(zlo)upotreba oružja za cyber nadzor

(zlo)upotreba oružja za cyber nadzor

Pegaz spyware: sadašnjost i budućnost ljudskih prava

Za ljudska prava i slobode građani se kontinuirano moraju boriti i nadzirati moć države, ponajviše u nadzoru i kontroli sistema sigurnosti, koji, kao primarnu funkciju ima zaštitu i sigurnost građana. Ipak, (previše) često imamo priliku svjedočiti zloupotrebama moći država u širokom spektru narušavanja ljudskih prava i sloboda.

Source: Hacking Team Emails.

Nakon afere Snouden (eng. Edward Snowden) i “zviždanja” da najveća američka sigurnosna agencija – Agencija za nacionalnu sigurnost (skr. NSA) koristi alate da bi protuustavno pristupala ličnim podacima krajnjih korisnika/ica na internetu, digitalno doba potresa još jedna afera – Pegaz.

Pegaz (eng. Pegasus) je spajver (eng. spyware) koji se može neprimjetno instalirati na mobilne telefone u svrhu prisluškivanja i prikupljanja podataka, bez suglasnosti i znanja korisnika/ice uređaja. Spajver kao softver prestavlja invazivni alat u svrhu špijuniranja i prisluškivanja.

Pegaz je proizvod kompanije NSO koja svoju ispostavu ima u Izraelu. Svjetski mediji i civilne organizacije govore da je Pegaz najaktivnije djelovao od 2016. do 2018. godine, kada je u konačnici i otkriven nakon pokušaja da se samoinstalira na telefon jednog građanskog aktiviste. 

Kako Pegaz radi?

Pegaz je primjer softvera koji invazivno pristupa meti, te zahtjeva da ista klikne na link koji softver šalje, kako bi preuzeo kontrolu nad mobilnim uređajem. Korisnik/ica za to vrijeme ne zna da se na uređaju nalazi zloćudni softver, te samim time uređaj koristi nesmetano sa svojim privatnim podacima kao što su prepiske sa kontaktima, šifre, kalendar, glasovne i vizualne poruke.

Pegaz isto tako može upravljati paljenjem i gašenjem mikrofona i kamere na uređaju odabranog korisnika/ice. Nadalje, ovaj softver može da koristi HTTPS (tj. sigurni transfer protokol) kako bi uspostavljao, modifikovao i upravljao domenama koje mogu poslužiti da bi žrtve posumnjale da se radi o legitimnim linkovima velikih kompanija.

O čemu se zapravo ovdje radi?

Osamdesetih godina prošlog vijeka, kriptografija i zaštita digitalnih ljudskih prava u hipotezi Brus Šnajdera (eng. Bruce Schneider) je bila futuristička i nedostižna priča koja nije zanimala tada nedigitalizirano društvo. Danas, živimo priču o promišljanju zaštite krajnjih korisnika/ica, sigurnosti i digitalnih ljudskih prava i sloboda. Diskurs koji se najčešće koristi u svrhu većeg nadzora i praćenja jeste potreba nacionalne sigurnosti u zaštiti od državnih prijetnji. Samim time, gdje se povećava (takva) sigurnost padaju ljudska prava i dolazimo u moguće manipulacije i zlouporabe takvih radnji koje mogu biti usmjerene ka širem društvu, a ne samo kriminalnim grupama ili pojedincima.

U aferi Pegaz, upravo su državne agencije koje su koristile softver, iskoristile veće i proširene ovlasti da bi metama stvorile i novinare, političke protivnike i grupe građana. Jedan od primjera za to jeste Džemal Kašogi (ar. Jammal Kashogi), novinar koji je nestao nakon ulaska u ambasadu Ujedinjenih arapskih emirata, da bi se ispostavilo da je tamo i ubijen. Na njegovom telefonu, istragom, utvrđeno je da je pronađen Pegasus i samim time postoje indicije da je taj alat olakšao pronalazak i samu likvidaciju novinara Kašogija.

Izraelska kompanija NSO koja je razvila Pegaz softver, u novom izvještaju koji je pratio aferu, govori o tome da su oni kompanija koja je prodavala softver u svrhe praćenja terorističkih grupa i drugih sigurnosnih prijetnji, te da nakon prodaje istog nemaju ingirencije da ulaze u okvire korišćenja istog, te da su ugovorno obavezali države korisnike kako ne bi bilo zloupotreba.

Ovdje se mogu stvoriti dvije premise. Prva jeste da subjekti poput kompanija koje se bave razvojem takvih oblika softvera postaju nadnacionalni subjekti bez odgovarajuće legislative koja bi dozvolila da isti odgovaraju ukoliko se softver i druge komponente koriste na neetički način.

Druga premisa jeste da države i agencije, primarno sigurnosne, koje su koristile Pegaz softver kao što je to slučaj sa Ujedinjenim arapskim emiratima mogu djelovati u kontekstu manipulacije softverom i sprovesti ofanzivna aktivnosti u terminu sigurnosti, ne prema oponentima u geopolitičkom pogledu, već prema svojstvenim građanima/kama, koji još uvijek nemaju dovoljno razvijenu sliku digitalnih ljudskih prava i sloboda.
U svakom slučaju, pitanja demokratskog nadzora i kontrole sektora sigurnosti su aktuelnija nego ikada, jer prostor u kojem se nalazimo, postaje sekuritiziran, a nesiguran za krajnje korisnike i korisnice, te još uvijek nemamo uvid šta i kako se koristi u kontekstu nadzora od država, te njihovih agencija i drugih zloćudnih subjekata.

U kontekstu ove teme, možemo navesti primjere invazivnih softvera koji se koriste u Istočnoj Europi i Zapadnom Balkanu. Dva softvera su posebno u centru pažnje kao invazivni i moguća prijetnja privatnosti i razvoju sloboda unutar digitalnog prostora. Na primjer, 2016. godine, na listi država koje koriste FinFisher i Hacking team, pronašle su se i države bivše Jugoslavije. Oba softvera se koriste kao invazivni alati za prikupljanje ličnih podataka i monitoring meta.

Ako se vratimo na premisu o ljudskim pravima i slobodama, danas ta priča postaje intenzivirana i samim time sve više subjekata se bavi osposobljavanjem ljudi da održe ili postignu sigurnost unutar digitalnog prostora, bez intervencije države ili drugih subjekata. U tom kontekstu se primarno misli da današnji oblik sigurnosti, najbolje odgovara humanocentričnom pogledu, za razliku od doba kada je država činila okosnicu sigurnosti sa svojim sigurnosnim agencijama, prije svega policijom i vojskom.

U kontekstu svjetla trenutnih dešavanja, ne smijemo zaboraviti da osim invazivnih softvera, u digitalnom prostoru postoje i državno sponzorisane vojske koje petu dimenziju ratovanja (cyber ratovanje) obavljaju kao svoju primarnu dužnost. Nužno, ove agencije i drugi oblici cyber-sektora trebaju postojati kao nacionalna sigurnost, ali u isto vrijeme garantovati da neće vršiti protuustavne oblike djelovanja na širi digitalni društveni kontekst i da će osigurati zaštitu digitalnog prostora svoje države, ukoliko on postoji.
Međutim, nacionalna sigurnost nije dovoljna za novo doba, te humanu sigurnost, pored postojećih sedam elemenata: ekonomska sigurnost, sigurnost hrane, zdravstvena sigurnost zaštita okoliša, osobna sigurnost, sigurnost zajednice i politička sigurnost – treba proširiti i na sigurnost digitalnog prostora.

A Pegazus?

Sigurno je da će ova afera ostati upamćena kao granica borbe za digitalna prava i slobode, te potvrda onoga što su digitalni aktivisti pričali godinama – internet nije siguran, niti neutralan. A u isto vrijeme možemo pričati o promjeni geopolitičkih odnosa unutar samog digitalnog prostora, te militarizaciji interneta koja će postati vidljivija samom proliferacijom kibernetičkog oružja gdje su nadnacionalni, privatni subjekti nosioci invazivnih metoda korišćenja softvera koji bi trebali biti polazna tačka za veću sigurnost interneta.

Ostaje nam da porazmislimo koliko smo sigurni i kako da se zaštitimo, jer tradicionalna sigurnost neće pružiti okvir zaštite koji je potreban, ali će obezbjediti da se djeluje invazivnije u svrhu nacionalne sigurnosti. Kao svijetla tačka stoji humanocentrična sigurnost i nada da će se uskoro digitalna prava i slobode krajnjih korisnika i korisnica naći kao prava novog doba sa kojima će civilno društvo biti upoznato, te uživati njihove blagodati.

Redakcija digitalno.ba

Reosmišljavanje digitalne pismenosti

Reosmišljavanje digitalne pismenosti

Dobar početak s medijima – vodič za roditelje djece od 0 do 6 godina

Dobar početak s medijima – vodič za roditelje djece od 0 do 6 godina

Nepoželjni sadržaji na internetu i kome ih prijaviti

Nepoželjni sadržaji na internetu i kome ih prijaviti

Internet sigurnost za roditelje i djecu (I.dio)

Internet sigurnost za roditelje i djecu (I.dio)

Šta sve o sebi djeca otkrivaju na društvenim mrežama i ko sve to vidi?

Šta sve o sebi djeca otkrivaju na društvenim mrežama i ko sve to vidi?

Ko finansira lažne vijesti?

Ko finansira lažne vijesti?