Průšvih, ne nějaká letní okurka. Tento týden se objevila informace, že ochranu italské společnosti Hacking Team (dále HT) prolomili hackeři. Firma prodává software Remote Control System (RCS), který slouží ke sledování lidí, a právě nad ním ztratila kontrolu. Systém prodává státním institucím, kupříkladu tajným službám a speciálním policejním útvarům po celém světě. Taky české policii.
„Vzhledem k tomu, že kybernetičtí zločinci zveřejnili v noci 6. července na internetu software ve vlastnictví firmy Hacking Team, existuje zde vážná hrozba,“ oznámila firma. „Teroristé, vyděrači a další by mohli této technologie zneužít v případě, že by k tomu měli technické možnosti. Domníváme se, že je to velmi nebezpečná situace.“
Komu firma systém prodává? Dělá pro FBI a další podobné úřady. Taky v Česku, Německu a Polsku. I pro nedemokratické země: Etiopie, Kazachstán, Saúdská Arábie, Súdán. U nás je zákazníkem Hacking Teamu policejní Útvar zvláštních činností (ÚZČ), který mimo jiné pro policii zajišťuje odposlechy. Ve středu si poslanci, kteří kontrolují odposlechy, zavolali ředitele ÚZČ Vladimíra Šibora, aby jim vysvětlil, co se děje. Což ovšem nejde, informace jsou přísně tajné, povolení musí dát Národní bezpečnostní úřad.
Z údajů hackerů vyplývá, že Česko za zhruba deset let, kdy software (nebo přesněji malware, červa) používá, zaplatilo firmě HT asi 18 milionů korun. Poslanec TOP 09 Daniel Korte tvrdí, že software RCS byl použit celkem ve 47 případech. To však zřejmě tak docela neodpovídá realitě. Spíš půjde o sto až dvě stě případů.
Co červík dovede? Šmírovat telefonní hovory, ale taky veškerou počítačovou komunikaci. Jeho velkou předností je, že se v počítači či telefonu schová mezi hovor a šifrovací zařízení (u volajícího nebo volaného, to je jedno), takže je zločincům šifra na nic. To se týká hovorů přes Skype, Viber a další online dorozumívače.
Do hlavy ne, do kompjůtru ano
Jak vážnému ohrožení policie vlastně čelí? Hacking Team zřejmě v řádu týdnů díru zalepí a problém „vyléčí“. U nás byl údajně vydán pokyn, aby se červ dočasně přestal používat; není jisté, jestli hackeři nemohou počítače policie nebo zpravodajských služeb sledovat. Jestli se pomocí ukradených kódů nedostali i do nich.
S jistotou víme jedno: telefon a online počítač jakéhokoli typu není nikdy úplně bezpečný. Nikdy si nemůžete být jisti, že není napaden a buď policií, nebo tajnými, případně zločinci kontrolován. S tím se prostě musí počítat (odtud zřejmě slovo počítač).
Červ RCS je podle expertů velmi chytrý. Skoro se nedá odhalit. Malý příklad. Když si instalujete nový antivirový program, zaleze si červík zpátky do obrázku nebo videa a čeká. Laik má nulovou šanci malware najít. Středně zdatný profesionál údajně taky ne. Takže jedině naprostá špička v oboru, což se nás, průměrných smrtelníků, netýká. Proti takové nákaze jsme prostě bezbranní. To by si měl opakovat každý uživatel chytrého telefonu, notebooku, tabletu a podobných zázraků. Do hlavy se vám nedostanou, do kompjůtru ano.
Na druhou stranu je jasné, že běžný občan (nechci říct rovnou slušný občan) nikomu za takovou investici nestojí. Nejde jen o cenu, kterou uživatel platí firmě HT (za 100 až 200 napíchnutých 18 milionů korun), ale i o to, co červ poskytuje. Tuny dat, která někdo musí zpracovávat. Zaznamenáno je každé kliknutí myší, sledována webkamera, veškerá komunikace. Šílené. Na tom musí makat armáda lidí.
Hackeři hacknou všechno
Systém je nekřesťansky drahý a neskutečně náročný na vyhodnocení. Odtud plyne: nás se to netýká. Prostý český občan může v klidu hajat. RCS policie používá jen na nejvážnější případy. (Obvykle, asi aby veřejnost ukolébala, vytáhne pedofilii. My však nevíme, na co červíka nasazuje.) Mimochodem se nejedná o odposlech, jak některá média uvádějí, ale o sledování podle trestního řádu (paragraf 158d, třetí odstavec).
Kdy červa nasazují? Když mají kriminalisté nebo agenti vážné podezření, ale nic nefunguje. Nasadí odposlechy (to je nejpohodlnější pěšinka k důkazům) a nic z nich nevypadne, podezřelý si dává bacha. Nasadí třeba i sledování (to už je náročnější, nepohodlné, skutečná policejní práce), zjišťují v okolí sledovaného, pátrají, leč ono pořád nic. A podezření trvá. Pak lze nasadit červa.
Je takový outsourcing rozumný? Neměla by si tohle policie (a tajné služby) dělat sama? Dá se věřit nějaké firmě, natožpak cizí firmě? Jak vidíme, nedá, může být hacknuta, prolomena. Jenomže stejně by se nedalo věřit ani speciálnímu útvaru, který by fungoval jako Hacking Team. I ten může prohrát s hackery.
Navíc policie takový software neumí vyvinout. Dnes se outsourcuje všude. Firma Hacking Team sice dělá pro všelijaké ptáčky, ale právě to, že od ní kupují státy po celém světě, dokazuje: umí a je spolehlivá. Ještě jedna poznámka: „háťáci“ údajně obchodují seriózněji než kupříkladu obdobné špičkové izraelské firmy.
Co s tím průšvihem? Je to jako dostat zápal plic. Bráníte se mu, ale občas se to stane. Skutečné soukromí existuje tam, kde není mobil, není na síť napojený počítač jakéhokoli druhu. Soukromí dnes znamená ne-online. Jakmile jste online, stojíte nahatí na Václaváku.