Są nieuchwytni?

„Dostałem kilka takich telefonów, ale również z mojego telefonu dzwoniono kilka razy do innych osób”. Z Maciejem Broniarzem, ekspertem ds. cyberbezpieczeństwa, rozmawia Jakub Karyś.

– Usłyszany w słuchawce metaliczny głos generatora mowy, informujący, że Twój syn nie żyje – jak to było w przypadku prof. Matczaka – może wywołać szok. Paweł Wojtunik, Marcin Matczak, Roman Giertych, Jacek Dubois, Borys Budka, Krzysztof Brejza – to m.in. ludzie, którzy wraz ze swoimi rodzinami dotknięci zostali w ostatnich dniach tzw. spoofingiem. Ktoś podszył się pod numer telefonu ich bądź kogoś z najbliższej rodziny i zadzwonił albo z groźbami, albo z informacją o śmierci kogoś bliskiego. Te ataki dotyczą osób związanych z opozycją.
– Ależ nie tylko, bo w połowie grudnia zaatakowany został Janusz Cieszyński – pełnomocnik rządu ds. cyberbezpieczeństwa, a w sylwestra zatrzymano jednego z ekspertów od cyberbezpieczeństwa pracującego dla CERT Polska – zespołu działającego w strukturach NASK – Państwowego Instytutu Badawczego, czyli w grupie najwyższej klasy ekspertów od zabezpieczeń. Ktoś z jego numeru zgłosił podłożenie bomby. Człowieka przewieziono z Warszawy do Krakowa, zabrano mu telefon i po przesłuchaniu wypuszczono.
– Jak to możliwe, że złamano telefon eksperta?
– Nie złamano. To jest fundamentalny błąd w rozumieniu problemu. Żeby zadzwonić z cudzego numeru, nie trzeba włamywać się na jego telefon. Taka informacja powtarzana w mediach nie ma nic wspólnego z prawdą. Kiedyś, gdy wymyślano, jak będą działały centrale telefoniczne, nikt nie wpadł na pomysł, że taka operacja będzie możliwa, że ktoś będzie chciał podszyć się pod cudzy numer, a dzisiaj, gdy poszukamy w Internecie, to dosyć szybko znajdziemy strony internetowe, gdzie za kilka czy kilkanaście dolarów możemy sobie kupić taką usługę na godziny i jesteśmy w stanie po prostu podać na przykład twój numer i z tego numeru wykonać połączenie gdziekolwiek. No więc siłą rzeczy wszystko co zrobimy pójdzie na twoje konto.
– No dobrze, ale natychmiast nasuwa pytanie, skąd ktoś może mieć numer telefonu na przykład inspektora Wojtunika czy Borysa Budki, skąd numery do tych ludzi i ich rodzin, bo ja rozumiem, że numer telefonu prof. Matczaka jest jakoś tam dostępny, bo on jest znanym prawnikiem i publicystą, ale numer do jego syna, to już chyba nie jest tak łatwo zdobyć.
– To jest trudne pytanie, bo te numery mogą pochodzić z wielu źródeł. Przypomnijmy sobie, że w ostatnich latach mieliśmy bardzo duży wyciek danych z Facebooka, gdzie pojawiły się dziesiątki, jeśli nie setki tysięcy danych także polskich użytkowników, w tym również ich numery telefonów. Niezależnie od tego był chociażby wyciek 2,5 miliona danych ze sklepu morele.net, gdzie znowu gigantyczna liczba rekordów osobowych, w tym numerów telefonów i adresów e-mail została ujawniona w przestrzeni publicznej. Wiele wskazuje na to, że człowiek, bądź ludzie, którzy za tym stoją korzystają właśnie z tych danych, ale też bardzo często korzystają z informacji dostępnych publicznie, bo pamiętajmy, że tak naprawdę w większości osoby, które na przykład prowadzą działalność gospodarczą czy są partnerami w jakiejś spółce – są w pewnym sensie osobami publicznymi i wbrew pozorom ich numer telefonu dosyć łatwo ustalić.
– Moje pytanie zmierza do tego, czy ta łatwość zdobycia numeru kogoś znanego może mieć związek z przejmowaniem telefonów przez system Pegasus.
– Moim zdaniem nie. Rozumiem narrację, że to jest element operacji związanych z Pegasusem, natomiast nie ma absolutnie żadnych dowodów, które to potwierdzają, poza jakimś kontekstem – tak naprawdę historyczno-politycznym. Tutaj bardzo dużo złego robią media, które przy każdej takiej akcji generują mnóstwo szumu. I to jest ten szum, o który – jak podejrzewam – osobom, które stoją za tymi telefonami tak naprawdę chodzi. Bo jeśli się przyjrzymy, kiedy to się dzieje, to te telefony odbywają się w godzinach wieczornych, trochę tak, jakby ktoś liczył, że się załapie na materiał w wiadomościach. A dodatkowo, gdy widzimy, jak media permanentnie używają sformułowania, że to było włamanie na telefon komórkowy, to pokazuje, że tak naprawdę nie do końca rozumieją, czego ten incydent dotyczył i jakie są jego konsekwencje. Poza wszystkim jednak – moim zdaniem – bardzo niepotrzebnie łączą to z sytuacją polityczną i właśnie z Pegasusem.
– No tak, ale jednak pamiętajmy o tym, że oprócz Cieszyńskiego: to najbardziej spektakularne i najbardziej medialne były ataki na: Matczaka, Wojtunika, Dubois, Giertycha, a to są ludzie z pewnej konkretnej strony politycznej barykady. No nikt nie zaatakował – albo przynajmniej o tym nie wiemy – Terleckiego, Witek czy Morawieckiego.
– Owszem, natomiast to wcale nie musi oznaczać, że rzeczywiście stoi za tym osoba, która celowo szkodzi opozycji. Weźmy poprawkę na to, że każdy taki telefon to jest przynajmniej kilka godzin, jeżeli nie dni popularności w mediach i moim zdaniem ktoś, kto za tym stoi po prostu tak sobie dobiera ofiarę, żeby tę popularność medialną zyskać. Naprawdę nie ma w tej chwili żadnych dowodów, które by potwierdzały, że rzeczywiście ofiarami tego człowieka są osoby dobierane wedle jakiegoś klucza politycznego, co więcej, zanim te incydenty dotyczące osób znanych zaczęły mieć miejsce, przez wiele miesięcy atakowani byli ludzie, którzy po prostu albo są znani w swoim środowisku, albo na przykład udzielają się często w Internecie. Zdarzały się takie sytuacje, że ktoś uczestniczył w dyskusji internetowej, a potem po kilkunastu minutach dostawał telefon i ktoś przez syntezator audio odnosił się do jego wypowiedzi w mocno niewybredny albo zawierający groźby sposób.
– Dostałeś taki telefon?
– Tak, dostałem kilka takich telefonów, ale również z mojego telefonu dzwoniono kilka razy do osób, które albo są moimi kolegami, co nie jest informacją jakoś specjalnie tajną, albo do osób totalnie obcych, które potem informowały mnie, że otrzymały z mojego telefonu połączenie z jakimiś bardzo niewybrednymi komentarzami.
– Sugerujesz, że jest to człowiek z branży bezpieczeństwa IT? No bo jeżeli uderza w ciebie, uderza w twoich kolegów i od tego zaczął, to brzmi tak, jakby na was testował system.
– Nie wiem, czy to jest osoba, która jest związana z bezpieczeństwem IT. To może być ktoś, kto po prostu jest tym tematem zainteresowany albo śledzi media i informacje związane z branżą. To by potwierdzało na przykład ataki na redaktora serwisu niebezpiecznik.pl – Piotra Koniecznego, czy Adama Haertle z serwisu zaufanatrzeciastrona.pl. Natomiast ja myślę, że to może nie być jedna osoba, ale grupa ludzi, którzy po prostu uważają to za świetny żart i regularnie się takim zabawom oddają. Jak sobie poczytamy fora internetowe, to tam ludzie wymieniają się linkami do konkretnych usług, które pozwalają takie połączenie zrealizować.
– Dla sławy? Takiej złej sławy seryjnego zabójcy? Bo czasami ludzi kręci robienie takich rzeczy? 
– Ustawienie wszystkiego i połączenie trwa pewnie minutę, a potem jesteś newsem przez najbliższych kilka dni, jesteś bohaterem wypowiedzi polityków, jest o tobie materiał w jednym czy drugim serwisie informacyjnym. I to jest dla tych ludzi po prostu jakaś atrakcja. Patologiczna, ale jednak.
– Korci, żeby się ujawnić?
– Nie. To jest tak, że ludzie, którzy zajmują się tego typu rzeczami, wbrew pozorom nie mają takiej pokusy. To raczej jest tak, że oni absolutnie cieszą się, że są nieuchwytni. I rzeczywiście są, bo w tej chwili nie ma żadnej sensownej metody, żeby ustalić ich tożsamość, póki oni sami nie zrobią jakiegoś błędu albo po prostu się nie wygadają. Straszne jest to, że ktoś decyduje się w taki sposób spędzać wolny czas i do tego wykorzystywać swoje umiejętności. Oczywiście istnieje szansa, że cała operacja jest realizowana z udziałem naszych wschodnich sąsiadów – ale na razie nie ma na to żadnych dowodów.
– Jak się bronić? Czy w ogóle jest jakakolwiek możliwość, żeby się obronić przed spoofingiem?
– Jeżeli ktoś zdecyduje się wykorzystać twój numer, żeby zrobić taki głupi dowcip, to nie masz na to żadnego wpływu, co więcej, możesz się o tym nawet nie dowiedzieć. I to jest tak naprawdę przede wszystkim wyzwanie dla wymiaru sprawiedliwości, żeby nie robić takich numerów, że gdy z czyjegoś telefonu zadzwoniono z alarmem bombowym, to ten człowiek jest aresztowany, wieziony przez pół Polski, przesłuchiwany w nocy, zabiera mu się telefon, po czym rano wypuszcza w obcym mieście mówiąc – no dobra, to proszę sobie iść. To są takie rzeczy, które można sprawdzić, które można zweryfikować. Jest jeszcze jeden problem, który chyba nam się w tym wszystkim gubi. Kiedy w 2016 roku zmieniono ustawę o policji i rozszerzono możliwości dotyczące zbierania materiału dowodowego z mediów elektronicznych i systemów telekomunikacyjnych, kiedy wprowadzono obowiązek rejestracji kart SIM, to głównym argumentem było to, że ograniczone zostaną tego typu żarty, że nie będzie można robić fałszywych alarmów bombowych itd. Już wtedy organizacje pozarządowe mówiły, że to jest bez sensu, że to może ograniczyć ludziom prawo do prywatności, natomiast kartę SIM kupić będzie mógł każdy, prosząc o pomoc pod każdym sklepem z alkoholem – lokalnego konesera tanich trunków. I to jest dokładnie potwierdzenie tych obaw, bo te zmiany wprowadzone do polskiego prawa de facto nic nie dały, nie rozwiązały problemu, a tylko wprowadziły zamieszanie i ograniczyły zwykłym ludziom poczucie zachowania prywatności i bezpieczeństwa.

Rozmawiał Jakub Karyś

• Polecane
• Publicystyka