Soukromí pod palbou

Bojíme se života pod nepřetržitým dohledem, bez jediného místa, kde by nám nikdo nekoukal přes rameno – na internetu i v reálném světě. Většiny soukromí se však vzdáváme dobrovolně a rádi, čímž ulehčujeme práci státní moci i případným hackerům.

Internetová bezpečnost – ilustrační foto. | na serveru Lidovky.cz | aktuální zprávy Internetová bezpečnost – ilustrační foto. | foto: Shutterstock
Internetová bezpečnost – ilustrační foto.

Pátý den nového roku se odehrála asi největší bezpečnostní akce v dějinách českého internetu. Skoro každý se přinejmenším zamyslel nad změnou hesla k e-mailové schránce, aby nedopadl podobně jako Bohuslav Sobotka a jeho zprávy se nedostaly do rukou bůhvíkoho. Řada firem se pak skutečně rozhodla zkontrolovat zabezpečení svého IT. I když nejde rozhodně o první podobný incident a ne každý z nás musí být nutně v hledáčku hackerů, naše soukromí je v podobném ohrožení jako elektronická pošta českého premiéra. A kvůli jeho případu můžeme být ještě pod mnohem větším drobnohledem.

Už dnes nás sledují kamery nejen v centrech měst a nákupních katedrálách. A díky programům na rozpoznávání obličejů není ani nutné, aby u monitoru seděl bedlivý pozorovatel. Kamery na mýtných branách mohou zase docela dobře sledovat auta podle značek a třeba detailní monitorování pohybu v letecké dopravě už bereme jako samozřejmost. Díky telefonům a chytrým mobilům s GPS máme nejlepšího pomocníka pro sledování našich kroků doslova v kapse. A jak připomněl právě Sobotkův případ, jen málo lidí přemýšlí nad zabezpečením své vlastní komunikace prostřednictvím pouhého e-mailu. Přitom jejich data mohou být kdykoliv zneužita proti nim samotným. Šifrování všech zpráv, které sami posíláme do kyberprostoru, by podle některých expertů mělo být v dnešním digitálním světě naprostou samozřejmostí.

Mnohým stačí k zabezpečení služeb heslo, v lepším případě alespoň špatně uhodnutelné, a myslí si, že jejich data jsou zcela v bezpečí. Jenže situace není vůbec tak růžová.

„Pokud tvrdíte, že nemáte co skrývat, tak rovnou zveřejněte své heslo k účtu na Facebooku,“ říká bezpečnostní expert a zakladatel firmy Nethemba Pavol Lupták. Trochu s nadsázkou tak ukazuje, jak běžní uživatelé přemýšlí o digitální bezpečnosti. Mnohým stačí k zabezpečení služeb heslo, v lepším případě alespoň špatně uhodnutelné, a myslí si, že jejich data jsou zcela v bezpečí. Jenže situace není vůbec tak růžová. Lhostejnost k bezpečnosti jen nahrává tomu, že se rizika neustále zvyšují. O naše data mají zájem legitimní obchodníci, hackeři, další útočníci, ale i státní úřady. I relativně „nezajímavý“ člověk může být cestou k citlivým firemním informacím.

Navíc jsou tu i historická varování. V současnosti možná bezvýznamně vypadající informace, které o sobě sami někde sdělujeme, mohou být zneužitelné kdykoliv v budoucnosti. Zdánlivě nevinné sčítání lidu v Německu nakonec využil Adolf Hitler k rasové segregaci. „To, jak se dají informace využít, se může s každou další vládou změnit. Je tak velmi krátkozraké tvrdit, že moje informace nemohou být zneužity a že nemám co skrývat,“ vysvětluje Lupták, který je zastáncem maximální ochrany soukromí jednotlivce. I proto patří ke skupině zakladatelů prostoru Paralelní Polis a jejich Institutu kryptoanarchie, které se aktivně věnují propagaci kyberbezpečnosti, svobody slova a ochrany soukromí v digitální společnosti.

Digitální velký bratr za rohem

Jak zůstat v bezpečí a ochránit své soukromí už dnes, není vůbec jednoduchá otázka. V poslední době ale budí ještě více pozornosti než útoky hackerů spíše snahy různých státních orgánů se s nastalou situací vypořádat, nebo ji dokonce i využít. V jednotlivých zemích se postoj k soukromí a digitální bezpečnosti výrazně liší. Existují státy, kde může například policie bez soudního příkazu prohledat mobilní telefon kohokoli, stačí jen podezření. A nejde rozhodně jen o země, v nichž potlačování lidských práv v podstatě tvoří součást státního režimu. Podobnou pravomoc má například i policie ve Velké Británii.

Pokud jsou v takovém případě data v zařízení zašifrována, uživatel musí tamním složkám poskytnout heslo k jejich rozklíčování. Pokud to neudělá, hrozí mu automaticky až dva roky vězení, bez ohledu na to, jestli jsou data skutečně nějak nebezpečná, nebo zcela nevinná. Taková praxe je zcela v rozporu s jedním ze základních práv, se kterým právní prostředí ve vyspělých zemích počítá, a sice s právem na zamezení sebekriminalizaci.

V Česku je zatím výsadní právo nevypovídat proti sobě samému jednou ze základních zásad. Prozatím jsou chráněna i data obsažená právě v mobilních telefonech, tabletech, počítačích nebo službách, které člověk používá online. Policie a další bezpečnostní složky k nim mohou získat přístup jen na základě soudního příkazu.

Existují státy, kde může policie bez soudního příkazu prohledat mobilní telefon kohokoli, stačí podezření. A nejde rozhodně jen o země, v nichž potlačování lidských práv tvoří součást státního režimu.

Mezi státy s alarmujícím postojem k ochraně soukromí nás ale posunul nedávný výrok ministra vnitra Milana Chovance pro Lidové noviny. Na únik e-mailů premiéra Sobotky reagoval myšlenkou deanonymizování internetu. Jeho nápad vzbudil vlnu nevole a ozvalo se například i největší sdružení českých internetových firem.

„Je to skandální myšlenka a přibližuje nás autoritativním režimům. Internetové prostředí zachycuje nekonečné množství často intimních dat o každém z nás a Velký bratr neměl nikdy v historii tak snadnou cestu ke své existenci,“ napsalo Sdružení pro internetový rozvoj (SPIR).

Nápad podle něj vede k tomu, že by jakýkoliv úředník měl přístup do našich životů. „Regulace by se dotkla pouze domácích uživatelů, nikoliv skutečných teroristů. Ti by naopak ministru Chovancovi psali anonymní děkovné dopisy,“ dodalo SPIR. Jenže samotná silná slova státních představitelů nebo konkrétní právní pravidla jsou jen jednou stránkou státního sledování jednotlivců i celých firem. Pod palbu kritiky se dostávají především aktivity tajných služeb, na které v minulých letech upozornily třeba odhalení portálu WikiLeaks. A především kauza Edwarda Snowdena ukázala, že „snem“ tajných služeb je mít pod kontrolou veškerou komunikaci, vždy a všude. Ještě před několika lety vlastně téměř neznámá americká Národní bezpečnostní agentura (NSA) je v současnosti spojována s největším sledováním obyvatel v historii lidstva. A ani nedávná odhalení, která ukázala, jak NSA nedbá na soukromí lidí, agenturu v její činnosti v podstatě nijak nezbrzdila. Naopak, zhruba od roku 2013 buduje NSA v americkém Utahu obří datová centra, která mají podle skeptiků sloužit ke sledování prakticky veškeré komunikace na celém internetu.

Příležitost i hrozba pro byznys

Celosvětově se vedou diskuse o šifrování dat a o zadních vrátkách, které by úřady rády zavedly, aby mohly mít přístup k datům v podstatě dle libosti. Jenže taková zadní vrátka se dají kdykoli zneužít, ať už ze strany dané složky státní moci, nebo ze strany útočníků třetích stran. Jakékoli zabezpečení se zadními vrátky tedy v principu není bezpečné, jelikož existuje možnost, že taková cesta bude objevena a prolomena někým jiným.

Zadní vrátka však paradoxně požadují bezpečnostní agentury i pro vlastní řešení. „Setkal jsem se s tím, že když ve státní správě chtěli šifrované řešení, tak vyžadovali zadní vrátka, jak se do něj dostat. Oni to myslí dobře, chtějí si tím například ohlídat situaci, když nějaký agent nebo policista selže, aby mu mohli jeho činnost dokázat,“ vysvětluje rozpor v přístupu k šifrování další bezpečnostní expert Jiří Šatánek.

Jelikož je internet síť globální, stále také sílí obavy, jak budou úřady jednoho státu nakládat s daty občanů státu jiného. Přísná bezpečnostní pravidla v poslední době zavádí Evropská unie a především Německo, které se po zjištění, že NSA sledovala i kancléřku Angelu Merkelovou, stalo v tomto ohledu až poněkud paranoidním. Naši sousedé chtějí své občany především bránit vůči tomu, aby jejich data byla dostupná například americkým tajným službám.

Přísná bezpečnostní pravidla v poslední době zavádí Evropská unie a především Německo, které se po zjištění, že NSA sledovala i kancléřku Angelu Merkelovou, stalo v tomto ohledu paranoidním.

V poslední době tak čím dál více přibývá i nadnárodních korporací, které se zabývají nakládáním s daty uživatelů v různých cloudových službách a staví vlastní datová centra v EU a hlavně právě v Německu. To jasně ukazuje, že problém nevnímají jen obyčejní lidé, ale mnohem citlivěji i firmy.

Pro některé internetové firmy tak znamená strach ze sledování ohrožení jejich byznysu postaveného na práci s daty o uživatelích. Pro jiné ale zase dobrou obchodní příležitost. Na tom, že může data uživatelů chránit v německých datových centrech, například v poslední době staví svůj marketing gigant Microsoft.

Data v německých centrech má mít jako nezávislý pozorovatel pod správou tamní telekomunikační společnost T-Systems z koncernu Deutsche Telekom. To má zamezit možnému vydávání dat do USA, ale někteří odborníci pochybují, že jsou úvahy Microsoftu správné. Upozorňují, že americké orgány mohou na mateřskou skupinu tlačit skrze dceřiný americký T-Mobile.

Každopádně se evropská datová centra stala velkým tématem pro všechny významné poskytovatele cloudových služeb. Staví je Amazon nebo třeba VMware, ale i další společnosti. Žádná z firem ovšem zatím neukázala přesvědčivé důkazy o tom, že data uložená na evropských serverech jsou skutečně před záměry amerických tajných služeb v bezpečí. Nicméně evropská pravidla alespoň vyhrožují postihy vůči firmám, které nebudou mít data místních zákazníků vůči útokům zvenčí patřičně zabezpečena.

Totéž začínají řešit i americké úřady. Tamní Komise pro cenné papíry (SEC) uložila koncem roku 2015 pokutu investiční společnosti R. T. Jones Capital Equities, které ukradli čínští hackeři informace zhruba o 100 tisíc klientech. Komise pro cenné papíry vystavila pokutu na základě pravidel, podle nichž investiční společnosti musí přijmout opatření na ochranu dat svých zákazníků, přičemž SEC tvrdí, že firma taková opatření zavedena neměla.

Privatizace války o data

S velkým únikem dat kvůli útoku hackerů má v poslední době zkušenosti čím dál více firem včetně těch světově nejznámějších. Mnoho lidí si pamatuje útok nejspíše severokorejských hackerů na společnost Sony, který se udál koncem roku 2014.

Terčem obdobného útoku se stala také banka JPMorgan Chase, které hackeři odcizili e-mailové adresy, jména, domovní adresy a telefonní čísla 83 milionů jednotlivců a malých firem a možná také ještě některá další neznámá data.

Bezmoc, a přitom velké zbrojení obřích korporací vůči hackerům vzbuzuje otázky ohledně dalšího bezpečí dat s tím, že firmy by mohly přejít k odvetě.

Zajímavé na tomto případu je to, že banka disponuje „armádou“, která ji má chránit před útoky hackerů a úniky dat. Zhruba tisícičlennému týmu bezpečnostních expertů šéfuje James Cummings, bývalý plukovník amerického letectva, který během aktivní vojenské služby šéfoval týmům bojujícím proti kyberzločinu. A za kolegu má Gregoryho Rattraye, dalšího důstojníka letectva, který byl také mimo jiné expertem na kybernetickou bezpečnost v týmu Condoleezzy Riceové v době, kdy vedla Národní bezpečnostní radu.

Pikantní je, že banka má své sídlo boje s digitální kriminalitou nedaleko Fort Meade, sídla Národní bezpečnostní agentury. A to proto, aby to měla blízko k talentům, banka totiž jednoduše přetahuje talenty v oblasti bezpečnosti americké vládě.

Ani tito experti ovšem nedovedli JPMorgan Chase ochránit před útoky, a navíc v podstatě ani nedokázali vypátrat jejich původce. Banka sice tvrdila, že jde o záležitost národní bezpečnosti a že útoky pocházely z Ruska a mohly být organizovány tamními autoritami, americké úřady však v závěru roku 2015 z útoků obvinily čtyři jednotlivce bez zjevného napojení na Rusko.

Právě bezmoc, a přitom velké zbrojení obřích korporací vůči hackerům vzbuzuje otázky ohledně dalšího bezpečí dat s tím, že firmy by mohly teoreticky přejít k odvetným útokům. Silné korporace, nezávislí „renegáti“ a státní agentury, to je velmi nepředvídatelná kombinace.

Šifrování především

Vzhledem k nepřehlednému prostředí by se tak podle odborníků měl potenciálním útokům bránit úplně každý sám, včetně jednotlivých uživatelů a malých firem. Všichni by měli šifrovat svá data a veškerou svou elektronickou komunikaci. „Řada nástrojů pro zabezpečení dat a šifrovanou komunikaci je k dispozici zcela zdarma. Přitom jejich použití zvýší náklady na případné rozklíčování dat o několik řádů,“ vysvětluje základní disproporci, která hraje ve prospěch uživatelů, Pavol Lupták, když připomíná, že získávání citlivých dat je především byznys. Soukromí útočníci i tajné služby totiž musí na případné sledování komunikace používat sofistikované nástroje, které nejsou zadarmo, jejich cíl tak musí mít určitou cenu.

Prosté šifrování komunikace může znamenat, že se útok na daný subjekt zkrátka nevyplatí, jelikož získané informace nebudou mít dostatečnou cenu. Pak mohou být levnější „tradičnější“ metody, které se skrývají pod pojmem sociální inženýrství. Jednoduše jde o útok na samotný lidský faktor. Nejslabším článkem každé technologie je totiž v drtivé většině případů její uživatel. Získat si jeho důvěru a přes něj se dostat k cenným informacím je tak pro útočníky i bezpečnostní služby stále oblíbená praxe. I proti té se samozřejmě dá bránit, například Luptákova firma se mimo jiné zabývá bezpečnostními audity ve firmách a sociální inženýrství při nich používá. Snadno tak odhalí slabé články nejen v zabezpečení IT infrastruktury firmy, ale i v chování zaměstnanců a jejich zacházení s firemními daty. Tyto metody fungují v devadesáti procentech případů.

Odposlech není v současnosti nic příliš náročného. Zatímco potřebné vybavení stálo před několika lety miliony korun, v současnosti se ceny pohybují v řádech desítek tisíc korun.

Zatímco běžným uživatelům většinou mohou stačit základní metody zabezpečení a šifrování, existují i náročnější jedinci, kteří se chtějí bránit třeba před takzvanými zero-day exploity, tedy útoky, které využívají zranitelnosti operačních systémů, softwarových nástrojů i hardwaru, která ještě není všeobecně známá.

V dnešní době je velmi populární komunikace přes různé messengery, dříve byl populární Viber, v poslední době se proslavil například Telegram. Ten však není podle expertů stoprocentně bezpečný, v odborných kruzích je momentálně nejuznávanějším messengerem Signal. Ten umí jak textovou, tak hlasovou komunikaci, která samozřejmě funguje šifrovaně. Navíc existuje možnost tuto komunikaci směrovat přes vlastní servery uživatele, které má pod kontrolou jen on sám.

Pro toho, kdo pracuje s opravdu utajovanými informacemi, je velkým oříškem používání mobilních telefonů. Jejich odposlech totiž není podle Jiřího Šatánka v současnosti nic příliš náročného. Zatímco potřebné vybavení stálo před několika lety miliony korun, v současnosti se ceny pohybují v řádech desítek tisíc korun. Samozřejmě, provozování takových řešení je nelegální, ale to těžko třeba snahy o průmyslovou špionáž zastaví.

Proto ti, kdo pracují s opravdu citlivými informacemi, často nepoužívají klasické mobilní telefony. „Já sám nepoužívám moderní telefon ani messengery jako Signal, protože nechci podlehnout falešnému pocitu bezpečí,“ uvádí příklad Šatánek.

Většina lidí se ale bez moderních nástrojů úplně neobejde. „Pak je řešením třeba tablet bez GSM modulu s operačním systémem Android v provedení CyanogenMod,“ vysvětluje Lupták. Nejsou na něm nainstalovány služby Googlu, jeho obsah je šifrován, stejně jako veškerá komunikace. Tablet se také připojuje jen do bezpečných wi-fi sítí.

Navíc je ideální takový telefon nebo tablet nepoužívat denně, na místech, kam běžně chodí, třeba doma nebo v práci. Takže nebude vysledovatelný ani podle vzorců chování.

Technologie před zákony

Snahy přijít s bezpečnějšími metodami komunikace i uchovávání dat nepolevují a vzhledem k tlakům, které mají za cíl omezit naše soukromí, získávají čím dál větší oblibu. Vznikají nová řešení, která jsou napřed před aktuální legislativou. Jde například o možnost obejít dešifrování disku tím, že se na něj schová druhý, zcela nenápadný prostor, který ani expertiza snadno neodhalí.

Se zákazy a omezením využívání různých protokolů a šifrované komunikace v některých zemích sílí popularita metody steganografie.

Se zákazy a omezením využívání různých protokolů a šifrované komunikace v některých zemích navíc sílí popularita v podstatě prastaré metody takzvané steganografie. Tedy „schovávání“ utajených informací do zcela běžného textu. Jedním z historických příkladů je například zpráva v novinovém článku, která se objeví třeba po přečtení každého pátého písmene v řádku. V současnosti je steganografie samozřejmě sofistikovanější, typicky se pomocí ní do jiného protokolu schovává „zakázaný“ datový provoz.

Kdo chce komunikovat bezpečně, může tak učinit relativně snadno navzdory pravidlům čím dál více omezujícím soukromí. Potíž je ovšem v tom, že mnoho lidí ochrana jejich soukromí před státní mocí i případnými hackery příliš nezajímá. Jak lehkovážně lidé nakládají se svým soukromím, ostatně ukazuje, jak snadno se ho vzdáváme. Kolik toho sami o sobě řekneme na internetu, například na sociálních sítích. A vůbec nám to nevadí.

Diskuse neobsahuje žádné příspěvky.