Na webu beze stop

Digitální stopa. Pojem, který vznikl již v 80. letech minulého století souběžně s rozvojem počítačové kriminality, zahrnuje dohledatelné informace, jež za sebou uživatelé zanechávají ve výpočetních zařízeních a v internetových službách. Některé jsou veřejné (viz Internetová anonymita), jiné mohou posloužit nejen poskytovatelům telekomunikačních služeb k uchování a možnému dalšímu využití informací neveřejného charakteru – datum, čas, způsob a doba trvání komunikace...

Pokud se chcete po internetu pohybovat pokud možno anonymně, měla by vaše digitální stopa být co nejmenší. Jak ji eliminovat? Začít lze nastavením internetového prohlížeče a skončit instalací serveru proxy, jenž zprostředkovává komunikaci mezi vnitřní sítí a internetem a umožňuje řadu bezpečnostních nastavení. Ani pak sice nelze hovořit o anonymitě, pro běžné uživatele s legálními požadavky na internetové služby jde ale o dostačující míru ochrany soukromí.

Ve prospěch hraje i masovost internetu – uživatelů je mnoho, a nevybočují-li svým chováním, reálným ani elektronickým, mnoho pozornosti nepřitáhnou. Jiná situace však nastane, když se na vaši digitální identitu někdo cíleně zaměří.

Masový zájem

Zhruba na počátku 21. století se objevilo několik projektů, jež si daly za cíl zajistit uživatelům internetu anonymitu. Nejznámějším a současně nejdiskutovanějším zástupcem se stala síť Tor (zkratka sousloví The Onion Routing). Alfa verze, tedy pracovní varianta softwaru Tor se objevila v roce 2002. Funkční síť anonymizačních prvků prezentovali autoři v srpnu 2004. Původně projekt Tor sponzorovala vládní instituce US Naval Research Laboratory a primárním cílem byla ochrana vládní komunikace ve Spojených státech. Tor získal finanční podporu rovněž od neziskové organizace Electronic Frontier Foundation, která se zabývá ochranou práv v digitálním světě.

Dnes vývoj projektu Tor zastřešuje stejnojmenná instituce, jejíž financování zajišťují dobrovolné příspěvky mnoha stran. Samotný software je distribuován jako open source a podporuje platformy Windows, Linux, Mac OS a Android.

Masovost využití sítě poodhalil letos v červnu výkonný ředitel projektu Tor Andrew Lewman: instalační soubory si za dvanáct měsíců stáhlo přes 120 milionů osob; denně se k síti připojují v průměru dva miliony uživatelů ze 110 zemí – vedou lidé ze Spojených států (320 tisíc), následují Německo, Francie a Brazílie (z Česka se k Toru podle statistik sítě připojuje denně kolem 15 tisíc uživatelů); využití se zvyšuje v zemích, v nichž dochází k cenzuře internetu nebo k omezení svobody projevu, letos na jaře šlo například o Turecko. „Obdrželi jsme řadu žádostí o rozhovory, školení nebo konference, které by lidem z celého světa pomohly lépe se seznámit s naší technologií,“ uvedla tisková mluvčí projektu Tor Kelley Misatová.

Čím zauzlovanější...

Jak Tor funguje? Laicky ho lze popsat jako síť virtuálních uzlů, jež fungují na principu klient-server. Veškerá komunikace je asymetricky šifrována, přičemž zapojené servery mezi sebou sdílejí veřejné šifrovací klíče a vyměňují dynamicky generované klíče pro každý řetězec. Uzly se řídí autonomně a o směřování dat se dozvídají pouze z hlaviček zpráv. Ví tedy, kam mají data poslat a komu vrátit odpověď, ale jejich kontrola či možnost identifikace toku komunikace končí vždy u serveru, jenž byl značen. Tedy – čím více uzlů, tím větší anonymita.

Poslední z klientem určeného řetězce serverů Tor provede skutečně zamýšlený požadavek. Data se vracejí rovněž šifrovaná a opět se pakety přesouvají po předem určené trase uzlů. Parametry průchodu sítí Tor, tedy kolika uzly má požadavek projít, případně i přes které servery data pošle, si může uživatel definovat. Nutno poznamenat, že odezva sítě Tor není z nejrychlejších a komfort práce na internetu se výrazně snižuje.

Systém šifrování je několikanásobný a natolik propracovaný, že případnému zájemci o informaci odchycení datového toku v podstatě vůbec nepomůže. Servery anonymizační sítě navíc mohou odesílat data v jiném pořadí, se zpožděním nebo přenášejí falešné pakety.

Instalace klienta sítě Tor do počítače ale neunikne pozornosti správců podnikových sítí, případně poskytovatelů připojení. Nezjistí sice obsah komunikace, dozvědí se ale, že před nimi něco skrýváte – dokážou totiž vysledovat připojení k prvnímu serveru. Podle nezávislého bezpečnostního experta Adama Rice však lze s pokročilými firewally nebo s pomocí specifického nastavení serverů proxy komunikaci prostřednictvím sítě Tor zakázat, přestože využívá běžné porty pro webové služby.

Vítejte (nejen) v šedé zóně

V posledních letech se na adresu provozovatelů i tvůrců anonymizační sítě snáší spíše kritika. Vybudovaná infrastruktura totiž prokazatelně slouží i kriminálním účelům – čile se díky ní obchoduje de facto s čímkoli, od drog a padělaných dokumentů, přes zbraně až po možnost objednat si nájemnou vraždu...

Otevřeně „zneužití“ Toru přiznávají i různé skupiny hackerů. V minulém roce se na veřejnost dostalo hned několik případů, v nichž útočníci zneužili Tor pro řízení botnetů, což jsou sítě počítačů infikovaných speciálním, nejspíše vždy škodlivým, kódem. Hackeři zůstávají v anonymitě a dokážou tímto způsobem krýt i svou komunikaci a finanční transakce.

Taková situace dává do ruky argument všem bezpečnostním institucím, jež proti podobným projektům s tématem internetové anonymity brojí. „Primárně byl Tor zamýšlen jako anonymizační služba, která poskytne uživatelům dostatečné soukromí na internetu. Jak to ale bývá, stala se z něj postupně šedá zóna internetu, která je často zneužívána pro útoky a zakrytí komunikace různých škodlivých kódů a služeb,“ říká například technický konzultant společnosti PCS Jiří Endršt.

Nasazení sítě Tor má však i světlé stránky, kvůli kterým celý projekt vznikl. Užívají jej jednotlivci i organizace – podnikům a běžně i finančním institucím nebo obchodníkům s cennými papíry slouží pro utajené, ale legální zjišťování informací o konkurenci. Velkou oblibu si Tor získal u ekologických aktivistů nebo bojovníků za lidská práva, otevřeně projekt podporují organizace Human Rights Watch, Global Voices nebo Amnesty International. V nepříliš demokratických zemích, v nichž panuje cenzura internetu, bývá totiž síť využívána pro komunikaci s vnějším světem. Tor se stal nástrojem i pro novináře, kteří se zabývají citlivými tématy, využívají jej však i bezpečnostní složky, včetně armád.

Instance Toru se objevují rovněž v Česku, jak dokládají slova bezpečnostního inženýra společnosti Check Point Petra Kadrmase: „Na základě bezpečnostních testů, které společnost Check Point provádí u zájemců z podnikové sféry, se prokázalo, že technologie anonymizérů se objevují i v České republice. Ve většině případů se tak děje bez vědomí podnikových správců IT. Důvodem je obvykle snaha dostat se na blokované zdroje internetu.“

Přesnou podobu infrastruktury Toru v České republice však aktuálně znají jen jeho provozovatelé. Technologický ředitel společnosti Sophos Gerhard Eschelbeck uvádí, že bez podrobnějšího výzkumu a znalosti výstupních uzlů, respektive jejich IP adres, lze rozsah sítě v dané zemi pouze odhadovat.

Jednotlivec versus firma

Anonymitu jsou však mnozí schopni i zneužívat. Bezpečnostní expert Adam Rice varuje podnikové administrátory před mnoha problémy, jež jim akceptace Toru v podniku může přinést: zaměstnanci díky němu kupříkladu získávají nelegální zboží a služby, obcházejí bezpečnostní prvky, instalují na podnikové infrastruktuře skryté služby a s pomocí podnikových zdrojů (tedy výpočetní kapacity firemních počítačů na síti) jsou schopni i těžit kryptografické měny, jako je bitcoin. „Sítě Tor představují riziko v prostředích, v nichž jsou legitimní zvýšené nároky na bezpečnost počítačové sítě: ve finančním sektoru, centrálních orgánech státní správy, prostředí vývojových organizací a podobně,“ dodává inženýr společnosti Cisco Martin Rehák.

Anonymitu vnímají rozdílně podniky a jednotlivci. Co je pro jedny hrozbou, pro druhé představuje atraktivní volbu. „Bezpečnost a anonymitu si firmy běžně řeší vlastním kanálem šifrování pomocí virtuálních privátních sítí. U běžného uživatele je tato situace spíše opačná – pokud si chce zajistit alespoň nějakou formu anonymity, anonymizační síť představuje vhodný prostředek. I zde je ale nutno mít se na pozoru, protože i Tor bývá zneužit ke sledování uživatelů,“ dodává Jiří Endršt ze společnosti PCS.

Existují však i zcela legitimní nasazení Toru. Jedno z nich přibližuje Petr Kadrmas ze společnosti Check Point: „Uplatní se například při testování služeb, které nejsou standardně dostupné v dané zemi. S pomocí Toru lze sestavit spojení, jež se technicky tváří, jako by pocházelo z jiné země. Bezpečnostní řešení umožňují takovou komunikaci povolit pouze pro specifické uživatele a vyžádat si od nich zdůvodnění pro konkrétní použití anonymizéru.“

Další možnost popisuje Martin Rehák ze společnosti Cisco: „Využití protokolu Tor je na místě, pokud chcete v legitimních případech zabránit provozovateli serveru, aby zjistil, že jste jeho návštěvníkem. To může být užitečné například pro marketingový průzkum. Použití sítě Tor může být také na místě, je-li povoleno firemní politikou, například pokud zaměstnanec potřebuje konzultovat informace vysoce osobní povahy.“

Z hlediska legislativy však užití Toru k nezákonným aktivitám může ohrozit i organizaci, jejíž infrastruktura byla zneužita. Podle slov Gerharda Eschelbecka ze společnosti Sophos indikuje jakýkoli datový provoz v síti Tor, který organizace zachytí, možnost nelegálních aktivit. A bránit se lze, mimo jiné nasazením technologií, jež analyzují síťovou komunikaci na úrovni aplikací.

„Za útok děkujeme...“

Ani síť Tor však není nezranitelná. Letos v srpnu proběhla médii další vlna zpráv o jejím úspěšném napadení – rozhodně nešlo o první incident a provozovatelé projektu jej, ostatně jako vždy, přiznali. Stejně jako v předchozích případech jim chvíli trvalo, než napadené uzly odstranili ze sítě. Jde o ověřený postup, po němž následuje oprava kódu, instalace aktualizací nebo prověření dalších podezřelých uzlů.

Existuje však útok označovaný termínem Traffic Confirmation Attack – ve zkratce jde o situaci, v níž útočník ovládá nebo kontroluje vstupní i výstupní uzel daného okruhu Toru. Poprvé byl na síť Tor proveden v roce 2009 a dosud se proti němu nepodařilo zajistit efektivní obranu, byť aktuální verze softwaru již detekují podezřelé okruhy. Jak dodává Josh Cannell, bezpečnostní expert společnosti Malwarebytes Labs: „Tor je odolný a úspěšný, není však perfektní.“

Na blogu projektu Tor se letos objevilo i lakonické prohlášení: „Děkujeme všem útočníkům za to, že nám neustále pomáhají zdokonalovat náš software.“ Organizace Tor žádné záruky samozřejmě neposkytuje a bez občasných a přiznaných chyb by projekt nejspíše ztratil na důvěryhodnosti.

Odvrácená tvář anonymity

Od vypuknutí kauzy Edward Snowden – NSA se v médiích objevují i dohady o možné spolupráci tvůrců projektu Tor s bezpečnostními složkami (jisté podezření v tomto smyslu vyslovuje i Gerhard Eschelbeck ze společnosti Sophos). Na druhé straně však řadu útoků proti síti připisují analytici organizacím typu FBI, zmíněné NSA, jejímu britskému protějšku GCHQ nebo tajným službám některých států.

Například FBI se již několikrát pokusila infikovat uživatele Toru malwarem, aby zjistila jejich identitu. V letech 2012 a 2013 měla „zneužitá“ zranitelnost oficiálně přiznaný úspěch a pomohla rozkrýt síť osob zabývajících se dětskou pornografií. Vyšetřovatelům se podařilo rozvrátit i skrytý obchod s narkotiky... Ano, softwarové nedostatky byly odstraněny, pro veřejnost šlo ale o jasnou ukázku odvrácené strany internetové anonymity.

Co by ale spolupráce tvůrců systému Tor a bezpečnostních složek znamenala? Že by projekt definitivně ztratil smysl. Jeho potenciál si zřejmě velmi dobře uvědomuje například Vladimir Putin – v červenci vypsalo ruské ministerstvo vnitra regulérní veřejný tendr na objevení způsobu identifikace a sledování uživatelů sítě Tor. Úspěšný řešitel, výhradně ruský občan nebo společnost, mohl získat 3,9 milionu rublů, něco málo přes sto tisíc dolarů. Výběrové řízení trvalo týden a výsledky mají být dodány do konce listopadu.

Podstatně pikantnější nádech má však informace, dle které zhruba 60 procent příjmů projektu Tor (za loňský rok více než 3,5 milionu dolarů) tvoří prostředky věnované americkou vládou. Mezi sponzory figuruje s velkým podílem i tamní ministerstvo obrany, jež zastřešuje provoz organizace NSA. A té je Tor pověstným trnem v oku.

Navzdory tomu všemu nahrává bezpečnosti Toru i otevřený kód a komunita, která jej vyvíjí. Veřejný dohled zabraňuje, aby kdokoli do softwaru přidal nežádoucí funkcionalitu. Projekt navíc vykazuje jistou míru centralizace, která umožňuje ověřovat instance uzlů, a případně je odpojovat ze sítě.

Snowdenovo dědictví

Zmíněná kauza Snowden versus NSA přitáhla pozornost i k další anonymizační službě, která se týkala emailové komunikace. Službu Lavabit provozoval v letech 2004 až 2013 Ladar Levison a ukončil ji pod hrozbou postihu ze strany amerických úřadů. Jedním z uživatelů byl totiž i Edward Snowden – a Ladar Levison nejprve ve vlastní infrastruktuře povolil instalaci zařízení, jež sledovalo provoz, posléze však odmítl vydat privátní šifrovací klíče. V době, kdy služba Lavabit končila, obsluhovala na 410 tisíc účtů, placených i neplacených. Za zrodem projektu stály obavy uživatelů freemailových služeb ze zneužití obsahu. Řeč je primárně o produktu Gmail firmy Google.

Ladar Levison se nyní vrací do hry. A inspiraci pro projekt Dark Mail našel právě v architektuře sítě Tor. V říjnu minulého roku vznikla organizace Dark Mail Technical Alliance, kterou s Levisonem založili lidé zapojení do firmy Silent Circle. Alliance si klade za cíl vytvořit komplexně zašifrovanou e-mailovou službu, respektive nezávislý nástroj pro její anonymizaci. (Znemožnit sledování emailové komunikace lze s pomocí šifrování obsahu. Existují služby, které tak činí, ale obvykle vynechávají takzvaná metadata, z nichž lze ale snadno odvodit, kdo komu psal. Emailové služby šifrující metadata mají zase nevýhodu v neschopnosti komunikace s jinými systémy.)

Projekt Dark Mail chce stejně jako síť Tor využívat tisíce serverů na celém světě a zajistit komplexní zašifrování obsahu. Jedinou výjimku má představovat doména, na níž e-mail směřuje. Z technického hlediska má Dark Mail podobu architektury a protokolu. Serverovou část zajišťuje software Magma Classic a Magma Dark, emailový klient nese název Volcano. Samotný protokol Dark Mail nebo Dmail má nahradit existující protokoly pro odesílání a příjem zpráv, jež neskrývají metadata. V konfiguraci lze provést řadu modifikací, včetně využití běžných emailových klientů.

Samotná komunikace bude mít v podstatě zcela anonymní charakter. Server odesílatele nezná příjemce, pouze jeho doménu; server příjemce rozšifruje příjemce, ale nezná odesílatele, opět pouze doménu – sledování provozu tedy končí na úrovni domény, dál nedosáhne.

Nejen Tor

Projekt Tor nepředstavuje jedinou anynomizační službu současného internetu. Zhruba v roce 2003 se objevil další komunitní a open source záměr s názvem Invisible Internet Project, známější pod zkratkou I2P.

Oba projekty jsou si velice podobné, ale I2P využívá zcela distribuovanou architekturu a komunikaci typu peer-to-peer, čili rovný s rovným. V případě Toru existuje možnost centralizovaného pohledu na síť, což představuje současně výhodu i hrozbu. I2P pracuje výrazně rychleji, v některých ohledech nabízí i vyšší úroveň zabezpečení, například tok dat je výhradně jednosměrný, což znamená, že případný útočník musí podchytit dvojnásobek komunikačních uzlů. Absence centrálního dohledu zase zvyšuje pravděpodobnost zapojení nežádoucích subjektů. V rámci projektu I2P rovněž existuje zcela samostatný webový svět skrytých služeb, stejně jako v Toru.

Další volně dostupné i placené anonymizační služby lze dohledat na internetu, příkladem budiž jména Ultrasurf, Hide My Ass!, OpenVPN nebo CoralCDN. Většina využívá servery proxy, virtuální privátní sítě a na mnohých participují univerzity, neziskové organizace nebo individuální poskytovatelé. Často však jde o poměrně jednoúčelové nástroje, jež nenabízejí funkční komplexitu Toru nebo I2P. V případě komerčních poskytovatelů má navíc anonymita pouze podobu smluvního ujednání, a nikoli nepřekonatelného technologického řešení.

Kde nestačí technické znalosti uživatelů, nastupuje legislativa. Podle výzkumu americké organizace Pew Research Center považuje 68 procent uživatelů internetu současnou podobu zákonů na ochranu soukromí za nedostatečnou. Zároveň 59 procent uživatelů internetu nevěří, že by bylo možné zajistit naprostou on-line anonymitu. A nejspíše neexistuje důkaz, jenž by jim dostatečně výmluvně oponoval.