Jiří Ráž: Existuje ještě soukromí? Štěnice si nosíme všude s sebou a dobrovolně

Jiří Ráž: Existuje ještě soukromí? Štěnice si nosíme všude s sebou a dobrovolně
Autor fotografie: foto: Pixabay
13 / 02 / 2023, 09:00

Špehování mobilních telefonů je v současnosti již tak rozšířené, že společnost Apple, zřejmě koncem roku 2021, zavedla zvláštní službu, kdy strojově analyzuje data svých uživatelů a v rámci Threat Notification jim zasílá upozornění, že jejich iPhone může být odposloucháván. Proč tomu tak je? Nejprve je třeba objasnit, jak je v dnešní době možné provádět odposlech.

První možností je klasický odposlech telekomunikačního provozu (hovory, SMS), který jde přes infrastrukturu vašeho operátora. Jenže tento způsob odposlechu byl již tak široce medializován, že významná část uživatelů přešla na textovou a hlasovou komunikaci přes aplikace typu Threema, Signal, WhatsApp a další. A veškerá tato komunikace je již před odesláním šifrována a pro odposlouchávajícího zcela nedostupná. Veškerá data postupně začaly šifrovat i další aplikace, např. emailový klient, bankovní aplikace atd. Klasický odposlech tak částečně přestal fungovat.

Druhou možností je prostorový odposlech, kdy jsou kanceláře, vozidla, byty i stoly v restauraci dodatečně „dovybaveny“ skrytými mikrofony. Jenže takový odposlech je organizačně a technicky velmi složitý, nákladný a často i neproveditelný.

A tak již někdy před rokem 2010 došli někteří specialisté k názoru, že nejlepší bude, když si odposlouchávaný bude svou „štěnici“ všude nosit s sebou, a to zcela dobrovolně. Touto „štěnicí“ se stal chytrý telefon.

Touto novou technologií došlo k dramatickému vpádu do soukromí, který se rozsahem narušení soukromí s klasickým odposlechem nedá vůbec srovnávat. Klasický odposlech zachycuje jen telefonickou komunikaci, vedenou vždy pouze po velmi omezenou dobu. Chytré telefony však dnes u většiny lidí obsahují celý jejich pracovní i soukromý život. Je zde možnost odposlechu hovorů, jsou zde záznamy o textové komunikaci, pracovní dokumenty, kalendář, seznam kontaktů, finanční a zdravotní záznamy a další informaci i o zcela intimních aktivitách. Současně telefon většina z nás nosí všude sebou, pokládá ho vedle postele, bere si ho na WC atd. Ovládnutí chytrého telefonu a získání veškerých v něm uložených informací (anebo informací, ke kterým má telefon přes cloudové služby přístup), včetně možnosti skrytého zapnutí mikrofonu či kamery, je podstatně rozsáhlejší invazí do soukromí, která může mít zničující profesní i osobní následky.

O tom, jak se tento „obor“ vyvíjel, a jaké jsou technické a právní důsledky tohoto vývoje, bude pojednávat následující série článků. Je třeba uvést, že dostupných věrohodných a ověřených informací je k dispozici jen velmi málo, neboť vyšly najevo pouze při nechtěných únicích dat či v rámci různých politických a bezpečnostních skandálů.

Hacking Team 2015

V červenci 2015 italská firma Hacking Team, která léta vyvíjela a prodávala útočný software, byla sama hacknuta a uniklo jí prakticky úplně všechno. V souboru více než 400 GB uniklých dat se nacházel kompletní seznam klientů, účetní doklady, více než milion mailů – vnitřní komunikace i komunikace se zákazníky, a unikla též podrobná prezentace technologických schopností firmy a způsobů útoků na počítače a mobilní telefony.

Hacking Team nabízel na PC sledování webového prohlížeče, odposlech mikrofonu, sledování klávesnice, natáčení uživatele webovou kamerou a podobně. Na mobilních telefonech to bylo navíc sledování historie volání, lokalizace uživatele a odposlech uživatele.V této době ještě byly PC velmi lákavým cílem útoků, neboť většina telefonů neměla dostatečný výkon, aby nasazení útočného software nevedlo ke zpomalení, rychlému vybíjení či zahřívání telefonu. A také mobilní internet nebyl tak všudypřítomný, jako je tomu dnes.

Z uniklých dat dle článků na serverech Root.cz, Zive.cz, Echoprime.cz a dalších lze spolehlivě usoudit, že

  • Česká policie kupovala produkty Hacking Team v letech 2010 až 2015 přes prostředníka, kterým byla česká pobočka francouzské firmy BULL,
  • Útvar zvláštních činností kriminální policie v roce 2010 zaplatil 167 800 EUR za systém pro vzdálenou kontrolu napadených zařízení, v roce 2011 zaplatil 55 600 EUR za přístup k dokumentovaným chybám počítačových systémů, umožňujících napadení, a v roce 2015 zaplatil dalších 119 900 EUR za prodloužení podpory od firmy Hacking Team.
  • Česká policie si nechala vyrobit útočné exploity na stránky některých českých bank a některých e-shopů, došlo k použití skrytého odposlechu pomocí ovládnutí mobilního telefonu.
  • Firma BULL dokonce spolupracovala s vedoucím pracovníkem Fakulty Informačních technologií ČVUT, u kterého si v roce 2013 objednala „speciální softwarový balíček“ za 50 tisíc Kč.

V době úniku dat v roce 2015 měla společnost Hacking Team celkem 37 aktivních klientů. A byly mezi nimi i nedemokratické státy jako Súdán, Etiopie, Kazachstán, Saudská Arábie, Bahrajn a další, kde produkty Hacking Team zcela jistě nesloužily k prosazování práva a spravedlnosti, ale spíše k potlačování jakékoliv opozice.

Mezi klienty však patřily i některé soukromé banky, resp. jejich oddělení interního auditu. Tuto informaci považujeme za obzvláště alarmující, neboť se tím potvrzuje naše obava, že díky těmto technologiím stát ztrácí monopol na provádění odposlechů, a tím se i zeslabuje možnost jakékoliv regulace a kontroly.

V další části článku se podíváme na hrozby nové generace, mezi jinými bude tématem malware Pegasus, před nímž dosud neexistuje účinná ochrana.

Zdroj: connect.zive.cz, echoprime.cz, root.cz

foto: Jiří Ráž

Autor: Jiří Ráž, jednatel společnosti Supreme Analytics s.r.o., která poskytuje služby i v oblasti kybernetické bezpečnosti

Tagy článku

-->