Česká policie údajně platí miliony za nelegální hackerské nástroje

Quis custodiet ipsos custodes? Kdo bude hlídat hlídače? Tuto otázku si klademe v souvislosti se vzrůstajícími snahami států sledovat své uživatele čím dál tím častěji. A otázka „kdo hackne hackery“ s tou předchozí souvisí velice těsně.

Na světě existuje nemalé množství firem, které produkují komerční software pro kybernetické útoky. Jejich zákazníky jsou typicky policejní a jiné státní orgány, které pak tento software používají v rámci své činnosti. Jednou z takových firem je italská společnost HT S.r.l., známá jako Hacking Team. Nebo spíše byla, protože není pravděpodobné, že se vzpamatuje z rány, kterou včera dostala.

Neznámí útočníci pronikli do vnitřních systémů firmy a publikovali na internetu téměř půl terabajtu dat. Zdrojové kódy, seznamy zákazníků, e-mailovou komunikaci, faktury, zákaznická data… A jde o mnohem víc než jenom o ostudu.

Nikdo není v bezpečí

Společnost Hacking Team se už v minulosti opakovaně stala terčem kritiky, protože její programy používají i režimy, jejichž přístup ke spravedlnosti a lidským právům se výrazně odlišuje od evropského civilizačního standardu. Z uniklých dokumentů vyplývá, že mezi zákazníky HT patří třeba Súdán, Saudská Arábie, Bahrajn, Etiopie, Egypt nebo Uzbekistán. Společnost přitom v minulosti tvrdila, že těmto zemím svou technologii nedodává. A mezi zákazníky byla i Česká republika.

Co Hacking Team svým zákazníkům nabízí a proč je to nebezpečné? Hlavním produktem HT je program RCS – Remote Code System, známém též jako Da Vinci. Jedná se o program, který umožňuje mimo jiné modifikovat nešifrovanou HTTP komunikaci a pomocí bezpečnostních chyb v operačních systémech a prohlížečích infikovat počítače zájmových osob. Takových toolkitů je spousta a jsou k dispozici i zdarma (stačí si stáhnout Kali Linux, speciální „bezpečnostní“ distribuci Linuxu). RCS se od nich liší komfortem použití a hlavně tím, že jej lze snadno aplikovat automatizovaně, ve velkém rozsahu.

Útok na Hacking Team je zneklidňující ještě v jednom ohledu. Dá se předpokládat, že firma tohoto druhu bude – s ohledem na obor své činnosti – mít výrazně lepší úroveň zabezpečení, než je v oboru zvykem. Přesto se útočníkům podařilo získat data, kontrolu nad twitterovým účtem společnosti i nad účtem jejího vlastníka a ředitele.

Nejedná se o jedinou takovou firmu. Před časem byl úspěšný útok na RSA Security, útočníci se dostali do sítě antivirové společnosti Kaspersky Labs a další. Pokud se kybernetickým útokům nedokáže ubránit ani firma, která je sama dělá, jakou šanci máme my ostatní?

K čemu RCS potřebuje česká policie?

V seznamu zákazníků Hacking Teamu najdete též Českou republiku, konkrétně Útvar zvláštních činností Policie ČR. Ten zakoupil a platí licenci a podporu RCS již několik let a stojí to řádově miliony korun. ÚZČ je policejní útvar, který má na starosti mimo jiné realizaci odposlechů a další podobné věci. Zdánlivě je tedy jasné, k čemu asi tak může podobný systém potřebovat. Problém je v tom, že použití takového systému českými orgány je nelegální.

Další nákupy z Česka provedla společnost Bull s.r.o., která působí jako dodavatel technologických řešení pro bezpečnostní složky České republiky. V referencích firmy je vedle ministerstva vnitra také ministerstvo financí a ministerstvo životního prostředí. Zatím objevené faktury, na které upozornil webový vývojář Michal Špaček, ukazují částky kolem 10 milionů korun.

A tady faktura 119900 EUR (3.2M CZK) za rok 2015 (maintenance, remote attack vectors, WinPho platform) pro BULL/PČR. pic.twitter.com/5ctFOPvthk

— Michal Špaček (@spazef0rze) 6. Červenec 2015

V českém právu – stejně jako v právu většiny zemí – platí zásada, že zatímco občan smí činit vše, co zákon výslovně nezakazuje, stát smí činit pouze to, co mu zákon výslovně povoluje, ukládá. To je zakotveno přímo v Ústavě ČR, konkrétně hned v článku 2.

Platné zákony umožňují orgánům činným v trestním řízení (inter alia) za určitých okolností provádět odposlech telekomunikačního provozu, včetně provozu datového, což upravuje § 88 zákona č. 141/1961 Sb., trestní řád. Ale neumožňuje jim, aby do této komunikace jakkoliv zasahovaly. A v žádném případě už neumožňuje, aby tímto způsobem nainstalovaly do počítače sledované osoby malware, pomocí kterého lze počítač dálkově řídit a získávat z něj data.

Role policie je zde čistě pasivní: Může odposlouchávat provoz, může třeba i zabavit počítače, nosiče informací.  S takto – legálně – získanými informacemi může, dle mého názoru, nakládat způsobem, jaký uzná za vhodný. Ale nesmí podle zákona do komunikace aktivně zasahovat, cílový počítač nebo mobilní telefon zavirovat a dále s ním pracovat. Je tedy otázkou, z jakého důvodu ÚZČ utratila nemalé peníze za program, který jí zákon výslovně zakazuje používat.

V tom nejlepším případě se jedná o nehospodárné nakládání s finančními prostředky, protože státní orgán nakoupil věc, která je mu k ničemu. V horším případě se nicméně může jednat o situaci, kdy OČTŘ jednají protizákonně, podnikají aktivní útoky proti objektům svého zájmu. Takovým způsobem získané informace nebudou samozřejmě použitelné jako důkaz před soudem, ale mohou posloužit – neoficiálně – k získání informací, které si potom orgán oficiálně získá jinými, legálními prostředky.

V nejhorší možné variantě ale mohou schopnosti RCS posloužit k tomu, aby útočník – v tomto případě sama policie – do počítače sledované osoby vloži jakákoli data, která uzná za vhodná. Aby podstrčil obviněnému falešné důkazy, které pak s velkou slávou najde. Nelze samozřejmě prokázat, že se tak reálně děje nebo dělo. Ale už sama skutečnost, že policie zakoupila prostředky, které k tomuto účelu slouží, je alarmující.