Letos v listopadu se ve francouzském veletržním centru Paris Nord Villepinte znova sejdou stovky lidí na akci s názvem Milipol. Na rozdíl od většiny jiných tato výstava není otevřená všem, kteří jsou ochotní zaplatit vstupné. Vstup bude jako každoročně vyhrazen jen pozvaným. Budou převažovat odborníci na IT ze speciálních policejních útvarů, tajných služeb a zástupci soukromých firem s bezpečnostní prověrkou ze zemí NATO. Stejně jako na klasických veletrzích budou hledat zajímavé kontakty a sjednávat dohody, místo strojů nebo služeb se ale bude mluvit o nejmodernějších špionážních technologiích.

Možná právě tady, na severním předměstí Paříže, nebo na podobném typu sešlosti asociace NATIA ve Spojených státech vznikl zárodek úzké spolupráce mezi Útvarem zvláštních činností české policie, pražskou společností Bull s.r.o. a italskou firmou Hacking Team. Spolupráce byla plodná a trvala několik let. Ještě na konci letošního května si zástupce české firmy v e-mailu pochvaloval, jaký je to skoro až zázrak, že se v Česku podařilo jejich systém udržet v tajnosti. Jako kdyby tím přivolával nechtěné. Pět týdnů nato firmu profesionálních hackerů z Milána nabourali zatím neznámí útočníci a vzápětí vypustili svůj exkluzivní lup do globálního virtuálního prostoru.

Červi pro hodné i zlé

Partě z Hacking Teamu, která obstarávala počítačové „červy“ a prodávala je coby sledovací nástroje bezpečnostním složkám různých zemí, se nemohlo stát nic horšího. Po odtajnění e-mailů, faktur a různých dat to Italové můžou zabalit, přinejmenším pod současným názvem. Minimálně hodně nepříjemné dopady hackerského útoku hrozily i české policii. Osoby, které mají z nějakého důvodu podezření, že jim kriminalisté „napíchli“ počítač nebo mobilní telefon, dostaly se zveřejněním dat Hacking Teamu upozornění s návodem, jak funguje jejich sledování. Pak už se stačilo jen zařídit – povolat zběhlého ajťáka, aby podle návodu vyhledal červa a zbavil se ho, nebo třeba jednoduše vyměnit přístroj. Pokud se některá akce přehoupla do fáze trestního stíhání, či dokonce obžaloby, zkušený advokát dostal s únikem dat z Hacking Teamu náboje, s nimiž může před soudem teoreticky uspět s poukazem na nečisté formy opatřování důkazů. Není těžké prokázat, že zmínění červi neumějí jenom sledovat, ale také manipulovat s obsahem daného zařízení.

Sledovací jednotka české policie i spřátelená firma Bull, jež hrála roli jakési legalizující spojky při získávání sledovacího softwaru Remote Control System (RCS), by u novinářů a internetových geeků nejspíš ocenily aspoň částečnou shovívavost. Mohou přitom tvrdit, že ony za grandiózní průšvih Hacking Teamu nemůžou. Nebo použít argument typu „dělají to všichni“. Jenže mezi ty všechny, v tomto případě klienty italských hackerů, nepatřily jenom bezpečnostní složky ze západního světa, ale také poněkud méně demokratické režimy v zemích jako Súdán, Etiopie nebo Kazachstán. Zvědavost ospravedlňuje také zmíněná manipulativní povaha oněch červů neboli exploitů. Ačkoli jejich nasazení podléhá schválení soudu, těžko se zbavit pomyšlení, k čemu všemu by se dali softwaroví paraziti zneužít.

400 giga odhalení

Co se tedy můžeme ze 400 gigabytů uniklých materiálů, které server WikiLeaks a další hbitě překopírovaly a zveřejnily, dozvědět? Že policie pořizuje za miliony korun hackerský software přes prostředníka, může na první pohled překvapit, ve skutečnosti to však není nic neobvyklého, stejný model funguje všude na světě. Firmy jako Bull, kterou mezitím pohltila francouzská skupina Atos, musejí mít k takové spolupráci bezpečnostní prověrku. Úniky jmen, mailových adres a mobilních telefonů pracovníků Hacking Teamu a Bull jsou pro nositele jistě velmi nepříjemné, ale v zásadě nic neříkají o systému.

Za větší pozornost stojí jiné detaily. Například to, že jako jedna z klasických cest pro zavedení červa se používá odkaz na webovou stránku. Odhalená e-mailová komunikace nabídla několik příkladů. Policie si mimo jiné nechala vyrobit exploity na stránky několika českých bank. Možná se jí osvědčil příklad bývalého vysoce postaveného státního zástupce, kdy policie podle informací Týdeníku Echo vsadila na jeho přilnavost k penězům a vloudila se mu přes tyto stránky do počítače. Jiný cíl sledování zase patrně zatoužil po tújích, protože do Milána přišla zakázka na červíky do webových stránek několika prodejců těchto okrasných dřevin. Policisté se evidentně snaží využít u vytipovaného člověka jeho momentální poptávku a nasadit mu „štěnici“ přes podstrčený link. Pro laického uživatele internetu může být poučné, jak rizikový je takový běžný produkt jako přehrávací program Flash Player. Pro hackery slouží jako jeden z nejoblíbenějších nosičů pro červy. Zakázky na míru se ale vyráběly i na jiné hojně používané produkty, například pro Microsoft Word nebo Power Point.

Komunikace na rádoby utajené lince Praha–Milán byla poměrně intenzivní. Zakázka zahrnovala nejen dodávku výrobku, ale i servis a podporu. O četnosti spolupráce svědčí i to, že český zadavatel si dílo rozdělil do projektů. Známé jsou přinejmenším dva, jeden nazvaný Taurus (v latině „býk“, tedy stejně jako v angličtině „bull“), další měl název Janus. Pravděpodobně se týkal zařízení od Hacking Teamu, které se jmenovalo IPA (Injection Proxy Appliance) a později NIA (Network Injector Appliance) – ve zkratce šlo o další druh červa.

Název Janus dovede zvídavého čtenáře k jinému pozoruhodnému zjištění – na vývoji exploitů se podílejí čeští akademici. Ve vládním rejstříku s poměrně komplikovaným názvem Inovační systém výzkumu, experimentálního vývoje a inovací se dá najít také „Speciální softwarový balíček“ z roku 2013, který vyhotovil Tomáš Zahradnický, nynější šéf Katedry počítačových systémů na Fakultě informačních technologií ČVUT. Stručný popisu uvádí, že šlo o „specializovaný, na zakázku vytvořený počítačový software“ podle požadavků objednatele, kterým byla firma Bull. Za balíček zaplatila 50 tisíc korun. Více informací registr neobsahuje s odvoláním na povinnost mlčenlivosti. Na ní se odvolával i dotyčný pedagog, když ho kontaktoval Týdeník Echo: „Nemohu reagovat na žádné dotazy. Jsme vázáni mlčenlivostí.“ Jeho jméno se ovšem objevuje i v uniklých e-mailech a vyplývá z nich, že Bull/policie plánovaly propojit jeho práci s Hacking Teamem.

Italové ostatně zdaleka ne vše vyvíjeli sami. Americký server Ars Technica na základě mailů a údajů z WikiLeaks zrekonstruoval příběh, jak 33letý Moskvan Vitalij Toropov před necelými dvěma lety oslovil Hacking Team s nabídkou exploitů a řekl si o celkem 45 tisíc dolarů. Nabídka se v Itálii zamlouvala, Rus dostal peníze a spolupracoval ještě několik měsíců. Příklad názorně ukazuje, že exploity často vyvíjejí také sóloví hackeři, kteří sedí na některém z často používaných programů či aplikací, snaží se odhalit jeho slabinu a případné nalezení štěrbiny pak dokážou zpeněžit. Prakticky stejný byznys ostatně funguje i na zcela legální bázi a společnosti jako T-Mobile nebo Google takové lidi, pokud se jim přihlásí, rádi odměňují a vystavují jejich jména na speciálních seznamech díků. Mezi „dobrými“ hackery se takový zápis poměrně vysoko cení.

Heslo dobré tak pro výsměch

Kdo vlastně stojí za zdařilým útokem na Hacking Team, není známo. Podle českého vývojáře Michala Špačka, který se zaměřuje na bezpečnost internetu, bychom za hackery hackerů neměli hledat konkurenci. „Spíš někomu prostě leželi v žaludku,“ říká Špaček v narážce na odhalení, že firma prodávala exploity i autoritativním vládám, přestože to nepřímo popírala. Pro okolnosti prolomení Hacking Teamu je příznačné to, co se stalo osudným i jiným firmám a institucím. Ačkoli tyto firmy pracovaly na citlivých, nebo dokonce přísně utajovaných projektech, totálně podcenily nejen ochranu komunikace s vnějším prostředím, ale také vlastní zabezpečení. Klasickým symptomem jsou primitivní hesla. Ostatně zakladatel Hacking Teamu Christian Pozzi sklidil v hackerské komunitě velký posměch za to, že používal hesla jako „PaswOrd“. Což potvrzuje často opakované pravidlo, že nejslabším článkem řetězu informačních technologií jsou lidé.

Co bude dál? Policie od moderních způsobů sledování jistě neustoupí. Šéf Útvaru zvláštních činností Vladimír Šibor prožije ještě pár dní nechtěné pozornosti, ale potom všechno pojede dál. Velké změny se nedají očekávat ani na pomyslné druhé straně. Vykradení Hacking Teamu sice pomůže některým objektům policejního zájmu, aby se zajistily, na druhou stranu s největší pravděpodobností nespustí žádnou hysterii v zavádění obranných opatření. Podle Jiřího Schmidta, který šéfuje společnosti Probin, zaměřené na ochranu před odposlechy a sledováním, se poslední znatelná vlna zájmu o tento typ techniky vzedmula před třemi lety po zatčení bývalého středočeského hejtmana Davida Ratha. Od té doby jsou potenciální klienti jakoby otrlí, nevyburcovala je ani aféra s odposlechy bývalé premiérské tajemnice Jany Nagyové. Platí také, že i bohatí Češi na zabezpečení komunikace šetří: „Je s podivem, kolik lidí se spokojí s takovým Viberem,“ říká Schmidt v narážce na komunikační program.

Jedním z nejspolehlivějších způsobů, jak se vyhnout odposlouchávání či sledování, je podle Schmidta používání šifrovacích telefonů, nejlépe těch jednoduchých bez operačního systému, a tedy bez velkého rizika usazení červa. Infikovat chytrý mobilní telefon totiž bývá snazší než proniknout do zpravidla lépe chráněného počítače. Své by o tom mohl vyprávět právě zmiňovaný David Rath, jehož slova při kompromitujících rozhovorech údajně zachycoval právě mobil. Zájem o šifrovací telefony se před lety rapidně zvýšil po rozvíření kauzy pražského Dopravního podniku. Vytěžila z toho hlavně firma CircleTech, spojovaná s bývalým ministrem spravedlnosti Pavlem Němcem.

Mezi oblíbené prostředky bohatých podnikatelů proti sledování a odposlechům nepatří žádný výstřelek IT, ale přímý rozhovor bez jakékoli techniky uvnitř spousty těžkého kovu. Řeč je o stíněné komoře fungující na principu Faradayovy klece. Je to vlastně umělá místnost z pozinkovaného a speciálně upraveného plechu, která je odolná proti odposlouchávání zvenčí. Její cena se pohybuje kolem jednoho milionu korun, v Česku jich Probin prodal necelou desítku. Někteří zákazníci si ji uvnitř ještě „vylepšují“ tím, že návštěvy zvou dovnitř téměř nazí, oblečení jen v županu, a místo do normálních křesel usedají na průhledné židle a k průhledným stolům. „Jeden můj klient mi říkal, že jednání v takových podmínkách probíhají velice rychle. Návštěvníci se cítí nepříjemně a chtějí být co nejdřív venku,“ říká Schmidt.