Privatnost i bezbednost na internetu

Da li smo svi samo ovce za šišanje?

Hajde da napravimo mali misaoni eksperiment. Zamislimo kompaniju, dovoljno veliku da ima sopstveno IT odeljenje i dovoljno mudru da ne outsourceuje taj deo svog poslovanja. Ovakve kompanije postaju retkost na tržištu, ali ih, srećom, još uvek ima. Dopustimo da takva kompanija ima recimo i intelektualnu svojinu koja joj je značajna za budući nastup na novim (i starim) tržištima – dakle, kompanija ima šta da štiti na svojim serverima.

Zamislimo još da u IT odeljenju ove kompanije radi više administratora i stručnjaka koji se brinu o bezbednosti njenih podataka. Pretpostavimo još da su kompanijski serveri izloženi posebno lukavom hakerskom napadu i da se šifrovani strimovi prenose na nepoznate IP adrese svakog dana. Jednoga dana rukovodstvo ove kompanije otkriva sigurnosnu rupu u svom sistemu i otkriva da su neki zaposleni znali za nju, ali da nisu preduzeli ništa da zaštite integritet IT opreme i kompanijskih poslovnih podataka.

Da li mislite da je razumno u toj situaciji pretpostaviti da su najosetljiviji poslovni podaci ove kompanije kompromitovani? Da li bi razumno bilo pretpostaviti da bi rukovodstvo kompanije preduzelo disciplinske mere protiv zaposlenih koji su znali za situaciju, ali su odlučili da ne reaguju? Da li mislite da bi takve mere (recimo smanjenje plate, otkaz ili možda čak i krivično gonjenje) protiv nesavesnih zaposlenih iz IT odeljenja bile opravdane?

Zamislimo sada identičnu situaciju, ali pretpostavimo da je umesto kompanije iz prvog misaonog eksperimenta napadnuto neko od ministarstava sile ili obaveštajnih službi (identitet države je krajnje nebitan u ovom eksperimentu). Kakve bi posledice bile za prestupnike insajdere u ovom slučaju? Da li mislite da bi nagoveštaj identiteta napadača uopšte uticao na visinu kazne za nesavesne zaposlene u tom ministarstvu sile i/ili obaveštajne službe?

Svako razumno rasuđivanje u ova dva „zamišljena” slučaja nedvosmisleno predviđa profesionalnu, etičku i moralnu osudu nesavesnih IT stručnjaka bez obzira na identitet napadača. Štaviše, sasvim bi razumno bilo pretpostaviti da bi pomenuta ministarstva sile i/ili obaveštajne službe (ako ne izmišljena kompanija iz prvog misaonog eksperimenta), pored kažnjavanja svojih zaposlenih, sproveli opsežnu istragu o identitetu napadača, a zatim preduzeli sve da se napadači privedu pravdi, kao i da krivci nadoknade eventualnu štetu, ako je ikako moguće.

Sve ove posledice je razumno pretpostaviti, ali se gotovo nikada ne događaju u stvarnosti ako odredišne IP adrese šifrovanih strimova pripadaju velikim kompanijama/agencijama poput Microsofta ili NSA. Edvard Snouden (Edward Snowden) je u intervjuu nemačkoj TV mreži tvrdio da NSA redovno učestvuje u industrijskoj špijunaži i da nije naročito opterećena kakav značaj bi prikupljeni podaci mogli da imaju za nacionalnu bezbednost. To znači da se na nišanu NSA ne nalaze samo teroristi, a velike kompanije, posebno one koje nisu locirane u SAD, treba da budu i te kako zabrinute za svoje digitalno vlasništvo. Globalne špijunske aktivnosti ove agencije su predmet mnogih upućenih tekstova u stranim medijima, ali na žalost više nisu velika vest.

Microsoft je, sa druge strane, poslednjih meseci ušao u vrlo kontroverzne vode sa amoralnim prikupljanjem privatnih informacija o svojim korisnicima. Ponašanje operativnog sistema Windows 10 na ovom polju je u najmanju ruku maglovito, baš kao i previše opšta a sveobuhvatna EULA koja prati ovaj Microsoftov proizvod. Istraživanja uz pomoć DD-WRT firmwarea (firmware baziran na Linuxu i objavljen pod GPL licencom) za rutere koji su konfigurisani za daljinsko logovanje ponašanja Windowsa 10 pokazala su da čak i kada su sva podešavanja za tzv. „telemetriju” isključena, Windows neprestano kontaktira IP adrese u rasponima koji pripadaju Microsoftu i sa njima razmenjuje šifrovane strimove. Ništa bolje neće biti ni ako pre toga pokrenete DisableWinTracking utility koji, navodno, temeljno isključuje telemetriju Windowsa.

Ni statistika koju je objavio Jusuf (Yusuf) Mehdi, korporacijski potpredsednik, nije pomogla da se poverenje korisnika u Windows 10 poveća. Naime, Mehdi je u januaru objavio da je Windows 10 aktivan na 200 miliona uređaja, da su korisnici u decembru proveli 11 milijardi sati u Windowsu 10, 44,5 milijardi minuta u MS Edgeu na svim tipovima uređaja, da su pregledali 82 milijarde fotografija sa Windows 10 Photo aplikacijom, proveli četiri milijarde sati igrajući se na Windows 10, strimovali 6,6 miliona sati sa Xbox One na Windows 10, postavili 2,5 milijarde pitanja Cortani itd. Ove statistike jasno pokazuju da Microsoft prikuplja mnogo više podataka sa računara pod Windows 10 operativnim sistemom, nego što tvrdi u svojim zvaničnim odgovorima.

Vrhunac nadrealnosti je dosegnut kada je Kris Kaposela (Chris Capossela, Microsoftov šef marketinga), nakon vrlo mršavih rezultata koje je ostvario Windows 10 početkom godine, počeo da napada sopstveni najuspešniji proizvod – Windows 7. Kaposela je tom prilikom izjavio kako se plaši da korisnici Windowsa 7 neće moći da iskoriste svoj hardver kako treba na deset godina starom OS-u, te da im najnovije igre ili printeri neće baš najbolje raditi i da stoga svi oni (baš, baš svi) treba da pređu na novi, bolji, uglađeniji i besplatn(ij)i Windows 10. Usput je dodao da viruse i trojance ne treba ni pominjati (kada je Windows 7 u pitanju, to jest)!?! Konačno, kako je i najavljeno u Windows 10 EULA, posle velikog, preporučenog i dakako obaveznog novembarskog Windows 10 ažuriranja, mnogim korisnicima su sa računara obrisane (bez pitanja) neke aplikacije. Najčešće su brisane tzv. „third party” aplikacije poput Speccy, CCleaner, HWMonitor, CPU-Z, ali i razni drajveri, PDF pregledači i anti-virusni programi. Zvaničnih objašnjenja nema, a fix je jednostavan – instalirajte ih ponovo (do sledećeg ažuriranja, valjda).

Jasno je da na internetu besni informacioni rat između raznih globalnih centara moći. Svi oni se koriste sličnim metodama kao MS ili NSA – to nije sporno. Takođe, velike globalne kompanije kao što su Microsoft, Google, Apple ili HP imaju svoje interese, baš kao što i razne moćne obaveštajne agencije imaju svoje „sumnjive” metode za prikupljanje informacija. U krajnjem slučaju, interesi velikih korporacija i špijunskih agencija izlaze iz okvira interesa profesionalnih korisnika računara i njihovih časopisa. Ova populacija međutim treba budno da razmatra mnoga interesantnija pitanja. Jedno od njih je: kako smo došli u situaciju da se o ovim sigurnosnim problemima ne raspravlja u (domaćim) stručnim krugovima? Zbog čega ne postoje detaljna uputstva i liste za blokiranje IP adresa na koje odlaze šifrovani podaci sa naših računara? Da li postoje sigurnije alternative od Windowsa, Skypea, Gmaila, Facebooka, itd? Ko, kako i u kojim situacijama može da ih koristi? Kako se koriste razne alatke za enkripciju komunikacije i ličnih podataka?

Poseban moralni, etički, ali i tehnički problem je to što su svi potpuno digli ruke od kućnih korisnika, njihove privatnosti i sigurnosti. Ova brojna populacija nema ni znanje, ni resurse srednjih i velikih preduzeća da može da se stara o svojoj privatnosti i sigurnosti. Pod sve providnijim plaštom borbe protiv terorizma, široka populacija postaje žrtva svojih čuvara i to nigde nije očiglednije nego na internetu. Da li struka može da ponudi bolje rešenje od „čupanja” mrežnog kabla?

Stevan JOSIMOVIĆ