Policie nakupuje u hackerů
Průlom do soukromí – odemknou každý mobil
Bránou k tomu, aby vyšetřovatelé zjistili, proč před dvěma lety vraždil v kalifornském San Bernardinu terorista Syed Farook, mohl být jeho kódem uzamčený iPhone. Farooka policisté zastřelili a společnost Apple, která telefon vyrobila, odmítla vytvořit zadní vrátka s argumentem, že by pak vláda USA mohla nabourávat všechny její iPhony.
Mocnou americkou FBI ovšem nakonec nejspíše zachránila až do té doby neznámá izraelská firma Cellebrite, kterou založili někdejší hackeři izraelské armády.
Speciální zařízení na prolamování zabavených zamčených chytrých telefonů od stejné společnosti si nyní za 6,1 milionu objednala i česká policie. Vypadají jako obyčejný tablet nebo laptop v hliníkovém kufříku. Ale po připojení telefonu dokážou prolomit kód, kterým ho zabezpečil jeho majitel. I do běžně prodávaných telefonů od společností jako Apple či Samsung se totiž kvůli inovacím výrobců nyní policisté nemají šanci jinak dostat.
„Díky intuitivnímu rozhraní a ovládání pomocí dotykového displeje umožňuje extrakci všech dat a hesel,“inzeruje například speciální tablet prodejce v letáku, který je přiložený ke smlouvě s policií.
Celkem jen vloni koncem roku česká policie nakoupila podobná zařízení za 24,3 milionu korun. I od dalších firem, původem od Ruska přes Švédsko až po USA. Každá ze společností totiž „umí“jiné mobily a verze softwaru, který na nich běží.
Policisté to příliš nechtějí komentovat. Obchod prozradil registr smluv. „Nákup těchto softwarových a hardwarových prostředků nám umožní zkvalitnit a zjednodušit práci našich policistů. Budou určeny pro útvary s celostátní působností, Kriminalistický ústav Praha a pro krajská ředitelství. Více informací nemůžeme z taktických důvodů sdělit,“konstatovala mluvčí policejního prezidia Ivana Nguyenová.
Mimo záznam někteří elitní policisté připouštějí, že hlad po zahraničním softwaru je i důsledkem toho, že klasické odposlechy už nepřinášejí takové výsledky jako dříve. Speciální šifrované mobily za stovky tisíc, do nichž se policisté nemohou dostat, zůstávají výsadou movitých a nejvíce opatrných zločinců. Lidé si však dnes informace často vyměňují pomocí programů pro rychlé zasílání zpráv, jako je WhatsApp. A ty si může každý nainstalovat zdarma. I takové aplikace však zprávy přenášené mezi telefony běžně šifrují.
Přečíst si tak zprávy v telefonu jednoho z příjemců je pro policisty mnohem jednodušší. Vyzkoušeli si to už v roce 2014 v kauze někdejší šéfky kabinetu premiéra Jany Nagyové. Ta sice komunikovala šifrovanou aplikací, policisté však její telefon rozšifrovali. A dostali se tak ke zprávám od lobbisty Ivo Rittiga.
Od té doby podle firem, které zařízení na prolamování mobilů prodávají, poptávka od českých bezpečnostních složek výrazně vzrostla.
Nákup těchto prostředků nám umožní zkvalitnit a zjednodušit práci našich policistů.
„Poptávka po našich produktech roste. Je to dané jednak tím, že telefon stále víc nahrazuje osobní počítač a je v něm více a více pro policii důležitých informací. Ale také se to jistě týká rostoucí hrozby terorismu,“konstatoval Tomáš Novotný z firmy Forsolution, která policii nyní software Izraelců prodala.
Izraelci se přitom chlubí, že umějí obnovit i zprávy, o kterých si majitel telefonu myslí, že je dávno vymazal. Policie se tak může teoreticky dopátrat i roky starých zpráv.
To je zásadní rozdíl oproti odposlechům. U nich zákon explicitně nařizuje, že jejich nasazení musí povolit soud na žádost státního zástupce. A to předem.
Ohledně toho, jestli je soud povolil korektně a státní zástupce svou žádost dostatečně zdůvodnil, vedl vloni soudní bitvu ve své kauze exhejtman David Rath. „Hackerské“tablety a notebooky, které čeští policisté používají, jsou ovšem pro právníky i soudy úplně novou výzvou. Zákony s tak moderními technologiemi nepočítají, a proto je potřeba vycházet jen z obecných principů. Názory právníků, se kterými MF DNES mluvila, se ovšem liší.
Nejvyšší státní zástupce Pavel Zeman vydal v roce 2014 stanovisko, kterým posvěcuje, že zprávy ze zabaveného telefonu je možné dobýt i bez speciálního povolení soudu. Podpis soudce je nutné získat jen v případě přístupu ke zprávám, které na telefon přijdou až potom, co se do něj policisté dostali.
A stejně to vykládá i Václav Stupka z Centra excelence pro kyberkriminalitu Masarykovy univerzity. „Pokud byl telefon zajištěn zákonným způsobem (vydání, odnětí věci či například při domovní prohlídce), tak není nutné mít separátní souhlas s přístupem k datům. Vlastník telefonu nemůže být nucen vydat heslo. Pokud se tam však vyšetřovatel dostane technickými prostředky, není to překážka,“uvádí Stupka.
Součástí předvánočního policejního nákupu byl navíc i software, který dokáže využít další citlivá data z telefonu. Například k nabourání Facebooku podezřelého. „V souladu s právními normami díky využiti přihlašovacích údajů z mobilního zařízení,“dodávají propagační materiály.
Pro přístup k datům, která má uživatel uložená on-line někde na internetu, už podle Stupky souhlas soudce třeba je.
Nové chyby za miliony
České bezpečnostní složky dohánějí vývoj, který vytyčili jejich kolegové ze západních zemí. „Nyní na tom Česko v evropském porovnání není úplně nejhůře. Nový hardware tu ale není zdaleka tak dostupný jako v západní Evropě, například ve Velké Británii či Francii, které jsou na špici,“řekl MF DNES Michal Žipaj jr. z další společnosti Risk Analysis Consultants, která policii speciální hardware a software také dodává.
Pro firmy, které policii servis dělají, je to přitom výhodný byznys. Mají totiž jisté, že nepůjde o jednorázový prodej speciálního počítače. Ten totiž potřebuje neustálé aktualizace softwaru, aby si poradil s novými modely mobilních telefonů či aktualizacemi jejich softwaru. A za to si firmy, které musejí hledat bezpečnostní chyby stále v nových a nových telefonech, účtují statisíce. Jestli týmy hackerů, které využívají dodavatelé české policie, přišly na to, jak prolomit i nejnovější špičkové telefony, není jasné. Stejně jako jeho konkurent Novotný odmítá Žipaj komentovat, co přesně české policii dodal. Ve smlouvách má totiž nadiktovanou mlčenlivost. „Samotný drahý software a hardware ale nestačí. Nezbytné je i školení policistů, kteří zařízení obsluhují,“dodal Žipaj.
Používá policie i viry?
Z registru smluv je možné vyčíst, že od něj ministerstvo vnitra nakupovalo třeba produkty švédské firmy MicroSystemation AB, která je ve světě takzvané forenzní analýzy vedle izraelské Cellebrite považována za druhého velikána.
Jednotlivé firmy, jejichž produkty nabízejí, si přitom podle Žipaje důkladně hlídají, kdo od nich nakupuje. Často prodávají třeba jen bezpečnostním složkám či v EU.
V roce 2015 ovšem vyšlo najevo, že Česká policie obchoduje i s podstatně problematičtějšími firmami. Tehdy na internet unikly důvěrné materiály italské společnosti Hacking Team. Ta nabízela rovnou viry, kterými mohla konkrétní bezpečnostní složka či jednotlivec napadnout počítače či telefony na dálku. A své služby poskytovala i represivním režimům, které tak mohly sledovat disidenty.
Z uniklého účetnictví a e-mailů Hacking Team, které dosud jsou na serveru Wikileaks, přitom plyne, že u Italů speciální viry nakupoval za miliony i Útvar zvláštních činností, který spadá pod policii.
Policie své metody nekomentuje. „Útvar používá různé prostředky, které dokážou zjistit informace nutné pro trestní řízení. Jedná se i o speciální software, který na základě povolení soudce umožňuje prolomení soukromí,“komentoval to tehdy jen obecně David Schön z policejního prezidia. Zbytek podle něj podléhá utajení, stejně jako informace o takových zakázkách.