Moram priznati da me dosta inspirisao Klix-ov članak o suzbijanju cyber kriminala gdje se našao ovaj gem:

dio 2

tl;dr članka: Zastupnik postavio pitanje koje se odnosi na aktivnosti Ministarstva sigurnosti BiH i sigurnosnih agencija glede krivičnih djela počinjenih putem Interneta. To se našlo u odgovoru.

Impresioniran količinom gluposti koju sam pročitao u jednom paragrafu, odlučio sam da zatražim pristup njihovog punog odgovora. Kontaktirao sam obje strane (i Sašu Magazinovića, i SIPA-inu adresu za odnose sa javnošću). Saša Magazinović mi je pristao izaći u susret. U roku od nekoliko sati nakon mog kontakta u mail mi je stigao odgovor kakav je dostavljen njemu, i ovim povodom se moram zahvaliti njemu na saradnji.

Šta ga dođe SIPA?

Svaka država se sastoji od nekoliko obavještajnih agencija (eng. intelligence agencies). U SAD-u, one obuhvataju NSA, FBI, CIA i još desetak drugih (internacionalno manje poznatih) agencija. U Bosni i Hercegovini, ona obuhvata dvije agencije:

  • Obavještajno sigurnosna agencija / obavještajno bezbijednosna agencija (akronim: OSA/OBA).
  • Državna agencija za istrage i zaštitu (eng. State Investigation and Protection Agency; akronim: SIPA).

Dakle, poređenjem sa SAD-om: OSA/OBA je naš NSA (odgovorna za prikupljanje obavještajnih podataka u vezi s prijetnjama po sigurnost), dok ga SIPA dođe naš FBI (odgovorna za prikupljanje i obradu podataka od interesa za provođenje međunarodnih i krivičnih zakona BiH).

Nakon što je jedna takva agencija napisala ovoliku glupost, zanimalo me postoji li išta više zanimljivo u odgovoru koji su napisali.

Pitanje Saše Magazinovića

Originalno pitanje koje je postavio Saša Magazinović, kako je citirano u odgovoru:

Pitanje se odnosi na aktivnosti ministarstva i sigurnosnih agencija BiH o pitanju krivičnih djela počinjenih putem Interneta sa posebnim osvrtom na govor mržnje zasnovan na etničkoj, vjerskoj i drugim osnovama, pozive na nasilje, ubistva, podršku terorizmu i drugo.

Odgovor Saši Magazinoviću

Idemo paragraf po paragraf. Tekst prenosim u cjelosti, te ispod svakog paragrafa dodajem prevod i implikacije toga što se našlo u odgovoru. Na kraju članka, dodajem sumarizaciju i savjete.

dio jedan

Po pravilu, dosta komplikovanih riječi i komplikovana terminologija da bi se izjavila jedna, vrlo jednostavna, misao: U okviru naše nadležnosti, radimo šta možemo da poštujemo član bla bla Krivičnog zakona.

Članak 145a Krivičnog zakona BiH glasi ovako:

Ko javno izaziva ili raspiruje nacionalnu, rasnu ili vjersku mržnju, razdor ili netrpeljivost među konstitutivnim narodima i ostalima, kao i drugima koji žive ili borave u Bosni i Hercegovini, kaznit će se kaznom zatvora od tri mjeseca do tri godine.

Onda slijedi taj famozni paragraf:

dio 2

Uh, gdje da počnem. Kako da počnem učiti jednu državnu agenciju kako Internet funkcioniše?

Ajmo ovako:

Ignorišući to što je sasvim normalno da pojam Interneta podrazumijeva da fizičke granice ne postoje, sasvim je normalno da neko neće praviti krivično djelo sa svojim imenom i prezimenom ukoliko to ne mora. Moj online nadimak (r3bl) je asociran sa mojim punim imenom i prezimenom (Aleksandar Todorović) zato što sam ja donijeo tu odluku. Niko me nije obavezao na to.

Skoro svaka veća Internet kompanija je napravila proces preko kojeg prima zahtjeve relevantnih državnih agencija da bi im pomogla u sprovođenju lokalnih zakona. Relevantna osoba iz vlade (dakle, neko sa X@Y.gov.ba email adresom) njima pošalju zahtjev, oni taj zahtjev pregledaju, procjenjuju da li ima razlog za dijeljenje informacijama sa vlastima, i, ukoliko utvrde da ima razloga za to, podatke o korisniku prosljeđuju na X@Y.gov.ba email adresu.

Ovo bi državna agencija vrlo dobro trebala da zna. Ustvari, ovo državna agencija vrlo dobro zna.

Ovo je tabela koliko je zahtjeva upućeno Facebook-u od strane bosanskohercegovačkih državnih agencija, koliko je ukupno Facebook profila obuhvaćeno tim zahtjevima, i procenat ispunjenih zahtjeva od strane Facebook-a:

  • Jan 2013 - Jun 2013: 4 zahtjeva, ukupno 11 Facebook korisničkih naloga zatraženo, 25% ispunjeno.
  • Jul 2013 - Dec 2013: 4 zahtjeva, ukupno 5 Facebook korisničkih naloga zatraženo, 50% ispunjeno.
  • Jan 2014 - Jun 2014: 6 zahtjeva, ukupno 6 Facebook korisničkih naloga zatraženo, 66,67% ispunjeno.
  • Jul 2014 - Dec 2014: 5 zahtjeva, ukupno 9 Facebook korisničkih naloga zatraženo, 80% ispunjeno.
  • Jan 2015 - Jun 2015: 17 zahtjeva, ukupno 38 Facebook korisničkih naloga zatraženo, 23,53% zahtjeva ispunjeno.
  • Jul 2015 - Dec 2015: 5 zahtjeva, ukupno 7 Facebook korisničkih naloga zatraženo, 40% zahtjeva ispunjeno.
  • Jan 2016 - Jun 2016: 13 zahtjeva, ukupno 30 Facebook korisničkih naloga zatraženo, 46,15% zahtjeva ispunjeno.
  • Jul 2016 - Dec 2016: 4 zahtjeva, ukupno 6 Facebook korisničkih naloga zatraženo, 75% zahtjeva ispunjeno.

A evo i neke druge kompanije (sa dosta manje zahtjeva, tako da su u manjem obimu izlistane u odnosu na Facebook):

  • Od Google-a je dva puta zatraženo uklanjanje sadržaja (jednom u prvoj polovini 2012. godine, jednom u prvoj polovini 2014. godine).
  • Google-u je upućeno četiri zahtjeva za dijeljenje informacija o ukupno četiri korisnička naloga (jednom u drugoj polovini 2014. godine, dva puta u prvoj polovini 2015. godine, jednom u drugoj polovini 2015. godine). Od ovih četiri zahtjeva, Google je ispunio samo jedan (ovaj najnoviji, u drugoj polovini 2015. godine).
  • Microsoft je primio jedan zahtjev u prvoj polovini 2015. godine o dva Microsoft-ova računa. Odbio je jedan zahtjev o jednom računu u drugoj polovini 2014. godine.
  • Twitter i Dropbox nisu primali ovakve zahtjeve iz Bosne i Hercegovine.

Kako sam došao do ovoga?

Manje-više svaka veća tehnološka kompanija mora da igra igru između poštovanja svojih korisnika i udovoljavanja državnim agencijama. Ukoliko odbiju sve zahtjeve, vlade ih drže odgovornima i prijete blokiranjem njihovog servisa unutar neke države. Ukoliko ne obavještavaju korisnike o vladinim zahtjevima, teže stiču povjerenje svojih korisnika. Način na koji su tehnološke kompanije riješile ovaj kompromis se može sumirati ovako:

Mi ćemo pregledati svaki zahtjev vladinih tijela, donijeti odluku o tome da li ćemo ga poštovati ili ne, i svakih šest mjeseci objavljivati ukupne rezultate o tome koliko je zahtjeva upućeno, od kolikog broja korisnika su zatražene informacije, i koliki je procenat tih zahtjeva ispunjeno.

Ovo nije ništa novo. Ovo je nešto što kompanije rade već četvrtu godinu zaredom. Negdje oko 2013. je donijeta odluka i većina Internet kompanija je poštuje. Dakle, izvori za ove brojke su mi takozovani “izvještaji o transparentnosti” (eng. transparency reports). Dakle, kao izvore sam koristio Facebook-ov, Google-ov, Microsoft-ov, Twitter-ov i Dropbox-ov izvještaj o transparentnosti, svaki od kojih je dostupan javnosti.

Zapravo, Google je otišao i korak dalje. Otvaranjem njegove stranice za izvještaj o transparentnosti, vidi se ovo:

screenshot ostalih kompanija koje objavljuju transparency report

Ovo je spisak svih tehnoloških kompanija koje redovno izdaju izvještaje o transparentnosti. Draga SIPA, ukoliko vidite neku kompaniju na toj listi čiji podaci vam trebaju za sprovođenje zakona, kontaktirajte ih.

Da li je ovo u redu?

Da li je u redu da kompanije odlučuju da li da daju informacije o korisnicima koje krše lokalne zakone? Odgovor se čini lagan: nije. Državne agencije bi trebale da odlučuju šta je legalno a šta nije, a kompanije bi trebale da ispunjavaju te zahtjeve i dostavljaju podatke.

Međutim, ne postoji niti jedan međunardno potpisan akt koji kaže da kompanije moraju da pristanu da podijele informacije sa državnim agencijama. One su većinom bazirane u jednoj državi (SAD-u, naravno) i, kao takve, podliježu zakonima jedne države (SAD-a, naravno). To što pristaju na ovakve zahtjeve je zapravo njihov prikaz dobre volje da izađu u susret vladinim zahtjevima.

reddit je to fino sumirao u jednoj rečenici:

reddit je kompanija sa sjedištem u SAD-u. Kao takva, ne pristajemo da dijelimo korisničke informacije sa državnim agencijama van SAD-a, osim u slučaju da to od nas zatraži sud iz SAD-a.

Dakle, draga SIPA i ostale državne agencije, proces izgleda ovako:

dijagram

Ukoliko ga poštujete, dobićete podatke koji vam trebaju.

Govoriti o neophodnosti “instituta međunarodne pravne pomoći” koja bi vam pomogla je apsolutni idiotluk. Velike Internet kompanije sarađuju sa vladinim agencijama i sarađivale su sa vladinim agencijama iz naše države na desetine puta do sada.

Savjet: Koristite više ovaj dijagram, pošto ću u ovoj priči koristiti primjer u kojem ovaj dijagram nije korišćen.

CERT i priča o CERT-ovima

dio 3

Za one koji ne znaju, ideja CERT-ova je jednostavna: sakupi par hakera, daj im resurse, i dozvoli im da budu kontakt tačka i kompanijama i vladi u slučajevima kada je računarska sigurnost nekog vladinog/privatnog entiteta ugrožena.

Ideja je nastala na Carnegie Mellon univerzitetu još u osamdesetim godinama, i do danas se proširila svijetom. Nigdje nije naglašeno iz kojeg sektora treba biti ta grupa hakera ni kako treba da bude finansirana. Dakle, CERT može osnovati vladina organizacija, kompanija, nevladina organizacija, ili jednostavno ti čitaoče sa par prijatelja.

Spuštajući se na nivo jedne države, ideja je da svaka država ima jedan vladin CERT, i nekoliko nevladinih. Cilj vladinog bi bio da bude tu za zaštitu vladinih sistema i upravljanje nevladinim CERT-ovima. Cilj nevladinih bi bio da osigurava privatni sektor.

CERT nema neke direktne odgovornosti i na njemu nije da zaštiti sve sisteme neke države, nego da bude tu u slučaju alarmantne situacije i da obavještava one koji upravljaju sajtovima o najnovijim sigurnosnim propustima i najnovijim pomacima u vidu informacijske sigurnosti.

Napravili smo nekoliko pomaka prema otvaranju nacionalnog CERT-a u zadnjih nekoliko godina, sve dok taj proces nije zaustavljen negdje u 2015.

dio 4

Prevod: Bla-bla-bla, tehnologija je komplikovana, sigurnost je još komplikovanija, Internet of Things će sve učiniti još gorim, vršile su se terorističke aktivnosti, korišćeni su digitalni uređaji, i vršili su se neke nelegalne radnje.

Dvije stvari koje bih izvadio iz ovog paragrafa:

dio 5

Prevod: Potpisali smo pun kurac stvari, nismo ispunili ništa od toga, i 2008. smo se obavezali da ćemo se uskladiti sa EU, što za sada nismo uradili.

dio 6

Prevod: U tabeli 1 je ono što se tiče države, u tabeli dva ono što se tiče entiteta i distrikta. Propisi definisani Konvencijom o cyber kriminalu nisu dio nijednog krivičnog zakona.

U tabelama je izlistano desetak zakona (što entitetskih, što distrikta, što državnih), nekoliko desetina članova tih istih zakona i pored svakog je napisano da li je usklađen sa Internetom ili nije.

Sedam državnih zakona je usklađeno, sedam je “djelimično usklađeno”. 13 krivičnih djela je spušteno na nivo entiteta i distrikta. Od njih:

  • 9/13 je ušlo u Krivični zakon Federacije,
  • 10/13 je ušlo u Krivični zakon Republike Srpske i
  • 9/13 je ušlo u Krivični zakon Brčko Distrikta.

Bitno naglasiti: nisu u nekom redosljedu. Na primjer, u krivičnim zakonima Federacije i Distrikta je kažnjivo “upoznavanje djeteta sa pornografijom” (dakle, širenje pornografije sa maloljetnim licem), dok je zakonom u Republici Srpskoj kažnjiva dječja pornografija (dakle, proizvodnja, posjedovanje i prikazivanje pornografskog sadržaja u kojem je jedan od aktera maloljetno lice). Obrnuto ne vrijedi. Dječja pornografija nije navedena u krivičnim zakonima FBiH/Distrikta, a pokazivanje pornografskog sadržaja maloljetniku nije navedeno u Krivičnom zakonu Republike Srpske.

dio 7

Prevod: Moramo uskladiti ove zakone sa EU prije ili kasnije. Prije da ćemo kasnije, pošto ih trenutno odlažemo.

dio 8

Prevod: Predložili smo ili potpisali neke kurce.

Sama činjenica da nema razlike između predloga i potpisa u ovom paragrafu govori to da su jednostavno nabrojali stavke kao “aktivnosti” iz originalno postavljenog pitanja, bez da su rekli išta konkretno o bilo kojem od ovih stvari što su predložili ili potpisali, kako se one uklapaju u veću sliku, i šta koji kurac rade.

dio 9

Prevod: Potpisali smo strategiju za CERT još 2011. godine, osnovana je radna grupa, radna grupa je izradila plan, taj plan je trebao biti upućen na Vijeće ministara još u decembru 2012. godine, nikad nije.

dio 10

Prevod: Hoćemo jedan državni CERT koji će raditi sve i svašta.

dio 11

Prevod: To “sve i svašta” iz prethodnog paragrafa treba biti podijeljeno na prije incidenta i poslije incidenta.

dio 12

Prevod: Kratkoročni cilj je da formiramo jebeni CERT što smo nesposobni da uradimo. Sajt CERT-a, treninzi, bilteni i procjena (ne)sigurnosti domaćih sistema (AKA opis dijela posla CERT-a) su srednjoročni ciljevi. Dugoročni cilj je da taj državni CERT funkcioniše za koordinaciju lokalnih CERT-ova (kako vladinih na nižim nivoima, tako i privatnih, akademskih i industrijskih).

Ako se pitate, trenutno na području BiH imamo jedan vladin CERT, zadužen za Republiku Srpsku: OIB - CERT RS. Njegov rad zaslužuje poseban članak.

dio 13

Prevod: Hoćemo da se uključimo u “borbu protiv širenja terorizma” na Internetu jer je to sad hip i kul na internacionalnoj skali, pa ćemo usput da riješimo i dosta manji problem pozivanja na nasilje i govor mržnje na Internetu.

Ovo je kao da hoćeš da napraviš prvo avion, pa tek onda biciklo. Onako, usput, međutim avion je prioritet. Umjesto da rade postepeno, oni bi odma krenuli od vrha, u nedefinisan način borbe u cilju “sprječavanja širenja terorističkog znanja, posebno putem Interneta” (citat iz te Strategije koju spominju), pa se tek onda, onako usput, bavili problemima sa kojima se susreću građani svakodnevno.

Mario Janeček, uposlenik Ministarstva sigurnosti koji radi u Odjelu za borbu protiv terorizma, je bio jedan od panelista na BHIGF-u prošle godine. Pošto nema snimaka nebuloza koje je izjavio, najbolje što mogu da uradim jeste da iznesem bilješke koje sam pravio na taj dan dok sam slušao njegove nebuloze. Prenosim ih u cjelosti, kako su zapisane tog dana (bez ikavih modifikacija), jer se ne mogu sjetiti tačnih citata:

  • Ministarstvo sigurnosti još uvijek razmišlja kako da se bori protiv terorizma na Internetu i govora mržnje.
  • Terorističke organizacije ulažu više u marketing nego najveće tehnološke kompanije (lol)
  • Sloboda vjeroispovijesti? The fuck?
  • Blokiranje sadržaja na Internetu bez sudskog naloga u drugim državama.
  • Nije isključena mogućnost uklanjanja sadržaja od strane policije u slučaju da utiče na sigurnost države.
  • ISP provajderi ukloniti govor mržnje!? You have to be kidding me.

Kada je došlo na red pitanje publike, iznijeo sam dva argumenta, koja ću ponavljati ponovo i ponovo: Vijesti Ummeta, Lejla Čolak.

Ukratko:

  • Vijesti Ummeta su godinama širile ISIS propagandu na našim prostorima. Evo ih na Wayback mašini. Iako je originalan sajt ugašen, sadržaj linkovan sa tog sajta je i dalje dostupan ovdje, ovdje, ovdje i ovdje, samo kao primjer da posao nije urađen kako treba.
  • Lejla Čolak, novinarka Klix-a koja je primila na desetine prijetnji (što smrću, što silovanjem), sve ih screenshot-ovala (neki od prijetnji su ovdje), nigdje nije cenzurisala ime i prezime, i niko nije odgovarao za prijetnje. Vojnik Mirza Džidić (dakle, član Oružanih snaga BiH) koji je napisao sljedeće je kažnjen “pismenim ukorom” i i dalje je vojnik BiH:

Ima li kakav dobrovoljac da siluje lijepu Lejlu, osobno ću ga isplatiti??? Zainteresirani neka se jave u pp…

Hajde prvo ova dva primjera (od kojih su oba vrlo dobro poznata u javnosti) riješite kako treba, pa da onda radimo na nekakvom “sprječavanju širenja terorističkog znanja, posebno putem Interneta”.

dio 14

Prevod: Govor mržnje, netrpeljivosti, ugrožavanje sigurnosti, poticanje na terorizam… sve je ovo kažnjivo, međutim, ne primjenjuje se i počinioci su nekažnjeni. Ima neki primjer prvostepene presude za poticanje terorizma, međutim, nećemo da naglasimo koji je to primjer.

Sumnjam da je ovaj primjer akcija Damask, gdje su uhapšeni Husein Bilal Bosnić i kompanija. Uklapaju mi se nekako u ovu priču sa širenjem terorizma. Jednog od uhapšenih (Fadil “Abdulah” Hasanović) Faktor dovodi u konekciju sa nadimkom “ebu Sara”. Nakon malog Guglanja nađoh na jedan video u kojem u opisu piše Govori: šejh Omar ebu Sara. U tom videu, našao se ovaj screenshot:

screenshot videa

Hasanović je osuđen na godinu dana zatvora, Bilal je na sedam. Video nije uklonjen. Osuđeni su (između ostalog) na poticanje terorizma i “mediji navode da se napadač na policijsku stanicu u Zvorniku Nerdin Ibrić u posljednja tri mjeseca intenzivno družio sa [Fadilom] Hasanovićem.”

Uklapa se gotovo savršeno u to šta je Ministarstvo sigurnosti izblebetalo u ovom odgovoru na pitanje:

  • ☑ Pozitivan primjer prvostepene presude (osuđeni su za, između ostalog, širenje terorizma).
  • ☑ Povezanost sa terorističkim napadom (onim u Zvorniku).
  • ☑ Video nije uklonjen.
  • ☑ “Terorističke aktivnosti” su širenje propagande.

Nego, da se mi vratimo na onaj dijagram koji sam pravio, da ne bude da sam ga pravio džabe. Ovaj video je na YouTube-u i pronašao sam minimalno jednu Facebook stranicu na kojoj je podijeljen. Akcija Damask je počela u drugoj polovini 2014. godine i Bosnić je osuđen krajem 2015. godine. Google, kao vlasnik YouTube-a, nije primio niti jedan zahtjev za uklanjanje sadržaja od prve polovine 2014. godine, što se navodi u odgovoru kao “nisu paralelno poduzete i mjere na uklanjanju video i drugog sadražaja sa interneta” (da, napisali su “sadražaja” u službenom dokumentu).

dio 15

Prevod: Regulatorna agencija za komunikacije bi trebala olakšati da nam ISP-ovi daju pristup Internet prometu svojih korisnika kada dobijemo sumnje. Trenutno nema jasno definisanog mehanizma za to.

dio 16

Prevod: Ključan je problem ova sigurnost, međutim još nemamo ni CERT.

Sumarizacija odgovora

Ukratko:

Ljudi koriste nadimke na Internetu, pravni organi ne traže dovoljno od kompanija da uklanjaju sadržaje, državni CERT je zapeo, a usklađivanje zakona sa EU nije sprovedeno ni na državnom, ni na nivou entiteta / distrikta.

Savjeti

Draga vlado BiH na svim nivoima, evo vam par prijedloga:

  1. Koristite dijagram koji sam vam napravio.
  2. U ovom prvom savjetu bi vam mogao pomoći CERT preko edukacije, kada bi postojao.
  3. Osnujte više jebeni CERT. Čekamo na njega već pet godina. Kome ću prijaviti to što 98 od 100 .gov.ba domena ne koristi ni osnovni (pa čak i besplatni) SSL/TLS certifikat, a kamoli šta drugo?
  4. Malo ograničite rad tog CERT-a, jer ste u dva paragrafa napisali toliko stvari da nije realno očekivati da tim sa ispod 100 ljudi bude u mogućnosti da ispuni stvari koje ste naveli u periodu manjem od 10 godina (od datuma osnivanja CERT-a, naravno).
  5. Nemojte pisati odgovore na računaru, printati ih, skenirati ih, pa slati email-om, već poslaniku (pa i javnosti) dostavite odma digitalnu verziju koju ste kreirali. Umjesto da klikćem na fusnote, ja sam morao da dešifrujem tekst, pa da ga tražim na Internetu, pa da konzumiram sadržaj iz fusnota, jer URL-ove apsolutno nisam u mogućnosti da dešifrujem. Da vas podsjetim, Zakon o elektronskom potpisu je u snazi već više od decenije.
  6. Krenite prvo malim koracima. Riješite male slučajeve prije nego što se uputite u nedefinisane metode “sprječavanja širenja terorističkog znanja”, što ni razvijene države nisu uspjele, a kamoli vi.

Hvala Saši Magazinoviću na proslijeđenom odgovoru, i advokatici Almi Prnjavorac jer je na njenom sajtu lakše pronaći relevantne zakone nego na svim stranicama BiH.

Sa poštovanjem,

Građanin koji se po ko zna koji put pita gdje živi.

Poruka za one koje žele da ovaj tekst proslijede dalje

Ukoliko se neki medij na našim prostorima usudi da objavi nešto o ovome, ovdje svakako može početi.

Ovaj tekst je dozvoljeno modifikovati i redistribuirati na drugim sajtovima ukoliko je ovaj link (i ja kao njegov autor) naveden kao izvor. Takođe, modifikacije i redistribucije ovog teksta moraju biti objavljene pod istom licencom (CC BY-SA 4.0 International). U protivnom slučaju se krše moja prava kao njegovom autoru, te stičem mogućnost pokretanja krivičnog postupka protiv osobe (ili kompanije) koja ga je objavila (bilo to u cjelosti ili u modifikovanoj verziji). Pošto se ovaj članak bavi zakonima, da naglasim da je ovo autorsko djelo u skladu sa stavkom 2 člana 4 Zakona o autorskim pravima BiH. Svojom dobrom voljom ga objavljujem pod licencom koja dozvoljava njegovu dalju distribuciju, sve dok su moji uvjeti ispunjeni.


Random sajt čiji rad podržavam

Koji je ovo đavo?

Pročitaj još

Three ways of re-creating Firefox Focus behavior on Firefox desktop

Before I've started experimenting with re-creating Firefox Focus on the desktop, I thought that a browser like Firefox Focus for the desk...… Continue reading