/>
Zdarzało mi się współpracować ze służbami, siłami zbrojnymi czy sektorem obronnym, ale zawsze dbałem o jedną zasadę: cokolwiek robisz, zawsze rób to otwarcie. Od początku jak cywilna kryptografia zaczęła zyskiwać na popularności, czyli gdzieś tak pod koniec lat 70., głównie w USA, zarysował się bardzo silny podział między naukowcami prowadzącymi cywilne badania a ludźmi ze „strefy cienia”, np. służb. Ci pierwsi mieli podejście trochę hipisowskie, przede wszystkim otwarte badania według akademickich reguł, czyli nawet jak robimy rzeczy, które służą bezpieczeństwu, to powinniśmy się nimi dzielić. Drudzy, wiadomo, wszystko „tajne przez poufne”. Więc jeśli coś robię np. dla służb, to mogę podpisać umowę o zachowaniu poufności, jak z każdym klientem komercyjnym, natomiast nie wchodzę w żadne certyfikaty, dopuszczanie do informacji niejawnych itd. Tłumaczę wtedy to, czego nauczyłem się w Oxbridge: że prawie zawsze problem da się tak sformułować, żebym nie musiał znać tajnych informacji, a mimo to mógł zbudować skuteczny model. Więc o tych wszystkich tajnych przez poufne nie muszę wiedzieć. I nie chcę. Powody są liczne: od tych etycznych do ściśle praktycznych. Wiadomo, im mniej wiesz, tym krócej będziesz przesłuchiwany.
Mówi się, że każdy zawód ma swoją chorobę zawodową. A kryptografowie to zawodowi paranoicy. I tam, gdzie normalny człowiek widzi w parku facetów z parasolem, niektórzy mogą „zobaczyć” mikrofon kierunkowy. A tam, gdzie każdy widzi zwykłego kota, oni widzą Acoustic Kitty – nafaszerowanego elektroniką kota szpiega. Wielu z nich nie jest z tego powodu obecnych w mediach społecznościowych. Unikają ich, bo nie chcą karmić systemu swoimi danymi – nie wiedzą, kto i jak je wykorzysta. Prawdą jest jednak, że jeśli ktoś zechce o nas czegoś się dowiedzieć, nie musi czerpać informacji z social mediów.
Na początek muszę poczynić pewne zastrzeżenia. Wszystko, o czym powiem, to informacje jawne. Nie będę też mówił o rzeczywistych działaniach, a jedynie przedstawię wybrane techniczne możliwości. Jak uczy historia, jeśli takie istnieją, to ktoś z nich skorzysta. Moje wypowiedzi mają też charakter popularyzatorski, więc siłą rzeczy uproszczony i skrócony.
Podejście do różnych rzeczy zmienia się z czasem, nie tylko ze względu na rozwój technologii, chociaż to czynnik bardzo istotny. Jeszcze 20 lat temu przekonanie, że człowieka podsłuchują – i w dodatku obserwują za pomocą kamer – było mocną przesłanką co najmniej do konsultacji u psychiatry. Dziś to chleb powszedni większości z nas i to nie tylko z powodu powszechnego użycia smartfonów. Weźmy np. kamery – Londyn jest miastem, które ma ich chyba najwięcej na świecie per capita, ale zdaje się, że np. Chińczycy też wcale nie są gorsi. W dodatku w przypadku chińskich kamer pojawiły się podejrzenia, że przy okazji legalnego monitoringu „zajmują się” też nielegalnym szpiegowaniem. To znaczy, że przesyłają dane nie tylko do tych, którzy je kupili i zainstalowali, ale za pośrednictwem internetu również do Chin. W przypadkach, gdzie to stwierdzano, chiński producent tłumaczył, że to błąd wynikający z zastosowania w sprzęcie „przestarzałego kodu”. W efekcie liczne kraje zachodnie zdecydowały się usunąć ze swoich instytucji, a czasem i ulic wszystkie kamery monitoringu produkowane przez chińskich producentów. Podobna sytuacja ma też miejsce z częścią infrastruktury telefonii komórkowej, zwłaszcza 5G.
Tak, i wszyscy się do tego „podglądania” przyzwyczailiśmy. Ale to rodzaj obserwacji niejako przy okazji, przypadkowej. Załóżmy jednak, że ktoś chce specjalnie zdobywać informacje o nas, nie działa na oślep, tylko celuje w nas. Dawniej mogły sobie na to pozwolić służby specjalne i inne bardzo zasobne organizacje, np. przestępcze. Dziś to celowanie jest dużo prostsze, m.in. dlatego, że technika operacyjna, która wykorzystuje najnowsze zdobycze cywilizacji, jest coraz tańsza.
Tak właśnie jest. Wystarczy tylko komuś wgrać oprogramowanie typu exploit na smartfona. Ale skupmy się na razie na bardziej zaawansowanych technikach. Jednym ze skuteczniejszych sposobów podsłuchiwania rozmów telefonicznych – mówimy oczywiście o telefonach komórkowych – jest uzyskanie dostępu do stacji bazowej. To dość dobrze pilnowany element infrastruktury. Służby mogą mieć do niego dostęp oficjalny, my oczywiście nie, ale nam wystarczy kopia, która kosztuje kilka tysięcy dolarów i mieści się w walizce. Jak wiemy, telefony z reguły logują się do najbliższej stacji bazowej, czyli do tej, która wysyła najsilniejszy sygnał. Jeśli o to zadbamy, to telefon naszego celu najpierw „zobaczy” naszą stację i zaloguje się właśnie do niej. W ten sposób przejmiemy ruch przez niego generowany, który potem przekierujemy do rzeczywistej stacji. I nikt niczego nie powinien zauważyć. A już prawie na pewno nie ten, kogo podsłuchujemy. Takie działanie obrazowo nazywamy „man in the middle attack”, co po polsku od biedy można by nazywać atakiem „człowieka pośrodku”.
Możemy, ale nie musimy, to już jest kwestia operacyjna. Bo tak: numer, którego chcemy słuchać, znamy. Tak więc reszty możemy nie przepuszczać przez nasze urządzenie. Z reguły inne telefony są też w zasięgu autentycznych stacji bazowych, więc jak nasza ich odrzuci, to zalogują się do nich. I to też jest praktycznie niezauważalne. Ważny jest koszt takiej operacji. I wygoda. Kiedyś, jak chcieliśmy kogoś podsłuchać, to trzeba się było najeździć za gościem furgonetką, wspomagać się anteną kierunkową. Dzisiaj wystarczy zaparkować samochód z walizką przecznicę od jego domu czy biura, a samemu siedzieć w ciepełku i słuchać. Łatwe, wygodne i tanie.
Profesjonaliści, jak np. National Security Agency – amerykańska agencja wywiadowcza koordynująca m.in. zadania wywiadu elektronicznego – mają dużo łatwiej. Działają na zupełnie innym poziomie, bo dysponują technologiami, których możemy tylko się domyślać. Nie wszystkie są jawne. O Pegasusie wiele już powiedziano i napisano. Ale można się jeszcze zastanowić nad konsekwencjami kupowania takiego programu od firmy, która siłą rzeczy musi być powiązana ze służbami, i przetwarzania tak pozyskanych danych na serwerach tej firmy. Bo moim zdaniem Izraelczycy dzięki temu mogą zyskiwać znacznie więcej niż tylko same dane.
Cały wywiad przeczytasz w dzisiejszym wydaniu Dziennika Gazety Prawnej i na e-DGP.