Kako mi obični ljudi špijuniramo jedni druge

Džon* je u januaru 2016. otkucao kratak SMS svojoj ženi: „Volim te".

Ali ovo nije bila jedina poruka koju je ona pročitala. Džon nije znao da mu je žena ozvučila telefon. Držala ga je pod prismotrom, čitala svu tekstualnu i multimedijalnu prepisku, pratila mu svaki korak koristeći GPS njegovog uređaja.

Takođe je krala sve Džonove slike. Na jednoj mutnoj, ovaj policajac iz gradića na jugozapadu Sjedinjenih država kleči iznad osumnjičenog čije lice je pritisnuto o asfalt. Na drugoj, Džon pravi selfi u košulji sa kravatom. Na trećoj se vidi razmena mejlova sa Fejsbukovim timom za pomoć organima reda i mira, u kojoj Džon od njih traži podatke o izvesnom licu pod istragom.

Ove poruke i fotografije, kao i snimke nekih intimnih trenutaka, Džonova supruga je svukla sa telefona koristeći komercijalni softver za prismotru koji proizvodi američka kompanija Retina-X. Zanimljivo je da se softver zove „Telefonski šerif".

Džon je samo jedan od nekoliko desetina žrtava ove vrste relativno jeftinog privatnog spajvera, dostupnog širom sveta. Sasvim prosečni ljudi – advokati, nastavnici, građevinci, roditelji, ljubomorni ljubavnici – kupuju malver kojim nadziru telefone ili kompjutere sebi bliskih osoba, otkriva se u hakovanim podacima iz kompanija Retina-X i FlexiSpy.

Jasno se vidi u kojoj meri je na tržištu danas prisutna komercijalna nadzorna tehnologija, koja deli mnoge osobine ili čak delove koda sa špijunskim softverom koji koriste države. Po svemu sudeći, nije mali broj ljudi spreman da na ovaj način vrši prismotru nad svojim partnerima, bračnim drugovima, ili potomcima.

Drugim rečima, ko će koga da nadzire ako ne svoj svoga.

Morgan Marki-Boar, specijalista za pitanja informacione bezbednosti, mesecima je istraživao industriju za prodaju komercijalnog špijunskog softvera i naišao na brojne primere njegove upotrebe u slučajevima porodičnog nasilja. Takođe je godinama istraživao istu vrstu softvera koju koriste državne institucije, ali po njemu komercijalna varijanta – takozvani stokerver –zaslužuje više pažnje. Prisutna je u većoj meri nego što se misli a „žrtve su obični ljudi".

Sofisticirane mere državne sajber-prismotre usmerene ka pojedincima su nalik na „redak patogen" dok je komercijalni spajver više kao „prehlada ili grip", kaže Marki-Bore za Motherboard. „Manje je egzotično, ali ipak ubije dosta ljudi svake godine."

Oko 130,000 ljudi ima nalog u firmama Retina-X ili FlexiSpy, otkrila su dvojica hakera delom preko SecureDrop platforme. Ukupan broj mušterija mogao bi biti još više jer dostupni podaci ne predstavljaju pun uvid u poslovanje ovih kompanija.

Vlasnici FlexiSpy naloga su, između ostalog, učitelj petog razreda iz Vašingtona, odgajivač pasa iz Džordžije, i predsednik distributera naočara za sunce iz Njujorka.

Ako se instalira softver u ponudi FlexiSpy odnosno Retina X na nečiji telefon, stiče se mogućnost da se prisluškuju telefonski pozivi, daljinski uključuje mikrofon uređaja, nadzire aktivnost Facebook, WhatsApp, ili iMessage četa, čita sadržaj SMS poruka, prati GPS lokacija uređaja, i beleži aktivnost internet brauzera.

Vlasnica Retina-X naloga je, između ostalih, Džonova žena. Uz pomenuti PhoneSheriff softver, kompanija takođe nudi programe po imenu SniperSpy i TeenShield. Korisnici se pretplaćuju po mesečnoj i godišnjoj osnovi, a uslugu plaćaju između 50 i 200 dolara.

__________________________________________________________________________________________________

Pogledajte VICE film Upoznajte oca interneta

__________________________________________________________________________________________________

Identifikovali smo vlasnike naloga preko login adresa i imena iz hakovanih podataka, koristeći javno dostupne profile pojedinaca na društvenim mrežama i raznim sajtovima. (U nekim slučajevima potvrdili smo da je određena adresa bila povezana sa određenim spajver nalogom tako što smo pokušali da otvorimo novi nalog koristeći tu adresu, ili tako što smo preko nje zatražili resetovanje lozinke.) Neki korisnici FlexiSpy odnosno Retina-X usluga potvrdili su nam anonimno su pretplaćeni kod ovih kompanija.

„Uzela sam to da bih videla da li me dečko vara," piše nam jedna korisnica FlexiSpy softvera.

„Koristio sam taj program da bih utvrdio da li me bivša devojka vara. Omogućio mi je da je snimim… na delu. Potpuno se isplati", kaže još jedna zadovoljna mušterija.

„Sasvim normalno", tvrdi treći FlexiSpy klijent za Motherboard.

Ovi vlasnici naloga za špijuniranje, kao i njihove žrtve, ne žive samo u SAD. Retina-X podaci sadrže veliki broj neproverenih GPS koordinata zaraženih telefona širom planete. Francuska, Španija, Izrael, Brazil, Kolumbija, Mozambik, Nigerija, Indija, Vijetnam, Indonezija, Australija, i mnoge druge zemlje su prisutne. GPS podaci pokrivaju period od 2014. do pred kraj 2016., ali haker kaže da je u pitanju samo uzorak.

Mapa navodnih GPS lokacija žrtava privatne prismotre preko Retina-X softvera. Precizne lokacije smo blokirali da bismo zaštitili pravo na privatnost.

Podaci takođe sadrže dokaze da državne institucije koriste FlexiSpy usluge. Kompanija je povezana sa tržištem malvera za državne potrebe, ali nije jasno da li su sve kupovine softvera bile privatne ili državne prirode.

Retina-X podaci takođe sadrže skrinšotove i slike naizgled prikupljene sa zaraženih uređaja: muškarac se kezi u kameru telefona; devojčica pozira pred ogledalom. Na velikom broju fotografija su deca, jer komercijalni spajver omogućava roditeljima i starateljima da legalno nadziru svoje štićenike. Softver takođe omogućava nadzor zaposlenih preko telefona koje poslodavac izdaje na korišćenje. Obe kompanije navode ove opcije na svom sajtu, a Retina-X ističe da zakon dozvoljava samo te dve mogućnosti.

Pregled podataka koje su dva hakera ukrali iz FlexiSpy i Retina-X.

Pa ipak, ogromna većina naloga po svemu sudeći povezana su sa ličnim mejl adresama a ne sa domenima kompanija, agencija, ili državnih institucija. FlexiSpy se čak eksplicitno obraća ljubomornim osobama koje žele da špijuniraju svoje bračne drugove.

„Mnogi varaju", kaže reklama na sajtu. „Svi koriste telefone. Telefon odaje što partner neće."

Tokom poslednje dve decenije, zabeleženo je korišćenje komercijalnog spajvera u slučajevima porodičnog nasilja. NPR je 2014. obavio istraživanje koje je pokazalo da 75% američkih ispitanika u sigurnim kućama za žrtve nasilja u porodici ima kontakta sa žrtvama koje je partner elektronski nadzirao.

Eli Armagedon, aktivistkinja i stručnjak za operativnu bezbednost, kaže da je teško tačno odrediti koliki je procenat zlostavljanih žena – ili muškaraca – bio izložen spajveru, ali da korišćenje ove vrste softvera može lako da spreči žrtvu da pobegne tako što otkrije nasilniku njene planove.

„Prodavci komercijalnog spajvera zarađuju na tuđoj patnji, prihvataju određeni broj žrtava zarad profita koji ostvaruju", kaže Armagedon za Motherboard. „Spajver je spajver, njim se svakako narušava privatnost mete; ne menja stvar da li je ona disident kog pod prismotrom ima državna agencija, ili žena koju zlostavlja partner."

Džesika* je žrtva porodičnog nasilja. Čovek sa kim je tada još bila u braku koristio je spajver da bi je nadzirao dok su bili razdvojeni. Prvo je instalirao loger na njen laptop, a zatim i malver na njen telefon."

„Sranje, pa on zna tačno šta sam kucala ceo dan", opisuje Džesika svoju tadašnju situaciju. „Ako kažem da idem na jedno mesto a odem na neko drugo, on mi pošalje SMS u kom samo kaže 'vidim te'. Užasan je osećaj, kao kad te neko drži na oku dvadeset četiri časa dnevno."

Dva hakera koja su ove podatke ukrala od FlexiSpy i Retina-X protive se tom načinu poslovanja. Ipak, desetine hiljada korisnika o kojima su obavestili javnost samo su deo šireg tržišta komercijalnog softvera. Postoji čitav niz sličnih firmi koje relativno jeftino prodaju ovu vrstu programa. Među najvećima je mSpy koja navodno ima čak dva miliona korisnika (a hakeri su je napali još 2015.)

„Nažalost, većina žrtava porodičnog nasilja ne zna koju od mnogih mera elektronskog nadzora njihov partner koristi da bi ih pratio", kaže Sindi Sautvort, potpredsednica Nacionalne mreže za ukidanje nasilja u porodici.

Prismotra privatne komunikacije je u većini država unutar SAD nezakonito, osim u slučajevima roditelja koji nadziru svoje dete ili poslodavca koji nadzire zaposlene preko uređaja koje im firma obezbedi. Zatvorske kazne se izriču za instaliranje spajvera na nečiji telefon bez sudskog naloga.

Haker koji je napao Retina-X takođe ističe da se protivi korišćenju ovih programa i u slučajevima roditelja koji nadgledaju decu.

„Bar 99 odsto ljudi koji podležu ovim merama ne zaslužuju tu vrstu prismotre", kaže anonimni haker za Motherboard. Ne protivi se prismotri samo iz etičkih razloga, već zato što ova vrsta softvera ne šalje podatke samo roditeljima. Kompanija koja prodaje softver takođe zadržava sve prikupljene podatke, a od nje može da je ukrade ko god želi.

„Nemoguće je biti u situaciji u kojoj isključivo ti nadgledaš nekoga," dodaje haker. „Roditelji bi morali dobro da razmisle čemu sve izlažu svoju decu kad to rade (…) Hteli smo da udarimo na te mehanizme špijuniranja zato što je to po nama gotovo bez izuzetka štetan softver."

Haker koji je udario na FlexiSpy koristi nadimak LeopardBoy što je referenca na „Hakere", kultni film iz 1995. On kaže da je poslovanje ove firme „odvratno, jebote, koža mi se ježi kad pomislim na to što rade."

„To je jedna gomila govnara koja neetički profitira na nesigurnim ljudima i bogati se", kaže LeopardBoy koji je napadom želeo da skrene pažnju na čitavu industriju.

„Kao što je dobri Fineas davno rekao, hakovanje nije samo sebi cilj, bitna je poruka", dodaje LeopardBoy. (Fineas Fišer, heroj hakerske zajednice, pristupio je serverima kompanija FinFisher i Hacking Team koje svoj spajver prodaju državnim organima.)

Oba hakera ističu da pristup sistemima pomenutih firmi koje prodaju komercijalni spajver nije bio naročito težak. Jedan kaže da Retina-X do te mere prezire da je krajem februara odlučio da im obriše sve podatke sa servera. Login portali za PhoneSheriff i ostale usluge ove kompanije u to vreme su bili na pauzi zbog „tehničkih problema".

Poruka koja se u februaru pojavila na login stranici „Telefonskog šerifa", u vreme kada je haker navodno obrisao sve podatke sa servera i tako ih blokirao na nekoliko dana.

„Ne bih da drugi ljudi naiđu na te selfije na rekspejsu ili tako negde. Da makar na kratko sprečim nadzor roditelja i ostalih, to mi je zvučalo kao dobra ideja."

LeopardBoy kaže da su on i jedan kolega na sličan način napali FlexiSpy prošlog ponedeljka.

„Zbogom FlexiSpy", pisali su 18. aprila preko otetog Tviter naloga ove kompanije, „Zdravo FlexiDie".

„Da li se osećate bezbedno?" pitao je klijente jedan od provokativnih tvitova. Hakeri su tom prilikom takođe izbrisali sadržaj nekoliko servera i podesili sajt kompanije tako da automatski prosleđuje pristup na britanske aktiviste Privacy International.

Pokušali smo da se obratimo osnivaču kompanije FlexiSpy, Atru Raihanu. Na telefon se javila osoba koja se predstavila kao Raihan, ali kad smo mu zatražili komentar na ovu temu, on se predomislio i rekao da je neko drugi. Pres služba kompanije ne odgovara na naše mejlove. Korisnici su primetili prekid usluga, pa je u odgovoru na komentare na Fejsbuku firma prošlog utorka morala da odgovori: „FlexiSPY trenutno ima određene tehničke probleme, pa logovanje na portal neće biti moguće tokom sledećih 48 časova."

Iz Retina-X takođe nisu odgovorili na naše zahtev za razgovor.

Možda ova vrsta upada neće sprečiti špijuniranje dece ili partnera, ali možda nas je informisala o tome koliko su ove pojave česte, odnosno koliko je moćan postao komercijalni spajver… čak i u malim mestima na jugozapadu SAD."

Džonova žena nadzirala je njegov telefon tri meseca, pokazuju ukradeni podaci. Po SMS zapisima, ne deluje da je on toga bio svestan. Na onu poruku „Volim te" iz januara prošle godine, stigao je umirujući odgovor:

„Volim i ja tebe."

*Imena izmenjena radi zaštite privatnosti

Još na VICE.com

Misterija tvita Grada Beograda: Istina nije tamo negde, već u metapodacima

'Otac' Pirate Bay-a me je ubedio da je bolje da izgubimo bitku za slobodni internet

Mogu li poslodavci zaista da nam zadiru u privatne prepiske