Ukoliko policija dođe do telefona građana, može o njemu da sazna bukvalno sve, od toga gde se kretao, do toga šta je kupovao, izbrisane poruke, zaboravljene komunicacije, mnogo više nego što piše u sudskom nalogu, gotovo sve, otkriva BIRN.
Ministarstvo unutrašnjih poslova (MUP) godinama nabavlja veoma intruzivnu opremu za digitalnu forenziku telefona, pokazuju podaci o javnim nabavkama MUP-a Srbije. Tako danas MUP-ov Nacionalni centar za kriminalističku forenziku na raspolaganju ima alate kompanija Cellebrite iz Izraela, britanske Oxygen, švedske MSAB, kanadske Magnet i od skora ruske Elcomsoft, piše BIRN.
„Sa ovim uređajima ceo sadržaj mobilnog telefona policiji je na jedan klik. Takav sistem ne bi smeo da se koristi jer uvek prikuplja više od onoga što je propisano sudskom naredbom“, kaže Eitaj Mak, izraelski advokat za ljudska prava.
Istraživanje BIRN-a pokazalo je da sa ovom opremom mogu biti izvučeni, a zatim analizirani, svi podaci sa mobilnog telefona, među kojima i podaci nedužnih lica.
Za forenziku telefona potrebna je prethodna naredba suda ili tužioca, međutim, one se često nepotrebno izdaju, a još češće su preširoko postavljene, dok je rukovanje telefonom i podacima na njemu tokom i nakon forenzike potpuno neregulisano, kažu stručnjaci.
„Kada imate 2000 predmeta gde se nepotrebno rade veštačenja to postaje ozbiljno. Sudije i tužioci po automatizmu naređuju veštačenja telefona, a jedna od posledica je nesvrsishodno zalaženje u privatnost“, kaže advokat Vladimir Marinkov.
Za pravnike sa kojima je BIRN razgovarao, problem je i to što ovi komercijalni alati za digitalnu forenziku kriju način na koji probijaju zaštitne mehanizme telefona i vade podatke.
„Niko ne zna suštinski kako ovi alati funkcionišu, kompanije to kriju. Da bi se radilo o pravno valjanom dokazu policija bi trebalo da prikaže tehniku i metod kojim je došla do podataka, a ne da slepo veruje fantomu“, kaže Milana Pisarić, doktor prava specijalizovana za oblast sajber-kriminala.
MUP je ovu opremu počeo da kupuje 2017. godine, a iste alate koriste i autoritarni režimi širom sveta za inkriminaciju aktivista, novinara, političkih protivnika.
Advokat Eitaj Mak i mnoge organizacije za digitalna ljudska prava već godinama posebno upozoravaju na izraelsku kompaniju Cellebrite koja je ovu opremu bez procene rizika prodavala zemljama sa niskom stopom poštovanja ljudskih prava ili sankcionisanim zemljama, gde se ova oprema koristila za suzbijanje protesta i demokratskih akcija.
Opremu za veštačenje telefona za MUP nabavlja nekolicina dugogodišnjih partnera i proverenih dobavljača koji se, usled manjka specijalizovanih firmi, često pojavljuju kao jedini ponuđači na tenderima MUP-a. Jedna od njih je firma IN2 Informatički inženjering koja je za MUP nabavila forenzički softver sa opcijom za prepoznavanje lica, a od skora se u tendersku utakmicu uključila i firma IntellSec. Ova kompanija nabavila je opremu za prislušni centar unutar EPS-a, o čemu je BIRN prethodno pisao.
Niko nije u obavezi da policiji otkrije šifru telefona, ali policija može da iz uređaja izvuče neke podatke i bez šifre, kao i da otključa pojedine modele telefona.
Elcomsoft na sajtu navodi da njihov alat može i bez otključavanja iPhone telefona da pokupi određene podatke sa uređaja zaobilaženjem Apple-ovih sigurnosnih mehanizama. Magnet Axiom u dokumentu o korisničkom uputstvu navodi da može da otključa određene modele Samsung, LG i Motorola telefona, a Oxygen Forensics se hvali kako može da probije šifru za ekran na pojedinim kineskim modelima telefona.
Neki provajderi, kao što su Cellebrite i MSAB, nude „napredne“ ili „laboratorijske“ usluge otključavanja telefona, koji podrazumevaju da stručnjaci iz centrale kompanije daljinskim putem pristupe veštačenom telefonu koji se nalazi u prostorijama policije i metodama poznatim samo kompanijskim stručnjacima pokušaju da otključaju telefon. Na taj način kompanija krije svoju metodologiju i tehnologiju probijanja telefona, a policija dobija otključan telefon koji onda može da veštači.
Dr Milana Pisarić kaže da policija može da „probija“ telefone ako ima sudsku naredbu za pretresanje. Ova naredba, međutim, morala bi da sadrži odobrenje da telefonu pristupi treća strana kao stručno lice, odnosno zaposleni u kompanijama proizvođača forenzičke opreme. U praksi se dešava da sud naredbu ne precizira, pa tako policija i bez decidnog odobrenja suda, pristup telefonu omogući trećoj strani.
„Teško da bi domaći sud ovlastio stranu kompaniju da pruža takvu vrstu stručne pomoći. Ako bi privatne kompanije bilo iz Srbije ili inostranstva pristupale mobilnom telefonu bez znanja i saglasnosti vlasnika, radilo bi se o krivičnom delu tim pre što ne postoji zakonsko ovlašćenje za pristupanje telefonu sa daljine“, zaključuje Pisarić.
Neuspeli tender MUP-a iz 2021. za nabavku GrayKey „kutije“ govori u prilog težnjama srpske policije za probijanjem najnovijih iPhone telefona. Ova oprema nije nabavljena jer nije bilo ponuda.
Stručnjaci sajber-laboratorije Malwarebytes ranije su upozoravali na intruzivnu prirodu alata kompanije GrayShift, koja u potpunosti krije svoj proizvod i listu klijenata, a smatralo se da isključivo posluje sa FBI.
Kompanije GrayShift i Apple učestvuju u stalnoj i neizvesnoj igri mačke i miša – prva pronalazi rupe u Apple telefonima, druga ih krpi. Od skora, GrayShift se okrenuo pronalaženju ranjivosti i Android telefona.
Sa opremom nabavljanom od 2017, MUP može da veštači desetine hiljada modela različitih uređaja i gotovo sve modele mobilnih telefona, pod uslovom da su prethodno otključani. Tako kompanije MSAB i Cellebrite na svojim sajtovima tvrde da su im dostupni podaci nekoliko desetina hiljada uređaja različitih profila.
Rezultati ekstrakcija primenom različitih forenzičkih softvera na različitim uređajima variraju u velikoj meri, pa su neki forenzički softveri u nekim domenima podataka bolji od drugih ali nema odstupanja kada je reč o kvalitetu forenzičkih alata u globalu, pokazalo je istraživanje forenzičke kompanije MOBILedit iz 2019. godine.
Izvlačenje podataka sa uređaja se najčešće naziva fizičkom ekstrakcijom. Uz alate koje poseduje, MUP sa telefona može, između ostalog, da izvuče SMS i MMS poruke, pozive, kontakte, kalendare, beleške, fotografije, video i audio snimke, ali i podatke koji nisu vidljivi običnom korisniku mobilnog telefona, a koji spadaju u red potencijalno najintimnijih podataka.
Najdublji nivo ekstrakcije podataka zalazi u skrivene i obrisane podatke koji uključuju listing Wi-fi mreža na koje se korisnik povezivao, GPS lokacije, istoriju internet pretrage, istoriju unosa na tastaturi, i-mejl naslove, notifikacije na uređaju, kao i metapodatke fotografija i video materijala. Kod nekih proizvođača opreme, sve ovo je nekad moguće izvući za manje od pet minuta.
Sa najdubljom ekstrakcijom dolaze moguće opasnosti, a jedna od njih je trajno programsko oštećenje koje bi telefon učinilo ranjivijim za buduće sajber pretnje.
„Ako se procedura ne sprovede kako treba, to može da pokvari telefon. Može da ostavi telefon u stanju da ne možete da ga ponovo uključite ili ostanete bez podataka u telefonu“, kaže Stevan Gostojić, profesor računarstva i informatike na Fakultetu tehničkih nauka u Novom Sadu i sudski IT veštak.
Njujork tajms i izraelski list Haretz su 2021. objavili da je vojska Mijanmara koristila Cellebrite i MSAB alate tokom puča te godine u kome je ubijeno više od 800 pobunjenika, a hiljade ljudi su maltretirane, povređene ili odvedene u zatočeništvo gde su im oduzeti telefoni.
Haretz i američki Intercept su pisali i da je policija Hong Konga tokom pro-demokratskih protesta 2019-2020. masovno oduzimala telefone hiljadama demonstranata, a jednom od vođa protesta Džošui Vongu policija je zaplenila iPhone i onda vadila podatke pomoću Cellebrite i MSAB alata, pokazuju sudska dokumenta koja je Vong postavio na svom Tviter profilu.
„U Vijetnamu smo dokazali da je policija kupovala Cellebrite, a na demonstracijama oduzimala telefone učesnicima protesta. Tražili bi šifru telefona, ako neko nije dao, odneli bi telefon na forenziku, a onda su nastavili sa maltretiranjem zbog informacija koje bi našli na telefonu“, kaže za BIRN Eitaj Mak, izraelski advokat za ljudska prava.
Haretz je pisao i da je u Rusiji, Istražni komitet, produžena ruka Vladimira Putina, tvrdi da je Cellebrite tehnologiju koristio oko 26.000 puta. „Svaki region u Rusiji ima Cellebrite alate za digitalnu forenziku“, navodi Mak.
Pored toga, izraelska kompanija suočava se s kontroverzama zbog izvoza opreme policijama u autoritarnim i diktatorskim režimima širom sveta, između ostalog zbog prodaje opreme Ugandi, Indoneziji, Belorusiji, Bocvani, Venecueli i Bangladešu.
Među 40 jezika koje Cellebrite softver podržava, nalazi se i srpski. Stevan Gostojić misli da to može imati veze sa bliskim odnosom ove izraelske kompanije sa klijentima iz Srbije, uključujući i policiju.
Dodatni problem je obučenost policijskih službenika za rad sa alatima za digitalnu forenziku. Stručnjaci sa kojima je BIRN razgovarao kažu da su komercijalni alati laki za upotrebu, te da ih svaki službenik može koristiti ali da je dublje poznavanje digitalne forenzike neophodno za siguran i pouzdan rad.
„Svaki policajac može da ih koristi, toliko je lako za korišćenje, u par klikova skineš sve sa telefona. Nije kao kod Pegazus spajvera, za šta ti treba tim obučenih ljudi. Ugodno je policiji da skinu ceo sadržaj, a to ne bi smeli. Treba ti specijalna ekspertiza, tako da neki inspektori mogu da koriste, a ne svi“, kaže Itaj Mek.
Pretragom portala javnih nabavki novinari BIRN-a su naišli na jednu nabavku kursa za rad na alatima za digitalnu forenziku iz 2021. godine. Nabavka koju je dobila hrvatska grupacija IN2, IN2 Informatički Inženjering i Insig2, u vrednosti od 8.000.000 dinara, trebalo je da na osnovnom i srednjem nivou obuči policijske službenike da koriste alate Cellebrite, XRY, Magnet Axiom, pored ostalih.
Osnovni nivo trajao je tri, a srednji dva dana, a kurs je u proseku trebalo da pohađa do pet polaznika po nivou obuke. Stručnjak za digitalnu forenziku Stevan Gostojić smatra da pet dana nije dovoljno za savladavanje forenzičkih alata, ali da je moguće da su službenici koji su prolazili obuku imali predznanje.
Gostojić kaže da se sadržaj celog telefona ili računara uvek klonira na radnu stanicu forenzičara, bez obzira na to što se uglavnom samo određeni delovi memorije uređaja veštače.
On dodaje da ne postoje propisi koji regulišu kako se postupa sa podacima nakon forenzike. Takođe, Gostojić ističe da to kojim podacima je forenzičar pristupio tokom forenzike ili šta je sa tim podacima uradio ne podleže nikakvoj kontroli.
On kaže da mu veliki problem zadaju preopširni, ili u ekstremnim slučajevima nelogično formulisani, zadaci veštačenja koje dobija od sudova ili tužilaštava.
„To pokazuje da nemaju svi pravnici znanje iz IT-a da bi mogli da sastave zadatak“, kaže Gostojić za BIRN.
Preobimni sudski nalozi nisu problem samo u Srbiji. U mnogim zemljama zakonodavnstvo ne prati napredak tehnologije.
Izraelski advokat Eitaj Mak navodi slučaj u kome je branio jednog aktivistu, pa je za potrebe saslušanja zatražio od policije veštačene materijale sa klijentovog telefona koji su imali veze sa spornim incidentom.
„Rekli su da ne mogu da mi pošalju preko mejla, već jedino da preuzmem CD. Zašto? Kada sam otišao shvatio sam da je policija kopirala sadržaj celog telefona uključujući informacije o drugim aktivistima, borcima za ljudska prava i moju prepisku sa klijentom, što narušava tajnost komunikacije advokata i klijenta“, ističe Mak.
Mak kaže da bi sudske naredbe za veštačenjima telefona morale biti vezane za incident, odnosno da bi policija trebalo da pristupa samo onim podacima koji su navedeni u naredbi.
„Sa Cellebrite-om izvlačiš sve podatke, što je u suprotnosti sa krivičnim pravom. Sistem uglavnom ne dozvoljava da selektuješ samo određena skladišta podataka. Na primer, pretres stana je uvek vezan za određenu stvar. Ne možeš da poneseš sve, nego samo tražiš tu jednu stvar.
„Slično kao kod klaster-bombe i obične bombe. Klaster pravi mnogo eksplozija jednim ispaljivanjem, zato postoje međunarodne konvencije koje ograničavaju korišćenje klaster bombe. I u tehnologiji bi trebalo da postoje takva ograničenja. Obični ljudi kažu ‘šta me briga za prava kriminalaca’, a onda vide da policija koristi istu tehnologiju da bi uništila demokratiju. Tehnologija taj proces ubrzava“, kaže Mak.
Sve više se podaci čuvaju na takozvanim oblacima (clouds), a sve manje na samim uređajima, pokazuje analiza Maksimajz market riserč, međunarodne konsultantske istraživačke firme, iz marta 2023. godine.
Kompanije čije alate MUP koristi, mogu da pristupe i podacima iz oblaka, pa su tako srpskoj policiji dostupne na stotine cloud-servisa, cloud-naloga i podataka koje generišu različite aplikacije.
Cloud-ekstrakcijom policija može da vadi podatke sa iCloud naloga i Google oblaka, finansijske i šoping podatke, podatke sa društvenih mreža i aplikacija za zdravlje, upoznavanje, putovanja i taksi, kao i da vidi istoriju pretraga i „minute-by-minute“ lokacije telefona. Mogu se izvući podaci i sa drugih pametnih uređaja, pa i nekih enkriptovanih servisa.
Cloud čuva neke od najosetljivijih ličnih podataka kakvi su zdravstveni i finansijski podaci i podaci o seksualnim preferencama.
U poslednje vreme sve više provajdera kreira načine da vadi podatke sa aplikacija za zdravlje ili pametnih satova sa senzorima koji mere zdravstvene parametre. Jedna od često veštačenih aplikacija je Apple Health u kojoj su smešteni podaci o metrici hodanja, seksualnim i mentalnim aktivnostima, ishrani, lekovima, simptomima ili menstrualnim ciklusima.
„Zato je telefon specifičan, tu je nečiji ceo život. Sadrži neopisiv kvantitet i kvalitet podataka koji čoveka određuju u znatnoj meri, zbog čega uživa posebnu pravnu zaštitu, i otuda se saznavanje sadržaja telefona može vršiti samo i ako postoji naredba suda za pretresanje i to isključivo za potrebe krivičnog postupka”, kaže Pisarić.
Da bi ušla u cloud naloge policija prethodno na uređaju pronalazi kredencijale za prijavljivanje na cloud servise ili takozvane tokene, koji zaobilaze dvofaktornu autentifikacija, zaštitni mehanizam od neovlašćenog pristupa.
„Pratite ponašanje na mreži, analizirajte objave, lajkove, događaje i veze da biste bolje razumeli interese, odnose, mišljenja i svakodnevne aktivnosti osumnjičenog ili žrtve“, stoji na zvaničnom sajtu izraelske kompanije Cellebrite.
MUP je tokom godina nabavio ukupno oko 350 licenci za forenzičke alate. Najveći procenat zauzima Cellebrite oprema, pa MSAB…
Sve popularnija meta digitalne forenzike postaju i aplikacije za upoznavanje – one mogu da otkriju seksualne, emotivne, partnerske preference pojedinca, njihove profile, poruke koje su razmenjivali sa ostalim korisnicima, pa i profile ostalih korisnika.
Od finansijskih podataka forenzičari bi mogli da dođu do detalja kreditnih kartica ili kripto-novčanika. Enkriptovane i skrivene usluge poput Signal prepiski, Telegram skrivenih prepiski, Protonmail-a, SIlent Phone, Snapchat odeljka Za moje oči nisu imune na forenzičke softvere.
Ceo tekst pročitajte na sajtu BIRN.
BONUS VIDEO: Nacrt novog Zakona o policiji pruža priliku za zloupotrebu