Quis custodiet ipsos custodes? Kdo bude hlídat hlídače? Tuto otázku si klademe v souvislosti se vzrůstajícími snahami států sledovat své uživatele čím dál tím častěji. A otázka „kdo hackne hackery“ s tou předchozí souvisí velice těsně.
Na světě existuje nemalé množství firem, které produkují komerční software pro kybernetické útoky. Jejich zákazníky jsou typicky policejní a jiné státní orgány, které pak tento software používají v rámci své činnosti. Jednou z takových firem je italská společnost HT S.r.l., známá jako Hacking Team. Nebo spíše byla, protože není pravděpodobné, že se vzpamatuje z rány, kterou včera dostala.
Neznámí útočníci pronikli do vnitřních systémů firmy a publikovali na internetu téměř půl terabajtu dat. Zdrojové kódy, seznamy zákazníků, e-mailovou komunikaci, faktury, zákaznická data… A jde o mnohem víc než jenom o ostudu.
Nikdo není v bezpečí
Společnost Hacking Team se už v minulosti opakovaně stala terčem kritiky, protože její programy používají i režimy, jejichž přístup ke spravedlnosti a lidským právům se výrazně odlišuje od evropského civilizačního standardu. Z uniklých dokumentů vyplývá, že mezi zákazníky HT patří třeba Súdán, Saudská Arábie, Bahrajn, Etiopie, Egypt nebo Uzbekistán. Společnost přitom v minulosti tvrdila, že těmto zemím svou technologii nedodává. A mezi zákazníky byla i Česká republika.
Co Hacking Team svým zákazníkům nabízí a proč je to nebezpečné? Hlavním produktem HT je program RCS – Remote Code System, známém též jako Da Vinci. Jedná se o program, který umožňuje mimo jiné modifikovat nešifrovanou HTTP komunikaci a pomocí bezpečnostních chyb v operačních systémech a prohlížečích infikovat počítače zájmových osob. Takových toolkitů je spousta a jsou k dispozici i zdarma (stačí si stáhnout Kali Linux, speciální „bezpečnostní“ distribuci Linuxu). RCS se od nich liší komfortem použití a hlavně tím, že jej lze snadno aplikovat automatizovaně, ve velkém rozsahu.
Útok na Hacking Team je zneklidňující ještě v jednom ohledu. Dá se předpokládat, že firma tohoto druhu bude – s ohledem na obor své činnosti – mít výrazně lepší úroveň zabezpečení, než je v oboru zvykem. Přesto se útočníkům podařilo získat data, kontrolu nad twitterovým účtem společnosti i nad účtem jejího vlastníka a ředitele.
Nejedná se o jedinou takovou firmu. Před časem byl úspěšný útok na RSA Security, útočníci se dostali do sítě antivirové společnosti Kaspersky Labs a další. Pokud se kybernetickým útokům nedokáže ubránit ani firma, která je sama dělá, jakou šanci máme my ostatní?
K čemu RCS potřebuje česká policie?
V seznamu zákazníků Hacking Teamu najdete též Českou republiku, konkrétně Útvar zvláštních činností Policie ČR. Ten zakoupil a platí licenci a podporu RCS již několik let a stojí to řádově miliony korun. ÚZČ je policejní útvar, který má na starosti mimo jiné realizaci odposlechů a další podobné věci. Zdánlivě je tedy jasné, k čemu asi tak může podobný systém potřebovat. Problém je v tom, že použití takového systému českými orgány je nelegální.
Další nákupy z Česka provedla společnost Bull s.r.o., která působí jako dodavatel technologických řešení pro bezpečnostní složky České republiky. V referencích firmy je vedle ministerstva vnitra také ministerstvo financí a ministerstvo životního prostředí. Zatím objevené faktury, na které upozornil webový vývojář Michal Špaček, ukazují částky kolem 10 milionů korun.
A tady faktura 119900 EUR (3.2M CZK) za rok 2015 (maintenance, remote attack vectors, WinPho platform) pro BULL/PČR. pic.twitter.com/5ctFOPvthk
— Michal Špaček (@spazef0rze) 6. Červenec 2015
V českém právu – stejně jako v právu většiny zemí – platí zásada, že zatímco občan smí činit vše, co zákon výslovně nezakazuje, stát smí činit pouze to, co mu zákon výslovně povoluje, ukládá. To je zakotveno přímo v Ústavě ČR, konkrétně hned v článku 2.
Platné zákony umožňují orgánům činným v trestním řízení (inter alia) za určitých okolností provádět odposlech telekomunikačního provozu, včetně provozu datového, což upravuje § 88 zákona č. 141/1961 Sb., trestní řád. Ale neumožňuje jim, aby do této komunikace jakkoliv zasahovaly. A v žádném případě už neumožňuje, aby tímto způsobem nainstalovaly do počítače sledované osoby malware, pomocí kterého lze počítač dálkově řídit a získávat z něj data.
Role policie je zde čistě pasivní: Může odposlouchávat provoz, může třeba i zabavit počítače, nosiče informací. S takto – legálně – získanými informacemi může, dle mého názoru, nakládat způsobem, jaký uzná za vhodný. Ale nesmí podle zákona do komunikace aktivně zasahovat, cílový počítač nebo mobilní telefon zavirovat a dále s ním pracovat. Je tedy otázkou, z jakého důvodu ÚZČ utratila nemalé peníze za program, který jí zákon výslovně zakazuje používat.
V tom nejlepším případě se jedná o nehospodárné nakládání s finančními prostředky, protože státní orgán nakoupil věc, která je mu k ničemu. V horším případě se nicméně může jednat o situaci, kdy OČTŘ jednají protizákonně, podnikají aktivní útoky proti objektům svého zájmu. Takovým způsobem získané informace nebudou samozřejmě použitelné jako důkaz před soudem, ale mohou posloužit – neoficiálně – k získání informací, které si potom orgán oficiálně získá jinými, legálními prostředky.
V nejhorší možné variantě ale mohou schopnosti RCS posloužit k tomu, aby útočník – v tomto případě sama policie – do počítače sledované osoby vloži jakákoli data, která uzná za vhodná. Aby podstrčil obviněnému falešné důkazy, které pak s velkou slávou najde. Nelze samozřejmě prokázat, že se tak reálně děje nebo dělo. Ale už sama skutečnost, že policie zakoupila prostředky, které k tomuto účelu slouží, je alarmující.
Přidejte si Hospodářské noviny mezi své oblíbené tituly na Google zprávách.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist