Najwyższa Izba Kontroli odpaliła w piątek bombę, po czym wszyscy rozeszli się na weekend. Informacje o rzekomych tysiącach ataków na urządzenia pracowników NIK-u podał pierwszy serwis RMF24. Cała ta sprawa jednak od początku była na tyle dziwna, że wstrzymaliśmy się z natychmiastową publikacją rewelacji na temat rzekomych ataków Pegasusem na najwyższy organ kontrolny, jakim jest Izba.

Najwyższa Izba Kontroli to najwyższy organ kontrolny w Polsce. Zgodnie z Ustawą Zasadniczą NIK kontroluje działalność organów administracji rządowej, Narodowego Banku Polskiego, państwowych osób prawnych i innych państwowych jednostek organizacyjnych z punktu widzenia legalności ich działania, gospodarności, celowości i rzetelności. Najwyższa Izba Kontroli może kontrolować również działalność organów samorządu terytorialnego, komunalnych osób prawnych i innych komunalnych jednostek organizacyjnych z punktu widzenia legalności, gospodarności i rzetelności. Izba może również kontrolować z punktu widzenia legalności i gospodarności działalność innych jednostek organizacyjnych i podmiotów gospodarczych w zakresie, w jakim wykorzystują one majątek lub środki państwowe lub komunalne oraz wywiązują się z zobowiązań finansowych na rzecz państwa.

Serwis RMF24 podał wczoraj, w dość sensacyjnym, ale mało merytorycznym tonie, że urzędników NIK atakowano Pegasusem. Zainfekowanych rzekomo miałoby być 500 urządzeń, a samych ataków kilka tysięcy. Dziennikarze RMF podawali co prawda, że są to informacje nieoficjalne, ale od wczoraj w mediach wiele razy nadano również wypowiedź rzecznika Izby, Łukasza Pawelskiego, który powtarzał doniesienia dziennikarzy o setkach urządzeń i tysiącach ataków oraz o pracy i jej wynikach specjalnego zespołu specjalistów. Rzecznik NIK dodał również, że szczegóły zostaną podane w poniedziałek. Czyli bomba odpalona została w piątek, po czym wszyscy udali się na weekend. Sprawa od początku wydawała się jednak kuriozalna każdemu, kto ma choć trochę pojęcia o działaniu sieci i sposobu działania Pegasusa. Od momentu odpalenia bomby kolejne serwisy podają dalej, na ogół w dość sensacyjnym tonie, te informacje, rzadko kiedy skupiając się, lub nawet próbując dotrzeć do meritum sprawy.

Ważną, z punktu widzenia technicznego, informację w swoim tekście podał Onet

Na liście internetowych witryn — które wedle Amnesty International i CitizenLab były wykorzystywane przez Pegasusa do ataków — przedstawiciele NIK zidentyfikowali adres maghrebfoot.com. Następnie przypisali mu numer IP urządzenia, łączącego go z siecią — 213.186.33.5.

Domena maghrebfoot.com wskazywała na adres IP podany w tekście Onetu pod koniec 2019 roku. Obecnie jest nieaktywna. Jednak pod IP podanym w tekście Onetu, to serwer współdzielony usługodawcy OVH, na którym znajdują się tysiące innych domen (jako, że jest to serwer współdzielony każda z nich prowadzi na ten sam numer IP). Specjaliści z NIK pobrali więc najprawdopodobniej rejestr zdarzeń niebezepiecznych od operatora komórkowego, a następnie listę Amnesty International, która prezentuje listę domen związanych z atakami systemem Pegasus. Następnie porównali adresy IP domen z obu tych list i wyszło, że zbieżność wykazują w 47 przypadkach. Kolejno sprawdzono jakie urządzenia należące do NIK łączyły się z tymi domenami i na tej podstawie stwierdzono, że najwyższa Izba Kontroli ma kilkaset zainfekowanych urządzeń, które atakowano kilka tysięcy razy. Biorąc pod uwagę jednak taką metodologię uznać można, że każdy urząd w Polsce jest w ciągu dnia wielokrotnie atakowany. 

Innym dowodem NIK-u na bycie ofiarą cyberataków jest wydruk wykresu, który ma pokazywać skalę ataków na lnii czasu i ich niezwykłą aktywność w w okresie od początku lipca do 15 sierpnia 2020 roku. Merytorycznie trudno jednak z okazanego wykresu wywnioskować cokolwiek, bez szerszych danych i na razie nie jest to żaden dowód. 

Reasumując, na ten moment wygląda, że skandal związany z rzekomym infekowaniem setek telefonów i innych urządzeń w NIK i inwigilowaniem ich tysiące razy jest wyolbrzymiony i, póki co, sugeruje to raczej polityczne potyczki, niż zarzut mający solidne, merytoryczne podstawy. Pokazuje to również, że aktualnie w dziennikarstwie nie liczy się rzetelne przedstawienie informacji, a szybkie podanie jak najbardziej sensacyjnego newsa, co, jeśli później okaże się mało zgodne z rzeczywistością, nie będzie miało już większego znaczenia. Pokazuje to również, że o niezwykle technicznych aspektach, związanych np. z cyberbezpieczeństwem, piszą ludzie nie posiadający nawet podstawowej wiedzy, chociażby rozróżniających domenę od IP. Świadczą o tym chociażby doniesienia o zainfekowaniu Pegasusem laptopów i serwerów – na ten moment nikt na świecie nie zidentyfikował wersji Pegasusa atakującej tego typu systemy.

Wszystkie nieścisłości i wyolbrzymione fakty w dotychczasowych doniesieniach nie mogą oczywiście całkowicie wykluczyć faktu infekcji jakichś urządzeń pracowników NIK lub nawet infekcji ich telefonów służbowych Pegasusem. Choć mało prawdopodobne jest, aby 500 urządzeń urzędników Izby inwigilowanych było oprogramowaniem NSO Group – dotychczasowe informacje mówią, że pojedyncza licencja to koszt nawet 500 tysięcy złotych – to sprawa na pewno wymaga dalszych badań i sprawdzenia. Szkoda jednak, że obecnie walka polityczna oraz pogoń za jak najbardziej klikalnym newsem doprowadziła do sytuacji w której najpierw odpalamy bombę, a dopiero później sprawdzamy jak i z czego jest w ogóle zbudowana i na jakiej zasadzie działa.

{loadmoduleid 1123}