Špijunira li njemačka država i ono što ne smije?
10. listopada 2011Hakeri iz udruge Chaos Computer Club (CCC) tvrde da su otkrili takozvanog "državnog Trojanskog konja" - softver za špijuniranje podataka na kompjuterima njemačkih građana koji uveliko prekoračuje ovlasti što ih je na ovom području državnim organima dao zakon. "Analizirani Trojanski konji ne samo da mogu doći do izrazito intimnih podataka, nego sadržavaju i neke funkcije za instaliranje novih malicioznih softvera na daljinsko upravljanje", priopćila je udruga kompjuterskih stručnjaka proteklog vikenda. CCC predbacuje organima sigurnosti da su zahvaljujući grubim dizajnerskim i implementacijskim greškama nastale "eklatantne sigurnosne rupe u 'zaraženim' računalima koje mogu iskoristiti i treće osobe".
Što država smije?
Da bi se cijeli skandal koji je puknuo proteklog vikenda u Njemačkoj shvatio, treba znati da je u sporu između državnih interesa u borbi protiv kriminala i prava građana na privatnu sferu Savezni ustavni sud u veljači 2008. godine formulirao jedno novo temeljno pravo u njemačkom Ustavu - pravo na tajnost i integritet informacijsko-tehničkih sustava.
Suci u Karlsruheu su, međutim, u tom zakonu ostavili jednu "rupu" kojom su se, u slučaju nužde, trebali služiti državni organi sigurnosti. Kriminalci, objašnjeno je sucima, mogu šifrirati svoju komunikaciju preko interneta - na primjer telefonirajući preko skypea ili služeći se porukama preko chata. Tako šifriranoj komunikaciji istražitelji ne mogu više ući u trag. Zbog toga su se tadašnji ministar unutarnjih poslova Wolfgang Schäuble i šef Saveznog kriminalističkog ureda (BKA) Jörg Ziercke rukama i nogama borili za "nadzor telekomunikacijskih izvora". Ideja tog postupka je da se na računalu mogu "uloviti" poruke sumnjivih osoba prije nego što ih uspiju šifrirati. Za taj postupak suci mogu izdati nalog kao i za telefonsko prisluškivanje.
(Zlo)uporaba rupa u zakonu
Da bi to bilo moguće, država mora prvo "zaraziti" računalo osobe koju nadzire špijunskim Trojancem, a očito to u praksi i radi. Na njemačkim sudovima se, naime, snimci onoga što je na ekranu (screenshot) i snimke telefonskih razgovora preko interneta priznaju kao dokazni materijal. Chaos Computer Clubu su neke žrtve državnog špijuniranja navodno anonimno poslale svoj hard disk, a njegovim hakerima je uspjelo otkrili "državnog Trojanca" te ga dekodirati.
Ako su rezultati analize CCC-a ispravni i ako je istina ono što klub kompjuterskih stručnjaka tvrdi, onda državni špijunski softver može puno više nego samo nadzirati tekuću komunikaciju. On naime, baš kao i Trojanci online-kriminalaca mogu tajno instalirati i nove programe kojima se dalje mogu pretraživati hard diskovi te s njih skidati podaci i sadržaji. Oni se osim toga mogu koristiti kao daljinski mikrofoni i kamere. To omogućuje prodiranje u ono što se u Ustavu formulira kao "jezgra privatnog života" i kao takva posebno štiti. Služeći se ovom praksom, organi sigurnosti bi izričito kršili zakon. Osim toga, ona omogućuje da se na računala osoba koje se špijuniraju instalira kompromitirajući materijal, a da se to ne može dokazati. Sama činjenica da takva mogućnost tehnički postoji slabi moć i uvjerljivost dokaznog materijala do kojega se na ovakav način dolazi. Hakeri iz CCC-a tvrde da je ova funkcija "daljinskog instaliranja" posebno dobro skrivena - iz čega bi se moglo zaključiti da su programeri znali po kako tankom ledu hodaju.
Tko zna što radi policija....
"Državni Trojanac" je izazvao pravu političku buru u Berlinu. Savezno ministarstvo unutarnjih poslova se distanciralo od špijunskog softvera. Savezni kriminalistički ured (BKA) ga navodno ne koristi. Istovremeno, međutim, Ministarstvo unutarnjih poslova ukazuje na činjenicu da policija u pojedinim saveznim zemljama djeluje samostalno, što bi moglo značiti da ona koristi protuzakoniti softver. Savezna ministrica unutarnjih poslova Sabine Leutheuser-Schnarrenberg je shodno tome zatražila da se u saveznim zemljama provede interna istraga. Prvi tragovi vode u Bavarsku. WikiLeaks je već 2008. otkrio ponudu koju su njemački istražitelji dobili od firme DigiTask. Prema objavljenim dokumentima, DigiTask im je ponudio posebni "Skype Capture Unit" sa svojstvima sličnima onima koja su pronađena u analiziranom Trojancu.
Bez obzira je li otkriveni "državni Trojanac" protuzakonit ili ne, više ga organi sigurnosti u Njemačkoj neće moći koristiti - barem ne u ovom obliku. U međuvremenu su već firme za zaštitu računala aktualizirale svoje programe za obranu od virusa pa ubuduće ovaj Trojanac neće moći proći kroz zaštitne filtere.
Autori: Mathias von Hein/ Dunja Dragojević
Odg. ur.: N. Kreizer