Tokom protekle decenije, Srbija je uvezla više od 20 IMSI kečera, uređaja koji omogućavaju prikupljanje podataka sa svih mobilnih telefona u određenom području. Stručnjaci upozoravaju da njihova upotreba nije zakonski regulisana
Foto: Ruben Cruces-Perez
Bilo je to u januaru 2014. godine, kada su protesti na glavnom trgu u Kijevu protiv tadašnjeg proruskog predsednika, dostigli svoj vrhunac. Pro-evropski demonstranti su, uprkos temperaturama ispod nule i prisustva teško naoružane policije, okupirali trg i odbijali da se povuku.
Iznenada, prema medijskim izveštajima, tačno u ponoć su na svojim telefonima dobili istu poruku: „Poštovani korisniče, registrovani ste kao učesnik masovnih nereda.“
Poruka je poslata pomoću uređaja poznatog kao IMSI kečer (International Mobile Subscriber Identity-Catcher).
IMSI kečeri, imitiraju legitimne bazne stanice mobilnih operatora, identifikuju i lociraju korisnike, a zatim masovno prikupljaju komunikacije sa svih mobilnih telefona u radijusu od nekoliko stotina metara.
Prema nalazima BIRN-ovog istraživanja, Srbija je tokom protekle decenije uvezla više od 20 ovakvih uređaja, ali, kako navode stručnjaci, za sve to vreme nije usvojila zakone koji bi regulisali njihovu upotrebu.
Samo tokom protekle godine, Švajcarska i Finska izdale su 16 dozvola za izvoz IMSI kečera u Srbiju – podaci su koje je BIRN dobio od ministarstava spoljnih poslova ove dve zemlje. Jedan uređaj, koji je srpsko Ministarstvo unutrašnjih poslova kupilo od švajcarske kompanije, koštao je skoro dva miliona švajcarskih franaka, odnosno nešto više od dva miliona evra.
Javni podaci pokazuju da su isti dobavljači prodavali sličnu tehnologiju zemljama koje su poznate po kršenju ljudskih prava, poput Namibije, Maroka, Ujedinjenih Arapskih Emirata i Kolumbije.
IMSI kečeri su često prenosivi i dovoljno mali da mogu stati u ranac, a njihove žrtve ih ne mogu primetiti, što zaštitu od njihovih najintruzivnijih funkcija čini gotovo nemogućim.
Uobičajeno, nadzor mobilnih komunikacija od strane policije zahteva sudsku naredbu i posredovanje mobilnog operatora. Međutim, Jelena Pejić Nikić, starija istraživačica iz Beogradskog centra za bezbednosnu politiku, upozorava da se IMSI kečeri u Srbiji mogu koristiti mimo regularnih procedura.
“Ne postoji javni propis koji uređuje primenu ove specifične tehnologije. Postoje opštije zakonske odredbe pod kojima bi se ona mogla koristiti, ali čak i tada ulazi u sivu zonu, prvenstveno zbog potencijalno nesrazmernog nadzora i nedostatka kontrole. U svakom slučaju, policija ne sme ovu tehnologiju da koristi preventivno, na primer da utvrdi ko sve učestvuje na antivladinim demonstracijama”, rekla je Pejić Nikić.
ARHIVA PPNS 2021 BIRN: IZ DIPLOMATSKE DEPEŠE - JADAR 2
Špijunski posrednik na mreži: Izmiče regulatorima i mobilnim operaterima
Zvanično, IMSI kečeri se koriste za prikupljanje obaveštajnih podataka, u krivičnim istragama i potragama. Međutim, oni omogućavaju i masovni nadzor velikog broja ljudi u određenim područjima, na šta organizacije civilnog društva i zagovornici digitalnih prava upozoravaju već godinama.
„Ovi uređaji nemaju ograničenja; mogu se koristiti na bilo kojoj lokaciji i u bilo kojoj situaciji, kontinuirano prateći veliki broj korisnika istovremeno“, rekao je IT stručnjak koji je želeo da ostane anoniman.
„Postoje različite verzije, uključujući stacionarne uređaje velike kapaciteta, prenosive modele u rancu, uređaje veličine kofera, pa čak i dronove u poslednjih nekoliko godina. Najčešće se koriste u urbanim područjima, gde postoji gusta pokrivenost baznim stanicama.“
Matej Kovačič, istraživač u oblasti sajber bezbednosti i predavač na Univerzitetu u Novoj Gorici u Sloveniji, izjavio je za BIRN: „Kada se koriste u prometnim mestima poput tržnih centara ili urbanih centara, IMSI kečeri prikupljaju podatke ne samo o ciljanim uređajima, već i o svima koji se nalaze u radijusu od nekoliko stotina metara.“
Naglašavajući da je prisluškivanje bez sudskog naloga krivično delo, Jelena Pejić Nikić postavila je pitanje kako operater IMSI kečera može izolovati samo uređaje obuhvaćene takvim sudskim nalogom.
„Ako je to tehnički moguće, onda je pitanje kako se vrši nadzor nad primenom i kontroliše da li je došlo do prekomerne upotrebe, odnosno zloupotrebe“, rekla je Pejić Nikić za BIRN.
„U tu svrhu neophodno je da postoji softver koji automatski beleži sve što je rađeno i koje ovlašćeno lice je primenjivalo meru, i da se tom evidencijom ne može manipulisati. Onda je prvenstveno na nadležnom tužiocu i sudiji da provere da li se ta evidencija poklapa sa policijskim izveštajem i da preduzmu odgovarajuće mere.“
Pejić Nikić je naglasila da „ne postoji zakonska osnova“ za upotrebu ovakve tehnologije u kontekstu antivladinih protesta, koji se u Srbiji ponavljaju već godinama.
„Takva upotreba ne bi bila ni legitimna ni proporcionalna, ozbiljno ugrožavajući ne samo pravo na zaštitu ličnih podataka, već i slobodu izražavanja i okupljanja.“
Upozorila je da upotreba IMSI kečera „očigledno zaobilazi mobilne operatere, koji su inače obavezni da provere da li su svi zahtevi koje dobijaju zasnovani na sudskim nalozima i da odbace one koji su nepotpuni.“
Matej Kovačič je dodao da se zapisi IMSI kečera mogu izbrisati i predložio da se razmotri osnivanje nezavisnog tela koje bi nadziralo njihovu upotrebu od strane policije i obaveštajnih službi.
Regulatorna agencija za elektronske komunikacije Srbije, RATEL, saopštila je za BIRN da u poslednjih deset godina nije otkrila nijedan IMSI kečer u zemlji, niti su ih bezbednosne agencije obavestile o nameri njihove upotrebe.
ARHIVA PPNS 2023 RIO TINTO, PRIČA KOJA TRAJE (BIRN PRIČA)
NeoSoft: Paprena cena švajcarske tehnologije nadzora
IMSI kečer nije jeftina oprema.
U oktobru 2023. godine, kompanija NeoSoft iz Ciriha isporučila je dva uređaja – jedan srpskom Ministarstvu unutrašnjih poslova, a drugi obaveštajnoj agenciji BIA. Ministarstvo je za svoj uređaj platilo 1,95 miliona švajcarskih franaka, odnosno nešto više od dva miliona evra.
Drugi uređaj je uvezen radi testiranja, a BIA ga nije dugo zadržala, potvrdio je švajcarski Državni sekretarijat za ekonomske poslove (SECO) za BIRN.
NeoSoft je već krajem 2016. godine isporučio svoj prvi IMSI kečer Ministarstvu unutrašnjih poslova, ali po znatno nižoj ceni od 147.000 švajcarskih franaka, odnosno 158.000 evra.
Matej Kovačič objašnjava da cene ovih uređaja variraju u zavisnosti od njihove funkcionalnosti i sofisticiranosti korisničkog interfejsa.
„Ovi uređaji imaju vrlo malo konkurencije, što objašnjava njihovu visoku cenu“, rekao je Kovačič.
Katalozi proizvoda kompanije NeoSoft iz 2010. godine pokazuju da je kompanija godinama razvijala tehnologije za nadzor mobilnih komunikacija, sposobne za presretanje poziva, SMS poruka i geolokacija, selektivno ometanje signala, dešifrovanje komunikacija, identifikaciju glasa i daljinsku aktivaciju mikrofon na telefonu.
Jedan od IMSI hvatača kompanije NeoSoft Izvor: Promotivni materijal kompanije NeoSoft
Napredni IMSI kečeri uključuju funkcije poput „tihog poziva“, koji oponaša telefonski poziv ka ciljanom uređaju i aktiviraju njegov mikrofon.
Pored IMSI kečera, NeoSoft nudi globalne sisteme za geolokaciju koji koriste ranjivosti u međunarodnom telekomunikacionom protokolu SS7, omogućavajući precizno praćenje elektronskih uređaja širom sveta. Ovim vidom napada služila se sada ugašena izraelska kompanija Circles, za koju postoje indicije je isporučila sajber-ofanzivnu opremu srpskim bezbednosnim agencijama.
NeoSoft se ranije našao pod lupom švajcarskih vlasti zbog pregovora sa ozloglašenim Bangladeškim specijalnim bataljonom za brze akcije (RAB), koji deluje pod okriljem tamošnjim ministarstvom unutrašnjih poslova i koji su organizacije za ljudska prava često optuživale zbog kršenja ljudskih prava, uključujući ubistva i otmice aktivista i novinara.
Tender dokumentacija, koju su 2014. godine pribavili organizacija Privacy International i švajcarski list WOZ, otkrila je da je NeoSoft planirao obuku za 10 članova RAB-a te godine u Švajcarskoj. NeoSoft se nije oglasio povodom ovih izveštaja.
U decembru 2023. godine, suđenje bivšoj visokorangiranoj službenici Ministarstva unutrašnjih poslova Srbije, Dijani Hrkalović, optuženoj za trgovinu uticajem, i bivšem šefu novosadske policije, Miloradu Sušnjiću, optuženom za zloupotrebu službenog položaja, osvetlilo je potencijalnu upotrebu IMSI kečera od strane srpske policije.
Operativac Božidar Drobnjak svedočio je da je Sušnjić insistirao na korišćenju uređaja koji je nazivao „kečer“ kako bi pratio osuđenog kriminalca Darka Eleza, poznatog po komunikaciji preko interneta i putem „specijalnih“ telefona.
ARHIVA PPNS 2022 BIRN: KO SU GLAVNI IGRAČI U BIZNISU ISTRAŽIVANJA RUDA U SRBIJI?
EXFO: IMSI kečeri montirani na dronove
Dokumenta koja je BIRN dobio od finskog Ministarstva spoljnih poslova otkrivaju da je Srbija kupovala IMSI kečere i drugu opremu od kompanije EXFO, koja je specijalizovana za opremu za nadzor i komunikacije.
Srbija je u protekloj deceniji uvezla najmanje 20 IMSI kečera od EXFO-a. Samo u februaru prošle godine, izdato je osam dozvola za izvoz ovih uređaja.
Još u maju 2016. godine, Srbija je nabavljala EXFO-ovu seriju NetHawk, dizajniranu za presretanje i geolokaciju mobilnih i Wi-Fi komunikacija, skeniranje radio frekvencija, ometanje signala i detekciju IMSI kečera.
Ovi uređaji dolazili su sa softverom NetHawk F10, namenjenim za „taktičko prikupljanje obaveštajnih podataka“ u GSM, UMTS i LTE mrežama, pa čak i u oblastima koje nisu pokrivene baznim stanicama.
Godine 2018, IT magazin Motherboard, izvestio je da je invazivna oprema proizvedena od strane EXFO-a izvožena u zemlje poput Omana, Indonezije, Meksika, Maroka, UAE i Kolumbije – koji su poznate po nepoštovanju ljudskih prava.
Softver NetHawk F10 za presretanje Izvor: Brošura NetHawk-a
Patent koji je kompanija NetHawk registrovala u Evropskom zavodu za patente 2011. godine otkriva da su njihovi IMSI kečeri već tada imali mogućnost preuzimanja kontrole nad mobilnim uređajima u realnom vremenu, tako što bi ometali signale legitimnih baznih stanica i preusmeravali ciljane uređaje na lažne bazne stanice.
Patent registrovan u februaru 2020. godine u SAD pokazuje koliko je ova tehnologija napredovala. U opisu se navodi IMSI kečer montiran na dron, sposoban za preciznu horizontalnu i vertikalnu geolokaciju, kao i za „tihe pozive“.
CellXion: Prisluškivanje od GSM do 5G mreže
Srbija je između 2015. i 2018. godine nabavljala IMSI kečere i iz Velike Britanije. Među dobavljačima bila je i londonska kompanija CellXion, koja je dobila dozvolu za isporuku alata za presretanje bežičnih komunikacija, ometanje signala i identifikaciju pretplatnika.
CellXion je predstavljen kao izlagač na veb-sajtu sajma „Security and Policing 2025“, koji organizuje britanski Home Office, kao kompanija specijalizovana za nadzor mobilnih komunikacija na mrežama od GSM-a do 5G-a.
Stariji protokoli, poput GSM-a i 2G-a, podložniji su napadima IMSI kečera nego noviji 4G i 5G protokoli, međutim, Matej Kovačič je za BIRN objasnio: „Neki IMSI kečeri koriste ranjivosti u 4G i 5G mrežama tako što stvaraju smetnje, zbog kojih se mobilni telefoni bez podrške za novije mreže ‘vraćaju’ na stariji 2G protokol. Od tog trenutka, pristup postaje jednostavan.“
Još jedna britanska firma, TGL Services Ltd, dobila je privremenu dozvolu 2016. godine za izvoz IMSI kečera u Srbiju.
Kovačič je naglasio da ne postoji efikasna zaštita od geolokacije ili identifikacije korisnika kada se nalaze u blizini IMSI kečera, ali je dodao da aplikacije sa enkripcijom, poput Signala ili Elementa, „mogu zaštititi sadržaj komunikacije“.
„Specijalni enkriptovani mobilni telefoni, takođe. Špijunaža se zato više okrenula spyware-ima,“ rekao je Kovačić.
Chora: Pošiljka iz Danske za odabrane partnere
Početkom 2018 u Srbiju je, radi demonstracije proizvoda i bez posrednika, stigao uređaj danske kompanije Chora, sa tarifnim brojem 5A001 f. – oprema za presretanje ili ometanje. Izvozna licenca nije precizirala podvrstu robe o kojoj je reč ali dokumentacija potvrđuje da je uređaj namenjen za bezbednosne strukture- “Vojna/policijska/obaveštajna služba/ministarstvo spoljnih poslova/ministarstvo odbrane”.
Malo informacija o danskoj kompaniji dostupno je na promotivnim sajtovima sajmova naoružanja. Sajtovi ovih sajmova na kojima Chora izlaže navode da se firma specijalizovala za elektronsko ratovanje i satelitsku komunikaciju, te da sarađuje sa malim brojem odabranih partnera.
ARHIVA PPNS 2023 BIRN: MILIONI EVRA IZVUČENI IZ BUDŽETA POD MASKOM BRIGE ZA UČENIKE
IMSI kečeri na domaćim rafovima
Bezbednosne agencije u Srbiji sada mogu da nabave ovu tehnologiju i na domaćem tržištu.
Dve srpske kompanije nude proizvode i usluge u oblasti presretanja mobilnih komunikacija: Ibis Instruments i MRG Export-Import.
Ibis Instruments reklamira usluge IMSI hvatanja, presretanja odlaznih SMS poruka i biranih brojeva, geolokacije i profilisanja korisnika na osnovu otvorenih izvora i karakteristika uređaja. Kompanija takođe tvrdi da može da blokira ili generiše SMS i glasovne pozive za bilo koju metu sa bilo kog broja.
Na svojoj veb stranici, Ibis Instruments navodi da je partner više inostranih kompanija koje nude rešenja za presretanje komunikacija, dešifrovanje sigurnih mobilnih i internet komunikacija, elektronsko ratovanje i digitalnu inteligenciju. Među partnerima je i kanadska kompanija Sandvine, poznata po svojim rešenjima za internet cenzuru.
MRG Export-Import, koji godinama isporučuje forenzičke alate za mobilne telefone Ministarstvu unutrašnjih poslova Srbije, nudi IMSI kečere brenda Septier. Takođe promoviše uređaj „Cellular Extractor“, sposoban za geolokaciju telefona, presretanje razgovora i poruka, kao i za modifikaciju SMS poruka. U ponudi je i mini-IMSI kečer sa sličnim mogućnostima, ali sa ograničenim dometom do 100 metara.
Fotografije mini IMSI hvatača i uređaja Cellular Extractor kompanije Septier, koje MRG Export-Import prodaje svojim klijentima Izvor: Veb stranica kompanije MRG
Dokumenta iz javnih nabavki, do kojih je došao BIRN, otkrivaju da je Vojnotehnički institut Srbije razvio radio-opremu pod nazivom HERA, namenjenu presretanju komunikacija u frekvencijskom opsegu od 1,6 do 30 MHz za potrebe elektronskog ratovanja.
Poznati promet sajber-nadzorne opreme samo delić slagalice
Razmere uvoza sajber-nadzorne opreme u Srbiju nisu u potpunosti poznate. Većina zemalja koje je BIRN kontaktirao radi informacija o izvozu u Srbiju odbila je da otkrije detalje, često pozivajući se na razloge nacionalne bezbednosti.
Mark Bromli, istraživač za robu dvostruke namene i transfere naoružanja u Stokholmskom međunarodnom institutu za istraživanje mira (SIPRI), rekao je da mnoge države Evropske unije skrivaju podatke o takvom izvozu, da ove kompanije često menjaju sedište, a neke invazivne tehnologije postoje isključivo u obliku softvera.
Prema njegovim rečima, odgovornost je na zemljama izvoznicama da prate šta se izvozi i gde.
„Pre nego što se izda dozvola za izvoz, državna tela za licenciranje zahtevaju detaljne informacije o klijentu, svrsi i planiranoj upotrebi tehnologije. To pomaže u smanjenju rizika po ljudska prava“, rekao je Bromli.
„Međutim, postoje ograničenja u ovim mehanizmima nakon što se izvoz desi. Potreban je period naknadnog praćenja kako bi se proverila usklađenost i istražilo kako se tehnologija koristi u zemlji odredišta.“
Pročitaj više
Komentara: 0