Cała prawda o Pegasusie. Jak działał, jakich materiałów dostarczał, kogo podsłuchiwano?

Miała być wielka afera związana z podsłuchiwaniem całej opozycji i nieprzychylnych dziennikarzy, a jak donosi Rzeczpospolita, CBA dysponowała jedynie dwoma komputerami w głównej siedzibie, gdzie był zainstalowany  Pegasus. Co więcej, oprogramowanie nie mogło ingerować w zawartość telefonu, a sądy świadomie dawały zgodę na inwigilację szyfrowanych komunikatorów.

W drugiej połowie 2016 r. czyli za czasów rządów PO w CBA (kiedy kierował nim Ernest Bejda) zapadła decyzja, by znaleźć na rynku oprogramowanie, które pozwoli kontrolować wymianę treści z komunikatorów szyfrowanych – tradycyjna kontrola operacyjna nie zdawała egzaminu, przestępcy zaczęli komunikować się wyłącznie kanałami zakodowanymi. CBA zakupiło system znany jako Pegasus dopiero rok później – we wrześniu 2017 r. z pieniędzy Funduszu Sprawiedliwości – poprzez firmę Matic – od izraelskiej spółki NSO Group, za zgodą rządu Izraela. To, jak działał, kogo nim inwigilowano – obrosło legendami. „Rzeczpospolitej” udało się dotrzeć do osób, które odpowiadały za ten system w Polsce.  

Pegasus ulokowany w najbardziej chronionej strefie centrali CBA

W Polsce nadano mu inną nazwę – i tylko nią się posługiwano w materiałach niejawnych między służbami – związana jest z filmami Marvela. Jest tajna, nie podajemy jej do publicznej wiedzy.

Niepotwierdzone przypuszczenia, że Anom mógł działać podobnie do Pegasusa, a więc pozyskane z jego pomocą dowody nie powinny zostać wzięte pod uwagę przez polski sąd, to za mało – zauważa mec. Jarosław Kurpiejewski z kancelarii KBiW, komentując bezprecedensowy proces.

Pegasus został ulokowany w centrali CBA przy Alejach Ujazdowskich 9 w Warszawie, w najbardziej chronionym pomieszczeniu w całym budynku – zostało przygotowane według wymogów ochrony informacji niejawnych i certyfikowane przez ABW. Było podzielone na dwie części – w jednej siedzieli operatorzy, bezpośrednio prowadzący inwigilację, w drugiej – pracownicy biura techniki operacyjnej, mający „pod opieką” serwery (w razie problemów technicznych kontaktowali się bezpiecznym łączem z serwisem dostawcy systemu). 

System, który znajdował się w zaledwie dwóch komputerach, obsługiwało początkowo kilka osób, potem w sumie kilkanaście.

– Przed wejściem, w specjalnych kasetkach trzeba było zostawić cały sprzęt elektroniczny. Wewnątrz, gdzie siedzieli operatorzy i technicy, non stop były włączone kamery, rejestrowały każdy ruch i słowo. Skopiowanie czegokolwiek i wyniesienie było niemożliwe – opowiada nam jeden z naszych rozmówców.

Obowiązywały wyjątkowo rygorystyczne procedury bezpieczeństwa. Nie można było wyjść z pomieszczenia samemu, używając swojej karty dostępu. Funkcjonariusz biura techniki operacyjnej odnotowywał każde wejście i wyjście.

Jakie ograniczenia miał Pegasus?

Według naszych rozmówców największy fałszywy mit to ten, że Pegasus może zmieniać treści zawarte w inwigilowanym telefonie. – System nie ma takiej technologicznej możliwości – tłumaczą nasi rozmówcy. 

– Nie może np. wpisywać nowych treści SMS-ów, modyfikować czy kasować już istniejących. Nie może czegokolwiek umieszczać na telefonie. Taka ingerencja i jakiekolwiek modyfikacje z zewnątrz są technologicznie niemożliwe – podkreśla jeden z funkcjonariuszy. 

System działał na zasadzie trybu „read only” – wyłącznie odczytywania zawartości np. telefonu. Dane, w małych pakietach, przesyłał na serwery w CBA. Potwierdza nam to Adam Haertle, redaktor naczelny portalu zaufanatrzeciastrona.pl, ekspert ws. Pegasusa.

– Pegasus mógł mieć dodatkowe moduły na zamówienie klienta, ale na pewno w starych wersjach tego oprogramowania nie było funkcji modyfikacji danych na urządzeniu. Mógł dane z telefonu odczytywać, ale nie mógł ich zmieniać – mówi Haertle.

To cenna informacja, bo przeczy opiniom, że służba np. włamała się do telefonu, pozmieniała treść SMS-ów i „sfałszowany” materiał dała do śledztwa (to sugerowała m.in. prok. Ewa Wrzosek, której prokuratura chce stawiać zarzuty za ujawnienie informacji z jednego ze śledztw).

– Bardzo chcielibyśmy mieć takie możliwości, chociażby wobec wschodnich tzw. dyplomatów, ale ich nie mieliśmy – wskazuje nasze źródło w CBA.

– Starsze wersje Pegasusa nie potrafiły infekować telefonów bez interakcji z użytkownikiem (wymagały kliknięcia w przesyłany link), ale za to pozostawały na telefonie pomiędzy jego restartami. Usuwała je jedynie aktualizacja systemu, którą blokowały – tłumaczy nam Adam Haertle. I dodaje, że dopiero „późniejsze wersje, pochodzące z lat 2019–2020, potrafiły infekować telefon bez udziału użytkownika, więc nie musiały przetrwać restartu – po ponownym uruchomieniu telefonu zawsze mogły na niego łatwo wrócić”. – Nadal jednak blokowały aktualizacje, które mogły usunąć podatności wykorzystywane w procesie reinfekcji – zaznacza.

Czy sądy wiedziały o Pegasusie?

Co więcej – jak twierdzi jeden z agentów CBA – w systemie, które posiadała nasza służba antykorupcyjna, wprowadzono ograniczenia, np. zablokowano funkcję pobierania z telefonu zdjęć i filmów z galerii jako zbyt daleko sięgającą w prywatność. – Można było zobaczyć listę takich plików, ale nie pobrać ich na serwery – tłumaczy.

System działa interwałami, czyli odpytuje co jakiś czas, czy coś nowego się nie pojawiło na telefonie.

Jedne z największych wątpliwości pod adresem Pegasusa dotyczą prawnych aspektów jego wykorzystania. Nagminne są opinie, że polskie przepisy na to nie pozwalają, a sądy nie wiedzą, że CBA zastosowało właśnie ten system. To jednak okazuje się prawdą tylko w połowie. 

Kwestie kontroli operacyjnej reguluje art. 17 ustawy o CBA. Dla użycia Pegasusa najważniejszy jest punkt 4. Jak potwierdzają nasi rozmówcy, to na niego CBA się powoływało we wnioskach do sądu o zgodę na kontrolę operacyjną Pegasusem. 

Ten punkt mówi o „uzyskiwaniu i utrwalaniu danych zawartych w informatycznych nośnikach danych, telekomunikacyjnych urządzeniach końcowych, systemach informatycznych i teleinformatycznych”.

Z kolei wzór wniosku o kontrolę operacyjną jest określony w rozporządzeniu prezesa Rady Ministrów z 25 października 2011 r. w sprawie sposobu dokumentowania przez CBA kontroli operacyjnych (wydane jeszcze przez premiera Donalda Tuska, za pierwszego rządu PO–PSL). We wnioskach (szef CBA kieruje je do Sądu Okręgowego w Warszawie) trzeba podać numer sprawy, jej kryptonim, dane „figuranta” i o jakie przestępstwo chodzi.

– Tam gdzie używaliśmy Pegasusa, powoływaliśmy się właśnie na punkt 4, mówiący m.in. o uzyskiwaniu i utrwalaniu danych zawartych „w urządzeniach końcowych”, jakimi są np. smartfony – tłumaczą nasze źródła. – I to był pierwszy sygnał dla sędziego, na czym polega ta kontrola – podkreślają nasi rozmówcy.

Ważniejsze jest jednak uzasadnienie wniosku. – Zawsze w przypadku użycia Pegasusa wpisywaliśmy zdanie tego typu: „że ze względu na rozwój nowoczesnych środków komunikacji – w nawiasie podawaliśmy, że chodzi i o komunikatory internetowe – prowadzona dotychczas w sprawie kontrola operacyjna w postaci tradycyjnego podsłuchu telefonu komórkowego nie przyniosła rezultatów” – zaznacza nasze źródło. Twierdzi, że to była generalna zasada, od której nigdy nie odstępowano, a departament operacyjno-śledczy CBA kontrolował każdy wniosek kierowany do szefa do podpisu.

Jak podkreśla, w każdej sprawie, w której użyto Pegasusa, najpierw był zwykły podsłuch. Dopiero kiedy ustalono, że „figurant" korzysta z komunikatora szyfrowanego, kierowano do sądu nowy wniosek o zgodę na nowocześniejszy system.

– Sąd miał więc wiedzę, że konieczne jest zastosowanie kontroli operacyjnej, która pozwoli odczytać treści SMS czy rozmów figuranta prowadzonych przez komunikatory internetowe – mówi nam jeden z agentów.

Setki osób inwigilowanych Pegasusem „to bajka”

Czy możliwe było wpisane osoby NN, by ukryć, kim jest figurant? Według naszych rozmówców – już nie. We wzorze wniosku zgodnie z rozporządzeniem trzeba wpisać: dane osoby lub inne dane pozwalające na jednoznaczne określenie podmiotu lub przedmiotu, wobec którego stosowana była kontrola operacyjna. Nie było od tego ucieczki. Nie stosowaliśmy kontroli na tzw. „NN” - zapewniają funkcjonariusze.

Grupa NSO wydaje miliony na lobbowanie w Waszyngtonie, wykorzystując jednocześnie wojnę Izrael-Hamas do przekonywania, że jest niezbędna dla globalnego bezpieczeństwa.

Częstym zarzutem pod adresem Pagasusa jest to, że może on sięgać po „dane historyczne”, sprzed wydania przez sąd zgody na inwigilację. I w przypadku danych z szyfrowanych komunikatorów tak było. Pegasus nie odsiewał informacji sprzed kontroli – zasysał całość. Zwykle jednak do procesu nie załącza się wiedzy uzyskanej przed datą wydania przez sąd zgody na inwigilację.

Opowieści o setkach osób masowo inwigilowanych Pegasusem to „bajki” – twierdzą nasi rozmówcy i podkreślają, że rzekoma lista polityków PiS inwigilowanych przez system w 99 proc. jest nieprawdziwa. – Wiemy, kto i w jakim celu rozpuszcza te plotki. Chodzi o walkę wyborczą w obozie Zjednoczonej Prawicy – mówi nam jeden z agentów.

Jak wyglądała obróbka materiałów dostarczonych przez Pegasusa?

– Fakt zaawansowania tego systemu, pracochłonności przy opracowywaniu materiałów sprawiał, że to było kilkanaście kontroli jednocześnie prowadzonych w całym kraju. Zawsze za zgodą sądu, a użycie systemu wobec polityków stanowiło „promil” jego wykorzystania – słyszymy. W jednej z toczących się spraw w prokuraturze stenogramy z podsłuchów, głównie komunikatorów, które odczytano dzięki Pegasusowi, liczą... tysiąc stron.

CBA zarzuca się, że tajne dane z kontroli operacyjnych były wysyłane do izraelskiej firmy, która obsługiwała system. Według naszych rozmówców, to nieprawda.

– Producent nie miał dostępu do naszych materiałów. Serwery Pegasusa znajdowały się w wyłącznie w centrali CBA w Warszawie – nic nie szło do „chmury” ani nie było wysyłane do Izraela. Nie było żadnych opłat licencyjnych za pakiet „numerów” do obrobienia. Mieliśmy trzyletnie serwisowanie w cenie zakupu i przeszkolenie ludzi – chodziło o aktualizację systemu, usługi doradcze – wskazują nasi rozmówcy.

Wniosków o kontrolę operacyjną, które wpływają do sądów jest mnóstwo. Były wnioski dotyczące polityków wówczas rządzących, polityków opozycyjnych, adwokatów, sędziów i rozmaitych przestępców - powiedział w TVN24 sędzia Igor Tuleya.

Zdaniem Adama Haertle nie do końca tak jest. – Owszem, serwery mogły być w siedzibie CBA, ale twórcy systemu zostawili pod swoją kontrolą kawałek systemu odpowiedzialny za sam proces infekcji, więc dane, kto został zarażony – muszą znajdować się w rękach NSO Group – podkreśla ekspert.

Według Haertle Pegasus teoretycznie dawał możliwości nadużyć prowadzących do przejęcia kont i podszycia się pod daną osobę. – Ten mechanizm od lat wykorzystują grupy przestępcze, wiele włamań np. do kont właśnie od tego się zaczyna. Chodzi o pobranie „ciasteczek” użytkownika z aplikacji i wykorzystanie ich do podszycia się pod tą osobę poprzez np. wysłanie maila.

Jeden z naszych rozmówców jednak zaznacza: – Każde logowanie się do Facebooka, Twittera, poczty, zostawia po sobie ślad. Gdybyśmy się zaczęli bawić w takie włamywanie, zostawialibyśmy  ślad, a my mogliśmy robić tylko to, na co zgodził się sąd – wskazuje.

W CBA trwa obecnie audyt używania Pegasusa.

Czy ewentualne nadużycia można odkryć po czasie, czy jest po nich ślad, a jeśli tak – gdzie? – Twórca oprogramowania wprowadza takie zabezpieczenia, które rejestrują każde wejście, użycie systemu, wobec kogo i kiedy. Pełne informacje o użyciu oprogramowania powinny znajdować się na serwerach, w komputerach i jeśli nie zostały zniszczone, to powinniśmy je odczytać – dodaje Haertle.