Petr Špiřík je zodpovědný za kybernetickou bezpečnost mezinárodní technologické firmy SUSE, která vyvíjí mimo jiné operační systém na bázi Linuxu a poskytuje ho zákazníkům na celém světě. „Asi bych neuměl zabránit tomu, aby Pegasem kompromitovali můj mobil. Ale uměl bych najít způsob komunikace, aby to nevadilo,“ říká v rozhovoru o bezpečí v kyberprostoru, o NSO Group a o zneužití softwaru Pegasus ke sledování nepohodlných lidí.
Globální novinářský Projekt Pegasus analyzoval, o koho se zajímaly vlády zemí, které si u izraelské firmy NSO Group objednaly služby softwaru Pegasus. Ten dokáže nepozorovaně napadnout mobil, vysát citlivá data, číst konverzaci nebo zapnout mikrofon a kameru. Znáte Pegasus?
Ano, není to nic zásadně nového. O té firmě je už pár let veřejně známo, že se podobným věcem věnuje.
Je takový software výjimečný?
Je zajímavý technologicky. Nefunguje totiž tak, že byste někomu dali svůj mobil a nechali ho tam něco nainstalovat nebo byste si z obchodu stáhli aplikaci a ta by váš mobil dostala pod kontrolu – třeba svítilnu či kalkulačku, které ve skutečnosti mají nějaké další funkce, třeba zaznamenávat vaše klávesy či hesla a posílat je „domů“. To je vir, jenom se tváří jako například kalkulačka. To nic odborně zajímavého není, děje se to dnes a denně.
U firmy NSO Group je ale zajímavé to, že dělá vlastní bezpečnostní výzkum takzvané zranitelnosti, doslova „zranitelnosti nultého dne“ (zero day exploit, pozn. red). Vyhledávají a nacházejí zranitelnosti, o nichž často neví ani samotný výrobce telefonu. Skrze ně pak útočí přímo na konkrétní zařízení. Někdy v součinnosti s uživatelem, kterého přimějí na něco kliknout. Nebo i bez něj – uživatel jen zabrousí na nějaké webové stránky, které jsou jimi připravené jako návnada. Přes ně ho napadnou a infikují mu telefon, to je technologicky daleko zajímavější.
Je tedy Pegasus jedinečný?
Jedinečný určitě ne, zároveň ale takových softwarů nejsou tuny. Investovat do adekvátního výzkumu je hodně náročné na lidi. Potřebujete jich mít docela dost a musejí být docela dobří, vlastně hodně dobří. Lepší než vývojáři a sekuriťáci výrobců mobilů. Nebo musíte mít hodně peněz, abyste ty zranitelnosti mohli koupit. Cena takové zranitelnosti – na černém nebo šedém trhu – může jít klidně do milionů dolarů. Není to úplně hlavní oblast mého zájmu, ale z toho, co vím, je firma NSO Group a její Pegasus asi nejlepší na světě, tedy z těch veřejných komerčních softwarů, rozhodně je nejznámější. Možná, že vlády vyvíjejí nějaký vlastní software, ale o tom pochopitelně nevím.
NSO Group tvrdí, že software je určený pro boj s kriminalitou a terorismem. Analýza nahrávek z více než 50 000 telefonů ve zhruba 50 zemích ale ukázala, že organizovaný zločin byl cílem jenom v části případů. Většinou se vládní klienti zajímali o politické oponenty, aktivisty, nezávislé novináře, prostě lidi, kteří jim byli z nějakého důvodu nepohodlní. Potřebujeme takové softwary pro boj s organizovaným zločinem i za cenu jejich možného zneužití? Nebo je to nekorektní úvaha?
Není, ale myslím, že míří špatným směrem. Produkt NSO Group je pouze nástroj. Jádro úvahy zní: Chceme, aby stát neboli ten, kdo typicky používá takový nástroj, měl možnost nasadit odposlech? V principu Pegasus není nic jiného. Je sice sofistikovanější, obchází nějaké ochrany, ale v principu umožňuje tomu, kdo ho má k dispozici, nasadit odposlech. Proto se vnucuje další otázka: jakým způsobem je kontrolováno, že firma NSO Group skutečně prodává Pegasus pouze státním aktérům, kteří mají legální možnost odposlech nasadit, a neprodává jej také na černém trhu.
Jak se ale ukázalo, některé státy Pegasus zneužily. Lze tomu nějak zabránit?
To není chyba toho produktu, softwaru, ale státu, je to jeho systémové selhání. Z mého pohledu se mu dá bránit úplně stejně, jako při zneužívání jiných možností špehování, jež má stát k dispozici. Po zemi, v níž žiji, chci, aby neumožnila policistům či zpravodajským službám jen tak mírnix týrnix nakráčet k mému poskytovateli internetu nebo mobilního telefonu a chtít můj odposlech. Aby tam byl nějaký proces, důvod sledování, jeho schválení a zpětná kontrola, že důvod i samotné sledování byly v pořádku. To bych považoval za demokratické minimum své ochrany. Pokud taková ochrana nefunguje, není to problém toho produktu, ale státu, aktéra, který software zneužil.
Tím se ale znovu dostáváme k původní otázce. Chceme, aby státy měly k dispozici takové nástroje i za cenu jejich zneužití?
To je hrozně důležitá otázka. Myslím, že za určitých podmínek je to užitečné a nezbytné. A periodicky se rovněž vrací myšlenka některých států, že by měly mít možnost takový odposlech dělat samy, kdykoli, včetně šifrované komunikace. Zrovna teď je v Bruselu návrh, který chce – v rámci boje proti dětské pornografii, jestli se nepletu – zavést v Evropské unii povinnost pro technologické platformy ve smyslu umožňování státním složkám odposlouchávat a číst jakoukoli komunikaci, kterou přes ně lidi dělají, pokud nastane nějaké takové podezření.
Státy to chtějí proto, aby nebyly závislé na komerčním produktu, jakým je Pegasus, aby ho nemusely kupovat. Zároveň to ale zvyšuje zranitelnost všech lidí. Jakmile je totiž platforma jednou učiněná zranitelnou kvůli možnosti systematického odposlechu, tak je pro jakoukoli firmu typu NSO Group či její ilegální variantu daleko jednodušší odposlech realizovat. Kdyby takový zákon prošel, kromě neznámých zranitelností, jež musí hledat, aby byla úspěšná, se firma jako NSO Group může navíc zaměřit na zranitelnosti v tom, jak se dostat k zákonem nařízenému přístupu pro státní složky. Pro mě by byl takový zákon už za legitimní hranou, neboť by se tím vytvořil prostor pro preventivní sledování, nikoli pro sledování až na základě určitého důvodu.
Co vám vadí na preventivním sledování?
Je škodlivé, mylně proti sobě staví bezpečí a soukromí. Postavit tyto dva principy proti sobě je falešné dilema, zneužívané k tomu, abych prosazoval nebezpečné prvky. Bojím se, že možnost preventivního sledování ale může projít. Taková debata je vždy zarámovaná bojem proti terorismu nebo proti dětskému pornu, což jsou dva evergreeny. Pro politiky je těžké být proti, hrozí jim pak nálepka – vy tedy hájíte dětské porno?
Kdyby státy prosadily snazší cestu ke sledování lidí, bude to konec soukromých softwarů, jako je Pegasus? Nebo by to naopak vedlo k jejich rozkvětu?
Zjednodušilo by jim to existenci, takže by jich zřejmě přibylo. Zároveň by zůstal trh těch špičkových, protože ne všechny platformy by byly v záběru, ne všechny by se asi podvolily. Také by to povzbudilo systémovou korupci, přístup k podobným možnostem by získalo víc policistů a zpravodajců a někteří by mohli být ochotni vyjít vstříc poptávce a pro někoho zjišťovat, co dělá jeho politický nebo ekonomický konkurent, kdo mu chodí za manželkou…
V principu jsou dvě cesty, jak to zvrátit. První je politická: jsou strany, u nás hlavně Piráti, které říkají, že to není dobrý nápad – za takové zvýšení bezpečnosti zaplatíme výrazným redukováním důvěry a soukromí, a v důsledku toho vlastně snížením bezpečnosti. Druhá je technologická, té věřím já, je možné se tomu bránit, na úrovni platforem, programů, jiných technologií. Vést vyrovnanou až vítěznou válku. Když vím, že veškerá moje konverzace je monitorovatelná policií a mám seznam platforem, které to umožňují, používat je nebudu. Budu používat jiné, které bezpečnostní slabinu nemají.
Jak se dá zjistit, které platformy mají bezpečnostní slabinu?
Zjednodušeně řečeno jde o služby, na které Evropská unie dokáže dosáhnout, kde to dokáže vynutit. Tedy takové, které spadají pod její jurisdikci, jsou dostatečně velké a sledování umožňují technologicky zavést. Jde o velké téma, které by nevyhnutelně opravdu velké hráče přimělo vyjádřit se. Říci, zda podporují a zavádějí opatření, aby byli v souladu s evropským nařízením, nebo zda s ním naopak nesouhlasí a budou se bránit soudně. Případně říci, že jejich technologie nic takového neumožňuje. To je případ komunikátorů založených na takzvané end-to-end enkrypci čili šifrování, které zaručí právě to, že mezi dva komunikující se nemůže vložit nikdo třetí. Dobrým příkladem je třeba platforma Signal. Navíc je open source a zdrojový kód je k dispozici všem na internetu a případné „obohacení“ o sledovací podprogram či funkci je tak možné odhalit.
Sledovaný novinář Panyi: Postavili mě na stejnou úroveň jako nebezpečného zločince
Nebo můžu chodit na schůzky bez mobilu?
To je úplně legitimní nápad. Možná to přispěje k tomu, že lidé přestanou spoléhat na zabezpečení svého mobilu, a to se týká jak kriminálních živlů, tak lidí, kteří třeba dělají investigativní žurnalistiku. Prostě si řeknou, dobře, budeme se setkávat osobně a psát si věci na papír.
Podstatné je, že každý sledovací nástroj, ať už je to produkt jako Pegasus, nebo zákonné zachycení komunikace, o kterém diskutuje Evropská unie, může být sám napaden, být cílem útoku. Na což také existuje precedent – v roce 2015 byla hacknutá italská komerční firma Hacking Team. Nabízela vládám, že pro ně bude dělat ofenzivní bezpečnost, jinými slovy hackovat jejich cíle na zakázku. Měli na to nástroj, podobný jako Pegasus, byl to stejný byznys model. Jejich materiály se ale dostaly ven na internet, každý si mohl přečíst, kdo jsou zákazníci, kolik zaplatili za služby. Vyšlo najevo, že od Hacking Teamu nakupovala i česká policie, konkrétně Útvar zvláštních činností.
Myslíte, že se spyware Pegasus používal také v Česku?
O tom, úplně upřímně, nic nevím.
Co se o tom ve zdejší bezpečnostní komunitě vlastně ví?
Myslím, že přímo o používání spíš málo. Protože by to mělo být používané jen policií, zpravodajskými službami nebo někým podobným a ti by o tom nasazení neměli mluvit. V komerčním světě by se to nemělo objevit, a pokud by to nějaká komerční firma měla, tak ví, že je to proti podmínkám použití, a mluvit o tom taky nebude.
Je možné, že by také v Česku došlo ke zneužití Pegasu?
To je citlivá otázka, ale v principu je to možné podobně jako v jiných zemích. Nemělo by se to stávat, stejně jako by neměly být zneužívané či nadužívané odposlechy. Ale zda se to opravdu děje nebo neděje, k tomu nemám žádné informace.
V roce 2015, když byla hacknutá italská firma Hacking Team, vyšlo najevo, že jejím zákazníkem byla česká policie, Útvar zvláštních činností. Ví se, jaké informace policie sháněla a jak s nimi naložila?
V době, kdy byl Hacking Team hacknutý, unikly všechny jejich informace na internet, bylo to volně ke stažení a každý, koho to zajímalo, se tím mohl prohrabat. Byla tam spousta balastu, ale daly se najít také záznamy, co s tím kdo dělal. Z toho bylo vidět, že ten český útvar měl vůbec problém to spustit, že to neuměl moc používat.
A umí se vůbec česká policie v kybernetickém terénu pohybovat, pracovat s takto získanými daty?
Úplně bych je nepodceňoval. Komerčním zájmem firem jako NSO Group nebo Hacking Team zároveň je, aby jejich produkt uměl používat průměrný zaměstnanec policie či rozvědky. Budou se snažit, aby to bylo snadno použitelné, a mají support team, který pomůže. Odtud je ostatně záznam, jak Hacking Teamu píší čeští lidé, že jim to nejde spustit, nefunguje to, jak by čekali, co mají dělat.
Takže jsme se díky hacknutí Hacking Teamu o české policii nedozvěděli, koho chtěla sledovat, ale že měla problém software spustit?
To je taková spíš anekdota. Dozvěděli jsme se, že český stát měl koupené služby Hacking Teamu, přes koho je měl koupené a že to minimálně zkoušel aktivně využívat.
Není to obrovské selhání, že z firmy jako NSO Group, která spravuje tolik citlivých dat, nakonec data uniknou?
Je to složitější. V reálném světě probíhá závod mezi obranou a útokem. Právě obrana je můj obor. Od některých mých kolegů přitom často slýchávám, že se to nedá vyhrát, že útočník vždy dosáhne svého. Myslím si, že to není pravda, souboj je daleko vyrovnanější. Někdy se ubráníte a jindy je úspěšný útočník. V tom případě pak jde o to, jak rychle si ho všimnete, jak brzy se ho zbavíte neboli jestli je to dřív, než napáchá škody, nebo až potom. Každopádně jde o dění, které je součástí tohoto průmyslu. Samozřejmě čím důležitější a senzitivnější data zpracovávám, tím víc bych měl investovat do své obrany, být těžším cílem pro útočníka. Ale obrana není nikdy stoprocentní.
Je problém, že je NSO Group soukromá firma?
Občas se objevují snahy zakázat soukromým firmám bezpečnostní výzkum, udělat ho ilegální. Z mého pohledu jsou tyto snahy neprozřetelné. Znemožněn nebo zatlačen do ilegality by v tu chvíli byl i pozitivní bezpečnostní výzkum a to asi nechceme. Výzkum by pak dělaly jen státy a organizovaný zločin. Soukromá firma se řídí zákony země, ve které existuje, v případě NSO Group je to Izrael, proto si nedovedu představit, že by prodávali takové nástroje každému, kdo jde zrovna kolem.
To, že někdo její nástroj zneužil, není odpovědnost a selhání firmy?
Pokud – a to je velké pokud – ta firma skutečně dělá, co říká, opravdu prodává jen legitimním nákupcům, státům nebo jejich zpravodajským a policejním složkám, tak to není její selhání. Nic dramaticky problematického tam není. Kauzu sleduji docela detailně a myslím si, že by se šetření mělo zaostřit na kontrolu těch, kdo nástroj používají, tam docházelo ke zneužívání.
Firma NSO neprodávala software, ale službu – „útok spywarem Pegasus“. Státy dodávaly mobilní čísla „cílů“, jejichž telefony měly být vyhackovány. Neměla si tedy firma NSO Group udělat – a zejména u notoricky opresivních států jako Saúdská Arábie nebo Ázerbájdžán – aspoň základní due diligence čísel, na která bude útočit? Popřípadě reagovat, když si Maroko objednalo špehování zahraničních (francouzských) čísel? Není právě tohle na zodpovědnosti té firmy?
Zodpovědnost je silný, ale zároveň neurčitý pojem. Rozdělil bych tu otázku na legalitu a legitimitu. Jestli je v izraelském právním systému legální poskytovat podobným režimům nástroje umožňující sledování a odposlech a jestli cílový zákazník požádal o nasazení Pegasu v souladu se svými zákony, due diligence firmy NSO Group by pravděpodobně došlo k závěru, že je vše v pořádku. Legitimita neboli správnost takového počínání je jiná otázka, možná důležitější. Je v pořádku takovým režimům prodávat nástroje, které lze zneužít? To je otázka osobní etiky. Osobní proto, že firmy nemají hlavu ani srdce, firmy jsou tvořené lidmi, kteří přijímají rozhodnutí.
Kdybych já stál před takovým rozhodnutím, nejdřív bych se zeptal právníků, zda je to legální, a doufal, že řeknou ne. Mé etické dilema by nastoupilo ve chvíli, kdy by řekli, že legální to je. A neudělal bych to. Kdybych byl v pozici majitele firmy, šlo by o čistě obchodní rozhodnutí, jako zaměstnanci by mi hrozily kariérní dopady. Ale neudělal bych to. Zároveň vím, že mám luxus a privilegium rozhodovat se svobodně – že by mi nehrozila existenční tíseň.
A státy, které nástroj Pegasus zneužily, zaslouží trest?
Není to otázka odpovědnosti státu, ale odpovědnosti člověka. Zneužití chtěli a dovolili konkrétní lidé, někdo za službu zaplatil, někdo schválil, že se to nakoupí, někdo to použil, což mu zase někdo povolil. Dělali to konkrétní lidé, a pokud to šlo mimo zákonný rámec daného státu, dopustili se nelegální činnosti a měli by být proto hnáni k zodpovědnosti, postaveni před soud.
V každé firmě, kde jsem působil, jsem měl díky své pozici velmi podobné možnosti, jak monitorovat prostředí firmy, její zaměstnance. Ve zneužití nástroje mi nikdy nezabrání žádné tlačítko, ale moje svědomí. Aby se však nespoléhalo pouze na svědomí, je tu nějaký právní systém, který říká, co se smí a co nesmí. Když to poruším, následuje trest.
Dokázal byste se ubránit softwaru Pegasus?
Přemýšlel jsem o tom a nemám úplně jasnou odpověď. Řekněme, že kdybych cestoval do nějaké problematické země a na hranici by mě úředník požádal o mobil a někam s ním odešel, asi by to byl signál, že ten mobil už pro mě není důvěryhodný a při první příležitosti bych se ho zbavil. Mobil vybírám podle toho, jak firma dbá na bezpečí a soukromí uživatelů, snažím se zkrátka dělat to nejlepší, co udělat mohu. Avšak vůči zranitelnostem nultého dne, které používá Pegasus, to nemusí stačit.
Kdybych měl důvod se domnívat, že jsem součástí zájmu dejme tomu bezpečnostních složek, které by mohly mít k dispozici Pegasus, asi bych neuměl zabránit tomu, aby můj mobil kompromitovaly. Ale uměl bych najít způsob komunikace, jímž bych to obešel. Citlivé věci bych řešil mimo telekomunikační dosah, osobně a na papíře. Nebo bych si sestavil nějaké vlastní komunikační spojení.
Petr Špiřík působí jako Chief Information Security Officer / Vice President of Information Security ve firmě SUSE, mezinárodní technologické open source společnosti, která vyvíjí mimo jiné operační systém na bázi Linuxu. Předtím zastával funkci globálního bezpečnostního ředitele PricewaterhouseCoopers (PwC), mezinárodní sítě poskytující auditorské, daňové a poradenské služby. V této firmě předtím pracoval na různých pozicích, jeho úspěchem bylo, že integroval threat intelligence, řízení zranitelnosti a incident response do společného portfolia služeb poskytovaných z takzvaného Cyber Fusion Centre v Praze. Je fanouškem ochrany soukromí, moderních metod vzdělávání v oblasti informační a kybernetické bezpečnosti, zastává mezidisciplinární přístup k problematice.
Autor úvodní grafiky: OCCRP/Svetlana Tiourina
Tento text vznikl díky finanční podpoře čtenářů, jako jste vy. Přidejte se do Klubu neprůstřelných a podpořte naši práci.