BIA koristi softver izraelske kompanije za nadzor građana

Istražujući poslovanje kompanije Circles, Citizen Lab je došao do spiska od 25 zemalja koje koriste softver za nadzor, među kojima se nalazi i Srbija.

Nalazi koje je predstavio kanadski institut, posebno su zanimljivi u kontekstu jedne slabo ispraćene izjave predsednika Srbije Aleksandra Vučić s početka vanrednog stanja.

Na konferenciji održanoj 19. marta ove godine, Vučić je govorio o nadzoru građana koji krše mere izolacije koje je propisala Vlada.

– Imamo savremene tehničke mere kojima to pratimo. Pratimo telefonske brojeve, pre svega italijanske. Dakle, ne prisluškujemo, već pratimo da li se kreću ljudi sa italijanskim brojevima u romingu – i kreću se. Posebno će policija večeras da obrati pažnju na određena naselja… jer ih vidimo da se kreću. Nemojte da mislite da ćete nas prevariti ostavljanjem telefona na jednom mestu, jer smo pronašli još jedan način da pratimo ko i kako krši pravila koje je država propisala. Ovo sve radimo da bismo zaštitili zdravlje ljudi, kazao je Vučić.

A prema pisanju Citizen Laba, softver kompanije Circles upravo omogućava praćenje telefona eksploatacijom slabosti unutar globalne mreže mobilne telefonije.

Mane ovog sistema proističu iz protokola SS7 koji su telefonske kompanije razvile 1975. godine.

Naime, telefonske kompanije iz različitih zemalja razmenjuju informacije o uređajima putem ovog protokola, čime je omogućeno da isti broj, po prelasku državnih granica, preuzimaju drugi operateri.

Ovaj protokol je razvitkom tehnologije postao suvišan, međutim zbog interoperativnosti sa novijim sistemima ostao je na snazi.

Najveća mana ovog sistema je, navodi se u tekstu Citizen Laba, što ne zahteva potvrdu da se radi o operateru mobilne telefonije, čime svaki subjekt sa pristupom sistemu dobija informacije o broju kao da se on nalazi u romingu.

Ovoj tehnici je jako teško ući u trag pošto se ne radi o hakovanju samih telefona ili sistema mobilnih operatera.

Njom se samo izdaju zahtevi za podacima, koje kompanije daju koristeći se protokolom SS7.

Kako se navodi, bilo bi isuviše komplikovano i skupo za kompanije da same proveravaju ko tačno traži podatke, zbog čega im je teško da naprave razliku između stvarnih mobilnih operatera i onih subjekata koji se predstavljaju kao operateri.

Magazin Forbes je, prateći ovu priču kontaktirao nekoliko stručnjaka koji su im rekli da je pomoću ove tehnike moguće locirati telefon, ali da nije moguće ostvariti uvid u sadržaj komunikacije.

Predrag Petrović, programski direktor Beogradskog centra za bezbednosnu politiku ističe da, imajući u vidu istoriju korišćenja sredstava za nadzor, nije iznenađen podacima do kojih su došli istraživači Citizen Laba.

– Mi s jedne strane imamo zakon, koji nalaže da nadzor može da se obavlja isključivo uz dozvolu suda, ali sa druge imamo situaciju u kojoj gotovo i da ne postoji nikakav nadzor nad primenom tih mera. Sve institucije koje bi trebalo da sprovode institucionalan nadzor nad primenom mera, nisu zainteresovane da to čine. Pa tako skupštinski Odbora za nadzor službi bezbednosti služi samo za iskazivanje javne podrške funkcionerima, a i Zaštitnik građana je prestao da sprovodi kontrolu od kako je na tu funkciju došao Zoran Pašalić, navodi Petrović, uz opasku da je sve ostalo na nekoliko organizacija civilnog društva i medija.

Prema Zakonu o krivičnom postupku, obrazložen zahtev za primenu posebnih dokaznih mera, među koje spada i nadzor telefona, sudiji za prethodni postupak podnosi zamenik tužioca koji rukovodi konkretnom istragom.

Sudija daje dozvolu za sprovođenje mera, a sprovodi ih BIA, policija ili vojna služba.

Advokat Rodoljub Šabić ističe da bi upotreba takvog softvera bilo legalno i dopušteno samo uz striktno poštovanje Ustava i zakona.

– Bez sudske odluke to bi predstavljalo grubo kršenje ustavnih garancija, ali i krivično delo povreda tajnosti pisma i drugih sredstava komunikacije, kao i krivično delo neovlašćeno prisluškivanje i snimanje za koja su, ako ih izvrši službeno lice, predviđene kazne od 3 odnosno do 5 godina zatvora, ističe Šabić.

Upitan šta mobilni operateri mogu da učine kako bi zaštitili svoje podatke od neovlašćenog pristupa, Šabić ističe da postoje softverske aplikacije koje mogu da registruju pristup bazama podataka operatera ali, kako naglašava, ne veruje da ih oni koriste.

– Pre više godina ja sam kao poverenik za zaštitu podataka o ličnosti sproveo veliku akciju nadzora svih operatera mobilne telefonije, a u vezi sa nešto malo benignijim problemom – pristupom bezbednosnih struktura njihovim bazama tzv.“zadržanih podataka (ko, kad, odakle, s kim, koliko dugo i sl). Tada smo registrovali enorman broj pristupa tim bazama, preko 240.000 u jednoj godini, kod jednog operatera. Operatori su „gledali na stranu“, i od svih njih samo je jedan aktivirao softversku aplikaciju koja je registrovala i bar brojala pristupe, navodi Šabić.

Prema njegovim navodima, nakon te poverenikove akcije promenjeni su Zakon o BIA, zakoni o VBA i VOA, kao i Zakon o elektronskim komunikacijama da bi se definitivno otklonila dilema da je takav pristup dozvoljen samo na osnovu odluke suda.

– Pomenute izvršene izmene zakona, izuzetno krupne i važne na pravnom polju, na faktičkom polju nisu dale ni izbliza takve rezultate. I danas naravno postoje softverske mogućnosti operatera da evidentiraju pristupe svojim bazama podataka ali je najblaže rečeno, veliko je pitanje koliko su raspoloženi da ih koriste, ističe Šabić.

Bezbednosno-informativna agencija nije u toku jučerašnjeg dana odgovorila na pitanja Danasa vezanih za navode i istraživanja Citizen Laba.

Ko sve koristi softver

Istraživanjem institut Citizen Lab došao je do spiska od 25 zemalja koje sarađuju sa kompanijom Circles. Pored Srbije to su i Australija, Belgija, Bozvana, Čile, Danska, Ekvador, El Salvador, Estonija, Ekvatorijalna Gvineja, Gvatemala, Honduras, Indonezija, Izrael, Kenija, Malezija, Meksiko, Maroko, Nigerija, Peru, Tajland, Ujedinjeni Arapski Emirati, Vijetnam, Zambija i Zimbabve.