Wikileaks: Softver za nadzor i u Srbiji

11-09-2013

U dokumentima Wikileaks-a Srbija se našla među zemljama u kojima su locirani predstavnici kompanija koje prodaju opremu za nadzor, pa postoji sumnja da je neko u Srbiji kupio FinFisher/FinSpy softver, pomoću koga je moguće pratiti elektronske komunikacije korisnika. Share Defense ukazuje na zakonsku regulativu kod nas, kao i na mogućnosti zloupotrebe ovakvih alata.

Wikileaks je objavio novu seriju dokumenata o špijuniranju korisnika Interneta. Ovog puta, objavili su dnevnike kretanja predstavnika kompanija koje proizvode softver za nadgledanje i prodaju ga tajnim službama i policijama širom sveta. Objave Wikileaks-a su samo osnažile sumnje koje su nastale posle istraživanja CitizenLab-a iz Kanade objavljenog u martu. U izveštaju je kao jedna od 25 zemalja u kojima je otkriveno korišćenje softvera za nadzor spomenuta i Srbija.

Ko u Srbiji koristi softver za nadzor elektronskih komunikacija?

CitizenLab, kao organizacija koja prati širenje sistema za digitalno nadgledanje, navodi da se nadgledanje vrši preko softvera (FinFisher/FinSpy) koji omogućavaju praćenje komunikacije putem mejlova, različitih četova i Skajpa, nadgledanje u realnom vremenu preko veb-kamere i mikrofona, preuzimanje podataka sa hard-diska, kao i lociranje “mete”. Taj softver podržava više operativnih sistema, kao što su Windows, Mac OS i Linux, a postoje i verzije FinSpy softvera za smartfon, pomoću kojih može da se pristupi razgovorima i SMS porukama.

FinFisher/FinSpy je softver napravljen za nadgledanje i narušavanje privatnosti podataka, a razvila ga je kompanija “Gamma International GmbH” sa sedištem u Minhenu. Njihovi proizvodi su prvenstveno namenjeni obaveštajnim službama i drugim državnim organima. Ovaj softver se u poslednje vreme sve više koristi za napade na aktiviste za ljudska prava, posebno u zemljama koje imaju probleme na polju poštovanja ljudskih prava. Uprkos preporukama EU, ovaj sistem je lociran u zemljama poput Bahreina i Etiopije. Proizvođači su tvrdili da je sistem “ilegalno kopiran”, a verzije na crnom tržištu su znatno skuplje od legalnog softvera. Organizacije koje se bave zaštitom privatnosti, među kojima je i CitizenLab, razvile su efikasan način detekcije i identifikacije servera za FinSpy, ali su ubrzo otkrile da i korisnici svoje softvere modernizuju čim primete da su locirani. Unapređivanjem svoje digitalne bezbednosti te organizacije se zapravo “utrkuju” sa proizvođačima i kupcima softvera za nadgledanje.

Dokument koji je Wikileaks objavio pokazuje da su u poslednjih godinu dana, a posebno u avgustu ove godine, u Srbiji boravili predstavnici kompanija koje se bave prodajom različitih alata za nadzor. “Wikileaks Counter Intelligence Unit” je do podataka došao tako što je pratio kretanje predstavnika kompanija Gamma International, Trovicor i HackingTeam, korišćenjem istih sistema nadzora koje oni proizvode i tako ih locirao u više zemalja, među kojima je i Srbija. U dokumentu su objavljeni podaci koji pokazuju kada su se konektovali na Internet iz Srbije. Pretpostavka do koje na osnovu ovih podataka možemo doći je da su se oni u Srbiji zadržavali dovoljno dugo da mogu da prodaju alat za nadzor i sprovedu obuku. Iako postoje jasne indicije da je moglo da dođe do kupovine opreme za nadzor u Srbiji, i to verovatno od prodavca “Trovicor GmbH”, ne znamo ko je kupac.

Sasvim je moguće da se FinSpy već neko vreme koristi u Srbiji i da predstavnici kompanije Gamma International dolaze na svakih nekoliko meseci kako bi pomogli pri održavanju sistema. Prema raspoloživim podacima, povod dolaska predstavnika HackingTeam-a i Trovicor-a u Srbiju u aprilu može da bude zainteresovanost jedne bezbednosne strukture za opremu za spovođenje nadzora, te je zbog toga pozvala ove trgovačke predstavnike. Da li čest boravak predstavnika Trovicor-a u julu i avgustu znači da je zaključen posao sa ovom kompanijom, “alat” instaliran a obuka lokalnog osoblja izvršena?

Iako kompanije i dalje tvrde da opremu prodaju isključivo vladama, a izveštaji CitizenLab-a pokazuju malo drugačiju sliku, treba imati u vidu da u Srbiji, sem bezbednosnih službi, ne postoji mnogo onih koji mogu da priušte ovakve alate. Takođe, treba imati u vidu da je nezakonito da privatno lice poseduje server za FinSpy. Istraživanje objavljeno u nedeljniku “Vreme” pokazuje da u Srbiji postoji firma o kojoj je CitizenLab pisao, kao i da je moguće da se na nju vode IP adrese za koje se pretpostavlja da se na njima nalaze serveri za FinSpy (u izveštaju CitizenLab-a nije objavljena cela IP adresa, već samo prve dve grupe brojeva). Kao operater servera za program FinFisher/FinSpy javlja se fantomska firma, a kao država u koju se komunikacije preusmeravaju Srbija, preko provajdera “Telekom Srbija”.

Pravni okvir

Pojedinac bi morao da bude zaštićen od svakog neovlašćenog presretanja komunikacije, odnosno zadržavanja i obrade njegovih ličnih podataka, kako od strane organa bezbednosti tako i od privatnih subjekata. Pravo na ovu vrstu zaštite garantuju međunarodni dokumenti, poput Međunarodnog pakta o građanskim i političkim pravima i Evropske konvencije o zaštiti ljudskih prava kroz pravo građana na privatni život, dom i prepisku.

Ustavne garancije (članovi 41 i 43) takođe štite građane od neovlašćenog presretanja komunikacije i zadržavanja podataka bez obzira da li se radi o državnim (organima unutrašnjih poslova, odbrane i bezbednosti) ili privatnim subjektima. Dakle, svako zadiranje u pravo na privatnost je zabranjeno, osim ako nije ispunjen “Test 3 kriterijuma” odnosno mera kojom se zadire u pravo na privatnost i tajnost komuniciranja mora da bude: propisana zakonom, srazmerna, neophodna u demokratskom društvu i usmerena na zaštitu temeljnih vrednosti na kojima se to društvo zasniva (zaštita javnog poretka, javne bezbednosti, javnog zdravlja itd).

Zakon o zaštiti podataka o ličnosti propisuje način prikupljanja, držanja i obrade podataka o ličnosti, tj. svake informacije o ličnosti. Obrada tih podataka je svaka radnja preduzeta u vezi sa podacima i može se vršiti na osnovu pristanka lica na koje se podaci odnose, kao i na osnovu zakonskog ovlašćenja, u suprotnom se radi o nedozvoljenoj obradi (član 8).

Zakon o elektronskim komunikacijama propisuje zabranu presretanja elektronskih komunikacija kojim se otkriva sadržaj komunikacije, a jedini izuzetak je presretanje na osnovu odluke suda, na određeno vreme, ukoliko je to neophodno radi vođenja krivičnog postupka ili zaštite bezbednosti Republike Srbije. Takođe, “korišćenje elektronskih komunikacionih mreža i usluga radi čuvanja ili pristupanja podacima pohranjenim u terminalnoj opremi pretplatnika ili korisnika, dozvoljeno je pod uslovom da je pretplatniku ili korisniku dato jasno i potpuno obaveštenje o svrsi prikupljanja i obrade podataka”, u skladu sa zakonom kojim se uređuje zaštita podataka o ličnosti, kao i da mu je pružena prilika da takvu obradu odbije. Pored toga, pristup zadržanim podacima o komunikaciji (podaci o komunikaciji koji ne otkrivaju njen sadržaj) moguć je samo na osnovu odluke suda za potrebe sprovođenja istrage, otkrivanja krivičnih dela i vođenja krivičnog postupka, kao i za potrebe zaštite nacionalne i javne bezbednosti Republike Srbije, što je potvrđeno i OdlukomUstavnog suda 1245/2010.

Krivični zakonik Republike Srbije inkriminiše povredu tajnosti elektronske komunikacije, neovlašeno presretanje komunikacije i neovlašćeno prikupljanje ličnih podataka (članovi 142, 143 i 146). Pored toga, Glavom XXVII KZ propisana su i krivična dela protiv bezbednosti računarskih podataka, kao što su, između ostalih, pravljenje i unošenje računarskih virusa (član 300) i pravljenje, nabavljanje i davanje drugom sredstava za izvršenje krivičnih dela protiv bezbednosti računarskih podataka (član 304a).

Na koji način možemo da reagujemo?

Članovi Krivičnog zakonika 302 stav 2, 304 stav 2 i 146 podrazumevaju kao krivična dela “neovlašćeni pristup zaštićenom računaru, računarskoj mreži i elektronskoj obradi podataka”, “neovlašćeno korišćenje računara ili računarske mreže” i “neovlašćeno prikupljanje ličnih podataka”.

Zbog toga što je Wikileaks objavio imena lica za koje se sumnja da su prekršili zakon zbog pravljenja, nabavljanja i davanja drugom sredstava za izvršenje krivičnih dela protiv bezbednosti računarskih podataka, na osnovu člana 304a Krivičnog zakonika postoji mogućnost podnošenja krivičnih prijava, čak i u uslovima kada krivično delo nije dokazano. Krivičnu prijavu je moguće podneti protiv ovih lica i za saučesništvo, odnosno pomaganje u izvršenju navedenih krivičnih dela, što propisuje KZ u članu 35 stav 2 i članu 37.

Svi spomenuti pravni dokumenti štite pojedinca od neovlašćenog presretanja komunikacije, odnosno zadržavanja i obrade njegovih ličnih podataka. Osim što se krše ustavne garancije zaštite ljudskih prava, pre svega prava na privatnost, krše se i Zakon o zaštiti podataka o ličnosti i Zakon o elektronskim komunikacijama, a ima osnova i za krivičnu odgovornost i reakciju javnog tužioca.

Sa druge strane, uzimajući u obzir kakve mogućnosti za pristupanje privatnim komunikacijama nudi oprema za presretanje elektronskih komunikacija koju na slobodnom tržištu nude privatne kompanije, kao i načini na koje obaveštajne službe i državni organi, ali i privatne kompanije i pojedinci mogu da dođu u posed takve opreme, protivno pozitivno-pravnim propisima, postavlja se pitanje održivosti takvog sistema. Jedna od mera koja bi onemogućila prvenstveno privatne aktere da na jednostavan način i neosnovano presreću naše elektronske komunikacije je ograničenje prometa i uvoza specifikovane opreme za nadzor. Na ovaj način bi se dozvolio promet ovakve opreme samo uz odobrenje državnog organa i to ukoliko se dokaže da kupac poseduje validan osnov i legitiman cilj za njeno korišćenje, uz potpunu transparentnost postupka nabavke ove opreme.

Kako da se zaštitimo?

Pošto se ne možemo uzdati u državne organe da će ublažiti potencijalne rizike po našu privatnost u aktuelnim okolnostima, možda je najbolje da sami pokušamo da se zaštitimo.

Upotrebom FinFisher/FinSpy softvera najčešće se uzimaju podaci sa Skajpa i BitTorrent-aali takođe mogu da presreću SMS, MMS, mejlove, faks i satelitsku komunikaciju. Nažalost, tradicionalna zaštita koja predstavlja kombinaciju antivirusa i firewall-a (eventualno nekih dodatnih programa za skeniranje i čišćenje kompjutera) više nije dovoljna. Većina antivirusnih programa ne detektuje spyware programe poput ovih, prvenstveno jer su veoma dobro sakriveni i teško ih je naći i obrisati sa zaraženog kompjutera, ali i zbog pritiska državnih službi koje navedeni softver koriste za nadzor korisnika. Neophodno je sprovesti određene mere zaštite kako bi se izbegao neprijatan kontakt sa ovakvim programima.

Razvoj tehnologije i sve veća uloga Interneta u svakodnevnoj komunikaciji doveli su do toga da se lako može pristupiti našim podacima i privatnoj komunikaciji. Nadzor elektronskih komunikacija koji sprovode države, kompanije, ali i pojedinci je sve intenzivniji, a problem nastaje kada dođe do zloupotreba ili kada alati za nadziranje dospeju u pogrešne ruke. Share Defense je više puta reagovao prilikom slučajeva kršenja digitalnih prava, kao i prilikom donošenja zakona koji sadrže odredbe koje nisu u skladu sa standardima poštovanja ljudskih prava. Ukoliko želite da podržite rad Share Defense-a, ili znate za slučajeve koji bi nas interesovali, kontaktirajte nas na: [email protected]