Tak funkcjonuje Pegasus. Biegły wskazał, kto miał kontrolę nad danymi

• Biegły wyjaśnił posłom, jak funkcjonuje oprogramowanie Pegasus
• Krzysztof Dyki mówił, że istnieje prawdopodobieństwo, że system Pegasus powstał nie tylko w Izraelu
• Biegły pytany był o kwestię skorzystania z usług firmy Matic — jako pośrednika w procesie zakupu systemu Pegasus
• Więcej takich historii znajdziesz na stronie głównej Onetu

W poniedziałek odbywa się posiedzenie komisji śledczej ds. Pegasusa, podczas którego opinię przedstawia biegły Krzysztof Dyki. Jak mówił przed rozpoczęciem posiedzenia wiceszef komisji Witold Zembaczyński, wysłuchanie biegłego ma na celu przede wszystkim dostarczenie merytorycznej wiedzy, która "jest przepustką" do tego, żeby ustalić zakres odpowiedzialności użycia oprogramowania Pegasus.

Tak funkcjonuje Pegasus

Dyki, odpowiadając na pytania posłów, wyjaśniał, jak funkcjonuje oprogramowanie Pegasus, także w kontekście kontroli nad pozyskiwanymi danymi.

Biegły powiedział, że pierwszym komponentem standardowego modelu Pegasusa jest tzw. stacja robocza — są to np. komputery stacjonarne lub laptopy, których z reguły jest więcej niż jeden; moduł ten jest "operatorem sterowania".

Drugim modułem — wyjaśniał — jest serwer, najczęściej w postaci fizycznej, znajdujący się w dyspozycji klienta; czasami znajduje się nawet w tym samym pomieszczeniu, co operator.

• Tajna akcja białoruskich służb w Polsce. Sensacyjne ustalenia

Biegły podkreślił, że architektura konfiguracji trzeciego modułu zależy od tego, jaki klient zakupił produkt. Jest nim sieć anonimizująca systemu Pegasus, na którą składa się grupa serwerów, fizycznych lub wirtualnych. Odpowiada ona za anonimizację komunikacji w obie strony i ukrycie lokalizacji operatora.

— To czy ta grupa serwerów była zarządzana przez CBA czy NSO (izraelska firma, która stworzyła system Pegasus — red.) zależy właśnie od sposobu zakupu systemu. Nie wiem, w jaki sposób zakupiła ten system Polska — powiedział Dyki. Dodał, że ten, kto ma kontrolę nad siecią anonimizującą, ma kontrolę nad danymi, które przez nią przechodzą.

W związku z tym, jak podkreślił biegły, jeśli Polska zakupiła oprogramowanie bez kontroli nad siecią anonimizującą, to nie sprawowała kontroli nad danymi. "W przypadku innych krajów, ponieważ nie wiem, jak było w naszym przypadku, NSO dopuszczało całkowitą kontrolę danych przez klienta" — powiedział.

• Oto dlaczego kanclerz Niemiec Olaf Scholz nie ogłosił w Warszawie zapowiadanej pomocy dla ofiar niemieckiego nazizmu

Biegły został zapytany, czy system Pegasus miał możliwość wgrywania danych poza przestrzeń pamięci operacyjnej — chodzi o modyfikację treści, jakie były przechowywane na urządzeniu końcowym, np. SMS-ów, e-maili czy zdjęć w galerii. Dyki powiedział, że z perspektywy technicznej istniała taka możliwość. Podkreślił jednak, że w standardowej wersji Pegasusa nie oferowano takiej funkcjonalności dla klienta.

Biegły: istnieje prawdopodobieństwo, że system Pegasus powstał nie tylko w Izraelu

Krzysztof Dyki mówił, że istnieje prawdopodobieństwo, że system Pegasus powstał nie tylko w Izraelu. "Oprogramowanie tej klasy prawie nigdy nie powstaje w jednym kraju" — powiedział.

— Oczywiście biuro, back-office, obsługa administracyjna i czasami nawet programiści znajdują się w danym kraju, czyli na przykład w Izraelu, i tam jest główna działalność ich twórców — tak, to prawda. Natomiast w tej klasy rozwiązaniach rzeczywiście dość często, żeby nie powiedzieć standardowo, korzysta się z możliwości globalnych, międzynarodowych — zaznaczył.

Jednocześnie zastrzegł, że nie ma dowodów, by stwierdzić, iż oprogramowanie nie powstało w całości w Izraelu.

Dopytywany o listę krajów najmocniejszych w tworzeniu mikroprogramów odpowiedzialnych za przełamywanie zabezpieczeń w telefonach komórkowych, biegły wymienił Rosję, Izrael, Chiny i USA.

• W odpowiedzi na list Kaczyńskiego Ziobro przesłał ekspertyzę specjalisty od prawa kościelnego i ruchu drogowego

— Czyli istnieje prawdopodobieństwo, że system Pegasus w całości, w swoich komponentach, miał wytworzone przez na przykład rosyjskich hakerów części, które umożliwiały infekcję telefonów komórkowych polskich użytkowników? — pytała szefowa komisji Magdalena Sroka (PSL-TD).

— Tak daleko nie chciałbym pójść w swojej wypowiedzi. Powiedziałbym raczej, że istnieje prawdopodobieństwo, że — na podstawie specyfiki wytwarzania tej klasy produktów — że powstało ono nie tylko w Izraelu — zastrzegł Dyki.

Dyki: pośrednik nie był potrzebny do zakupu oprogramowania Pegasus

Biegły pytany był o kwestię skorzystania z usług firmy Matic — jako pośrednika w procesie zakupu systemu Pegasus. Jak wyjaśnił, standardowym modelem zakupu Pegasusa przez firmę odpowiedzialną za opracowanie i dystrybuowanie Pegasusa, czyli NSO Group, jest model bezpośredni.

• Viktor Orban: Pokonanie Rosji jest poza wszelkimi kalkulacjami. To, co nas czeka, jest znacznie gorsze, niż nam się wydaje

— Spółkę NSO tworzą byli pracownicy służb specjalnych Izraela, nie są to amatorzy, więc wiedzą, jak się to robi. Model ten ma na celu zachowanie bezpieczeństwa transakcji, jej poufność i brak konieczności płacenia marży pośrednikowi — tłumaczył Dyki.

— Jeżeli skorzystano z pośrednika, to trudno jest mi wyobrazić sobie sytuację, w której nie tworzy on wartości dodanej w postaci usług tej firmy w procesie zakupu — dodał. Biegły podkreślił, że współpracował z firmą Matic, stąd wie, że ma ona doświadczenie w dostarczaniu oprogramowania dla służb specjalnych. Zauważył jednak, że dotyczy to innego typu oprogramowań niż Pegasus. Wskazał, że Matic specjalizuje się w innej kategorii rozwiązań dostarczanych służbom specjalnym.

Dyki przyznał, że gdyby to on odpowiadał za zakup systemu Pegasus, z perspektywy biznesowej nie chciałby angażować pośrednika, jeśli nie byłoby to konieczne. — Nie chciałbym, żeby jakakolwiek firma wiedziała, co kupuję na potrzeby tak wrażliwych operacji — powiedział. Zaznaczył jednak, że z perspektywy technicznej nie widzi ryzyk związanych ze skorzystaniem z usług firmy Matic, ponieważ pośrednik nie powinien mieć żadnego dostępu do zakupionego narzędzia.