Po wejściu na stronę firmy NSO Group możemy przeczytać, że misją firmy jest walka o ratowanie życia i tworzenie lepszego, bezpieczniejszego świata. Jak? Poprzez dostarczanie agencjom rządowym oraz organom wymiaru sprawiedliwości narzędzi cyfrowych do zwalczania przestępczości i terroryzmu. Jednym z takich narzędzi jest Pegasus – oprogramowanie pozwalające na przejęcie wszystkich informacji, jakie są przetwarzane na naszych telefonach komórkowych wprost u źródła.

Tak to się zwykle zaczyna

Zaczęło się dość zwyczajnie. Dwóch dobrych szkolnych znajomych, Shalev Hulio i Omri Lavie opracowali oprogramowanie, które oferowali firmom telekomunikacyjnym jako sposób na zdalne rozwiązywanie problemów ich klientów. Czas ku temu był nie najgorszy. Rok po sukcesie pierwszego iPhona, smartfony zaczęły swój triumfalny marsz od zwykłej komórki, służącej do rozmowy i wysyłania SMS-ów do mobilnego komputera, łączącego w sobie wiele różnych mediów. Urządzenia były coraz bardziej rozwinięte – a tym samym skomplikowane i bardziej podatne na różnego rodzaju awarie.

Niewiele później w internecie zaczęły pojawiać się komunikatory pozwalające na szyfrowanie rozmowy, co dla organów wymiaru sprawiedliwości korzystających z podsłuchów na całym świecie oznaczało duży problem. Internet stawał się dla nich nieprzenikniony. Valerie Caproni, szef prawny FBI, zeznając przed komisją senacką w 2011 roku mówiła o internecie, który staje się mroczniejszym miejscem (ang. „going dark problem”).

Rozpoczęła się olbrzymia debata, w której na jednej szali kładziono potrzebę zachowania prywatności, a na drugiej, konieczność zapewnienia bezpieczeństwa i propozycję instalowania w programach różnego rodzaju tylnych drzwi (ang. back door), ale wszyscy mieli świadomość, że tego rodzaju rozwiązania zamiast rozwiązywać, mogłyby kreować jeszcze większe problemy.

Zamienimy tylne drzwi na niewidzialną bramę

Dla twórców NSO odpowiedź nasuwała się sama. Ich oprogramowanie awansowało z pozycji narzędzia używanego przez telekomunikacyjny helpdesk, do gadżetu, którego nie powstydził być się James Bond.

Pegasus, bo taką nazwę nadali swojemu oprogramowaniu, mógł bowiem nie tylko skontrolować dowolne treści zgromadzone w telefonie, ale zmienić go w urządzenie podsłuchowe nie do wykrycia. Bingo! Agencje z całego świata ustawiły się w kolejce, mimo że ceny NSO nie należały do najniższych.

W obronie użytkowników Whatsapp

W 2019 roku, WhatsApp pozwał NSO, oskarżając firmę o wykorzystywanie swojego oprogramowania w kampanii podsłuchowej skierowanej na dziennikarzy oraz aktywistów broniących praw człowieka. Chodziło bagatela, o 1400 osób w 20 krajach. Pozew nie wspominał, kto stał za tymi działaniami, ale patrząc na numery telefoniczne osób poddanych inwigilacji, miały być to organizacje z Meksyku, Bahrajnu oraz Zjednoczonych Emiratów Arabskich.

NSO odrzuciła wszelkie oskarżenia i zapowiedziała sądową batalię o oczyszczenie dobrego imienia firmy. Co ciekawe jednak, sprawa sądowa stała się wyłącznie tłem dla publicznej dyskusji w odniesieniu do tego czy oprogramowanie typu Pegasus nie powinno być zakazane lub poddane ścisłym regulacjom. Obrońcy praw człowieka podnosili bowiem argument, że nawet jeśli prawdą jest, że oprogramowanie takie jest licencjonowane jedynie agencjom rządowym, to przecież na świecie nie brakuje rządów, które zamiast wykorzystać je do ścigania przestępców i terrorystów, mogą wykorzystać je do inwigilacji i zwalczania opozycji.

„Tu mówi Apple”

Pod koniec listopada 2021 roku, kolejny gigant cyfrowy pozwał NSO Group. Tym razem był to Apple, który stara się doprowadzić do uznania NSO winnym śledzenia użytkowników produktów Apple. Celem firmy – jak to wynika z pozwu – jest uniemożliwienie NSO w przyszłości jakiegokolwiek korzystania z produktów Apple (oprogramowania, urządzeń, usług), co gdyby się powiodło, stanowiłoby olbrzymi wyłom w ofercie NSO, której atrakcyjność w dużej mierze opiera się na możliwości kontrolowania wszystkich platform mobilnych.

Ivan Krstic, szef inżynierii bezpieczeństwa i architektury Apple powiedział w jednym z wywiadów, odnosząc się do firm udostępniających swoje oprogramowanie służące inwigilacji: „Tu mówi Apple: jeśli to zrobisz, jeśli uzbroisz nasze oprogramowanie przeciwko niewinnym użytkownikom, badaczom, dysydentom, aktywistom lub dziennikarzom, Apple nie będzie miał litości”. Pozew Apple wskazuje, że nie są to jedynie słowa. I choć NSO odpowiada twierdzeniem, że ich oprogramowanie przyczyniło się do ocalenia tysięcy istnień i dało agencjom rządowym narzędzie do skutecznego zwalczania terroryzmu i pedofilii, to wydaje się, że tłumaczenie takie może okazać się niewystarczające.

Najlepiej świadczy o tym fakt, że NSO oraz inna firma produkująca oprogramowanie do inwigilacji z Izraela – Candiru zostały wciągnięte na tzw. czarną listę przez administrację prezydenta Bidena dokładnie z powodów podnoszonych wcześniej przez WhatsApp. Czarna lista to zero sprzedaży w Stanach Zjednoczonych – absolutnie największym rynku jeżeli chodzi o aktywne wykorzystanie narzędzi związanych z ochroną i … atakami na bezpieczeństwo informacji.

O co tyle hałasu?

W całym tym zamieszaniu, nikt nie kwestionuje tego, że licencjonowanie oprogramowania umożliwiającego pełną inwigilację – takiego jak Pegasus, może służyć złym celom. Jego twórcy podnoszą jednak, że niczym nie różni się to od sprzedaży innych towarów, które w nieodpowiednich rękach, mogą zostać użyte w niewłaściwy sposób.

Licencjonowanie oprogramowania, które w pewnych okolicznościach, może wyrządzić dużo więcej szkód niż pistolet maszynowy, nie podlega takiej kontroli. Co więcej, pomimo tego że nie są to kwestie nowe, nikt nie wydaje się specjalnie zainteresowany, żeby zmienić ten stan rzeczy. NSO Group może mieć problem, aby wyjść bez szwanku z obecnych problemów, a obniżenie ratingu przez Agencję Moody’s jest tego pierwszym symptomem.

Prawdziwym problemem wydaje się jednak wciągnięcie tej firmy na „czarną listę” administracji amerykańskiej. Oznacza to bowiem tyle, że na rynku istnieje już obecnie taka różnorodność podobnego oprogramowania, że ograniczenia importowe dla dwóch producentów z Izraela nie wpłyną negatywnie na możliwości agencji rządowych Stanów Zjednoczonych w zakresie cyfrowej inwigilacji. Nie ma co się bowiem łudzić.

W mitologii Pegaz był jeden. Na dziś – w zakresie oprogramowania inwigilacyjnego – mamy zapewne do czynienia z całym stadem Pegazów, przeskakujące z telefonu na telefon w służbie przeróżnych agencji. Regulacja tego obszaru jest zatem nie tylko wskazana, ale dość pilna. Jeśli jej zabraknie, to niewykluczone, że po jakimiś czasie i kolejnych wyciekach typu WikiLeaks, jedyne co nam pozostanie to sprzątanie nowej stajni Augiasza.

Irek Piecuch
Ireneusz Piecuch
ireneusz.piecuch@dgtl.law | zobacz inne wpisy tego autora