Vyšlo na Lupě, 10.1.2009
Vytištěno z adresy: http://www.earchiv.cz/b09/b0119001.php3

Stalo se: Evropa posvětila legální hacking

Rada Evropské unie vloni posvětila možnost, aby ochránci zákona postupovali jako hackeři a vlamovali se na dálku do podezřelých počítačů. Ve Velké Británii to zákon umožňuje již řadu let a právě Británie už má plán, jak novou strategii EU prakticky naplňovat. Bude to znamenat, že na nás začne útočit i „legální“ malware  a vlastní ochrana se rázem stane podezřelou?

Povšimli jste si někdy, jak v poslední době – a tím míním spíše měsíce než dny – přibývá zpráv o tom, jak jsou stále více a více omezovány svobody uživatelů v on-line světě?

Určitě to nezačalo až v polovině loňského roku. Ale právě tehdy přišel z jihokorejského Soulu naléhavý apel: „už s tím rychle něco udělejte, protože když to bude pokračovat, už to bude neúnosné“. Jednalo se o jeden z hlavních závěrů  ministerské konference OECD na téma budoucnosti internetové ekonomiky, a týkal se rostoucích dopadů kriminality v on-line světě. Ta se skutečně rozmáhá, a právě konference v Soulu snad poprvé na rovinu varovala svět, že pokud by stávající trendy pokračovaly, nebezpečí a negativa by v on-line světě převážila nad všemi přínosy a výhodami. Jinými slovy: „zlá strana“ barikády by zničila všechno dobré a užitečné, co kdy v on-line světě vzniklo.

Jedna z prvních reakcí přišla jen o pár měsíců poté. To když Rada evropské unie (bývalá Rada ministrů) koncem listopadu loňského roku přišla s vlastní ucelenou strategií boje proti kyberkriminalitě, s výhledem na nejbližších pět let. Spíše ale jen aktualizovala svou dřívější strategii.

Na první pohled tato nová strategie, shválená ještě za francouzského předsednictví, nepůsobí nijak revolučně ani nově: hodně apeluje na spolupráci mezi složkami, které proti kyberkriminalitě bojují, na vzájemném sdílení informací, podporuje vznik společných vyšetřovacích týmů, jednotný systém rychlého varování  atd.

V jednom ohledu je ale nová koncepce přeci jen revoluční, protože prolamuje  pomyslnou bariéru a poprvé posvěcuje to, aby i strážci zákona mohli používat postupy a metody, dosud vyhrazené jen pro opačnou stranu barikády. Konkrétně „vzdálené prohledávání“ (remote searches), které zmiňuje i oficiální tisková zpráva, a které ve skutečnosti není ničím jiným než prolamováním se do cizích počítačů, bez vědomí a souhlasu jejich majitelů.

Přesnější je asi označení „hacking“ pro samotnou činnost a „hacker“ pro toho, kdo ji vykonává. Ale jak tomu budeme říkat, až to samé budou dělat ochránci zákona? Bude to „legální hacking“, prováděný „legálními hackery“, či nějak podobně? A hlavně: je vůbec správné, aby se takovéto metody (legálně) používaly i na straně ochránců zákona? Za jakých podmínek? Bude k nim zapotřebí souhlasu, resp. příkazu soudu, jako u „kamenných“ domovních prohlídek?

Strategie doporučuje blokování

Pokud se podíváme přímo do nové strategie, najdeme zde i další zajímavé věci. Například doporučení internetovým providerům, aby vzájemně sdíleli a nasazovali mechanismy na blokování (či úplné odstavení) webů s dětskou pornografií. S dovětkem, že právě „evropská platforma“ by mohla být nástrojem k vytvoření společného blacklistu.

Vida, zřejmě odsud čerpají své argumenty naši mobilní operátoři, když své blokování zdůvodňují tím, že to od nich očekává Evropská unie. Zde to skutečně je černé na bílém. Včetně zmínky o jednotnému blacklistu, jehož roli dnes plní blacklisty Internet Watch Foundation.

Čtenářům Lupy snad netřeba připomínat, že u nás toto doporučení již naplňuje Vodafone (od poloviny loňského roku), a T-Mobile se k tomu chystá od května. Jen Telefónica O2 zatím signalizuje, že za účinnější považuje jiná řešení, zejména osvětu.

Vraťme se ale zpět k samotné strategii EU a k tomu, že poprvé připouští i použití technik „vzdáleného prohledávání“ (neboli hackingu) na straně ochránců zákona.

Tisková zpráva, která o nové strategii v listopadu referovala, zmiňovala takovéto „vzdálené prohledávání“ bez nějakých dovětků či dodatků. Samotný text strategie je ale přeci jen opatrnější a podmiňuje jejich použití tím, že musí být přípustné v rámci národních zákonů. Co je ale nesmírně důležité a co ani samotná strategie explicitně nezmiňuje je to,  zda by „vzdálené prohledávání“ (fakticky hacking) mohli ochránci zákona využívat jen s požehnáním soudních orgánů, nebo i bez něj.

Ale i vynechání požadavku na souhlas, resp. příkaz od soudu, je samo o sobě určitým vyjádřením.

Německo: policie hackovat nesmí

Že snahy policie používat hackerské techniky a vlamovat se někomu do jeho počítače na dálku (přes Internet) nejsou úplnou novinkou, svědčí i případ Německa. Tam se již počátkem roku 2007 provalilo, že tamní policie a tajné služby pracují na možnosti pronikat do počítačů podezřelých a získávat z nich informace. A snad ji měly již v několik a případech i využít.

Příslušný projekt se jmenoval velmi příhodně, „Federal Trojan“, a již jeho název naznačuje, jak si to asi policejní a zpravodajské složky představovaly.

Dlužno dodat, že příslušné složky se snažily o legalizaci svých postupů u soudu, který jim ale nevyhověl: rozhodl, že prohlídky jsou možné jen s vědomím toho, koho se týkají, a nikoli tajně. A toto rozhodnutí soudu se dostalo na veřejnost, čímž se vše provalilo. Následně resort vnitra řekl, že vše zastavuje, a ministr vnitra Wolfgang Schäuble začal pracovat na přípravě zákona, který by vše legalizoval.

To vše se odehrávalo ještě počátkem roku 2007. A na podzim 2008 přišla již zmiňovaná nová strategie EU, schválená Radou Evropské unie, která „vzdálené prohledávání“ posvěcuje.

Británie se hlásí k policejnímu hackingu

První zemí, která se – byť spíše nechtěně a nepřímo – přihlásila k realizaci nové unijní strategie,  včetně „vzdáleného prohledávání“, je Velká Británie. V nedávných dnech totiž tamní média (například Times či Telegraph) informovala o tom, že britský resort vnitra připravil plán, na jehož základě by se britští ochránci zákona (konkrétně policie  i služba MI5) mohli rutinně vlamovat do osobních počítačů, a to bez souhlasu soudu.

Podle deníku Telegraph mluvčí resortu vnitra řekl, že dosud není stanoven přesný časový harmonogram pro realizaci celého plánu. Měl ale dodat i to,

Spojené království souhlasilo se strategickým přístupem k boji proti kybernetickému zločinu na stejné bázi, jako všechny členské země.

Při té příležitosti se ale ukázalo, že „vzdálené prohledávání“ je ve Velké Británii již nějakou dobu nejen legální, ale také skutečně využívané, byť zatím zřejmě jen v minimálním rozsahu. Již v roce 1995 ho měla umožnit novela zákona Computer Misuse Act („Zákona o zneužití počítačů“), spolu se zákonem o policii (Police Act of 1995). Nově pak tuto možnost povoluje i zákon RIPA (Regulation of Investigatory Powers Act) z roku 2000. Navíc bez potřeby souhlasu soudního orgánu: stačí prý jen souhlas velitele (chief constable, senior officer), který  musí být přesvědčen, že nasazené opatření je adekvátní potřebám zmaření či odhalení takového činu, za který hrozí trest vězení v délce minimálně tří let.

Pokud jde o rozsah využití: řada britských médií citovala mluvčího asociace ACPO (Association of Chief Police Officers), který řekl že v letech 2007 až 2008 bylo policií provedeno na 194 prohlídek bez souhlasu soudu („warrantless“). Většinou to v médiích bylo interpretováno již jako počet „policií hacknutých“ počítačů, ale podle některých zdrojů to není tak jisté – mluvčí ACPO prý nedokázal říci, kolik ze 194 prohlídek se skutečně týkalo počítačů a vzdáleného přístupu.

Pokud jde o používané techniky, zde se britská média přímo předháněla v rozvádění představy o tom, jak po Internetu již dnes kolují nejrůznější formy „policejního malwaru“ alias „policewaru“, včetně trojských koňů, různých keyloggerů apod. Ale policie pochopitelně sama moc nerozváděla, jaké techniky používá a bude do budoucna používat. Odborníci na bezpečnost vyjádřili názor, že do budoucna půjde třeba i o postupy založené na prolamování se do bezdrátových sítí (i zabezpečených). Zmínili také možnost instalování „hardwarového policewaru“ (ve formě jakýchsi datových štěnic) přímo do počítačů podezřelých.

Co by to znamenalo?

Nechme ale stranou konkrétní technické detaily, které jsou stejně jen neoficiální, či dokonce jen spekulativní, a zkusme se zamyslet nad skutečně zásadními věcmi. Hlavně nad tím, jak nám jako uživatelům postupně ubývají další a další části naší původní svobody: jak nám poskytovatelé připojení začínají rozhodovat o tom, kam se smíme podívat a kam ne (viz blokování nevhodného obsahu, nyní „očekávané“, byť ne nařízení Evropskou unií). Jak stát chce mít stále více a více informací o tom, co a jak na Internetu děláme (viz problematika data retention a uchovávání provozních dat). Jak se stále stupňují tlaky na „od-anonymizování“ Internetu, aby každý uživatel musel prokazovat svou identitu, nejlépe ještě ověřenou někým z kamenného světa. Jak někde už chtějí přímo odpojovat uživatele od Internetu. No a teď se přidají ještě i ochránci zákona, kteří začnou aktivně pronikat do našich počítačů. Dokonce s přímým požehnáním od Evropské unie, skrze její novou koncepci boje proti kyberkriminalitě. Co přijde dál?

Na druhou stranu je ale třeba vzít v potaz i to, jak eskalují nejrůznější špatnosti a nekalosti, páchané právě skrze Internet. Viz třeba již zmiňovaný závěr ministerské konference v Soulu, v polovině loňského roku. Ani nad touto druhou stránkou mince rozhodně nelze zavírat oči a dělat, že neexistuje. Něco asi budeme muset obětovat. Doby svobodného akademického Internetu jsou asi definitivně pryč.

Spíše ale jde o to, aby i opatření na boj proti hrozbám a špatnostem on-line světa byla sice účinná, ale současně adekvátní. Aby sama nenapáchala více škody než užitku, a neomezila Internet a celý on-line svět ještě více, než je nezbytně nutné.

To ale není jednoduché. Už jen proto, že to vyžaduje komplexní pohled: potřebu dívat se na vše jako na soustavu velmi velkého počtu faktorů, které se vzájemně ovlivňují. Není možné mít klapky na očích a vidět jen jeden dílčí problém, bez všech souvislostí a vazeb. Či se dokonce tak chovat a řešit problémy jednostranně, bez ohledu na to, co zvolené řešení „udělá“ jinde. Právě zde je – alespoň podle mého názoru – největší úskalí: různí lidé dnes řeší právě a pouze „svůj“ problém, a nezajímají se o širší souvislosti a dopady navrhovaného řešení.

Nejinak je tomu i v případě boje proti „kyberzločinům“ a „kyberzločincům“: ochránci zákona potřebují účinné a efektivní možnosti a nástroje. Ale jejich nasazení je třeba hodnotit i s ohledem na to, jak moc komplikují život či přímo omezují i řádné „kyberobčany“.

Co tím mám na mysli, si dovolím ukázat na následující úvaze: až dosud byli uživatelé Internetu „vychováváni“ v duchu toho, že se mají chovat obezřetně a sami se bránit nejrůznějším nástrahám on-line světa: že mají používat antivirové programy, antispamy, že se mají chránit firewally, že nemají klikat na podezřelé emailové přílohy atd.

Vše přitom stavělo na předpokladu, že tím, kdo nejrůznější nástrahy klade, je „odvrácená strana barikády“. A tak vlastní ochrana byla něčím pozitivním, jakýmsi znamením „řádného a znalého“ uživatele Internetu. Jenže nyní se základní premisa mění, neboť nástrahy budou moci klást i ochránci zákona. A jak potom bude hodnocena vlastní ochrana? Třeba použití osobního firewallu na vlastním počítači, schovávání za NATem atd.? Nebude to nově interpretováno naopak jako snaha něco skrývat? Jako něco podezřelého? Bude nasazení NATu či firewallu vyžadoval povolení od policie?

Možná vám to přijde úplně nesmyslné. Ale co třeba takové šifrovací technologie? Co už kolem jejich nasazování bylo kontroverzí, zejména z toho pohledu zda občan má právo něco skrývat (pomocí šifrování) i před státem, nebo zda by stát měl mít od všech šifrovacích zámků svůj vlastní klíč. Kolik již bylo navrženo – ale naštěstí většinou zase odmítnuto – povinností na principu tzv. key escrow, kdy by každý občan musel odevzdávat kopii klíčů od čehokoli, co by si chtěl sám (pomocí šifrování) nějak zamknout.

A abychom si nemysleli: třeba právě ve Velké Británii obdoba key escrow existuje: od října 2008 má podle již zmiňovaného zákona RIPA (The Regulation of Investigatory Powers Act) občan povinnost poskytnout státu klíč (heslo) od zašifrovaného obsahu, pod hrozbou trestu až pěti let vězení při odmítnutí. U nás doma pak existuje jistá obdoba přímo v zákoně o elektronických komunikací, týkající se povinnosti umožnit odposlech a záznam zpráv (paragraf 97, článek 6): pokud provozovatel sítě či poskytovatel služeb používá šifrování, musí zajistit, aby při odposlechu byla data zase dešifrována.

Zpět ale ke „vzdálenému prohledávání“ podezřelých počítačů ochránci zákona: kdypak asi někoho napadne něco jako „login escrow“? Tedy povinnost dopředu odevzdat státu všechny své přihlašovací údaje? Nebo rovnou povinnost mít na svém počítači aktivní účet pro „vzdálené prohledávání“ se standardizovanými přihlašovacími údaji? A jak dlouho by pak trvalo, než by to bylo zneužito?

Nebo jiný, spíše praktičtější aspekt: pokud budou i ochránci zákona legálně útočit na podezřelé počítače pomocí (softwarového) malwaru, včetně různých trojanů apod., jak se k nim budou stavět výrobci antivirů, antispywarů a dalších ochranných nástrojů? Měli by snad rozlišovat mezi legálním a nelegálním malwarem? A pokud by je k tomu někdo přinutil, podle čeho by je rozlišovali?

No, nejsou to radostné perspektivy.

předchozí část  |  další část