Proč unikla tajná data o české policii. Hacker byl neopatrný

David Kohout
12. 7. 2015 12:55
Kdo jsou hackeři ze společnosti Hacking Team, kterou napadli piráti a která dodávala špionážní program české policii? Původně parta mladíků, jež začala spolupracovat s detektivy doma v Itálii.
Ilustrační foto.
Ilustrační foto. | Foto: Thinkstock

Praha – Italský počítačový expert Christian Pozzi se zachoval jako naprostý amatér: na svém počítači nechal bez zabezpečení válet soubor hesel k firemní síti. Svou neopatrností těžce poškodil svého zaměstnavatele - italskou firmu Hacking Team. Ještě nedávno nepříliš známou společnost, na kterou kvůli Pozziho chybě tento týden prasklo, že vyvíjí špionážní programy pro policii a tajné služby v nejrůznějších zemích světa.

Pozziho profil napadli hackeři, které mohlo jeho jednoduché heslo "Passw0rd" pouze rozesmát. Ukradli data firmy Hacking Team a pověsili je na web. Celý svět se tak díky nejnovějšímu skandálu na poli bezpečnostních systémů dozvěděl, komu Hacking Team dodával své know-how a jak jeho programy obejít nebo rozšifrovat. Software Italů přitom využívá i česká policie a může tak díky němu na dálku s povolením soudu sledovat jakýkoliv počítač, nebo dokonce odposlouchávat telefon v místnosti, kde je počítač umístěn.

Nová aféra tak uzavřela jednu velkou kapitolu hackerů, kteří začínali jako parta mladíků spolupracujících s italskou policií.

Špinavé obchody?

Dnes je Hacking Team firma se čtyřiceti zaměstnanci a kancelářemi v Miláně, ve Spojených státech a Singapuru. Na svých webových stránkách píše, že prostřednictvím vývoje špionážních systémů pomáhá bojovat proti zločinu. Reportéři bez hranic - nevládní organizace obhajující svobodu tisku a médií - však firmu za její "špinavé" obchody umístili na seznam Nepřátel internetu. Vadí jim především prodávání špionážních systémů do nedemokratických zemí, které potírají základní lidská práva. 

Podle českého bezpečnostního experta Michala Špačka, který na únik dat z firmy Hacking Team jako první v tuzemsku upozornil, však Italové jen podlehli sebeuspokojení.

"Na začátku to byla skupina vynálezců bezpečnostního systému, který se zalíbil italské policii. Software od nich koupila a začala používat," vysvětluje Špaček.

Od italské policie pak byl už jen krůček k dalším obchodům. O jejich špionážní systémy DaVinci pojmenované po italském renesančním umělci projevily zájem třeba Polsko, Maďarsko, Mexiko, Panama, Kolumbie, Egypt, ale i státy s nedemokratickými režimy. Právě v nich vidí problém i Špaček. "Pokud vím, ta firma několikrát řekla, že s těmito režimy neobchoduje. To ale lhali," říká odborník.

Podle experta na ochranu dat Vladimíra Lazeckého ovšem podobné obchody nejsou ničím výjimečným. "Je to jako obchod se zbraněmi. Myslím si, že ti lidé prostě jen prodávali systémy a neřešili, k čemu budou použity. Morálně to můžeme zavrhnout," komentuje Lazecký.

Problémy na trhu

Firma teď podle něj utrpěla ztrátu pověsti a důvěryhodnosti a bude mít na trhu problémy. "V tomhle sektoru platí, že získat klienty je nesmírně těžké, ztratit je naopak velice jednoduché. Pokud by se klienti chovali racionálně, tak není možné, aby se Hacking Team vrátil na trh. Z historie máme ale mnoho případů, kdy se i mnohem větším firmám stalo něco podobného a nakonec se jim podařilo zůstat," dodává Lazecký.

Michal Špaček je přesvědčený o tom, že úspěšný hackerský útok z minulého týdne znamená pro firmu konec. "Po tomhle si nedovedu představit, že by Hacking Team získal zpět svou ztracenou důvěru," vysvětluje.

Podle Špačka to byla jen ukázka toho, jak některé bezpečností firmy fungují. "Vždy se v takovýchto podivných společnostech najdou zásadní chyby, kterým nikdo z vedení nevěnuje zásadní pozornost. Na tom vše většinou skončí," říká Špaček.

Naráží tak na diletantské zabezpečení vnitřních systémů i využívání slabých hesel. Bezpečnostní experti například k zabezpečení svých účtů používali hesla typu: Passw0rd, wolverine, dottrokame, universo a další.

Konec firmy Hacking Team však podle Špačka i Lazeckého nebude znamenat pád firem, které budou prodávat špinavé systémy autokratickým režimům. "V Česku je hned několik firem, které obchodují v podobném duchu jako Hacking Team," dodává Lazecký.

Špaček je pak přesvědčený, že podobné útoky budou na tyto firmy pokračovat. "Samotný útočník se nechal slyšet, že Hacking Team si vybral s určitým cílem. Zároveň to nebyla první firma, na kterou takto zaútočil," vysvětluje Špaček. Na webu Nepřátel internetu je hned vedle Hacking Teamu americký Blue Coat, americký Gamma nebo francouzská Amesys.

Na konec i samo vedení firmy muselo přiznat, že jsou všechny jejich systémy zneužitelné všemi, kdo mají správné přístupy a dobré technické zázemí. Nelze tedy vyloučit, že například policie, která někoho odposlouchává, je sama napíchnuta odposlouchávacím zařízením, o kterém nemusí vědět. Zjednodušeně řečeno: díky Hacking Teamu může špion odposlouchávat špiona.

Sama společnost Hacking Team veřejně přiznává, že jsou tyto technologie napadnutelné a zneužitelné kýmkoliv, kdo má počítač a přístup k internetu. Na něm teď aktuálně kolují interní dokumenty Hacking Teamu včetně všech smluv a návodů, jak tyto bezpečnostní systémy obejít a zneužít.

 

Právě se děje

Další zprávy