Krzysztof Dyki jako biegły przed komisją śledczą ds. Pegasusa. Opowiada, jak działa system

W poniedziałek 8 lipca przed komisją śledczą do zbadania legalności, prawidłowości oraz celowości czynności operacyjno-rozpoznawczych podejmowanych m.in. z wykorzystaniem oprogramowania Pegasus stanął biegły Krzysztofa Dyki, który dzieli się swoją wiedzą z politykami. Na co dzień jest prezesem zarządu ComCERT S.A.

Jak działa Pegasus?

Dyki odpowiadając na pytania posłów wyjaśniał jak funkcjonuje oprogramowanie Pegasus, także w kontekście kontroli nad pozyskiwanymi danymi. Biegły powiedział, że pierwszym komponentem standardowego modelu Pegasusa jest tzw. stacja robocza - są to np. komputery stacjonarne lub laptopy, których z reguły jest więcej niż jeden; moduł ten jest „operatorem sterowania”.

Drugim modułem jest serwer, najczęściej w postaci fizycznej, znajdujący się w dyspozycji klienta; czasami znajduje się nawet w tym samym pomieszczeniu, co operator.

Biegły podkreślił, że architektura konfiguracji trzeciego modułu zależy od tego, jak klient zakupił produkt. Jest nim sieć anonimizująca systemu Pegasus, na którą składa się grupa serwerów, fizycznych lub wirtualnych. Odpowiada ona za anonimizację komunikacji w obie strony i ukrycie lokalizacji operatora.

„To czy ta grupa serwerów była zarządzana przez CBA czy NSO (izraelska firma, która stworzyła system Pegasus) zależy właśnie od sposobu zakupu systemu. Nie wiem, w jaki sposób zakupiła ten system Polska” - powiedział Dyki. Dodał, że ten kto ma kontrolę nad siecią anonimizującą ma kontrolę nad danymi, które przez nią przechodzą.

W związku z tym, jak podkreślił biegły, jeśli Polska zakupiła oprogramowanie bez kontroli nad siecią anonimizującą, to nie sprawowała kontroli nad danymi. „W przypadku innych krajów, ponieważ nie wiem jak było w naszym przypadku, NSO dopuszczało całkowitą kontrolę danych przez klienta” - powiedział.

Biegły został zapytany, czy system Pegasus miał możliwość wgrywania danych poza przestrzeń pamięci operacyjnej - chodzi o modyfikację treści, jakie były przechowywane na urządzeniu końcowym, np. SMS-ów, e-maili czy zdjęć w galerii. Dyki powiedział, że z perspektywy technicznej istniała taka możliwość. Podkreślił jednak, że w standardowej wersji Pegasusa nie oferowano takiej funkcjonalności dla klienta.

Pośrednik potrzebny do zakupu Pegasusa?

Pośrednik, w postaci firmy Matic, nie był potrzebny do zakupu oprogramowania Pegasus - powiedział na poniedziałkowym posiedzeniu komisji Krzysztof Dyki.

Zaznaczył jednak, że skoro skorzystano z usług spółki, zakłada, że przyniosło to jakąś korzyść.

Biegły pytany był o kwestię skorzystania z usług firmy Matic - jako pośrednika w procesie zakupu systemu Pegasus. Jak wyjaśnił, standardowym modelem zakupu Pegasusa przez firmę odpowiedzialną za opracowanie i dystrybuowanie Pegasusa, czyli NSO Group, jest model bezpośredni. „Spółkę NSO tworzą byli pracownicy służb specjalnych Izraela, nie są to amatorzy, więc wiedzą, jak się to robi. Model ten ma na celu zachowanie bezpieczeństwa transakcji, jej poufność i brak konieczności płacenia marży pośrednikowi” - tłumaczył Dyki.

„Jeżeli skorzystano z pośrednika, to trudno jest mi wyobrazić sobie sytuację, w której nie tworzy on wartości dodanej w postaci usług tej firmy w procesie zakupu” - dodał. Biegły podkreślił, że współpracował z firmą Matic, stąd wie, że ma ona doświadczenie w dostarczaniu oprogramowania dla służb specjalnych. Zauważył jednak, że dotyczy to innego typu oprogramowań niż Pegasus. Wskazał, że Matic specjalizuje się w innej kategorii rozwiązań dostarczanych służbom specjalnym.

Dyki przyznał, że gdyby to on odpowiadał za zakup systemu Pegasus, z perspektywy biznesowej nie chciałby angażować pośrednika, jeśli nie byłoby to konieczne. „Nie chciałbym, żeby jakakolwiek firma wiedziała, co kupuję na potrzeby tak wrażliwych operacji” - powiedział.

Zaznaczył jednak, że z perspektywy technicznej nie widzi ryzyk związanych ze skorzystaniem z usług firmy Matic, ponieważ pośrednik nie powinien mieć żadnego dostępu do zakupionego narzędzia.

Krzysztof Dyki o Pegasusie

„Pegasus nie był w żaden sposób sprawdzony” – mówił przed naszymi kamerami Krzysztof Dyki, Prezes ComCERT, Grupa Asseco. Zobaczcie, jak służby w praktyce wykorzystują tę broń oraz poznajcie jej sekrety - w naszym materiale wideo, dostępnym poniżej.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:*[email protected].*