„Pegasus“ - tai programinė įranga, sukurta Izraelio kibernetinio saugumo įmonės „NSO Group“. Ji skirta įsilaužti į mobiliuosius telefonus ir rinkti informaciją. Ši programa tapo prieštaringai vertinama dėl galimo piktnaudžiavimo, ypač stebint žurnalistus, žmogaus teisių gynėjus ir politinius oponentus. Šiame straipsnyje išsamiai apžvelgsime „Pegasus“ programą, jos veikimo principus, naudojimo atvejus ir etinius bei teisinius aspektus.
Kas yra „Pegasus“?
„Pegasus“ (arba „Trident“) yra šnipinėjimo programinė įranga, kuri veikia išmaniuosiuose telefonuose su „Android“ ir „iOS“ operacinėmis sistemomis. Ji buvo sukurta Izraelio įmonės „NSO Group“ ir pirmą kartą detaliai analizuota 2016 m. vasarą. Ši kenkėjiška programa gali įrašinėti pokalbius, vogti slaptas žinutes, persiųsti telefonu darytas nuotraukas ir atlikti daugybę kitų veiksmų, todėl jos funkcionalumas yra labai platus. Dažniausiai pastebima, kad šnipinėjimo taikiniais pasirenkami „iPhone“ naudotojai.
„Pegasas“ - graikų antikinės mitologijos gyvūnas, skraidinęs vieną garsiausių kovotojų su pabaisomis Beleforontą į dvikovą, kurioje buvo nudobta Chimera. Tačiau keičiasi laikai, keičiasi ir mitai. Šiandien „Pegasas“ („Pegasus“) yra elektroninio įsiskverbimo į mobiliuosius telefonus įrankis, nukreiptas į valstybės saugumo užtikrinimą, nusikalstamų susivienijimų, veikiančių ne vienoje šalyje, išardymą ir užkertantis kelią sunkiausiems nusikaltimams, keliantiems grėsmę žmogaus gyvybei: terorizmui, prekybai žmonėmis ir pan.
„Pegasus“ veikimo principai
Ankstesnės (trečios kartos) „Pegasas“ veikė konkrečiam asmeniui siunčiamų individualizuotų žinučių principu, tokių kaip atsiųstoji A. Mansoorui, prašydama vartotoją paspausti atsiųstą nuorodą. Žinutės buvo individualizuotos kiekvienam adresatui ir, pavyzdžiui, kvietė paspaudus nuorodą sužinoti apie sutuoktinio (partnerio) neištikimybę arba pasižiūrėti prie gavėjo namų užfiksuotus įtartinus ginkluotus asmenis, kuriuos pavyko nufotografuoti ir pan.
Paspaudus nuorodą, tam tikras programinis kodas perduodamas į mobilųjį telefoną, ir šis tampa, anot ekspertų, kontroliuojamas kur kas labiau negu paties vartotojo. O „Pegaso“ galimybės yra beveik neribotos: gali būti aktyvinta telefono vaizdo kamera, mikrofonas, padėties nustatymas per GPS, atsisiųsti visi kontaktai, kiti duomenys, taip pat nuotraukos bei vaizdo įrašai, visa naršymo istorija, visų susirašinėjimo programų (ir „konspiracinių“) tekstai ir visa kita, kas tik gali būti jūsų išmaniajame telefone. Nepriklausomai nuo to, ar tai būtų telefonai su iOS, „Blackberry“, „Symbian“ ar „Android“ sistemomis. Taigi tam tikrų bendrovių, pavyzdžiui, „Apple“, gaminių saugumas prieš tokius įrankius - taip pat tik mitas.
Taip pat skaitykite: Kelias į ramybę su Sarah Wilson
Visai neseniai (2021 m. rudenį) išleistas „Apple iOS“ naujinys tėra priešnuodis prieš ketvirtos kartos „Pegaso“ versiją, žinomą nuo 2018 m. rudens. Vis dėlto neabejojama, kad šiuo metu „Pegaso“ veikimas yra paremtas dar naujesniais zero-day (gamintojui nežinomos telefonų ir jų programinės įrangos spragos) ir zero-click (programos įdiegimas vartotojui nedalyvaujant) metodais. Sekimo įrangos programinis kodas yra toks agresyvus, kad net atkūrus telefono gamyklinius parametrus ir visiškai išvalius telefono programinę įrangą nepanaikinama išorinės kontrolės galimybė. Vienintelė išeitis yra pakeisti tiek telefono aparatą, tiek telefono numerį (taigi ir SIM kortelę). Kaip teigia ekspertai, pavieniam asmeniui tapus šios programos taikiniu, apsisaugoti galimybių yra tiek pat, kiek ir būnant branduolinio ginklo taikiniu.
„Pegasus“ naudojimo atvejai
Per trejus pastaruosius metus kibernetinio saugumo laboratorija „Citizen Lab“, įsteigta Toronto universiteto (Kanada) Munko tarptautinių santykių mokykloje, fiksavo atvejus, kuomet pastebėtas „Pegasus“ veikimas. Daugeliu atveju šnipinėjimo programinę įrangą panaudojo totalitarinio valdymo požymių turinčių valstybių institucijos - „Pegasus“ buvo naudojama stebėti žurnalistus, žmogaus teisių gynėjus, opozicijos politikus, teisininkus ir kovotojus su korupcija.
Naujausi duomenys, publikuoti „Citizen Lab“, rodo, kad egzistuoja 36 skirtingos grupuotės, panaudojusios „Pegasus“ programą prieš taikinius, esančius 45 valstybėse - taip pat Lenkijoje, Latvijoje, JAV, Kanadoje, Šveicarijoje, Prancūzijoje ir kitose valstybėse, kurių politinis režimas yra aiškiai demokratinis. „Citizen Lab“ skelbia, kad 10 iš 36 vyriausybinių organizacijų, panašu, vykdo asmenų stebėjimą daugelyje valstybių ir neapsiriboja savo valstybėmis sienomis - labai tikėtina, kad taip pažeidžiami įstatymai, galiojantys tose valstybėse, kur būna „Pegasus“ stebimi asmenys. Tačiau taip pat „Citizen Lab“ tyrėjai pastebi, kad kai kuri jų pateikiama informacija gali būti netiksli, nes negalima atmesti tikimybės, kad kai kurie stebimieji asmenys naudojasi VPN tarnybų paslaugomis ir palydoviniu interneto ryšiu, dėl ko skaitmeninis jų buvimo pėdsakas paliekamas kitoje valstybėje, nei jie būna fiziškai. Tačiau, kita vertus, tikrai negalima atmesti tikimybės, kad „Pegasus“ valdytojai stebi disidentus, gyvenančius užsienio valstybėse - netgi išsivysčiusiose vakarų valstybėse, draudžiančiose tarptautinį savo piliečių sekimą.
Pateikiamas pilnas sąrašas šalių, kuriose būna asmenys, prieš kuriuos panaudota „Pegasus“ programinė įranga: Alžyras, Bahreinas, Bangladešas, Brazilija, Kanada, Dramblio kaulo krantas, Egiptas, Prancūzija, Graikija, Indija, Irakas, Izraelis, Jordanija, Kazachstanas, Kenija, Kuveitas, Kirgizstanas, Latvija, Libanas, Libija, Meksika, Marokas, Nyderlandai, Omanas, Pakistanas, Palestina, Lenkija, Kataras, Ruanda, Saudo Arabija, Singapūras, Pietų Afrika, Šveicarija, Tadžikistanas, Tailandas, Togas, Tunisas, Turkija, Jungtiniai arabų emyratai, Uganda, Jungtinė Karalystė, Jungtinės Amerikos Valstijos, Uzbekistanas, Jemenas, Zambija.
Vienas naujausių atvejų - šią savaitę pasklidusi naujiena, kad buvusi Lenkijos konservatorių partijos „Teisė ir teisingumas“ (PiS) vyriausybė pasitelkusi šią programinę įrangą nuo 2017 iki 2023 metų šnipinėjo 578 asmenis.
Taip pat skaitykite: Nerimo įveikimas: knygos apžvalga
Dešimtys Tailando demokratijos aktyvistų buvo sekami pasitelkus Izraelyje sukurtą prieštaringai vertinamą šnipinėjimo programą „Pegasus“, kai šalį purtė didžiulio masto antivyriausybiniai protestai, rodo Kanados visuomeninės kibernetinio saugumo organizacijos „Citizen Lab“ paskelbta ataskaita.
„NSO Group“ pozicija
„NSO Group“ atstovas spaudai pareiškė, kad jo įmonė, platindama savo programinę įrangą, nepažeidė jokių programinės įrangos eksporto įstatymų ir kartojo tai, ką „Pegasus“ kūrėjai tvirtina nuo pat jos platinimo pradžios: ši programinė įranga yra skirta kovai su nusikalstamumu. „Priešingai nei teigiama „Citizen Lab“ pareiškimuose, mūsų produkto naudojimas licencijuojamas vyriausybinėms organizacijoms ir teisėsaugos agentūroms tik vienam tikslui - nusikaltimų bei teroristinių išpuolių tyrimui ir prevencijai. Mūsų verslas yra vykdomas griežtai laikantis visų taikytinų eksporto kontrolės įstatymų“, - rašoma kūrėjų pareiškime.
Pačios „NSO Group“ skelbiamais duomenimis apie „Pegaso“ pritaikomumą, ši įranga kariškių buvo naudojama 11 proc. atvejų, nacionalinio saugumo institucijų - 51 proc. atvejų, o teisėsaugos tyrimuose - 38 proc. atvejų.
Tačiau NSO griežtai ginčija bet kokias sąsajas su garsiuoju telefono numerių sąrašu. „Nėra jokio ryšio tarp 50 000 numerių ir „NSO Group“ ar „Pegasus“, - teigiama bendrovės pareiškime.
„Kiekvienas kaltinimas dėl piktnaudžiavimo sistema man kelia nerimą, - „The Washington Post“ sakė Sh. Hulio. - Tai pažeidžia pasitikėjimą, kurį suteikiame klientams. Tiriame kiekvieną įtarimą.“
Taip pat skaitykite: Wilson kūrybos interpretacija
Pareiškime NSO paneigė „melagingus teiginius“ apie „Pegasus“, kurie, anot jos, buvo „pagrįsti klaidinančia nutekintų duomenų interpretacija“. Bendrovė pridūrė, kad „Pegasus“ „negali būti naudojamas kibernetiniam sekimui Jungtinėse Valstijose vykdyti“.
„Citizen Lab“ atsakas
„Citizen Lab“ į tai atsakė savo pareiškimu. Jie nurodė, kad „NSO Group“, net ir praėjus trejiems metams po jų produkto išviešinimo, dar nesuvokė, dėl ko jų įmonė susilaukia tiek daug viešos kritikos - visų pirma už tai, kad pardavinėja „Pegasus“ totalitariniams režimams. „Citizen Lab“ tyrimas yra ne apie tai, kokius viešus pareiškimus „NSO Group“ skelbia reklamuojant savo produktus arba kaip laikosi programinės įrangos eksporto įstatymų. Tačiau mūsų tyrimas ir toliau aiškiai rodo didelį susirūpinimą keliančius naudojimo realioje aplinkoje pavyzdžius, kuomet piktnaudžiaujama „NSO Group“ programine įranga. Tarp piktnaudžiavimo atvejų yra vyriausybinių organizacijų - „NSO Group“ klientų - vykdomas žmogaus teisių gynėjų, teisininkų, politikų ir žurnalistų sekimas“, - rašoma tyrėjų pareiškime.
Ar galima aptikti „Pegasus“ telefone?
„Amnesty International“ ekspertai paskelbė metodologiją, kaip galima mėginti nustatyti šios įrangos buvimo faktą (Forensic Methodology Report: How to Catch NSO Group’s Pegasus), tačiau net ir ją pasitelkiant patvirtinti, ar konkretus telefonas yra paveiktas „Pegaso“ programos, nėra lengva užduotis. Pavyzdžiui, atsakymą dėl „Pegaso“ įrangos Belgijos žurnalisto Peterio Verlinderio telefone Belgijos saugumo tarnyba (ADIV) pateikė tik po 5 dienų.
Organizacija „Amnesty International“ išleido atvirojo kodo įrankį, vadinamą MVT (angl. Mobile Verification Toolkit), skirtą „Pegasus“ pėdsakams aptikti.
„Pegasus“ ir konspiracija
Įsivaizduodamas, kad galima išvengti telefoninių pokalbių klausymo, turbūt ne retas išmaniajame telefone yra įdiegęs tokias programėles kaip „Skype“, „Viber“, „Telegram“, „Signal“ ar panašias, kurios, kaip matyti iš Lietuvos Aukščiausiojo Teismo (LAT) praktikos, gali būti vertinamos kaip naudojamos „bendrauti konspiracijos tikslais“, nes šių programėlių „negali kontroliuoti teisėsaugos pareigūnai“. (Pavyzdžiui, LAT 2018 m. lapkričio 6 d. nutartis baudžiamojoje byloje Nr. 2K-281-942/2018 (30 punktas), 2021 m. birželio 23 d. nutartis baudžiamojoje byloje Nr. 2K-65-648/2021 (108 punktas).)
Viena vertus, tokia LAT praktika, vertinanti asmenų bendravimą ne per telefoninius pokalbius, o „nekontroliuojamomis programomis“, galėtų būti kritikuotina, visų pirma, atsižvelgiant į tai, kad duomenų kodavimas (šifravimas) yra laikomas žodžio laisvės dalimi, be to, jokiu nacionaliniu įstatymu šių programų naudoti nedraudžiama. Nesant tokio įstatyminio draudimo netenkinamas pirmasis iš trijų žingsnių testo, nustatyto Jungtinių Tautų Žmogaus teisių tarybos 2015 m. gegužės 22 d., - kodavimo ribojimas. (Kitais dviem šio testo žingsniais reikia nustatyti, ar apribojimai yra teisėtu pagrindu pagal Tarptautinį pilietinių ir politinių teisių pakto 19 straipsnio 3 dalį, taip pat ar yra būtini ir proporcingi.) Dar daugiau, nėra paprasta suvokti, kodėl masiškai naudojamos ir viešai prieinamos programos apskritai gali būti vertinamos kaip „konspiracinės priemonės“.
Antra, tai, kad teisėsaugos pareigūnai šiomis programomis vykdomų pokalbių, ką ir kalbėti apie susirašinėjimus, turinio kontroliuoti negali, tėra iliuzija, šių dienų mitologija. Tai galima suprasti iš „Pegaso“ galimybių.
Teisinis aspektas
„Pegaso“ lygmens programos vertintinos kaip pats reikšmingiausias „skaitmeninis smurtas“ prieš asmenį, todėl jų panaudojimo reglamentavimo lygis žmogaus teisių apsaugos požiūriu, be kita ko, atsižvelgiant ir į minėtą Vasenaro susitarimą, iš esmės turėtų atitikti reglamentavimą kaip šaunamojo ginklo panaudojimo atvejais, kad ir kaip keistai toks siūlymas iš pirmo žvilgsnio galėtų skambėti.
Specialus ir tikslus įstatyminis reglamentavimas yra būtinas, nes, pirmiausia, atsižvelgiant į poveikį asmens privačiam gyvenimui, įstatymo lygmeniu būtų apskritai leidžiama naudoti tokias programas, taip pat nustatytos pagrindinės tokio panaudojimo sąlygos. Suprantama, gali būti bandoma prisidengti paslapties, technologinio ir taktinio pranašumo mitais, tačiau neginčytina, kad tokių specialiųjų programų naudojimas įstatymu nėra reglamentuotas visų pirma žmogaus teisių garantijų aspektu. O kaip to padarinys nepagrįstai sudaromos sąlygos plačiai teisėsaugos tarnybų diskrecijai, todėl ir galimai piktnaudžiauti. Pavyzdžiui, teigiama, kad Vokietijoje, atsižvelgiant į šalies Konstitucinio teismo pagrindinių teisių apsaugos jurisprudenciją, kai kurios „Pegaso“ funkcijos yra technologiškai išjungtos.
Skirtingai nei telefoninių pokalbių kontrolė, kai yra siunčiamos komandos pradėti ar nutraukti klausymąsi, „Pegaso“ atveju, tikėtina, tokių signalų siųsti apskritai nereikia. Taip yra dėl to, kad vykdoma nebe perduodamos informacijos, o paties įrenginio tiesioginė kontrolė, todėl tai vyksta ne per elektroninių paslaugų teikėjų infrastruktūrą. Be to, neaišku, ar bus (ir jeigu taip, tai kaip) saugoma informacija apie tokios programinės įrangos įjungimą ir išjungimą, įdiegimą ir pašalinimą? Ar bus sudarytos galimybės Generalinei prokuratūrai prieiti prie tokių duomenų ir kontroliuoti būtent tokios įrangos naudojimą? Nes šiuo metu tokios įstatyminės nuostatos, vertintina, nėra. Atsižvelgiant į tai, reikšmingai susiaurėja ir institucinės kontrolės galimybės, dėl kurių atsiranda progų teisėsaugos institucijoms galbūt piktnaudžiauti. Įdiegus tokią programinę įrangą, imperatyviai turi būti numatyta galimybė ją negrįžtamai pašalinti, kitu atveju programa liktų „miegoti“ ir vėl gali būti bet kada aktyvinta. Todėl, siekiant apsaugoti žmogaus teises, būtina nustatyti tinkamus ir pakankamus saugiklius. Be institucinių saugiklių, būtina peržiūrėti ir dabartines žmogaus teisių teismines garantijas.
Taigi, pirmas klausimas, kaip tokios programinės įrangos panaudojimas būtų sankcionuojamas teismo (reikėtų preziumuoti, kad tokiai įrangai naudoti neišvengiamai būtina teismo sankcija)? Minėta būtinybė reglamentuoti įstatymu kyla ir iš šios programinės įrangos veikimo, iš esmės apimančio visus galimus asmens slaptojo sekimo veiksmus. Pabrėžtina, kad nuostatų dėl „klasikinio“ pokalbių klausymosi taikymas pagal analogiją nėra tinkamas, nes tiek Baudžiamojo proceso kodekso, tiek Kriminalinės žvalgybos įstatymo nuostatos numato, kad klausantis pokalbių vykdoma „elektroninių ryšių tinklais perduodamos informacijos turinio kontrolė“. Todėl sankcionuoti pokalbių turinio kontrolę, kuri nukreipta į ateitį, nėra tinkama, nes „Pegasas“ suteikia pri…
Pasekmės ir reakcijos
JAV 2022 m. atkirto „NSO Group“ kaip JAV produktų pirkėją - ir tai buvo rimtas žingsnis, nes bendrovei reikalingi kompiuterių procesoriai, telefonai ir kūrėjų įrankiai, kuriuos dažnai tiekia JAV bendrovės. „NSO“ „tiekė šnipinėjimo programinę įrangą užsienio vyriausybėms“, kurios ją naudojo piktavališkai nukreipti prieš vyriausybės pareigūnus, žurnalistus, verslininkus, aktyvistus, mokslininkus ir ambasadų darbuotojus. Šios priemonės taip pat leido užsienio vyriausybėms vykdyti tarptautines represijas“, - teigė JAV Prekybos departamentas.
2022 m. lapkritį „Apple“ padavė „NSO Group“ į teismą, siekdama uždrausti naudoti bendrovės programinę įrangą „Apple“ įrenginiuose ir pareikalavo, kad „NSO“ surastų ir ištrintų visus privačius duomenis, kuriuos surinko jų programa - ir atskleisti iš operacijų gautą pelną. „Privačios bendrovės, kuriančios valstybės remiamą šnipinėjimo programinę įrangą, tapo dar pavojingesnės“, - sakė „Apple“ programinės įrangos vadovas Craigas Federighi.
Edwardas Snowdenas, kuris 2013 m. nutekino informaciją apie JAV nacionalinio saugumo agentūros sekimo praktiką, interviu laikraščiui „The Guardian“ paragino uždrausti šnipinėjimo programų pardavimą. Jis teigė, kad priešingu atveju tokios priemonės netrukus bus naudojamos milijonams žmonių šnipinėti. „Kai kalbame apie tokį daiktą kaip „iPhone“, visuose juose visame pasaulyje veikia ta pati programinė įranga. Taigi, jei jie randa būdą įsilaužti į vieną „iPhone“, jie jau rado būdą įsilaužti į visus juos“, - sakė E. Snowdenas.