Téměř kompletní obraz vašeho života, vteřinu za vteřinou. Komu jste volali, kdy a jak dlouho, jaké SMS zprávy jste napsali a obdrželi, adresy webů, které jste si prohlíželi. Tak lze v ideálním případě popsat sumu informací, kterou o vás jsou schopni zjistit nejen hackeři, ale i operátoři a poskytovatelé internetu.
“Skříňák”, jak mu jeho přátelé říkají, od začátku odmítá prozradit své pravé jméno, nejspíše ze stejných důvodů, kvůli kterým nemá ani profil na sociálních sítích a nepoužívá chytrý telefon. Aby si zachoval anonymitu alespoň v reálném světě, když už mu to ten virtuální neumožňuje. “Díky úrovni současných technologií lze o člověku vypátrat prakticky cokoli. Ale momentálně většinou ani není potřeba jakékoli osobní informace složitě zjišťovat. Lidé o sobě zcela dobrovolně všechno píšou na Facebook a ostatní sítě,” rozhořčuje se.
Není přitom ve světě Internetu a počítačových technologií žádný nováček. Pomáhal zakládat komunitu prvních poskytovatelů připojení v Česku CZFree.net a nyní pracuje jako administrátor pro menšího providera Pe3ny.net. Z vlastní zkušenosti tak ví, co všechno je možné v praxi o uživatelích zjistit. Už při podpisu smlouvy získá operátor vaše jméno, adresu i telefon. Dost často svým podpisem zákazník také souhlasí s tím, že takové údaje může operátor volně prodat třetím stranám. Především velcí operátoři pak mají ve svých smluvních podmínkách ošetřeno právo poskytovat informace o uživatelích (včetně např. informací o jejich poloze) svým partnerům.
Telefon na vás prozradí vše
“Zjistit a rozklíčovat se dá jakákoli informace, kterou uživatel po Internetu posílá. Jde jen o to, kolik práce, času a peněz tomu chce věnovat,” upozorňuje Skříňák. Hovoří přitom o pokročilých softwarových řešeních, která umožňují komukoli prolomit i šifrovanou komunikaci zdánlivě bezpečných internetových portálů, jako je například online bankovnictví. Takové praktiky jsou však velmi nákladné a využívají je spíše autoritativní až diktátorské režimy ke kontrole obyvatelstva a monitorování protivládních aktivistů. Mezi země, které nakročily k proměně ve velkého bratra, patří aktuálně například Turecko.
Možností, jak uživatele sledovat, je však více. Mezi ně patří i skryté aplikace v mobilních telefonech. Takto byly sledovány například služební telefony pracovníků Generální inspekce bezpečnostních sborů. Nainstalovaný software monitoroval veškerou komunikaci i polohu. “Pokud si svůj telefon nepostavím sám, nemůžu nikdy s jistotou vědět, jaké technologie jsou v něm spuštěné,” dodává Skříňák.
Cloudové služby přinášejí riziko
“Je naivní dělat si dnes iluzi o nějakém soukromí či bezpečnosti. Lidé jednak nejsou zvyklí používat jakékoli šifrování, a navíc je většina služeb provozována ve formě cloudu,” říká Skříňák. Právě ukládání dat na vzdálené servery je riskantní. K údajům totiž může snáze přistupovat další strana. Ať už nabouráním do zabezpečeného úložiště nebo ukládáním tzv. metadat při jejich přenosu.
“Informace o informacích”, jak lze volně přeložit termín metadata, tvoří souhrn vlastností popisujících určitý soubor či přenos dat. V případě fotografií jde například o typ přístroje, kterým byla fotografie pořízena nebo datum, čas a místo jejího vzniku. Při nahrávání souborů do cloudových služeb je také možné zaznamenávat jejich velikost, dobu trvání přenosu či názvy souborů.
Dalším nebezpečím jsou pak veškeré bezdrátové přenosy, jejichž prostřednictvím dnes již probíhá síťová komunikace ve většině domácností a firem. Internetové připojení do domu sice proudí kabelem zakončeným v síťovém rozbočovači neboli routeru, ale dále už jde vzduchem prostřednictvím wi-fi. Právě v tom tkví kámen v úrazu.
“Pokud uživatel pro připojení wi-fi nepoužívá nejvyšší úroveň šifrování v kombinaci s dlouhým heslem, mohu se do jeho počítače připojit z dodávky zaparkované pod jeho oknem během několika vteřin až minut,” upozorňuje Skříňák na rizika bezdrátových přenosů. Takto lze získat přístup do všech služeb, které uživatel využívá, včetně hesel a přístupů do internetového bankovnictví.
Papežštější než papež
Všechny výše zmíněné postupy se týkají případů, kdy se někdo snaží získat přístup k uživatelským údajům neoprávněně. Pokud se však o konkrétního uživatele zajímají státní orgány, vstupuje do hry legislativní rámec stanovující pravidla tzv. “data retention”. Jedná se o povinnost poskytovatelů internetového připojení shromažďovat určité informace o svých uživatelích po dobu šesti měsíců od vzniku takové informace.
Takzvané “provozní a lokalizační informace” jsou jasně definovány především v odvětví telekomunikací, kde zahrnují SMS zprávy, které zákazník odeslal a přijal, a informace o úspěšných a neúspěšných voláních. V rámci poskytování Internetu jde pak o IP adresu počítače uživatele a adresy stránek, ke kterým přistupoval, včetně času přístupu. Tyto údaje si následně může vyžádat nejen policie, ale také veškeré orgány činné v trestním řízení, Bezpečnostní informační služba, Vojenské zpravodajství nebo Česká národní banka. Například policie si během roku od telefonních operátorů vyžádá tato data v průměru ve sta tisících případech.
“V současné době jsme ohledně zadržování dat papežštější než papež,” rozčiluje se Skříňák. Naráží tak na zvláštní stav, do kterého se česká legislativa týkající se Internetu dostala. Evropská unie totiž členským státům v roce 2006 nařídila archivovat provozní a lokalizační údaje (tedy zmíněná metadata) o uživatelích Internetu. Česko toto již v praxi provozovalo dříve podle vlastního zákona o elektronických komunikacích. Nicméně aktuální verdikt Soudního dvora EU z dubna 2014 příslušnou směrnici zneplatnil – s ohledem na právo na soukromí obyvatel států Evropské unie.
Tím však vznikla zajímavá situace, kdy nejprve jednotlivým státům EU centrálně nařídila směrnici zavést, aby pak tuto povinnost zrušila. Tímto nařízením však státům nevznikla povinnost data retention přestat provozovat. V tomto stádiu ponechala věci i česká legislativa. V Česku je tedy povinnost metadata archivovat dána zákony českými, nikoli evropskými, které tuto praxi už opouštějí.
Informace nejsou zadarmo
O to paradoxněji pak vyznívá aktuální pobídkový systém, který má pomoci poskytovatelům připojení data retention zavést prostřednictvím soukromých firem. “Nás oslovila společnost ComSource. Přišla s nabídkou na dodávku serverů, které nám umožní archivovat uživatelská data tak, abychom splnili vyhláškou danou povinnost. Dodaný hardware jí sice budeme postupně splácet, ale zároveň tyto finance čerpáme od ministerstva vnitra. To nám tedy servery v podstatě proplatí,” popisuje Skříňák.
Tato nabídka reflektuje situaci, v jaké se momentálně nachází především menší poskytovatelé Internetu v Česku. Pokud je policie osloví s požadavkem na údaje o aktivitě určitého uživatele, zpravidla neuspěje. Jednoduše proto, že takový provider nemá infrastrukturu, která by mu umožňovala poskytnout dostatečně konkrétní informace. To by se teď mělo změnit díky individuálním projektům firem, jako je ComSource. Celková suma nákladů na vybavení je evidována v případě telefonních operátorů, kde se jedná přibližně o sto až sto padesát milionů korun ročně.
Zda provideři údaje o uživatelích poskytnou, závisí překvapivě také na tom, kolik je policie za tyto informace ochotná zaplatit. Ačkoli zákon nařizuje poskytovatelům povinnost vyjít vyšetřovatelům vstříc, mohou si za tuto službu nárokovat od žadatele náležitou kompenzaci za čas strávený dohledáváním informací. Velcí telefonní operátoři si takto nechají ročně proplatit náklady pohybující se mezi dvaceti a čtyřiceti miliony korun. Menší poskytovatelé připojení k internetu však s policií většinou dohadují předání údajů individuálně dle konkrétního případu. Díky tomu překvapivě nabízejí svým zákazníkům větší anonymitu. “My jsme zatím vždy dospěli do bodu, kdy jsme policii řekli, kolik budeme za poskytnutí údajů chtít, načež se nám od nich už nikdo neozval,” dodává s úsměvem Skříňák.