Povprečen dan povprečnega študenta se zadnje leto praviloma začne in konča z aplikacijo Zoom. Na njem posluša predavanja, opravlja zadolžitve in obiskuje zasebna druženja. Že laično oko, ki se ne spozna pretirano na računalniško varnost, pogleda debelo, ko mu Zoom ob govoru sporoči, da je utišan. Če si utišan, pomeni, da je mikrofon ugasnjen. Program na nek način želi biti prijazen in te opozori, da te pri govoru poslušalci na drugi strani ne slišijo. Čeprav je ugasnjen mikrofon programsko zablokiran (aplikacija programsko ustavi oddajanje zvoka), kar v teoriji pomeni, da te nihče ne bi mogel slišati, pa to ni zagotovilo za varnost. Dr. Matej Kovačič, strokovnjak za vprašanje zasebnosti, informacijske varnosti in kiberkriminala ter sodelavec na Inštitutu Jožef Štefan, pojasnjuje: »Če želiš biti povsem prepričan, da te nihče ne posluša, potrebuješ ‘kill switch’, ki fizično izklopi napravo. Še bolj zapleteni so telefoni, saj ne veš točno, kateri proces ti vklaplja mikrofon.« Na računalniško kamero si lahko namestiš prekrivalo, s katerim ob morebitnem vdoru hekerji vidijo zgolj črnino. Pametni telefoni pa imajo večinoma kamero na obeh straneh. V zadnjem času se vse bolj širijo mobilni telefoni, ki vsebujejo »kill switch« stikala. Eno takih je podjetje Purism, ki svoje telefone oglašuje kot varne. Ker ne temeljijo na Androidu ali iOSu, temveč lastnem operacijskem sistemu PureOS, želijo kupca prepričati, da njihovi podatki ne pristanejo v bazah gigantov. S stikalom lahko »mehansko« izklopiš WiFi, Bluetooth, prenos podatkov, mikrofon in kamero.
»End-to-end« šifriranje le za plačljive uporabnike?
Čeprav je varnost posameznika z uporabo pametnih naprav odvisna od več dejavnikov, pa naj fokus vseeno ostane pri tem, kaj za našo varnosti postori Zoom. S prihodom virusa COVID-19 v naša življenja in prestavitvijo druženja z osebnim stikom na neoseben program, so se začela postavljati vprašanja varnosti in varovanja zasebnosti. Kmalu so se pokazale velike pomanjkljivosti tega področja. Kot pravi dr. Matej Kovačič z Inštituta Jožef Štefan, je Zoom na začetku trdil, da ima vklopljeno »end-to-end« šifriranje, izkazalo pa se je, da temu ni tako. To šifriranje v teoriji pomeni, da do vsebine podatkov lahko dostopajo le uporabniki komunikacijske naprave, v tem primeru aplikacije ZOOM. Uporabljali so šifriranje od uporabnikov do strežnikov. Že mnogo prej obljubljeno end-to-end šifriranje so izpopolnili šele oktobra. Sporno pri tem je, da so ga sprva želeli deliti le s premium uporabniki, ki plačujejo naročnino. Vsi ostali, ki bi uporabljali neplačljivo različico, pa tega »luksuza« ne bi bili deležni. »Največja težava pri tem je bilo zavajanje javnosti,« dodaja Kovačič. Preskok pri varovanju zasebnosti in zaupanju aplikaciji je igral Keybase. Znano podjetje, ki deluje tudi s Twitterjem in Redditom, je 7. maja 2020 pričelo sodelovati z Zoom-om. »Keybase je podjetje, ki dobro razume šifriranje, tako da zaupam, da svoje delo opravljajo dobro. Vseeno pa bi za bolj zanesljive podatke o varnosti potrebovali neodvisno analizo,« pove Kovačič.
Zoom v preteklosti omejeval svobodo govora svojih uporabnikov
Varnost oziroma zasebnost, ki smo je deležni, pa je do neke mere tretirana različno glede na namen seje. Times higher education je aprila 2020 poročal, da Zoom lahko omejuje seje, če si tega le želi ali če mu je tako naročeno. Udeleženci seje na Zoomu, locirani v ZDA, so bili prestreženi, ker so bili kritični do delovanja kitajske vlade. Čeprav zaenkrat še ni jasnih dokazov, da za tem stoji kitajska vlada, profesor Kitajske univerze v Hong Kongu Lokman Tsui v članku pravi, da »če Zoom – ali vlada, ki prosi Zoom – želi izvedeti, o čem uporabniki govorijo, to teoretično lahko pove«. To bi lahko šteli tudi pod omejevanje svobode govora v zaprtem krogu ljudi – torej pogovor, ki ni namenjen širši javnosti. Dr. Kovačič pravi: »Če se skupina ljudi pogovarja privatno, nisem prepričan, da ima neko podjetje pravico poseganja in omejevanja.« Ko na tehtnico postavimo predajanje zaupnih informacij in javne učne ure Univerze v Ljubljani, je logično, da t. i. hekerjev Univerzine seje ne zanimajo. Vseeno pa to ne pomeni enoznačno, da so študenti povsem varni. Pred uveljavitvijo čakalnic, preko katerih te mora gostitelj sputiti v sejo, je bil (še veliko bolj kot zdaj) razširjen »zoom-bombing«. S pravo povezavo, ki je ni težko dobiti, so v seje prihajali nepovabljeni gosti. Vsebina povedanega je s seboj pogosto prinašala sovražni govor – od vulgarnih, nespodobnih opazk, do izrazitega rasizma, homofobije, islamofobije. Pa sploh je naloga Univerze zagotavljanje varne aplikacije za svoje študente?
Univerza v Ljubljani bi v letu dni lahko postavila svojo platformo, ki, kot pravi Kovačič, »ne bi bila vezana na ‘oblak’, temveč bi tekla lokalno v organizaciji«. Seveda pa bi težave nastale že pri samem financiranju, s čimer gre z roko v roki tudi vprašanje, ali bi bilo UL to sploh v interesu. Ta interes bi se verjetno pokazal, če bi šolanje na daljavo trajalo več let. Licenčnine, ki jih plačuje tudi UL, so namreč njihov glavni vir dohodka. Na začetku je tudi dr. Matej Kovačič pomislil na vzpostavitev lastne aplikacije. Skupaj s kolegi so za širšo javnost ustvarili Jitsi, ki ga je uporabil Arnes (Akademska in raziskovalna mreža Slovenije). Ker so se v klicih z več kot 10. ljudmi začele pojavljati težave, so ugotovili, da Jitsi še ni popolna alternativa. »Težava je, saj potrebuješ rešitev, ki bo v prvi vrsti uporabna, šele nato se lahko pogovarjamo o varnosti. Če si del kriminalistične policije, je varnost seveda ključnega pomena. Za večino primerov pa je Zoom trenutno najbolj dodelana rešitev,« opisuje Kovačič, ki problematizira, da družba ni bila pripravljena na delovanje preko spletnih platform. »Uveljavila se je ena od možnosti in možno je, da obstaja tudi boljša rešitev. Toda ko ima nekdo večinski tržni delež, je to težko preseči,« dodaja.
Za uhajanje informacij v Sloveniji navadno kriva malomarnost, ne vdiranje
In čeprav se nam dogodki z vdiranjem v kibernetsko zasebnost posameznika pogosto zdijo zelo oddaljeni, slovenski prostor ni povsem nedolžen. Ali lahko pričakujemo omejevanje Zoom sej, ki ne bi bile po godu vlade, v prihodnje tudi pri nas? Slovenija se je v preteklosti že zanimala za nakup prisluškovalne oz. nadzorne programske opreme. Ko pride do prestrezanja komunikacije pri viru s strani softvera, temu rečemo »malware«. Po podatkih WikiLeaksa je bila Slovenska policija v stiku z italijanskim podjetje Hacking Team za tak operacijski sistem. »Policija je pred leti želela v zakonodajo vriniti tudi legaliziranje prestrezanja pri viru, a ta del zakonodaje ni bil sprejet, vseeno pa kaže na zanimanje,« dogajanje v slovenskem prostoru opisuje Kovačič. Kljub nejasnim podatkom, ki do nakupa niso vodili, pa je že zanimanje zgovorno samo po sebi. Tudi v tem primeru je največje vprašanje financ in obsežnost naložbe, ki bi si jo razmeroma majhen slovenski prostor lahko privoščil. »Moj občutek je, da se v Sloveniji o prisluškovanju veliko več govori, kot se ga zares dogaja,« pove Kovačič, ki doda, da zaupni podatki pogosto uidejo kako drugače, navadno zaradi malomarnosti in nepazljivosti. Za to niso potrebna posebna šifriranja, temveč sprintana zaupna sporočila na pisarniški mizi, ki jih vidi napačno oko.
Javno v zasebnem
Ker so naprave velikokrat lahko pametnejše od nas in nas pretentajo tam, kjer najmanj pričakujemo, je previdnost za varno rabo ključnega pomena. Telefoni in računalniki so mlajšim generacijam položeni že v zibko, pogosto pa niso seznanjeni z negativnimi platmi teh orodij, ki nam sicer vsakodnevno lajšajo življenje. In tako je tudi vprašanje, ali smo varni na Zoomu, kontroverzen pojav, na katerega ni enoznačnega odgovora. Dr. Matej Kovačič je na primeru najinega pogovora interpretiral, da se kljub dvomom pogovor v celoti ne shranjuje v končni točki. Lahko pa bi sledili stiku, ki sva ga vzpostavila. »Če imava midva en stik, to ni tako pomembno. Če pa bi bilo stikov več, je za podjetje zanimivo videti, kje in kdo se zbira, druži,« razlaga Kovačič. Odveč je strah, da te na drugi strani ves čas spremlja Edward Snowden, vseeno pa se nikoli ne ve, kdaj bomo morali odgovarjati za dejanja, ki jih nismo počeli javno, pa so postali del javnosti. R.M.