Vsaka elektronska varovalka pomeni več dela, časa in znanja za vlomilca

Mi lahko na hitro prevedete tele letake, je vprašal Richard Tynan, specialist za komunikacijske tehnologije pri britanski nevladni organizaciji Privacy International. Pokazal je gradiva, ki jih je nabral na beograjskem sejmu nadzorne in varnostne opreme. V njih ni manjkalo najrazličnejših vohunskih kamer in brezžičnih mikrofonov, programov za nadzor mobilnikov ter oglasov za analizo komunikacijskega prometa, s katerimi je mogoče izslediti nezvestega soproga, neubogljivega uslužbenca ali političnega nasprotnika.

Pričakovano, je dejal Tynan, ko je poslušal opise izdelkov. Oprema za elektronski nadzor je danes vsaj desetkrat cenejša kot pred petimi leti. Pogovore v mobilnih omrežjih je mogoče prestrezati že z nekaj sto evrov vredno elektronsko opremo. Zato se niso povečale samo zmogljivosti policije in državnih varnostnih agencij, ampak lahko v elektronske komunikacije vdirajo tudi ljubosumni partnerji, zasebni detektivi, kriminalci in plačanci, ki preprodajajo podatke na črnem trgu. Tudi zato, ker uporabniki in organizacije še vedno ne poskrbijo za večjo varnost elektronskih komunikacij.

Tynan je sejem vohunskih naprav obiskal med konferenco o svobodi izražanja na internetu, kjer je predstavil tehnične zmogljivosti pravih vohunov. Njegova organizacija Privacy International je v zadnjih letih temeljito preiskala delo britanske agencije za nacionalno varnost GCHQ, opozarjala na sistematično kršitev državljanskih pravic ter pripravila številne pobude za dvig varnostne kulture, ki jih upošteva vse več nevladnikov, novinarjev in aktivistov. »Po razkritjih nekdanjega obveščevalca Edwarda Snowdna je postalo naše delo precej lažje,« je dejal Tynan. »Nihče več nas ne obtožuje, da smo paranoiki. Prej nasprotno. Bili smo še premalo zaskrbljeni.«

Na predavanju ste povedali, da sodobnih pametnih mobilnikov ne bi smeli več imenovati »telefoni«. Zakaj?

Ker je takšno poimenovanje zelo zavajajoče. Telefon je preprosta naprava za prenos pogovora, za katero vsi vemo, kaj počne. Pametni mobilnik pa je zmogljiv računalnik, na katerem teče kompleksen operacijski sistem in je opremljen s številnimi tipali: kamero, merilcem pospeška in temperature, najmanj petimi antenami, sprejemnikom satelitskega signala … Skoraj nihče ne ve, kako zares deluje – s kom komunicira, katere podatke pošilja in kdo ga upravlja. Njegovih resničnih zmogljivosti se poleg varnostnih agencij zavedajo kvečjemu še izdelovalci in programerji v velikih tehnoloških podjetjih, ki zbirajo in preprodajajo osebne podatke. Običajni uporabniki pa večinoma ne pomislijo, kakšno napravo nosijo v žepu.

Ste na Privacy International že iznašli način, kako uporabnikom razložiti to napravo? Varuhi zasebnosti in internetni aktivisti ugotavljajo, da večinoma prepričujejo prepričane. Velika večina pač gugla, snapchata in objavlja selfije na facebooku.

Naučili smo se, da ne smemo strašiti ali pridigati, saj tako ni mogoče spremeniti uporabniških navad. Prav tako vemo, da ne moremo skoraj ničesar storiti sami, zato se povezujemo s partnerskimi organizacijami, ki dobro poznajo politiko, kulturo in zakonodajo v svojem okolju. Mi lahko ponudimo pravno znanje in tehnično podporo, ampak moramo vsakič upoštevati lokalne posebnosti. Učinkovita izobraževalna delavnica je v Nemčiji zelo drugačna od tiste v ZDA, Indiji ali na Kitajskem, saj so uporabniki tehnologij občutljivi na različne možnosti zlorab. Evropejce načeloma bolj skrbijo posegi v zasebnost, Kitajce cenzura in politično preganjanje, za Američane pa je zasebnost praviloma manj pomembna od varnosti.

Kakšne so vaše izobraževalne delavnice?

Do osebnega računalnika so si ljudje kar dobro predstavljali, kako delujejo njihove naprave in kakšen je njihov namen. Avtomobila sicer verjetno ne znate sestaviti ali popraviti, ampak poznate osnovna načela: da ga poganja motor in ga upravljate s krmilom. Enako velja za hladilnik, pralni stroj, klasični telefon in večino drugih tehnologij, s katerimi smo obdani zadnjega pol stoletja. Računalniki, pametni mobilniki in internet pa so preveč drugačne tehnologije, da bi jih lahko razložili s preteklimi izkušnjami.

So res? Poslovni in politični interesi se ne spreminjajo tako hitro kot tehnološke novosti.

Časopis med branjem ni zbiral podatkov o uporabniku. Hišni telefon ni bil ves čas povezan z globalnim komunikacijskim omrežjem, še manj pečica ali hladilnik. Nobena komercialna podatkovna zbirka pred Facebookom ali Googlom ni zbrala elektronskih dosjejev o milijardi uporabnikov z vsega sveta. Same naprave pa so nekakšne črne škatle, v katere sploh ne smete pogledati, če nočete prekršiti pogojev uporabe, dregniti v poslovne skrivnosti ali zagrešiti kaznivega dejanja. Zato poskušam na delavnicah vsaj malo odpreti te črne škatle in razložiti, kako delujejo. Udeležencev nočem zmesti s tehničnimi podrobnostmi: protokoli, algoritmi in drugimi področji, ki zahtevajo specialistična znanja. Včasih skupaj postavimo mobilno omrežje z voki-tokiji – toliko, da si lažje predstavljajo, kaj je mobilnik in kaj bazna postaja. Pa tudi, kakšne kompromise morajo upoštevati operaterji in zakaj je mogoče s posebnimi lovilci IMSI prestrezati telefonske pogovore ali brati sporočila.

Ali kdaj prikažete možnosti vdora in zlorab v prenosni računalnik ali mobilnik?

Takšne predstavitve so ponavadi za udeležence najbolj zanimive. Za popestritev jim včasih pokažem, kako preprosto je vlomiti v ključavnico, kar je moje razvedrilo v prostem času (nasmešek). Večinoma uporabljam svoje naprave, da pri vdiranju ne kršim zakona. Včasih pa se ponudijo tudi prostovoljci, ki jih zanima, ali jim res lahko vdrem v mobilnik ali računalnik.

Vam uspe?

Doslej mi je še vedno (nasmešek).

Kako?

Večinoma je čisto dovolj, če jim pošljem elektronsko pismo s skrito spletno povezavo, ki okuži napravo z mojim programom. Potem jim v dokaz pošljem kako fotografijo iz njihovega albuma na telefonu ali jih pokličem z njihove številke.

Kakšni so odzivi?

Šokirani, seveda. Ne razumejo, da sem pravzaprav samo vstopil skozi odprta vrata njihovega stanovanja.

Bi bilo težje, če bi bila vrata zaklenjena?

Seveda bi bilo težje. Vsaka elektronska varovalka pomeni več dela, časa in znanja za vlomilca – enako kot v fizičnem svetu. Tudi v sef je mogoče vdreti, ampak morajo biti vlomilci izjemno spretni in motivirani. Dobra varnostna politika je vedno kompromis. Vprašati se morate, kako dragocene podatke varujete in kdo jih ogroža. Za družinske posnetke in seminarske naloge je dovolj geslo, protivirusni program ali požarni zid. Če pa na računalniku prenašate zaupne podatke ali poslovne skrivnosti, morate uporabljati vsaj šifriranje in varno internetno povezavo. Zelo zanimivo izkušnjo smo imeli lani, ko smo pomagali ruskim aktivistom, saj so jih ves čas napadali domnevni pripadniki tajne službe, ki so nadzorovali oporečnike. Ugotovili smo, da hekerji niso hoteli samo pridobiti podatkov na računalnikih, ampak so nanje nameščali tudi sporne vsebine. To je zelo močno orožje, če hočete očrniti političnega nasprotnika.

Da opozicijskemu politiku namestite pornografske fotografije in ga prijavite policiji?

Predstavljajte si, da vas obišče policija in na vašem računalniku najde pedofilske posnetke. To je lahko za vas konec politične kariere in zapor, saj boste težko dokazali nedolžnost – sploh v državah z avtoritarnim režimom, kjer ima policija zelo velika pooblastila. Dovolj je bil že nepreviden klik na povezavo v družabnem profilu, lažno trgovsko ponudbo ali vabljiv oglas za zmenkarije. Erotične in družabne strani so nasploh idealno lovišče na neprevidne elektronske tarče.

Ali držijo opozorila varnostnih strokovnjakov, da je klikanje po pornografskih straneh danes nevarnejše od obiska javne hiše?

Verjetno res! (smeh) Zelo velik problem je tudi kraja identitete – da se hekerji z vašim imenom prijavljajo na nezakonite spletne strani ali prek vaših naprav komunicirajo z drugimi pripadniki kriminalnih ali terorističnih skupin. Informacijska podjetja in varnostne agencije zbirajo vse komunikacijske podatke in jih analizirajo, zato nikoli ne veste, kdaj se lahko znajdete na seznamu potencialnih osumljencev. Ni treba, da ste zagrešili kaj nezakonitega. Dovolj je, če vaša naprava pušča problematične elektronske sledi.

So predstavniki ameriške vojske govorili o takšnih sledeh, ko so priznali, da »ubijajo tarče glede na analizo metapodatkov«?

Z metapodatki imamo največ težav. Uporabniki in politiki si nadzor še vedno predstavljajo enako kot v času hladne vojne: da tajni agenti s slušalkami in daljnogledom spremljajo oporečnike ter poslušajo njihove pogovore. Ko se pogovarjamo z državnimi uradniki ali poslanci, nam velikokrat zagotovijo, da varnostne agencije ne prisluškujejo državljanom. Zakaj? Ker so jim predstavniki policije in obveščevalci povedali, da ne spremljajo pogovorov in ne berejo elektronskih pisem, ampak samo beležijo, kdo, kje, kdaj in s kom komunicira, katere spletne strani obiskuje, kje se giblje … Seveda ne povedo, da je mogoče iz teh podatkov ugotoviti bistveno več kot s klasičnimi prisluhi. Sploh če več let zbirajo informacije in izdelujejo elektronske dosjeje za celotno populacijo, ne samo za potencialne kriminalce ali teroriste.

Se je mogoče obvarovati pred zbiranjem metapodatkov?

Težko. Šifriranje razmeroma dobro skrije vsebino, še vedno pa ostanejo drugi zapisi o komunikaciji: komu, kam in kdaj ste poslali šifrirano sporočilo. Omrežja za anonimno komuniciranje rešijo del problema, ampak jih ponekod ni dovoljeno uporabljati. Zbiranje metapodatkov je zato treba omejiti z zakoni.

Je to realno? Politiki po vsem svetu zagovarjajo še več elektronskega nadzora v imenu varnosti.

Številni politiki so še vedno prepričani, da bodo samo večja pooblastila varnostnih služb preprečila teroristična dejanja in televizijske usmrtitve v imenu Islamske države. Zato se nobena država noče odreči nadzornim programom ali zaostriti odnosov z Američani, ker so številne tajne službe odvisne od njihovih podatkov ali jim dolgujejo usluge. Vendar se razpoloženje tudi v politiki spreminja. Trije britanski poslanci so se že pritožili zaradi elektronskega nadzora, saj so izvedeli, da varnostne službe sistematično spremljajo tudi vse njihove komunikacije – kljub temu da država po zakonu ne sme nadzirati nobenega aktivnega poslanca. Tudi politikom ni vseeno, če so ves čas nadzorovani – ko se srečujejo z volivci ali gredo na zaupen sestanek. Na srečo so argumenti tajnih služb zelo šibki in ne prenesejo javnega soočenja, saj se hitro izkaže, da so zavajali, izpustili pomembne informacije ali presegli pooblastila. Zato imajo politiki za zagovornike državljanskih pravic danes več posluha kot pred nekaj leti, ko javnost še ni bila seznanjena z razkritji Edwarda Snowdna.

Vam je Snowden olajšal delo?

Vsekakor. Zdaj nihče več ne misli, da smo paranoiki, ampak je to dokaz, da smo bili še premalo zaskrbljeni. Niti pesimisti si niso predstavljali tako sofisticiranega in vseobsegajočega prisluškovalnega programa, ki v praksi ne odgovarja nobenemu sodišču ali drugi demokratični ustanovi. Javnost se zdaj bistveno bolje zaveda problematike, saj so mediji zelo dobro pokrili Snowdnova razkritja in jih tudi samostojno raziskovali. Kljub temu nas čaka še veliko dela, saj protiteroristični zakoni še vedno veljajo, politiki pa poskušajo kriminalizirati uporabo varnostnih orodij, s katerimi lahko državljani zavarujejo svoje elektronske komunikacije. Britanski premier David Cameron je celo predlagal, da je treba namenoma oslabiti šifrirne algoritme, da bi lahko država prestrezala komunikacije. Kar je absurdno, saj bi takšne namerne ranljivosti najprej izrabili prav kriminalci. Si predstavljate, da bi vam država prepovedala namestitev protivlomnih vrat? To je popolnoma nesprejemljivo.

Zaradi takšnih zahtev je v ZDA protestirala informacijska industrija. Trdili so, da jim država povzroča poslovno škodo in načenja zaupanje uporabnikov v tehnologijo.

Kriptografija je od začetka spremljala razvoj računalništva. Zato sem se vedno spraševal, zakaj niso vse komunikacijske tehnologije že od začetka uporabljale močnih algoritmov za šifriranje. Verjetno so bile pod močnim pritiskom države, saj so ameriške oblasti lani ostro protestirale, ko sta Apple in Google napovedala šifriranje vseh storitev v njunem tehnološkem ekosistemu. Tehnološka podjetja lahko bistveno izboljšajo varnost elektronskih komunikacij, če bodo privzeto šifrirala vse podatke na omrežju in napravah. Vendar lahko že vidimo nove težave, saj utegnejo postati Facebook, Amazon in Google prave zasebne informacijske trdnjave, ki jih niti demokratične oblasti ne bodo mogle nadzirati in legalno pridobiti podatkov z njihovih strežnikov. Države pa hočejo visoke stroške elektronskega nadzorovanja prenesti na zasebna podjetja, nad katerimi prav tako ne bo demokratičnega nadzora.

Kaj na koncu svetujete obiskovalcem vaših delavnic? Vaša sporočila niso ravno spodbudna …

Najprej jim povem, da imamo vso pravico skrivati določene informacije pred določenimi ljudmi. Če vam bo kdo zatrdil, da ničesar ne skriva, ga samo prosite, naj vam zaupa elektronski naslov in geslo. Nato jih poskusim opogumiti, naj začnejo pri sebi – z majhnimi koraki, za katere ne potrebujejo posebnih tehničnih znanj: šifrirajo telefon, namestijo aplikacije za varno pošiljanje sporočil in spoznajo tehnologije, ki jih uporabljajo. Zavedam pa se tudi omejitev takšnih delavnic, saj bo varnostno kulturo dvignilo šele širše družbeno soglasje, da je informacijska zasebnost pomembna državljanska pravica. Uporabniške navade je težko spremeniti brez podpore industrije, zakonov in regulacije. Zgodovina varnostnega pasu v avtomobilih je dober primer, kako dolgo je trajalo, preden so se začeli vozniki privezovati. Avtomobilska podjetja so morala ponuditi varnostni pas v osnovni opremi, policisti so pisali kazni, zavarovalnice so ponudile popuste za varno vožnjo in zmanjšale odškodnino, če niste bili privezani. Zelo podoben proces nas čaka tudi na področju informacijske varnosti. Vendar se spremembe ne bodo zgodile same od sebe. Brez pritiska organiziranih družbenih skupin bomo zdrsnili globoko v družbo nadzora. To pa ni svet, v katerem hočem živeti.