System Hermes. Potężne możliwości czy afera o nic?

Sprawa oprogramowania szpiegowskiego Pegasus wciąż wywołuje dużo emocji. Afera dotycząca inwigilacji tymże systemem w Polsce zaczęła się 3 lata temu, gdy Citizen Lab potwierdziło tożsamość pięciu osób szpiegowanych Pegasusem. Na liście znaleźli się m.in. mec. Roman Giertych, a także prok. Ewa Wrzosek oraz Krzysztof Brejza. Samo działanie systemu na świecie ujawniono z kolei w 2016 roku.

Początkowo, metoda wprowadzenia Pegasusa na telefon była bardzo podobna do obecnych ataków oszustów. Ofiara musiała bowiem kliknąć w link otrzymany w wiadomości, co powodowało instalację złośliwego oprogramowania. Technologia szła jednak naprzód – w 2021 roku Pegasus wykorzystywał już luki i błędy w aplikacjach zainstalowanych na telefonie ofiary, a złośliwe linki były „pieśnią przeszłości”.

System lepszy niż Pegasus?

Tymczasem nowe doniesienia medialne sugerują, jakoby polska Prokuratura Krajowa prowadziła działania inwigilacyjne przy pomocy systemu jeszcze potężniejszego niż Pegasus. Takie informacje opublikowała w poniedziałek „Gazeta Wyborcza”, wskazując, że chodzi o system Hermes, zaś jego zakup miał kosztować 15 mln zł.

Okazuje się jednak, że spora część artykułu „Wyborczej” nie zgadza się ze stanem faktycznym w kontekście technologicznym. Zwrócił na to uwagę portal Zaufana Trzecia Strona, wskazując konkretne nieścisłości.

Według tekstu „Wyborczej”, system Hermes ma być instalowany w warstwie systemowej niższej od tej, z której korzysta Pegasus. Problem polega na tym, że ten drugi system jako warstwę do instalacji wybiera najniższą spośród istniejących i zejście jeszcze niżej nie jest zwyczajnie możliwe. To samo dotyczy stopnia kontroli nad urządzeniem – Pegasus widzi wszystko, co robi użytkownik oraz może kontrolować wszystkie funkcje urządzenia.

Potężne, przestarzałe funkcje

Opisane w tekście „Wyborczej” metody infekcji – tj. za pośrednictwem Bluetooth bądź sieci bezprzewodowej – są wręcz przestarzałe o dekadę. Brzmi to znacznie ciekawiej, jeżeli weźmie się pod uwagę, że mowa o systemie potężniejszym od Pegasusa, który wykorzystuje luki w aplikacjach zainstalowanych w perfekcyjnie zabezpieczonych systemach. Po co bowiem korzystać z tak starych metod, jeżeli ma się dostęp do luki, o której nie ma pojęcia sam producent oprogramowania?

Portal Zaufana Trzecia Strona zauważa jednak, że tekst nie zawiera jedynie błędów. Transakcja zakupu Hermesa przez Prokuraturę Krajową jest faktem, jednak jego funkcja nie wykracza poza analitykę. System służy bowiem do zbierania i zapisywania publicznie dostępnych w internecie danych, czyli mówiąc krótko - OSINT-u. Nie może być zatem potężniejszy od Pegasusa, jeżeli nie posiada nawet takich samych funkcji co on.

Są pierwsze oświadczenia (AKTUALIZACJA, godz. 14:54)

Wyjaśnienia Zaufanej Trzeciej Strony zgadzają się z oświadczeniem, które wydał Zastępca Prokuratora Generalnego w tej sprawie. Według tekstu oświadczenia, Hermes jest oprogramowaniem OSINT stosowanym w analizie kryminalnej i nie posiada możliwości przełamywania zabezpieczeń. Może zatem korzystać wyłącznie z tych danych, które analizowana osoba sama opublikowała w internecie.

Swoje oświadczenie ok. godz. 14 opublikowała również Prokuratura Krajowa. Instytucja potwierdziła, że system Hermes stosowany jest przy automatyzacji procesu OSINT. Jednocześnie zapowiedziano także przeprowadzenie postępowania mającego przeanalizować proces zakupu Hermesa oraz jego wykorzystania przez Prokuraturę.

Na temat informacji dot. oprogramowania Hermes wypowiedziała się również przewodnicząca sejmowej komisji śledczej ds. Pegasusa, Magdalena Sroka (PSL-TD). W rozmowie z Polską Agencją Prasową ujawniła, że komisja zajmie się nie tylko Pegasusem, ale również Hermesem oraz innymi systemami inwigilacyjnymi „podobnymi do Pegasusa”. Obecnie trwa oczekiwanie na odpowiednie dokumenty dotyącze sprawy.

/PM

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].