Życie na podsłuchu. I podglądzie. Cała Polska gada o szpiegowaniu

Aby odwiedzić portal krakowskiej firmy wypożyczającej od 8 lat pluskwy i krawaty z mikrokamerami, trzeba przeczytać „Informację Prawną” i zadeklarować „używanie sprzętu (…) z poszanowaniem przepisów art. 265-269a kodeksu karnego”. Przykładowo art. 267 zakazuje (pod groźbą dwóch lat więzienia) otwierania i czytania cudzych listów oraz podłączania się do czyjejś sieci telekomunikacyjnej, bądź systemu informatycznego (w tym łamania lub omijania zabezpieczeń).

Fanów pluskiew (w tym kelnerów) dotyczy paragraf 3: „karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.”

Ile jest w Polsce takich przestępstw? Według policyjnych statystyk, 15 lat temu w całym kraju wszczęto w sumie 182 postępowania, stwierdzając ostatecznie 113 przestępstw. 10 lat temu postępowań było już 378, a wykrytych przestępstw 248. 5 lat temu liczby te wzrosły – odpowiednio – do 982 i 645, a w zeszłym roku do… 2203 i 1655. Mówimy zatem o piętnastokrotnym wzroście w ciągu 15 lat! W tym samym czasie częstotliwość innych przestępstw, w tym zabójstw, kradzieży czy rozbojów, mocno zmalała.

Statystyki policji ukazują – zdaniem fachowców – jedynie wierzchołek góry lodowej. Przestępstwa związane ze szpiegowaniem ścigane są bowiem na wniosek pokrzywdzonych, a ci często nie chcą się ujawniać. Zwłaszcza wtedy, gdy chodzi o sprawy intymne – lub tajemnice firmy. Ofiary – oraz ci, którzy podejrzewają, że są ofiarami – wolą nie angażować organów ścigania, działają dyskretnie, korzystając z coraz bardziej wyrafinowanych usług specjalistów.

Teraz wśród polskich przedsiębiorców (i polityków) wyraźnie wzrosło zainteresowanie sprzętem do wykrywania pluskiew. – Zawsze po tym, jak media ujawnią jakieś „taśmy prawdy”, potencjalni podsłuchiwani próbują się masowo zabezpieczać przed podsłuchem – tłumaczy krakowianin Jakub Hajost, właściciel ogólnopolskiej wypożyczalni sprzętu The Spy Shop (dosłownie: „sklep dla szpiegów”), oferującej m.in. „wykrywacze podsłuchów”, ale też „zestawy egzaminacyjne”, „zagłuszacze sieci komórkowej” oraz – „zestaw podsłuchowy dla każdego”. Ten ostatni to „niewielka pluskwa kwarcowa o zasięgu do 1000 metrów, a do tego wytrzymała bateria i skaner umożliwiający podsłuch”.

Hajost zastrzega, że o ile używanie „sprzętu obronnego” (np. wykrywaczy) jest w pełni legalne, to w przypadku „sprzętu zaczepnego” (podsłuchy itp.) – już „nie do końca”. Jako wypożyczający nie ma jednak wpływu na to, do czego klient faktycznie użyje urządzeń.

Zestawy wypożyczają najczęściej szefowie firm podejrzewający o coś swych pracowników. Urządzenia szpiegujące cieszą się też popularnością wśród tropicieli kradnących lub brutalnych niań. A także w wojnach rozwodowych, podczas których zwaśnione strony zbierają na siebie haki.

A po co komu: „zestaw podsłuchowy”? Z pluskwą „do 1000 metrów”? Hajost, miłośnik Marlowe’a i Bonda oraz entuzjasta nowoczesnych technik śmieje się tajemniczo. – Szpiegostwo? Być może, ale nie to na wielką skalę. Wywiady państw czy globalne korporacje posługują się o wiele lepszym sprzętem. Praktycznie niewykrywalnym. Wiedząc, że on istnieje, stosują zarazem systemy i procedury zabezpieczające. Np. politycy i czołowi menedżerowie, chcąc swobodnie rozmawiać o istotnych sprawach, spotykają się w specjalnych pomieszczeniach. Polski rząd, strategiczne instytucje, jak NBP, a także wielkie firmy dysponują takimi pomieszczeniami. Mimo to tyle osób wolało gadać w restauracji – dziwi się ekspert.

Na fali zainteresowania aferą podsłuchową przedsiębiorcy chętniej niż kiedykolwiek korzystają dziś nie tylko ze specjalistycznych usług „odpluskwiania” biur, ale i zabezpieczenia strategicznych pomieszczeń (gabinetów zarządu, sal narad) przed szpiegami.

– Mieliśmy prośby o kompleksowe zbadanie bezpieczeństwa firmy pod kątem podsłuchów, podejrzano nieuczciwe działania ze strony konkurencji. Przy okazji wykryliśmy inne luki w systemie zabezpieczeń – mówi Sebastian Małycha, szef Mediarecovery, najbardziej znanej i cenionej w Polsce firmy wyspecjalizowanej w informatyce śledczej. Sam swoje najcenniejsze dane przechowuje – zaszyfrowane – na specjalnym laptopie. Wzorem systemów wojskowych czy wewnętrznych baz danych czołowych globalnych korporacji, odcięte od globalnej sieci internetowej (oraz jakichkolwiek innych sieci) jest też słynne laboratorium śledcze Mediarecovery (w którym badano m.in. zniszczony laptop Zbigniewa Ziobry).

Hasło złamane w półtorej sekundy
Sebastian Małycha podkreśla, że większość polskich firm w ogóle nie myśli o zabezpieczeniu danych. – Właścicielowi ciężko wytłumaczyć, że to jest konieczne. „Gdzie tu zysk?” – pyta. Zmienia zdanie dopiero, gdy dochodzi do przykrego incydentu, np. wyciekają do konkurencji szczegóły nowego wynalazku albo tajnej strategii przedsiębiorstwa – opisuje prezes Mediarecovery.

Jakie są źródła wycieków? Przeważnie – banalne. Pani prezes trzyma na tablecie firmowe dane, a po pracy daje urządzenie wnukowi, żeby się pobawił. Dzieciak ściąga gry z internetu, w jednej jest program szpiegowski.

Inny częsty przypadek: pracownicy, dla wygody, mogą korzystać z poufnych zasobów firmy przy pomocy prywatnych komputerów czy wręcz smartfonów; na tych ostatnich rzadko instaluje się programy antywirusowe. No i smartfon najłatwiej zgubić (oraz ukraść!).

Dane na większości urządzeń mobilnych nie są zaszyfrowane. Jedynym zabezpieczeniem bywa hasło. Słabe! – Nasz cracker, czyli program do łamania haseł, poradził sobie z TRUDNYMI zabezpieczeniami w półtorej sekundy – ostrzega prezes Małycha. Do złamania większości haseł nie trzeba wcale (dość drogiego) crackera – wystarczy kilka informacji o właścicielu. A jedna trzecia internautów dopuszcza bez zastanowienia do swych danych i tajemnic ludzi całkiem obcych. Pozostali są podatni na socjotechnikę.

– Można się podać za kogoś bliskiego, użyć trików słownych, perswazji, stworzyć właściwą atmosferę. Od pracowników różnych firm udało nam się wydobyć informacje, które pozwalały wejść do firmowej sieci, logować na kontach. Hakerzy też tak robią – wyjaśnia Sebastian Małycha. Przestrzega, że przestępcy coraz częściej rezygnują z uniwersalnych programów do łamania zabezpieczeń czy popularnych „trojanów” (program, który omijając zabezpieczenia, pozwala szpiegować system lub przejąć nad nim kontrolę, kosztuje na czarnym rynku kilka tysięcy dolarów), lecz przygotowują atak na konkretną firmę, docierając krok po kroku do jej najsilniej strzeżonych tajemnic.

– Nie chodzi bowiem o jednorazowy skok, tylko możliwie najdłuższą, dyskretną inwigilację – tłumaczy szef Mediarecovery. Dodaje, że z tego powodu największe światowe koncerny budują już nie tylko specjalne systemy bezpieczeństwa danych, ale wręcz prywatne centra kontrwywiadowcze.

A drobniejsi przedsiębiorcy? Na wieść o ujawnionym przez Edwarda Snowdena podsłuchiwaniu przez amerykański wywiad czołowych europejskich przywódców, branża śledcza została zasypana prośbami prezesów firm o sprawdzenie służbowych komórek, które (w przeciwieństwie do poczciwych przewodowców) zabiera się dziś ze sobą wszędzie. Smartfon może służyć nie tylko do podsłuchiwania rozmów telefonicznych czy precyzyjnej lokalizacji właściciela. Odpowiednio wyposażony może być szpiegiem lepszym od Bonda – słyszeć (i pozwolić nagrywać) wszystko w promieniu wielu metrów, widzieć (i filmować) otoczenie… Takie „spyfony” można kupić na Allegro już za 3 tys. zł.

Mimo że polskie prawo wyraźnie zakazuje szpiegowania.

Polska uchodzi za raj dla cyberpiratów – znalazła się na 7. miejscu w świecie pod względem liczby komputerów zawirusowanych i kontrolowanych przez hakerów.

Nowym zjawiskiem są nasilone ataki na małe firmy. Przestępcy wykorzystują ich słabe (lub wręcz nieistniejące) systemy zabezpieczeń, by zaatakować i inwigilować większe przedsiębiorstwa.

Fachowcy zalecają szyfrowanie wrażliwych danych, zwłaszcza na urządzeniach przenośnych, oraz ostrożne korzystanie z hotspotów (możemy ujawnić hakerom hasła do poczty czy logowania do banku). Część specjalistów nie wierzy w bezpieczeństwo danych przechowywanych w tzw. chmurze, czyli na zewnętrznych serwerach; wrażliwe informacje (m.in. personalia i numery kart kredytowych) wykradano już takim gigantom, jak Visa, Sony czy Adobe.

Najbardziej poufne informacje powinny być przechowywane wyłącznie na urządzeniach nadzorowanych z zewnątrz przez specjalne systemy autoryzacji, umożliwiające zniszczenie danych w wypadku zagrożenia.