
- kłopoty z aplikacjami: jedne otwierają się same, innych z kolei nie da
się otworzyć w ogóle, a niektóre aplikacje samoistnie instalują się na
paskach narzędziowych;
- zniszczenie lub zaszyfrowanie danych, poparte zwykle żądaniem okupu za
ich ewentualne odszyfrowanie i odzyskanie.
Każdy z wymienionych objawów powinien zwrócić naszą uwagę, a w celu
znalezienia przyczyny niepokojących symptomów warto skanować komputer
możliwie najnowszymi - najlepiej kilkoma - programami do wykrywania
rootkitów. Jeżeli podejrzenie zainfekowania systemu się potwierdzi,
należy pójść do specjalisty informatyka, a także zastanowić się nad
przeprowadzeniem diagnostyki urządzenia za pomocą najbardziej
profesjonalnego sprzętu do wykrywania złośliwego oprogramowania czy
ewentualnego włamania oraz odzyskiwania utraconych danych. Wśród
polskich ekspertów najbardziej cenione są izraelskie urządzenia marki
UFED.
A teraz najgorsza wiadomość: nawet bardzo staranne przeskanowanie
urządzenia nie zapewnia pełnego bezpieczeństwa przed najbardziej
profesjonalnymi robakami, które przyklejają się do fragmentów
oprogramowania i mogą okazać się niemożliwe do wykrycia. Szczególnie
wtedy, gdy intruz dostał się do naszego systemu nie dzięki włamaniu i zhakowaniu urządzenia, tylko dzięki socjotechnice. Dlatego nawet ścisłe
przestrzeganie zaleceń i regularne sprawdzanie oprogramowania nie
zapewnią bezpieczeństwa, jeżeli użytkownik komputera nie będzie po
prostu ostrożny.
Jaka wielka jest skala zagrożeń, wie dobrze Jakub Szamałek8,
który co prawda nie ma doświadczenia w służbach specjalnych, ale
pracując w firmach tworzących oprogramowanie, gromadził informacje na
temat hakowania i ochrony przed włamaniem, dzięki czemu stał się
ekspertem w tej dziedzinie. Swoją wiedzę zebrał w cyklu powieści Ukryta
sieć, w którym pokazuje, jak łatwo można manipulować pojedynczymi
osobami, a nawet całymi społecznościami, dzięki tworzeniu ściśle
dedykowanego przekazu. Co istotne, przekazu fałszującego rzeczywistość,
opartego o półprawdy, nieprawdy i mity, ale dopracowanego w taki sposób,
aby docierać do jak najszerszego grona osób o bardzo zróżnicowanych
rysach psychologicznych.
Najbardziej ogólne podsumowanie sytuacji w internecie Jakub Szamałek
przedstawia w jednym z fragmentów swojej powieści. Przy czym podkreśla,
że odpowiedzialni za przestępstwa i manipulacje w sieci są nie tylko
hakerzy i osoby wykradające dane, ale w gruncie rzeczy wszyscy dostawcy
usług internetowych, a także naiwni użytkownicy:
"Oprogramowanie, co do zasady, też jest zjebane. Bo powstaje byle jak.
Byle szybciej, byle taniej niż konkurencja. Bo nikt go solidnie nie
testuje. Bo ważniejsze, żeby było ładne i wygodne, a nie bezpieczne.
Więc na rynek wychodzi dziurawy produkt, w którym roi się od błędów. (...)
Zapraszamy do zakupu pełnej wersji książki