Sigurnost na dlanu: oprezno s društvenim mrežama i aplikacijama!

Kako je pokazalo nedavno provedeno istraživanje NATO-ova Centra izvrsnosti za strateško komuniciranje (NATO StratCom COE) u Rigi, Latvija, preko privatnih profila vojnika i objava na društvenim mrežama bilo je moguće utvrditi njihov identitet, povezanost s ostalim pripadnicima, aktivnosti, lokaciju i kretanje na vojnoj vježbi te, na kraju, uz pomoć dobivenih informacija utjecati na njihovo ponašanje

Pametni telefoni u načelu su nesigurni i nemoguće ih je učiniti potpuno sigurnim, čak i ako slijedimo sva pravila i smjernice (Foto: Domagoj VLAHOVIĆ, US Army, ilustracija: HVGI)

Prednosti novih tehnologija u ratovanju imaju i onu tamnu stranu. Sigurnosni problemi vezani uz korištenje tzv. pametnih uređaja, smartphonea, tableta i slično, doista su brojni – krađa informacija, otkrivanje identiteta i lokacija, praćenje kretanja vojske i još mnogo toga. Sve nabrojeno može ugroziti cijele misije, pa i ljudske živote. Ono što na prvi pogled izgleda kao naša prednost, u rukama neprijatelja može postati moćno oružje.

Uz mogućnost hakiranja i krađe vrijednih informacija, za što u načelu protivnička strana mora imati određene vještine i sposobnosti, postoje i one informacije do kojih se može doći bez imalo napora – sami vojnici pružaju osjetljive podatke putem aplikacija i društvenih mreža, a da možda toga nisu ni svjesni.

Kako je i pokazalo nedavno provedeno istraživanje NATO-ova Centra izvrsnosti za strateško komuniciranje (NATO StratCom COE) u Rigi, Latvija, preko privatnih profila vojnika i objava na društvenim mrežama bilo je moguće utvrditi njihov identitet, povezanost s ostalim pripadnicima, aktivnosti, lokaciju i kretanje na vojnoj vježbi te, na kraju, uz pomoć dobivenih informacija utjecati na njihovo ponašanje.

Ruska zabrana

Iz sličnih je razloga prošlog mjeseca ruski parlament izglasao amandman koji vojnicima ograničava korištenje tzv. pametnih telefona kad su na dužnosti, odnosno privatno kad je riječ o informacijama koje se tiču te dužnosti. Dakle, vojnom je osoblju zabranjeno na društvenim mrežama objavljivati bilo kakve informacije o svojim aktivnostima. Zabrana stiže nakon što je niz povjerljivih informacija o ruskom djelovanju u Ukrajini i Siriji otkriven upravo preko društvenih mreža. Ruski su vojnici, naime, na “Facebooku” objavljivali svoje fotografije, koje su otkrile njihovu lokaciju i kretanje. Uz pomoć tih fotografija i drugih objava na otvorenim izvorima, mediji poput Bellingcata uspjeli su otkriti vrlo povjerljive i za rusku vojsku iznimno štetne informacije. U Moskvi su bili prisiljeni poduzeti nešto oštrije mjere od samih preporuka i upozorenja – tijekom obnašanja dužnosti zabranjeno je korištenje bilo kakvih uređaja na koje se mogu pohraniti videozapisi i fotografije te svih onih koji koriste geolokatore i mogu otkriti lokaciju vojnika.

Opasna tjelovježba

Dakle, nisu samo društvene mreže one koje otkrivaju osjetljive informacije. I uporabom nekih aplikacija korisnici nesvjesno mogu ugroziti cijeli sustav. Nešto slično dogodilo se u Sjedinjenim Državama početkom prošle godine, kad su putem aplikacije za tjelovježbu Strava otkrivene lokacije tajnih američkih baza u Siriji i Iraku. Strava je koristila satelitske informacije kako bi na karti bilježila lokaciju i kretanje svojih korisnika prilikom vježbanja odnosno kretanja, a pozornost na to skrenuo je jedan australski student koji je na globalnoj karti aplikacije u Siriji primijetio “brdo svijetlih točkica” i objavio to na Twitteru.

Iz Pentagona su najavili zabranu korištenja geolokacijskih mogućnosti pametnih telefona i pametnih satova, no podrazumijeva se da zapovjednici na raspolaganju imaju određenu fleksibilnost u primjeni takvih mjera (Foto: US Army)

Iz Pentagona su tad najavili zabranu korištenja geolokacijskih mogućnosti pametnih telefona i pametnih satova. Zabrana se odnosi na sve pripadnike raspoređene u operacijama i misijama u svijetu, a naglasak je na korištenju aplikacija koje mogu odati točan položaj i smjer kretanja. Sama zabrana se, dakle, ne odnosi na uređaje, nego pretpostavlja da će vojnici preuzeti odgovornost i isključiti geolokacijske mogućnosti na svojim uređajima.

Zapovjednici na raspolaganju imaju određenu fleksibilnost u primjeni zabrane, kao i u kažnjavanju onih koji će eventualno kršiti pravila. Inače, pripadnici američke vojske redovito se informiraju i obučavaju vezano uz svoje mrežne profile i komunikaciju kakvu bi na društvenim mrežama trebalo izbjegavati.

Početkom prošle godine i Bijela kuća objavila je da će iz sigurnosnih razloga unutar Zapadnog krila zabraniti uporabu privatnih mobilnih telefona i uvesti uporabu isključivo službenih. U to su vrijeme i u Pentagonu razmatrali moguću zabranu unosa privatnih mobitela, bilo da je riječ o vojnim ili civilnim djelatnicima. Međutim, takvu bi zabranu bilo teško provesti s obzirom na to da bi morali osigurati više od 20 tisuća ormarića za pohranu mobitela. Stoga je Ministarstvo obrane SAD-a počelo razmišljati o uvođenju neke posebne obuke ili izdavanju jasnih smjernica za osoblje koje ondje radi.

“Partner” izvlači informacije

U britanskom Kraljevskom ratnom zrakoplovstvu prošle je godine također bilo problema zbog korištenja pametnih telefona. Riječ je bila o aplikacijama za upoznavanje partnera, konkretnije o Tinderu. Neki britanski mediji objavili su da su upravo preko Tindera procurile informacije o novim avionima F-35B. Netko je, prema pisanju medija, putem lažnog profila na Tinderu od pripadnika RAF-a navodno “izvlačio” povjerljive informacije, a nije bilo poznato stoji li iza tog lažnog profila neki pojedinac ili organizacija. Iz RAF-a su bili opovrgnuli cijelu priču, istaknuvši da nisu otkrivene nikakve informacije o programu F-35B te da osoba koja je bila uključena u aferu uopće nije bila dijelom tog programa. Međutim, zabrinjavajuća je činjenica da je netko pokušao preko lažnog profila na Tinderu doći do relevantnih informacija pa iako, prema službenim izvorima, većih posljedica nije bilo, i dalje ostaje u zraku sigurnosni upitnik – Kako spriječiti takve pokušaje u budućnosti?

U britanskoj vojsci pokušavaju se držati sličnih smjernica kao i u drugim vojskama – upozoravaju pripadnike vojnog osoblja da tijekom operacija isključe bilo kakav softver koji bi neprijatelju otkrio gdje se nalaze te da budu oprezni kad je u pitanju komunikacija. Kraljevska mornarica na svojim stranicama ističe da su mobiteli danas glavno sredstvo komunikacije te upozorava – “Ako koristite mobitele, zapamtite da oni nisu sigurni i budite oprezni što govorite.”

Hakirana vježba

Krajem 2018. i Ministarstvo obrane Belgije odlučilo je revidirati ograničenja uporabe pametnih telefona kako bi se spriječila moguća špijunaža. Takva odluka uslijedila je nakon što je otkriveno da su hakirani pametni telefoni vojnika na NATO-ovoj vježbi u baltičkim zemljama. “Znamo da je Rusija zainteresirana za takvu vrstu geopodataka,” rekao je tom prilikom belgijski pukovnik Carl Gill za flamanski javni servis VRT. Pokazalo se da su različite aplikacije, poput one za vremensku prognozu ili društvene mreže, automatski prepoznavale lokaciju korisnika i, iako su lokacije NATO-ovih baza manje-više poznate, informacije koje su hakirane otkrivale su kako se točno provodila vježba. U belgijskoj su vojsci motivirani tim počeli analizirati rizike – na koje se sve načine mogu koristiti podaci s pametnih uređaja. Sve skupa potaknulo je Ministarstvo obrane da postroži pravila za svoje vojnike aktivne u operacijama pa tako ubuduće na vježbe neće moći nositi pametne telefone. Ministarstvo pritom naglašava da će vojnicima svakako omogućiti kontakt s obiteljima dok se budu nalazili na mjestima na kojima je uporaba mobitela zabranjena.

Detalj s promidžbenog plakata za novačenje u OS-u Ruske Federacije (Foto: Ministry of Defence of the Russian Federation)

Jedna od strožih zemalja kad su u pitanju mobiteli u vojsci jest Turska, koja ročnicima zabranjuje njihovu uporabu. Turska vojska svake godine pozove oko 500 tisuća muškaraca na služenje obveznog vojnog roka, a oni do 2015. tijekom služenja nisu smjeli koristiti nikakve mobitele. Prije četiri godine zabrana je malo ublažena, kad su dopušteni tzv. glupi telefoni, što je izazvalo nagli porast prodaje takvih uređaja.

Načini zaštite

No, za razliku od vojnih novaka kojima je najveća želja biti u kontaktu s obitelji i prijateljima, visokopozicionirane osobe koriste pametne telefone za pohranu vrlo osjetljivih informacija pa je zaštita u takvim slučajevima još važnija. Pametni telefoni u načelu su nesigurni i nemoguće ih je učiniti potpuno sigurnim, čak i ako slijedimo sva pravila i smjernice. Besplatne igrice, maliciozni oglasi ili loše podešene postavke mreže i aplikacija mogu kompromitirati uređaj bez znanja njegova vlasnika. To u konačnici može dovesti do otkrivanja povjerljivih informacija, što može imati dalekosežne posljedice za nacionalnu sigurnost.

Sama zabrana teško će riješiti sigurnosne probleme jer se ograničenja uvijek mogu zaobići postojanjem nekog uređaja skrivenog u unutarnjem džepu. Neki od savjeta koji bi trebali pridonijeti većoj sigurnosti jesu veća svjesnost o sigurnosti tijekom korištenja pametne tehnologije, postavljanje jakih lozinki odnosno zaštite korisničkog identiteta i šifriranje povjerljive komunikacije.

 Neprijatelj u digitalnoj areni

Članice NATO-a za pripadnike svojih oružanih snaga izdaju preporuke i smjernice vezano uz pametne uređaje i društvene mreže. U NATO savezu također pozivaju na oprez. “Svi moramo biti oprezni i otporni na pokušaje smanjivanja povjerenja u NATO i naše postrojbe. Vidjeli smo neke taktike hibridnog ratovanja protiv NATO-ovih snaga u istočnom dijelu Saveza, uključujući dezinformacije, lažne optužbe o kriminalnim aktivnostima i pokušaje hakiranja ili zastrašivanja naših vojnika na društvenim mrežama. Stoga je važno da NATO-ovi saveznici i dalje obučavaju svoje postrojbe da budu oprezne, uključujući i ‘online’ domenu. Istodobno, radimo na jačanju kibernetičke obrane i poduzimamo sve potrebne mjere kako bismo zaštitili svoje mreže,” poruka je NATO-ova dužnosnika na naš upit o toj temi.

The Wall Street Journal izvijestio je krajem 2017. da su NATO-ovim vojnicima raspoređenim u Poljskoj i na Baltiku bili hakirani pametni telefoni. Pukovnik američke vojske Christopher L’Heureux, zapovjednik NATO-ove Borbene grupe Poljska, za američki PBS opisao je što mu se točno dogodilo. Na kraju jednog dana u bazi, nakon izvršenih zadaća, na njegovu je iPhoneu pisalo “izgubljen iPhone” te kako netko pokušava ući u njegov Apple račun. Mobitel je pritom pokazivao kartu na kojoj je bila označena Moskva. Kako je objasnio pukovnik, hakeri su očito probili prvu sigurnosnu zapreku i uključili opciju praćenja izgubljenog telefona te su ga s pomoću toga cijeli dan pratili tijekom njegovih aktivnosti u bazi.

Zapovjednik nije bio jedina meta jer je još najmanje šest vojnika pod njegovim zapovijedanjem doživjelo slično. Nekoliko mjeseci prije toga, prema pisanju spomenutog medija, jednom se estonskom vojniku također nešto čudno počelo događati s mobitelom – odjednom je na njemu zasvirala glazba koju nikad nije skinuo na svoj uređaj.

Eksperiment iz Rige

Nedavno je NATO-ov Centar izvrsnosti za strateško komuniciranje objavio publikaciju u kojoj je opisan vrlo zanimljiv eksperiment proveden tijekom vježbe savezničke vojske. Istraživački tim Centra ubacio se u redove tzv. neprijateljske strane na vježbi te je pokušao provjeriti koliko podataka može prikupiti o sudionicima vježbe, testirajući obavještajne tehnike kroz različite otvorene izvore – društvene mreže. Tim je želio utvrditi hoće li moći utjecati na ponašanje vojnika na vježbi koristeći podatke koji su o njima prikupljeni u prvoj fazi eksperimenta.

Britanski mediji objavili su da su upravo preko Tindera procurile informacije o njihovim novim avionima F-35B (Foto: UK Ministry of Defence)

Usto, tim je uspio putem društvenih mreža identificirati velik broj vojnika koji su sudjelovali na vježbi, u nekim slučajevima čak i sve članove postrojbe. Uspješno je također odredio njihovu lokaciju, kretanje i oblik vježbe te točne datume pojedinih faza vježbe. Osobni podaci koje su istraživači prikupili bili su vrlo detaljni i u kasnijoj su im fazi omogućili izazivanje određenog ponašanja vojnika tijekom vježbe. Otkrili su da je među vojnicima tijekom vježbe bio vrlo popularan “Instagram”, koji je praktički uživo otkrivao informacije o njima samima i o vježbi. Dakle, samim tim što su vojnici imali pametne telefone i koristili društvene mreže, kompromitirali su vježbu.

Publikacija “Postojeća digitalna arena i njezini rizici za djelatno vojno osoblje” objavljena u siječnju ove godine navodi da neprijatelj u današnjoj digitalnoj areni može prikupiti značajnu količinu osobnih podataka o vojnicima koji sudjeluju na vježbi. Te podatke moguće je koristiti kako bi se precizno formulirale ključne poruke kojima bi neprijatelj zatim mogao utjecati na neku ciljanu skupinu i kod nje izazvati ponašanje koje ne bi bilo u skladu sa zadaćom.

Zlouporaba društvenih mreža

Istraživački tim NATO-ova Centra služio se različitim metodama, poput lažnog predstavljanja i psihološke manipulacije, općeg “online” nadzora i uspostavljanja tzv. prijateljstava na društvenim mrežama, pretraživanja otvorenih izvora. Pritom su se orijentirali na Facebook, Instagram i Twitter. Istraživački tim također je izradio honeypot stranice koje su trebale privući sudionike vježbe te je otvarao različite grupe na društvenim mrežama u koje su se vojnici učlanjivali. Preko tih grupa “neprijatelj” je prikupljao dodatne informacije i kroz raspravu u grupama pokušavao izazvati neko određeno ponašanje vojnika.

Facebook je bio dobra polazna točka za utvrđivanje identiteta pojedinaca te otkrivanje njihove međusobne povezanosti predlaganjem novih prijatelja, što ta mreža nudi kao mogućnost. Twitter je rijetko bio korišten tijekom vježbe i nije dao nikakve korisne informacije u istraživanju.

Za potrebe istraživanja tim je čak izradio lažne stranice na Facebooku koje su oponašale službene stranice, primjerice oružanih snaga, kao i nekoliko lažnih korisničkih računa koji su imitirali stvarne ljude iz oružanih snaga. Time se željelo testirati i koliko će kompanijama poput Facebooka trebati vremena za uklanjanje lažnih profila i stranica. Nadzorni sustavi društvenih mreža uspješno su razotkrili neke od lažnih profila i stranica. Neki od njih uklonjeni su brzo, neki malo kasnije, a neki uopće nisu uklonjeni za vrijeme eksperimenta. Unatoč tomu, istraživači su nailazili na različite zapreke te su zaključili kako kompanije ipak sve više rade na sprečavanju moguće zlouporabe svojih usluga.

Iz istraživanja je vidljivo i da su oružane snage sve fokusiranije na zlouporabu društvenih mreža. Jedan su od lažnih profila tijekom vježbe prijavile upravo oružane snage koje su bile meta tih “napada”, a za jednu od stranica izdale su upozorenje.

Treba i dalje ulagati

Publikacija na koncu donosi zaključak da oružane snage moraju pojačati nadzor i protumjere kako bi umanjile rizike od korištenja društvenih mreža za prikupljanje osjetljivih i povjerljivih informacija. Postavke privatnosti na društvenim mrežama nisu dovoljno snažne te je do informacija moguće doći čak i ako su neke od njih uključene. Unatoč sve većem oprezu uključenih aktera, istraživači su bili iznimno uspješni u svojoj misiji. To znači da i oružane snage i kompanije trebaju i dalje ulagati u poboljšanje sigurnosti. Među nedostacima koje je istraživanje otkrilo bile su i ljudske pogreške, što se može promijeniti jedino jačim kontrolama i obukom. Naime, neki su vojnici istraživačima preko lažnih profila i grupa pružili više infomacija nego što se moglo naći na njihovim korisničkim računima. Takve ljudske pogreške u digitalnoj areni jedan su od glavnih izazova budućnosti za svaku vojsku svijeta.

Petra KOSTANJŠAK