Pajisje SEEK II
*Nga Kashmir Hill, John Ismay, Christopher F. Schutze dhe Aaron Krolik
Kashmir Hill shkruan për teknologjinë dhe privatësinë. John Ismay mbulon Pentagonin. Christopher F. Schutze raportoi nga Hamburgu, Gjermani. Aaron Krolik është një teknolog
Pajisja në formë kutie këpucësh, e krijuar për të kapur gjurmët e gishtërinjve dhe për të kryer skanime të irisit të syrit, u rendit për shitje në eBay për 149,95 dollarë. Një studiues gjerman i sigurisë, Matthias Marx, bëri një ofertë të suksesshme prej 68 dollarësh duke e blerë atë dhe kur mbërriti në shtëpinë e tij në Hamburg në gusht, pajisja solide përmbante më shumë se sa ishte premtuar në listen e shitjes në eBay.
Karta e kujtesës e pajisjes mbante emrat, kombësitë, fotografitë, shenjat e gishtërinjve dhe skanimet e irisit të 2632 personave.
Shumica e njerëzve në bazën e të dhënave, e cila u rishikua nga The New York Times, ishin nga Afganistani dhe Iraku. Shumë prej tyre ishin terroristë të njohur dhe individë të kërkuar, por të tjerët dukej se ishin njerëz që kishin punuar me qeverinë amerikane ose thjesht ishin ndaluar në pikat e kontrollit. Metadatat në pajisje, të quajtura Secure Electronic Enrollment Kit, ose SEEK II, zbuluan se ajo ishte përdorur për herë të fundit në verën e vitit 2012 pranë Kandaharit, Afganistan.
Pajisja – një relike e sistemit të madh të grumbullimit biometrik që Pentagoni ndërtoi në vitet pas sulmeve të 11 shtatorit 2001 – është një kujtesë fizike se megjithëse SHBA ka ecur përpara nga luftërat në Afganistan dhe Irak, mjetet e ndërtuara për t’i luftuar dhe informacioni që ato mbanin, jeton ende në mënyra që nuk dëshirohet nga krijuesit e tyre.
Është e paqartë saktësisht se si pajisja përfundoi nga fushat e betejës në Azi në një faqe ankandi online. Por të dhënat, të cilat ofrojnë përshkrime të hollësishme të individëve, përveç fotografisë dhe të dhënave biometrike të tyre, mund të jenë të mjaftueshme për të shënjestruar njerëzit që më parë nuk dihej se punonin me forcat ushtarake amerikane, nëse informacioni bie në duar të gabuara.
Për këto arsye, Marks nuk do e vendoste informacionin në internet ose nuk do e shpërndante atë në një format elektronik, por ai lejoi një gazetar të Times në Gjermani të shihte të dhënat personalisht përkrah tij.
“Për shkak se ne nuk e kemi shqyrtuar informacionin e përmbajtur në pajisje, departamenti nuk është në gjendje të konfirmojë vërtetësinë e të dhënave të supozuara ose të komentojë mbi to.” – tha në një deklaratë Gjeneral Brigade Patrick S. Ryder, sekretari i shtypit i Departamentit të Mbrojtjes. “Departamenti kërkon që çdo pajisje që mendohet se përmban informacion personal të identifikueshëm të kthehet për analiza të mëtejshme.”
Ai dha një adresë për menaxherin e programit biometrik të ushtrisë në Fort Belvoir në Virxhinia ku mund të dërgoheshin pajisjet.
Të dhënat biometrike për SEEK II u mblodhën në ambientet e paraburgimit, gjatë patrullimit, gjatë ekzaminimeve të punonjësve vendas dhe pas shpërthimit të një bombe të improvizuar. Rreth kohës kur pajisja u përdor për herë të fundit në Afganistan, përpjekja e luftës amerikane atje po përfundonte. Osama bin Laden ishte vrarë në Pakistan një vit më pare, identiteti i tij thuhet se u konfirmua duke përdorur teknologjinë e njohjes së fytyrës.
Një nga shqetësimet kryesore të liderëve ushtarakë në atë kohë ishte një seri sulmesh në të cilat ushtarët dhe policët afganë qëlluan kundër trupave amerikane. Ata shpresonin se programi i regjistrimit biometrik do ndihmonte në identifikimin e çdo agjenti të mundshëm taleban brenda bazave të tyre.
Një ‘udhëzues për biometrikën në Afganistan’ i vitit 2011 përshkroi skanimet e fytyrës, gjurmëve të gishtave dhe irisit si një aftësi ‘relativisht të re’ por ‘vendimtare në fushëbetejë’ që ‘identifikon në mënyrë efektive rebelët, verifikon shtetasit vendas dhe të vendeve të treta që hyjnë në bazat dhe objektet tona dhe lidh njerëzit me ngjarjet’.
SEEK II ka një ekran të vogël, një tastierë fizike në miniaturë dhe një tastierë të vogël mouse. Një lexues i gjurmëve të gishtit mbrohet nga një kapak plastik i varur në fund të pajisjes. Ashtu si një aparat i lashtë fotografik Polaroid, makina mundëson skanimin e irisit dhe bën foto. Marks përdori SEEK II për veten e tij; kur e çaktivizoi, doli një mesazh, që kërkonte të lidhej me një server të Komandës së Operacioneve Speciale të SHBA për të ngarkuar ‘biometrikën e mbledhur’ të re.
Gjatë vitit të kaluar, Marks dhe një grup i vogël studiuesish në Chaos Computer Club, një shoqatë evropiane e hakerëve, blenë gjashtë pajisje të gjurmimit biometrik në eBay, shumica për më pak se 200 euro, duke planifikuar t’i analizonte ato për të gjetur ndonjë dobësi ose të meta në dizajn.
Ata ishin të motivuar nga shqetësimet e ngritura vitin e kaluar se talebanët kishin konfiskuar pajisje të tilla pas evakuimit të SHBA nga Afganistani. Grupi i studiuesve donte të kuptonte nëse talebanët mund të kishin marrë të dhëna biometrike për njerëzit që kishin ndihmuar Shtetet e Bashkuara nga pajisjet, duke i vënë ata në rrezik.
Gjetja e kaq shumë informacioneve të pakriptuara dhe lehtësisht të arritshme i tronditi ata.
“Ishte shqetësuese që ata as nuk u përpoqën të mbronin të dhënat.” – tha Marks, duke iu referuar ushtrisë amerikane.
“Ata nuk u interesuan për rrezikun, ose ata e anashakaluan atë.”
Matthias Marx është një studiues i sigurisë në Chaos Computer Club, një shoqatë evropiane e hakerëve.
Steëart Baker, një avokat në Uashington dhe ish-zyrtar i sigurisë kombëtare, tha se skanimi biometrik ishte një mjet i vlefshëm në zonat e luftës, por se të dhënat e mbledhura duhej të mbaheshin nën kontroll. Ai parashikoi se shkelja e të dhënave do t’i ‘bënte shumë njerëz që ndihmuan SHBA-në dhe janë ende në Afganistan të ndihen në rrezik’.
“Kjo nuk duhet të kishte ndodhur.” – tha zoti Baker.
“Është një fatkeqësi për njerëzit, të dhënat e të cilëve ekspozohen. Në rastet më të këqija, pasojat mund të jenë vdekjeprurëse.”
Nga gjashtë pajisjet që studiuesit blenë në eBay – katër SEEK dhe dy HIIDE (Handheld Interagency Identity Detection Equipment) – dy nga pajisjet SEEK II kishin të dhëna të ndjeshme në to. SEEK II i dytë, me të dhënat e vendndodhjes që tregojnë se është përdorur për herë të fundit në Jordani në vitin 2013, dukej se përmbante gjurmët e gishtërinjve dhe skanimet e irisit të një grupi të vogël anëtarësh të shërbimit amerikan.
Kur u kontaktua nga The Times, një amerikan, skanimi biometrik i të cilit u gjet në pajisje konfirmoi se të dhënat mund të ishin të tijat. Ai ka shërbyer më parë si specialist i inteligjencës në ushtri dhe tha se të dhënat e tij dhe të çdo amerikani tjetër të gjetur në këto pajisje, ka shumë të ngjarë të ishin mbledhur gjatë një kursi trajnimi ushtarak. Burri, i cili foli në kushte anonimiteti sepse ende punon në fushën e inteligjencës dhe nuk ishte i autorizuar të fliste publikisht, kërkoi që të fshihej dosja e tij biometrike.
Zyrtarët ushtarakë thanë se e vetmja arsye që këto pajisje mund të kishin të dhëna për amerikanët mund të jetë përdorimi i tyre gjatë seancave stërvitore, një praktikë e zakonshme për t’u përgatitur për përdorimin e tyre në terren.
Sipas Agjencisë së Logjistikës së Mbrojtjes, e cila merret me asgjësimin e miliona dollarëve të materialeve të tepërta të Pentagonit çdo vit, pajisje si SEEK II dhe HIIDE nuk duhet të kishin dalë kurrë në tregun e hapur, aq më pak një faqe ankandi online si eBay. Në vend të kësaj, të gjitha pajisjet e grumbullimit biometrik supozohet të shkatërrohen në vend kur nuk nevojiten më nga personeli ushtarak, siç janë pajisjet e tjera elektronike që dikur mbanin informacione të ndjeshme operacionale.
Se si shitësit e eBay i kanë marrë këto pajisje është e paqartë. Pajisja me 2632 profile u shit nga Rhino Trade, një kompani e pajisjeve të tepërta në Teksas. Arkëtari i kompanisë, David Mendez, tha se kishte blerë SEEK II në një ankand të pajisjeve qeveritare dhe nuk e dinte se një pajisje ushtarake e çmontuar do të kishte të dhëna të ndjeshme mbi të.
“Shpresoj se nuk kemi bërë asgjë të gabuar.” – tha ai.
SEEK II me informacionin e trupave amerikane erdhi nga Tech-Mart, një shitës eBay në Ohio. Pronari i Tech-Mart, Ayman Arafa, nuk pranoi të thoshte se si e kishte blerë atë, ose dy pajisje të tjera që ua shiti studiuesve.
Një zëdhënës i eBay tha se politika e kompanisë ndalon hedhjen për shitje të pajisjeve elektronike që përmbanin informacion personal të identifikueshëm.
“Listat që shkelin këtë politikë do hiqen dhe përdoruesit mund të përballen me veprime deri në pezullim të përhershëm të llogarisë së tyre.” – tha zëdhënësi.
Të dhënat e ndjeshme në pajisje u ruajtën në kartat e kujtesës. Nëse kartat do ishin hequr dhe shkatërruar, këto të dhëna nuk do të ekspozoheshin.
“Trajtimi i papërgjegjshëm i kësaj teknologjie me rrezik të lartë është i pabesueshëm.” – tha Marks. “Është e pakuptueshme për ne që prodhuesit dhe ish-përdoruesit ushtarakë nuk interesohen që pajisjet e përdorura me të dhëna të ndjeshme po shpërndahen në internet.”
The Times rishikoi manualet dhe dokumentacionin online për pajisjet HIIDE dhe SEEK II dhe zbuloi se ato ishin krijuar për të kërkuar skedarë biometrikë të mbajtur në serverët e qeverisë. Megjithatë, ata janë në gjendje të ruajnë mijëra regjistrime biometrike për t’u përdorur në një mjedis me lidhje të kufizuar në internet, gjë që mund të ndihmojë në shpjegimin pse këto regjistrime biometrike ishin ende në këto pajisje.
Ella Jakubowska, një këshilltare për politikat mbi informacionin biometrik në European Digital Rights, një grup për mbrojtjen e privatësisë, tha se ushtria duhet të informojë të gjithë njerëzit, të dhënat e të cilëve ishin ekspozuar.
“Nuk ka rëndësi se është e një dekade më pare.” – tha ajo.
“Një nga pikat kyçe që ne gjithmonë përpiqemi të ngremë në lidhje me të dhënat biometrike dhe pse janë kaq të ndjeshme është sepse mund t’ju identifikojnë përgjithmonë.”
Jakuboëska tha se nuk kishte rëndësi nëse disa në bazën e të dhënave kishin kryer krime ose ishin në lista vëzhguese.
“Ju jeni ende një njeri, dhe është symbol i shoqërive demokratike që ne ende i trajtojmë njerëzit, madje edhe kriminelët, me dinjitet dhe me respekt për të drejtat e tyre njerëzore.” – tha ajo.
Marks njoftoi Departamentin e Mbrojtjes për të dhënat e pambrojtura, si dhe prodhuesin e pajisjes, HID Global. E pyetur për koment, HID Global tha në një deklaratë se nuk ‘ka ndarë hollësi rreth klientëve ose zbatimeve specifike të produkteve’.
“Konfigurimi, menaxhimi, mbrojtja, ruajtja dhe rregullsia e fshirjes së të dhënave është përgjegjësi e organizatës që përdor pajisjet e prodhuara nga HID.” – tha kompania.
Belkis Wille, një studiuese në Human Rights Watch, e cila ka shkruar për përdorimin e biometrisë në Afganistan, i tha transmetuesit publik gjerman Bayerischer Rundfunk se njerëzve që kishin punuar me qeverinë e SHBA dhe ishin prekur nga dalja e të dhënave, duhet t’u jepet mundësia të largohen nga Afganistani dhe të aplikojnë për azil.
“Edhe ish-policë që janë fshehur dhe që kanë ndryshuar emrin, sepse nuk duan që talibanët t’i kapin, nuk janë më të sigurt.” – tha ajo për Bayerischer Rundfunk.
“Ky sistem do të thotë se ata me të vërtetë nuk kanë asnjë mënyrë për të mbrojtur veten.”
Marks planifikoi të prezantonte gjetjet e tij në një ngjarje për hakerat në Berlin të martën. Pasi të përfundojë analiza e pajisjeve biometrike, ai dhe kolegët e tij studiues planifikojnë të fshijnë të dhënat personale të identifikueshme.
VINI RE: Ky material është pronësi intelektuale e NY Times
