Pierwszym świadkiem na piątkowym posiedzeniu komisji śledczej ds. Pegasusa jest profesor Zakładu Systemów Bezpieczeństwa Akademii Marynarki Wojennej w Gdyni dr hab. Jerzy Kosiński.
Cztery moduły Pegasusa
System Pegasus - jak wyjaśnił świadek - składa się z modułów, z których najważniejszy pozwala na przejęcie kontroli nad urządzeniem mobilnym, w sposób, który nie sygnalizuje właścicielowi telefonu, że przejęto nad nim kontrolę. Drugi - jak mówił - pozwala na zarządzanie zasobami telefonu. Trzeci moduł przekazuje informacje z przejętego urządzenia na serwer służący do przechowywania pozyskanych danych. Czwarty to moduł operatora, który dotrze do informacji i ewentualnie będzie nimi zarządzał.
Kosiński potwierdził, że w kwietniu 2019 roku brał udział w prezentacji systemu Pegasus, organizowanej przez NSO GROUP. "W prezentacji uczestniczyliśmy tylko we dwóch, z kolegą z AMW" – dodał.
Dostęp do usuniętych danych
Pytany, czy Pegasus pozwala na pobieranie informacji z urządzenia wstecz, odparł: "Jeśli użytkownik skasuje np. wiadomości SMS, to już tych rozmów nie widzi. Natomiast, natura funkcjonowania takiego urządzenia jest taka, że skasowanie przekazu, nie kasuje automatycznie rozmowy w bazie danych telefonu. Operator Pegasusa może zassać te dane i przeglądać je".
Kosiński podkreślił również, że zakres możliwości Pegasusa zależy w dużej mierze od konstrukcji licencji oprogramowania. "Chodzi o to, jakie funkcjonalności zostały w konkretnym przypadku dozwolone dla operatora" – dodał. Dopytywany o to, czy jeżeli kontrola operacyjna została zlecona na okres trzech miesięcy, to mimo to Pegasus pozwala na pozyskanie danych wstecz, Kosiński potwierdził, że istnieje taka techniczna możliwość. "To operator decyduje o tym, co ogląda" – dodał.
Jak wygląda w praktyce przejęcie telefonów?
Kosiński wyjaśnił również, że podczas prezentacji był świadkiem zainfekowania dwóch telefonów – jednego korzystającego z systemu android, a drugiego z IOS. "Przeprowadzaliśmy próby zdalnego nawiązywania połączeń, włączania mikrofonu i prowadzenia nasłuchu oraz zdalnego robienia zdjęć" – powiedział.
Jak mówił, dostęp do zainfekowanego urządzenia pozwala operatorowi na podszywanie się pod użytkownika również w mediach społecznościowych.
Powiadomienia o połączeniach i geolokalizacja
Kosiński poinformował też, że system Pegasus posiada funkcję wysyłania alertów. "Można było ustawić sobie alert na połączenie z konkretnym numerem i wtedy była sygnalizacja, że takie połączenie jest" - wyjaśnił. Wskazał również na możliwości geolokalizacyjne Pegasusa. "Alert może dotyczyć także lokalizacji, w której znajduje się konkretna osoba" – powiedział.
Pytany o okres produkcji Pegasusa powiedział, że "wszystko wskazuje na to, że produkcje oprogramowania rozpoczęto przed 2016 r.".
Plusy i minusy Pegasusa
Świadek został też zapytany o sposób instalacji oprogramowania. "W odróżnieniu od wielu innych tego typu programów, ten nie jest zapisywany na trwałe w nośniku, tylko jest zapisywany w pamięci operacyjnej. To znaczy, że po wyłączeniu przejętego telefonu trzeba zainfekować go po raz kolejny" – wyjaśnił.
"Infrastruktura serwerowa, na którą zrzucano te informacje z przejętego urządzenia, mogła być wewnętrznie w posiadaniu organizacji, która zarządza licencją. Mogła być również zorganizowana w oparciu o serwery NSO GROUP" – powiedział Kosiński. Zastrzegł jednak, że nie wie jak wyglądało przekazywanie danych w tym konkretnym przypadku zainteresowań komisji.
Autorki: Daria Al Shehabi, Delfna Al Shehabi
