Afera Pegaz pokazuje: nijedan sustav nije siguran!
"Pegasus" je jedan od najvećih špijunsko-nadzornih skandala našeg vremena. Digitalni nadzor pojedinaca je opasnost - ali to se ne može izbjeći. Vrijeme opće digitalne kontrole je već počelo
Deseci država i vlada koristili su softver za nadzor "Pegazsus" izraelske tvrtke za kibernetičku sigurnost NSO Group. Ono što aktivisti mreže poput netzpolitik.org, građanskog laboratorija Toronto ili Amnesty International tvrde od 2018., postalo je izvjesno u srpnju 2021. godine kada je međunarodni istraživački tim otkrio: vlade Meksika, Indije, Maroka i Mađarske koristile su Pegaz za pristup pametnim telefonima i pretvorili su mobilne telefone u uređaje za nadzor.
Preko 50.000 telefonskih brojeva zaraženih Pegazom dostavljeno je Amnesty Internationalu i investigativnoj nevladinoj grupi „Forbidden Stories". Mediji diljem svijeta objavljuju posljednjih tjedana sve više detalja u vezi s nadzorom pojedinaca od strane različitih režima.
Izraelska firma NSO negira sve optužbe. Pegaz se već može opisati kao jedan od najvećih nadzornih skandala našeg vremena. Krajnje je vrijeme da naučimo sedam važnih lekcija iz afere Pegaz:
Ne postoje sigurne komunikacijske platforme
Messenger "WhatsApp" je do prije samo nekoliko godina bio je jedna od najsigurnijih komunikacijskih platformi. No, čak ni "WhatsApp" nije bio siguran od Pegaza. U međuvremenu je kompanija koja pripada Facebooku podnijela tužbu protiv izraelsog proizvođača "Pegasusa".
Ali to nije sve. I sam osnivač komunikacijske aplikacije "Telegram", koja se smatra posebno sigurnom, Pawel Durow, navodno je nadziran s Pegazom. Skandal pokazuje da u svijetu digitalne komunikacije ne postoji apsolutna sigurnost!
IT stručnjaci potvrdili su da Pegaz nije svakodnevan proizvod, već genijalan program. Ipak, u svijetu cyber špijunaže vrijedi sljedeće: napadači moraju pronaći samo jednu slabu točku nekog sustava, dok sigurnosni stručnjaci moraju zatvoriti svaku slabu točku.
Čak su i komunikacijske usluge koje se oslanjaju na maksimalnu sigurnost negdje ranjive. A te se ranjivosti onda prodaju i kupuju putem interneta, osim ako tajne službe i vlade diljem svijeta nisu unaprijed osigurale „stražnja vrata" u programima e -pošte, telefona ili chata. Niti jedan komunikacijski sustav nije 100 posto siguran!
U digitalnom svijetu nema tajni
Pegaz pokazuje da su privatnost, ali i osobne i profesionalne tajne, još više ugrožene tehnologijama digitalnog nadzora nego u analognim vremenima.
No, s druge strane, ni proizvođači i korisnici tehnologija za digitalni nadzor više nisu u stanju štititi ni vlastite tajne: na kraju krajeva je i sadašnja afera nastala na osnovi masovnog curenja podataka - možda od strane nekog insidera, zviždača, od nekog konkurenta, ili od strane hakera. Tako su mediji i organizacije za zaštitu ljudskih prava došli do podataka o žrtvama Pegaza, o tome kako funkcionira firma NSO, kao i o tehničkim detaljima programa.
Zviždači, curenja informacija i hakiranje su postali dio naše svakodnevnice. I koriste se i za „špijuniranje špijuna".
Koga je nadzirao "Pegasus"?
Proizvođač "Pegasusa" NSO godinama tvrdi da svoj softver prodaje samo vladama kako bi im omočućio nadzor terorista i kriminalaca. Kupce se navodno provjerava i traže se jamstva. Međutim, sadašnji skandal pokazuje da je najmanje 180 novinara širom svijeta nadzirano uz pomoć Pegaza. Osim toga su među žrtvama aktivisti za zaštitu ljudskih prava i najviši političari poput francuskog predsjednika Emmanuela Macrona.
Prema medijskim izvještajima, kupci softvera Pegaz uglavnom su bile demokratski sumnjive vlade poput Azerbajdžana ili Saudijske Arabije. No važno - i do sada uglavnom zanemareno - pitanje ostaje: tko su bili korisnici velike većine od 50.000 telefonskih brojeva za koje se zna da su bili zaraženi Pegazom?
Je li većina novinara, aktivista i političara bila ciljano nadgledana, ili su bili samo "usputna lovina", dok je većina nadziranih brojeva zapravo pripadala teroristima i kriminalcima? Ovo - zasad otvoreno - pitanje bitno je za klasifikaciju afere nadzora.
Digitalni nadzor je opasnost - ali neizbježna
Afera jasno pokazuje da je digitalni nadzor mač s dvije oštrice: s jedne strane, sigurnosne službe ne mogu dopustiti kriminalcima i teroristima neometanu komunikaciju u digitalnom prostoru. Slične ovlasti prisluškivanja telefona ili otvaranja pisama postoje i u analognom svijetu.
S druge strane, masovni digitalni nadzor potkopava temeljna demokratska prava, a sustavno korištenje slabih točaka u softverskim proizvodima uvijek stvara nove rizike.
Softver za nadzor se koristi ne samo za legitimnu borbu protiv kriminalaca i terorista, već i za političku represiju. Pegaz još jednom pokazuje da je potrebno pronaći novu ravnotežu između sigurnosti i demokratskih sloboda u digitalnom svijetu.
Sve je počelo borbom protiv terorizma
"U početku je bila borba protiv terorizma", tako bi mogla započeti knjiga o povijesti masovnog digitalnog nadzora. Bez obzira radi li se o špijuniranju društvenih medija, dronovima, softveru za prepoznavanje lica, XKeyscoreu ili Pegazu - digitalni nadzor se uvijek legitimira borbom protiv terora. Sve je više programa i tehnologija navodno namijenjenih sprječavanju terorističkih napada.
No ono što na prvi pogled zvuči legitimno, nije to uvijek. Već sedamdesetih godina prošlog stoljeća neke nedemokratske države (u to vrijeme na primjer Sovjetski Savez) počele su nazivati pojedince koji su im pravili probleme, ili neke grupe, poput pripadnika oporbe, aktiviste i novinare - "teroristima".
Tko god je protiv nas, on je terorist - ovaj moto vrijedi i za brojne kupce koji su softver Pegaz kupili od NSO-a. A zatim su pratili nepoželjne ljude pod krinkom navodnog protuterorizma.
Afera Pegasus događa se usred Europe
Indija, Meksiko, Azerbajdžan, Maroko, Saudijska Arabija ili Bahrein korisnici su Pegaza. No ono što na prvi pogled izgleda kao skandal nadgledanja negdje daleko, u demokratski sumnjivim državama, u stvari pogađa i nas usred Europe!
S jedne strane, NSO je nudio svoj program i u Njemačkoj. Prema informacijama njemačkih medija, predstavnici izraelske tvrtke su 2017. nudili svoj program svim njemačkim tajnim službama i policiji, ali su odbijeni jer je softver bio nespojiv s njemačkim zakonima.
S druge strane, NSO je očito koristio svoje podružnice na Cipru i u Bugarskoj za izvoz svojih proizvoda. Prema istraživanju bugarskih medija, tvrtka "Circles Bulgaria", koja pripada grupi NSO, dobila je od Bugarske 2019. izvoznu dozvolu koja vrijedi do 2023. godine.
Nije jasno je li i Pegaz izvožen preko Bugarske. Ali jasno je da proizvodi NSO -a, dakle softveri za nadzor, kolaju EU-om!
Privatizacija sigurnosti i nadzora
Kad govorimo o digitalnom nadzoru i špijunaži, najprije imamo na umu uobičajene osumnjičene poput NSA-a, CIA-e, GRU-a ili kineskog MSS-a. No, najveći skupljači podataka odavno su privatne korporacije kao što su Google Alphabet, Facebook i Co. A Pegaz pokazuje: i u proizvodnji i prodaji softvera za nadzor je privatizacija sigurnosti u punom zamahu.
Ono što je započelo nakon Hladnog rata masovnim premještanjem obavještajnog i vojnog osoblja u privatne zaštitarske tvrtke, danas se ogleda u važnosti koju imaju komunikacijske i tvrtke za kibernetičku sigurnost. Zaštita i nadzor komercijalni su proizvodi, ali trgovina cyber oružjem i programima nadzora, jednako kao i rad privatnih zaštitarskih tvrtki, jedva da je regulirana.
Privatne tvrtke, kojima je osnovni cilj uvećanje profita, koje nikome nisu odgovorne i često su nedostupne mehanizmima demokratske kontrole, odavno su postale važni akteri globalne sigurnosti. Zato je krajnje vrijeme da se ovo tržište regulira - kako na nacionalnoj, tako i na međunarodnoj razini.
Novi komentar