Šta sve do sada znamo o – softveru za špijuniranje u Srbiji?

Nisu prikupljali samo poruke i kontakte, već i privatne fotografije, pratili su porodice, uključivali kamere i mikrofone. Analiza nekoliko uzoraka aplikacije špijunskog softvera NoviSpy pronađenih na zaraženim uređajima pokazala je Amnesty International-u da su svi komunicirali sa serverima u Srbiji, a da je jedan od ovih uzoraka bio konfigurisan tako da se direktno poveže sa IP adresom koja se dovodi u vezu sa Bezbednosno-informativnom agencijom Srbije.

Dok BIA saopštava da je u pitanju „trivijalni senzacionalizam”, i odbija da komentariše “besmislene navode iz teksta”, u novom izveštaju Amnesty international navodi: „Činjenica da je u više slučajeva špijunski softver instaliran tokom intervjua sa službenicima BIA-e, omogućavaju Amnesty International-u da sa velikom dozom sigurnosti pripiše ovu upotrebu špijunskih softvera BIA-i i srpskim vlastima”.

U isto vreme, da je sve po propisima tvrdi Ministarstvo unutrašnjih poslova: 

„Ministarstvo unutrašnjih poslova obaveštava javnost da se u okviru Nacionalnog centra za kriminalističku forenziku, Uprave za tehniku, MUP Republike Srbije forenzički alat koristi isključivo u skladu sa Zakonikom o krivičnom postupku Republike Srbije”.

Šta znamo o domaćem softveru za špijunažu NoviSpy?

• Forenzičkom analizom Amnesty international-a otkriveno je da je korišćen proizvod kompanije Cellebrite za otključavanje uređaja. Cellebrite pruža forenzičke alate za ekstrakciju podataka sa uređaja, mada kompanija tvrdi da poseduje stroge politike za sprečavanje zloupotrebe svojih proizvoda. Ipak, izveštaj ukazuje na nelegitimnu upotrebu Cellebrite tehnologije.
• Istraživanje BIRN-a pokazalo je da su policija i BIA koristili različite taktike kako bi aktiviste priveli na informativne razgovore, a potom došli do sadržaja njihovih telefona. Ti razgovori bili su način da se obezbedi pristup uređajima i vreme potrebno za probijanje zaštite telefona i izvlačenje podataka.
• Oduzeti telefoni su odnošeni „iza zatvorenih vrata“, gde su priključivani na naprednu opremu za digitalnu forenziku izraelskog proizvođača Cellebrite, poznatu po otključavanju uređaja. U nekim slučajevima, pored izvlačenja podataka, u telefone je instaliran spyware domaće proizvodnje – NoviSpy. 
• Špijunski softver, nazvan NoviSpy, predstavlja sofisticirani alat za nadzor, ali za razliku od globalno poznatih programa poput Pegasusa i Predatora, koji rade na daljinu, NoviSpy zahteva fizički pristup otključanom telefonu.
• Novootkriveni srpski Android špijunski sistem ima mogućnost prikupljanja opsežnih informacija sa ciljanog telefona.
• NoviSpy omogućava prikupljanje osetljivih ličnih podataka nakon što se željeni telefon zarazi, kao i daljinsko aktiviranje mikrofona ili kamere.
• Prema izveštaju Amnesty International-a, aplikacije, nazvane NoviSpyAdmin i NoviSpyAccess, omogućile su službama bezbednosti pristup privatnim podacima, uključujući kontakte, galeriju, čak i fotografije članova porodice.
• Jedna od aplikacija, NoviSpyAdmin, omogućava i prikupljanje evidencije poziva, liste kontakata i aktiviranje mikrofona. Druga aplikacija, NoviSpyAccess, zloupotrebljava funkcije pristupačnosti Android sistema kako bi prikupljala snimke ekrana, pratila lokaciju uređaja i aktivirala kameru.

Sa kojim sve softverima su do sada bezbednosne službe skupljale podatke?

• Prema pisanju BIRN-a, specifikacija koje su procurele, kao i zvaničnih podataka kompanije Cellebrite, njihova oprema može izvući obrisane poruke, skrivene podatke, istoriju lokacija kroz bazne stanice na koje je telefon bio povezan, bluetooth konekcije, Wi-Fi mreže i slično. Novinari su otkrili i da srpske službe poseduju i Cellebrite analitičke module koji omogućavaju filtriranje i sortiranje podataka, vizualizaciju, mapiranje i obradu podataka uz pomoć veštačke inteligencije, uključujući prepoznavanje lica.
• Zahvaljujući procurelim dokumentima koji su dospeli u ruke novinarskom kolektivu Forbidden Stories i organizaciji Amnesty International, 2021. godine otkriven je “Projekat Pegasus” i više od 50.000 procurelih telefonskih brojeva za koje se veruje da su meta softvera za hakovanje telefona Pegasus. 
• Krajem 2022. godine New York Times objavio je istraživanje zasnovano na pregledu hiljada stranica dokumenata i otkrio da je izraelski program za prisluškivanje „Predator“ korišćen u najmanje 14 zemalja u kojima uglavnom vladaju represivni i autoritarni režimi, ali koristile su ga i vlade najrazvijenijih država sveta, uključujući i Sjedinjene Američke Države. Ovaj špijunski softver korišćen je i u Srbiji, pokazala je istraga.
• Spyware  – Špijunski softver je vrsta malvera koja prikuplja podatke iz inficiranog sistema i prosleđuje ga dalje, obično onome ko ga je napravio. S takvim malverom, neovlašćeno se mogu preuzeti lozinke, lični podaci, prepiske, itd.
• Do sada zapaženi spajveri su Pegasus i Predator. Oni rade neprimetno „u pozadini“ mobilnih telefona, tako što dobijaju kompletan pristup sistemu iskorišćavanjem ranjivosti. Za razliku od Pegasusa za koji nije potrebno da žrtva bilo šta uradi da bi softver bio instaliran, Predator funkcioniše na bazi slanja personalizovanih „fišing“ linkova na koje meta mora da klikne da bi softver bio instaliran.
• Pegasus je alat koji zvanično vlade širom sveta koriste navodno za praćenje kriminalaca i terorista, ali dokazi sve češće ukazuju na njegovu zloupotrebu protiv novinara, aktivista i političkih protivnika. Ovaj softver omogućava potpuni uvid u privatni život osobe koja je na meti – pristup kamerama, mikrofonima, porukama i pozivima – često bez ikakvog vidljivog traga.
• Licenca za korišćenje Pegasusa košta između 20.000 i 30.000 dolara po osobi, a napadi su često praćeni drugim vrstama nadzora, uključujući fizičko praćenje, piše BIRN.
• Slučaj policijskog generala Slobodana Malešića otkrio je kako tužilaštva u Srbiji prikupljaju dokaze i informacije koristeći malvere koji rade poput ozloglašenih Predatora i Pegazusa, a koje osumnjičenima u telefone instaliraju pripadnici Bezbednosno informativne agencije. Dokumentacija iz predmeta protiv policijskog generala otkriva da je na njegov telefon instaliran softver za nadzor koji je fotografisao ekran više puta u toku dana, ponekad i do 20 puta u minuti. Softver je slikao ekran i zabeležio je čak i pisanje poruka koje nikada nisu poslate.
• Pomoću Pegasusa, moguće je dobiti pristup praktično svim podacima koji se čuvaju u pametnom telefonu, kao što su sadržaji SMS-ova, mejlova i čet aplikacija, fotografije, video snimci, adresar, podaci iz kalendara ili GPS podaci. Takođe postoje mogućnosti daljinske aktivacije mikrofona i kamere telefona i snimanja razgovora.
• Dvoje pripadnika civilnog društva iz Beograda dobili su 30. oktobra 2023. godine upozorenje kompanije Apple da su potencijalne mete državno sponzorisanih tehničkih napada. Share fondacija je tada uz pomoć stručnih organizacija došao do zaključka da je inicijalna faza napada pokušana napadanjem ranjivosti uređaja (“PWNYOURHOME”) koja je ranije dovođena u vezu sa špijunskim softverom Pegasus.

Drugi vidovi praćenja i snimanja

• Tokom protekle decenije, Srbija je uvezla više od 20 IMSI kečera, uređaja koji omogućavaju prikupljanje podataka sa svih mobilnih telefona u određenom području. Stručnjaci upozoravaju da njihova upotreba nije zakonski regulisana, objavio je prethodne nedelje BIRN.
• Snimanje građana je aktuelna tema još od 2017. godine kada je tada kao ministar unutrašnjih poslova Nebojša Stefanović sa predsednikom Huaweija potpisao Sporazum o saradnji. Projekat „Bezbedan grad” je podrazumevao „uvođenje inteligentnog video nadzora kojim će se značajno unaprediti efikasnost rada policijskih službenika u cilju povećanja javne bezbednosti, ali i uvođenje tog nadzora u kontrolu saobraćaja, što će doprineti povećanju bezbednost saobraćaja i smanjenju broj saobraćajnih prekršaja”.
• Nacrt Zakona o unutrašnjim poslovima iz 2021. godine dodatno je ugrožavao privatnost građana, isticali su kritičari ovog rešenja. Ono što su predstavnici civilnog sektora tada izdvojili kao sporne stvari ovog nacrta bili su: obrada biometrijskih podataka detektovanog lika, zabrana objavljivanja podataka o identitetu službenog lica, upotreba pojma „policija“, dodatna ovlašćenja ministra i smanjenje javnosti rada. U septembru 2021. godine, tadašnji ministar unutrašnjih poslova Aleksandar Vulin povukao je Nacrt navodno zbog najavljenih izbora, i dalje tvrdeći da je odličan. 
• Međutim, nešto više od godinu dana kasnije, MUP nije odustao od Nacrta novog zakona, te se kao i u prvoj verziji i u novom Nacrtu Zakona o unutrašnjim poslovima nalazi provera identiteta upotrebom sistema za obradu biometrijskih i drugih podataka. 
• Kritike koje su uputile organizacije civilnog društva i na ovaj Nacrt između ostaih su: veća ograničenja i zadiranja u osnovna prava i slobode građana i širenje nadzora nad stanovništvom, kao i pokušaj sakrivanja policije i policijskih službenika od javnosti, kako bi se izbegla njihova odgovornost pred građanima. 
• Sredinom novembra 2024. godine Ministarstvo unutrašnjih poslova počelo je rad na radnoj verziji Nacrta zakona o unutrašnjim poslovima. Rok za izvršenje zadatka Radne grupe je 31. januar 2025. godine.

A šta kažu zakoni?

Zakonske kontrole u ​​Srbiji o upotrebi ovakvih alata su nedovoljne, pokazuje iskustvo. Aktivistima su zaplenjeni mobilni uređaji ponekad bez jasno pravnog opravdanja za pretragu uređaja i bez znanja vlasnika uređaja ili njihove saglasnosti. Forenzička istraga Amnesty International-a je otkrila tehničke dokaze se sistematski koristila mobilnu tehnologiju ekstrakcije podataka, da otključa i izvuče podatke sa zaplenjenih uređaja, ponekad bez saglasnost ili znanje vlasnika uređaja.

• Biometrija se odnosi na tehnologije koje mere i analiziraju karakteristike ljudskog tela kao što su DNK, otisci prstiju, mrežnjače i dužice oka, šabloni glasa, šabloni lica, tela, hoda. Biometrijski podaci građana spadaju u posebno osetljive podatke o ličnosti.
• U skladu sa Zakonom o zaštiti podataka o ličnosti, sve kamere ili drugi uređaji koji prikupljaju podatke kao što su prepoznavanje lica, otisci prstiju ili skeniranje dužice zahtevaju prethodnu procenu mogućeg uticaja na zaštitu podataka o ličnosti.
• Prema zakonskim odredbama Krivičnog zakonika i Zakonika o krivičnom postupku prisluškivanje, kao i praćenje, mogu se sprovesti kao posebne dokazne radnje. Primena posebnih dokaznih mera, prema ZKP, kreće od nadležnog tužioca, koji obrazložen zahtev podnosi sudu.
• Na obrazloženi predlog javnog tužioca sud može odrediti nadzor i snimanje komunikacije koja se obavlja putem telefona ili drugih tehničkih sredstava ili nadzor elektronske ili druge adrese osumnjičenog i zaplenu pisama i drugih pošiljki.
• Zakonom o Bezbednosno-informativnoj agenciji propisane su posebne mere kojima se odstupa od nepovredivosti tajne pisama – odnosno da niko ne sme da otvara sadržaj poruke koja je vama upućena, a izuzetak su slučajevi kada se vrši tajni nadzor i snimanje komunikacije. 
• Posebne mere mogu se odrediti prema licu, grupi ili organizaciji za koju postoje osnovi sumnje da preduzima ili priprema radnje usmerene protiv bezbednosti Republike Srbije, a okolnosti slučaja ukazuju da se na drugi način te radnje ne bi mogle otkriti, sprečiti ili dokazati ili bi to izazvalo nesrazmerne teškoće ili veliku opasnost.

Izvori:

amnesty.org
bia.gov.rs
birn.rs
forbiddenstories.org
istinomer.rs
mup.gov.rs
nytimes.com
otvorenavratapravosudja.rs
paragraf.rs
sharefoundation.info
Zakonik o krivičnom postupku
Zakon o Bezbednosno-informativnoj agenciji