U sklopu Splitskog filmskog festivala i u skladu s ovogodišnjom temom "Nadzor i kako ga izbjeći (kako se zaštiti)", šibenski haker i stručnjak za mreže, Denis Periša, održao je predavanje na temu hakiranja i zaštite privatnosti. Na stvarnim primjerima iz Hrvatske, publiku je upoznao sa svim opasnostima koje se kriju na mreži, te je iz vlastitog iskustva pričao o nedovoljnoj educiranosti hrvatskih obavještajnih službi. Također, osvrnuo se na termine privatnosti i anonimnosti za koje tvrdi da su danas gotovo nepostojeći. Nakon zanimljivog i doista iscrpnog predavanja, razgovarali smo s Denisom o njegovom hakerskom putu, projektima s kojima se bavi, ali i o problematici nadziranja i prisluškivanja.
Održali ste predavanje o hakiranju, privatnosti i općenito nadzoru. Zapravo, javnosti ste poznati od 1999. godine kada je otkriveno da ste hakirali mail tadašnjem saborskom zastupniku Veselinu Pejoviću. Kakav je bio zakonodavni okvir po kojem su vas teretili, tj. jesu li istražni organi tada uopće znali s čime se susreću? Koliko se zakon od tada promijenio?
Pitao me čovjek što bih napravio u Etnolandu u Pakovu, na što sam mu odgovorio da bih stavio jedan kontejner na ulazu kako bi ljudi unutra ubacili mobitele i laptope jer je atmosfera za uživati, a ne za surfati
Ne, apsolutno ne. Ja sam bio prvi slučaj, a prije toga zakon za takve slučajeve nije postojao i mene su praktički teretili po nečem što bi se npr. rangiralo s provalom u dućan. Policajci, koji nemaju pojma o računalima, došli su po mene kako bi istražili što sam to napravio i onda su insistirali na tome da ja njima objasnim što sam napravio. A to nije bilo moguće ni nakon dva sata, a ni na sudu. Profesorica Marija Boban, pročelnica Katedre za ekonomske i financijske znanosti Pravnog fakulteta u Splitu, koja je u sklopu SFF-a održala radionicu Pravo na privatnost i zaštita osobnosti u suvremenom informacijskom društvu, rekla je da je 2001. godine postojao zakon i da su mi po njemu sudili kao punoljetniku, vjerojatno bih imao daleko teže posljedice, odnosno nekoliko godina zatvora.
Ovako ste dobili zabranu korištenja računala i interneta na dvije godine.
Da, dvije godine sam bio bez računala koje je bilo oduzeto i trebalo je biti vraćeno, ali zbog sudskog procesa nije.
Koliko se uopće ljudi procesuira zbog hakiranja i sličnih radnji u Hrvatskoj, tj. koliko postoji presuda?
Ima presuda, ali malo. Radio sam na jednom slučaju s policijom gdje smo tražili počinitelja koji je "nabijao“ golemi promet, dolazili su veliki računi i sl. Surađivao sam s tim policajcima, no ja nisam ovlaštena osoba koja bi mogla potpisati takav dokument, tj. jamčiti da je ta osoba napravila to, pa su bila dva T-Comova stručnjaka uz mene kojima sam predočio što ta osoba radi kako bi oni to potpisali i predali MUP-u. To je bila, manje-više, nova procedura i ne znam je li to igdje izašlo. Išli smo tražiti tog počinitelja, no on može biti bilo gdje jer provaljuje iz okolice i može biti kilometar daleko. Kako naći tu osobu onda? T-Comovi stručnjaci je ne mogu naći, jer im nedostaje stručnih ljudi. Daju ljudima uređaje, a ni sami ne znaju kako oni rade, što je suludo. Ne mogu naći izvor problema, tko krade, a zapravo ih i nije briga.
U sklopu nekakve kontrole se pokušava ograničiti skidanje sadržaja s interneta i u skladu s tim donose se zakoni poput PIPA-e, ACTA-e i slično, te je posljedično zatvoren Megaupload, osnivači Pirate Baya su u zatvoru. Kakav je vaš stav o takvom skidanju i dijeljenju sadržaja?
Daju ljudima uređaje, a ni sami ne znaju kako oni rade, što je suludo. Ne mogu naći izvor problema, tko krade, a zapravo ih i nije briga
Nisam siguran da bi sve trebalo biti dostupno te smatram da se informacije trebaju kontrolirati do nekog nivoa, jer sigurno nećeš stavljati dječju pornografiju na Facebook. To se sigurno mora kontrolirati, ali opet, sve u određenim granicama. Recimo, prije je Reddit bio izuzetno popularan jer je svatko mogao stavit neku glupost za koju nitko ne bi znao odakle je, niti zašto je ona tu i što bi veću glupost stavio, ona je bila popularnija. Tako da treba kontrolirati sadržaj, ali ne previše.
Izjavili ste u intervjuu za Šibenski tjednik da je vaše djelovanje sve politički motivirano. Zašto?
Bavim se politikom u Šibeniku jer sam našao način da u svom gradu nešto promijenim, i to bez škole, jer imam dva razreda fotografije. Dosta sam upućen u politiku i surađujem sa županom, gradonačelnikom i ako imam neki prijedlog za grad, oni to saslušaju i sve se može riješiti. Nitko vas ne može zaustaviti da uđete u gradsku upravu i pitate nešto, zatražite neki dokument, a ljudi to ne znaju. Boje se i ne znaju svoja prava.
Spominjete Gradsko vijeće i gradonačelnika. Kakvi su bili odnosi s tadašnjom gradskom vlasti i koliko je bilo potpore s njihove strane kada ste krenuli s postavljanjem gradskog wirelessa?
Imali smo gradski wireless. Postavila ga je firma koja se stvorila preko noći u suradnji s SDP-om da operu neke novce. Znači, SDP-ov vijećnik je rekao da će to raditi njegov prijatelj koji će sutra osnovati firmu i da će se to napraviti bez natječaja. I onda se dogodila još gora situacija - to je krenuo raditi čovjek koji to ne zna i koji to nikada nije radio. Nakon toga me zvao Grad jer su čuli da imam svoju udrugu i da to mogu bolje napraviti. Možda me i ne bi zvali da nisam onoliko istupao u novinama i napadao SDP i pričao da su bacali novce. Uglavnom, zvali su me da napravim to kako treba i nisam za to tražio novce upravo zbog toga što su ti koji su bili prije crpili novce sa svih strana. To su nevjerojatni računi! Samo da se popuni ta određena cifra i da se to onda može uzeti.
Je li itko za to odgovarao?
Nisam siguran da bi sve trebalo biti dostupno te smatram da se informacije trebaju kontrolirati do nekog nivoa, jer sigurno nećeš stavljati dječju pornografiju na Facebook
Nije i neće. Dogodilo se da wireless nije radio, da su se novci bacili, oprema je bila iznajmljena, a sada je sve to grad napravio zajedno sa mnom kako bi uštedio pola tih novaca, tj. oko 70 tisuća kuna. Znači, da uz uštedu dobije puno kvalitetniju opremu, software i čovjeka koji to nadgleda, koji razumije što se tu događa. Npr. ako je festival u gradu, i ako ima dvije tisuće korisnika na jednoj mreži, ona će pasti ako nitko ne nadgleda i ne smanji promet, a ovi prijašnji to nisu znali.
Koliko imate korisnika?
Trenutno ima 17 tisuća registriranih korisnika. Svaki dan u sezoni je bilo od 150 do 200 novih korisnika. To nisu slučajni korisnici koji su se spojili na mrežu, jer su morali ući u browser i poklikati uvjete ponašanja na mreži, odabrati jezik i sl. Gledao sam po tome koliko je spojeno turista i zapravo ih ima malo, odnosno nekih 25 posto.
Kakva je situacija s drugim gradovima? Postoji li nešto slično i jeste li možda dobili poziv od drugih gradova?
Da, zvao me Drniš. Napravili su nešto svoje slijedeći primjer Šibenika, ali ne znamo još kako funkcionira jer je novo. Također su me zvale manje sredine, kao što je Etnoland u Pakovu, ali to još nisam dovršio. Stavljamo nekakve lokacije, ali je i to suludo jer dolazite u etno ambijent gdje su konji i klupe, a vi surfate po internetu. Pitao me čovjek što bih ja tu napravio, na što sam mu odgovorio da bih stavio jedan kontejner na ulazu kako bi ljudi unutra ubacili mobitele i laptope jer je atmosfera za uživati, a ne surfati.
Je li problem današnjeg informacijskog društva da se veći naglasak stavlja na virtualno, a ne realno?
Problem je jer stol priča sa stolom preko mobitela, i to nije nikakva novost. Ako dođete na rivu i pogledate ljude, svi gledaju u mobitele, objavljuju po Facebooku. Problem je jer se manje družimo, ali više se družimo virtualno, pa je to možda nekako balansirano.
Vratimo se na političke motive. Koliko bi hakeri trebali biti društveno odgovorni s obzirom da imaju više znanja i mogućnosti korištenja naprednijih tehnologija od prosječnog građanina, a pogotovo osvijestimo li činjenicu da lako mogu izvesti neki napad na bankarski sustav ili određene baze podataka? Koliku moć zapravo hakeri imaju za postizanje nekog višeg društvenog cilja, odnosno postizanje nečeg od čega bi cijelo društvo profitiralo?
Ako dođete na rivu i pogledate ljude, svi gledaju u mobitele, objavljuju po Facebooku. Problem je jer se manje družimo, ali više se družimo virtualno, pa je to možda nekako balansirano
Ovisi. Imamo primjer Edwarda Snowdena i raznih zviždača koji su izašli u javnost sa svim tim informacijama. Hakeri inače govore kako bi sve informacije trebale biti dostupne javnosti, ali pitanje je koliko je to zapravo dobro, jer sigurno ima stvari koje nisu za javnost. Recimo, jedan od primjera su tajni agenti čije su osobne informacije osjetljive prirode i ako se objave na internetu, npr. tko su i gdje žive, neće dugo biti na životu.
Imamo primjere poput Assangea i Snowdena koji se trenutno skriva u Rusiji i ima podatke o prisluškivanju praktički cijele Europe, pa i visokih dužnosnika poput Angele Merkel. Amerikanci ga doživljavaju kao veleizdajnika, a zapravo je otkrio informacije koje su korisne cijelom društvu.
Te informacije su korisne i građanima Amerike jer će znati da ih se na taj način nadzire i prisluškuje, kao i što se sve radi s tim informacijama. One se stalno obrađuju, sve što govorite ulazi u sistem prepoznavanja govora, pokreta, kamere sve bilježe i oni znaju gdje ste i što radite. Imaju sulude metode, na izlazu iz države pitaju vas jeste li terorist. Vide na koji način vi doživite to pitanje, kolika je vaša razina stresa, i zato je pitanje tu.
Profesorica Boban je na svom predavanju spomenula tu stalnu prisutnost kamera i nadziranje, te je to nazvala teorijom zavjere. Ali, ako pogledamo da je jako jednostavno "upasti“ u pojedini sustav, bankomat, pa i kamere, koliko to prestaje biti kolektivna paranoja i postaje stvarnost?
Opet dolazimo do pitanja što zapravo smatrate privatnim i zašto bi ta informacija trebala biti privatna. Ako vas netko nadzire, uvijek koristim taj primjer, na mjestima gdje ste privatni, smeta li vam to toliko, i zašto vam smeta. Ako radite nešto ilegalno što ne biste trebali i što ne radi većina društva, onda će vam sigurno smetati i bunit ćete se protiv toga. Ali, ako radite normalne stvari, ne bi vas trebalo zanimati tko snima, ni zašto, eventualno zbog djece jer su to osjetljive teme.
Ako krećemo od principa da je privatnost doma nepovrediva, onda se praktički radi o kršenju prava. A takvi slučajevi se često opravdavaju pitanjem sigurnosti.
Da, čija sigurnost i tko će iskoristiti tu sigurnost. To su isto hakeri koristili, tj. iskoriste nešto što ste postavili kako bi sebe zaštitili u svoje svrhe. Npr., sve kamere su umrežene, a danas su čak umrežene preko struje. Ne morate imati ni fizički pristup tome, jer ili imate wireless ili ako baš znate da se koriste preko mrežnog sustava, sjednete za stol i spojite se u zid, pa na mrežu, ugasite kamere i radite što vas je volja. Kasnije te kamere možete iskoristiti kako biste vidjeli gdje je vlasnik tog objekta ili bilo što u svoju korist. To je dvosjekli mač.
Hakeri govore kako bi sve informacije trebale biti dostupne javnosti, ali pitanje je koliko je to zapravo dobro, jer sigurno ima stvari koje nisu za javnost. Recimo, jedan od primjera su tajni agenti...
Pričali ste o hrvatskim obavještajnim agencijama, policiji i njihovoj nedovoljnoj educiranosti, ali i o informatizaciji poput projekta e-građanin. Što mislite kako će taj projekt funkcionirati s obzirom na zaštitu tajnosti?
Jako loše s obzirom na edukaciju službenika. Danas su škole i ocjene online i već imam upite bih li mogao za određeni novac to promijeniti, i najvjerojatnije bih mogao. Tu će biti svega. Iako SOA (Sigurnosno-obavještajna agencija) provodi čistke i tu je već dvadesetak ljudi otpalo, moraju naći stručne ljude koji su izuzetno obrazovani i koji poznaju sve. Pod tim ne mislim na školsko obrazovanje, nego ulično, tj. kako se tko odnosi, što treba nadgledati, kako prepoznati određene stvari. Tu nema kopiranja sustava od Amerike, npr. ne možemo koristiti njihov sustav za prepoznavanje govora. Ljudi koji se time bave, moraju biti vrhunski programeri koji će znati podesiti da se ključne riječi iz nekog telefonskog poziva registriraju.
Kada biste radili za policiju ili SOA-u i da od vas traže neki posao koji je suprotan vašim etičkim načelima, kako biste postupili? Biste li s bijele strane prešali na crnu?
Etika je zeznuta i hakeri nemaju jedinstvenu, već svaki haker ima svoju. Neki će biti white hat, neki black hat, radit će kriminalna djela i sl., ali većina nekako izvaže to. Ja bih izvagao je li u redu špijunirati nedužnog građanina, odnosno prikupiti više informacija o osobama koje prisluškujem. To sigurno ne bih radio ako te informacije idu u krive svrhe.
