Jak drahé je nám kybernetické soukromí

Jan Kašpárek

Právo na ochranu digitálních dat si žádá legislativní ukotvení — mimo jiné proto, aby se jasně vymezila hranice, za niž stát už nesmí. České i zahraniční prostředí nabízí řadu příkladů, proč je to nutné.

Během minulého týdne zažil Mnichov čtyřicetitisícový protest proti rozšiřování pravomocí policie. Ta by nově měla mít možnost zasahovat v reálném čase do telefonické komunikace a provádět kyberútoky způsobem, který jí doposud zákon neumožňoval.

Ukazuje se, že i liberální evropské země následují trend legislativního ukotvení možností sledování. Ty zatím do důsledku dováděly spíše autoritářské režimy typu Ruska, byť samozřejmě svým způsobem a s jasnou motivací upevnit kontrolu a získat možnost případně potlačit disent.

Zmíněné Rusko před měsícem zakázalo v zemi velmi populární šifrovanou chatovací službu Telegram. Proti možnostem anonymní online komunikace ale tvrdě bojuje již déle. Například zhruba před rokem ruská policie zatkla akademika Dmitrije Bogatova kvůli tomu, že provozoval jeden z uzlových bodů celosvětové anonymizační sítě Tor.

Ta umožňuje svým uživatelům vystupovat na internetu víceméně skrytě skrze několik takzvaných relé, přes něž v rámci sítě Tor „protékají“ šifrovaná data. Již prakticky od počátku Toru vystupují do popředí jak jeho pozitiva, tak negativa. Pozitivní stránky, jež zdůrazňují obránci internetové anonymity, spočívají především v ochraně aktivistů v autoritářských režimech, novinářů shánějících citlivá data či zkrátka v právu na soukromí ukotveném v Listině základních práv a svobod. Odpůrci — a především státní složky včetně těch ruských — potom argumentují tím, že anonymizační služby kryjí černý trh se zbraněmi a drogami, a v poslední době dokonce koordinaci teroristických organizací.

Ochrana aktivistů a novinářů v autoritářských režimech, nebo krytí černého trhu se zbraněmi a drogami? Koláž connect.cz

Příklad ruského boje proti anonymitě na síti je příznačný pro otázku internetového soukromí napříč světem. Rusko totiž ukazuje, jakým směrem může státní politika vůči internetu jít, pokud přijme presumpci viny ve smyslu „kdo chce soukromí, ten něco tají“. Stejně tak ale to, že si právo na ochranu digitálních dat žádá legislativní ukotvení — mimo jiné právě proto, aby se jasně vymezila hranice, za niž stát už nesmí.

Pro ukázku toho, jak moc je taková hranice potřeba, nemusíme jít nijak daleko — české prostředí nám nabízí až moc varovných příkladů.

Kyberkomisař Clouseau zasahuje

V posledních letech totiž v rámci snahy bezpečnostních složek vytěžit zájmová data vzniklo několik pozoruhodných kauz, u kterých není dodnes jisté, zda policie — a případně jí zaúkolovaní experti — sami neporušovali zákon.

První podivností bylo placení italské hackerské skupiny „Hacking Team“ za ne přesně známý okruh činností. Jednou z nich měla být snaha o monitorování přístupu levicových radikálů na portál Riseup.net, který jim poskytuje vysoce zabezpečené e-mailové schránky a internetová fóra. Jejich obsah zřejmě kanadští provozovatelé Riseupu oproti jiným poskytovatelům opakovaně odmítají vydávat státním složkám.

Přestože zní název „Hacking Team“ vznosně, jednalo se zřejmě především o společnost poučených amatérů zajímajících se o IT a prodávajících své služby spočívající zpravidla v ne zvlášť objevných úkonech. Například sledování českých přístupů na portál Riseup.net se — pokud vůbec bylo uvedené do praxe — omezovalo pravděpodobně pouze na přístupy skrze staré verze prohlížeče Internet Explorer. Ty jsou přitom prakticky kýmkoli, kdo se jen ochomýtl kolem IT, právem vysmívané kvůli katastrofálním bezpečnostním aspektům. Lze tedy předpokládat, že takový nástroj byl poměrně k ničemu, i pokud se jej podařilo v praxi použít.

Proč česká policie vyhodila miliony korun za přinejmenším pololegální služby této obskurní skupiny, je otázkou. Na pováženou je i to, že celá kauza by se zřejmě nikdy nedostala do povědomí, kdyby Hacking Teamu někdo nenaboural systémy a nevyvěsil jeho klienty, přístupová hesla a veškerou e-mailovou komunikaci na internet.

Za zmínku stojí i to, že nabourání Hacking Teamu učinilo nepoužitelným veškerý šmírovací a dešifrovací software, který od něj kdokoli nakoupil. Ten totiž obsahoval „zadní vrátka“ umožňující tvůrci (zne)užívat program bez vědomí jeho koncového uživatele. Jeho používání se tak stalo ve chvíli, kdy neznámý útočník vymetl s Hacking Teamem podlahu, krajně riskantním.

Druhý do očí bijící příklad je novější. Shodou okolností opět v rámci policejního sledování a konfrontace levicových radikálů zabavilo komando v rámci domovní prohlídky notebook environmentálního aktivisty vystupujícího pod jménem Tomáš Zelený.

Nechme stranou Zeleného úspěšné švejkování, v rámci kterého zesměšnil policii chtějící jej pokutovat za pozdrav „zdar, útvare“ či označení Roberta Šlachty za „ušatého traktoristu“ — to, jak aktivista policejní složky znemožnil bez jakékoli snahy jen prostřednictvím svého počítače, je mnohem zajímavější.

Notebook, který policie spektakulárně zabavila, disponoval totiž šifrováním pevného disku, tedy všech zásadních dat přítomných v přístroji. I když šlo o naprosto základní šifrování integrované do linuxových operačních systémů, jež bylo k tomu závislé na triviálním hesle, údajný odborník Jan Janka pověřený vyšetřovateli ke zkoumání počítače naprosto pohořel. Ve své patnáctistránkové zprávě, jejíž vytvoření zřejmě stálo několik set tisíc korun, sice velmi hezky popisuje obecné charakteristiky pevných disků počítače, výsledek zkoumání ale zabírá pouze dva krátké odstavce. V těch se nejen píše, že se Jankovi šifrování nepodařilo prolomit, ale také se míchají dohromady pojmy, za jejichž neznalost by studenta IT bezpečnosti hnali od zkoušky.

„Odborník“ například tvrdí, že při snaze odhalit heslo zkusil všechny možné kombinace písmen a čísel. To v první řadě není pravda, protože heslo — složené podle Zeleného pouze z osmi malých písmen — by tímto způsobem odhalil i na velmi průměrném stroji nejpozději za jeden den. V druhé řadě to ukazuje na neznalost matematiky, potažmo kryptografie. Všech možných kombinací je totiž v situaci, kdy není známá délka hesla, fakticky nekonečno. To, jak se z nekonečna ‚vysekne‘ uchopitelnější množina, je čistě otázka odhadu toho, kdo heslo prolamuje.

Samozřejmě je možné, že se Janka setkal při pokusu o dešifrování s tajemným kryptografickým fenoménem, který ještě nikdo nepopsal. Člověk ale nemusí mluvit programovacími jazyky místo češtiny, aby kvalifikovaně odhadl, zda dotyčný soudní znalec spíše nemlží.

Legraci stranou

Oba příklady jsou svým způsobem komické, dokud si neuvědomíme, že jsou zřejmě vrcholem práce útvarů, které mají na starost kybernetickou bezpečnost České republiky. Kauza „Hacking Teamu“ ukazuje na krajně netransparentní praktiky policie, která si hraje na tajné služby, aniž by k tomu měla jakýkoli mandát. Kauza Tomáše Zeleného zase na nekompetentnost těch, kteří by měli být nejpovolanější — tedy kriminální policie, ba dokonce útvaru pro vyšetřování extremismu a terorismu.

Komičnost potom definitivně mizí, když si vzpomeneme na návrh novely zákona z počátku minulého roku, který by dal vojenské rozvědce možnost monitorovat proudění dat u českých poskytovatelů internetu v reálném čase. Je totiž nasnadě, že podobná konkrétní řešení jsou nesmyslná, ba dokonce potenciálně nebezpečná, pokud neexistuje systémový rámec, ve kterém by se státní složky při zacházení s digitálními daty pohybovaly — ať už se jedná o skutečnou tajnou službu, nebo o kriminalisty, kteří by podobné nástroje nepochybně také chtěli.

Pokud to česká legislativa nebude nejdříve a poučeně reflektovat, nelze vyloučit možnost, že se polovodičová krajina našich počítačů stane bez zlého záměru z jakékoli strany dějištěm neoficiálního boje mezi státními orgány a těmi, kterým je z jakéhokoli důvodu drahé jejich kybernetické soukromí.