Mezinárodní politika má viditelnou hladinu a neviditelné proudy pod ní. Na té viditelné hladině se arabské státy teprve neochotně smiřují s existencí Izraele. Tak například Maroko s ním navázalo vztahy v prosinci 2020 a Alžírsko tak ještě neučinilo vůbec. Naopak se svou bývalou koloniální mocností, Francií, mají Alžírsko a Maroko dobré vztahy.

I proto je podezření, že alžírská a marocká rozvědka používaly služby izraelské společnosti NSO k napadení telefonu francouzského prezidenta, tak pikantní. Jestli je ale toto podezření realita, to zatím nevíme a možná se to nedovíme nikdy. Zveřejněná data jsou totiž slabá.

Bílé a černé klobouky

Ve světě hackingu se nosí klobouky. Aspoň virtuálně. Ti, kdo mají nasazen klobouk bílý, jsou „hodní“ hackeři. Jejich cílem je odhalit slabiny v systémech se souhlasem jejich provozovatelů, aby se daly spravit dříve, než je využije někdo jiný. Svět hackerů s bílými klobouky má svoje pravidla; například najdou-li nějakou skutečně široce zneužitelnou slabinu, třeba ve Windows nebo v Androidu, nechají ji nějakou dobu v tajnosti a informují výrobce systému, aby ji mohl spravit. Teprve potom, když už je zazáplatována, a tedy nevyužitelná, ji ohlásí celému světu a zapíšou do veřejného katalogu zvaného CVE. (V současné chvíli je v něm registrováno téměř 160 tisíc slabin.)

Hackeři s černými klobouky útočí na systémy bez jejich souhlasu, svévolně. Jejich motivací bývá zisk nebo špionáž, i když někteří méně vyzrálí jedinci si při hackingu prostě užívají pocitu vzrušení. Běžným následkem ofenzivního hackování bývá vydírání a požadavky na výkupné v kryptoměně. Bývaly časy, kdy černé klobouky operovaly převážně samostatně, stejně jako většina kriminálních struktur. Ale vládní byrokracie, dříve zcela nezasažená pojmy jako „počítačová síť“, už stihla organizačně dohnat technický vývoj a chce mít nad hackerskou scénou kontrolu. Opravdoví ilegálové se tím pádem musejí bát vězení, ať už operují v Rusku, Vietnamu, nebo Číně.

Pokud jsou ale černé klobouky ochotny spolupracovat se svými vládami na ofenzivních programech ve státním zájmu, mají naopak zajištěnu určitou ochranu, aspoň u sebe doma. Tato symbióza funguje ke vzájemné spokojenosti obou stran. A různé vlády tak získávají digitální schopnosti, které by jen stěží zajistily vlastními zaměstnanci.

Specifickým typem černého klobouku, který se snaží tvářit jako klobouk sněhově bílý, je hacker pracující výlučně pro státy. Ten se zaštiťuje bojem proti pedofilii, terorismu a organizovanému zločinu, který by bez jeho služeb údajně nebyl možný. Ale státy tak morálně černobílé nikdy nejsou, takže klobouky takových hackerů mívají padesát odstínů šedi.

V červenci 2015 napadli neznámí útočníci síť italské společnosti Hacking Team a odcizili z ní celkem 400 GB dat. Tento balík pak následně umístili na internet k volnému stažení pro zbytek světa. Obsahoval nesmírné množství zajímavých informací: smlouvy, faktury, útočný software používaný k napadání cizích systémů. Milánský Hacking Team byl „šedou“ firmou specializující se na hackování ve státním zájmu. Únik dat z jeho serverů byl první příležitostí, kdy se zbytek světa mohl s vnitřním fungováním takového státního hackingu seznámit.

Italští hackeři dělali byznys s několika desítkami států, mezi kterými byla i Česká republika, konkrétně civilní rozvědka a policie (mezi sledovanými byli například členové české muslimské komunity). Italská vláda, která služeb Hacking Teamu rovněž hojně využívala, měla vůči některým zahraničním obchodům námitky – šlo zejména o režimy nevynikající úctou k lidským právům, jako byla Saúdská Arábie, Súdán, Bahrajn nebo Uzbekistán – ale zákazy prodeje byly vždy jen dočasné a Hacking Team si dokázal vylobbovat jejich zrušení. Mezi zákazníky byly rovněž velké soukromé korporace jako Deutsche Bank. Špionážní software prodávaný pod jménem Remote Control System sloužil dobře mnoha různým pánům a mezi jeho oběťmi byli i političtí aktivisté, novináři a opoziční politici.

Bývalý major v akci

Téměř každý dospělý Izraelec má za sebou vojenskou službu, ale na hodnost majora to dotáhne jen málokdo. Zakladatel izraelské společnosti NSO Shalev Hulio jí dosáhl. NSO je už jeho druhá firma, ta první, CommuniTake, se specializovala na software umožňující spravovat mobilní telefony na dálku. S trochou nadsázky se dá říci, že i NSO to dělá, ovšem bez souhlasu a vědomí uživatele.

NSO je ve světě státního hackování známou veličinou, ale na rozdíl od italského Hacking Teamu neutrpěla fatální průlom, po kterém by veškeré její vnitřní fungování vyšlo najevo. Organizace Pegasus Project, která činnost NSO monitoruje, zatím dokázala jen vydat seznam padesáti tisíc telefonních čísel, jež měla být potenciálně terčem hackování na objednávku. Jenže „potenciálně“ není „jistě“ a Shalev Hulio, který zahájil v médiích hlasitou protiofenzivu, má tedy spoustu prostoru k manévrování.

Ofenzivní schopnosti NSO jsou velké. Před několika lety se firma dostala do právního sporu s Facebookem, protože její zaměstnanci našli a využili slabiny v komunikační aplikaci WhatsApp. NSO se chlubí schopností útočit na plně záplatované iPhony, a to i přesto, že právě jejich výrobce, Apple, věnuje zabezpečení svých výrobků maximální pozornost. Ani druhá půlka smartphonového světa, která běží na systému Android, neunikla pozornosti firmy, takže co se zranitelnosti týče, NSO pokrývá víceméně celé spektrum moderní mobilní komunikace. To je samozřejmě schopnost silně poptávaná, nejen v malém Izraeli; NSO prodává své služby do širého světa, i když patrně ne úplně každému státu. I soukromá firma musí brát ohled na základní životní zájmy země, ve které sídlí.

Z čistě diplomatického hlediska je ovšem podezření, že na seznamu cílů pro odposlech se mohl ocitnout i francouzský prezident, velmi nepříjemné. Rovněž náznaky, že pomocí ofenzivních nástrojů poskytovaných firmou NSO „dohlížel“ indický premiér Módí na opozici a maďarský premiér Orbán na znepřátelené žurnalisty, jsou poněkud ožehavé. Důkazy však chybějí, a najdou-li se, je dost možné, že se nic nedovíme.

Shalev Hulio prezentuje svoji linii jednoznačně: Kdo nedělá nic špatného, nemá se čeho bát; a hlavním terčem jeho softwaru jsou pedofilové a teroristé celého světa. Doví-li se NSO, že jejího softwaru někdo zneužívá k jiným účelům, rozváže prý s ním spolupráci, a několikrát tak už učinila. I k tomuto jeho tvrzení ovšem důkazy scházejí. Seznamy zákazníků jsou z pochopitelných důvodů tajné.

Práce špionů je výrazně usnadněna tím, že téměř všichni u sebe máme téměř dokonalé špehovací zařízení – chytrý telefon. Ten je vybaven mikrofonem, kamerou, SD kartou pro ukládání nasbíraných dat a GPS modulem pro co nejpřesnější určení aktuální polohy. Dokáže se připojit k mobilní síti nebo k wi-fi, takže přenos nasbíraných dat k útočníkovi je také zajištěn. Jediné, co zbývá, je nějak jej zvenčí ovládnout.

Naneštěstí jsou softwarové systémy, které na smartphonech běží, natolik složité, že jejich dokonalé zabezpečení je něčím jako kvadratura kruhu. Moderní počítačový svět, do kterého chytré telefony patří, si s sebou táhne dědictví 70. let, kdy tehdejší programovací jazyky učinily řadu bezpečnostních kompromisů v zájmu rychlosti. Staré útoky typu přetečení paměťového bufferu nebo bitového rozsahu celočíselné proměnné, s jejichž pomocí se do vzdálených systémů vlamovala už ta nejstarší generace „černých klobouků“, jsou stále zdrojem nových a nových nepříjemných překvapení. Svoje slabiny má i Linux, otevřený operační systém, na jehož jádře je založen právě Android, nebo BSD Darwin, který tvoří základ konkurenčního iOS od firmy Apple.

Programovat bezpečně je těžké. I mistr tesař se někdy utne, učedníci se utínají podstatně častěji, a než si někdo všimne jejich chyby, mohou uplynout celá léta. Například kryptografická slabina Heartbleed, která ohrozila bezpečnost milionů serverů, byla do kódu knihovny OpenSSL omylem zavlečena z příspěvku německého postgraduálního studenta, a to 31. 12. 2011 (člověk si klade otázku, zda v tu chvíli nebyly myšlenky správců někde zcela jinde…). Teprve v dubnu 2014 ji odhalil bezpečnostní tým Googlu, takže měla dva roky na to, aby se rozšířila po celém světě. Podobný životní cyklus vykazují i jiné bezpečnostní chyby.

Součástí problému je i neochota velkých firem aktualizovat svá zařízení. Máte-li několik let starý Samsung, patrně už na něj nedostáváte bezpečnostní záplaty. Z pohledu výrobce je to výhodné, aspoň vás tato skutečnost ponouká k tomu, abyste si koupili nový telefon. Ale z pohledu černých klobouků je takové staré zařízení ideálním cílem k napadení; známé chyby v něm už nejsou opraveny, takže se dají zneužít k útoku.

Nejlepší obranou je v takovém případě nakonec ta, která fungovala i jindy a jinde. Být zcela bezvýznamným člověkem.