Ślady przypadkowych połączeń, bez umiejscowienia w czasie, pomylenie domen z adresami IP, brak rzetelnej metodologii śledczej – to główne zarzuty specjalistów od cyberbezpieczeństwa wobec informacji, jaką w poniedziałek zaprezentowali przedstawiciele NIK. Na konferencji podali, że od marca 2020 do stycznia 2022 r. NIK padła ofiarą zmasowanego ataku na urządzenia mobilne – zainfekowanych miało zostać 535 z nich, w tym telefony, ale też laptopy i serwery. Liczbę potencjalnych ataków określono na 7,3 tys.
Pytania bez odpowiedzi
Konferencja pokazała, że nie tylko nie ma na to dowodów, ale też wiarygodnych i sprawdzonych danych na potwierdzenie, że Izba w ogóle była zaatakowana. A jeśli tak, w jakim stopniu i przez kogo.
– Mamy do czynienia z atakiem na skalę nieznaną od 103 lat historii Najwyższej Izby Kontroli, którą notabene dziś obchodzimy – grzmiał Janusz Pawelczyk, radca prezesa NIK.
A Grzegorz Marczak, szef działu bezpieczeństwa Izby wskazywał: – Na obecnym etapie naszych analiz nie jesteśmy w stanie wykluczyć, że to był atak Pegasusem.
Czytaj więcej
Najwyższa Izba Kontroli poinformowała, że odnotowano 7300 potencjalnie niebezpiecznych ataków na urządzenia pracowników NIK. Zainfekowany mógł być także telefon Jakuba Banasia.
Jak mówił, są podejrzenia, że zainfekowane były trzy urządzenia osób z najbliższego otoczenia prezesa Banasia, w tym jego syna, Jakuba (społeczny doradca) – jego telefon zostanie przekazany do zbadania Citizen Lab. Analitycy nie ujawniają jednak nad czyimi urządzeniami pracują i jak dużo czasu zajmie im analiza.
Do apogeum ataków – jak przekonywano – miało dojść podczas kontroli wyborów kopertowych, Funduszu Sprawiedliwości, istotnych zmian kadrowych w NIK i gdy ustalano plan kontroli. Przekonać o tym miały wykresy graficzne obrazujące zestawienie zdarzeń „w infrastrukturze urządzeń mobilnych NIK".
Jednak na czym oparto przekonanie o atakach, skoro niektóre urządzenia dopiero trafią do Citizen Lab? Te pytania mediów zostały bez odpowiedzi.
Czytaj więcej
Jedna rzecz jest pewna - politycy PiS za wszelką cenę chcieliby pozbawić Mariana Banasia funkcji prezesa NIK - mówił w rozmowie z Zuzanną Dąbrowską poseł Nowej Lewicy, Przemysław Koperski.
Adam Haertle, redaktor naczelny Zaufanej Trzeciej Strony nie zostawia na podanych informacjach suchej nitki. – Mówiąc wprost, nie powiedziano nic. NIK nie tylko nie dysponuje obecnie żadnym dowodem na jakikolwiek atak, ale również z dostępnych informacji można wysnuć wniosek, że popełniono błędy analityczne – wskazuje Haertle.
Wyjaśnia, że publicznie dostępna jest lista 2 tys. domen, które zostały użyte przez Pegasusa do ataku – co ważne, wyłącznie na telefony (Pegasus nie infekuje laptopów czy serwerów). – Problem polega na tym, że nie ma daty użycia tych domen. To mogły być dwa dni w 2019 r. Potem ta sama domena mogła być używana przez kogoś innego – mówi Haertle.
Tylko rzetelność
NIK jednak sięgnął do tej listy domen i porównał je z rejestrami niebezpiecznych zdarzeń operatora T-Mobile. Tyle tylko, że to operator udostępnił listę adresów IP uznanych za niebezpieczne, z którymi łączyły się urządzenia mobilne NIK. Ich wadą – jak podkreśla Haertle – jest to, że ten sam adres IP może obsługiwać setki, tysiące czy setki tysięcy różnych domen niemających z Pegausem nic wspólnego. Wyniki takich porównań – domen Pegasusa z adresami IP – dają fałszywe wyniki pozytywne.
– NIK „zmapował" więc adresy IP domen powiązanych z Pegasusem z adresami IP z rejestrów operatora, i wyszło im, że 47 adresów IP znajduje się o obu listach. Zidentyfikował urządzenia, które się z nim łączyły, ale zamiast spokojnie dalej sprawdzać, puścił przeciek do mediów o tysiącach ataków. To niepoważne, co gorsza, blamaż może obrócić się przeciwko wyjaśnianiu sprawy inwigilacji Pegasusem. Atak nim można rzetelnie potwierdzić, tylko badając zawartość telefonu – dodaje Haertle.
– Pegasus to drogi system i nawet najbardziej łapczywy na wiedzę rząd by się nie wypłacił, używając tego systemu tak masowo – wskazuje inny z ekspertów.
– Widać wyraźnie, że nie ma żadnych danych poświadczających rzekomą inwigilację masową pracowników NIK – komentuje Stanisław Żaryn, rzecznik ministra koordynatora służb specjalnych, i zauważa, że „pomimo ustawowego obowiązku NIK nie powiadomiła zespołu CSIRT GOV o potencjalnie niebezpiecznych zdarzeniach dotyczących bezpieczeństwa teleinformatycznego sieci i systemów NIK". – Inspirowane przez Mariana Banasia doniesienia medialne traktujemy jako próbę rozpętania politycznej histerii, której celem jest de facto uniknięcie przez Mariana Banasia odpowiedzialności przed sądem–stwierdza Żaryn.
I przypomina, że Banaś ma usłyszeć zarzuty karne. - W ocenie prokuratury i CBA Marian Banaś dopuścił się szeregu przestępstw: zatajenia majątku, składania fałszywych oświadczeń majątkowych oraz posiadania nieudokumentowanych źródeł dochodu - wskazał w oświadczeniu Stanisław Żaryn, dodając, że "w najbliższych dniach" w sprawie uchylenia immunitetu prezesa NIK wypowie się Sejm.