Życie na podsłuchu

Polskie służby mają pełny i nieograniczony dostęp do poczty elektronicznej obywateli na polskich portalach.

„Coś takiego, jak całkowita prywatność w USA nie istnieje” – stwierdził kilka miesięcy temu James Comey, wówczas jeszcze szef amerykańskiego FBI, komentując doniesienia portalu WikiLeaks o narzędziach stosowanych przez CIA przy włamywaniu się do urządzeń elektronicznych. Jednocześnie przyznał, że stosowane przez ludzi coraz częściej szyfrowanie danych na dyskach sprawiło, iż służba ta w 43 proc. śledztw nie ma dostępu do interesujących ją danych. Możliwości techniczne polskich służb są uboższe. Bazują one przede wszystkim na braku świadomości osób będących w kręgu ich zainteresowania. Polskie służby mają pełny i nieograniczony dostęp do wszystkich serwerów na terenie Polski. To znaczy, jeżeli mamy pocztę na którymś z popularnych polskich portali, oznacza to, że jest ona znana służbom na bieżąco, jeżeli mają takie życzenie. Podobnie jest z dostępem do bilingów, który nie stanowi żadnych problemów. Nawet jeżeli chodzi o zawody, których tajemnica jest chroniona, jak dziennikarze czy adwokaci. Służby zwyczajnie ukrywają fakt, iż wiedzą do kogo należy dany numer. Na dodatek w polskim prawie kompletnie nie jest chroniona lokalizacja osób. Tak więc bazując na informacjach z telefonu, tabletu lub laptopa, służby polskie mogą bez ograniczeń lokalizować dane osoby.

Na początku 2016 r., polską opinię publiczną elektryzowała tzw. „ustawa inwigilacyjna”, która była nowelizacją ustawy o policji i innych służbach, wymuszoną przez wyrok Trybunału Konstytucyjnego z 2014 r. Uchwalono wówczas jeszcze raz przepisy, które wcześniej kwestionował TK mając pewność, że tym razem nikt ich nie zaskarży.

ABW może wszystko

Za bezpieczeństwo cybernetyczne kraju odpowiada w Polsce Agencja Bezpieczeństwa Wewnętrznego. Z założenia więc to ta służba ma największe uprawnienia w zakresie inwigilacji cybernetycznej. Informacji na temat uprawnień ABW należy szukać w „Ustawie o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu”. Kwestię uprawnień agentów porusza rozdział 4. ww. ustawy. Teoretycznie na prowadzenie czynności operacyjnych funkcjonariusze ABW powinni mieć pozwolenie sądu. Zgodnie z przepisem art. 27 ust. 1, to sąd na pisemny wniosek Szefa ABW, złożony po uzyskaniu pisemnej zgody Prokuratora Generalnego, może, w drodze postanowienia, zarządzić kontrolę operacyjną. Warunkiem jest, aby inne środki okazały się bezskuteczne. Wniosek trafia do Sądu Okręgowego w Warszawie. Wraz z nim należy przedstawić materiały uzasadniające potrzebę kontroli operacyjnej. Jednakże w wypadkach niecierpiących zwłoki, jeżeli mogłoby to spowodować utratę informacji lub zatarcie albo zniszczenie dowodów przestępstwa, szef ABW może zarządzić, po uzyskaniu zgody Prokuratora Generalnego, kontrolę operacyjną. W tym wypadku musi jednocześnie zwrócić się do Sądu Okręgowego w Warszawie z wnioskiem o wydanie postanowienia w tej sprawie. Sąd ma 5 dni na wydanie zgody. W przeciwnym razie szef ABW musi wstrzymać kontrolę operacyjną oraz polecić zniszczenie materiałów zgromadzonych podczas jej stosowania.

Na czym polega kontrola operacyjna? Jak wskazuje ustawa, jest prowadzona niejawnie i polega między innymi na uzyskiwaniu treści rozmów prowadzonych przy użyciu środków technicznych, w tym za pomocą sieci telekomunikacyjnych. W ramach kontroli operacyjnej funkcjonariusze ABW mogą pozyskiwać i utrwalać treść korespondencji, w tym korespondencji prowadzonej za pomocą środków komunikacji elektronicznej. Co więcej, mogą uzyskiwać i utrwalać dane zawarte w informatycznych nośnikach danych, telekomunikacyjnych urządzeniach końcowych, systemach informatycznych i teleinformatycznych. Kontrolę operacyjną zarządza się na okres do 3 miesięcy. Po tym okresie sąd na wniosek szefa ABW może przedłużyć zezwolenie na kolejne 3 miesiące. Ale to nie koniec. W uzasadnionych przypadkach gdy podczas stosowania kontroli operacyjnej pojawią się nowe okoliczności, istotne dla zapobieżenia lub wykrycia przestępstwa albo ustalenia sprawcy i uzyskania dowodów przestępstwa, sąd na wniosek szefa ABW (po uzyskaniu pisemnej zgody Prokuratora Generalnego) może wydawać kolejne zezwolenia. Żadne z nich nie może trwać dłużej niż 12 miesięcy.

Przedsiębiorca telekomunikacyjny, operator pocztowy oraz usługodawca świadczący usługi drogą elektroniczną są obowiązani do zapewnienia na własny koszt warunków technicznych i organizacyjnych umożliwiających prowadzenie przez ABW kontroli operacyjnej. I tu jest przysłowiowy „pies pogrzebany”. W specjalnie wydzielonych pomieszczeniach zajmowanych przez ABW, nikt nie kontroluje tego, co funkcjonariusze monitorują czy czytają. Nie ma więc jak zapobiegać ewentualnym nadużyciom.

ABW ma możliwość zwrócenia się do przedsiębiorcy telekomunikacyjnego, operatora pocztowego oraz usługodawcy świadczącego usługi drogą elektroniczną o umożliwienie prowadzenia przez ABW kontroli operacyjnej. I to na koszt tego operatora. Przedsiębiorca telekomunikacyjny musi też zapewnić warunki techniczne i organizacyjne umożliwiające prowadzenie przez ABW kontroli operacyjnej stosownie do posiadanej infrastruktury. ABW może też uzyskiwać dane niestanowiące przekazu telekomunikacyjnego, przesyłki pocztowej albo przekazu w ramach usługi świadczonej drogą elektroniczną. Czyli może zwrócić się o ustalenie tożsamości właściciela danej skrytki pocztowej, konta na portalu bez przechodzenia całej procedury.

Prywatność, tylko za granicą

Dlatego, jeżeli chcemy maksymalnie utrudnić dostęp do naszych sekretów, nie powinniśmy korzystać z dostawców usług elektronicznych, którzy mają swoją siedzibę na terytorium RP. Korzystanie z polskich komunikatorów, poczty elektronicznej, czy portali internetowych zarejestrowanych w Polsce nie chroni przed inwigilacją. Przepisy prawa są sformułowane w tak ogólny sposób, że nie mówią jakie oprogramowanie może stosować ABW, czy też inne służby. Trybunał Konstytucyjny zajmując się między innymi tym zagadnieniem stwierdził, że na poziomie ustawy nie ma potrzeby precyzowania, jakie oprogramowanie mogą wykorzystywać polskie służby.

Dlatego coraz więcej Polaków korzysta z popularnego komunikatora Skype czy What’s Up, a także przenosi pocztę elektroniczną na zagraniczne serwery (głównie gmail.com, ale ostatnio także szwajcarski protonmail.ch, oferujący dodatkowo szyfrowanie danych na serwerze). To dobre rozwiązanie, aczkolwiek może okazać się niewystarczające. Polskie służby mogą się bowiem zwrócić z prośbą o dostęp do tych danych do służb państw, na którego terytorium są serwery (w praktyce chodzi o USA). Amerykanie jednak niechętnie udostępniają takie dane, nawet zaprzyjaźnionym krajom. Prokuratorzy i służby nie raz zwracali się do Amerykanów o dostęp do skrzynki pocztowej gmail lub o zezwolenie na inwigilację połączeń via Skype. Nie jest znany żaden głośny wypadek udostępnienia tych danych. Nawet niemieckie służby nie mogą doprosić się od Amerykanów przysługi w tym zakresie. W wypadku wspomnianego protonmail.ch, sprawa jest bardziej skomplikowana, bo nawet gdyby szwajcarski sąd wyraził zgodę na przekazanie korespondencji, wciąż pozostanie ona zaszyfrowana, a złamanie zabezpieczeń, nie jest łatwe.

Niestety nie oznacza to, że komunikacja za pośrednictwem amerykańskich czy innych niepolskich komunikatorów gwarantuje nam bezpieczeństwo. Wszystko przez oprogramowanie szpiegowskie. Jednym z nich jest program RCS czyli Remote Control System. Służy do infekowania i zdalnego kontrolowania takich urządzeń jak telefony, komputery, tablety. Oprogramowanie to pozwala na przejęcie kontroli nad wybranym urządzeniem i następnie utrwalanie wszystkich czynności jego użytkownika. Ponieważ program utrwali każde nasze uderzenie w klawiaturę oraz każdą operację, nie ma potrzeby zwracania się do dostawców usług takich jak gmail czy Skype. Agenci mogą oglądać odwiedzane strony, przesyłaną pocztę czy słuchać i nagrywać rozmowy prowadzone przez Skype. Nie są tajemnicą także nasze hasła. Oprogramowanie RCS pozwala także na podrzucenie treści na zarażonym urządzeniu. Prowokacja w postaci podrzucenia fałszywych dowodów umożliwia uzasadnienie dalszych działań.

Zastosowanie oprogramowania RCS nie pozostawia śladu. Oprogramowanie to umożliwia również śledzenie użytkowników sieci TOR. Sieć ta ma gwarantować anonimowość, dzięki ukrywaniu adresu IP przy pomocy przesyłania sygnału przez kilkadziesiąt komputerów, ale sprytne zainfekowanie komputera oprogramowaniem szpiegowskim pozwala na przechwycenie każdej treści uzyskiwanej za pośrednictwem sieci TOR.

Oprogramowanie RCS jest przystosowane do systemu Windows, iOS oraz Linux. Jedna z popularnych teorii głosi, że komputery posiadające system operacyjny Linux są trudniejsze do inwigilacji. RCS działa też na Androidzie, BlackBerry oraz Windows Phone. Potrafi pobrać dane ze Skype’a, mediów społecznościowych oraz komunikatorów, dzięki czemu służby mogą włączyć mikrofon, podsłuchać nasze rozmowy, podglądać nas przez kamerki, przechwytywać wiadomości SMS i e-maile. Historia połączeń, czy nawet screenshoty ekranu to nic skomplikowanego. Wykorzystując lokalizatory GPS w naszych telefonach służby będą mogły ustalić nasze miejsce pobytu.

Portal WikiLeaks upublicznił korespondencję, która miała pochodzić od jednej z polskich służb z firmą produkującą oprogramowanie szpiegowskie. Chodzi o firmę Hacking Team, która w swojej ofercie ma oprogramowanie RCS. Wszystko wskazuje na to, że wszystkie polskie służby specjalne korzystają z oprogramowania RCS. Do stosowania oprogramowania RCS całkiem niedawno przyznały się służby niemieckie. Oficjalnie twierdzą, że w celu ochrony społeczeństwa stosują łatki i oprogramowanie szpiegowskie służące przechwyceniu korespondencji inwigilowanych. Według Niemców wszystko przez niechęć Amerykanów do udostępniania swoich danych.

————

Całość w najnowszym numerze „Służb Specjalnych”.