Służby, monitoring i giełdy danych

Służby, monitoring i giełdy danych
W ubiegłym roku badacze odkryli, że w Polsce działa jedno z najbardziej znanych i najpotężniejszych narzędzi inwigilujących cyberprzestrzeń. Mowa o Pegasusie (1), oprogramowaniu szpiegującym, stworzonym przez izraelską firmę NSO Group.

Oprogramowanie to pozwala na instalację spyware’u w wielu modelach telefonów, a następnie na kontrolę wszystkich przetwarzanych na nich informacji - podsłuchiwanie rozmów, czytanie zaszyfrowanych czatów czy zbieranie danych o lokalizacji. Umożliwia kontrolę nad mikrofonem i kamerą urządzenia, dzięki czemu problemu nie stanowi również monitoring otoczenia smartfona. Pegasus zapewnia wgląd w treść wiadomości tekstowych SMS, e-maili, sprawdzanie aktywności w mediach społecznościowych i przeglądanie obsługiwanych w telefonie dokumentów. Dzięki niemu można też dowolnie modyfikować ustawienia urządzenia.

Żeby rozpocząć korzystanie z Pegasusa celem szpiegowania ofiary, należy zainstalować w jej urządzeniu złośliwe oprogramowanie. Najczęściej wystarczy skłonić ją do kliknięcia w specjalny link, który dostarczy na telefon instalatory spyware’u bez świadomości właściciela smartfona.

Organizacja Citizen Lab przeprowadziła w ostatnich latach testy, z których wynika, że obecnie ów program szpiegowski używany jest w czterdziestu pięciu krajach na całym świecie. Z działaniem Pegasusa powiązano ponad tysiąc adresów IP i nazw domen. Okazało się, że oprogramowanie jest aktywne m.in. w Meksyku, USA, Kanadzie, we Francji i w Wielkiej Brytanii, a także w Polsce, Szwajcarii, na Węgrzech i w krajach Afryki. Wprawdzie lokalizacja może być fałszywa za sprawą korzystania z aplikacji VPN, ale wg raportu w naszym kraju miała funkcjonować cała gromada takich urządzeń.

Zespół Citizen Lab ocenił, że Europą zainteresowanych jest pięciu z ponad trzydziestu aktywnych operatorów Pegasusa. Działają oni w Polsce, Szwajcarii, na Łotwie, Węgrzech i w Chorwacji. W przypadku Polski operator o nazwie „ORZELBIALY” swoje działania zdaje się prowadzić wyłącznie lokalnie, od listopada 2017 r. Spyware tego rodzaju może być częścią normalnych czynności operacyjnych ze strony służb i organów ścigania. Innymi słowy, Pegasus może po prostu być narzędziem wykorzystywanym w czynnościach śledczych. Warto wspomnieć, że w przeszłości pisano o używaniu przez CBA podobnych narzędzi, a produktami zainteresowane były także inne polskie służby. Pegasus może też jednak być wykorzystywany do szpiegowania przez podmioty zagraniczne.

Wbrew alarmistycznym publikacjom - których fala rozlała się po tym, jak jeden z posłów PiS, Tomasz Rzymkowski, „wygadał”, że taki system jest wykorzystywany przez polskie służby, a „celem działań operacyjnych są tylko osoby podejrzewane o popełnienie przestępstw” - Pegasus nie bardzo nadaje się do tzw. masowej inwigilacji. Jest to narzędzie typowo operacyjne i służy do śledzenia oraz namierzania pojedynczych, konkretnych celów. Warto jednak pamiętać, że oprogramowanie niejednokrotnie było już używane do operacji niezgodnych z prawem lokalnym i międzynarodowym. Citizen Lab podaje przykłady władz takich krajów, jak Bahrajn, Arabia Saudyjska, Meksyk i Togo, które używały Pegasusa do szpiegowania przeciwników politycznych.

Smart city „dla dobra” i do „innych celów”

Jeśli chcemy szukać w Polsce szpiegowania na bardziej masową skalę, to warto zwrócić uwagę na coś innego, co zwykle promuje się jako postęp techniczny - technologie typu smart city, działania na rzecz bezpieczeństwa, wygody i oszczędzania, nie tylko pieniędzy. W największych polskich miastach niepostrzeżenie rosną systemy monitoringu, także takie z zastosowaniem sztucznej inteligencji.

Ulice, skrzyżowania, parki, przejścia podziemne i wiele innych miejsc w Łodzi jest już monitorowanych przez kilkaset kamer (2). Smart City Kraków brzmi nawet przyjemnie, ale za wygodnym sterowaniem ruchem, wolnymi miejscami parkingowymi czy inteligentnymi latarniami kryje się monitoring nadzorujący coraz więcej aspektów życia miasta. Doszukiwanie się w tego rodzaju rozwiązaniach szpiegowania może oczywiście budzić kontrowersje, bo przecież to wszystko „dla dobra i bezpieczeństwa” mieszkańców. Pamiętajmy jednak, że systemy inteligentnych miast są na całym świecie wskazywane przez organizacje występujące w obronie prywatności jako potencjalnie inwazyjne, a nawet groźne, jeśli ktoś wpadnie na pomysł, aby „dobry” system wykorzystać do niecnych celów. Wielu na taki pomysł wpada, o czym piszemy w innych tekstach tego wydania „MT”.

Nawet Virtualna Warszawa, która ma u podstaw bardzo szlachetną intencję pomocy osobom niewidomym i niedowidzącym w poruszaniu się po mieście, może ostatecznie wzbudzać pewne wątpliwości. Jest to w istocie projekt inteligentnego miasta oparty na sieci czujników Internetu Rzeczy. Dla osób mających z powodu upośledzenia wzroku problemy z poruszaniem się, przechodzeniem przez ulice i wsiadaniem do komunikacji miejskiej kwestia, czy są namierzane, wydaje się pewnie drugorzędna. Jednak zapewnienia przedstawicieli miasta, że sygnalizatory rozmieszczone na terenie miasta pozostają wielofunkcyjne, a Warszawa ma plany, aby wykorzystać sieć obejmującą całe miasto do innych celów, powinny zapalić małą lampkę ostrzegawczą.

2. Plakat reklamujący Smart City Expo w Łodzi

Na początku 2016 r. weszła w Polsce w życie tzw. ustawa inwigilacyjna. Wprowadza ona mechanizmy kontrolne dostępu do naszych prywatnych danych ze strony służb, ale zarazem pozwala tym służbom na znacznie więcej niż dotychczas. Zakres pozyskiwania danych internetowych jest teraz znacznie większy. Kontrolować zakres pozyskiwanych danych próbuje działająca w Polsce Fundacja Panoptykon. Ze zmiennym jednak powodzeniem. W czerwcu tego roku Agencja Bezpieczeństwa Wewnętrznego wygrała z fundacją sprawę przed Naczelnym Sądem Administracyjnym. Spór toczył się o ujawnienie przez służbę specjalną, jak często korzysta z uprawnień, które dała jej ustawa.

Inwigilacja w celach komercyjnych oczywiście również jest u nas znana i stosowana. Opublikowany w lutym tego roku raport Panoptykonu „Śledzenie i profilowanie w sieci. Jak z klienta stajesz się towarem” pokazuje, jak już teraz naszymi danymi obraca się na rynku, o istnieniu którego nie mamy najczęściej pojęcia.

Dostawcy treści internetowych wystawiają tam na sprzedaż profile swoich użytkowników oraz wyświetlaną im przestrzeń reklamową za pośrednictwem tzw. platform podaży (Supply Side Platforms). Dane od sprzedawców przestrzeni reklamowej odbierają i analizują tzw. platformy popytu (Demand Side Platforms). Mają one wyszukiwać użytkowników o określonym profilu. Profile poszukiwanych użytkowników określają agencje mediowe. Z kolei zadaniem giełd reklamowych (ad exchanges) jest optymalne dopasowanie reklamy do użytkownika, który powinien ją zobaczyć. Ten rynek danych funkcjonuje już w Polsce podobnie jak w wielu innych krajach świata.

Mirosław Usidus