Kolik toho neříká hackerský útok na Babiše
Jan KašpárekZpráva o odsouzení „ostravského hackera“, který si za terč vybral premiéra Babiše, stejně jako podobné kauzy ukazuje, že tématu u nás málokdo rozumí. Nedokážeme tak jako společnost takový čin adekvátně řešit a vyvodit z něj důsledky.
Ke konci minulého týdne proběhla médii vcelku stručná agenturní zpráva. Dvacetiletý muž z Ostravy si od tamějšího okresního soudu odnesl rok vězení podmíněně s dvouletou zkušební dobou za to, že hrozil Andreji Babišovi zveřejněním údajů jeho dcery na erotické seznamce. Dotyčný krom toho měl v počítači nainstalovaný software, který, řečeno jazykem obžaloby, „umožňoval kybernetické útoky“.
Přesto, že má zpráva patřičný senzační potenciál — tajemného hackera, vydírání, erotiku a Babiše — nedočkala se oproti prvotním informacím o kauze, jež se objevily v zárodku dva roky zpátky, velkého ohlasu. A to i přes jako vždy kouzelný výběr doplňujících ilustračních fotek, na kterých zakuklený „hacker“ stojí u modře zářícího serveru. Možná by pomohl návrat k tradičním obrázkům z fotobank, na nichž počítačový kriminálník páčidlem otevírá notebook, těžko říci.
Iontová děla a špuntovky
To, co je na celé věci skutečně zajímavé, je nicméně mediální jazyk a poněkud nekritické přebírání zpráv bez jakékoli snahy o doplnění tolik potřebného kontextu. Na vině je nejen to, že se o případu nic moc neví, ale pravděpodobně také smutný fakt, že je obecné povědomí o tématech spadajících do (terminologicky pochybné) škatulky „hacking a IT“ nesmírně mizerné. A to přesto, že se prakticky všichni pohybujeme ve virtuálním prostoru a odborníků v dané věci je nepočítaně.
Abychom trend alespoň zlehka zvrátili, začněme tím, co v praxi znamená „software umožňující kybernetické útoky“. V českém prostředí je velmi pravděpodobné, že se jedná o nástroje sloužící k takzvaným DDoS útokům. Ty jsou založené na poměrně jednoduchém mechanismu přehlcení cílového serveru požadavky ze zařízení útočníků. Cílem útoku je „shození“ daného serveru, a především tedy příslušných webových stránek. To trvá typicky v řádu hodin.
V minulosti se DDoS používalo pro víceméně symbolické útoky proti státním cílům typu webu vlády. Především ze zahraničí se podobným způsobem podařilo zasáhnout i stránky různých korporátů a bank. Zde je rozdíl v praktických důsledcích — při nefunkčnosti webu vlády se nic moc nestane, pokud se ale vyřadí z provozu bankovní portál, každou minutou se snižuje obrat a důvěryhodnost dané instituce.
Dva nejrozšířenější nástroje pro DDoS útoky jsou LOIC a HOIC, pojmenované podle fiktivního „orbitálního iontového děla“ (low/high orbit ion cannon). Vtip tkví v tom, že je velmi jednoduché si jeden z programů stáhnout a spustit, nestáhnete-li si tedy místo iontového děla virus. Jednoduchost a dostupnost ale vyvažuje účinnost. I pro útok silnějším HOICem je totiž zapotřebí koordinace s řádově desítkami dalších uživatelů. Jinak se z orbitálního děla stává iontová špuntovka. Krom toho existují ochranné mechanismy schopné útok identifikovat a včas omezit.
HOIC s sebou nese také problém ochrany samotného útočníka, protože není vzhledem ke své povaze schopný zcela skrýt jeho identitu. To se ukázalo i na aktuálním případu, kdy žaloba na ostravského hackera zmiňovala i jeho údajnou účast právě na DDoS útocích na portály Úřadu vlády a ministerstva financí.
U podobných činů dlouhodobě není úplně zřejmé, zda a jak je lze trestat. Někteří kyberaktivisté argumentují tím, že sám úkon hromadného a opakovaného přístupu na cílový server není nezákonný. Nabízí se zde také paralela s nenásilnými blokádami a dalšími projevy občanské neposlušnosti, u kterých je z pozice moci krajně obtížné adekvátním způsobem zasáhnout. Legitimita prakticky jakéhokoli tvrdšího trestu za podobný čin totiž stojí na vodě.
Kultura kyberútoků
DDoS jako takové patří do tradičního koloritu kyber-sociálních hnutí typu Anonymous, k nimž se ostatně hlásil i odsouzený muž. Sluší se dodat, že Anonymous jsou od svého vzniku na fórech v hlubinách internetu, kam slušný člověk dnes nezavítá kvůli přehlcení tohoto prostoru kombinací neonacismu, virtuálního mačismu a bizarní erotiky, decentralizovanou značkou, k níž se může přihlásit naprosto kdokoli.
To platformě dodávalo v době slávy hnutí Democracia Real Ya a Occupy přitažlivost, akceschopnost a auru tajemna, z níž dnes ale mnohde zbyla pouze smutná karikatura šířící konspirační teorie a v lepších případech memy nevalné kvality.
Stále nicméně existuje řada zajímavých a odvážných aktivit realizovaných lidmi, již se k Anonymous hlásí či vycházejí z obdobných kořenů. Někdy se jedná o poskytování platforem a kybernetické obrany emancipačním hnutím, jindy o tradiční ataky proti vládním a korporátním cílům či v posledních letech vůči internetové infrastruktuře takzvaného Islámského státu. V českém kontextu zaujme například útok Anonymous na Českou tiskovou kancelář za údajné dezinformace či nabourání databází a webu jedné z členských firem koncernu Agrofert v Maďarsku.
Čeští Anonymous se v poslední době ve své kritice a aktivitách zaměřili právě na Agrofert a aktivity politického hnutí ANO — potažmo premiéra Babiše — typu zavádění EET či zákona o hazardních hrách, jenž podle kritiků dává záminku k cenzuře internetu.
Hlídat si soukromí za průhlednou stěnou? Stěží
Druhá část obžaloby vůči ostravskému hackerovi se týká údajného prolomení zabezpečení facebookového profilu Babišovy dcery a stažení soukromých fotek, které měla dotyčná sdílet jen s přáteli. Vzhledem k tomu, že dosavadní jednání soudu s obviněným probíhalo neveřejně a rozsudek proběhl skrze trestní příkaz, těžko spekulovat nad podrobnostmi.
Základní varianty jsou nicméně dvě. Buď se útočníkovi podařilo přímo prolomit zabezpečení účtu, nebo se zkrátka nějakým způsobem, například pomocí falešného profilu, dostal mezi virtuální přátele dotyčné. Obojí spadá do oné mlhavé kategorie hackingu, byť v druhém případě jde o hacking takzvaně sociální.
Tak či tak, jedná se o útoky pro Facebook typické. Spoléhat, že cokoli na této síti vidíme jen my a naše virtuální bublina, je naivní. Ne snad že by se Facebook pod tlakem uživatelů i odborníků nesnažil na zabezpečení soukromí pracovat (a především to hlasitě deklarovat). Jeho podstata velké korporátní sítě mu ale znemožňuje účinné řešení.
To neznamená, že je v pořádku, když si někdo stáhne naše fotky a následně hrozí jejich zveřejněním na erotické seznamce. Je nicméně smutným faktem, že udělat něco takového je poměrně snadné a jedinou jistou prevencí je žádné podobně použitelné fotky na síť zkrátka nenahrávat. Zvlášť pokud nepatříme k oněm pár procentům uživatelů Facebooku, kteří si přesně pamatují, co vlastně mají zaškrtnuté v nastavení soukromí.
Co vlastně nevíme
Než se pustíme do závěru, zopakujme, že kyberšikana je nepřijatelná. Vyhrožovat politikovi skrze útoky na jeho rodinu je nízké a značí to především reálnou neschopnost jej zasáhnout jinak. A ač to autorovi jde těžko přes klávesnici, premiérovi je ke cti, že se v této věci nesnížil k hysterizaci a halekání o „kampani“.
Hlavní problém zůstává v obecné rovině. I dřívější hackerské útoky na státní představitele, ať už šlo o údajnou krádež e-mailů někdejšího premiéra Bohuslava Sobotky neonacisty či o poznání veselejší nabourání webu jeho stranické homofobní ex-kolegyně Pavlíny Nytrové „Zlým anarchistou“, ukazují, že tématu málokdo rozumí, a společensky nám tak chybí schopnost podobné kauzy uchopit a vyvodit z nich důsledky.
Pokud si vypůjčíme k volné interpretaci proslulý výrok celebrity mediálních studií Marshalla McLuhana, podle kterého je médium dominující společnosti samo o sobě sdělením, stěží se ubránit znepokojení. Naše mlhavé chápání internetového a digitálního média, jež se projevuje i v poněkud nejistém pokrytí kauzy ostravského hackera, je potom totiž symptomatické pro širší společenské zmatení.
V našem nejlepším zájmu je nepřijmout to jako samozřejmé, ale snažit se získávat informace a pracovat na systematické analýze digitálního prostoru a jeho života. Už jen to, že právě dočítáte tuto větu, totiž ukazuje, že se na něm také podílíte.