Konec lanskega decembra je družba Kaspersky Lab objavila podrobnosti o zelo naprednem napadu na Applove telefone. Poimenovali so jo Operacija Triangulation.

Napad je uporabljal celo verigo ranljivosti, najbolj zanimivo pa je, da so napadalci zlorabljali tudi nedokumentirano funkcijo na strojni opremi iNaprav. Konkretno, ranljivost se je nahajala na Apple A12–A16 Bionic System on Chip (SoC), ki ga sicer proizvaja tajvanski TSMC, ranljivost pa se nahaja v MMIO razhroščevalnih registrih procesorja, ki ga je za Apple razvil ameriški Coresight.

Napad, ki je izredno sofisticiran, je najverjetneje delo državnega akterja. Zanimiva je celotna veriga ranljivosti, ki se je začela s prejemom zlonamerne PDF priloge na iMessage, sledilo je izkoriščanje nedokumentirane kode v pisavi ADJUST TrueType in tako dalje, dokler napadalci niso pridobili popolnega nadzora nad napravo. Vse seveda tim. 0-click, torej brez potrebe po uporabnikovi interakciji.

Kot rečeno je posebej zanimiv napad na nedokumentirano funkcijo na Applovi strojni opremi (SoC), saj je ta napad napadalcem omogočil, da so zaobšli Applove napredne zaščite delovnega pomnilnika telefona. Na kratko, Applova napredna tim. strojna zaščita delovnega pomnilnika (angl. hardware-based memory protection) ščiti napravo tudi v primeru, če napadalec uspešno vdre v telefon. Onemogoča mu namreč, da bi napravo oziroma jedro operacijskega sistema na njej trajno okužil (tim. persistence). Če ta zaščita deluje, napadalec sicer lahko vdre v telefon, vendar nima popolnega dostopa do vseh delov sistema. Pogosto pa taka okužba tudi ne preživi ponovnega zagona telefona, zato nekateri varnostni strokovnjaki uporabnikom svetujejo da telefone vsakodnevno ponovno zaženejo.

No, napadalci iz Operacije Trianglation pa so to zaščito uspeli zaobiti in sicer s pomočjo že omenjene zlorabe nedokumentirane funkcije na Applovi strojni opremi (SoC). Nekateri se zato že sprašujejo ali gre res zgolj za napako ali pa morda kaj drugega. Mimogrede, enaka vrsta zaščite je prisotna tudi v Applovih paradnih procesorjih M1 in M2.

Več zanimivih tehničnih podrobnosti o napadu je objavljenih na blogu Kasperskega.

Za konec pa še zabavna zanimivost. NSO Group Technologies, izraelsko kibernetsko-obveščevalno podjetje, ki je znano predvsem po svoji vohunski programski opremi za mobilne telefone Pegasus, ima v Izraelu trenutno svoje poslovne prostore v isti stolpnici kot Apple. Naj pa dodamo, da Kaspersky zaenkrat ni uspel ugotoviti (ali pa ne želi razkriti) kateri državni akter se sicer skriva za tem sofisticiranim napadom.

Junija 2023 je novinarka in soustanoviteljica ruskega medija Meduza, Galina Timchenko, na svoj iPhone prejela opozorilo, je njen telefon morda tarča državno sponzoriranega hekerskega napada.

Obvestilo o možnem državno sponzoriranem napadu na telefon.

Meduza je ruski spletni medij, ki kritično poroča o Putinovemu režimu, še posebej pa so kritični do ruske invazije na Ukrajino. Novinarja Meduze Ivana Golunova je ruska policija aretirala že leta 2019, in sicer zaradi izmišljenih obtožb o posedovanju drog.

Kako vemo, da so bile obtožbe izmišljene? Ker je bil Golunov iz zapora izpuščen, vpleteni policisti pa nato zaradi nezakonite aretacije zaprti.

Leta 2021 je ruska vlada Meduzo označila za “tujega agenta, marca 2022 pa so v Rusiji blokirali njihovo spletno stran. Januarja 2023 pa Putinov režim Meduzo uradno prepovedal in jo označil za “nezaželeno organizacijo”.

In potem se je 22. junij 2023 zgodil na začetku omenjeni dogodek, ko je ruska soustanoviteljica tega medija, ki sicer živi v exilu v Latviji, na telefon prejela obvestilo o možni okužbi z vohunsko programsko opremo.

Seveda se je nemudoma obrnila na organizacijo Access Now, ta pa na kanadski Citizen Lab, ki je izvedel forenzično analizo njenega telefona. In odkril, da je bil telefon okrog 10. februarja 2023 (v tem času je bila Timchenkova v Berlinu) okužen z vohunsko programsko opremo Pegasus.

Nič posebnega, in povsem pričakovano, boste rekli. Vlade, še posebej tiste nedemokratične, pač želijo nadzorovati svoje kritike. A vseeno je tukaj zanimiva majhna podrobnost. Pegasus je namreč vohunska programska oprema za mobilne telefone, ki jo je razvilo in jo trži izraelsko podjetje NSO.

Orodje Pegasus namreč celo izraelska vlada sama opredeljuje kot orožje in za njegov izvoz mora proizvajalec (torej podjetje NSO) pridobiti tim. izvozno dovoljenje.

Pri čemer ni nepomemben podatek, da so izraelska podjetja, ki prodajajo vojaško in vohunsko tehnologijo, tesno povezana z državo. New York Times je recimo 23. marca 2022 zapisal, da “izraelska vlada že dolgo vidi Pegasus kot ključno orodje svoje zunanje politike”, podjetje NSO pa da obravnava de facto kot del države.

Incident s Pegasusom na kritičarki Putinovega režima je zanimiv zlasti zato, ker kaže, da se je do Pegasusa (končno) dokopala tudi Rusija. Ki je trenutno pod mednarodnimi sankcijami. Predvsem pa je to v luči geopolitičnih odnosov med ZDA in Izraelom… rahlo nenavadno.

Po drugi strani pa je zanimiv tudi podatek, da je ameriško ministrstvo za trgovino NSO Group novembra 2021 vključilo na seznam podjetij, ki delujejo proti ameriški nacionalni varnosti in zunanjepolitičnim interesom, kar v praksi pomeni prepoved poslovanja ameriških podjetij z NSO Group.

V sredini letošnjega leta pa so ZDA na svojo črno listo umestili tudi več podjetij, ki prodajajo vohunsko programsko opremo Predator. Predator je, podobno kot Pegasus, vohunsko orodje namenjeno prikritemu nadzoru mobilnih telefonov.

Predator je prodajalo več podjetij, med drugim tudi “makedonski” in “madžarski” Cytrox.

Zakaj v narekovajih? Ker so v ozadju obeh podjetij pravzaprav Izraelci, ki so Predator prodajali tudi v Grčijo. Kjer je grška tajna služba EYP s pomočjo tega orodja ilegalno prisluškovala več novinarjem, pa tudi politikom in drugim vplivnim osebnostim v Grčiji. In zaradi česar je potem Evropski parlament sprožil preiskavo o zlorabi orodij za vohunjenje za mobilnimi telefoni.

In zakaj so ta podjetja umestili na tim. črno listo? Uradno zaradi “ogrožanja zasebnosti in varnosti posameznikov in organizacij po vsem svetu”, neuradno pa verjetno tudi zato, ker je bil s Predatorjem leta 2021 okužen tudi mobilni telefon Artemis Seaford, ki je bila na Meta (Facebook) zaposlena kot “trust and safety manager”. In je čisto slučajno tudi ameriško-grška državljanka. No, saj - “ogrožanje zasebnosti in varnosti posameznikov in organizacij po svetu”.

Kakorkoli. Citizen Lab sicer ni mogel z gotovostjo ugotoviti kdo stoji za hekerskim napadom na rusko novinarko Timchenkovo. A objavljena analiza prinaša prvi resnejši indic, da izraelsko vohunsko tehnologijo uporablja tudi Rusija.

Kljub sankcijam. In kljub temu, da je nadzor nad izvozom tim. “obrambnih tehnologij” iz Izraela izjemno temeljit.

Leta 2021 je Jeffrey Burrill, ameriški katoliški duhovnik in generalni sekretar ameriške škofovske konference, odstopil iz svoje funkcije v cerkvi. Razlog? Katoliški medij The Pillar je objavil informacijo, da je duhovnik prekršil zapoved celibata, saj naj bi na telefonu uporabljal gejevske aplikacije in obiskoval gejevske bare in kopališča. A kako je medij pravzaprav sploh dobil podatke s katerimi je duhovnika kompromitiral? No, tukaj se zgodba šele dobro začne.

Izkazalo se je namreč, da so bili duhovnikovi podatki pridobljeni iz komercialno dostopnih baz. Medij The Pillar je iz komercialno dostopnih baz pridobil njegove podatke o uporabi aplikacij za zmenke med geji, pa tudi lokacijske podatke njegovega mobilnega telefona in brskalne navade, s čimer so odkrili, da je obiskoval gejevske bare in gejevska kopališča.

Iskanje grešnikov s pomočjo tehnologije. Vir: Poročilo »Europe’s hidden security crisis«, 2023.

Podatki so bili pridobljeni iz sistema RTB (Real-Time Bidding). Gre za, preprosto povedano, sistem oglaševanja na spletu, ki omogoča avtomatizirano nakupovanje in prodajo oglasnega prostora v realnem času. Pri čemer pa ta sistem omogoča predvsem natančno ciljanje oglaševalskih akcij. Oglaševalci namreč lahko oglase usmerijo na zelo natančno definirane skupine ljudi, glede na želeno demografijo, lokacijo, njihove vedenjske podatke, itd. Svoje RTB sisteme oglaševalcem ponujajo številna velika tehnološka podjetja, kot so Google, Facebook, Amazon, Microsoft, itd., kot oglaševalec pa jih lahko zakupi kdorkoli. A o tem nekoliko več kasneje.

Izkazalo se je, da ta dogodek sploh ni bil osamljen primer. V ozadju tovrstnega vohunjenja za katoliškimi duhovniki je bila namreč konzervativna katoliška organizacija Catholic Laity and Clergy for Renewal, ki je investirala kar 4 milijone dolarjev v preverjanje, ali se katoliški duhovniki držijo zapovedi celibata. In tiste, ki so jih dobili grešiti, so preko medijev javno pribili na križ. Za identifikacijo Jeffreya Burrilla so potrebovali za 52 tednov RTB podatkov, nakar je bila njegova usoda zapečatena.

Zbiranje oglaševalnih podatkov na spletu

RTB sistem posameznike kategorizira na podlagi različnih podatkov, v grobem pa gre za obsežno zbirko demografskih podatkov (ki vključujejo spol, starost, izobrazbo, poklic, pa tudi informacije o družinskem stanju, itd.), podatkov o vedenju uporabnikov na spletu (iskalna zgodovina, kliki,…), posameznikove nakupne navade, lokacijske podatke (telefone vedno nosimo s seboj), podatke o uporabnikovih napravah (znamka pametnega telefona, tablice ali računalnika, operacijski sistem in spletni brskalnik,…) in še marsikaj drugega.

Na podlagi zbranih podatkov se nato v ozadju izvede obsežna segmentacija uporabnikov. Uporabnike sistem razvrsti v različne kategorije, kot na primer “Zaposleni v letalski industriji”, “Družinski član zaposlenega v vojski”, “Javni uslužbenec - izvoljeni funkcionar”, pa seveda tudi “Televizijski novinar” ali “Duhovnik”. Vsako od teh kategorij pa je nato mogoče razdeliti še na podkategorije, pač glede na njihove interese, vedenjske vzorce, demografske podatke, itd.

Bi želeli prikazati oglas zaposlenim v občinski upravi na območju Slovenije, ki so ženskega spola, stare med 20 in 30 let ter obiskujejo spletne strani z zdravo prehrano? Ni problema. Z nekaj kliki, bo vaš ciljani oglas dosegel točno to skupino uporabnic. Kaj pa če bi želeli vaš oglas prikazati duhovnikom iz Francije, ki obiskujejo gejevske spletne strani in so mlajši od 40 let? Kot smo videli, tudi to ni kakšen večji problem.

Seveda ni dvoma, da so RTB podatki zelo koristni za oglaševalce. Po drugi strani pa je jasno, da vsebujejo zelo občutljive informacije o posameznikih, vključno z lokacijskimi podatki, kaj na spletu berejo, gledajo ali poslušajo, kakšni so njihovi seksualni interesi, iz zbranih podatkov pa se da sklepati tudi na njihove osebne težave.

Kaj pa anonimnost?

Ob tem se seveda takoj zastavi vprašanje, koliko so ti podatki pravzaprav anonimni. Oglaševalci seveda trdijo da še kar, saj da so podatki anonimizirani in je zato z njimi praktično nemogoče identificirati konkretne posameznike.

Resnica pa je precej bolj preprosta. Raziskovalci iz University of Washington so namreč že leta 2017 pokazali, da je za samo 1000 ameriških dolarjev s pomočjo oglaševalskih podatkov mogoče spremljati fizično gibanje konkretnega posameznika ter uporabo občutljivih mobilnih aplikacij (na primer tistih, ki kažejo na religijo ali spolno usmerjenost posameznika). Raziskovalci Paul Vines, Franziska Roesner in Tadayoshi Kohno so si namreč v članku Exploring ADINT: Using Ad Targeting for Surveillance on a Budget — or — How Alice Can Buy Ads to Track Bob zastavili raziskovalno vprašanje: “Ali lahko tretja stran s pomočjo kupovanja spletnih oglasov pridobi zasebne informacije o konkretnih posameznikih?”. In prišli do nedvoumnega odgovora: da, to je vsekakor mogoče. In niti ne preveč zapleteno.

Število posredovanj RTB podatkov po evropskih državah. Vir: Poročilo »Europe’s hidden security crisis«, 2023.

Pri tem pa ni nepomemben podatek, da je RTB tehnologija aktivna na praktično vseh spletnih straneh in mobilnih aplikacijah, kjer zbira dobesedno ogromne količine osebnih podatkov o uporabnikih. Trenutno je največji Googlov RTB sistem, ki je aktiven na 15,6 milijona spletnih straneh in na milijone mobilnih aplikacijah, podatke o tem kaj uporabniki počnejo na spletnih straneh in kako uporabljajo mobilne aplikacije pa prenaša 42 milijardokrat(!) na dan. In to vsak dan. Pri čemer je Google “odgovoren” za samo 21% RTB prenosov v EU. Konkretno ti podatki pomenijo, da bodo RTB omrežja o povprečnemu nemškemu uporabniku zbrala podatke enkrat na minuto, spletne aktivnosti in lokacije povprečnega uporabnika v Franciji pa bodo v RTB omrežja posredovana 340-krat na dan. Podatki za Slovenijo kažejo, da je teh posredovanj za povprečnega slovenskega uporabnika 233 na dan.

AdInt

Zgodba pa se tukaj ne konča, ampak pravzaprav šele dobro začne.

Septembra letos je izraelski medij Haaretz objavil članek, v katerem so razkrili, da so izraelska podjetja, ki razvijajo in tržijo tehnologije za kibernetsko vohunjenje, razvila tehnologijo, ki s pomočjo zlorabe globalnega oglaševalskega sistema omogoča vohunjenje za praktično komerkoli na svetu. Izraelska podjetja naj bi razvila tehnologijo vohunjenja s pomočjo oglasov, tim. AdInt (angl. advertising-based intelligence), ki naj bi omogočala ne samo spremljanje posameznikov, pač pa tudi vdore v njihove telefone in računalnike. Po trditvah Haaretza naj proti temu ne bi obstajala nikakršna obramba, tehnologijo pa naj bi v času objave članka vsaj eno izmed identificiranih podjetij (z imenom Insanet) že prodalo v eno izmed nedemokratičnih držav. Denar pač ne pozna meja.

Haaretz o tem v mesecu septembru ni objavil kaj dosti tehničnih podrobnosti, njihov članek pa je šel mimo javnosti razmeroma neopazno. Varnostni strokovnjaki s(m)o že takrat sklepali, da Izraelci oglaševalska omrežja uporabljajo tako kot sistem za identifikacijo tarč, ter kot dostavni sistem za dostavo zlonamerne programske opreme na telefone. Ko na telefon uspejo preko ozko ciljanega oglaševanja namestiti vohunsko opremo tipa Pegasus ali Predator, pa o tarči lahko izvejo praktično vse. Od tega kje točno se oseba giblje, s kom in kaj se pogovarja, kakšna elektronska sporočila piše, kakšna gesla ima, ter seveda pridobi kopije fotografij in dokumentov iz njenega telefona. Ali pa računalnika.

Patternz

Potem pa je septembra letos Irish Council for Civil Liberties objavil poročilo Europe’s hidden security crisis v katerem je razkril še dodatne razsežnosti tovrstnega nadzora.

V poročilu so razkrili kako zasebna podjetja, ki prodajajo storitve kibernetskega nadzora in vohunjenja uporabljajo (oziroma pravilneje: zlorabljajo) RTB podatke. Dostop do RTB podatkov ima namreč praktično kdorkoli. RTB podatki se brez ovir iznašajo v države kot so Kitajska in Rusija. Seveda ne neposredno vladnim agencijam, jih pa dobivajo zasebna podjetja iz teh držav, kaj potem ta podjetja počnejo s kupljenimi podatki pa si lahko le mislimo. Kot navaja Irish Council for Civil Liberties, ruska podjetja od Googla kupujejo med drugim tudi profile ruskih uporabnikov interneta, ki obiskujejo spletne strani ruske opozicije v tujini.

Dostop do podatkov imajo tudi zasebna podjetja, ki se ukvarjajo z nadzorom in obveščevalno dejavnostjo. Poročilo tako navaja primere dveh takšnih podjetij, ki sta se registrirali kot tim. oglaševalec (oziroma oglaševalska platforma na strani povpraševanja - Demand Side Platform ali DSP), kar jima omogoča neposredno pridobivanje oglaševalskih podatkov s strani ponudnikov. Podjetje Rayzone tako trži “množično zbiranje podatkov o vseh uporabnikih interneta v državi”, podjetje Near Intelligence pa se hvali s profilnimi podatki o 152 milijonih Evropejcev, vključno z identificirano lokacijo njihovega doma, delovnega mesta in krajev, ki jih pogosto obiskujejo.

Poseben biser pa je zasebno podjetje ISA, Israeli Security Academy & technologies. Podjetje je razvilo orodje Patternz, ki uporablja RTB podatke za profiliranje 5 milijard posameznikov, pri čemer se usmerjajo tudi na otroke svojih tarč. Orodje omogoča pregled nad trenutno in preteklimi lokacijami targetiranega posameznika, podatke o tem s kom se je oseba pogosto srečala, samodejno pa zna identificirati tudi njegove otroke, partnerja, sodelavce in kje se oseba običajno giblje.

In pa seveda - Patternz se je v svojem promocijskem gradivu hvalil, da omogoča tudi ciljane napade na posameznike, in sicer s pomočjo pošiljanja “usmerjenih sporočil, oglasov ali zlonamerne programske opreme neposredno skozi oglasno omrežje”. Poslovno pa je Patternz tesno povezan z izraelskim oglaševalskim podjetjem NUVIAD, ki je registrirano tudi kot DSP in je v letu 2020 pridobivalo RTB podatke od podjetij Google, MobPub (Twitter), AOL/Yahoo, Smaato, OpenX, Amobee, Pulsepoint, Rubicon, Inneractive/Fyber (Digital Turbine), Opera Mediaworks, itd…

Uporabniški vmesnik orodja Patternz. Vir: Poročilo »Europe’s hidden security crisis«, 2023.

A prepletenost oglaševalskega in vohunskega sektorja se tukaj ne konča. Podjetje NUVIAD je povezano tudi z drugimi podjetji, ki se ukvarjajo s kibernetskim vohunjenjem. Leta 2017 se je tako direktor NUVIAD-a pridružil upravnemu odboru izraelskega podjetja Ability, ki je specializirano za ponujanje storitev prestrezanja telefonskih komunikacij. Rešitev Patternz pa trži tudi singapursko podjetje Sovereign Systems. To podjetje je pozornost javnosti pritegnilo leta 2021, ko so mediji razkrili, da je prodalo prisluškovalno opremo Bangladešu, državi, ki nima diplomatskih vezi z Izraelom in ki svojim državljanom celo prepoveduje potovanje v Izrael in poslovanje z izraelskimi podjetji. In kje je podjetje Sovereign Systems dobilo opremo, ki so jo prodali Bangladešu? Seveda v Izraelu, kar je prostodušno priznal kar direktor Sovereign Systems James Moloney, ki je za medije izjavil, da je njegovo podjetje zgolj fasadno podjetje za izraelski PicSix. Izobraževanje bangladeških obveščevalcev so nato leta 2018 izvedli kar izraelski obveščevalni strokovnjaki, in sicer na Madžarskem, pri tem pa so svojim slušateljem demonstrirali prisluškovanje v živo. Seveda brez kakršnekoli pravne podlage in kar na naključno izbranih tarčah na Madžarskem. Ko sta v igri denar in »višji interesi«, človekove pravice pač niso pomembne.

Kompromat

Vprašanje, ki se zastavlja kar samo po sebi pa je, kdo so pravzaprav glavne tarče teh orodij? Kot kaže analiza Irish Council for Civil Liberties, so ena izmed pomembnih tarč evropski politični odločevalci in zaposleni na občutljivih delovnih mestih. To je namreč jasno razvidno iz RTB profilov, ki so na primer: “Osebe zaposlene v obveščevalni dejavnosti in na področju protiterorizma”, “Zaposleni v obrambnem sektorju”, “Osebe odgovorne za javna naročila v letalstvu in obrambi”, “Pripadniki vojske”, “Sodniki” in “Politiki” v Franciji in Nemčiji. Pa “Zaposleni na področju jedrske energije”. In “Odločevalci v političnih organizacijah”. Seveda, v vsaki evropski državi posebej. In tako dalje, in tako naprej. Vse do “Partnerji pripadnikov vojske in člani njihovih družin”.

Segmentacija uporabnikov v RTB sistemu. Vir: Poročilo »Europe’s hidden security crisis«, 2023.

Pri čemer profiliranje ni samo enodimenzionalno, pač pa se nad zbranimi podatki izvaja tudi tim. psihološko profiliranje. Analitična orodja skušajo identificirati osebe s finančnimi težavami, težavami ali ranljivostmi v duševnem zdravju, spolne preference teh oseb in celo ali so te osebe kdaj v preteklosti doživele spolno zlorabo.

Na tem mestu je čas, da odpremo slovar in v njem poiščemo besedo “kompromat”. Kompromat je okrajšava za “kompromitirajoč material”, torej škodljiva informacija o nekom, ki se lahko uporablja za ustvarjanje negativne publicitete ali za izsiljevanje. Beseda izvira iz ruskega jezika, v javno rabo je prišla v sovjetskih časih, njen točen izvor pa je iz žargona sovjetske tajne policije iz 1930-tih let. Wikipedija podaja precej izčrpno definicijo besede: “zaničevalne informacije, ki jih je mogoče zbirati, shranjevati, z njimi trgovati ali jih strateško uporabljati na vseh področjih: političnem, volilnem, pravnem, strokovnem, sodnem, medijskem in poslovnem”. Ter dodaja, da gre pri tem predvsem za zbiranje informacij na zalogo, za primer, ko bi bile lahko koristne kdaj kasneje.

Če je tudi vam sistem globalnega oglaševanja zadišal po sovjetskih časih, niste edini. In če ste se ob tem spomnili na Stalina, njegovo tajno policijo, čistke in gulage, tudi niste edini.

RTB podatki, ki jih kot kaže sistematično zbirajo določene zasebne organizacije, ki se ukvarjajo s kibernetskim nadzorom in vohunjenjem, lahko najbolj natančno opišemo ravno z besedo kompromat. Še posebej, ker gre za sistematično zbiranje podatkov o finančnem stanju, mentalnem ter fizičnem zdravju, in najbolj intimnih skrivnostih o evropskih voditeljih in zaposlenih v evropski kritični infrastrukturi. To evropske institucije in industrijo izpostavlja hekerskim vdorom, izsiljevanju in kompromitiranju, posledično pa to spodkopava skupno evropsko varnost.

Kaj pa lahko storite vi?

Če se ob tem še vedno tolažite, da ste itak preveč nepomembni, da bi bili lahko tarča takšnega nadzora, in da tako ali tako nimate nič za skrivat, pa se spomnite, da ni potrebno, da bi bili v kategoriji političnih odločevalcev ali zaposlenih v kritični infrastrukturi. Dovolj je, da je ena izmed “oseb interesa” vaš sodelavec, prijatelj ali sosed. Ali pa njegov sin obiskuje isti vrtec kot vaša hčerka. In sploh ni nujno, da je ta oseba visok politični funkcionar, sodnik ali direktor kakšnega strateškega podjetja. Lahko je zgolj zadolžen za javna naročila, ali pa ima zaradi svoje funkcije dostop do kakšne zanimive informacije.

Morda ste sedaj pomislili, da bi bilo vseeno pametno pobrisati zgodovino svojega spletnega brskalnika? Naj vam razkrijemo skrivnost. Za to je že zdavnaj prepozno. Oglaševalska omrežja so si bolj od vas zapomnila zgodovino vašega brskanja, katere aplikacije uporabljate in kje ste se fizično gibali v preteklosti. Na to, ali bodo vaši podatki našli pot do obveščevalnih podjetij ali tajnih služb, pa tudi ne morete vplivati. Duh je že ušel iz steklenice. Upate lahko samo da se vam ne bo zgodilo podobno kot tistemu nesrečnemu duhovniku iz začetka tega članka.

English version of this text is also available.

In 2021, Jeffrey Burrill, an American Catholic priest and general secretary of the American Bishops’ Conference, resigned from his position in the church. Reason? Catholic media outlet The Pillar published information that the priest violated the commandment of celibacy, as he allegedly used gay apps on his phone and visited gay bars and bathhouses. But how did the media actually get the information with which it compromised the priest? Well, this is where the story just begins.

The priest’s data has been obtained from commercially available databases. The Pillar obtained commercially available data on his use of gay dating apps, as well as his cell phone location data and browsing habits, revealing that he visited gay bars and gay baths.

Identifying sinners with technology. Source: »Europe’s hidden security crisis« report, 2023.

The data has been obtained from the RTB (Real-Time Bidding) system. This is, simply put, an online advertising system that enables the automated buying and selling of advertising space in real time. However, this system primarily enables precise targeting of advertising campaigns. Namely, advertisers can direct ads to very precisely defined groups of people, according to the desired demographics, location, their behavioural data, etc. Many big tech companies like Google, Facebook, Amazon, Microsoft, etc. offer their RTB systems to advertisers, and anyone can buy the access to these data as an advertiser. But more on that a little bit later.

It turned out that this incident was not an isolated case at all. Behind this kind of spying on Catholic priests has been the conservative Catholic organization Catholic Laity and Clergy for Renewal, which invested as much as 4 million dollars in checking whether Catholic priests adhere to the commandment of celibacy. And those who were found to have sinned, were publicly nailed to the cross through the media. It took 52 weeks of RTB data to identify Jeffrey Burrill, and his fate has been sealed.

Collection of online advertising data

The RTB system categorizes individuals on the basis of various data, but roughly speaking, it is an extensive collection of demographic data (which includes gender, age, education, occupation, as well as information about family status, etc.), data about user behavior online (search history, clicks,…), individual purchasing habits, location data (we always carry our phones with us!), data about the user’s devices (smartphone, tablet or computer brand, operating system and web browser,…) and much more.

Extensive user segmentation is then carried out in the background based on the collected data. The system classifies users into various categories, such as “Industry - Manufacturing - Aerospace and Defense”, “Family member of an employee in the military”, “Civil servant - elected official”, and of course also “Television journalist” or “Cleric”. Each of these categories can then be further divided into subcategories based on their interests, behavioural patterns, demographic data, etc.

Would you like to show an ad to all municipal administration employees in Slovenia who are female, between 20 and 30 years old and frequently visit websites about healthy food? No problem. With a few clicks, your targeted ad will reach exactly this group of users. What if you wanted to show your ad to priests from France who visit gay websites and are under the age of 40? As we have seen, this is not a problem either.

There is no doubt that RTB data is very useful for advertisers. But on the other hand, it is clear that they contain very sensitive information about individuals, including location data, what they read, watch or listen to online, what their sexual interests are, etc. And from the collected data it is also possible to infer their personal problems.

What about anonymity?

The next question is, of course, how anonymous this data actually are? Advertisers claim that they are, since the data is anonymized, so it is practically impossible to identify specific individuals with them.

But the truth is much simpler. Researchers from the University of Washington in 2017 has shown, that for just US$1,000 they can monitor the physical movements of a specific individual and the use of sensitive mobile applications (for example, those that indicate an individual’s religion or sexual orientation) with these advertising data. In the article Exploring ADINT: Using Ad Targeting for Surveillance on a Budget - or - How Alice Can Buy Ads to Track Bob, researchers Paul Vines, Franziska Roesner and Tadayoshi Kohno asked themselves a simple research question: “Can a third party obtain private information about specific individuals by buying online ads?”. And they came to unanimous answer: yes, it is definitely possible. And not too complicated either.

Number of RTB broadcasts by European country. Source: »Europe’s hidden security crisis« report, 2023.

But what is important to know is, that RTB technology is active on practically all websites and mobile applications, where it collects literally huge amounts of personal data about users. Google’s RTB system, which is currently the largest, is active on 15.6 million websites and millions of mobile applications. And it transfers data about what users do on websites and how they use mobile applications 42 billion times (!) a day. Every day. And Google is “responsible” for only 21% of RTB downloads in the EU. To be more precise, this means that the RTB networks will collect data about the average German user once per a minute, while the online activities and locations of the average user in France will be transmitted to the RTB networks 340 times a day. Data for Slovenia show that for the average Slovenian user there are 233 such broadcasts per day.

AdInt

Unfortunately, the story does not end here, but actually just begins.

In September of this year, the Israeli media outlet Haaretz published an article in which they revealed that Israeli companies that develop and market cyber-espionage technologies have developed technology that allows spying on virtually anyone in the world by abusing the global advertising system. Israeli companies are said to have developed ad-spying technology, so called AdInt (advertising-based intelligence), which can not only monitor activities of individuals, but can also hack into their phones and computers. According to Haaretz, there is no defense against this, and at the time of publication of the article, at least one of the identified companies (named Insanet) had already sold the technology to one of the non-democratic countries. Money knows no borders, of course.

Haaretz did not publish many technical details about this in September, and their article went relatively unnoticed by the public. However, security experts at that time suspected, that the Israelis were using advertising networks both as a system for identifying targets and as a delivery system for delivering malicious software to phones. And when they manage to install Pegasus or Predator spyware on the victim’s phone through very targeted advertising, they can learn practically everything about the target. Where exactly the person is moving, with who they talk and about what, what e-mails do they write, what passwords they have, and, of course, obtain copies of all photos and documents from their phone. Or a computer.

Patternz

An then, in September of this year, the Irish Council for Civil Liberties published the report titled Europe’s hidden security crisis, in which it revealed additional dimensions of this type of surveillance.

The report revealed how private companies that sell cyber surveillance and espionage services use (or rather: abuse) RTB data. Virtually anyone can get an access to RTB data. RTB data is exported without any limits to countries such as China and Russia. Of course, not directly to government agencies, but private companies from these countries can get them, and we can only imagine what these companies then do with the purchased data. According to the Irish Council for Civil Liberties, Russian companies are, among other things, buying from Google the profiles of Russian Internet users who visit Russian opposition websites abroad. Probably for marketing purposes only.

But the access to the data also have private companies that are directly involved in surveillance and intelligence. The report cites examples of two such companies registering as an advertiser (actually they are called Demand Side Platforms or DSP’s), which enables them to obtain advertising data directly from providers. The company Rayzone is offering »mass collection of all internet users in a country« while the company Near Intelligence claims to have profile data on 152 million Europeans, including the identified location of their home, workplace and places they visit frequent.

But one of the most interesting is a private company ISA, Israeli Security Academy & technologies. The company developed Patternz, a tool that uses RTB data to profile 5 billion individuals, also targeting children of their targets. The tool enables an overview of the current and past locations of the targeted individual, information about whom the person has often met, and can automatically identify his children, spouses, colleagues and where the person usually moves. And of course - Patternz also claimed in its promotional material that they can conduct targeted attacks on individuals by sending “targeted messages, ads or malware directly through an ad network”. Patternz is closely associated with the Israeli advertising company NUVIAD, which is also registered as a DSP and in 2020 it has been receiving RTB data from Google, MobPub (Twitter), AOL/Yahoo, Smaato, OpenX, Amobee, Pulsepoint, Rubicon, Inneractive /Fyber (Digital Turbine), Opera Mediaworks, etc…

Patternz user interface. Source: »Europe’s hidden security crisis« report, 2023.

But the intertwining of the advertising and espionage sectors does not end here. NUVIAD is also associated with other cyber espionage companies. In 2017, the director of NUVIAD joined the board of directors of the Israeli company Ability, which is specialized in offering services for the interception of telephone communications.

The Patternz solution is also sold by the Singaporean company called Sovereign Systems. This company gained public attention in 2021 when media revealed that it had sold wiretapping equipment to Bangladesh, a country that has no diplomatic ties with Israel and even bans its citizens from travelling to Israel and doing business with Israeli companies. And where did Sovereign Systems get the equipment they sold to Bangladesh? Of course, in Israel. This has been openly admitted by the director of Sovereign Systems, James Moloney, who stated to the media that his company is just a front company for the Israeli’s PicSix. In 2018, the training of Bangladeshi intelligence officers was carried out by Israeli intelligence experts in Hungary, where they demonstrated live eavesdropping. Of course, without any legal basis and on randomly selected targets in Hungary. When money and “higher interests” are at stake, human rights are not important.

Kompromat

The question that naturally arises now is, who are the main targets of these tools? As analysis by the Irish Council for Civil Liberties shows, that one of the important targets are European political decision-makers and employees in sensitive jobs. This is clearly evident from the RTB profiles, which are, for example: “Government - Intelligence And Couterterrorism”, “Government - National Security and International”, “Person being in procurement Aerospace and Defence sector”, “People who work in the military”, “People working in judiciary” and “Decision makers for the Government” in France and Germany. And “Employees in the field of nuclear energy”. And “Decision makers in political organizations”. Of course, in each European country separately. And so on, and so on. All the way to “Military spouses and family”.

User segmentation in the RTB system. Source: »Europe’s hidden security crisis« report, 2023.

And this profiling is not only one-dimensional, but is also includes psychological profiling. Analytics tools are used to identify people with financial problems, people with mental health problems or vulnerabilities, their sexual preferences, and even whether they have ever experienced sexual abuse in the past.

At this point, it is time to open the dictionary and look for the word “kompromat”. Kompromat is short for “compromising material”, that is, harmful information about someone that can be used to create negative publicity or for blackmail. The word originates from the Russian language, came into public use in Soviet times, and its exact origin is from the jargon of the Soviet secret police from the 1930’s. Wikipedia gives a rather comprehensive definition of the word: “disparaging information that can be collected, stored, traded, or used strategically across all domains: political, electoral, legal, professional, judicial, media, and business”. And it adds that Kompromat does not necessarily target individuals or groups, but rather collects information that could be useful at a later time.

If the global advertising system smells like Soviet times to you, you are not the only one. And if you now remembered Stalin, his secret police, purges and gulags, you are also not the only one.

RTB data, which seems to be systematically collected by certain private organizations engaged in cyber surveillance and espionage, can most accurately be described with the word kompromat. Especially since it involves the systematic collection of data on financial status, mental and physical health, and the most intimate secrets of European leaders and employees of European critical infrastructure. This exposes European institutions and industry to hacking, extortion and compromise, which in fact undermines European security.

And you?

If you still believe that you are too insignificant to be the target of such surveillance, and that you have nothing to hide anyway, remember that you do not need to be in the category of political decision-makers or employees of critical infrastructure. It is enough that one of the “persons of interest” is your colleague, friend or neighbour. Or his son attends the same kindergarten as your daughter. And it is not necessary that this person is a high-ranking political official, a judge or a director of a strategic company. She may only be in charge of public procurement, or he may have access to some interesting information due to his function.

Perhaps you have now thought that it would be a good idea to delete your browser history. Let us tell you a secret. It has long been too late for that. Ad networks have remembered more of your browsing history than you or your browser. They remember which apps you use, and where you have physically been in the past. You also have no control over whether your data will be sent to intelligence companies or secret services. The genie is already out of the bottle. You can only hope that you will not suffer the same fate as that unfortunate priest from the beginning of this article.

Article has been published in Sobotna priloga. Full text in Slovenian language is also available.

Opomba: članek je bil objavljen v 44. številki revije Pravna praksa. V luči sodbe evropskega sodišča se mi je zdelo prav prikazati tudi nekoliko drugačen pogled, za katerega verjamem, da ne dobi toliko pozornosti javnosti.

Podatki o prometu na internetu niso namenjeni samo pregonu terorizma in hujših kaznivih dejanj, ampak so nekakšen spomin omrežja. Z njihovo pomočjo se zagotavlja stabilno delovanje omrežja in so nujni za odkrivanje različnih napak in motenj v njem, tako tistih »naključnih« kot tudi namerno povzročenih.

Začel bom s prispodobo vložišča v podjetju, skozi katerega vsak dan potujejo pisemske pošiljke. Tam v veliko evidenčno knjigo vpišejo vsako pismo in paket: pošiljatelja, naslovnika in vrsto pošiljke. Za tiste, ki so namenjene zaposlenim v podjetju, opravijo notranjo dostavo, kar pa potuje ven, predajo zunanji poštni službi. V obeh primerih po opravljeni dostavi vsak kurir v evidenčni knjigi označi uspešno dostavo in se posveti naslednji pošiljki na seznamu prispelih.

Tako so bili včasih videti podatki o prometu. Zapisani v velikih knjigah, ki so romale v arhivske prostore v kleteh različnih ustanov. Tam so ždele pozabljene, le sem in tja so lahko te knjige razkrile, da je nekdo nekoč prejel neko pismo ali nekomu nekaj sporočil. Zgodovinarjem to omogoči dodati kakšen pomemben drobec v mozaik dogajanja ob velikih dogodkih pretekle dobe, pri preiskovanju kriminala pa recimo pokaže, da je nekdo dejansko bil v stiku z nekom drugim in to morda kaj pomeni glede krivde nekoga. Podobno načelo skrbnega beleženja prenešenih sporočil uporabljajo tudi naprave v elektronskih omrežjih, torej tudi v internetu. Ne zaradi pregona kriminala, ampak predvsem zaradi naknadnega odkrivanja dogodkov ob napakah.

Elektronska sporočila so običajno sestavljena iz glave (včasih imenovane tudi ovojnica) in vsebine. Ovojnica ali glava vsebuje podatke o pošiljatelju, naslovniku, ter še nekaj pridruženih lastnosti (recimo kako naj sporočilo potuje). Ko sporočilo potuje do cilja, na vmesnih postajah na podlagi glave sporočila nastanejo prometni podatki, recimo: »Sporočilo vrste V, velikosti K je ob času T prišlo iz smeri A in bilo napoteno v smer B.« V primeru telefonskega klica si te prometne podatke dokaj jasno predstavljamo: vsebujejo podatke o klicoči telefonski številki, klicani številki, datumu in času klica, ter njegovo trajanje. Vendar se na internetu stvari zapletejo.

Elektronska komunikacija med računalniki je sestavljena iz kar sedmih različnih plasti (v praksi se uporabljajo štiri),[1] na vseh teh pa se ustvarjajo prometni podatki, in to na podlagi glave sporočila. Na nižjih plasteh iz prometnih podatkov ugotovimo, kateri napravi je bil dodeljen nek naslov IP, višje izvemo izvorni in ciljni naslov IP komunikacije, vrsto internetnega protokola, izvorna in ciljna vrata (angl. port), povsem na vrhu pa podatke, ki so vezani na aplikacijo, recimo elektronske naslove v primeru elektronske pošte, ali parametre spletne poizvedbe.

Kje se beležijo podatki o prometu

Tako rekoč povsod. Vsak usmerjevalnik prometa zabeleži, na kateri vmesnik je prejel komunikacijski paket in prek katerega ga je predal naprej (oziroma če ga ni, zakaj tega ni storil). Vsak upravitelj spletnega strežnika hrani dnevniške datoteke obiskov. V njih je datum in čas, naslov IP obiskovalca, zahtevana spletna stran in status poizvedbe (uspešna, neuspešna, preusmerjena, in tako naprej). Podobno je s poštnimi strežniki, ter s strežniki DNS, ki delujejo v ozadju in se jih večina uporabnikov niti ne zaveda, čeprav brez njih internet ne deluje, kot smo vajeni.

Vsako podjetje ali druga ustanova običajno namesti požarno pregrado, s katero zaščiti svoje lokalno omrežje. Na njej se zbirajo prometni podatki za vso komunikacijo, ki prek požarne pregrade potuje. Zabeležijo se izvorni in ciljni naslovi, lastnosti komunikacije in včasih še kaj več.

Tudi doma lahko vaš brezžični usmerjevalnik beleži prometne podatke, pa tega niti ne veste.

Operaterji beležijo prometne podatke na napravah svojega omrežja. Prek njih spremljajo prometne tokove in na njihovi osnovi upravljajo z omrežjem. Načrtujejo nadgradnje in odgovarjajo z zaščitnimi ukrepi v primeru napadov. To počnejo zato, ker so prometni podatki nujni za zagotavljanje zanesljivega delovanja omrežja. Brez njih je odkrivanje napak nemogoče, saj bi se ob problemu znašli v zmedi kot voznik avtobusa, ki je izgubil ves spomin in mu ni jasno, kje se nahaja, kako je sem prišel in kam bi moral peljati vse te ljudi.

Ena od dokaj tipičnih pritožb, ki jo operaterji redno prejemajo, je recimo: »Poslal sem pomembno elektronsko pošto poslovnim partnerjem, a je ti niso prejeli. Pravijo, da vso pošto od drugod prejemajo brez problema, torej ste vi krivi.« V takem primeru ponudnik pogleda v svoje »zbirke prometnih podatkov« (pravni termin) oziroma »log fajle«, dnevniške datoteke svojih strežnikov (strokovni termin). Tam vidi zapisano, kdaj je sporočilo prejel in kdaj ga je predal tujemu poštnemu strežniku. Kot pri tistem vložišču na začetku.

Zakonodaja

Zakon o elektronskih komunikacijah (ZEKom-1)[2] v 45. odstavku 3. člena opredeljuje podatke o prometu kot:

»katere koli podatke, obdelane za namen prenosa komunikacije po elektronskem komunikacijskem omrežju ali zaradi njegovega zaračunavanja.«

Te nato v 151. členu razdeli na tiste, ki se »nanašajo na naročnike in uporabnike« in jih mora operater izbrisati ali anonimizirati, razen kadar gre za nekatere izjeme, med katerimi je tudi obvezna hramba podatkov (162. do 168. člen). Operaterji pa niso smeli hraniti vseh prometnih podatkov, ampak le nekaj kategorij, ki se (na hitro povzeto) nanašajo na možnost povezave naslova IP z naročnikom, podatke o elektronski pošti in o internetni telefoniji.

Ker teh operaterji ne smejo več hraniti, lahko sklenemo naslednje: po uspešno opravljeni komunikaciji ali najpozneje po poravnavi računa za storitev morajo operaterji tiste prometne podatke, ki se nanašajo na naročnike, izbrisati ali anonimizirati.

Hranijo lahko le tako anonimizirane, ali pa na drugi strani prometne podatke, ki se ne nanašajo na naročnike (recimo medstrežniška komunikacija). V praksi torej po roku kakšnega meseca dni običajno ni več mogoče identificirati naročnika.

Če to primerjamo z vložiščem, ki sem ga omenil na začetku, vidimo drugačen pristop. Namesto verne in natančne hrambe, moramo podatke izbrisati in opredeliti (ne predolg) rok njihove hrambe. Razlog je seveda v strahu pred zlorabami, ko bi lahko nekdo prišel do zbirke prometnih podatkov. Vendar ti, tako kot recimo kamere DARS-a, v praksi bolj kažejo na probleme in zastoje v prometu.

Zmeda zakonske regulacije

V primeru, ki smo ga obravnavali na odzivnem centru SI-CERT, je slovensko podjetje napadel heker s porazdeljenim napadom onemogočanja (angl. distributed denial-of-service – DDoS). Ciljal je njihovo spletno storitev, ki je osnova za poslovanje podjetja in jim s tem povzročil konkretno škodo. Kontaktiral je zaposlenega na podjetju in pojasnil, da bo z napadi prenehal, če mu plačajo 600 ameriških dolarjev odkupnine.

Seveda gre za kaznivo dejanje, vendar pa so podatki v preiskavi incidenta pokazali, da se napadalec zelo verjetno nahaja v Libanonu. V takem primeru je verjetnost uspeha kazenskega pregona blizu ničle, zato se je bolj smiselno pri odzivanju na incident posvetiti odpravi motnje in tehnikam preprečevanja uspešnih napadov v prihodnje. Operater ali ponudnik gostovanja v primeru takih napadov opravi pregled prometnih podatkov, da ugotovi, katere tehnike je napadalec uporabil, ali nadzira omrežje zlorabljenih računalnikov (botnet) in tako naprej. Nato lahko postavi obrambne pregrade in zaščiti svoje stranke.

V drugem primeru smo ob demontaži enega od botnetov storilcev iz tujine dobili obvestilo s seznamom nekaj tisoč naslovov IP, ki se nanašajo na uporabnike v Sloveniji pri različnih ponudnikih in so okuženi z računalniškim virusom, ki lahko povzroči resno škodo. Ne da bi se lastniki zavedali, se je računalnik prepustil storilčevemu nadzoru in sodeloval v omrežnih napadih. Podatki so segali od šest mesecev do dveh let nazaj in primerno bi bilo doseči čim več okuženih uporabnikov in jim posredovati navodila za odpravo zlonamerne kode na njihovih računalnikih. To lahko storijo le operaterji, če še hranijo pripadajoče podatke. Tudi v tej luči je treba ocenjevati sorazmernost in učinkovitost ukrepov kakršnekoli hrambe prometnih podatkov.

Dejstvo je, da večine varnostnih incidentov na omrežju ne preganja policija, ampak jih obravnavamo odzivni centri, ki smo kot nekakšni gasilci požarov na omrežju. Zato takih tem ni primerno presojati samo skozi prizmo Kazenskega zakonika (KZ-1) ali Zakona o kazenskem postopku (ZKP).

Delovanje operaterjev in ponudnikov storitev na internetu ima nekatere tehnične okvire, ki jih z zakonsko regulacijo lahko nekoliko spremenimo ali uredimo, ne moremo pa tu delati nekakšnih revolucij — če zakonodaja ne upošteva dovolj realnosti, bo pač neučinkovita in prej ovira kot karkoli drugega. Povedano drugače: če želite denimo zakonsko urediti hrambo zapisov o pretoku elektronske pošte, potem je dobro, da veste, kako sistem posredovanja elektronske pošte med strežniki in uporabniki deluje.

Tudi zato je že sama ureditev obvezne hrambe prometnih podatkov leta nazaj med operaterji sprožila negodovanje. Torej lahko zdaj pričakujemo, da bo zaradi odločbe Ustavnega sodišča sledilo olajšanje? Sam se bolj bojim tega, da smo korak bliže demonizaciji prometnih podatkov kar povprek, tudi takrat, kadar nam dejansko pomagajo pri vsakodnevnem delovanju v okolju, ki je prežeto z elektronskimi komunikacijami. Če gremo predaleč (in se zraven na področje ureditve še ne spoznamo), lahko namreč tudi poskusi zaščite zasebnosti posameznika škodijo njemu samemu, ko se znajde v vlogi žrtve prevare in pričakuje, da se bo storilca poiskalo in kaznovalo. Nenazadnje, kot je dejal Paul Vixie v pričanju pred Senatnim odborom za pravosodje ZDA:

»Naša demokratična zaveza vladavini prava ima zelo malo vpliva na internet v primerjavi s tem, kako ta vladavina prava deluje v resničnem svetu.«[3]

Umor v hotelu

Tožilec: »Gospodična, sta se osumljenec in žrtev v predverju hotela tisti večer srečala in skupaj odšla v sobo?«

Receptorka: »Hm. Se ne spomnim, morda zaradi tega, ker je bil osumljenec naš gost in je poravnal hotelski račun, zato sem morala po zakonu to pozabiti. Če bi mi prehodno povedali, da ga sumite, bi si zapomnila.«

Tožilec (frustrirano): »Pa saj nismo vnaprej vedeli, da jo namerava ubiti!«

[1] ISO/OSI referenčni model, <sl.wikipedia.org/wiki/ISO/OSI_referenčni_model> (26. 10. 2014).
[2] Ur. l. RS, št. 109/12 in nasl.
[3] Paul Vixie: Hearing on Taking Down Botnets: Public and Private Efforts to Disrupt and Dismantle Cybercriminal Networks, <cert.si/vix-botnets> (26. 10. 2014).

Ali je prav, da policija podtakne na vaš računalnik prisluškovalni program? Zakaj? Zato ker ne more posneti vaših pogovorov po Skypu, kot jih lahko na mobilnih ali stacionarnih telefonih, vi pa ste osumljeni resnega kaznivega dejanja in so potrebni dokazi o vašem početju. Vsaj tako si predstavljam, da gre argumentacija v prid predlaganim spremembam Zakona o kazenskem postopku (ZKP-M). Tole recimo piše v sami obrazložitvi:

Naslednja posledica razvoja informacijske in komunikacijske tehnologije je možnost, da uporabniki že pri viru kriptirajo komuniciranje preko spletnega omrežja (na primer Skype in elektronska pošta). S tem praktično onemogočijo izvedbo prikritega preiskovalnega ukrepa iz 1. točke prvega odstavka 150. člena ZKP (nadzor elektronskih komunikacij s prisluškovanjem in snemanjem), saj se ta ukrep izvaja tako, da operater prestreže komunikacijo v svojem omrežju in nato vsebino komunikacije posreduje nadzornemu centru policije, kjer se izvaja nadzor prestreženih komunikacij. Zato je treba na ustrezen omogočiti prestrezanje komunikacije že pri viru – torej preden se kriptira in samo v primeru, ko so izpolnjeni zakonski pogoji za odreditev ukrepa iz 1. točke prvega odstavka 150. člena ZKP (ožji nabor hujših in zapletenejših kaznivih dejanj s hujši predpisano kaznijo, obstoj utemeljenih razlogov za sum, nemožnost pridobitve dokazov z drugimi – manj invazivnimi – ukrepi, odredba preiskovalnega sodnika).

Res je. Tehnološki napredek je omogočil šifriranje, ki je dostopno vsem, razbiti pa ga je praktično nemogoče (razen velikanom, kot je ameriška NSA, pa še to ne vedno in ob dragem dolgoletnem trudu). Edina možnost, ki ostane policiji, je torej prestrezanje na enem ali drugem koncu komunikacije – preden se besedilo ali govor zašifrira, ali potem, ko se že odšifrira. Ker se to dogaja na napravah osumljencev, predlog sprememb predvideva namestitev prestreznih programov prav tam. Tu pa se stvari zapletejo.

Stranski učinki

S podtikanjem programa na tuj računalnik nanj vnesemo spremembe. Te so lahko manjše ali večje in bolj ko želimo, da bo podtaknjen program deloval pritajeno in ne bo odkrit, globje posege v operacijski sistem moramo praviloma narediti. V nemškem primeru iz leta 2011, ko je Chaos Computer Club odkril “Bundestrojaner”, so ugotovili tudi, da je ta omogočal namestitev dodatnih modulov in da “je trojanec slabo zaščiten in da ga lahko prevzame (in s tem nadzor nad računalnikom, kjer je nameščen) tudi nepooblaščena oseba. V dokaz so sami razvili ustrezni nadzorni program.”

Tudi industrija je že pomislila na pritajene programe. Sony je pred leti na 22 milionov CD plošč namestil rootkit, ki je okužil računalnik in tako poskusil preprečiti njihovo kopiranje. Podtaknjence je nekdo odkril in Sony je doživel odmeven škandal in nekaj tožb.

Naloga protivirusnih programov je, da takšne “artefakte” zaznavajo. Če bi vlade po svetu želele od teh podjetih, da vzdržujejo seznam državno odobrenih trojancev, se stvari zapletejo. Za katere države? Kitajsko? Savdsko Arabijo? ZDA? Če pristanejo na ene države, ne pa na druge, potem izgubijo sloves nepristranskosti in verjetno tudi tamkajšnji trg. Kaj, če trojanca najdejo v kriminalnem podzemlju in ga (ker vedo, da ga protivirusniki ignorirajo) ugrabijo zase in začnejo z njim krasti e-bančne podatke? Bomo morali tudi na odzivnih centrih razmišljati pri preiskovanju škodljive kode s kakšnega prenosnika o tem, da gre morda za policijsko kodo? Nas bo kdo o tem obveščal, ter kakšne bodo takrat naše zakonsko določene obveznosti? Predvidene ta trenutek niso nobene.

Če se počutimo čisto malo futuristično, pa moramo misliti tudi na prepletanje elektronskega in biološkega. Google Glass je samo začetek in čez nekaj let lahko pričakujemo kontaktne leče, kasneje pa bo mogoče naša čutila nadgraditi z elektronskimi komponentami — malimi računalniki (nekaj tega se dogaja že sedaj). Bodo danes sprejete zakonske spremembe pravno utemeljile podtikanje trojancev čez leta tudi v naše telo? Kakšni bodo lahko stranski učinki v tem prepletenem okolju?

Stroški izdelave

Ni nujno, da je izdelava ali nakup takšne opreme drag. Enostavne “tarče” bi verjetno organi pregona lahko ustrezno naciljali že z majhnimi in sorazmerno nezahtevnimi trojanci. Ne verjamem, da bodo vsi osumljenci blazno pripravljeni na takšne vdore v njihove sisteme (se recimo spomnite vdora Anonimnih v sistem HB Gary?). Ni treba vedno kupiti 0-day ranljivosti, socialni inženiring dela čuda (glej “spear phishing”). Na njem tudi večinoma temeljijo ciljani napadi s škodljivo kodo. Tisti zelo resni pa bodo morda res nedosegljivi, ali pa bo treba za vdor v njihov sistem povezan velik strošek priprave.

Če bi policija želela na trgu kupiti tako programje, pa imamo nov problem. Trg ponudbe IT storitev in programske opreme vsebuje polno zanič podjetij, ki želijo zaslužiti na hitro. Ponudili bodo nekaj za visoko ceno in kako bo naročnik vedel, da je res dobil kvalitetno opremo?

Kaj sedaj?

Če želimo, da se policija bori proti kriminalu, potem ji moramo dati na voljo primerna orodja in pooblastila. To je treba uravnotežiti s primerno zaščito zasebnosti državljanov in nadzorom. Zelo jasno, kajne? Vsak bo to podpisal. Kako pa v praksi najti tisto pravo razmerje? Glede državnega trojanca lahko ta trenutek sam rečem le to, da je tema vsaj kontroverzna in da odpira kopico zapletenih vprašanj, na katera ta trenutek še ni videti jasnih odgovorov.

• Predlog Zakona o spremembah in dopolnitvah Zakona o kazenskem postopku (Predlog ZKP-M)
• Mnenje Informacijskega pooblaščenca
• Lenart J. Kučić: Hekanje zakonov, Sobotna priloga Dela, 22. 12. 2013
• Žiga Turk: Za pravice digitalnega človeka in proti noveli ZKP, blog ČAS-OPIS, 23. 12. 2013