Policie dostala svolení na dálku kontrolovat počítače občanů

Podle rozhodnutí Rady Evropské unie mohou policejní složky útočit na osobní počítače občanů. Zelenou pro tzv. „prohledávání na dálku“ teď sice dostala britská policie, ale jedná se i o povolení na úrovni celé Evropské unie.

Policie i tajné služby na území Spojeného království mohou napadnout počítače podezřelých osob i bez povolení soudu. Tak zní rozhodnutí Rady Evropské Unie. Požadavek k tomuto úkonu vzešel z britského ministerstva vnitra, které teď čelí velké kritice kvůli možnému narušování soukromí nevinných lidí. Úřady se navíc snaží o to, aby policie dostala povolení počítače prohledávat i z dalších členských států Unie. Mezi prvními, kdo na problematiku upozornil, byl britský server The Indenpendent.

Policejní hackování

„Hackování“ (zde jde ale o crackování, ale používejme i nadále „zdomácnělý“ pojem hackování) počítačů podezřelých osob není v dnešní době ničím novým. Rozvoj technologií a nástup závažné trestné činnosti do oblasti kyberprostoru si určité obranné kroky policie žádá. Ta se nařčení z porušování soukromí lidí kybersledováním brání slovy, že prohledávání obsahu počítače na dálku vede často k úspěšným vyšetřením případů závažných trestních činností a že díky němu se daří například rozbíjet sítě pedofilů.

Doposud však k hackování počítačů podezřelých osob vyšetřovatelé museli mít povolení soudu ― z tohoto důvodu tak případů prohledávání na dálku nebylo moc. Různé organizace se teď ale bojí toho, že v důsledku zavedených změn, kdy ke sledování není potřeba rozhodnutí soudu, kybersledování zažije velký rozmach a že nebude nikým regulováno.

E-mail, podstrčená webová stránka, odposlech WiFi

Otázka, která lidi zajímá asi nejvíce, zní: „Jak policie dosáhne toho, že se podezřelým osobám připojí do počítače?“.

Při debatách o zabezpečení počítačů a ochraně dat se vždycky zákonitě dojde k bodu, jehož předmětem je sám uživatel. Ten je totiž skoro ve všech případech tím nejslabším článkem. Většina uživatelů osobních počítačů je nezkušených; stahování neznámých instalačních souborů, instalace všemožných programů, otevírání e-mailových příloh, neopatrný pohyb na webu, otevírání neznámých webových adres v těle e-mailové či instantních zprávy… To vše je známým rysem chování nezkušených uživatelů počítačů.

A právě tohoto zneužívají různí záškodní útočníci k proniknutí do systémů, kdy od obětí získávají hesla k různým účtům, čísla platebních karet aj. A tyto tzv. sociotechniky, jimiž útočníci klamou své oběti, používají i vyšetřovatelé k „prohlídce na dálku“.

Vyšetřovatelé podezřelou osobu mohou proklepnout stejnými způsoby. Nejsnazší je cesta přes elektronickou poštu. Podezřelému odešlou e-mail a připojí k němu program, který se po spuštění usídlí v počítači a začne pracovat.  (O takovýchto programech se obecně hovoří jako o malwaru ― z anglického spojení malicious software, škodlivý software ―, ale malwaru pro policejní účely se spíše říká „policeware“). Alternativní způsob, jak podezřelou osobu donutit k nevědomé spolupráci, je v e-mailu poslat odkaz na webovou stránku, která jen na oko vypadá jako stejně tematicky zaměřená stránka, jaké podezřelý navštěvuje (jedná-li se o podezřelého pedofila, podstrčenou stránkou může být „jakoby web s tématem dětské pornografie“, ze kterého si program vlastně dobrovolně stáhne sám, byť si myslí, že jde o nějaký užitečný/nutný nástroj pro komunikaci s webovou stránkou).

Mezi nejčastější funkce sledovacího softwaru patří monitorování pohybu podezřelého a jeho činnosti na webu (zda například nenavštěvuje takové webové stránky, které porušují platné zákony, co na nich dělá, s kým komunikuje, co na ně/přes ně odesílá a stahuje apod.) nebo kontrola e-mailové komunikace (obsah zpráv, kontakty, přílohy).

Komplexnější sledování pak spočívá v instalaci tzv. keyloggeru, programu, který sleduje všechny stisknuté klávesy. To znamená, že vyšetřovatelé vědí o všem, co podezřelý na svém počítači píše (dokumenty, e-maily, webové adresy, chaty, …). Získaná data pak odesílá na servery vyšetřovatelů, kteří je analyzují.

Mezi další funkce podstrčených programů patří samozřejmě kontrola obsahu disku, kdy program prozkoumává obsah dokumentů, vyhledává klíčová slova, nebo podezřelé názvy videosouborů apod. Policie k průniku do systému údajně často využívá i dnes velice rozšířené nezabezpečené bezdrátové sítí.

Lidé navíc často nevědomky v domácí síti sdílejí dokumenty a není-li opravdu taková bezdrátová síť zabezpečena, nebo je-li zabezpečena slabě, pro policii není žádný velký problém se k obsahu pevného disku podezřelých osob dostat.

Soud nic nemusí schvalovat. Povolení po celé EU?

Povolení k prohledávání počítačů a sledování podezřelých v kyberprostoru nemusí vydávat soud, ale stačí, když s akcí souhlasí vrchní policejní komisař. Jak deník The Independent upozorňuje, evropští ministři se v prosinci v zásadě shodli, že kontroly počítačů podezřelých osob povolí napříč celou Evropskou unií. Podrobnosti návrhu ještě nejsou známy a britské ministerstvo vnitra s ministry Evropské unie na celém dokumentu stále pracuje.

Různé organizace zaměřené na lidská práva před praktikami policejních složek varují. Například britská organizace Liberty (známá i jako Národní rada za svobodu občanů) upozorňuje, že neexistuje žádný regulátor těchto kybernetických sledování a že rozhodnutí o prohlídkách počítačů na dálku by pořád mělo být v rukou soudu. „Prakticky neexistuje rozdíl mezi sledování na dálku a tím, že vám někdo vyrazí dveře, prohrabe vaše dokumenty a odnese pevný disk počítače,“ zní z vedení této organizace.

Mezi lety 2007 a 2008 se britská policie nabourala do počítačů podezřelých osob v Anglii, Walesu a Severním Irsku celkem 194krát. Z toho 133 případů se týkalo domácích počítačů, 37 průniků proběhlo ve firmách a 24 v hotelových pokojích.

Zdroj:  http://www.youtube.com/user/GrahamHancockDotCom?feature=watch#p/u/0/X4k8pdJ2so4

Francie chce přístup k heslům. Je jejich hashování ilegální?

Francie po provozovatelích internetových služeb žádá, aby úřadům umožnili přístup k osobním datům uživatelů – jde o celá jména, poštovní adresy, telefonní čísla, ale také hesla.

V minulém týdnu jsme v Česku zažili malou radost — to když Ústavní soud došel k závěru, že jedno z ustanovení zákona z roku 2005 o elektronických komunikacích je protiústavní.

Šlo o ustanovení § 97 odst. 3 a odst. 4 zákona o elektronických komunikacích a jeho prováděcí vyhlášku — na jeho základě měli operátoři zákonem nařízeno ukládat data o telekomunikacích, tj. informace o volání, prozvoňování, SMSkách, pohybu na internetu apod.

Informace sloužily policii a tajným službám. Ze zákona bylo dáno, že operátoři data o telekomunikačním pohybu lidí měli archivovat po dobu minimálně půl roku, maximálně však jednoho roku. Samozřejmě, že rozhodnutí Ústavního soudu přivítala řada lidí, téma se dostalo snad do všech českých ICT magazínů. Zmíněné ustanovení bylo soudem zrušeno. Co však dále budou operátoři dělat, se teprve uvidí.

„Ústavní soud seznal, že napadená právní úprava porušuje ústavněprávní limity, neboť nesplňuje požadavky plynoucí z principu právního státu a je v kolizi s požadavky na omezení základního práva na soukromí v podobě práva na informační sebeurčení ve smyslu čl. 10 odst. 3 a čl. 13 Listiny, které plynou z principu proporcionality.“

Tolik diskutované ustanovení z roku 2005 bylo jedním z projevů současného potírání „anonymity“ na internetu a v oblasti telekomunikací obecně. Na světě jsou data o uživatelích ukládána podobně. Stejně tak ve snaze potírat telekomunikační anonymitu v některých státech existují snahy o zrušení anonymních předplacených SIM karet (jež by podle některých měly být registrovány na jméno – zmiňovaným důvodem je to, že zločinci, teroristé a další „znělé“ skupiny je používají k organizování svých akcí).

Baštou až absurdních regulací telekomunikačních podmínek je bezesporu Francie. Čtenáři patrně znají tamní zákon v duchu „třikrát a dost“. Ten byl upleten jako bič na „piráty“, tedy uživatele, kteří svým chováním na internetu porušují autorský zákon. Například tím, že stahují/sdílejí autorsky chráněný obsah ve formě audiovizuálních nahrávek nebo komerčního softwaru (jejichž licence v těchto případech šíření materiálu neumožňují). Telekomunikační operátor musí uživatele, kteří se porušování zákonu dopouštějí, o jejich chování informovat a varovat (resp. úřadu poskytovat o uživatelích příslušné údaje). Proviní-li se uživatel v tomto směru třikrát, je z celosvětové sítě odpojen. Francouzský zákon HADOPI je i dnes často diskutovaným tématem — jenomže i přes soudní řízení se nakonec do francouzské legislativy dostal a počínaje rokem 2010 začal platit. Jedním z největších problémů HADOPI je, že o vině uživatele nerozhoduje soud, ale jiná autorita, v tomto případě stejnojmenný úřad. Vlastně nejde ani přímo řešit se sdílením IP adres, WiFi sítí a jiných technologických otázek.

Francie se svou legislativou dostala na přední stránky magazínů i v těchto dnech — důvodem je další zákonný požadavek, který nelze nazvat jinak než absurdním: totiž provozovatelé stránek mají na požádání úřadům (nejen policii) předávat o lidech veškeré dostupné informace. Taková data zahrnují celá jména, poštovní adresy, telefonní čísla a hesla k účtům. Zejména poslední požadavek na hesla je dost peprný, protože jak některá média upozorňují, de facto to znamená zákaz hashování hesel, tj. převod textových řetězců do číselné podoby na základě matematické funkce. Hashování samozřejmě má za cíl zvýšit bezpečnost uživatelů, protože i když někdo získá přístup k databázi s uživatelským jménem a heslem, heslo samotné není pro útočníka hned čitelné. I když získanou posloupnost čísel zadá do přihlašovacího pole, systém jej na webovou službu (nebo kamkoli jinde) nepřihlásí.

Nevím, nakolik jsou prohlášení některých magazínů o zákazu hashování hysterická — mně osobně v posouzení brání to, že přesné znění zákona a jeho výklad neznám. Nicméně proti zákonu se ozvala řada významných společností provozující známé webové služby, namátkou Facebook, Google nebo eBay. Celkem se pak do legislativního požadavku opřelo více než dvacet společností.

Uchovávání zmíněných uživatelských dat se samozřejmě týká mnoha webových služeb, od e-mailových schránek, přes různé komunitní weby až po tak masově využívané společnské weby, jako je Facebook. Jak píše například britská BBC, přístup k uživatelský datům má kromě policie mít třeba i daňový úřad. Nejen ve Francii se ale ozývají pochopitelně hlasy, že ukládání a zpřístupnění takových údajů představuje vážný zásah do soukromí uživatelů a samozřejmě je vystavuje určité hrozbě.

Paradoxem je, že řada států — a to včetně Francie — si vyšlápla na Facebook i Google právě kvůli tomu, že firmy samy osobní data uživatelů pro své účely ukládají. Ve Francii naposledy šlo třeba o případ s narušením soukromí lidí Googlem v rámci služby Street View. Francouzský úřad CNIL (Commission nationale de l’informatique et des libertés) Googlu sám udělil pokutu ve výši 100 tisíc eur (2,5 milionu korun).

Oldřich Klimánek, Scinet.cz pro DSL.cz

Podle připravovaného zákona bude mít stát možnost vypnout internet

I v České republice se začíná stát zaměřovat na boj proti kyberterorismu. Stále v boji s virtuálními útoky Česko zaostává například za Estonskem, kde mají vlastní dobrovolnickou kyberarmádu, ale přesto se u nás zostří boj proti hackerům a internetovým teroristům, informuje iDnes.cz.

Autor: Martin Kovář

Popisek: Počítač, internet, klávesnice. Ilustrační foto.

Věcný záměr zákona o kybernetické bezpečnosti, který připravil Národní bezpečnostní úřad počítá s ochranou klíčových podniků a hodlá zavést i možnost, že v takzvaném stavu nebezpečí bude možné internet odpojit.

Toto opatření bude ovšem podle ředitele NBÚ Dušana Navrátila uplatněno jen výjimečně v případě masivního útoku na životně důležité komponenty komunikační a informační infrastruktury.

Spíše, než s touto vyhrocenou situací se tak lidé setkají s preventivními opatřeními. „Občané budou mít možnost získávat informace o aktuálních kybernetických hrozbách, virech a doporučených postupech pro zajištění bezpečnosti svých počítačů a počítačových sítí,“ popisuje Dušan Navrátil.

Proti hackerům bude bojovat nově zřízené Národní centrum kybernetické bezpečnosti (NCKB), o jehož vzniku rozhodla vláda už loni. Jeho hlavním úkolem pak bude komunikace s veřejností.

Centrum by mělo zajistit větší osvětu a vysvětlit lidem, jak se internetovým útokům bránit, jak jim předejít a obecně jaké jsou zásady kybernetické bezpečnosti v 21. století. Součástí národního centra má dále být i takzvaný vládní CERT (Computer Emergency Response Team), který bude koordinovat činnost při útocích hackerů. Bude i v kontaktu s podobnými, už existujícími, týmy v nestátním sektoru a v zahranič

Zdroj:   http://www.youtube.com/user/GrahamHancockDotCom?feature=watch#p/u/0/X4k8pdJ2so4

í.