NSO Group korzysta z Pegasusa do własnych celów? „Nie istnieją ograniczenia techniczne”

Pegasus to potężne narzędzie szpiegowskie, które powstało z myślą o walce z terroryzmem i przestępczością. Specjaliści Project Zero nazwali go bronią, przed którą nie ma obrony: „Nie ma sposobu, aby mu zapobiec”. System został stworzony przez izraelską firmę NSO Group i jest przeznaczony dla użytku przez organy ścigania oraz agencje wywiadowcze.

Jednak w rzeczywistości w wielu krajach narzędzie było (i jest) wykorzystywane do inwigilowania obywateli, w tym opozycji, prawników, dziennikarzy czy aktywistów. Przykładem mogą być chociażby Węgry czy Polska.

W naszym kraju lista osób, wobec których specjaliści Citizen Lab potwierdzili użycie Pegasusa obejmuje: mecenasa Romana Giertycha, prokurator Ewę Wrzosek, senatora Krzysztofa Brejzę, prezesa AGROunii Michała Kołodziejczaka oraz dziennikarza Tomasza Szwejgierta.

NSO Group: ograniczenia prawne i techniczne

Mówimy tutaj jednak o przypadkach działań prowadzonych przez służby państwowe. Pytanie jednak, czy system szpiegowski mógł lub nadal może być wykorzystywany przez samego producenta?

Rzecznik NSO Group na łamach dziennika "Haaretz" wskazuje, że istnieją „prawne, organizacyjne i techniczne” przeszkody, które mają zapobiegać tego typu nadużyciom ze strony pracowników. Jak tłumaczy, wystąpienie takich sytuacji uderzałoby w firmę pod względem wizerunkowym i finansowym.

Źródła gazety podkreślają, że żaden pracownik nie ma pełnego dostępu do Pegasusa. Każda czynność związana z systemem – od demonstracji dla potencjalnych kupujących (systemy w wersji demonstracyjnej mają ograniczone możliwości i znajdują się pod ścisłym nadzorem) po dostarczenie dla klientów i szkolenia – jest podzielona na sekcje, za które odpowiedzialne są konkretne osoby w firmie. Z tego względu nikt nie ma pełnego dostępu do wszystkich procesów związanych z produktem.

Rzecznik NSO Group nie chce zdradzać szczegółów dotyczących technicznych ograniczeń, zaznacza jednak, że gdyby doszło do nadużycia ze strony pracownika lub dyrektora firmy, wywołałoby to poruszenie w ramach przedsiębiorstwa i zostało natychmiast wykryte.

Ryzyko szybkiego wykrycia

Producent Pegasusa twierdzi, że nie posiada dostępu do danych swoich klientów i nie jest w stanie sprawdzić, w jaki sposób korzystają oni z systemu. Zaznacza, że nie ma jednego serwera, na którym znajdowałyby się wszystkie dane pozyskane z urządzeń za pomocą produkowanego przez firmę systemu.

Jak tłumaczy źródło izraelskiego dziennika, mało prawdopodobne jest, aby ktoś z firmy podłączyłby się do systemu będącego już na usługach klienta. Wynika to z faktu, że sprzedaż licencji na Pegasusa konkretnemu podmiotowi ogranicza liczbę celów, które można za jego pomocą zainfekować. Ponadto, istotną rolę odgrywają również ograniczenia geograficzne w zakresie jego funkcjonowania w określonych częściach świata.

Mówiąc prościej: pracownik izraelskiej firmy musiałby się liczyć z tym, że korzystając z systemu będącego w dyspozycji np. służb w Polsce, może zostać przez nie zidentyfikowany. Osoby odpowiedzialne za Pegasusa będą widziały, że ktoś z zewnątrz korzysta z licencji „na boku”.

Warto jednak wskazać, że NSO Group twierdzi, iż jej produkt nie działa w przypadku izraelskich i amerykańskich numerów. Jednak jak ujawniły media, izraelska policja zakupiła licencję na Pegasusa, pozwalającą na inwigilację telefonów w tym kraju. FBI także ma posiadać wspomniany system szpiegowski, lecz – zgodnie z deklaracjami funkcjonariuszy – nie był on nigdy wykorzystywany. Jak informowaliśmy , służył jedynie do testów.

Własny system?

Jest jednak jeszcze jeden scenariusz. NSO Group posiada własny system szpiegowski działający w ramach firmy. „Nic nie stoi na przeszkodzie, aby przedsiębiorstwo posiadało tajne narzędzie połączony z własnym serwerem i małym, dedykowanym zespołem” – ocenia Haaretz.

Rzecznik NSO Group wskazał, że nawet jeśli taki wewnątrz system by istniał, ryzyko prawne, jakie stwarza jego używanie, byłoby wystarczającym środkiem odstraszającym i zniechęcającym do tego typu działań. Zaznaczył, że to taki sam casus, jak w przypadku producentów broni, których pracownicy nie używają wytworzonych tam narzędzi i broni na zewnątrz.

Źródła dziennika dodają, że próba wykorzystania własnego narzędzia szpiegowskiego na potrzeby firmy byłaby nieopłacalna, a wręcz lekkomyślna pod względem finansowym. Wynika to z faktu, że każda tego typu operacja grozi ujawnieniem luk, które wykorzystuje Pegasus, a to mogłoby narazić działalność przedsiębiorstwa, bez odniesienia wielkich korzyści.

Nie istnieją ograniczenia techniczne

Guy Barnhart-Magen, współzałożyciel firmy Profero zajmującej się cyberbezpieczeństwem, w rozmowie z "Haaretz" zwraca uwagę na jeden fakt: „Z jednej strony NSO Group wskazuje, że nie posiada dostępu do Pegasusa i to klienci ponoszą wyłączną odpowiedzialność za jego używanie. Z drugiej, firma zbudowała system. Jest jego właścicielem i wie, jak należy go obsługiwać lub wspierać jego działanie”.

Dodaje, że strach przed bycia nakrytym na gorącym uczynku działa jak środek odstraszający.

Z kolei  Zuk Avraham, CEO ZecOps (firma z branży cyberbezpieczeństwa, która sprawdza telefony pod kątem włamań), zaznacza, że nie istnieją „ograniczenia techniczne”, które uniemożliwiałyby pracownikom mającym dostęp do kodów NSO użycie produktów firmy. „Istnieją jedynie ograniczenia prawne i etyczne” – tłumaczy dla izraelskiego dziennika.

Specjalista ostrzega również przed klientami, a nawet byłymi pracownikami firmy, którzy posiadając wiedzę na temat Pegasusa mogą tworzyć jego własną wersję. „Oczywiście, wymaga to wiedzy, ale znacznie mniej niż w przypadku zbudowania całego systemu od podstaw” – tłumaczy.

Warto przypomnieć, że taka sytuacja miała miejsce w 2018 roku, gdy były pracownik NSO Group został uznany winnym kradzieży oprogramowania szpiegującego i wystawienia go na sprzedaż w Internecie za 50 mln dolarów.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.