Šnipinėjimo era prasidėjo – net ir slapčiausi jūsų duomenys gali tapti viešais (0)
Auganti pramonė padeda vyriausybėms kovoti ne tik su programišiais ir teroristais, bet ir politiniais oponentais. Vyriausybinės agentūros ir despotiški režimai graibstyte grabsto programinę įrangą, skirtą įsilaužti į civilių telefonus ir kompiuterius, rašo „MIT technology review“.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
„Tai atrodė labai įtartinai“, – pasakojo moteris, 2014 m. atsiuntusi anoniminį laišką keletui žurnalistų. Ji pažadėjo informacijos apie vyriausybinį skandalą, tačiau visai netrukus pradingo, nes jos kompiuteryje ėmė vykti keisti dalykai.
„Labai aiškiai prisimenu, kaip negalėjau duoti interviu, nes niekaip nepavyko prisijungti prie „Skype“ programos. Prasidėjo ir kitokie trikdžiai, taigi ilgainiui pradėjau naudotis kito žmogaus telefonu“, – sakė ji.
Iš saugos ekspertų moteris netrukus sužinojo, kad ji ir jos bendradarbiai buvo sekami ir šnipinėjami nuotoline valdymo sistema, sukurta mažos italų kompanijos „Hacking team“. Vėliau ji patyrė, kad jos kompiuteris ir telefonas buvo užblokuoti vyriausybei įtariant, kad moteris gali paviešinti slaptą informaciją. Dėl baimės, kad prieš ją bus imtasi priemonių, ji išliko anonime.
Ši moteris – tik viena iš tūkstančių žmonių, kuriuos, naudodamosi modernia programine sekimo įranga, tikrino žvalgybos ir teisėsaugos agentūros. Yra priežasčių manyti, kad savo saugumu turėtų susirūpinti ne tik nusikaltėliai ir autoritarinių režimų sekami žmonės, nes šios įrangos naudojimo mastai auga: ja susižavi vis daugiau vyriausybių ir netgi policijos komisariatų.
Po neseniai vykusių išpuolių Paryžiuje, Centrinės žvalgybos valdybos (CŽV) direktorius Džonas Brennanas ir Niujorko policijos komisaras Billas Brattonas tvirtino, kad iš dalies naujos technologijos pakeičia nusistovėjusius paieškos ir šnipinėjimo metodus. Tikima, kad nuotolinės valdymo sistemos pardavimų skaičius gali išaugti, nes ją palaikančių balsų pasigirdo ir tarp Europos lyderių.
Toks palaikymas padės ir kompanijos „Hacking team“ konkurentams: ekspertai, stebintys šią bendrovę patvirtino, kad ji – tik viena iš daugelio pardavinėjančių lengvai naudojamą programinę sekimo įrangą, kuria jau gali pasigirti ne tik slaptosios tarnybos, bet ir kai kurie vietiniai policijos komisariatai.
Informacija, surinkta apie „Hacking Team“ rodo, kad nors nauja šnipinėjimo paslauga vis dar verta diskusijų dėl naudojamų technologijų, jų etikos, kelia daug teisinių dvejonių, prieiga prie jos yra gana paprasta.
Ekspertai tvirtina, kad sistemai tapus plačiai prieinamai teisėsaugos institucijoms, ja gali būti pradėta piktnaudžiauti: „Kai tokia įranga pasieks ne tik Federalinio tyrimų biuro (FTB) pareigūnus, bet ir vietines teisėsaugos institucijas, mes turėsime diskutuoti, kaip šios ir kitos panašaus pobūdžio priemonės turėtų būti naudojamos“, – savo abejonėmis dalijosi Amerikos pilietinių teisių sąjungos technologas Christopheris Soghoianas.
Kompanija auga ir plečiasi
„Hacking team“ buvo įkurta 2003 m. kaip tradicinė kibernetinės saugos kompanija. Jos vadovas – Davidas Vincenzettis kilo iš 1990-ųjų kodavimo ekspertų ir entuziastų kartos, su kuria siejamas ir „Wikileaks“ pagrindinis herojus Jullianas Assange‘as.
Įvairios korporacijos, tarp kurių buvo „Deutsche Bank“ ir „Barclays“, samdydavo šią kompaniją saugumo spragoms aptikti. Praėjus keleriems metams, kompanijos vadovas nusprendė jos veiklą pasukti visai kita linkme – nuo gynybinės strategijos pereiti į puolamąją.
„Hacking Team“ pradėjo pardavinėti programinę įrangą, kuri gali patekti į žmonių kompiuteris ir pavogti jų duomenis vartotojams net nepastebint. Tai ir tapo vadinamuoju šnipinėjimo paketu. Ši priemonė gali užkrėsti ir mobiliuosius telefonus, ir kompiuterius. Ji gali nukopijuoti visus kietojo disko failus, klausytis „Skype“ pokalbių, matyti šios programos žinutes, atrasti prieigą prie elektroninio pašto, aptikti kitų vartotojo paskyrų slaptažodžius. Esant reikalui, gali įjungti kompiuterio mikrofoną ir kamerą.
Programa veikia naudodamasi operacinės sistemos ir kitos programinės įrangos saugumo spragomis, kurias aptinka kompanija „Hacking team“ ar jos partneriai. Šnipinėjimo įranga į kompiuterį gali patekti per virusinį elektroninį laišką, patekus į virusinę svetainę arba gavus fizinę prieigą prie prietaiso.
Klientai moka „Hacking team“ už programinę įrangą ir serverius, kurie esą ne tik užtikrina tinkamą programinės įrangos palaikymą, bet ir informacijos saugumą. Taip pat kompanija savo vartotojams teikia visapusę konsultacinę pagalbą.
Italijos valdžia buvo viena pirmųjų stebėjimo sistemos vartotojų, o pirmuoju jos taikiniu tapo mafijos lyderiai, tačiau tai buvo tik pradžia. „Hacking team“ savo įtaką greitai išplėtė už vietinės rinkos ribų, o vėliau potencialius klientus ėmė vilioti video reklamomis, kuriose žadėjo suteikti prieigą net ir prie labiausiai apsaugotų duomenų.
„Hacking team“ produktu naudojosi slaptosios tarnybos Saudo Arabijoje, Meksikoje, Egipte, Sudane, Rusijoje ir Kazachstane. FTB ir kitos Jungtinių Amerikos Valstijų (JAV) agentūros taip pat nusipirko licencijas. Atsirado ir vietinės policijos nuovadų, kurios taip pat prašė „Hacking team“ ekspertų pademonstruoti, kokios jų išmaniųjų priemonių galimybės. Jos užsigeidė netgi kai kurie JAV šerifai, tvirtinę, kad įranga svarbi siekiant „išgyventi“.
Kai kurie „Hacking team“ klientai naudojo sekimo įrangą visai kitokiais nei saugumo tikslais. 2012 metais Toronto universiteto Piliečių laboratorija, tirianti, kokią įtaką kibernetinis saugumas turi piliečių teisėms, atrado, kad kompanijos įrangą Jungtinių Arabų Emyratų vyriausybė naudojo sekti politiniam disidentui, o Etiopijos vyriausybė įsilaužė į JAV dirbančių žurnalistų kompiuterius.
Daugelis detalių apie kompaniją „Hacking team“ ir jos klientus buvo paviešintos liepą, kai buvo įsilaužta į pačios kompanijos duomenų bazes. „Hacking Team“ duomenys parodė, kad 2015 m. gegužę buvo sekami 6 tūkst. 550 individualių ryšio priemonių – kompiuterių ir telefonų.
Šis skaičius, sprendžiant iš kompanijos dokumentų, liudija apie septynerių veiklos metų statistiką. Kompanija turi apie 70 klientų, tarp kurių yra ir vyriausybės, kompanijai sumokėjusios maždaug 40 mln. eurų.
„Mano nuomone, klientai pasirenka mus, nes jie suvokia mūsų veiklos naudą, mato paslaugos pranašumą“, – sakė kompanijos atstovas Ericas Rabe‘as. Kompanijos vadovas atsakyti į kilusius klausimus nesutiko.
Šioje srityje vis konkurencija vis auga: kuriasi ne tik mažos programišių kompanijos, bet ir didelius vyriausybinius užsakymus priimančios. Pavyzdžiui, biurus Vokietijoje ir Jungtinėje karalystėje turinti kompanija „Gamma international“ siūlo panašią įrangą, pavadintą „FinFisher“. Ją yra nusipirkusios trys Europos valstybės: Austrija, Belgija bei Italija.
Įrangą naudojanti Bahreino vyriausybė „FinFisher“ seka politinius aktyvistus, o Ugandos vyriausybė renka informaciją apie politinius konkurentus ir vėliau juos šantažuoja. 2014 m. „Gamma international“ taip pat nukentėjo nuo programišių, įsilaužusių į vidines kompanijos duomenų bazes, tačiau nepanašu, kad internete paviešinti duomenys padarė neigiamos įtakos.
„CitizenLab“ ataskaitoje teigiama, kad ataka netgi pritraukė naujų klientų. Pasaulyje, remiantis žmogaus teisių gynėjų skaičiavimais, yra apie 16 žinomų kompanijų, pardavinėjančių panašius į produktus, tačiau tai – tikrai ne galutinė statistika: tokių verslo įmonių yra daug daugiau.
Nepatikrinama galia
JAV praktika naudotis tokiomis sekimo programomis yra ribojama ketvirtosios pataisos ir baudžiamojo kodekso, taigi prieš tikrinant asmens duomenis be jo sutikimo ir žinios, reikia gauti leidimą. Tačiau JAV Teisingumo departamentas po truputį keičia taisykles dėl „nuotolinių paieškų“ orderių – apribojimų vis mažėja.
Tai susilaukė ne Amerikos pilietinių laisvių sąjungos, bet ir kompanijos „Google“ kritikos. Kai policija gauna prieigą prie naujų šnipinėjimo technologijų, dažnai jos pradedamos naudoti net ir tada, kai to nereikia, nepaisant nustatytų taisyklių. Tarkime, niekam ne paslaptis, kad piktnaudžiaujama mobiliesiems telefonams skirtu pasiklausyti įrenginiu „Stingray“. Pavyzdžiui, San Bernardino šerifas, neturėdamas leidimo, šią įrangą per keletą metų panaudojo daugiau nei 300 kartų.
Nepaisant įsisenėjusios problemos, FTB naują įrangos naudojimo tvarką įvedė visai neseniai: dabar, norint pasiklausyti telefoninių pokalbių, reikia turėti arešto orderį. Teigiama, kad šis reikalavimas turėtų pasiekti ir policiją. „Stingray“ atvejis liudija, kad ilgainiui ir technologija, skirta įsilaužti į asmenines ryšio priemones, bus pradėta piktnaudžiauti.
Amerikos pilietinių teisių sąjungos technologas Ch. Soghoian tvirtino, kad valstybių lyderiai ir visuomenė privalo kartu diskutuoti apie stebėjimo, šnipinėjimo technologijas ir jų panaudos galimybes.
„Manau, kad daugelis amerikiečių būtų šokiruoti sužinoję, kad vyriausybės užsakymu jų gyvenimą galima stebėti per kompiuterio kamerą, ar nuotoliniu būdu įjungiant kompiuterio ar telefono mikrofonus“, – sakė technologas.
Nepanašu, kad valstybės būtų pasirengusios tai aptarti su piliečiais. Po Islamo valstybės atakų, norai ir poreikis naudoti tokias technologijas tik auga, o nevyriausybinių organizacijų pastangos apriboti šnipinėjimo programinės įrangos pardavimus žlugo. 2013 m. JAV ir kitos 40 šalių pasirašė ginklų kontrolės paktą – Waasenaaro susitarimą, kuriuo siekiama, kad šnipinėjimo įranga nepatektų į tam tikrų valstybių vyriausybių rankas, tačiau siūlomas griežtesnes programinės įrangos platinimo taisykles nutraukė mokslininkai, tvirtinę, kad pasiūlymai yra pernelyg neapibrėžti ir griežti.
Jų įgyvendinimas esą nutrauktų itin svarbius tyrimus, reikalingus interneto saugai užtikrinti. Artimas vyriausybių, saugumo ir nusikaltimus tiriančių tarnybų bei šnipinėjimo sistemas siūlančių kompanijų ryšys rodo, kad įvesti papildomus reguliavimus bus sunku. Vidiniai elektroniniai „Hacking team“ laiškai rodo, kad ši kompanija buvo susitikusi su saugumo pareigūnais po to, kai Italijos vyriausybė sustabdė šnipinėjimo įrangos naudojimą dėl galimų piliečių teisių pažeidimų. Draudimas netrukus buvo atšauktas.
Panašu, kad priėjome kryžkelę, rašo „MIT technology review“: žmonės yra šnipinėjami ir to net nežino, o duomenys ne visada panaudojami kilniais tikslais. Ši problema ryškėja ir tose valstybėse, kurios gali pasigirti išpuoselėtomis ir gerai prižiūrimomis žmogaus teisėmis. Visuomenė gali tik tikėtis, kad „Hacking team“ ir panašios kompanijos gerai apsvarstys ir atsirinks šalis bei organizacijas, kurioms parduoda savo produktus.