Pegasus to narzędzie dla służb specjalnych, oprogramowanie tej klasy prawie nigdy nie powstaje w jednym kraju; z technicznego punktu widzenia Pegasus miał możliwość modyfikowania treści na urządzeniu końcowym, ale w jego standardowej wersji nie oferowano takiej funkcjonalności - mówił biegły Krzysztof Dyki.

Ekspert przedstawił swoją opinię sejmowej komisji śledczej ds. Pegasusa, która bada legalność, prawidłowość i celowość czynności podejmowanych z wykorzystaniem tego oprogramowania m.in. przez rząd, służby specjalne i policję od listopada 2015 r. do listopada 2023 r. Komisja ma też ustalić, kto był odpowiedzialny za zakup Pegasusa i podobnych narzędzi dla polskich władz. W pracach komisji poruszana jest m.in. kwestia przekazania CBA 25 mln zł z Funduszu Sprawiedliwości, które to środki zostały wykorzystane na zakup oprogramowania Pegasus.

Biegły poinformował, że choć nigdy nie miał dostępu do całego systemu Pegasus, to zetknął się z jego elementami, czyli „modułami infekującymi”, które są instalowane na smartfonach. Zaznaczył, że Pegasus jest „narzędziem dedykowanym dla służb specjalnych”, które umożliwia „zdalną kontrolę smartfonów i tabletów w dość szerokim zakresie”.

Zapytany, czy całość oprogramowania Pegasus została wyprodukowana w Izraelu, Dyki podkreślił, że „tej klasy oprogramowanie prawie nigdy nie powstaje w jednym kraju”.

Oczywiście biuro, back-office, obsługa administracyjna i czasami nawet programiści znajdują się w danym kraju, czyli na przykład w Izraelu, i tam jest główna działalność ich twórców - tak, to prawda. Natomiast w tej klasy rozwiązaniach rzeczywiście dość często, żeby nie powiedzieć standardowo, korzysta się z możliwości globalnych, międzynarodowych

— zaznaczył.

Kraj powstania

Jednocześnie zastrzegł, że nie ma dowodów, by stwierdzić, iż oprogramowanie nie powstało w całości w Izraelu. Dopytywany o listę krajów najmocniejszych w tworzeniu mikroprogramów odpowiedzialnych za przełamywanie zabezpieczeń w telefonach komórkowych, biegły wymienił Rosję, Izrael, Chiny i USA.

Na pytanie szefowej komisji Magdaleny Sroki (PSL-TD), czy w takim razie „istnieje prawdopodobieństwo, że system Pegasus w całości w swoich komponentach miał wytworzone przez np. rosyjskich hakerów części, które umożliwiały infekcję telefonów komórkowych polskich użytkowników”, Dyki stwierdził, że „istnieje prawdopodobieństwo, że - na podstawie specyfiki wytwarzania tej klasy produktów - powstało ono nie tylko w Izraelu”.

Pytany, czy system Pegasus miał możliwość wgrywania danych poza przestrzeń pamięci operacyjnej - chodzi o modyfikację treści, jakie były przechowywane na urządzeniu końcowym, np. SMS-ów, e-maili lub zdjęć w galerii, Dyki powiedział, że z perspektywy technicznej istniała taka możliwość. Podkreślił jednak, że w standardowej wersji Pegasusa nie oferowano takiej funkcjonalności dla klienta.

Wyjaśnił też, że jednym z komponentów standardowego modelu oprogramowania Pegasus jest sieć anonimizująca. Pierwszym komponentem standardowego modelu - mówił - jest tzw. stacja robocza - to np. komputery stacjonarne lub laptopy, których z reguły jest więcej niż jeden; moduł ten jest „operatorem sterowania”; drugi moduł to serwer znajdujący się w dyspozycji klienta; czasami znajduje się nawet w tym samym pomieszczeniu, co operator.

Architektura konfiguracji trzeciego modułu - sieci anonimizującej - zależy od tego, jak klient kupił produkt. Sieć anonimizująca to grupa serwerów, fizycznych lub wirtualnych, która odpowiada za anonimizację komunikacji w obie strony i ukrycie lokalizacji operatora.

To, czy ta grupa serwerów była zarządzana przez CBA czy NSO (izraelska firma, która stworzyła system Pegasus), zależy właśnie od sposobu zakupu systemu. Nie wiem, w jaki sposób zakupiła ten system Polska

— powiedział Dyki.

Dodał, że ten kto ma kontrolę nad siecią anonimizującą, ma kontrolę nad danymi, które przez nią przechodzą. W związku z tym, jak podkreślił biegły, jeśli Polska kupiła oprogramowanie bez kontroli nad siecią anonimizującą, to nie sprawowała kontroli nad tymi danymi.

W przypadku innych krajów, ponieważ nie wiem, jak było w naszym przypadku, NSO dopuszczało całkowitą kontrolę danych przez klienta

— powiedział biegły.

Na pytanie, czy cena, jaką polscy podatnicy zapłacili za Pegasusa była wysoka, Dyki wyjaśnił, że pojedynczy exploit, czyli program odpowiedzialny za przełamywanie zabezpieczeń w telefonach komórkowych, może kosztować kilka milionów złotych.

Koszt produkcji takiego programu jak Pegasus jest ogromny

— dodał.

Stwierdził, że jeśli weźmie się to pod uwagę, to cena, jaką Polacy zapłacili za Pegasusa wydaje się niska.

Można się zastanawiać, czy mamy takich negocjatorów w kraju, którzy potrafią negocjować takie dobre ceny

— mówił.

Zaznaczył, że na rynku dostępne są inne programy, gorsze niż Pegasus, które potrafią „robić podobne rzeczy” i są tańsze.

Co do wartości Pegasusa to jest to bardzo dobra cena - nie chcę powiedzieć niska, ale biznesowo atrakcyjna. Polska zakupiła to w atrakcyjnej kwocie

— powiedział biegły.

Jak zauważył, inne kraje, które kupiły to oprogramowanie, zapłaciły znacznie więcej.

Tylko trzeba porównać uprawnienia licencyjne. Bo łatwo mówić o kwotach. Znam klientów, którzy zapłacili pięciokrotnie więcej niż Polska, ale uzyskali znacznie szersze uprawnienia - więc kwota będzie pięciokrotnie wyższa, nawet sześciokrotnie (…) ale to zależy od licencji

— zastrzegł.

Cena zakupu

Podkreślił, że cena uzależniona była przede wszystkim od liczby osób, które można było inwigilować.

Posłowie pytali, czy w związku z atrakcyjną ceną zakupu oprogramowania Pegasus, celem jego sprzedaży mogło być coś innego niż zysk dla producenta - na przykład pozyskiwanie danych wywiadowczych.

Czy Izrael mógł sięgać do tych danych technicznie? Tylko i wyłącznie technicznie oczywiście mógł, ale nie mam takich informacji ani wiedzy o tym, żeby to robił

— powiedział Dyki.

Kolejne posiedzenie sejmowej komisji śledczej ds. Pegasusa zaplanowano na środę, 10 lipca. Na ten dzień wezwany został b. minister sprawiedliwości Zbigniew Ziobro. Poprzedni termin jego przesłuchania wyznaczony był na 1 lipca, ale Ziobro, który zmaga się z chorobą nowotworową, skutecznie usprawiedliwił swą nieobecność przekazując zaświadczenie wystawione przez lekarza sądowego.

mly/PAP