Snowden: Industrija nesigurnosti

Najveća prijetnja nacionalnoj sigurnosti postale su firme koje tvrde da je štite

1.

Prva stvar koju uradim kad dobijem novi telefon je da ga rastavim na dijelove. Ne radim to iz nekog inovatorskog poriva ili iz nekih političkih principa nego jednostavno zato što korištenje telefona nije bezbjedno. Popravljanje hardwarea, hirurškim uklanjanjem dva ili tri sitna mikrofona skrivena unutra, samo je prvi korak ovog mukotrpnog procesa, a opet, i nakon nekoliko dana ovih poboljšanja koje uradim sam, moj pametni telefon je i dalje najopasniji predmet koji posjedujem.

Prije Projekta Pegaz pokrenutog ove sedmice, koji podrazumijeva zajednička globalna nastojanja vodećih novinskih kuća da svojim izvještavanjem razotkriju fatalne posljedice koje izazivaju aktivnosti NSO grupe – novo lice privatnog sektora u okviru industrije nesigurnosti koja je izmakla kontroli – većina proizvođača pametnih telefona je zajedno s većinom predstavnika svjetskih medijskih kuća kolektivno kolutala očima u svaki put kad bih ja javno okarakterizirao tek otpakovani iPhone kao prijetnju koja je potencijalno smrtonosna.

Uprkos dugogodišnjem izvještavanju koje je ukazivalo na podatke da NSO grupa ima veze s hakiranjem telefona – što je bilo motivirano profitom – u slučajevima koji su doveli do smrti i pritvaranja novinara i zagovornika ljudskih prava; uprkos dugogodišnjem izvještavanju da su operativni sistemi pametnih telefona prepuni katastrofalnih sigurnosnih propusta (ovu situaciju dodatno pogoršavaju njihovi kodovi napisani na starim programskim jezicima koji se već dugo vremena smatraju nesigurnim); i uprkos dugogodišnjem izvještavanju da čak i u situaciji kad sve funkcionira kako treba, mobilni ekosistem i dalje predstavlja distopijski pakao u kojem se prati krajnji korisnik i njim se direktno manipulira, većini ljudi je još uvijek teško prihvatiti da nešto što kod njih stvara dobar osjećaj ne mora zapravo nužno biti dobro. U posljednjih osam godina često sam se osjećao kao neko ko pokušava uvjeriti jednog svog prijatelja koji odbija odrasti da treba prestati pušiti i da mora smanjiti količinu alkohola koju konzumira – dok u međuvremenu, u reklamama koje objavljuju časopisi on još uvijek može pročitati “Devet od deset doktora puši iPhone!” i “Nezaštićeno surfanje preko mobilnih telefona osvježava!”

Budući da sam beskrajni optimista, Projekat Pegaz ipak smatram prekretnicom – dobro istraženom, detaljno potkrijepljenom i stvarno ludom pričom o „krilatom trojanskom konju“, infekciji nazvanoj Pegaz, koja telefon u vašem džepu pretvara u nevjerovatno moćan uređaj za praćenje koji se može daljinski uključiti ili isključiti bez vašeg znanja, iako se radi o telefonu čiji ste vlasnik i vi ga nosite u džepu.

Evo kako to opisuje Washington Post:

SMS poruka koja je prošlog mjeseca stigla na iPhone 11 Claude Mangine, Francuskinje i supruge političkog aktiviste koji se nalazi u zatvoru u Maroku, nije proizvela nikakv zvuk. Nije proizvela nikakvu sliku. Nije ponudila nikakvo upozorenje dok je iMessage, stigao od nekog njoj nepoznatog, isporučio zlonamjerni software direktno na njen telefon – i pri tome zaobišao Appleove sigurnosne sisteme.

Pregledom se nije moglo utvrditi koji podaci su prikupljeni. Ali potencijal je ogroman: Pegaz može prikupiti podatke koji se odnose na e-poštu, listu poziva, objave na društvenim mrežama, lozinke, spisak kontakata, fotografije, video zapise, zvučne zapise i istoriju pretraživanja na internetu, kako tvrde stručnjaci koji se bave istraživanjima u oblasti sigurnosti i reklamnim materijalima NSO-a. Špijunski softver može aktivirati kamere ili mikrofone za snimanje najnovijih fotografija i video snimaka. Može slušati pozive i glasovnu poštu. Može prikupiti sve podatke o lokacijama koje je posjetio korisnik, a također može ustanoviti na kojoj se lokaciji korisnik trenutno nalazi, uz podatke koji pokazuju da li osoba miruje ili, ako se kreće, koji je njen pravac kretanja.

Sve se ovo može desiti a da korisnik čak i ne dodirne telefon, odnosno da čak i ne zna da je primio misterioznu poruku od nepoznate osobe – u slučaju Mangine, poruku od korisnika gmaila pod nazivom “linakeller2203”.

Ukratko, telefon u vašoj ruci stvara stanje neprekidne nesigurnosti jer je otvoren za primanje virusa koje mogu poslati svi oni koji su spremni uložiti novac u ovu novu industriju nesigurnosti. Cjelokupno poslovanje ove industrije uključuje pripremanje novih vrsta virusa koji će zaobići najnovije digitalne vakcine – odnosno sigurnosna ažuriranja – a zatim ih prodati zemljama koje se nalaze smještene u crveno obojenom sjecištu Vennovog dijagrama između „očajnički žudi za instrumentima kojima će provoditi opresiju“ i„ definitivno nije dovoljno sofisticiran da bi takve instrumente sam proizvodio“.

Ova industrija, čija je isključiva svrha proizvodnja slabih tačaka na koje je lako ciljati, treba prestati s radom.

2.

Čak i da se sutra probudimo, i vidimo da su NSO grupa i sve njene podvrste privatnog sektora izbrisane erupcijom nekog vulkana koji posebno vodi računa o interesu društva, to opet ne bi promijenilo činjenicu da se nalazimo usred najveće krize u oblasti kompjuterske sigurnosti u istoriji kompjutera. Oni koji razvijaju softver svakog iole značajnijeg elektronskog uređaja – oni koji su pomogli u stvaranju Applea, Googlea, Microsofta i udruživanju škrtih proizvođača čipova koji žele prodavati a ne popravljati stvari, i dobronamjerni programeri Linuxa koji žele popravljati a ne prodavati stvari – svi vrlo rado pišu kodove na programskim jezicima za koje znamo da su nesigurni, jer, eto, to su uvijek radili, a modernizacija zahtijeva značajane napore, da ne govorimo o velikim troškovima. Najveći broj slabih tačaka koje industrija nesigurnosti kasnije otkriva i iskorištava, povezana je, iz tehničkih razloga, s načinom na koji kompjuter prati što treba uraditi, u tačno vrijeme kad je njegov kod napisan, na osnovu čega bi izbor sigurnijeg jezika pružio osnovnu zaštitu… a ipak radi se o putu kojim rijetko ko krene.

Ukoliko želite promjene, morate ih pokrenuti. Naprimjer, ako želite da Microsoft dobije srčani udar, pričajte o ideji zakonskog definiranja odgovornosti za loš kod u komercijalnom proizvodu. Ako želite Facebooku osigurati noćne more, pričajte o ideji uvođenja zakonske odgovornosti za svako curenje naših ličnih podatka za koje je moguće uvjeriti porotu da se radi o podacima čije je prikupljanje nepotrebno. Zamislite kojom bi brzinom Mark Zuckerberg počeo fanatično udarati po tipki delete.

Tamo gdje nema odgovornosti, niko ne odgovara za poduzete radnje… i to nas vodi do države.

3.

Hakiranje pod pokroviteljstvom države postalo je tako redovno natjecanje da bi u Tokiju trebalo uvesti tu olimpijsku disciplinu. Svaka zemlja takve napore drugih zemalja osuđuje kao zločin, dok odbija priznati krivcu za vlastito kršenje pravila. Kako onda možemo tvrditi da smo iznenađeni kada se Jamajka pojavi sa svojim bob timom? Ili kada se pojavi privatna kompanija pod nazivom „Jamajka“ i polaže isto pravo da se takmiči kao da je u pitanju država?

Ako hakiranje nije nezakonito kad ga mi provodimo, onda neće biti nezakonito ni kad to oni rade – a ovo „oni“ sve više postaje privatni sektor. To je osnovni princip kapitalizma: u pitanju je samo posao. Ako svi drugi to rade, zašto ne bih to radio i ja?

Ovo je jedno površno logično obrazloženje koje je proizvelo gotovo sve probleme u industriji prodaje oružja u istoriji kontrole naoružanja, a uzajamno uništenje koje podrazumijeva nuklearni sukob zagarantirano je i u digitalnom sukobu, usljed međusobne povezanosti i homogenosti mreže.

Sjetite se naše prethodne teme o Pegazu NSO grupe, koja posebno, ali ne i isključivo, cilja na iPhone. Iako je iPhone u samoj svojoj osnovi zatvoreniji i, povremeno, i bolje osmišljen, iz perspektive sigurnosne zaštite, nego Googleov operativni sistem Android, on također predstavlja monokulturu: ako pronađete način da zarazite jedan iPhone, možete (vjerovatno) zaraziti sve njih, što je problem koji je dodatno pogoršalo Appleovo odbijanje “crne kutije” koja bi korisnicima dozvolila da naprave značajnije modifikacije u načinu rada iOS uređaja. Kada kombinirate ovu monokulturu i “crnu kutiju” s gotovo univerzalnom popularnošću Applea među svjetskom elitom, razlozi zbog kojih se NSO grupa fiksirala na iPhone postaju očigledni.

Vlasti moraju shvatiti da to što dopuštaju a posebno što subvencioniraju postojanje NSO grupe i sličnih zlonamjernih firmi ne služi njihovim interesima, bez obzira na to na kom mjestu se klijent ili država-klijent nalazi na autoritarnoj osi: posljednji predsjednik Sjedinjenih Država cijelo je vrijeme dok nije igrao golf proveo objavljujući tweetove sa svoga iPhonea, a ja bih se opkladio da je više od pola najviše rangiranih zvaničnika i njihovih saradnika u svakoj drugoj državi čitalo te tweetove na svojim iPhoneima (možda na golf terenu).

Sviđalo se to nama ili ne, neprijatelji i saveznici žive u zajedničkom okruženju, a mi svakim danom sve više postajemo ovisni o uređajima koji rade na osnovu zajedničkog koda.

Ideja da su velike sile našeg doba – Amerika, Kina, Rusija, čak i Izrael – zainteresirane da, recimo, Azerbejdžan postigne strateški paritet u prikupljanju obavještajnih podataka, naravno, duboko je pogrešna. Ove vlade jednostavno ne shvataju da postoji prijetnja, jer jaz, u pogledu mogućnosti jednih i drugih, još uvijek postoji.

4.

U tehnologiji kao i u sektoru javnog zdravstva, da bismo zaštitili pojedinca, moramo zaštititi sve. Prvi korak u ovom smjeru – bar prvi digitalni korak – mora biti zabrana komercijalne trgovine softwareom koji se koristi za nedozvoljen pristup telefonskim uređajima. Ne dozvoljavamo da se trguje biološkim infekcijama pa se isto tako moramo ponašati i kad su u pitanju digitalne infekcije. Eliminiranje motivacije koju osigurava stvaranje profita smanjuje rizik širenja ovakve prakse dok istovremeno štiti napredak, ostavljajući prostor za istraživanja koja se vrše u interesu javnosti, a vlastima omogućuje da obavljaju ono što je njihov osnovni zadatak.

Iako uklanjanje ovakvih softvera za nedozvoljen pristup telefonima s komercijalnog tržišta ne znači da će oni postati nedostupni državama, na ovaj način bi se ipak osiguralo da bezobzirni dileri droge i seksualni prijestupnici-holivudski producenti, koji iz svojih jastuka na kauču mogu iskopati nekoliko miliona, neće moći zaraziti niti jedan iPhone na planeti, i na taj način dovesti u opasnost druge svjetlucave statusne simbole klase koja ispija latte.

Međutim, takav jedan moratorijum je tek trijaža: time samo kupujemo vrijeme. Nakon zabrane, sljedeći korak je uvođenje odgovornosti. Izuzetno je važno razumjeti da ni obim aktivnosti NSO grupe, kao ni posljedice koje te aktivnosti imaju globalno, po društvo u cjelini, ne bi bile moguće bez pristupa globalnom kapitalu nemoralnih firmi poput Novalpina Capital (Evropa) i Francisco Partners (SAD). Princip je jednostavan: ako se ove firme ne povuku, treba uhapsiti njihove vlasnike. Ekskluzivni proizvod ove industrije je namjerna šteta koju je moguće predvidjeti, a ove firme su saučesnici koji u tome svjesno sudjeluju. Nadalje, kad se otkrije da se neka firma bavi takvim aktivnostima po nalogu države, odgovornost ne bi trebala ostati na primjeni običnih građanskih i krivičnih zakona nego bi se trebala tražiti koordinirana međunarodna reakcija.

5.

Zamislite da ste u redakciji Washington Posta (prvo se morate osloboditi vlastite kičme). Zamislite da je ubijenkolumnista vašeg lista, a vi ste se šapatom dogovorili s nalogodavcima tog ubistva da sljedeći put trebaju popuniti malo više obrazaca. Iskreno, odgovor Washington Posta na skandal s NSO-om je bio toliko neugodno slabašan da je to još jedan skandal: koliko njihovih kolumnista treba platiti životom da bi oni povjerovali da provođenje sudskog postupka ne može biti zamjena za zabranu djelovanja?

Saudijska Arabija je koristeći se Pegazom, hakirala telefone bivše supruge Jamala Khashoggija i njegove zaručnice, a tako prikupljene informacije je iskoristila za pripremu njegovog monstruoznog ubistva i naknadnog zataškavanja.

Ali, Khashoggi je tek najistaknutija žrtva Pegaza zbog hladnokrvne i strašne prirode njegovog ubistva. “Proizvod” NSO grupe (čitaj: “usluga koja je kazneno djelo”) korišten je za špijuniranje bezbroj drugih novinara, sudija, pa čak i nastavnika. Za špijunirane kandidata opozicije i špijuniranje supružnika i djece osoba koje su meta, za špijuniranje njihovih doktora, advokata, pa čak i svećenika. To je ono što zaboravljaju oni koji smatraju da bi zabrana “bila previše ekstremna”: ova industrija prodaje šansu da u autopraonici ubijete novinara koji vam se ne sviđa.

Ako ne učinimo ništa da zaustavimo prodaju ove tehnologije, imat ćemo ne samo 50.000 meta nego 50 miliona meta, a do toga će doći daleko brže nego što očekujemo.

Ovo će biti budućnost: svijet u kojem su ljudi toliko preokupirani zabavljajući se na svojim telefonima da uopšte i ne primjećuju da ih kontrolira neko drugi.

Edward Snowden