Vse izjave

Agenciji CIA je “ušlo”

8. marec, 2017 (nazadnje posodobljeno: 1. maj, 2018)
Članek se posveča naslednjim programskim točkam:  Zasebnost, nadzor in varovanje podatkov
Objavljeno v kategoriji: Zasebnost in nadzor, Žvižgači

Wikileaks, spletni portal namenjen objavljanju tajnih in drugih dokumentov in zaščiti žvižgačev je zopet odvrgel bombo. Tokrat v obliki t.i. Vault 7 leaks. Razkrili so hekersko orožarno ameriške Centralne obveščevalne agencije (CIA) in kar je bilo razkrito ni ravno prijetno.

Kaj je bilo razkrito?

Ameriška Centralna obveščevalna agencija ima pripravljeno zlonamerno programsko opremo za večino t.i. pametnih naprav, ki postajajo vse bolj popularne, med drugim tudi za Samsungove televizorje, “pametne” avtomobile in seveda telefone. Moderne naprave, ki imajo kamero in mikrofon so še posebej srhljive, saj lahko te opcije aktivirajo na daljavo brez vedenja in privolitve uporabnika. Naprava morda ni videti “vključena”, a zlonamerna koda omogoča spremljanje dogajanja okoli naprave tudi takrat, ko uporabnik misli, da je napravo izključil. Vse skupaj spominja na distopične napovedi Orwellovega romana 1984, ki se ga v zadnjih letih v tem pogledu žal prepogosto omenja.

Sporočila aplikacij namenjenih komunikaciji, kot sta recimo Whatsapp in Signal, so z mobilne naprave prestregli pred šifriranjem in se s tem izognili šifriranju.

Več o orodjih, ki so bila razkrita, si lahko preberete v uradni izjavi agencije Wikileaks.

CIA je skladiščila poznavanje varnostnih luknenj v programski opremi, brez da bi obvestila razvijalce.

Večina teh t.i. exploitov (izkoriščanja pomankljivosti programske opreme) so tako imenovani Zero day-i (Dan 0). Ti izkoristijo ranjljivosti, ki niso znane proizvajalcu oz strokovni javnosti. Posledično so to luknje, ki se jih ne pokrpa.

Zaradi vrednosti se te ranljivosti drago prodajajo na črnem trgu in, kot namigujejo ta razkritja, trgujejo med obveščevalnimi agencijami.

Ameriška obveščevalska skupnost je sicer obljubila, da bo proizvajalce obveščala o pomankljivostih in tako pomagala skrbeti za varnost državljanov, vendar tega ni storila. Svojo zmožnost nadzora so postavili pred varnost državljanov, luknje v programih so držali zase ter dajali v uporabo drugim državam.

Zaščita računalnikov in programov temelji na tem, da razvijalci spremljajo in neprestano nadgrajujejo svoje izdelke ter odpravljajo pomankljivosti.

Wikileaks trdi, da CIA nima več nadzora nad njihovim arsenalom.  

Še posebej srhljive so navedbe, da je 3 milijone vrstic kode agenciji ušlo izpod nadzora. To pomeni, da se virusi in napredna hekerska oprema, ki je bila razvita ob milijardnih vložkih s strani vlade ZDA, že širijo po internetu. V roke jo lahko potencialno dobijo vsi, ki se za to zanimajo: od različnih kriminalnih združb, raznih obveščevalnih agencij do vašega soseda, ki “se spozna na računalnike”.

Zakaj je to pomembno?

Predvsem se ob takšnem dogodku moramo vprašati o naši zasebnosti ter pooblastilih represivnih organov ob soočenju z moderno tehnolgijo. Na to smo Pirati že večkrat opozarjali. Tehnologija 21. stoletja omogoča nadzor ljudi v veliko večjem obsegu kot kadarkoli doslej. Udba, Stasi in obveščevalne službe iz preteklosti, ki so postale sinonim za nadzor nad državljani, so v primerjavi z nadzorom, ki ga danes izvaja Facebook (ki seveda sodeluje z obveščevalnimi službami), amaterji.

Vzporedno s tem imamo na drugi strani zakonodajo in državo, ki vedno šepa za dejanskim razvojem tehnologije. Države se morajo neprestano prilagajati in novo tehnologijo ustrezno omejevati, predvsem pa se obvladati pri uporabi le te, ko pride do posega v zasebnost ljudi. Žal zasebnost danes postaja le še puhlica, saj jo vlade hitro odvržejo v prid čim preprostejši implementaciji in nepremišljeni uporabi orodij za masovni nadzor.

Zavedati se moramo, da je vsako takšno orodje ne le sporno v rokah države, temveč je zaradi samega načina razvoja izpostavljeno tveganju, da se dokaj hitro razširi med kriminalci. V zadnjih treh letih je izpod nadzora vladnih organizacij ZDA CIA in NSA “ušla” neznana gmota podatkov, kar so ali storili ali omogočili njihovi lastni zaposleni, nekateri zaradi interesov opozarjanja javnosti, spet drugi zaradi želje po zaslužku.

Kako naprej?

Zasebnosti na spletu ima vsak le toliko, kot si jo zagotovi sam. Tehnologija, ki vanjo poseže je dostopna vsem, državam, korporacijam, kriminalcem, vsakemu ki ima interes in znanje, da jo pridobi in uporabi. To nas mora skrbeti.

Do neke mere si lahko varnost zagotovimo sami tako, da uporabljamo VPN strežnike, poskrbimo za šifriranje podatkov in se zavedamo, kdaj ne smemo rokovati z občutljivimi podatki.

Kar se tiče nadzora države in korporacij pa moramo predvsem biti aktivni državljani, ki jim ni vseeno. Potrebujemo Državo, ki je pod nadzorom državljanov in ne obratno. Ne dovolimo si nasedati puhlicam, s katerimi želi vladajoča oblast na hitro in polovičarsko opravičiti uporabo represivne tehnologije. Pri adaptaciji novih tehnologij s strani države moramo zahtevati transparentnost in jasno postavljene meje, ter nosilce oblasti ustrezno sankcionirati, če te meje prekoračijo.

 

Vault7