Ukončeme studenou válku o data
Na začátku května zažil Mnichov čtyřicetitisícový protest proti rozšiřování pravomocí policie. Ta by nově měla mít možnost zasahovat v reálném čase do telefonické komunikace a provádět kyberútoky způsobem, který jí doposud zákon neumožňoval.
Ukazuje se, že i liberální evropské země následují trend legislativního ukotvení možností sledování. Ty do důsledku zatím dováděly spíše autoritářské režimy typu Ruska, byť samozřejmě svým způsobem a s jasnou motivací v podobě upevnění kontroly a možnosti případného potlačení disentu.
Zmíněné Rusko před měsícem zakázalo v zemi velmi populární šifrovanou chatovací službu Telegram. Proti možnostem anonymní online komunikace ale tvrdě bojuje již déle. Například zhruba před rokem ruská policie zatkla akademika Dmitrije Bogatova kvůli tomu, že provozoval jeden z uzlových bodů celosvětové anonymizační sítě Tor.
Ta umožňuje svým uživatelům vystupovat na internetu víceméně skrytě skrze několik tzv. relé, přes něž v rámci sítě Tor ‚protékají‘ šifrovaná data. Již prakticky od počátku Toru vystupují do popředí jak jeho pozitiva, tak negativa. Pozitivní stránky, jež zdůrazňují obránci internetové anonymity, spočívají především v ochraně aktivistů v autoritářských režimech, novinářů shánějících citlivá data či zkrátka v právu na soukromí ukotveném v Listině základních práv a svobod. Odpůrci – a především státní složky včetně těch ruských – potom argumentují tím, že anonymizační služby kryjí černý trh se zbraněmi a drogami, a v poslední době dokonce koordinaci teroristických organizací.
Příklad ruského boje proti anonymitě na síti je do příznačný pro otázku internetového soukromí napříč světem. Rusko totiž ukazuje, jakým směrem může státní politika vůči internetu jít, pokud přijme presumpci viny ve smyslu „kdo chce soukromí, ten něco tají“, ale stejně tak, že si právo na ochranu digitálních dat žádá legislativní ukotvení – mimo jiné právě proto, aby se jasně vymezila hranice, za níž stát už nesmí.
Pro ukázku toho, jak moc je taková hranice potřeba, nemusíme jít nijak daleko – české prostředí nám nabízí až moc varovných příkladů.
Kyberkomisař Clouseau zasahuje
V posledních letech totiž v rámci snahy bezpečnostních složek vytěžit zájmová data došlo k několika pozoruhodným kauzám, u kterých není dodnes jisté, zda policie – a případně jí zaúkolovaní experti – sama neporušovala zákon.
První podivností bylo placení italské hackerské skupiny „Hacker Team“ za ne přesně známý okruh činností. Jednou z nich mělo být monitorování přístupu levicových radikálů na portál Riseup.net, který jim poskytuje vysoce zabezpečené e-mailové schránky a internetová fóra, jejichž obsah zřejmě kanadští provozovatelé opakovaně odmítají vydávat státním složkám.
Přestože zní název „Hacker Team“ vznosně, jednalo se zřejmě především o partu teenagerů zajímajících se o IT a prodávajících své služby spočívající v – mírně řečeno – nikterak objevných úkonech. Například sledování českých přístupů na portál Riseup.net mělo sice teoreticky fungovat, omezovalo se ale na přístupy skrze velmi staré verze prohlížeče Internet Explorer. Ty jsou přitom prakticky kýmkoli, kdo se jen ochomýtl o IT, právem vysmívané mj. kvůli katastrofálním bezpečnostním aspektům.
Proč česká policie vyhodila miliony korun za přinejmenším pololegální služby této obskurní skupiny nadšenců, je otázkou. Na pováženou je i to, že celá kauza by se zřejmě nikdy nedostala do povědomí, kdyby „Hacking Teame“ někdo nenaboural systémy a nevyvěsil jejich klienty na internet.
Druhý do očí bijící příklad je novější. Shodou okolností opět v rámci policejního sledování a konfrontace levicových radikálů zabavilo komando v rámci domovní prohlídky notebook enviromentálního aktivisty vystupujícího pod jménem Tomáš Zelený.
Nechme stranou Zeleného úspěšné švejkování, v rámci kterého zmenožnil policii chtějící jej pokutovat za pozdrav „zdar útvare“ či označení Roberta Šlachty za „ušatého traktoristu“ – to, jak aktivista policejní složky znemožnil bez jakékoli snahy svým počítačem, je mnohem zajímavější.
Notebook, který policie spektakulárně zabavila, disponoval totiž šifrováním pevného disku, tedy všech zásadních dat přítomných v přístroji. I když šlo o naprosto základní šifrování integrované do linuxových operačních systémů, jež bylo k tomu závislé na triviálním hesle, údajný odborník Jan Janka pověřený vyšetřovateli ke zkoumání počítače, naprosto pohořel. Ve své patnáctistránkové zprávě, jejíž vytvoření zřejmě stálo několik set tisíc korun, sice velmi hezky popisuje obecné charakteristiky pevných disků počítače, výsledek zkoumání ale zabírá pouze dva krátké odstavce. V těch se nejen píše, že se Jankovi šifrování nepodařilo prolomit, ale také se míchají dohromady pojmy, za jejichž neznalost by studenta IT bezpečnosti hnali od zkoušky.
‚Odborník‘ například tvrdí, že při snaze odhalit heslo zkusil všechny možné kombinace písmen a čísel. To v první řadě není pravda, protože heslo – složené podle Zeleného pouze z osmi malých písmen – by tímto způsobem odhalil i na velmi průměrném stroji nejpozději za jeden den. V druhé řadě to ukazuje na neznalost matematiky, potažmo kryptografie. Všech možných kombinací je totiž v situaci, kdy není známá délka hesla, fakticky nekonečno. To, jak se z nekonečna ‚vysekne‘ uchopitelnější množina, je čistě otázka odhadu toho, kdo heslo prolamuje.
Samozřejmě je možné, že se Janka setkal při pokusu o dešifrování s tajemným kryptografickým fenoménem, který ještě nikdo nepopsal. Člověk ale nemusí mluvit programovacími jazyky místo češtiny, aby kvalifikovaně odhadl, zda dotyčný soudní znalec spíše nemlží.
Legraci stranou
Oba příklady jsou svým způsobem komické, dokud si neuvědomíme, že jsou zřejmě vrcholem práce útvarů, které mají na starost kybernetickou bezpečnost Česka. Kauza „Hacking Teamu“ ukazuje na krajně netransparentní praktiky policie, která si hraje na tajné služby, aniž by k tomu měla jakýkoli mandát. Kauza Tomáše Zeleného zase na nekompetentnost těch, kteří by měli být nejpovolanější – tedy kriminální policie, ba dokonce útvaru pro vyšetřování extremismu a terorismu.
Komičnost potom definitivně mizí, když si vzpomeneme na návrh novely zákona z počátku minulého roku, která by dala vojenské rozvědce možnost monitorovat proudění dat u českých poskytovatelů internetu v reálném čase. Je totiž nasnadě, že podobná konkrétní řešení jsou nesmyslná, ba dokonce potenciálně nebezpečná, pokud neexistuje systémový rámec, ve kterém by se státní složky při zacházení s digitálními daty pohybovaly – ať už se jedná o skutečnou tajnou službu nebo o kriminalisty, kteří by podobné nástroje nepochybně také chtěli.
Pokud to česká legislativa nebude nejdříve a poučeně reflektovat, nelze vyloučit možnost, že se polovodičová krajina našich počítačů stane bez zlého záměru z jakékoli strany dějištěm neoficiálního boje mezi státními orgány a těmi, kterým je z nějakého důvodu drahé jejich kybernetické soukromí.
Text vznikl v rámci předmětu Tvůrčí dílny – komentář pod vedením Mgr. Davida Klimeše, Ph.D.
Foto: Pixabay.com/TheDigitalArtist