Usłyszawszy o systemie inwigilacyjnym zakupionym przez polskie służby z pogwałceniem prawa przeżyłem déjà vu. Z tyłu głowy kołatała się myśl, że już gdzieś o tym słyszałem lub czytałem. I rzeczywiście. We wrześniu ubiegłego roku na portalu „Zaufana Trzecia Strona” można było przeczytać:

Zespół Citizen Lab ocenia, że Europą zainteresowanych jest pięciu aktywnych operatorów Pegasusa. Działają oni w Polsce, Szwajcarii, na Łotwie, Węgrzech i w Chorwacji. W przypadku Polski operator “ORZELBIALY” swoje działania zdaje się prowadzić wyłącznie lokalnie, a prowadzone są one od listopada 2017 roku. Badacze nie wykazali, by były one w jakikolwiek sposób powiązane z aktywnością polityczną

Dzień później o tym samym pisał portal „Niebezpiecznik”:

Wczoraj grupa The Citizen Lab opublikowała raport, w którym wymieniono operatorów z różnych krajów w których sieciach namierzono inwigilowane przez służby osoby — oto lista operatorów z Polski:
Polkomtel Sp. z o.o.
Orange Polska Spolka Akcyjna
T-mobile Polska Spolka Akcyjna
FIBERLINK Sp. z o.o.
PROSAT s.c.
Vectra S.A.
Netia SA

Z kolei TVN wspominała o fakturze:

Część dokumentów świadczących o zakupie systemu do inwigilacji dziennikarz tvn24.pl odnalazł w aktach kontroli prowadzonej przez NIK. Inspektorzy sprawdzali, jak minister sprawiedliwości gospodaruje Funduszem Sprawiedliwości, który do niedawna nazywał się Funduszem Pomocy Poszkodowanym i Pomocy Postpenitencjarnej.

Fundusz zasilają sądy, które nakładają na sprawców przestępstw kary finansowe. Kontrolerzy NIK prześwietlili największą ubiegłoroczną daninę z funduszu – 25 milionów złotych – która trafiła do Centralnego Biura Antykorupcyjnego. O tym, na co została przeznaczona, świadczy jedna faktura, która znajduje się w aktach kontroli Izby. Wystawiła ją służbie antykorupcyjnej warszawska firma informatyczna na ponad 33 miliony złotych. Zatytułowana jest „zakup środków techniki specjalnej służących do wykrywania i zapobiegania przestępczości”. Uszczegółowione są kwoty, które przeznaczono na poszczególne elementy systemu:
– przedpłata 13,6 mln zł;
– odbiór sprzętu i programu 11,64 mln zł;
– testy funkcjonalności 5 mln zł;
– szkolenia 3,4 mln zł.

W sumie: 33,64 mln zł.

W roku 2012 CBA kupiło inny program do inwigilowania. Portal Niebezpiecznik pisał:

CBA kupiło system RCS za 178k EUR w 2012 roku, wydając następnie co roku dodatkowe 30k+ na support (do dnia dzisiejszego na trojana wydano w sumie ok. 250 000 EUR). RCS-a opisywaliśmy rok temu — w skrócie; narzędzie to służy do inwigilacji komputerów oraz smartphonów i bazuje na standardowych (znanych) exploitach w przeważającej większości, choć sprzedawane są też (za dodatkową opłatą) exploity 0day.

Oprogramowanie spełniało tę samą rolę co pegasus:

Oto, co służby (albo ktokolwiek inny, kto korzysta z tego narzędzia) może wykonać:

• włączać mikrofon i podsłuchiwać otoczenie
• podglądać otoczenie przez aktywację kamerki
• podsłuchiwać odbierane wiadomości SMS i e-mail
• ściągać zawartość książki kontaktowej
• pobierać historię wykonanych połączeń
• robić screenshoty tego co na ekranie
• aktywować keyloggera
• pobierać dane z GPS aby śledzić lokalizację

Co ciekawe, wersja na Androida potrafi wykradać powyższe dane poprzez połączenie Wi-Fi, aby uniknąć “nabijania transferu” po sieci GSM, co mogłoby wzbudzić podejrzenia ofiary.

Jak widać służby od lat konsekwentnie przygotowują się do inwigilacji własnych obywateli. Różnica jest taka, że teraz już z niczego nikomu tłumaczyć się nie muszą i są całkowicie poza jakąkolwiek kontrolą.