Udělat z počítače polovodičovou pevnost? V České republice snadno
Jan KašpárekPodrobný komentář Jana Kašpárka ukazuje, že rezignovat na zabezpečení vlastního počítače u nás není třeba. Mohou za to bezpečnostní složky státu, jejichž znalosti v oblasti hackování a kyberbezpečnosti jsou překvapivě nízké.
Málokoho překvapí, že represivní složky prakticky v jakékoli zemi disponují širokou škálou nástrojů určených k získávání digitálních dat a prolamování zabezpečení nejrůznější elektroniky. V posledních letech na toto téma proběhlo médii mnoho zpráv, jejichž výsledkem je rezignace velké části uživatelů a všeobecné přesvědčení, že když stát nějaká data chce, zkrátka si je vezme.
To je daleko od pravdy. Nástroje používané státními složkami jsou sice důmyslné, zdaleka ale ne všemocné. Přestože se znásobilo množství energie a peněz investovaných do nástrojů digitální forenzní analýzy, průlom, který by smetl ověřené metody zabezpečení dat, se nekoná.
To potvrzuje i výběr nástrojů pro těžbu dat a prolamování hesel, jež používají české policejní síly. Spolu s digitálně-aktivistickým kolektivem NoLog.cz jsme zanalyzovali hlavní nástroje dodané domácím bezpečnostním složkám firmou Risk Analysis Consultants (RAC) zaměřující se na distribuci programů pro digitální forenzní analýzu a kryptoanalýzu, tedy dešifrování chráněného obsahu.
Veškeré informace jsme získali z veřejně dostupných otevřených zdrojů, kde jsou uvedeny nad rámec zákona o registru smluv.
Těžba dat? Nic nového pod sluncem
Používané programy lze rozdělit do dvou základních kategorií. Jedny na základě sofistikovaných algoritmů, klíčových slov a dalších parametrů analyzují velké objemy digitálních dat a hledají v nich obsah s určitou tematikou (například zbraně, drogy). Ty druhé slouží k prolamování hesel, a to především u elektroniky, kterou složky činné v trestním řízení zabaví například při domovních prohlídkách.
Do první kategorie patří programy EnCase a Magnet Axiom. Pro EnCase nakoupilo policejní prezidium téměř čtyřicet licencí, pro Magnet Axiom dvacet. Magnet Axiom má k dispozici také policejní ředitelství v jižních Čechách a Ústí nad Labem, EnCase potom využívají pražští policisté. Jedna licence EnCase vyjde na osmnáct tisíc korun, Magnet Axiom podle typu programu na čtyřicet až sedmdesát tisíc.
Jedná se o pokročilý software schopný zjišťovat informace z registrů systému Windows, vytahovat data z profilů na sociálních sítích či obnovovat nepřepsaná smazaná data. Slouží hlavně k tomu, aby se vyšetřovatel snáze zorientoval a nemusel pracně procházet všechna data a manuálně spouštět různé analytické programy. Tyto nástroje nicméně mají zásadní slabinu. Aby měly co analyzovat, musí napřed do obsahu pevného disku vidět — a pokud je celý disk zašifrovaný, nevidí nic.
To je poměrně snadná, a především spolehlivá ochrana proti sebepropracovanějšímu analytickému nástroji. U starších druhů pevných disků je krom toho možné obnově „smazaných“ dat zabránit jejich přepsáním, což umožňují některé specializované programy typu Eraser či „secure remove“ (srm) fungující z linuxového terminálu.
Vzpomínka na hodiny matematiky
Podobně jako u předchozích programů, i u policií nakoupených prostředků kryptoanalýzy lze říci, že se jedná o propracované a komplikované nástroje provádějící v zásadě jednoduchý úkon. Existuje totiž pouze několik málo způsobů, jak získat přístup k zašifrovaným datům. Nejjednodušším z nich může být paradoxně přesvědčit toho, kdo data zašifroval, aby represivním složkám vydal heslo (čili „klíč“). Až pokud to dotyčný odmítne a není-li možnost se ke klíči dostat jinak, přistupuje se k odhalování hesla.
K němu slouží dva základní postupy. Existuje sice řada modifikací, ty ale zpravidla nijak nemění hlavní mechanismus hledající heslo. Prvním způsobem je postupně zkoušet co největší počet variant klíče — tedy všech možných kombinací znaků. Tento postup se nazývá „bruteforce“ útok, čili „útok hrubou silou“. Název je výstižný proto, že zde stojí výpočetní kapacita útočníkova přístroje tváří v tvář odolnosti hesla, tedy jeho komplikovanosti, počtu užitých znaků atd.
Hlavní problém bruteforce útoku spočívá v tom, že i s nejmodernější dostupnou technikou by prolomení komplikovanějších hesel trvalo roky, či dokonce staletí. Počet možných kombinací totiž extrémně roste s každým dalším znakem, a především kombinací malých písmen s čísly, velkými písmeny a speciálními znaky (například hvězdičkou, lomítkem či tečkou).
Jako příklad si vypůjčíme úsměvné heslo, které údajně používal jeden prominentní neonacista pro přístup na fórum fotbalových chuligánů, tedy „sparta88“. Heslo má osm znaků a obsahuje malá písmena a čísla. Nebudeme-li počítat písmena s diakritikou, máme zde šestadvacet možných písmen (a-z) a deset čísel (0—9), jež mohou být hledaným znakem. Suma možných variant hesla se rovná variantám pro jeden znak umocněným délkou hesla, v tomto případě tedy 36 na osmou. To znamená zhruba 282 krát 10 na desátou. Jedná se sice o nepředstavitelně vysoké číslo, z hlediska kryptoanalýzy to ale není příliš.
Například komplikovanější a o poznání sympatičtější heslo „161JEvicnez88/*“ má třináct znaků. Obsahuje malá písmena (26 variant/znak), velká písmena (dalších 26 variant/znak), číslice (10 variant/znak) a speciální znaky (34 variant/znak). Variant hesla je tedy 96 na třináctou — 588 krát 10 na dvacátou třetí. To dává dohromady klíč, který je bruteforce metodou v rozumném časovém horizontu neprolomitelný.
Sebesilnější heslo je ale k ničemu, pokud jej lze odhadnout díky znalosti člověka, který ho vymýšlel. Například ono „sparta88“ je u neonacistického fotbalového chuligána fandícího Spartě, jenž zrovna neproslul svými mentálními schopnostmi, dosti nasnadě. Dost možná to bude dokonce první varianta, kterou útočník při pokusu o průnik k datům vyzkouší.
I pokud člověk nezvolí podobně primitivní klíč, často se nechá zlákat možností snazšího zapamatování, takže si zvolí heslo, které je k nalezení v každém slovníku. Odtud také získal název „slovníkový útok“. Ten spočívá ve zkoušení různých slov a jejich očekávatelných modifikací (jako jsou varianty slova s jedničkou místo I, trojkou místo E či nulou místo O).
I když je teoreticky rychlejší a může útočníkovi dobře posloužit, lze mu snadno uniknout například přeskupením slova pomocí pravidla, které zná jen vlastník dat. Chceme-li tedy udělat heslo ze slova „meruňka“, můžeme jej přeskupit třeba jako „9KA*me/RU*n9“. To sice působí na první pohled komplikovaně, ale i člověk s průměrnou pamětí si takové heslo po několika použitích zapamatuje. A když ne, může využít šifrovaný program pro správu hesel, jako je například KeePassX.
Existují samozřejmě nástroje, které oba druhy útoků kombinují, obohacují je o nové algoritmy a poznatky z kryptografie. Velký průlom ale nepřinášejí. Nástroje jako Tableau Password Recovery (nakoupení pražským policejním prezidiem) či Forensic Toolkit (u policie v moravskoslezském kraji) jsou sice chytré, ale proti prakticky jakémukoli šifrování jištěnému kvalitním heslem bezzubé.
Vážené obecenstvo, vypněte telefony
Jiný je ovšem případ proslulého softwaru od izraelské společnosti Cellebrite, který si nechává aktualizovat středočeská policie za téměř čtvrt milionu ročně. Kolem toho se strhl poprask i v českých médiích, když se ukázalo, že Cellebrite umí prolomit zabezpečení prakticky každého mobilního telefonu. Techniky Cellebrite vsázejí na několik zásadních mezer v zabezpečení mobilů s různými operačními systémy.
Cellebrite dokáže na prvním místě zabezpečení zcela obejít, což je dost možná i případ známého nabourání telefonu iPhone zabaveného FBI. Ochrana iPhone je založena mimo jiné na secure enclave — speciálním čipu, který obsahuje klíč k odemknutí telefonu (což může být i například otisk prstu), jejž musí uživatel zadat, aby se telefon zpřístupnil. Pokud se útočníkovi ovšem podaří tento mechanismus „přesvědčit“, že zadal správný kód, iPhone se odemkne i bez znalosti klíče.
Kromě toho Cellebrite dokáže obejít i další mechanismy, typicky ten, pomocí něhož se mobil po několika zadáních chybného hesla zablokuje. To umožňuje proti zpravidla krátkým a pouze číselným kódům chránícím telefon nasadit převahu výpočetní kapacity hypermoderních počítačů. Když se vrátíme k té troše počítání, co máme za sebou: máme-li zašifrovaný telefon s klíčem třeba „846125“, znamená to pouhých 10 na šestou (milion) možností, které musí útočník vyzkoušet.
Úspěšnost útoku závisí na konkrétním modelu telefonu a verzi nainstalovaného operačního systému. Není proto možné říci například „Android je v pořádku, iOS ne“, protože je ve hře příliš mnoho proměnných. Přístrojů, o kterých je známo, že útokům Cellebrite odolávají, je každopádně velmi málo. Jedním z tohoto mála je Google Pixel s operačním systémem Copperhead OS.
Ač to není nejhezčí odpověď, proti Cellebrite neexistuje zaručená obrana. A to i proto, že firma investuje nemalé prostředky do nákupu nových modelů telefonů a zkoumání novinek v jejich zabezpečení. Asi jediným způsobem, jak nevystavovat svá data na milost a nemilost v telefonu, je mobilní zařízení k důvěrné komunikaci nepoužívat, případně si za pár stovek pořídit starou nerozbitnou Nokii 3310, z níž případný útočník prakticky nic nezjistí. Platí totiž, že je lepší nezabezpečené zařízení, od nějž uživatel žádnou bezpečnost ani neočekává, než falešný pocit bezpečí.
Chytrý telefon se pro práci s citlivými informacemi zkrátka nehodí. Člověk, který se obává možného útoku na svá data, by je měl raději uskladnit v počítači, případně vůbec.
Trezor z počítače uděláte za hodinu
Zatímco u telefonů neexistuje jistá metoda, jak si přístroj zabezpečit, u počítačů je to naopak poměrně jednoduché.
Existuje hned několik volně dostupných programů, které poskytují široký výběr šifrovacích algoritmů, jež jsou při použití silného hesla prakticky neprolomitelné. Výsadní postavení potom mají počítače s některým z operačních systémů na linuxové bázi. Prakticky jakýkoli Linux totiž při instalaci operačního systému nabízí možnost zašifrování celého pevného disku — to sice přináší mírné nepohodlí v podobě nutnosti zadávat při zapnutí přístroje heslo navíc, výměnou za to ale poskytuje naprosto dostačující zabezpečení dat.
Alternativy ale existují i pro Windows — například volně dostupný program VeraCrypt umožňuje jak šifrování celého disku, tak vytvoření skryté silně zašifrované složky, nebo dokonce skryté zašifrované složky uvnitř skryté zašifrované složky. Přestože to zní komplikovaně, stáhnutí a použití VeraCryptu je poměrně intuitivní a nevyžaduje žádné zvláštní dovednosti v oboru IT.
I když se například výše zmíněný program Magnet Axiom kasá tím, že umí těžit data chráněná VeraCryptem, fakticky to nedokáže. To, co Magnet Axiom svede, je totiž vybrat data z již dešifrované složky VeraCryptu, maximálně odhalit, kde se taková složka na pevném disku nachází. Taková informace je ale útočníkovi prakticky k ničemu, pokud nezná heslo, případně nemá v kumbále mezi košťaty strčený kvantový počítač za miliardy, aby heslo zjistil. Bez toho je proti VeraCryptu k ničemu i další program nabízený firmou RAC státním složkám jménem Passware Kit.
Problém s šifrováním disku tkví pouze v tom, že útočník může počítač při troše štěstí získat v dešifrovaném stavu — tedy zapnutý. Další možností je získat jej ve stavu hibernace, tedy uspaný do paměti. Tehdy je totiž disk dešifrovaný a klíč k šifrování uložený v operační paměti stroje, odkud jej lze snadno získat.
Už ale uložení počítače „k spánku“ (či „uspání na disk“) tento problém řeší. I tehdy je sice teoreticky možné ve vteřinách (maximálně minutách) po uspání heslo k šifrování získat z fyzicky vyjmuté operační paměti v rámci takzvaného cold-boot útoku, prakticky je ale velmi nepravděpodobné, že by se něco takového útočníkovi podařilo. Vypnutí počítače je potom dokonalé řešení.
Co tedy víme
V podstatě nic z policejního vybavení pro kryptoanalýzu není zvlášť překvapivé. Je sice pozoruhodné, že i krajská ředitelství disponují pokročilými a poměrně drahými nástroji typu Cellebrite, nelze ale tvrdit, že by to znamenalo zásadní změnu poměru sil mezi těmi, co chtějí chránit svá data, a státním potenciálem pro jejich získání.
K tomu se v minulosti ukázalo, že i teoreticky funkční nástroje v praxi fungují o poznání hůře — například slabé heslo aktivisty Tomáše Zeleného chránící zašifrovaný disk jeho počítače se soudnímu znalci v oboru kybernetiky nepodařilo odhalit ani po využití patřičných kryptoanalytických nástrojů, jež by podle očekávání na zjištění klíče stačit měly.
To je symptomatický případ. Profesionální vybavení státních složek pro digitální forenzní analýzu totiž působí, jako by jej někdo doporučil k nákupu, aniž by ale policii a dalším povolaným vysvětlil, co s ním vlastně mají — a mohou — dělat. Už jen to, že smlouvy o nákupu těchto nástrojů nejen policie, ale i ministerstvo obrany zveřejňuje v téměř plném znění i s technickými detaily, i když by to díky výjimce zahrnuté v zákoně o registru smluv dělat nemuselo, ukazuje na mírné zmatení až nepochopení toho, jak „se to dělá“.
Informace, u kterých se vyloženě nabízí, že by mohly podléhat utajení a které jsou pro různé zájmové skupiny zajímavé a cenné, lze takto získat během několika minut stejně legálním a pohodlným způsobem, jako je získal autor analýzy. Taková transparentnost je sice záslužná, je ale otázkou, zda si ministerstvo obrany uvědomuje, jaké informace vlastně zveřejňuje. Pokud ne, je to v době plné kybernetických útoků na státní cíle poněkud zvláštní.
To ať si ale vyřeší ti, které za to z veřejných peněz platíme — my ostatní, kteří máme důvod svá data chránit, ať už jako novináři, aktivisté či třeba lidé vymýšlející tajenky křížovek, si zatím můžeme sednout na hodinu k počítači a udělat z něj malou polovodičovou pevnost, z níž bude mít potenciální útočník pořádné bolení hlavy.
Když to zkombinujeme s opatrným přístupem vůči korporátním sociálním sítím a zabezpečením online komunikace, máme slušnou šanci, že získání našich dat zkomplikujeme natolik, že se o něj nikomu zkrátka nevyplatí pokoušet.
Analýza vznikla ve spolupráci s IT kolektivem NoLog (nolog.cz)
Poznámka NoLog: V podstatě celý článek se zabývá jediným tématem: šifrováním dat na zařízení, které je pod vaší kontrolou. Arzenál represivních složek ale nesestává pouze z nástrojů pro kryptoanalýzu (tedy analýzu dat z fyzicky zabavených přístrojů), ale i nástrojů, které na vaše zařízení aktivně útočí. Díky případu „Hacking Teamu“ víme, že česká policie disponuje pokročilými nástroji pro „vyhackování“ zájmových zařízení. Z toho vyplývá, že vám bude zašifrovaný disk k ničemu, pokud bude mít nad vaším přístrojem kontrolu někdo cizí. Obrana proti podobným typům útoků by vydala na samostatný článek (který, doufejme, v dohledné době také vznikne). Přesto tuto informaci uvádíme už nyní jako upozornění, že šifrování disku neřeší všechny problémy týkající se počítačové bezpečnosti.