Málokoho překvapí, že represivní složky prakticky v jakékoli zemi disponují širokou škálou nástrojů určených k získávání digitálních dat a prolamování zabezpečení nejrůznější elektroniky. V posledních letech na toto téma proběhlo médii mnoho zpráv, jejichž výsledkem je rezignace velké části uživatelů a všeobecné přesvědčení, že když stát nějaká data chce, zkrátka si je vezme.

To je daleko od pravdy. Nástroje používané státními složkami jsou sice důmyslné, zdaleka ale ne  všemocné. Přestože se znásobilo množství energie a peněz investovaných do nástrojů digitální forenzní analýzy, průlom, který by smetl ověřené metody zabezpečení dat, se nekoná.

To potvrzuje i výběr nástrojů pro těžbu dat a prolamování hesel, jež používají české policejní síly. Spolu s digitálně-aktivistickým kolektivem NoLog.cz jsme zanalyzovali hlavní nástroje dodané domácím bezpečnostním složkám firmou Risk Analysis Consultants (RAC) zaměřující se na distribuci programů pro digitální forenzní analýzu a kryptoanalýzu, tedy dešifrování chráněného obsahu.

Veškeré informace jsme získali z veřejně dostupných otevřených zdrojů, kde jsou uvedeny nad rámec zákona o registru smluv.

Těžba dat? Nic nového pod sluncem

Používané programy lze rozdělit do dvou základních kategorií. Jedny na základě sofistikovaných algoritmů, klíčových slov a dalších parametrů analyzují velké objemy digitálních dat a hledají v nich obsah s určitou tematikou (například zbraně, drogy). Ty druhé slouží k prolamování hesel, a to především u elektroniky, kterou složky činné v trestním řízení zabaví například při domovních prohlídkách.

Do první kategorie patří programy EnCase a Magnet Axiom. Pro EnCase nakoupilo policejní prezidium téměř čtyřicet licencí, pro Magnet Axiom dvacet. Magnet Axiom má k dispozici také policejní ředitelství v jižních Čechách a Ústí nad Labem, EnCase potom využívají pražští policisté. Jedna licence EnCase vyjde na osmnáct tisíc korun, Magnet Axiom podle typu programu na čtyřicet až sedmdesát tisíc.

Jedná se o pokročilý software schopný zjišťovat informace z registrů systému Windows, vytahovat data z profilů na sociálních sítích či obnovovat nepřepsaná smazaná data. Slouží hlavně k tomu, aby se vyšetřovatel snáze zorientoval a nemusel pracně procházet všechna data a manuálně spouštět různé analytické programy. Tyto nástroje nicméně mají zásadní slabinu. Aby měly co analyzovat, musí napřed do obsahu pevného disku vidět — a pokud je celý disk zašifrovaný, nevidí nic.

To je poměrně snadná, a především spolehlivá ochrana proti sebepropracovanějšímu analytickému nástroji. U starších druhů pevných disků je krom toho možné obnově „smazaných“ dat zabránit jejich přepsáním, což umožňují některé specializované programy typu Eraser či „secure remove“ (srm) fungující z linuxového terminálu.

Vzpomínka na hodiny matematiky

Podobně jako u předchozích programů, i u policií nakoupených prostředků kryptoanalýzy lze říci, že se jedná o propracované a komplikované nástroje provádějící v zásadě jednoduchý úkon. Existuje totiž pouze několik málo způsobů, jak získat přístup k zašifrovaným datům. Nejjednodušším z nich může být paradoxně přesvědčit toho, kdo data zašifroval, aby represivním složkám vydal heslo (čili „klíč“). Až pokud to dotyčný odmítne a není-li možnost se ke klíči dostat jinak, přistupuje se k odhalování hesla.

K němu slouží dva základní postupy. Existuje sice řada modifikací, ty ale zpravidla nijak nemění hlavní mechanismus hledající heslo. Prvním způsobem je postupně zkoušet co největší počet variant klíče — tedy všech možných kombinací znaků. Tento postup se nazývá „bruteforce“ útok, čili „útok hrubou silou“. Název je výstižný proto, že zde stojí výpočetní kapacita útočníkova přístroje tváří v tvář odolnosti hesla, tedy jeho komplikovanosti, počtu užitých znaků atd.