Vikiliks – Istorijska nekompetentnost CIA
Šta smo saznali od Asanža
Iako odavno sateran u par kvadrata ekvadorske ambasade u Londonu, Džulijan Asanž je još jednom uspeo da zada snažan udarac svojim progoniteljima. Vikiliks je 7. marta objavio preko 9000 dokumenata CIA uz komentar da je to samo vrh ledenog brega i da je zajedno sa dokumentima iscurio i kompletan hakerski arsenal agencije, nekoliko desetina miliona linija izvornog programskog koda
Prema rečima osnivača Vikiliksa Džulijana Asanža, CIA je još jednom demonstrirala svoju "istorijsku nekompetentnost" time što je svoj najdragoceniji softver u integralnom obliku smestila na nedovoljno bezbedno mesto. Kao da CIA nije ništa naučila iz prošlogodišnjeg slučaja kada je jedna anonimna hakerska grupa ponudila na aukciju set hakerskih alata ukradenih iz Nacionalne bezbednosne agencije (NSA).
Šta smo saznali iz obelodanjenih dokumenata? I pored sve medijske pompe, reklo bi se – uglavnom ono što smo i do sada znali. CIA, NSA i ostale bezbednosne agencije i dalje se trude da saznaju šta mislimo, šta radimo, s kim se družimo i šta nameravamo. Opet, ima li ikog ko je do sada verovao u suprotno?
TROJANSKI TELEVIZOR: Možda je najjače odjeknulo otkriće da su neke serije Samsungovih pametnih televizora ranjive i da mogu da posluže kao prislušni uređaji. Softver potreban za to zajednički su razvili CIA i britanska špijunska agencija MI5 u najboljoj tradiciji Džejmsa Bonda. Ono sićušno "crveno oko" koje označava "uspavano" stanje vašeg televizora ne mora da bude tako pospano kao što vama izgleda. Ako je televizor "uhakovan", mikrofon na njemu i dalje je aktivan, čak i kada je televizor naizgled ugašen, a pošto su svi pametni televizori povezani sa internetom, svaka vaša privatna reč postaje "javno dobro", na radost vazda budnih državnih službenika. Ipak, čak i ako imate Samsungov televizor, čiji se broj modela pominje u Vikiliks papirima, velike su šanse da nemate razlog za brigu. Samsung ima sistem kojim automatski osvežava softver u pametnim televizorima i verzija softvera pogođena ovim problemom verovatno je odavno zamenjena nekom novom i bez vaše neposredne intervencije.
Svejedno, priča je veoma poučna i ilustrativna. Mislili smo da kupujemo "običan" televizor, ali smo prevideli da su svi današnji televizori zapravo klasični kompjuteri koji u sebi imaju softver. Taj softver ima rupe, mnogo rupa, i kad bi vaš stan imao isti broj rupa u zidovima – prozori ne bi ni bili potrebni. Sve je to malo nezgodno ako ogovarate A.V. ili nekog svetskog diktatora (u koje A.V. nikako ne spada, daleko bilo), pogotovo u naizgled neprikosnovenoj toplini sopstvenog doma, ali – naviknite se. Možda je najbolji lek za to da počnete da javno pričate ono što privatno mislite.
Zatim, otkrili smo i da je CIA razvila čitav set alata za upadanje u raznorazne digitalne drangulije (pre svega mobilne telefone i tablete) bazirane na Epl, Gugl ili Majkrosoft operativnim sistemima. Na meti su i kompjuteri u kolima, kao i ruteri koji opslužuju kućnu bežičnu mrežu. Opet, sve je to potpuno "normalno". Kupujući jednu takvu stvar, pomirili ste se sa mogućnošću da svoju privatnost podelite sa ostatkom čovečanstva. To se zove "tehnološki progres", valjda smo se na to već navikli.
DIVLJA ĆURKA: Obelodanjeni dokumenti, međutim, potvrđuju da CIA, ipak, nije svemoćna i da agencija ne može tek tako da prisluškuje saobraćaj koji je zaštićen primenom savremenih, javno dostupnih kriptografskih tehnika. Aplikacije za instant-komunikaciju kao što su WhatsApp (koje često imaju i preko milijardu korisnika) rutinski šifruju podatke i tako štite tajnost komunikacije od znatiželjnih očiju sa strane. Sve što CIA može da utvrdi jeste identitet osoba koje međusobno komuniciraju, ali je sam sadržaj komunikacije sakriven za sve, uključujući i WhatsApp, kompaniju koja obezbeđuje čitav servis. Osim toga, rastuću popularnost imaju i komunikacione platforme kao što je Signal koje ne samo da enkriptuju sadržaj komunikacije već ne čuvaju nikakve podatke o tome ko je, kada i s kim razgovarao, nudeći skoro potpunu anonimnost.
U takvim okolnostima, CIA je morala da se prilagodi. Vojnički gledano, ako frontalni napad kroz centar ne može da prođe, onda je napad preko krila jedina alternativa. Kad već nije moguće presresti informaciju "usred žice", tj. u letu zbog neprobojne kriptografske zaštite, onda je do nje moguće doći upadom u jednu od krajnjih tačaka komunikacije, u vaš računar, tablet ili mobilni telefon. Ako je napadač u stanju da na vaš uređaj podmetne aplikaciju koja krišom beleži tekst koji kucate po tastaturi ili snima vaš glas, tu više nikakva enkripcija ne pomaže i vaša privatnost jednostavno ne postoji. Reklo bi se da je CIA glavni deo svojih napora usmerila baš na tu stranu. Obelodanjeni dokumenti pominju raznorazne softverske alatke egzotičnih imena koje je CIA u međuvremenu razvila ("Divlja ćurka", "Riki Bobi", "Džuboks", "Konobar", "Margarita"). Izvorni kod (zasad) nije obelodanjen, ali svi alati imaju zajedničku osobinu da koriste bezbednosne propuste u najpopularnijim operativnim sistemima kao što su iOS, Android i Windows.
NULTI DAN: I tu se Vikiliks otprilike i zaustavlja. Iako se u dokumentima pominje da je CIA eksploatisala sistemske nedostatke "nultog dana", ne nude se i dokazi koji bi tu tvrdnju potkrepili. "Nulti dan" je najopasniji tip softverskog nedostatka kojeg nisu svesni ni njegov korisnik niti njegov proizvođač već isključivo onaj ko je taj nedostatak otkrio i namerava da ga (zlo)upotrebi. To, otprilike, odgovara situaciji kada neko poseduje kopiju ključa od vašeg stana a da toga niste svesni ni vi ni vaši ukućani. Vlasnik takvog ključa može da vas eksploatiše na različite načine mesecima, pa i godinama (recimo, da vas "kraducka", što bi rekao Velja Ilić) i najčešće mu je u interesu da što duže ostane neotkriven. Asanž je najavio da nema nameru da potpomaže nelegalne hakerske aktivnosti i širi internet anarhiju, obećavši da će prvo kontaktirati s proizvođačima softvera i direktno im dostaviti informacije o sigurnosnim rupama u njihovim sistemima. Međutim, do danas nijedna velika kompanija (Gugl, Epl, Majkrosoft) nije potvrdila da je od Vikiliksa dobila bilo šta značajno ili konkretno.
MERE PREDOSTROŽNOSTI: Šta u međuvremenu preostaje nama, malim miševima, beznadežnim ovisnicima koji ne mogu nijedan budan sekund da provedu bez neke elektronske sprave u blizini? Prvo, upoznajte tu spravu koju koristite što bolje. Ne eksperimentišite s njom instalirajući aplikacije nepoznatog porekla sa sumnjivih lokacija. Ako ne znate čemu služi neko dugme, nemojte ni da ga pritiskate. Ažurirajte softver što češće, najveći broj sigurnosnih propusta odnosi se na zastarele, odavno potrošene verzije softvera. Ako ne znate kako se to radi, pitajte komšiju. Kad koristite internet brauzer, konstantno proveravajte adresu jasno prikazanu u zaglavlju vašeg brauzera (videti okvir).
Internet Eksplorer se ne računa u brauzere, nikad to nije ni bio. Ako ne želite svim tim da se bavite, onda radite nešto drugo: šetajte se, čitajte knjige od hartije, vozite bicikl, izađite u kafanu. Sve to dobro je i za zdravlje. Pomirite se s tim da nikad nećete dobiti na lutriji i da nemate pokojnog teču u Nigeriji koji vam šalje nakit kraljice Okečombe. Jeste teško ali probajte da ignorišite takve poruke. Ako posumnjate da vas hakeri prisluškuju, ne paničite. Pustite im neki od Vučićevih intervjua na Pinku, razići će se vrlo brzo, to su obično žustri momci koji nemaju vremena da mlate praznu slamu. Ako su vam sprave suviše komplikovane, zamenite ih za neke jednostavnije, nije sramota. Ne morate ni vi baš da imate sve. Osim toga, ne podležite paranoji i probajte da stavite sebe u realan kontekst: ima CIA preča posla nego da prati baš vas. I ne zaboravite da Fejsbuk i Gugl znaju više o vama nego sve bezbednosne agencije sveta zajedno. I to zato jer ste vi to tražili.
PROBLEMATIČNI PODMLADAK: Majkl Hejden, penzionisani general sa četiri zvezdice i bivši direktor CIA iz vremena Džordža Buša, kaže da Agencija jednostavno mora da se bavi sajber-špijuniranjem kako bi u digitalnoj eri i dalje bila za korak ispred svih. Hejden negira da je CIA koristila inkriminisane alatke kako bi špijunirala sopstvene građane, ali potvrđuje da Agencija nije birala sredstva kada su druge države i stranci u pitanju. "To nam je uvek bio posao", kaže Hejden, "to se od nas očekuje."
Da bi uopšte mogla da prati savremene informatičke tehnologije i trendove, CIA je morala da angažuje ogroman broj mladih, tek stasalih stručnjaka, pre svega programera, stručnjaka za internet i bezbednost. "Ne želim da generalizujem stvari", rekao je Hejden, "ali mi se čini da za ovaj deo populacije reči kao što su ‘moral’, ‘lojalnost’ ili ‘patriotizam’ imaju značenje drugačije od onog koje je krasilo moju generaciju. Ti mladi ljudi, svi odreda dobri Amerikanci, uneli su u Agenciju jednu novu kulturu i političke stavove često oprečne onim zvaničnim. Iz ovakve demografije iznikli su slučajevi Edvarda Snoudena i Čelsija Meninga a, vrlo verovatno, i ovaj poslednji." Hejden smatra da je CIA pretrpela ogromnu štetu, uostalom kao i bezbednost čitave Amerike: "Tužan sam. Jer ovakve stvari čine moju zemlju i zemlju mojih prijatelja manje sigurnom nego što je bila juče."
MUNICIJA ZA TRAMPA: Da li postoji neka tajna veza između Donalda Trampa, novog američkog predsednika, Vikiliksa i Rusije ostaje samo da se nagađa. Vikiliks nikad nije objavio materijal koji bi mogao ozbiljno da naškodi Rusiji i Vladimiru Putinu. Činjenica je i da je Trampu cela ova afera došla kao kec na desetku jer se CIA, agencija čiji je posao da krade tuđe tajne, pokazala nesposobnom da sačuva svoje sopstvene.
Sa američkom bezbednosnom zajednicom Tramp stoji veoma loše još od izborne kampanje kada je od Rusa tražio da hakuju mejlove Hilari Klinton. Odnose je dodatno pogoršala istraga o ruskim vezama i Putinovom uticaju na rezultate predsedničkih izbora koja je i dalje u toku. Taj uticaj Tramp negira iako niko ne spori da je obelodanjivanje mejlova Nacionalnog komiteta Demokratske stranke nanelo štetu kampanji Hilari Klinton u najosetljivijem trenutku. Podsećanja radi, Tramp je u tri savezne države dobio izbore sa manje od 70.000 glasova razlike i sasvim je moguće da je upravo zahvaljujući objavama Vikiliksa tas prevagnuo na Trampovu stranu.
Sa druge strane niko iz ključnih državnih bezbednosnih struktura nije podržao nedavne Trampove bombastične navode da je Barak Obama imao nameru da ozvuči njegov izborni štab. Sada se ukazala idealna prilika da i Tramp zada neki konkretan udarac, verovatno promocijom svojih kadrova na još neka ključna mesta. Tramp je tokom izborne kampanje u više navrata izjavio da "obožava Vikiliks" i demonstrirao svoju spremnost da indirektno podrži neke prilično fantastične teorije zavere, poput one da je 11. septembar fabrikovan u domaćoj kuhinji. Nakon ove poslednje afere Tramp je kurtoazno izjavio da ozbiljno pristupa svim pitanjima državne bezbednosti ali nijednom rečju nije osudio postupak Asanža i Vikiliksa, što je, reklo bi se, morao da učini po službenoj dužnosti. Umesto toga obrušio se na sopstvenu agenciju nazvavši njene tehnike "primitivnim i zastarelim" i još jednom se požalio da "tamna država", ogromna birokratska državna mašinerija koju je nasledio od Obame, i dalje neumorno radi protiv njega.
KO JE LOPOV: Asanž, naravno, nije obelodanio od koga je dobio set tajnih dokumenata, ali je napomenuo da su oni bili čuvani u izolovanoj, strogo kontrolisanoj mreži unutar sektora CIA zaduženog za sajberobaveštajne aktivnosti. Dokumente je mogao da pokrade neko od zaposlenih u agenciji ali i "kontraktor", osoba angažovana u jednoj od mnogobrojnih partnerskih ili konsultantskih firmi sa kojima CIA svakodnevno sarađuje. Broj takvih kompanija CIA neprekidno uvećava, na zgražavanje onih koji smatraju da širenje kruga saradnika samo povećava bezbednosne rizike. Ostaje i mogućnost da su informacije iscurele nakon klasičnog hakerskog upada i da su materijal Asanžu ustupili Rusi koji Vikiliks koriste kao paravan za realizaciju sopstvene agende. Sve to, međutim, nije preterano verovatno.
Asanž kaže da je materijal dugo vremena cirkulisao "na neovlašćen način" između različitih državnih hakerskih grupa sve dok jedan pojedinac nije iskoračio i ustupio deo materijala Vikiliksu. Takve stvari dešavale su se i pre, poslednji put 2016. godine kada je NSA otkrila da je Harold Martin, jedan od radnika po ugovoru, neovlašćeno odneo kući preko 50 terabajta tajnih dokumenata, mada ih nikad nije objavio niti pokušao da njima trguje. Moguće je, međutim, da je Martinova "privatna arhiva" u međuvremenu ipak iscurila i nekako dospela u Asanžove ruke.
UKALJAN UGLED CIA: Sve to podriva ugled koji su američke špijunske službe do skoro uživale u svetu. Ispostavilo se da Amerika, koja voli sebe da predstavlja kao svetskog šampiona u demokratiji, ne preza od metoda koje sa demokratijom nemaju nikakve veze. Nema sumnje da će i druge države krenuti američkim stopama i da će i drugi uložiti mnogo više para u nastojanja da otključaju i poslednju bravu koja štiti našu privatnost. Osim toga, često curenje poverljivih informacija preti da ugrozi saradnju Amerike sa obaveštajnim agencijama drugih država, čak i tradicionalnih američkih saveznika kako što su Britanija, Nemačka, Izrael, Kanada ili Australija. Ko je lud da se upusti u ozbiljan zajednički projekat sa agencijom koja ne može da sačuva sopstvene tajne?
Baš zbog tih razloga nema sumnje da će se vlast potruditi da razotkrije ovaj slučaj iako to neće biti nimalo lako jer se krivac verovatno nalazi unutar grupe od oko 800.000 američkih državljana i 20.000 zaposlenih u CIA koji imaju bezbednosni sertifikat potreban za pristup osetljivim informacijama.
Ko god da je doturio poslednji paket tajnih dokumenata Asanžu, bio je ili ludo hrabar ili, pre će biti, samo lud. Taj će imati jak razlog da se osvrće preko ramena do kraja svog života, pod uslovom da ne bude uhapšen mnogo pre toga. Jer, američko pravosuđe ne samo da izriče žestoke kazne svima koji se usude da obelodane državne tajne već se stara i da ceo sudski proces, od trenutka hapšenja pa sve do izdržavanja kazne, za okrivljenog bude maksimalno surov, ponižavajući i nemilosrdan, bez obzira da li je delo počinjeno iz idealističkih ili materijalnih razloga.
SLUČAJ MENING: Pomenuli smo Čelzija Meninga, bivšeg američkog vojnika i bivšeg muškarca koji je 2010. godine Vikiliksu doturio oko 750.000 dokumenata, uglavnom diplomatsku poštu i dnevne izveštaje iz rata u Avganistanu i Iraku. Mening se nakon učinjenog (ne)dela poverio jednom svom onlajn-prijatelju koji ga je, naravno, "druknuo" gde treba koliko sutradan (toliko o vašim Fejsbuk-drugarima). Mening je vrlo brzo uhapšen a prvobitna optužnica bila je dovoljno teška da Meningu obezbedi ekspresnu otpremninu na onaj svet o državnom trošku.
Mening se, ipak, izvukao sa "samo" 35 godina robije. Najveći deo istražnog procesa proveo je u strogoj samici, a kaznu izdržava u Fort Levenvortu, zatvoru najstrožeg režima rezervisanom za najgori "vojni otpad". Tamo je dva puta pokušao samoubistvo i promenio pol. Pomalo licemerno i prilično kukavički, Barak Obama je pomilovao Čelzi Mening tek na izmaku svog drugog mandata, kao odlazeći američki predsednik i "hromi patak" koji se više ni za šta ne pita.
SLUČAJ HANSEN: Tu je i slučaj Roberta Hansena, najveće "krtice" u istoriji FBI, koji je tokom 22 godine svoje bogate špijunske karijere Sovjetima, kasnije Rusima, dostavio na stotine poverljivih dokumenata, ne zbog ideoloških ubeđenja ili ljubavi prema komunizmu, već isključivo zbog para. Samoinicijativno se ponudio KGB-u i odredio početnu tarifu od 100.000 dolara za svoje usluge. Hansen je "pošteno" odradio svoj deo pogodbe, prodavši i neke američke super-tajne za koje nijedan stepen poverljivosti nije bio dovoljno visok (u dva navrata je Rusima dostavio kompletan spisak američkih dvostrukih agenata, neki od njih su kasnije i pogubljeni). Kada je Rusija 1997. sagradila novu ambasadu, FBI je ispod zgrade prokopao tunel sa namerom da u njemu postavi prisluškivače. Iako ideja nikad nije bila realizovana do kraja zbog straha da će ova ujdurma kad-tad biti otkrivena, Hansen je mnogo godina kasnije ovu informaciju ipak prodao Rusima za 55.000 dolara.
Uhapšen je 2001. godine i osuđen na 15 uzastopnih doživotnih robija bez prava na pomilovanje. Prvu kaznu trenutno izdržava u Florensu, takozvanom "supermaksu", najsigurnijem američkom zatvoru smeštenom negde u zabitima Kolorada. U ovom "Alkatrazu Stenovitih planina", po pravilu rezervisanom za neizlečive monstrume i psihopate, najagresivnije osuđenike, serijske ubice i kolovođe međunarodnog terorizma, Hansen je samački smeštaj dobio preko reda. Tamo sedi na stolici od betona, ruča za stolom od betona, spava na krevetu od betona i boravi u ćeliji od betona sa pogledom na pola kvadrata praznog neba 23 sata dnevno. Ostatak vremena provodi šetajući jednako usamljen po malom kavezu unutar zatvorskog kruga.
Džulijan Asanž i dalje se nalazi u ambasadi Ekvadora u Londonu.
Kutija sa dva katanca
Kako da utvrdite da li je vaša komunikacija preko interneta zaštićena? Ako koristite brauzer kao što je "Safari", "Chrome" ili "Firefox", stvar je relativno prosta: pogledajte početak internet adrese na kojoj se trenutno nalazite i ako tu zateknete "https" sa ikonicom katančića (a ne obično "http"), budite bezbrižni. ali samo pod uslovom da na računaru nemate "malware", zlonamerni softver koji vam je ili podmetnut ili ste ga sami instalirali. To ekstra "s" u internet adresi dolazi od engleske reči "secured" i označava enkriptovanu (šifrovanu) komunikaciju. Ako koristite neenkriptovanu komunikaciju, vaša privatnost ista je kao da za dopisivanje koristite razglednicu, ako ne i gora.
Verovali ili ne, algoritmi koji se danas koriste za šifrovanje komunikacije još uvek nisu kompromitovani i male su šanse da će se to uskoro desiti. Da bi se ti algoritmi objasnili i shvatili potrebno je mnogo predznanja i truda. Ali to ne znači da ne možete da razumete najosnovnije principe koji su, u suštini, vrlo jednostavni. U srcu svake enkripcije nalazi se matematička formula pomoću koje se od izvornog teksta pravi njegova nečitljiva (šifrovana) verzija. U procesu šifrovanja učestvuje i lozinka (ključ), pri čemu svakom ključu odgovara drugačija verzija šifrovanog teksta.
Prvi algoritmi za šifrovanje bili su "simterični", jer se ista lozinka koristila i za šifrovanje i za dešifrovanje teksta. Ovi algoritmi imali su jednu fatalnu manu: ako želite da sa svojim sagovornikom razmenjujete šifrovane poruke, neophodno je da mu nekako doturite i ključ. A ključ uvek može da bude presretnut negde u putu i zloupotrebljen, naročito ako je sagovornik negde daleko. Jednostavan problem – kako sigurno razmeniti ključ koji će se koristi za šifrovanje međusobne komunikacije – dugo vremena bio je nerešen.
Zamislite sada da sedite za stolom preko puta svog sagovornika kojem želite da dostavite pomenuti ključ. Taj ključ možete da stavite u kutiju koja putuje preko stola između vas. Kutiju sa strane posmatra CIA (ili BIA) koja će iskoristiti svaku priliku da se dočepa ključa u tranzitu. Postoji sasvim sigurno rešenje i ono je vrlo prosto, mada vam neće tako brzo pasti na pamet.
Stavite ključ u kutiju, stavite svoj katanac na kutiju i pošaljite je sagovorniku. Vaš sagovornik ne može da otvori katanac jer taj katanac možete da otvorite samo vi. Umesto toga, on će na kutiju staviti još jedan, svoj katanac i kutiju sa dva katanca poslati vama. Vi ćete sa kutije skinuti svoj katanac i vratiti kutiju nazad. Na kraju, vaš sagovornik skida svoj katanac, otvara kutiju i unutra nalazi ključ koji ćete koristiti za šifrovanje komunikacije. CIA sve vreme vidi kutiju koja putuje između vas, ali ta kutija je uvek zatvorena bar jednim katancem i ključ u njoj je siguran. Ovi "virtuelni katanci" u kriptografiji danas su implementirani komplikovanim matematičkim formulama zasnovanim na ogromnim prostim brojevima.
Sa brauzerima ste, dakle, načisto. Kada su u pitanju aplikacije na vašem tabletu, televizoru ili mobilnom telefonu, tu je situacija malo drugačija. Ne postoji jednostavan način da utvrdite da li je komunikacija korišćenjem date aplikacije sigurna ili ne. Moraćete da se oslonite na informaciju proizvođača i analize koje su napravili drugi korisnici. "Prevaranti", tj. proizvođači softvera koji tvrde jedno a rade nešto sasvim drugo iznenađujuće brzo isplivaju na površinu.