Uz kampanju za nominaciju predsjedničkih kandidata republikanaca i demokrata, u kojoj neizvjesnosti ne nedostaje, tema koja je neprestano u vrhu internetskih stranica najuglednijih američkih novina kao što su New York Times i Wall Street Journal je spor tvrtke Apple i američkog pravosuđa oko otključavanja pametnog telefona kojim se koristio Syed Rizwan Farook, napadač u terorističkom napadu u San Bernardinu u Kaliforniji u prosincu prošle godine, kad je poginulo 14, a teško su ranjena 22 američka građanina.
Apple nije samo ignorirao zahtjev policije (FBI) nego i nalog suda da otvori telefon. Neki od razloga su tehnički, tvrdnje da su policajci uzimajući telefon pokušali provaliti lozinku i namjerno ili nenamjerno ga dalje zaključali. Načelno je pitanje zaštite privatnosti korisnika telefona. Apple gura tezu da se mora držati obećanja svojim korisnicima o zaštiti njihove komunikacije putem iPhonea. Digitalna forenzika je novo područje kako u digitalnoj ekonomiji, tako i u digitalnim komunikacijama, digitalnom pravosuđu. Vodeća hrvatska tvrtka u području digitalne forenzike je INsig2. U Hrvatskoj poznata u stručnim krugovima, uspješna je i u inozemstvu, čak bi se moglo reći izuzetno uspješna. Osvajala je europske i NATO-ove natječaje, posluje u regiji, ali i izvan Europe, u azijskim zemljama. O slučaju Apple, ali i o drugim temama iz ovog zanimljivog područja, razgovarali smo s direktorom INsig2 Goranom Oparnicom.
Nismo mlada firma
INsig2 je dosta uspješna, iako još mlada firma, dio IN2 grupe. Možete li predstaviti njezine kratku povijest i najveće dosege?
- INsig2 je osnovan 2004. godine, pa više i nismo tako mlada firma. Nastali smo kao spin-off od IN2. Do tada je nekolicini nas IT sigurnost bila hobi, koji je polako počeo donositi sve više i više posla, pa smo odlučiti osnovati INsig2, koji je specijaliziran za sigurnost poslovanja, i tako ga i brendirati. U prvo vrijeme, INsig2 se bavio sigurnošću informacijskih sustava, pa smo djelatnost proširili i na tehnički zaštitu, a u međuvremenu smo počeli razvijati i kompetencije u domeni digitalne forenzike. Upravo se ovo posljednje pokazalo kao puni pogodak, iako je te davne 2004. i 2005. malo tko znao što je to digitalna forenzika.
Od samog osnivanja fokusirani smo na međunarodna tržišta kako bismo uopće mogli preživjeti. Prva smo hrvatska firma koja je, nakon našeg ulaska u NATO, pobijedila na dva NATO-ova natječaja, i to su zapravo bila prva prava ozbiljna priznanja da je ono što INsig2 radi zaista dobro i konkurentno i u svjetskim razmjerima. Tijekom posljednjih nekoliko godina postali smo pouzdan partner u zemljama srednje i istočne Europe globalnim tvrtkama kao što su Microsoft, Etihad, Cisco, Hospira, Pfizer. Veliki uspjeh postigli smo i pobjedom na natječaju Europske komisije, odnosno njihove Anti Fraud agencije, kojom smo dobili četverogodišnji ugovor za edukaciju policijskih istražitelja iz cijele Europe iz domene digitalne forenzike.
Tijekom ovog ugovora kroz naš edukacijski centar proći će značajan broj policajaca iz cijele Europe. Zbog opsega projekta, INsig2 ga nije u mogućnosti realizirati samostalno pa smo, kao nositelji, posao dobili s partnerima iz Hrvatske, Europe i SAD-a. Tijekom posljednje tri, četiri godine kroz mrežu naših partnera ostvarili smo i značajne projekte u istočnoj i sjevernoj Africi, Bliskom i Dalekom istoku te u SAD-u.
Povod ovom razgovoru je slučaj Apple protiv američkog pravosuđa. Kako vi gledate na taj slučaj? Gdje je tu problem?
- Problem je u kontroli visoke tehnologije, odnosno dostupnosti visoke tehnologije kriminalcima. Internet u kombinaciji s ovako moćnim računalima (a pametni telefoni su vrlo moćna računala) omogućava kriminalcima vrlo jednostavnu komunikaciju i koordinaciju. Zahvaljujući velikoj procesorskoj snazi mobilnih telefona, memorija, odnosno sadržaj iPhonea (ali i drugih modela) kriptiran je vrlo složenim algoritmima koje je nekad bilo moguće izvršavati samo na velikim računalima, čija je cijena bila milijunska, a čiju su proizvodnju i distribuciju nadzirale i kontrolirale odgovarajuće službe. Danas svatko može proizvesti ili pak kupiti takvo tehnološko čudo. Algoritam za enkripciju iPhonea koristi kombinacije ključeva koje generiraju i sam uređaj i korisnik osobno. Onda se oba istodobno koriste za generiranje ključa za kriptiranje sadržaja mobitela. Kada je telefon isključen ili zaključan, sadržaj kriptiranog telefona praktički je nedostupan bilo kome.
Kriminalna djela
Treba li Apple omogućiti američkom pravosuđu pristup kriptiranom sadržaju?
- Po mom mišljenju odgovor je: da. Želimo živjeti u sigurnom svijetu u kojem znamo da snage reda raspolažu kapacitetima za borbu protiv svih oblika kriminala. U suprotnom, da pojednostavim do kraja, želimo li policiju koja ne zna voziti automobile, koja se ne zna koristiti oružjem, koja se ne zna baviti vještačenjima financijskih malverzacija i tko zna što još? Kao što je internet promijenio svijet u kojem žive ‘good guys’, tako je promijenio i svijet u kojem žive ‘bad guys’. Omogućio im je jednostavniju i bržu komunikaciju. Obični građani putem interneta kupuju knjige, glazbu, kućanske potrepštine, a kriminalci naručuju kriminalna djela. Na taj se način kriminal puno efikasnije organizira, a da istovremeno ne mora postojati stalna organizacija, čak niti osobna izloženost kriminalaca. Tehnologija im omogućava da lakše, jednostavnije i sigurnije počine kriminalna djela.
Dodatnu im sigurnost daje činjenica da su uređaji poput pametnih telefona kriptirani pa čak i ako ih policija uhvati, teško će te uređaje koristiti kao dokazni materijal. Razbijanje enkripcije bi trajalo godinama. Pomoć proizvođača tehnologije, pa tako i Applea, je neizbježna. Apple je toga svjestan, zašto se u konkretnom slučaju ponaša kako se ponaša vjerojatno je pitanje politike i trgovine ustupcima koje Apple očekuje od svoje vlade. U biznisu gdje se profiti mjere milijardama dolara ipak vrijede neka sasvim druga pravila sasvim drugoga svijeta.
Apple, a zajedno s njim i Google, Facebook i Facebookov WhatsApp, brane se da su korisnicima svojih usluga obećali zaštitu njihove privatnosti?
- Ono što ja ne razumijem jest - čega se bojimo? Želimo zaštititi našu privatnost? Ali oni koji najviše ugrožavaju privatnost svakoga građana jesu upravo oni koji nam prodaju pametne telefone poput Applea i Samsunga te oni koji nam nude ‘besplatne’ servise poput Googlea, Facebooka, Twittera i sličnih. Zapitamo li se ikad kako i zašto Google apsolutno sve svoje servise (mail, maps, docs, play, drive, goggles, android…) nudi besplatno? Odakle njima financije za sve svoje “besplatne” servise? Pa kvaka je u tome da svi mi koji sebe smatramo korisnicima npr. Googleovih servisa, u suštini nismo Googleovi korisnici. Mi smo njihov proizvod. Google sve podatke koje mi dobrovoljno razmjenjujemo i ostavljamo o sebi na Googleovim servisima, vrlo skupo prodaje ili direktno marketinškim kućama ili tzv. data brokerima koji ih poslije obrađuju i onda oni prodaju krajnjim kupcima. Radi se o multimilijunskim poslovima, a sve je temeljno na našoj naivnosti i uvjerenju da je velikim pružateljima ‘besplatnih’ usluga stalo do naše privatnosti i da su naši osobni podaci kod njih sigurni. Nije li i Snowden potvrdio da postoji kontinuirana razmjena podataka između ovih firmi i CIA-e? Surova je istina da smo se svi mi, velika većina na žalost i nesvjesno, privatnosti dobrovoljno odrekli onog trenutka kad smo kupili pametni telefon i spojili se njime na internet. Tada postajemo samo lako dostupna IP adresa preko koje naši osobni podaci teku u potocima prema Googelu, Microsoftu, Facebooku, Twitteru i data brokerima i marketinškim odjelima velikih firmi. Moje je nikad odgovoreno pitanje zašto ne vjerujemo našim vladama kada su u pitanju naši osobni podaci, a vjerujemo privatnim firmama fokusiranima jedino i isključivo na profit?
Disidenti
No, popusti li Apple američkoj vladi, i nedemokratske vlade od njega mogu tražiti da otvore telefone njihovih disidenata?
- Hm, po meni je ovo prije svega filozofsko a ne praktično ili pravno pitanje, njegov je cilj samo kupovina vremena i mazanje očiju javnosti. Iako nisam pravnik, pokušat ću pojednostaviti neke pravne standarde koji trenutno vrijede u svijetu. Apple je firma koja je registrirana na teritoriju SAD-a i na nju se primjenjuju samo i isključivo zakoni SAD-a te bilo kakvi zahtjevi prema Appleu koji dolaze izvan SAD-a za Apple nemaju apsolutno nikakav pravni učinak. Možda mogu imati poslovni učinak, ali pravni zasigurno ne. U slučaju da bilo koja druga država nešto želi od pravnog subjekta registriranog u SAD-u (konkretno Applea), tada ta država mora pokrenuti proces uzajamne pravne pomoći, odnosno MLAT - Mutual Legal Assistance Treaty zahtjev. Cilj MLAT-a je da pravosudna tijela države od koje se nešto traži (u ovom slučaju SAD-a), nakon američkim zakonima provedenog predviđenog postupka izdaju, odnosno ne izdaju obvezujući nalog Appleu da se povinuje takvom zahtjevu. Znači, čak ni formalno Apple nije taj koji će nositi teret odgovornosti da otključava telefone disidenata u nedemokratskim zemljama, već američko pravosuđe.
Kako je to moguće da američka vlada nema stručnjake koji su u stanju provaliti u iPhone? Zar je to toliko nerješivo?
- Da bi se odgovorilo na to pitanje potrebno je poznavati osnove teorije enkripcije, pokušat ću biti što jednostavniji. Algoritmi enkripcije su u pravilu javno poznati, manje su ili više složeni i u njima samima nema nekih nepoznanica. Međutim, ono gdje nastaje problem kad se radi o provali u kriptirane podatke je ključ koji se koristi za enkripciju, odnosno njegova duljina. Što je ključ dulji, to je probijanje kriptiranih podataka kompliciranije. Iako je razvijeno nekoliko različitih načina za probijanje enkripcije, jedini siguran način koji garantira uspjeh je tzv. “brute force” pristup, odnosno isprobavanje svih mogućih kombinacija ključeva. Ako je korišten na primjer ključ duljine 256 bita, imamo 2256 mogućih kombinacija ključeva. Ako spregnemo jednu milijardu super brzih procesora i damo im zadatak da isprobavaju sve ove kombinacije ključeva, vrijeme potrebno da se svi ti ključevi isprobaju je 9*1050 godina. Iz ovoga se vidi da se ne radi o kompetentnosti američkih stručnjaka, već je vrijeme potrebno za probijanje enkripcije praktično beskonačno. Jedina je opcija da se nametne obaveza da se već pri dizajnu uređaja omogući zaobilaženje enkripcije.
Digitalni dokazi
Kako ocjenjujete hrvatsko zakonodavstvo u pogledu digitalne forenzike?
- Digitalni dokazi su suštinski drugačiji od klasičnih dokaza i vrlo je upitno na koji način trebaju pravno biti definirane istražne metode koje produciraju digitalne dokaze. Hrvatsko zakonodavstvo u par članaka ZKP-a samo okvirno spominje digitalne dokaze, bez ulaska u detaljne definicije ili pak u definiranje digitalnih forenzičkih postupaka.
Ovdje je važno razumjeti da su klasični dokazi isti stotinama godina, a samo se tehnologije za njihovo otkrivanje mijenja.
Otisci prstiju, DNA uzorci, žljebovi na zrnu metka su isti od prvog dana od kada su otkriveni, samo se tehnologija za njihovo dokazivanje mijenja i napreduje. Kod digitalnih dokaza je situacija suštinski drugačija.
Svaki novi mobilni telefon, svaka nova verzija iOS-a ili Androida ili pak Windowsa i Linuxa donosi i nove oblike digitalnih dokaza čije dokazivanje zahtijeva i odgovarajuću prilagodbu. Ali, zloporaba visokih tehnologija od strane kriminalaca je poprimila razmjere o kojima nismo mogli ni sanjati. Treba nam globalni planetarni konsenzus oko razmjene svih informacija nužnih za efikasniju borbu protiv tehnološki potpomognutog kriminala. Bez tog konsenzusa unaprijed gubimo borbu protiv kriminala i možemo s pravom biti zabrinuti oko toga kakav planet ostavljamo svojoj djeci.
Za sudjelovanje u komentarima je potrebna prijava, odnosno registracija ako još nemaš korisnički profil....