Pegasus, Predator nebo Formbook. To je jen zlomek špionážních softwarů neboli spywarů, jež dokáží získat z počítače nebo telefonu uživatelova data a bez jeho souhlasu je přeposílat. Tyto programy se používají proti aktérům organizovaného zločinu, jak se ale ukázalo, některé vlády je zneužily například i proti novinářům nebo proti svým odpůrcům. Přinášíme rozhovor s Jakubem Drmolou, odborníkem na kyberbezpečnost a spywary, který působí jako odborný asistent katedry politologie na Masarykově univerzitě.
Jakub Drmola
Od roku 2017 působí jako odborný asistent na katedře politologie Masarykovy univerzity. Předtím studoval bezpečnostní a strategická studia, politologii a informatiku. Zaměřuje se na kyberprostor, moderní technologie a bezpečnost, terorismus, systémovou dynamiku a další.
V poslední době stále někde čteme, že se objevil nový spyware nebo že ho nějaký stát použil proti novinářům či aktivistům. Přibývá rizik spojených s těmito softwary, nebo se o tom jen více informuje?
Osobně nemám dojem, že bychom spywarům čelili víc než v minulosti. Ten trend trvá už docela dlouho. Momentálně jen na ně zaměřujeme víc pozornosti. Samotný spyware je s námi už od devadesátých let. Je to velký problém a současně dlouhodobá věc.
Evropská federace novinářů zveřejnila otevřený dopis, v němž vyzývá europoslance k úplnému zákazu používání špionážního softwaru proti novinářům. Měly by být tyto programy takto regulovány?
Aktivita zmíněné federace je pěkná a inspirativní, ale neřekl bych, že je to reálné vzhledem k tomu, jak populární nástroj je spyware, který vlády i jiné subjekty používají v rámci řešení kriminality, boje proti terorismu, ale i proti novinářům nebo disidentům. Bylo by hezké, kdyby to prošlo. Problém je ale v tom, že spyware je dost široký a nejednoznačný pojem.
Dá se alespoň obecně nějak definovat?
Pokud to vezmeme obecně, tak je to malware, který bez explicitního souhlasu uživatele z jeho přístroje odesílá někam data. Do toho spadá extrémní množství všeho možného a ze strany vlád různých zemí to nemusí působit vyloženě špionážně, tedy v tom smyslu, jak to napsali ti novináři.
Co ještě kromě takových nástrojů může pod pojem spyware spadat?
V rámci širší uživatelské komunity například nějaký software, který si záměrně nainstalujete třeba na vypalování CD. Aniž byste to věděla, může o vás někam odesílat informace. Takto funguje velké množství aplikací, které vyžadují povolení ke sledování. Jenomže lidi o tom většinou nepřemýšlejí. Nevědí, že když si nainstalují aplikaci, aby měli dvouprocentní slevu na boty, může taková aplikace sledovat jejich pohyb nebo zjistit, jaké mají kontakty. To je další spektrum spywarů, přičemž mezi těmito dvěma póly existují i jiné nástroje. Pro většinu populace je ale větší hrozbou spíš kyberkriminalita, u níž jde útočníkům o peníze, než politicky motivovaný spyware.
Zaměřme se nyní na spywary typu Pegasus. Proč není tak jednoduché je regulovat?
Protože nemůžete oddělit fakt, že tento nástroj lze použít jak proti novinářům a politickým oponentům, tak proti teroristům. Může jít o ten samý nástroj a může být nasazen stejnými vládami.
Česko chce v tomto ohledu volnější pravidla, což místopředsedkyně Evropské komise a evropská komisařka pro hodnoty a transparentnost Věra Jourová obhajuje tím, že se pod štítkem „novináři“ mohou skrývat špioni či žločinci – co si o tom myslíte?
Můžou se klidně vydávat za novináře, proč by také nemohli. Jak se vlastně dá rozlišit, kdo je a není novinář? Nějakou průkazkou či certifikací? Nebo je poznáte podle toho, že jsou uvedeni na nějaké stránce nebo že mají svůj blog? Existuje velký prostor pro to, aby se někdo vydával za novináře. Některé zpravodajské služby západního typu mají etický kodex, v němž tvrdí, že se nebudou vydávat za určité profese – třeba právě za novináře, náboženské funkcionáře nebo zdravotníky. Samozřejmě to můžou deklarovat, otázka ale je, zda jim věřit, a pokud ano, tak zda věřit všem. Když někdo využívá například diplomatického krytí, tak proč ne toho novinářského.
Vlastní podle vás některá česká instituce spyware?
Myslím, že na seznamech států, které mají spyware Pegasus, se Česká republika neobjevila. Ale to neznamená, že ho nemá. Nelze to potvrdit ani vyloučit. Ostatně vlastnění tohoto spywaru by nebylo nijak šokující. Dřív se v tomto smyslu mluvilo o jiných podobných nástrojích. Považoval bych téměř za jisté, že nějaké se u nás používají. Bylo by divné, kdyby ne.
Pegasus je poměrně známý, v poslední době se o něm hodně mluvilo i psalo. Jak fungují další – například spyware Predator?
Většina těchto nástrojů funguje velice podobně. Každý z nich ale prochází různým vývojem a aktualizacemi, a to i v okamžiku, kdy se již vyskytuje ve vašem zařízení. Stejně jako se skrze něj odesílají zajímavá data na centrální servery, můžou opačnou cestou zpětně proudit různé updaty a aktualizace, aniž na něco klikáte. Může vás takto sledovat i několik let a vy o tom nevíte. Aktualizuje se ale i operační systém v zařízení, který by měl činnost spywarům komplikovat. Jenže jako reakce na tento fakt se velmi pravděpodobně brzy objeví další verze spywaru, která jejich potenciál zase obnoví. Je to jako hra na honěnou.
Který ze spywarů je nejdostupnější?
Pro běžné uživatele je nejdostupnější stalkware. Ke spywarům typu Pegasus se obyčejný člověk nedostane, protože je drahý. Stalkware používají například i rodiče na svoje děti, když chtějí zjistit, zda se třeba nestýkají s někým, s kým by neměly. Děje se i to, že ho používají zaměstnavatelé na své zaměstnance. Je to, jako kdybyste si najala nějaké soukromé očko.
Kdybych byla například podnikatelkou provádějící nelegální byznys a chtěla bych vědět, zda se o mě nezajímají třeba novináři, koupila bych si stalkware?
Asi byste si našla spíš něco mezi stalkwarem a jiným typem spywaru, který používají státy. Musel by to být nástroj, který umožní napadnout zařízení bez vědomí uživatele a bez přístupu do jeho zařízení. Při použití stalkwaru se předpokládá, že do zařízení přístup máte. Našla byste si nějakého prostředníka – nějakou firmu. Nefunguje to tak, že byste dostala CD a s ním si mohla dělat, co chcete. Navíc běžní lidé nemají technické schopnosti nutné k tomu, aby nástroj správně nasadili a řídili.
Na kolik by takový program vyšel?
Záleží na tom, jaké má mít nástroj schopnosti, kolik zařízení chcete napadnout a tak podobně.
Když vezmu do ruky telefon, v jaké zprávě na mě může číhat spyware?
V principu všude. Pegasus byl spouštěn skrze zprávu, která vám přišla s obrázkem. Ten jste si zobrazila spolu se skrytým kódem v obrázku, jež využíval zranitelnosti operačního systému hlavně na iPhonech. Což není unikátní, ale je to ta nejvyšší meta, které mohou útočníci dosáhnout, byť je technicky složitá. Útočník totiž nemusí spoléhat na součinnost oběti – jde o takzvaný zero-click exploit, při němž dojde k nakažení bez jakéhokoli klikání. Stačí se jen podívat. Dřív byly poměrně časté útoky přes flash disk. Stačilo, aby ho člověk zasunul, a jen tím, že se operační systém načetl, byl spuštěn škodlivý software.
Proč jsou telefony pro útočníky zajímavější než počítače? Co všechno se přes ně dá vlastně zjistit?
V poslední době se velká část života přesouvá od počítačů k telefonům a lze tak získat více soukromých i intimních informací. Přes telefon můžete sledovat polohu a tím pádem zjistit, s kým se napadený stýká. Vidíte jeho zprávy a bankovnictví. Nejnovější tendencí je pak zneužití různých moderních aplikací zaměřených na zdraví, takže útočník ví, jaký máte třeba puls, kdy chodíte spát, jak dlouho spíte nebo jestli máte lehký spánek – tedy zda je lehké vás probudit, nebo ne.
Existují nějaké nové trendy v obraně proti spywaru?
Je mnohem víc věcí, na které by si měl člověk dávat pozor, ale principy ochrany a technické hygieny jsou stále stejné – neklikat na podezřelé odkazy, mít vše aktualizované a neinstalovat zbytečnosti.