Możliwą gigantyczną skalę niekontrolowanej inwigilacji prowadzonej w Polsce za pomocą systemu Pegasus potwierdzili w poniedziałek badacze niezależnego kanadyjskiego instytutu Citizen Lab podczas pierwszego posiedzenia senackiej komisji nadzwyczajnej „do spraw wyjaśnienia przypadków nielegalnej inwigilacji, ich wpływu na proces wyborczy w Rzeczypospolitej Polskiej oraz reformy służb specjalnych”. W skład komisji wchodzą tylko senatorowie opozycji: KO, PSL i Lewicy. PiS ją zbojkotował.
Senacka komisja może niewiele
Senacka komisja nie ma uprawnień śledczych, nie może przesłuchiwać świadków w trybie kodeksu karnego, w tym nakładać obowiązku stawienia się przed nią. To dało znać o sobie już na pierwszym posiedzeniu, na które – mimo wcześniej wyrażonej gotowości – nie stawił się ekspert ds. cyberbezpieczeństwa prof. Jerzy Kosiński z Zakładu Systemów Bezpieczeństwa Akademii Marynarki Wojennej w Gdyni. Jak wyjaśnił przewodniczący komisji Marcin Bosacki (KO), prof. Kosiński poinformował, że wyperswadowali mu to przełożeni. Sławomir Rybicki (KO) skomentował to jako przykład strachu władzy politycznej przed wyjaśnieniem sprawy i wyraził nadzieję, że nie powtórzą się przypadki nieformalnego wpływania na świadków.
Senacka komisja nadzwyczajna może żądać wyjaśnień od władz publicznych, ale nie może żądać stawiennictwa konkretnych osób. Takie uprawnienia ma sejmowa komisja śledcza, ale powołaniu jej sprzeciwia się PiS. Kukiz ′15 wysunął natomiast propozycję, że poprze komisję, jeśli będzie badała przypadki inwigilacji za wszystkich rządów od 2007 r., czyli także PO-PSL.
Pegasus. Na tropie „Orzeł Biały”
Senacka komisja ma się zająć przede wszystkim wyjaśnieniem stosowania przez polskie służby Pegasusa – systemu, do którego czasową licencję polskie władze zakupiły, jak ustalił NIK, we wrześniu 2017 r. za 33,4 mln zł (25 mln ze środków Funduszu Sprawiedliwości Ministerstwa Sprawiedliwości i 8 mln z funduszu CBA). „Środki techniki specjalnej” kupiono za pośrednictwem firmy Matic. „Gazeta Wyborcza” napisała o niej, że jej założycielami są ludzie związani ze służbami PRL. Podczas pierwszego posiedzenia komisji okazało się, że pierwsze użycie Pegasusa w Polsce odnotowano nieco ponad miesiąc po zakupie – w listopadzie 2017 r.
Do tej pory wiemy o trzech potwierdzonych przez Citizen Lab przypadkach użycia systemu: wobec prokuratorki z niezależnego Stowarzyszenia Prokuratorów Lex Super Omnia Ewy Wrzosek, adwokata reprezentującego m.in. polityków opozycji Romana Giertycha i Krzysztofa Brejzy, szefa sztabu wyborczego KO. Wszystkich atakowano Pegasusem wielokrotnie. Jak wynika z wyjaśnień pracujących w Citizen Lab Johna Scotta Railtona i dr. Billa Marczaka, inwigilację na terenie Polski – i tylko na tym terenie – prowadził operator o nazwie „Orzeł Biały”.
Rosjanie hakowali tak Nawalnego
Naukowcy potwierdzili unikalne możliwości systemu Pegasus: że można nim włamywać się do telefonów bez użycia zainfekowanego linku, a więc właściciel urządzenia nie uchroni się ostrożnością czy systemami zabezpieczającymi. Że włamywacz ma dostęp do wszystkiego: kontaktów, połączeń, esemesów, skrzynki mailowej, haseł dostępu, np. do banku, zaufanych stron, chmury, w której przechowywane są dane. Że pozwala przejąć kamerę i mikrofon i na bieżąco podsłuchiwać inwigilowanego i jego otoczenie. Że można wykradać jego autentyczne maile czy esemesy i modyfikując je, używać ich do dezinformacji i kompromitacji konkretnych osób.
John Scott Railton podkreślił, że miał wrażenie déjà vu: rosyjscy hakerzy robili tak z korespondencją Aleksieja Nawalnego. W Polsce takie działania podjęto wobec Brejzy, gdy był szefem sztabu KO w ostatnich wyborach parlamentarnych.
Pegasus jak klucze do mieszkania
Odpowiadając na pytania senatorów, Kanadyjczycy potwierdzili, że włamując się do telefonu i kradnąc z niego hasła, można prowadzić inwigilację nawet po wygaśnięciu licencji na Pegasusa. Na przykład w przypadku korespondencji mailowej – znając hasło do skrzynki. Można mieć dostęp do wszystkich danych przechowywanych w chmurze. Dr Marczak porównał to do sytuacji, gdy złodziej włamie się do mieszkania, gdzie są klucze do rozmaitych innych pomieszczeń. Mając klucze, może sobie je w dowolnej chwili otwierać, nie musi się już włamywać. To można rozumieć też dosłownie: włamując się do telefonu, można przejąć sterowanie smart-domem, czyli domem (mieszkaniem), którego urządzenia, w tym zamki, da się kontrolować zdalnie. Można więc wejść do mieszkania, by je przeszukiwać lub coś podrzucić.
Kanadyjscy badacze potwierdzili, że można też – np. w ramach prowokacji – wpłacić komuś z konta przejętego od inwigilowanej osoby pieniądze, które mogą być potem dowodem korupcji. Rozsyłać maile, esemesy, zdjęcia. Senatorowie pytali o to w kontekście ostatnich zdarzeń – z telefonów córki Romana Giertycha i żony Krzysztofa Brejzy rozsyłane są do różnych instytucji np. informacje o podłożeniu bomby.
Badacze powiedzieli też o innym niebezpieczeństwie: przejąwszy telefon, można z niego wysyłać wiadomości, po otwarciu których zakaża się inne urządzenie szpiegowskim oprogramowaniem. To oznacza, że np. infekując telefony trzech znanych już osób, dało się zarazić inwigilacją dziesiątki polityków opozycji, działaczy niezależnego LSO, prawników reprezentujących opozycję uliczną, czy polityków. A także dziennikarzy. Wiadomość otrzymana od znanej osoby nie skłania do ostrożności i jest otwierana.
Badacze potwierdzili ponadto, że inwigilacja – także za pomocą Pegasusa – może służyć do łamania tajemnic zawodowych: obrończej, dziennikarskiej, lekarskiej.
Owoce zatrutego drzewa
Tak więc skala inwigilacji i prowokacji możliwa dzięki systemowi Pegasus jest niewyobrażalna. „Widzieliśmy, że są inne ofiary” – odpowiedzieli badacze Citizen Lab na pytanie, czy „Biały Orzeł” inwigilował kogoś jeszcze w Polsce. Uchylili się od odpowiedzi, czy można uznać, że inwigilacja miała charakter polityczny, odsyłając senatorów do „Białego Orła”. „Pegasus może być nadużywany, pokusa jest wysoka” – przyznali. „Wiemy o wielu nadużyciach. I pozwach przeciwko NSO i rządom. WhatsApp, Facebook, Apple, Google, Microsoft wytoczyły takie procesy”.
Zdaniem badaczy dowody zdobyte przy użyciu Pegasusa ze względu na brak zabezpieczeń przed nadużyciami i manipulacjami powinny być sceptycznie traktowane przez sądy. Nazwali je „owocami zatrutego drzewa”. Jednak w Polsce „owoce zatrutego drzewa” nie tylko nie są zakazane, ale PiS na początku swoich rządów zmienił kodeks karny, zakazując odmowy przyjęcia takich dowodów. Pytanie, ile takich dowodów zdobyto przeciwko Sławomirowi Nowakowi, byłemu prominentnemu politykowi PO, którego ponoć również inwigilowano Pegasusem.
We wtorek komisja przesłucha byłego szefa NIK, obecnie niezależnego senatora Krzysztofa Kwiatkowskiego, i obecnego szefa NIK Mariana Banasia.