U prethodnom broju “Vreme” je pisalo o špijunskim softverima za nadzor mobilnih telefona, koji se u svega par koraka mogu kupiti i instalirati preko nekoliko internet prodavnica koje posluju u Srbiji. Ova zakonski slabo regulisana trgovina omogućava pojedincima sa malicioznim namerama jednostavnu zloupotrebu, dok “prodavnice”, sa druge strane, proizvode nude tako što praktično ništa ne proveravaju, ne vode nikakvu evidenciju, pravdajući se kako odgovornost za potencijalne zloupotrebe isključivo snose klijenti.
Povremeno se ovi softveri nazivaju i spajverima, što nije ispravno – radi se o stolkerverima (eng. stalkerware). Ključna razlika je u načinima infiltracije u uređaj i namerama za koje se koriste. Kod prvih, softver je moguće instalirati “na daljinu”, bez posedovanja uređaja, tako što žrtva preuzme malicioznu datoteku ili otvori link (ili kao kod Pegazusa – softver sam ostvari kontakt sa uređajem i pronađe ranjivost u operativnom sistemu). Kada su u pitanju stolkerveri, neophodno je da target telefon bude u posedu na nekoliko minuta, kako bi se softver instalirao direktno na njemu.
Druga razlika je namera od koje se polazi. Spajver ima za cilj da eksploatiše i ukrade osetljive podatke sa uređaja koji targetira; takođe, ne postoji lična veza između napadača i žrtve. Sa druge strane, stolkerver se infiltrira u uređaj kako bi nadzirao privatne podatke, dok između napadača i žrtve postoji jasna veza (obično partner i partnerka ili poslodavac i zaposleni).
U svakom slučaju, oba softvera su maliciozna s obzirom da trećoj strani omogućavaju neograničen pristup osetljivim podacima žrtve.
DECA SU SAMO IZGOVOR
Stolkerver softveri prezentuju se kao rešenja za “zaštitu dece”. Hipoteza glasi: zabrinuti roditelji instaliraju softver na mobilni uređaj svog deteta i tako ga štite od lošeg društva i loših navika.
Problemi sa ovom formulacijom su višestruki. Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Milan Marinović kaže za “Vreme” kako je ideja o zaštiti dece “legitimna”, ali da je poenta znati samo “osnovne stvari”. Dodaje da treba primeniti pravno telo “minimalizacije”, što bi podrazumevalo samo neke osnovne komponente nadzora – imati pristup lokaciji maloletnog deteta ili eventualno “listingu poziva” bez uvida u sadržaj komunikacije.
Međutim, ovi programi omogućavaju potpuni nadzor nad target uređajem, uključujući sadržinu komunikacija, uvid u galeriju, ali i pristup kameri i mikrofonu kako bi se snimala i prisluškivala okolina telefona. Na taj način klijent ne vrši samo “nadzor” nad sopstvenim detetom, već direktno krši pravo na privatnost i ostvaruje nelegalan uvid u osetljive podatke svih onih koji ostvaruju kontakt sa njegovim detetom.
Poverenik objašnjava da se ovde radi o “nezakonitoj obradi podataka”, te da se podaci sa mobilnog telefona podvode pod podatke o ličnosti. Takođe, instaliranje stolkervera u telefon deteta može biti urađeno sa drugim namerama – recimo, za špijuniranje partnera, odnosno partnerke kada se nalaze u blizini deteta. Pre dve godine u SAD zabeležen je takav slučaj sa tragičnim ishodom, kada je poznati TikToker upucao suprugu i njenog prijatelja nakon što ih je prethodno prisluškivao aktiviranjem mikrofona na ćerkinom mobilnom uređaju.
PRISLUŠKIVANJE RADNIKA
Internet prodavnica “SpajTeh” i veb-sajt Detektivska oprema u vlasništvu su kompanije Alfa Sistem Plus iz Beograda. Među brojnim “špijunskim” uslugama, ova firma nudi i nadzor mobilnih uređaja, između ostalog i za “zaštitu poslovanja”. Ovaj termin, kako piše na sajtu, zapravo predstavlja instaliranje programa u telefone radnika u preduzeću, kako bi se oni nadzirali.
Naravno, i ova firma se u potpunosti odriče odgovornosti ako klijent prekrši neki zakon koristeći njihove softvere ili ih zloupotrebi. Međutim, na sajtu ističu da “ne vode evidenciju lica kojima se oprema prodaje i ne uzimaju nikakve lične podatke i garantuju potpunu diskreciju”.
Poverenik Milan Marinović objašnjava da bi poslodavac, u zavisnosti od potreba rada, smeo da preduzme određene mere što se, kako kaže, eventualno svodi na praćenje GPS lokacije službenog telefona u sklopu radnog vremena kako bi se utvrdilo da li se zaposleni kreće predviđenom rutom. Međutim, dodaje da su ovi softveri “veliko zadiranje u privatnost”, te da ne smeju da se koriste sistemi koji omogućavaju “pristup svemu” i skidanje praktično “svih sadržaja” sa telefona.
Postavlja se pitanje pristanka zaposlenih radnika, odnosno da li su oni uopšte upoznati sa tim da im se stolkerver nalazi na mobilnom telefonu.
“Treba poći od svrhe obrade podataka”, smatra Poverenik i dodaje da takođe treba imati u vidu kako su ovi programi “nevidljivi”, što ih pored intruzivnosti razlikuje od bilo kog drugog vida nadzora, uključujući kamere, te se ovo “ne može porediti”, zaključuje Marinović.
PRISTUP, NEVIDLJIVOST I DETEKCIJA
Kod špijunskih softvera se uvek postavlja pitanje ko sve ima pristup podacima. Ni sa stolkerverima nije drugačije, pogotovo što se u nekim slučajevima radi o podacima o deci koji su posebno osetljivi.
Da li je rukovalac informacijama samo klijent koji je kupio licencu kako bi špijunirao dete, partnerku ili svog zaposlenog? Ili pristup podacima koje softver prikuplja sa target telefona mogu imati i firme koje ga preprodaju, pa i developeri koji su razvili program?
Konsultant za informatičku bezbednost i jedan od osnivača foruma Bezbedan Balkan (platformi za objavljivanje sadržaja o bezbednosti, sa akcentom na informacionu) Ivan Marković smatra da podacima najverovatnije mogu pristupiti sve tri strane, te dodaje da ne veruje da je uloženo previše novca u “enkripcije” i “izolacije klijenata”. Ovu tezu potvrđuje i slučaj hakovanja jednog sličnog stolkervera sredinom ove godine. Naime, među procurelim informacijama nisu se našli samo podaci o klijentima koji su kupovali licencu, već i osetljivi podaci preuzeti sa target telefona, odnosno od samih žrtava.
“Vreme” je razgovaralo sa još jednim stručnjakom za digitalnu bezbednost, koji kaže da je kod ovih softvera uvek pitanje kakva je zapravo enkripcija, da li je lažna, kao i da li se prave rezervne kopije podataka. Pogotovo, kako kaže, kada tehnička podrška “prodavnica” instalira softver umesto klijenta.
Ako su softveri “uvezeni”, te ako se njihovi serveri nalaze u inostranstvu, prema rečima Poverenika, radi se o “iznošenju naših podataka u inostranstvo bez pravnog osnova”.
Na pitanje šta znači da je softver “nevidljiv”, kako ga ove firme reklamiraju, Ivan Marković kaže za “Vreme” da postoje različiti načini. Kako objašnjava, izmene mogu biti vizuelne – da ne postoji ikonica ili da se ne može pronaći u podešavanjima. Sa druge strane, kaže, neki softveri mogu biti izolovani od operativnog sistema telefona, te ih je po pravilu teže detektovati (ovde uglavnom antivirusi nisu od pomoći).
Za detektovanje sofisticiranijih stolkervera uglavnom je potrebna aktivna ili pasivna forenzika mobilnih telefona, smatra Marković. U prvom slučaju, uređaj se povezuje na lažnu wifi mrežu, kako bi se utvrdilo da li postoji neki prenos podataka koji nije pokrenuo vlasnik uređaja, dok se kod pasivne forenzike traže tragovi softvera na disku telefona. Na pitanje da li se mogu prepoznati neke naznake da je uređaj zaražen stolkerverom, sagovornik navodi da bi jedini pokazatelj moglo biti brže trošenje baterije.
KORIŠĆENJE ZAKONSKIH RUPA
Iako je ova oblast donekle uređena Krivičnim zakonikom (deo vezan za novlašćen pristup računarskim sistemima), u Srbiji nedostaje jedinstven zakon koji bi regulisao proizvodnju, promet i korišćenje opreme za tajno prikupljanje podataka. Poverenik Milan Marinović ima stav da ako nešto nije definisano propisom, to treba tumačiti “u skladu sa zaštitom ljudskih prava”. Navodi i da su pravo na privatnost, zaštita podataka o ličnosti, kao i zaštita ljudskih prava “nespojivi sa prisluškivanjem”.
Docent Pravnog fakulteta u Novom Sadu Milana Pisarić kaže za “Vreme” da Zakon o elektronskim komunikacijama potvrđuje Ustavom zagarantovanu tajnost komunikacija, pa propisuje da presretanje elektronskih komunikacija kojima se otkriva njen sadržaj nije dopušteno bez pristanka korisnika, osim na određeno vreme i na osnovu odluke suda, ako je to neophodno radi vođenja krivičnog postupka ili zaštite bezbednosti Republike Srbije, na način predviđen zakonom.
Ako se radi o softveru “uvezenom” iz inostranstva, Milana Pisarić smatra da dolazi u obzir i primena Zakona o izvozu i uvozu robe dvostruke namene. Kako objašnjava, u ovom Zakonu je izričito naglašeno da se roba dvostruke namene može izvoziti odnosno uvoziti samo na osnovu dozvole nadležnog organa, a da je izvoznik, uvoznik, broker i pružalac tehničke pomoći dužan, pre započinjanja izvoza, uvoza, pružanja brokerskih usluga i pružanja tehničke pomoći, da utvrdi da li predmetna roba spada u robu dvostruke namene.
Međutim, ni jedna od internet prodavnica koje u Srbiji nude usluge nadzora mobilnih telefona nema na svom vebsajtu objavljene dozvole ili sertifikate, niti dokaze da ih poseduju. Dok im u Agenciji za privredne registre (iza jedne od prodavnica ni ne stoji pravno lice) kao delatnost stoji “nespecijalizovana trgovina na veliko” ili “trgovina na malo posredstvom pošte ili preko interneta”.
Na kraju razgovora, Poverenik zaključuje da prodavnice sebe pokrivaju izjavama o odgovornosti, dok se ovim alatima “daje samovolja da svako prisluškuje svakoga”.