Srpske službe hakuju telefone aktivista i novinara, tvrdi Amnesti internešnel - kako rade spajveri

Aktivistu Nikolu Ristića su poslednjih godinu dana više puta privodili pripadnici Bezbednosno-informativne agencije (BIA) i policija dok je učestvovao na antivladinim protestima u Srbiji.

Sa jednog od poslednjih informativnih razgovora, ovaj član neformalne grupe SviĆe poneo je tajno instaliran špijunski softver na telefonu, pokazala je analiza Bezbednosne laboratorije Amnesti internešnel (AI), međunarodne organizacije za ljudska prava.

Prilikom privođenja početkom novembra, pripadnici BIA su mu oduzeli i odneli telefon čim je izašao iz automobila ispred policijske stanice, priča Ristić za BBC na srpskom.

„Razgovor koji je usledio i navodno čekanje naloga Tužilaštva bili su farsa.

„Cela poenta tog događaja bila je da im moj telefon dođe u ruke", kaže.

Na njegovom telefonu bio je instaliran do sada nepoznati špijunski softverNoviSpy koji prikuplja podatke i može na daljinu da uključi kameru i mikrofon, pokazala je analiza.

„Tehnički dokazi sugerišu da su desetine, ako ne i stotine, uređaja bili meta špijunskog softvera NoviSpytokom poslednjih godina", navodi Amnesti u izveštaju o nezakonitom nadzoru aktivista, novinara i nevladinih organizacija u Srbiji.

Na nekima od njih instalacija malicioznog programa nije uspela, ali na određenom broju telefona jeste.

Digitalni nadzor je jedna od mnogih represivnih mera koje srpske vlasti koriste u kontekstu antivladinih protesta i šireg obračuna sa civilnim društvom, tvrdi Amnesti internešnel.

BIA i Ministarstvo unutrašnjih poslova nisu odgovorili na pitanja BBC novinara, ali su u saopštenjima naveli da rade isključivo u skladu sa zakonima Srbije.

„Nismo u stanju čak ni da komentarišemo besmislene navode iz teksta, kao što i inače ne komentarišemo slične sadržaje", saopštila je BIA.

„Navodi u izveštaju Amnesti internešnela apsolutno su netačni", piše u saopštenju MUP-a.

„U okviru Nacionalnog centra za kriminalističku forenziku MUP forenzički alat koristi se isključivo u skladu sa Zakonikom o krivičnom postupku", dodaju.

Đorđe Krivokapić iz Šer fondacije, organizacije koja prati slučajeve nezakonitog nadzora, ne veruje ovim saopštenjima.

„Iz studije jasno vidimo da se ljudima ubacuju špijunski softveri bez jasne strategije i sudske odluke.

„Svako ko je bio na nekoj aktivističkoj strani mogao je da bude žrtva ovakvog nadzora", kaže on za BBC na srpskom.

Upotreba špijunskih softvera za praćenje aktivista, političara ili novinara, postoji u mnogim zemljama sveta, pokazali su brojni izveštaji međunarodnih organizacija.

Oko 50.000 brojeva telefona iz različitih država bili su potencijalna meta špijunskog softvera Pegaz.

Pegaz je korišćen u Srbiji od 2021. godine do trenutka objavljivanja izveštaja, piše AI.

Kompanija NSO Group, koja stoji iza ovog alata, navodi da njene proizvode i usluge „koriste isključivo bezbednosne vladine službe i organi reda za borbu protiv kriminala i terorizma".

U odgovoru Amnesti internešnelu naveli su i da su posvećeni poštovanju principa Ujedinjenih nacija koji se odnose na vladavinu prava.

Kako špijunski softveri rade

Piše: Lazar Čovs, data novinar, BBC na srpskom

Suština svakog špijunskog softvera je da prikuplja podatke o vama bez vašeg znanja.

Najčešće su krišom instalirani na vaš uređaj i nekome ko nije ovlašćen šalju prikupljene informacije.

Bilo da je u pitanju nepoverljivi partner ili poslodavac, multimilionska kompanija koja želi da vam plasira preciznije reklame ili autoritarni režim, princip rada ovih programa je sličan.

Sva tri primera mogu biti problematična i opasna, ali je poslednji posebno zabrinjavajući u demokratskim državama.

Neki od ovih softvera mogu se instalirati putem fišing (phishing - pecanje na engleskom) linkova na koje ste prevareni da kliknete.

Druge može partner da instalira dok spavate, očitavši vaš otisak prsta ili lice, ukoliko ne zna šifru.

A treće vam, sudeći prema izveštaju Amnesti internešenela, mogu instalirati pripadnici službi bezbednosti koristeći različite metode.

Postoje i opasniji, gotovo uvek skuplji i kopmplikovaniji načini instaliranja špijunskih softvera - zero click exploit i zero day exploit.

Pojednostavljeno - softver kod zero clickexploita instalira daljinski, nije potrebno kliknuti ni na šta, niti je potreban fizički kontakt sa vašim uređajem.

Otuda i naziv - nula klikova.

Zero day (engleski: nula dana) exploit je ranjivost za koju kreator ne zna i za koju momentalno ne postoji rešenje.

Zlonamerni mogu da je iskoriste i autor tada saznaje za nju i počinje od tog nultog dana da rešava problem.

Šta je ovim primerima manje-više zajedničko?

To što omogućavaju da se tokom vremena skupljaju vaši podaci i šalju onome ko je softver instalirao, a ponekad i trećoj strani - kompaniji koja je napravila program ili državi koja ga distribuira.

Poruke, pozivi, mejlovi, podaci kuda ste se kretali, koliko ste se zadržali, fotografije koje ste načinili, pa čak i slike vašeg ekrana - posle instalacije jednog ovakvog softvera nisu više samo vaše.

Neki od moćnijih i sofisticiranijih softvera mogu i da uključe mikrofon ili kameru kada požele i da vas gledaju i slušaju čak i ako poziv nije u toku.

Ovakvi programi mogu i daljinski da upravljaju telefonom ili računarom, ubace neželjene fajlove ili instaliraju dodatne aplikacije.

Kada nisu aktivni, troše malo memorije i internet protoka, da biste ih teže opazili.

Ponekad oponašaju neki sistemski softver neupadljivog naziva da bi bili manje sumnjivi.

Telefoni poput Ajfona ili Samsunga (Knox) tvrde da imaju neprobojne ili teško probojne zaštite.

Neki antivirus programi takođe obećavaju pomoć protiv napada hakera.

Gotovo uvek jedan program otključava uređaj, a drugi služi za dalji nadzor.

Najvažnije pitanje koje sebi možete postaviti je - od koga sam u riziku?

Prema tome se i štitite.

Ako je rizik nizak, štitite se od nasumičnih nepoznatih hakera iz dubina interneta koji bacaju široku mrežu, pa - ko se upeca.

Tada je rizik manji i lakše ga je izbeći, a antivirusi i pažnja su dovoljni.

Ako ste na ključnoj poziciji u firmi, ako ste uzbunjivač, političar, novinar, diplomata ili aktivista… Znatno su veći izgledi da vas je direktno naciljao neko umešniji.

Neko sa sofisticiranijim metodama.

Naravno, policija i druge službe bezbednosti moraju da imaju vlastita oruđa kako bi mogli da koriste operativna saznanja da bi sprečili napade poput terorističkih ili, na primer, kupoprodaju narkotika.

Ali u takvim slučajevima, u većini država Evrope predviđena je civilna ili sudska kontrola upotrebe ovih moćnih mehanizama.

Pogledajte video: Slučaj zaključavanja podataka u Novom Sadu - kako se zaštiti?

'Očekivao sam ovo'

Ubrzo posle pada nadstrešnice na Železničkoj stanici u Novom Sadu 1. novembra, u kojem je poginulo 15 ljudi, a dvoje teško povređeno, organizovani su protesti čiji je simbol postao crveni otisak šake, uz reči upućene vlastima: „Ruke su vam krvave".

Nikola Ristić je, zajedno sa drugim aktivistima, želeo da ostavi ovu poruku na Trgu republike u Beogradu kada su ga početkom novembra pripadnici BIA priveli na informativni razgovor u policijsku stanicu.

„Bili su veoma grubi i pokušavali su da me zastraše, verovatno da bi mi preusmerili pažnju da ne razmišljam gde mi je telefon", kaže.

Uređaj je otključan uz pomoć forenzičkog alataCellebrite, a potom zaražen softverom NoviSpy dok je bio u posedu srpskih vlasti, piše Amnesti.

Cellebrite dozvoljava pristup i izvlačenje podataka iz digitalnih uređaja i koriste ga policijske službe širom sveta.

Kompanija tvrdi da ne proizvodi tehnologiju za sajber nadzor ili špijunske softvere, već isključivo za zakonitu upotrebu.

Srbija je ovaj alat dobila na poklon od norveškog Ministarstva spoljnih poslova, uz posredovanje kancelarije Ujedinjenih nacija za projektne usluge.

Kompanija koja proizvodi Cellebrite i norveško Ministarstvo spoljnih poslova rekli su da ispituju navode Amnestija, te da forenzički alat nije dat Srbiji radi špijuniranja nevladinog sektora.

„Bio sam siguran da će se ovako nešto desiti pre ili kasnije.

„Ovaj događaj mi je potvrdio da nemamo bezbednosne organizacije već špijunske službe koje služe moćnicima da kontrolišu građane", kaže Ristić.

'Podaci na izvol'te'

Šer fondacija od 2014. godine prati da li se i kako podaci građana sa digitalnih uređaja zloupotrebljavaju.

Pristup našim metapodacima vezanim za telefonske razgovore, internet komunikacije i razmenu poruka bio je službama i policiji 'na izvol'te', kaže Đorđe Krivokapić.

To je utvrđeno i nadzorom Poverenika za zaštitu podataka o ličnosti i zato je zakon više puta menjan, ali je zabeleženo više slučajeva tokom prethodnih godina kada je privatnost bila narušena, ukazuje on.

„Imali smo aferu kada je pokušana kupovina jednog sličnog softvera kao što je NoviSpy, koji Amnesti opisuje.

„Potom su došle afere Predator i Pegaz. Krajem prošle godine smo imali jasne dokaze da je bezuspešno pokušan napad na (sredstva) komunikacije predstavnika civilnog sektora", kaže Krivokapić.

Postoji zakonski okvir za tajni nadzor komunikacija, a upotreba špijunskih softvera nije njime regulisana, niti možemo smatrati da je opravdana, kaže.

„Onog trenutka kada se takav softver instalira na uređaj, on dobija pristup apsolutno svim podacima i beleži svaku promenu na telefonu", objašnjava Krivokapić.

To je neselektivno prikupljanje podataka, kojim se preterano zadire u privatnost građana, što nije u skladu sa domaćim i međunarodnim normama, dodaje.

On očekuje da reaguju Tužilaštvo za visokotehnološki kriminal, Poverenik za zaštitu podataka i Zaštitnik građana, zakonodavna vlast i Unutrašnja kontrola MUP-a.

„Da li je ovo rađeno sistemski i da li je uređeno procedurama ili određene osobe sprovode ove mere na način na koji oni misle da treba", pita Krivokapić.

Postoji odgovornost i UN kancelarije za projekte koja je omogućila nabavku softvera, dodaje.

„Pitanje je da li bi Srbija mogla da nabavi ovakav jedan softver bez takvog posrednika.

„UN kancelarija očigledno nije uradila prethodnu procenu uticaja i nije uzela u obzir kontinuitet kršenja ljudskih prava u oblasti elektronskog nadzora u Srbiji", kaže.

Pogledajte video: Tri najčešća načina za hakovanje naloga

Na meti i novinari i NVO aktivisti

Amnesti i istraživačka mreža Birn prenose svedočenja više ljudi na čije je telefone instaliran špijunski alat.

Među njima je i aktivista nevladine organizacije Krokodil koja osuđuje rusku invaziju na Ukrajinu.

On je bio na razgovoru sa pripadnicima BIA kako bi dao informacije o upadu proruske grupe u prostorije Krokodila, kada mu je na telefon instaliran špijunski softver, a svi njegovi podaci postali su dostupni.

„Šta radi moja ćerka, kako se kupa, fotografije koje delimo s bakom i dekom - sve informacije.

„Užasno", ispričao je za Birn.

Meta špijunskog softvera bio je Slaviša Milanov, novinar iz Dimitrovgrada, za koga je Amnesti utvrdio da mu je instaliran NoviSpy dok je bio na informativnom razgovoru u policijskoj stanici posle rutinske saobraćajne kontrole.

„Da li smo mi kriminalci da se taj softver koristi na nama?", kazao je ovaj novinar, koji prati lokalne vesti i korupciju, za N1.

Milanov više ne koristi telefon ili elektronsku poštu i traži druge načine da razgovara sa ljudima.

„Trudim se da razgovaramo samo kada smo na javnim mestima i u većim grupama, što očigledno nije idealno", rekao je.

Nikola Ristić nije promenio način na koji komunicira sa saradnicima.

„Generalno sam oprezan.

„Ako imamo potrebu za poverljivim razgovorom, ne obavljam ga telefonom", kaže.

Digitalni nadzor kao represija

Ristić je učestvovao na protestima koji su se širili Srbijom tokom poslednjih godina - od demonstracija zbog izbornih nepravilnosti preko pobune protiv najavljenog kopanja litijuma do skupova na kojima se traži odgovornost za tragediju u Novom Sadu.

Privođen je na svakom od njih bez sudskih naloga, smatra on.

Aktivisti se suviše često nepravdeno kriminalizuju zbog njihovog delovanja, piše Amnesti.

Pojedini koji su govorili za Amnesti rekli su da su zbog privođenja odustali od aktivizma.

„Kada je moj sin saznao da me je policija ispitivala i možda nadzirala, potpuno se izbezumio i tražio je da prestanem da budem javno angažovana", ispričala je aktivistkinja koja je bila u pritvoru četiri sata posle protesta zbog najavljenog iskopavanja litijuma.

To što su uticali na moje dete bila je crvena linija, rekla je.

Iako postoji „doza straha za sebe i porodicu", Ristić kaže da se neće povući.

„Ne mogu sebe da posmatram kao individuu koja je važnija od zajedničkog cilja", zaključuje.

BBC na srpskom je od sada i na Jutjubu, pratite nas OVDE.

Pratite nas na Fejsbuku, Tviteru, Instagramu, Jutjubu i Vajberu. Ako imate predlog teme za nas, javite se na [email protected]