Upotreba špijunskog softvera nastavljena i posle otkrića Amnestija da policija i BIA nadzi-ru aktiviste i novinare
Autorka: Jelena L. Petković, Izvor: Cenzolovka
Intenziviranjem studentskih protesta u Srbiji nekako je u javnosti u drugi plan zapala veoma uznemirujuća vest koja je stigla 16. decembra – o špijuniranju aktivista i novinara koje je otkrila organizacija Amnesti internešenal i objavila u izveštaju „Digitalni zatvor: Prismotra i gušenje civilnog društva u Srbiji”.
Jelena Sesar, istraživačica za Balkan i Evropsku uniju u okviru Amnesti internešenala (Amnesty International) u razgovoru za Cenzolovku kaže da ova organizacija godinama izveštava o sistemskom nasilju u Srbiji nad svima onima koji kritikuju vlast, bilo da su aktivisti, novinari ili studenti. Svaki vid protesta protiv vlasti je izazvao nove mere represije – od stigmatizacije nevladinih organizacija i nezavisnih novinara, učestalih napada na njih, neosnovanog hapšenja, krivičnih i prekršajnih tužbi, ističe ona i dodaje da je digitalni nadzor samo još jedna mera koja ima za cilj da zastraši one koji koriste pravo na slobodu govora i mirnog okupljanja.
Sesar otkriva i da su istraživanje Amnestija potvrdili i eksperti za bezbednost u Guglu i identifikovali još nekoliko telefona inficiranih špijunskim softverom NoviSpy.
Sa druge strane, tužilaštvo niti državni organi do danas nisu kontaktirali organizaciju koja je iznela mnoštvo dokaza o nezakonitom hakovanju telefona aktivista i novinara i njihovom nadziranju, iako protiv njih nije sprovođena istraga niti je postojala odluka suda o tome.
Cenzolovka: Jeste li očekivali da ćete otkriti da se u Srbiji špijuniraju novinari i aktivisti i da se istovremeno koriste i dva softvera za njihov nadzor koji su instalirani kada su pozvani da daju izjave u policiji ili BIA?
Jelena Sesar: Iako je naše istraživanje pokrilo više vidova digitalnog nadzora u Srbiji, najznačajniji nalazi su da su vlasti u Srbiji, tj. policija i BIA, koristile novi špijunski softver, najverovatnije domaće proizvodnje, a koji smo mi nazvali NoviSpy, da hakuju telefone aktivista i novinara.
Osim toga, otkrili smo da su policija i BIA koristile Cellebrite UFED, alat za legitimnu digitalnu forenziku koji je u širokoj upotrebi širom sveta, da nasilno otključaju telefone, nezakonito preuzmu podatke sa njih i, konačno, na uređaje instaliraju NoviSpy, špijunski softver.
Važno je istaći da ovde govorimo o dva različita problema. Prvi je korišćenje špijunskog softvera u političke svrhe, što nikad nije zakonito. Ova vrsta softvera je izuzetno intruzivna i omogućava neometan pristup sadržaju telefona osoba koje su bile mete takvih napada.
To podrazumeva pristup ličnim podacima ne samo tih osoba, već i članova njihovih porodica, prijatelja i svih drugih sa kojima su bili u komunikaciji. To narušava principe srazmernosti i neophodnosti, a koji se moraju uzeti u obzir kada se donosi odluka kojom se narušavaju osnovna ljudska prava, kao što su pravo na privatnost, te pravo na slobodu govora i mirnog okupljanja.
Drugi problem je što su vlasti koristile potpuno legitiman alat za digitalnu forenziku, Cellebrite UFED, na nezakonit način. Ova oprema treba da sa koristi transparentno, tokom krivičnih istraga i uz naredbu suda, jer ima sposobnost da otključa uređaje, te pristupi ogromnom obimu podataka, uključujući komunikaciju, fotografije, te sistemskim evidencijama na telefonu.
Ova vrsta softvera omogućava neometan pristup sadržaju telefona i ličnim podacima ne samo tih osoba, već i članova njihovih porodica, prijatelja i svih drugih sa kojima su bili u komunikaciji
Cenzolovka: To su bili ljudi protiv kojih vlasti pre toga nisu pokrenule istragu?
Sesar: Naše istraživanje je pokazalo da su policija i BIA koristile Cellebrite da nasilno i bez njihovog znanja otključaju telefone novinara i aktivista, protiv kojih se nije vodila zvanična istraga, bez naredbe suda, da bi se na njihove telefone instalirao špijunski softver. To je omogućavalo vlastima da prate aktivnosti osoba duži period.
Kao što smo pokazali na slučaju aktiviste iz organizacije Krokodil, telefon je nakon instalacije softvera nastavio da šalje na server BIA snimke ekrana (screenshots) svih digitalnih aktivnosti tog aktiviste – surfovanje na društvenim mrežama, telefonske pozive, poruke i fotografije.
To je neverovatno invazivno, jer veliki deo našeg života se danas nalazi na telefonu i činjenica da neko ima takav pristup vašim privatnim podacima, komunikaciji i aktivnostima je zastrašujuća. Posebno zabrinjava to da su institucije čija je svrha da zaštite građane, dakle policija i bezbednosne službe, potpuno izneverile to poverenje i stavile se u službu politike.
EKSPERTI GUGLA PRONAŠLI JOŠ INFICIRANIH UREĐAJA
Niko do sada nije doveo u pitanje rezultate naše forenzičke analize. Naprotiv, eksperti za bezbednost u Guglu su potvrdili naše nalaze, identifikovali još jedan značajan broj uređaja koji su bili inficirani, te s njih uklonili špijunski softver.
Dakle, nema sumnje da je NoviSpy maliciozna aplikacija, da se instalira tajno i bez pristanka vlasnika telefona, te da je izuzetno intruzivna, a da je instalirana dok su osobe bile na informativnim razgovorima u kancelarijama BIA ili policije.
S obzirom na nepobitne nalaze ovog izveštaja i u kontekstu trenutnih protesta koji se dešavaju širom Srbije i sve represivnijih mera sa kojima se suočavaju oni koji u njima učestvuju, međunarodna zajednica mora jasno da komunicira s vlastima i podseti Srbiju da ima obavezu da svima omogući neometano i mirno okupljanje i slobodno izražavanje mišljenja, pa čak i ako je ono kritično prema vlastima.
Gotovo svaki vid protesta protiv vlasti izazvao je nove mere represije
Cenzolovka: Koliko je vas takvo otkriće iznenadilo?
Sesar: Nažalost, nismo bili jako iznenađeni ovim nalazima, iako nas je obim digitalnog nadzora, kao i način na koji je on ostvaren – dakle tako što su osobe ciljano pozvane na tzv. informativne razgovore ili kad su aktivisti u par slučajeva sami otišli da prijave incidente – donekle zatekao.
Mi već godinama pratimo i izveštavamo o jednoj vrsti sistemskog nasilja u Srbiji nad svima onima koji kritikuju vlast, bilo da su aktivisti ili novinari. Ili, kao što vidimo ovih dana – studenti.
Gotovo svaki vid protesta protiv vlasti izazvao je nove mere represije – od stigmatizacije nevladinih organizacija i nezavisnih novinara, učestalih napada na njih, neosnovanog hapšenja, krivičnih i prekršajnih tužbi…
Digitalni nadzor je samo još jedna mera koja ima za cilj da zastraši one koji koriste pravo na slobodu govora i mirnog okupljanja da pošalju poruke vlastima.
Veliki deo našeg života se danas nalazi na telefonu i činjenica da neko ima pristup vašim privatnim podacima, komunikaciji i aktivnostima je zastrašujuća
Cenzolovka: Objavili ste da je vaše istraživanje obuhvatilo 13 targetiranih novinara i građanskih aktivista. Koliko je među njima bilo novinara?
Sesar: Iako je naš izveštaj detaljnije pokrio slučajeve 13 aktivista i novinara, tokom istraživanja smo razgovarali sa desetinama drugih i uradili forenziku na njihovim telefonima. U nekoliko slučajeva, radilo se o novinarima.
Postojala je sumnja da je značajniji broj novinara targetiran na ovaj način, ali mnogi novinari, pogotovo oni koji dolaze iz manjih sredina, nisu bili spremni da daju svoje telefone na analizu zbog straha da bi to moglo stvoriti njima i njihovim porodicama sigurnosne probleme, komplikacije na poslu i slično.
Novinari iz manjih mesta su znatno osetljiviji na ovu vrstu pritisaka i imaju manje mogućnosti da se zaštite nego kolege iz Beograda ili Novog Sada. Veliki broj njih odluči da prestane da izveštava o kontraverznim pitanjima. To je potpuno razumljivo, ali je, nažalost, upravo to i cilj ove vrste zastrašivanja.
Činjenica da je Slaviša Milanov iz Dmitrovgrada odlučio da javno govori o svom slučaju, te da traži odgovornost za nezakonit pristup telefonu kroz institucije, govori o njegovoj izuzetnoj hrabrosti, ali i određenom ubeđenju da institucije pravde još uvek mogu da rade svoj posao.
SISTEM OSMIŠLJEN DA VLASTIMA SLUŽI ZA KONTROLU I NADZOR
Cenzolovka: Možete li da uporedite situaciju u Srbiji sa državama iz regiona? Da li ste tamo ili u drugim evropskim državama nalazili ovakve slučajeve?
Sesar: Nažalost, Srbija nije izuzetak što se tiče zloupotrebe špijunskog softvera. Pre nekoliko godina, Evropski parlament je uradio veliko istraživanje koje je pokazalo da su tadašnje vlasti u nekim zemljama u Evropskoj uniji, na primer u Poljskoj, Mađarskoj i Grčkoj, sistemski koristile špijunski softver, ako što su Pegasus i Predator, za nadzor novinara, aktivista, opozicionih političara i sl. U nekim slučajevima, to se dešavalo uz odobrenje suda, a u nekim bez ikakvog sudskog nadzora.
Bez razlike, ono što je bio jedan od zaključaka te studije je da je korišćenje ove vrste softvera bilo potpuno ugrađeno u pravne sisteme tih država i da je, barem u teoriji i na papiru, bilo popraćeno neophodnim merama zaštite, mehanizmom nadzora i pravne zaštite. U praksi, nažalost, jasno je da su ti pravni sistemi bili previše „popustljivi“, pravne zaštite preslabe, a pristup pravdi gotovo nepostojeći. Naime, u nekim od slučajeva je ceo sistem bio osmišljen sa namerom da služi kao mera kontrole i nadzora za vlasti.
Dakle, sve ovo govori o tome da je pitanje zloupotrebe špijunskog softvera i drugih alata zaista ključno u celoj Evropi, ali naravno i šire. Očigledno da postoji urgentna potreba da se izvoz i upotreba ovog softvera i drugih alata digitalne forenzike koji su jednako intruzivni, strogo kontroliše, te da mere zaštite moraju biti efikasne i smislene, kako na papiru, tako i u praksi.
To je naravno jednostavnije postići u zemljama gde postoji vladavina pravde, kao i mehanizmi zaštite prava u slučaju zloupotrebe. Amnesti i druge organizacije već godinama zagovaraju uspostavljanje efikasnijeg sistema na regionalnom i međunarodnom nivou.
NoviSpy je najverovatnije proizveden u Srbiji
Cenzolovka: Da li imate bilo kakve informacije o istrazi tužilaštva u vezi sa ovim slučajem?
Sesar: Nismo imali direktne kontakte za tužilaštvom, ali imamo informacije da su u najmanje jednom od slučajeva tražili dodatne informacije i naložili policiji da uzmu izjave i skupi relevantne informacije od svih koji su uključeni u slučaj.
Mi se nadamo da će tužilaštvo ozbiljno istražiti sve slučajeve o kojima smo pisali i uzeti u obzir veštačenje i analize koje smo uradili.
Dakle, detaljni rezultati, koji nedvosmisleno upućuju na nezakonito korišćenje špijunskog softvera, te nezakonito korišćenje Cellebrite UFED alata za digitalnu forenziku, su dostupni.
Osim toga, tužilaštvo i policija mogu i sami da urade forenzičko veštačenje na tim istim telefonima jer su dostupni i svi ti uređaji.
Naravno, osim tužilaštva, važno je da i druge institucije koje predstavljaju neku vrstu spoljnog nadzora nad posebnim merama koje koriste policija i BIA, a to su Zaštitnik građana i Poverenik za zaštitu podataka, započnu i sopstvene istrage da utvrde da li su ove agencije za sprovođenje zakona nezakonito pristupile podacima građana ili prekršile zakonom propisane nadležnosti.
Obe institucije imaju mogućnost da rade ex officio istrage i ne treba da čekaju da im se obrate pojedinci u ovim slučajevima. Dokazi koje smo priložili u aneksu izveštaja, te navodi o kojima govorimo u izveštaju, dovoljno su zabrinjavajući da bi ove institucije trebale da deluju proaktivno.
Cenzolovka: Istraživanjem je Amnesti utvrdio da je jedan od softvera, a bilo ih je više, osmislio radnik BIA, ista osoba koja je pokušala ranije da kupi softver za špijuniranje od jedne vrlo diskutabilne kompanije. Koliko je tih softvera na regularnom, ali i crnom onlajn tržištu?
Sesar: Što se tiče NoviSpy špijunskog softvera, mi smo sa sigurnošću utvrdili da ga koristi isključivo BIA, da on komunicira za serverom koji pripada BIA i da je taj softver verovatno proizveden u Srbiji. Ne znamo da li ga je proizvela BIA ili neka od privatnih kompanija na zahtev agencije.
Iako mali broj država proizvodi špijunski softver, to je jako skupo i iziskuje izuzetno visoku tehničku sposobnost i kapacitet, pa stoga postoji veliki broj privatnih kompanija koje se bave isključivo tim poslovima.
Proizvodnja i upotreba ove vrste softvera je pod strogom tajnom i teško je utvrditi koliko je takvih softvera trenutno u upotrebi širom sveta. Amnesti internešenal već dugo poziva države da budu transparentnije, tako što će objaviti liste izvoza svakog oblika ovog softvera, ali to se nažalost retko dešava.
Ono što znamo sigurno je da je tržište za špijunski softver dosta aktivno. Prošle godine smo objavili izveštaj o Indoneziji, u kojem smo utvrdili da vlasti tamo rade sa više privatnih kompanija od kojih kupuju špijunski softver i druge alate za digitalni nadzor.
Teško je zaštititi se od Pegazusa ili Predatora
Cenzolovka: Kako da se građani zaštite od takvih softvera?
Sesar: Naš izveštaj sadrži i preporuke za građane o tome kako se zaštititi od digitalnog nadzora. Treba osigurati da je vaš telefon potpuno ažuran, biti oprezan pri instaliranju novih aplikacija ili davanju dopuštenja. Treba da se prate sigurnosne notifikacije koje daju Gugl ili Epl.
Sve su to važni koraci na koje podstičemo sve one koji žele da se zaštite. Međutim, svesni smo da je dosta teško nama kao pojedincima da se zaštitimo od naprednih oblika špijunskog softvera, kao što su Pegasus ili Predator.
Posebno zabrinjava to da su institucije čija je svrha da zaštite građane, dakle policija i bez-bednosne službe, potpuno izneverile to poverenje i stavile se u službu politike
Dakle, najefikasnija je kolektivna zaštita od špijunskog softvera, a to je da insistiramo da države strogo kontrolišu tržište komercijalnog špijunskog softvera, te da strogo zabrane njegovu zloupotrebu unutar svojih granica.
Cenzolovka: Imate li informacije da ovakve softvere za špijuniranje koriste i privatne kompanije ili moćni pojedinci?
Sesar: Velike kompanije koje proizvode napredne oblike špijunskog softvera, kao npr. NSO Grupa, koja proizvodi Pegasus, kažu da one prodaju svoje proizvode isključivo policiji i državnim obaveštajnim službama.
Što se tiče Srbije, nismo našli ništa što upućuje na to da privatne kompanije ili pojedinci koriste NoviSpy ili neki drugi vid špijunskog softvera.
U svim slučajevima – a Srbiju pratimo već niz godina – svaka upotreba ove vrste softvera (od Pegasusa do NoviSpya) ili pokušaj da se kupi napredniji softver kao što je Predator, bili su vezani za državne organe, a posebno Bezbednosno-informativnu agenciju.
Upotreba Cellebrite protiv aktivista nastavljena
Cenzolovka: Kontaktirali ste norvešku vladu koja je donirala jedan od softvera, kompaniju koja proizvodi Pegasus, kao i kompaniju Cellebrite. Oni su isprva imali malo drugačije odgovore u odnosu na one koje ste dobili kada ste im predstavili rezultate istraživanja. Imate li informacije jesu li išta preduzeli povodom vaših zaključaka?
Sesar: Da, to je tačno. Tokom samog istraživanja nismo dobili odgovore od norveške vlade, niti od ovih kompanija, iako smo im pisali u detalje o prirodi naše istrage, ali su se oglasile nakon što smo sa njima podelili detaljne nalaze pred samu objavu.
Kompanija Cellebrite nam se obratila pismom u kojem su izrazili zabrinutost za navode iz izveštaja i kojim su se obavezali da istraže naše nalaze. Takođe su potvrdili da, ukoliko njihova istraga pokaže da su postojale zloupotrebe Cellebrite alata u Srbiji, tj. da se on koristio van krivičnih istraga i da se njime otključavaju telefoni kako bi se na njih instalirao špijunski softver, kompanija bi bila spremna da suspenduje ili oduzme licence svim agencijama koje su bile uključene u zloupotrebu, što je velika stvar.
Gotovo svaki vid protesta protiv vlasti izaziva nove mere represije – od stigmatizacije i učestalih napada na NVO i nezavisne novinare, neosnovanog hapšenja, tužbi. Digitalni nadzor je samo još jedna mera sa ciljem da zastraši (Jelena Sesar, Amnesti)
Mi se nadamo da će Cellebrite uskoro posetiti Srbiju, te da će ta istraga obuhvatiti svaku upotrebu ovog alata – dakle i od strane policije i Bezbednosno-informativne agencije. Zabrinjava to što znamo da se upotreba Cellebrite protiv aktivista nastavila i nakon objave našeg izveštaja.
Norveško Ministarstvo spoljnih poslova je takođe izrazilo veliku zabrinutost da je oprema Cellebrite koju su donirali Ministarstvu unutrašnjih poslova Srbije u svrhe istraga protiv organizovanog kriminala možda zloupotrebljena u političke svrhe.
Koliko smo upoznati, bilo je već nekoliko razgovora između norveških vlasti i Ministarstva, a znamo i da je norveška vlada tražila od UNOPS-a u Srbiji, koji je pomogao sa implementacijom ove donacije, da istraže moguću zloupotrebu.
Nažalost, do danas nismo dobili suštinski odgovor od srpskih vlasti, iako smo im sve detalje iz izveštaja poslali pre objave.
Kao i uvek, mi smo spremni da sa vlastima podelimo sve naše nalaze i odgovorimo na pitanja ukoliko bi to koristilo istragama.
VLAST DA GARANTUJE BEZBEDNOST ONIH KOJI SU UČESTVOVALI U NAŠEM ISTRAŽIVANJU
Cenzolovka: Rekli ste da ste jako zadovoljni kako je izveštaj primljen – na koga tu mislite? Kakve su reakcije iz ambasada i Evropske komisije?
Sesar: Amnesti internešenal je i pre i posle objave izveštaja imao niz sastanaka sa predstavnicima međunarodne zajednice, velikim kompanijama kao što je Gugl, jer je postojao veliki interes za nalaze naše forenzičke analize.
Naravno, svi su zatečeni nalazima i zabrinuti za obim digitalnog nadzora u Srbiji. Ne možemo da govorimo o tome šta će pojedine ambasade i delegacije preduzeti, ali smo tražili od njih da insistiraju da vlasti u Srbiji odmah prestanu sa upotrebom špijunskog softvera, da hitno istraže okolnosti njegove upotrebe i preduzmu konkretne korake za unapređenje zakonskog okvira i da u praksi osiguraju efikasniji unutrašnji i spoljni nadzor nad korišćenjem metoda posebnog nadzora od strane policije i BIA.
Posebno je važno da vlasti garantuju bezbednost svih onih koji su učestvovali u našem istraživanju.
Očekujemo od pojedinačnih ambasada, ali posebno od Evropske unije, da zahtevaju od vlasti u Srbiji da zaustave dalje urušavanje ljudskih prava, stigmatizaciju, hapšenje i zastrašivanje novinara, aktivista i studenata i osiguraju pravnu zaštitu svima kojima su prava narušena.
Evropska unija, ali i pojedine članice, moraju koristiti sve mehanizme unutar procesa proširenja da insistiraju na tome da Srbija pokaže konkretan napredak u kontekstu vladavine prava i ljudskih prava pre nego što ostvari dalji pomak u ovom procesu.
Tekst je prenet sa portala Cenzolovka.
