Kada smo se već ponovo dohvatili teme “HackingTeam i hrvatska obavještajna zajednica“, red je dopuniti sve dosad preneseno i nastavkom koji je na tu temu objavio Dražen Tomić na stranicama portala ICT Business samo dan nakon svog prvog uranjanja u ove sadržaje, dakle, 13. srpnja 2015. godine. Pri tome, treba primijetiti kako su sva tada otvorena pitanja i danas potpuno aktualna.
Domaća pravna regulativa kazuje da je moguće prisluškivanje isključivo uz dopuštenje suda i to za obavještajne službe i sve druge državne institucije koje na to imaju pravo – USKOK ili Ministarstvo unutarnjih poslova – ima pravo raditi Operativno-tehnički centar za nadzor telekomunikacija ili OTC.
To je i najveći problem koji proizlazi iz prve analize „ŠPIJUNSKA AFERA: HackingTeam, SOA, Alfatec, Sedam IT i Diverto u kolopletu hakiranja ili kako su progonjeni uvijek za korak ispred progonitelja“ jer očito je da se iz cjelokupne dostupne dokumentacije iščitavaju potencijalni kupci SOA (Sigurnosno-obavještajna agencija), VSOA (Vojna sigurnosno-obavještajna agencija), MUP (Ministarstvo unutarnjih poslova), ali i OTC. U mailovima iz 2013. godine vidi se da se pokušava ponuditi nešto za 150 tisuća eura, iako je inicijalno, kako smo već pisali, cijena bila 1 milijuna € plus 250 tisuća € godišnje održavanje.
Jedini problem je u tome da jedino OTC uz prethodno dopuštenje suda, a na zahtjev neke od mjerodavnih institucija može i smije prisluškivati, i tako pribavljen dokaz moguće je koristiti na sudu. Sve ostalo je protuzakonito.
Naime, glavna je fora softvera da vlasniku omogućava korištenje mimo propisanog “pružatelja usluga”, jer sve mjere nadzora TK prometa prema našim zakonima idu preko OTC-a, tj. OTC je taj koji je “prekidač” koji uključuje i isključuje mjere i prosljeđuje snimke ili podatke o prometu agenciji koja je ishodila nalog. Također u OTC-u se vrši kontrola primjene mjera, pa bi posjedovanje softvera u hrvatskom slučaju omogućilo zaobilaženje OTC-a, a time i nadzora.
“Od svih koji su se interesirali za kupovinu, jedini koji ima pravu zakonsku ovlast i obvezu mjeru uključiti i isključiti je OTC. Također treba postaviti pitanje što će software ZSIS-u kao i da li je kupovina više primjeraka (MUP, SOA, VSOA, OTC, ZSIS – Zavod za sigurnost informacijskih sustava) razbacivanje proračunskih novaca, nabavu je trebao koordinirati i objediniti OTC. ZSIS nema niti zakonske ovlasti za korištenje softwarea, i postavlja se opravdano pitanje da li su službe takvom odvojenom nabavom mogle prilikom korištenja zaobići OTC i kontrolu“,
tvrdi nam jedan od sigurnosnih stručnjaka.
Veliki problemi
Kao što smo već pisali, a da ponovimo još jednom, dok čekamo odgovore iz Alfateca (Alfatec Group), Sedam IT-a i Diverta oni su bili kontakti u Hrvatskoj za nabavku softvera od strane HackingTeam-a iz Italije, do koje ipak nije došlo. Međutim, zbog svega se otvaraju velika sigurnosna pitanja kako u zaštiti privatnosti, kao i načina poslovanja hrvatskih tvrtki i hrvatskih agencija s HackingTeam-om koji se očito nije ponašao prema pravilima etičkog hackinga jer su koristili poznate propuste Adobeova Flasha kako bi omogućili prisluškivanje. I pritom nisu obavještavali tvrtke o propustima nego su ih „nastavljali poskrivećki koristiti u vlastitom softveru“.
Prema dostupnim informacijama od stručnjaka za ICT sigurnost postoje još neki neotkriveni propusti Flasha, a domaći ga je CERT proglasio nesigurnim. Hackeri su u nekim virusima već iskoristili postojeće probleme Flasha, a još se čeka neka od novih zakrpi Adobea.
“Damage control”
Upravljanje incidentom ne smije se prepustiti slučaju niti očekivanju da će se incident nekako, nekim čudom sam od sebe riješiti, naročito ne u današnjem svijetu kad informaciju više nije moguće sakriti niti zaustaviti. Obavijest o hakiranju softvera tvrtke HackingTeam stajala je objavljena u vodećim svjetskim medijima, a i na stranicama nacionalnog CERT-a, već gotovo tjedan dana prije nego što su hrvatski mediji odlučili proučiti o čemu se radi i objaviti smislen tekst koji upućuje na razmjere incidenta i na otkrivene povjerljive e-mail poruke o nabavci softvera od strane SOA-e i drugih institucija koje su objavljene na stranicama WikiLeaksa.
Ono što smatraju eksperti potpuno nerazumljivim je izostanak bilo kakvog stručnog upravljanja incidentom od strane naših institucija, jer ovdje se radi o problemu koji se tiče nas svih – kao prvo, iako je prisluškivanje zakonski regulirano i nije sporno kad se radi u skladu s propisima i s ciljem naše sigurnosti, za njegovu provedbu sve demokratske, civilizirane države moraju koristiti metode koje ne dovode u pitanje etičnost i zaštitu ljudskih prava, a rješenja koja nudi HackingTeam već su godinama na glasu kao neetična i korištena od strane represivnih režima. Kao drugo, iz poruka koje su iscurile vidljiva je prisutnost vrlo spornih načina pregovaranja i odlučivanja o tome kako će SOA trošiti naš novac, potvrdilo nam je nekoliko nezavisnih stručnjaka za računalnu sigurnost.
To što su navodno odustali od kupnje rješenja zbog nedostatka sredstava, ne čini slučaj riješenim, jer ostaju činjenice da takvo neetično rješenje jesu pokušavali nabaviti i to na sporan način, a te činjenice zabrinjavaju javnost. Očekuje se stoga primjerena, iako već odavno zakašnjelu, reakciju nadležnih i reviziju provedenih postupaka.
———————————–
Original ovoga teksta objavljen je 13. srpnja 2015. godine pod naslovom “ŠPIJUNSKA AFERA (2): OTC je jedini koji ima pravo prisluškivati“, na internetskoj stranici http://www.ictbusiness.info/.
Njegov je autor Dražen Tomić, a tekst je u originalu dostupan na adresi: http://www.ictbusiness.info/vijesti/spijunska-afera-2-otc-je-jedini-koji-ima-pravo-prisluskivati