Asociácia bývalých spravodajských dôstojníkov spolu s Fakultou práva Paneurópskej vysokej školy v Bratislave usporiadali 6.decembra 2016 v poradí už desiate medzinárodné sympózium na tému „Spravodajské služby v zmenenom operačnom prostredí – aktuálne úlohy a problémy spravodajských služieb“. Toto sympózium je jediné verejné diskusné fórum na Slovensku, zamerané na otázky súvisiace s činnosťou spravodajských služieb. Na našej stránke postupne publikujeme referáty z tohto sympózia.
* * * * *
Pavol Draxler: Vplyv dostupnosti šifrovania na bezpečnosť občanov a štátu
Nové technológie znamenajú markantnú zmenu v živote spoločnosti, preniesli nás za posledných 20 rokov do novej, digitálnej éry. Do virtuálneho sveta sa presúva stále viac aktivít z bežného života, čo platí aj pre tie nelegálne. S tým súvisí potreba zvyšovať ochranu prenášaných a uchovávaných dát. Odtiaľ plynú aj nové výzvy pre bezpečnostný sektor a štátne zložky, ktoré sa majú venovať ochrane obyvateľstva.
Kryptoanarchizmus – šifrovanie pre každého
Zvyšovanie bezpečnosti súkromia s rozvojom kryptografie je vhodné spojiť s rokom 1988, keď Timothy C. May prvýkrát publikoval svoju víziu kryptoanarchizmu. Definoval nové usporiadanie spoločnosti cez sprístupnenie technológií a šifrovania. Malo to priniesť slobodu jednotlivcovi a štát – ako ho poznáme – mal zastarať. Vo svojom manifeste deklaroval oblasti, v ktorých dôjde k radikálnej zmene a odpútaniu od štátu. V prvom rade išlo o prístup k bezpečnej a diskrétnej komunikácii medzi ľuďmi. Ďalšie oblasti predstavovali slobodné obchodovanie, virtuálnu decentralizovanú platobnú menu a v poslednom štádiu je spoločnosť založená na decentralizovanej obchodnej interakcií medzi ľuďmi bez akéhokoľvek zásahu štátu. V konečnom dôsledku má dôjsť k vytvoreniu dátového neba, kde ľudia budú môcť slobodne komunikovať, intereagovať a obchodovať bez akéhokoľvek zásahu centrálnej autority.
Akokoľvek sa zdal v roku 1988 manifest utopistický, postupne sa k nemu prihlásilo viacero výrazných osobností z oblasti kryptografie a inovatívnych riešení a dochádzalo k napĺňaniu jeho vízií. Ako prvé bolo sprístupnenie šifrovacích protokolov a programov, ktorých tvorcovia sa často hlásili k myšlienkam kryptoanarchizmu alebo cypherpunku. Zoznam lídrov, ktorí prispeli k kryptografickým inováciám dnes ovplyvňujúcim každodenné používanie internetu a technológií, je pomerne prekvapivo krátky. Obsahuje približne 70 často prepojených osôb. Z tých výraznejších môžeme spomenúť napríklad Juliana Assangea, zakladateľa wikileaks, ktorý začal komunikovať s cypher punk komunitou v roku 1993. Ďalej to je Jacob Applebaum, vývojár anonymizačnej decentralizovanej siete TOR. Philip Zimmermann vytvoril a voľne sprístupnil v roku 1991 šifrovací protokol PGP a výrazne prispel k zabezpečeniu protokolu VoIP, prenosu hlasových služieb cez internet. Momentálne sa venuje vývoju bezpečných telefonických prístrojov v spoločnosti Silent Circle. Patrí sem aj Ben Laurie – tvorca knižnice open ssl, ktorá sa masovo využíva v ochrane prenosu webových stránok a ktorý bol zároveň aj v rade Wikileaks.
Virtuálna decentralizovaná platobná mena
K naplneniu vízie slobodného decentralizovaného obchodovania prišlo len nedávno v roku 2009 zriadením prvej decentralizovanej virtuálnej meny Bitcoin, založenej na kryptografii dodnes neznámym autorom, vystupujúcim pod pseudonymom Satoshi Nakamoto. Decentralizované riešenie znamená, že neexistuje žiadna centrálna autorita alebo server, ktorý by mohol jednoducho ovplyvniť alebo regulovať dané riešenie. Každý používateľ je súčasťou celej siete, kde sa distribuovane uchovávajú všetky dáta. Preto ovládnutie tohto systému je značne nerealistické. Samotný bitcoin sa teší čoraz väčšej obľube a stáva sa čoraz viac akceptovanejším platidlom na lokálnej, ale aj medzinárodnej úrovni. Dnes nie je problém poslať SEPA platbu v Bitcoinoch, objednať si jedlo cez internet, alebo zaplatiť v sieti rýchleho občerstvenia Subway na Slovensku alebo v Čechách.
Slobodné obchodovanie
K prvým pokusom o sprístupnenie slobodného obchodovania došlo po uvedení Bitcoinu. Priekopnícku úlohu zohral anonymný portál Silk Road, fungujúci v anonymizačnej decentralizovanej sieti TOR, ktorý vznikol v začiatkom roka 2012. Prostredníctvom portálu Bitcoin platieb mohli ľudia predávať a nakupovať akýkoľvek tovar s ohľadom na diskrétnosť a súkromie. Najväčšiou slabinou bola jeho centralizovanosť. To znamená, že i keď Silk Road fungoval v sieti TOR, portal bežal na konkrétnych serveroch, administrovaný konkrétnym administrátorom Rossom Ulbrichtom, ktorý bol odhalený koncom roka 2013. Za tú dobu dosahoval Silk Road obrat rádovo v stovkách miliónov dolárov. V zapätí vzniklo niekoľko nasledovníkov na rovnakom princípe. Evolúcia však priniesla nové decentralizované riešenie Open Bazar, ktoré je momentálne do veľkej miery regulované autormi. Je ale iba otázkou času, kedy vznikne decentralizovaný a neregulovaný produkt.
Slobodný prístup k tovaru
Osobitnou časťou liberalizácie produkcie predmetov je dostupnosť 3D tlačiarní, keď akékoľvek produkty možno vytlačiť v pohodlí domova. Momentálne je najrozšírenejšia tlač z tvrdeného plastu. Lacnejšie prístroje na 3D tlač sa dajú kúpiť už od 400 eur a veľmi kvalitné stoja 800 eur a viac. Tlačiarne sú schopné vytlačiť napríklad použiteľné súčiastky, šperky, súčasti nábytku, ale aj funkčné auto. Užívateľ si jednoducho stiahne niektorú z tisícov šablón produktov podľa potreby a pokojne doma vytlačí objekt. Rozruch vyvolalo sprístupnenie šablóny funkčnej strelnej zbrane liberátor. Rozšíreniu metalických tlačiarní bráni momentálne ich cena radovo v tisícoch eur, ale i tu sa očakáva zníženie ceny alebo sprístupnenie zariadení prostredníctvom „share fundingu“, komunitného zdieľania.
Slobodný „decentralizovaný“ občan
Estónsko je dlhodobo lídrom v digitalizácií štátnej správy a inováciách v tejto oblasti. Komplexný portál štátnych služieb bol sprístupnený občanom v roku 2005. Prostredníctvom neho sa minimalizoval počet úradníkov a návštev občanov na úradoch. Estónsko inovácie v tejto oblasti dynamicky rozvíja naďalej a ako prvá krajina sprístupnila koncept digitálneho obyvateľa E-residency už koncom roka 2014. Občania Európskej únie maju možnosť zažiadať o digitálne podpísanú rezidenčnú kartu, cez ktorú môžu komunikovať s úradmi v Estónsku, zakladať spoločnosti alebo bankové účty. Tým sa začína vytrácať priamy vzťah pravidiel a jurisdikcie na fyzický priestor, kde sa práve osoby nachádzajú.
Estónsko inovatívne odhadlo, že funkcie štátu nemusia byť nevyhnutne závislé na fyzickom priestore. Ak by sme túto teóriu rozvinuli, občania si možno v budúcnosti budú môcť vybrať pravidlá, podľa ktorých budú chcieť žiť nezávislé na ich prítomnosti v konkrétnej krajine. Momentálne s podobným nápadom prišiel aj vyjednávač pre podmienky vystúpenia Veľkej Británie z Európskej únie, keď načrtol možnosť, že Briti budú môcť ostať ako občania a využívať výhody EÚ ako jednotlivci na základe svojho rozhodnutia a po zaplatení ročného poplatku. Týmito aktivitami sa začínajú stierať hranice národných štátov a politických systémov v ich vnútorných hraniciach. Estónsko sa na túto možnosť pripravuje aj zavedením konceptu „Digital Embassy“. Estónsko so svojou značne digitalizovanou štátnou správou sa rozhodlo uložiť tieto dáta a aplikácie do datacentier na svojich veľvyslanectvách v tretích krajinách. Tým si zabezpečia fungovanie estónskeho štátu aj v prípade, že prídu o svoje terajšie fyzické územie.
Momentálne začínajú v tejto oblasti aj neštátne aktivity, ako napríklad BitNation, čo je rozvinutý portál, ktorý ponúka neštátne digitálne občianstvo každému záujemcovi a služby k nemu na základe dobrovoľnosti.
Rozšírenie a dostupnosť šifrovacích nástrojov
Presun bežného života do digitálneho sveta samozrejme znamenal aj presun kriminálnych činností tým istým smerom. Štát to vníma predovšetkým cez problematiku bežnej komunikácie záujmových osôb, ale začína reflektovať aj nové formy nelegálnych činností spojených s presunom do digitálneho sveta, ako sú krádeže údajov, ransomware (ransomware je druh malwaru, zabraňujúceho prístup k počítaču, ktorý je infikovaný; obvykle vyžaduje zaplatenie výkupného) a podobne.
V súčasnosti je k dispozícií množstvo riešení na šifrovanie dát a komunikácie. Takmer každý operačný systém ponúka šifrovanie disku a dát už v základnom nastavení. V najnevyhnutejšom prípade prenosu súborov možno použiť jednoduchý program na komprimáciu súborov ZIP, ktorý už dávno ponúka solídne šifrovanie AES-256.
Na zasielanie e-mailov je voľne dostupný open source program GnuPG. Jeho nevýhoda je, že v prípade kompromitácie privátneho kľúča je útočník schopný prečítať všetku dovtedy zaslanú poštu v rámci platnosti získaného kľúča. Obavy okolo programov, zabezpečujúcich šifrovanú komunikáciu, vystali predovšetkým so stúpajúcou popularitou u teroristických organizácií. Aktuálne zarezonovala aplikácia Telegram, ktorú údajne využívali páchatelia teroristických útokov v Paríži v roku 2015. Od roku 2009 islamistické teroristické organizácie vyvíjali aj vlastné riešenia šifrovanej komunikácie, ako napríklad Mujahedeen secrets, ktoré bolo založené na PGP. Ďalšie veľmi populárne aplikácie sú Surespot, Threema a Signal. Pričom Signal poskytuje aj možnosť šifrovaného prenosu hlasu, ktoré možno rovnako jednoducho použiť, ako bežný telefonický hovor.
Osobitne robustné riešenie je zakrývanie aktivity na internete cez anonymizačné služby, z ktorých najznámejšia je The Onion Router alebo jednoducho TOR. Je to decentralizovaná sieť, do ktorej sa pristupuje prostredníctvom jednoducho stiahnuteľného programu. Prístup do siete je šifrovaný a komunikácia sa „stráca“ šifrovaným presunom medzi viacerými uzlami vo vnútri siete TOR. TOR možno využiť na anonymizovanie prístupu späť do internetu alebo pre služby tzv. Dark Web, prípadne Deep Web servisov vo vnútri TOR siete. Samotný TOR projekt, ktorý vznikol v roku 2002, finančne podporila americká vláda. Jeho cieľom bolo dať opozícií v diktátorských krajinách k dispozícií nástroj na bezpečnú komunikáciu. Z rovnakého dôvodu vznikla aj live distribúcia linuxu Tails, ktorá kombinuje všetky v nej prednastavené potrebné anonymizačne nástroje na ochranu súkromia.
So zvyšujúcou popularitou hidden services sa začali transformovať do deep webu aj nelegálne služby, ako napríklad predaj falošných dokumentov, bankoviek alebo zbraní.
Predaj zbraní vo vnútri siete TOR.
Výzvy právo presadzujúcim a bezpečnostným zložkám
Štát je v tejto oblasti vždy retroaktívny, a teda par krokov pozadu. Doménou, ale aj veľmi atraktívnym lákadlom sa stala možnosť využiť dostupnosť technológií na získanie prístupu ku komunikácii občanov a kontrole nad ňou. Ešte pred 15 rokmi boli informácie, prenášané cez siete a následne ukladané, takmer výlučne voľne prístupné a nešifrované. Postupným presunom aktivít do digitálneho sveta tieto informácie nadobúdali na hodnote, a preto sa začali implementovať prvky na ich ochranu ako šifrovanie, anonymizácia a autentifikácia.
Štáty sa momentálne zameriavajú na dáta v dátovom úložisku a na prenášané dáta, inak povedané na dáta v mobile, počítači, serveri a cloude alebo na dáta počas ich prenosu po sieti.
Základné stratégie, ktorými sa bezpečnostné zložky uberajú, sú:
- Regulácia šifrovacích programov
- Masový zber dát, metadát a komunikácie
- Cielený útok na jednotlivca
- Regulácia šifrovacích programov
Regulácia môže mať rôzne formy. Od obskúrnych zákazov užívania silnejších šifier – aké je štát schopný zlomiť – až po nanútené implementovanie back dooru (zadných vrátok) do šifrovacieho programu. Obe tieto stratégie so sebou prinášajú rovnaké riziko. Obe vytvárajú vedomú zraniteľnosť, ktorú v každom momente hľadajú a sú prichystané zneužiť tisíce kriminálnikov alebo nepriateľské služby a štáty. Relatívne akceptovateľný prístup pre centralizované riešenia je mať možnosť na základe solídnych kontrol vypnúť šifrovanie na strane klienta a takýmto spôsobom si sprístupniť komunikáciu. Takéto riešenie by však bolo rýchlo odhalené a sofistikovanejší páchateľ by preto veľmi pravdepodobne prestal takúto službu používať a zvolil inú formu konšpirácie.
- Masový zber dát, metadát a komunikácie
Najviac diskutovaná stratégia je masový zber metadát alebo v horšom prípade čistých dát. Tento prístup má svoje opodstatnenie v krajinách, kde je značná časť obyvateľstva nepriateľsky naladená, ako napríklad Izrael, alebo Donbas. Špecifická situácia je v krajinách, kde sa diktátorské režimy snažia kontrolovať opozične naladené obyvateľstvo.
Pre krajiny v západnom svete, kde treba hľadať nebezpečných jednotlivcov, sa ale do veľkej miery ide o placebo pre bezpečnostné zložky. Tento prístup dáva bezpečnostným zložkám pocit kontroly, ale viacero štúdií ukazuje, že ide o veľmi nákladný domnelý pocit s minimálnym vplyvom na prevenciu. Napríklad analýza využívania efektívnosti zberu metadát v USA ukazuje, že jediný prípad úspešnej profilizácie na základe metadát bol prípad Basaaly Moalina, taxikára zo San Diega, ktorý v rokoch 2007 a 2008 venoval $8,500 teroristickej organizácií al-Shabaab, súčasti Al-Kaidy v Somálsku. Na druhej strane nie je znamy prípad, keď analýza metadát dokázala zabrániť teroristickému útoku v USA. Vo väčšine prípadov k odhaleniu teroristického útoku došlo za použitia informátora alebo inak získaných operatívnych informácií.
Neefektivita v porovnaní s nákladmi má základ v profilácií „závadového“ správania vo veľkých dátach (big data). Úspešná profilácia správania potenciálneho páchateľa v miliónoch záznamov metadát je takmer na úrovni štatistickej náhody. Na druhej strane táto profilácia produkuje veľa „false positives“, teda hlásení, keď dáta zodpovedajú profilu „závadového“ správania, ale samotná osoba závadová nie je. Preverovanie týchto hlásení si vyžaduje značné ľudské a materiálne zdroje, čo vytvára ďalšie nároky na rozpočet zväčša so slabým výsledkom.
Prečo je teda masový zber dát taký populárny a presadzovaný bezpečnostnými zložkami? Je to z viacerých dôvodov. Najhlavnejšie sú tie, že je extrémne drahý, dáva dojem kontroly, ktorý sa veľmi dobre prezentuje, máloktorý politik si dovolí prijať rozhodnutie, ktoré by vyvolalo dojem ohrozenia jeho občanov zrušením tohto nástroja a v neposlednom rade dáva bezpečnostným zložkám rýchly prístup na overenie podozrenia a prípadné následne odhalenie celej siete, na ktoré by za normálnej situácie bolo treba vypracovať a získať povolenia na vstup do súkromia. Posledný z bodov, rýchle potvrdenie informácie a získanie analýzy stykovej bázy záujmovej osoby môže byť prínosné pre bezpečnosť občanov. Otázne je, či toto zjednodušenie dostupnosti nemá vplyv na zníženie vyšetrovacích a operatívnych schopností bezpečnostných zložiek, keďže je lákavé skĺznuť k „hádaniu“ miesto overovania na základe kvalitne získaných informácií. Získanie rovnakých informácií o podozrivej osobe súdnym príkazom je síce pomalšie, ale vedie operatívu k tomu, aby kvalitne vyšetrovala, je rádovo lacnejšie a výsledky sú rovnaké. Veľmi dôležitý argument je obava, nakoľko môžu byť tieto dáta zneužité v prítomnosti, ale hlavne v budúcnosti.
- Cielený útok na jednotlivca
Útok na konkrétne zariadenie vytipovanej osoby môže prebehnúť na viacerých úrovniach. Medzi legitímne postupy môžeme radiť kontrolovaný útok, využívajúci chybu dotyčného. Môže to byť napríklad získanie prístupu k zariadeniu sociálnym inžinierstvom, odpočutie komunikácie zo zariadenia, cielené získanie dát u poskytovateľov služieb, zadržanie zariadenia v zraniteľnom stave, kvalitná forenzná analýza zadržaného zariadenia, brute force legálne zadržaných zariadení, MITM útok, phishing, inštalácia keyloggeru a iné využitie chýb páchateľov.
Vo väčšine prípadov sú to rovnaké techniky, ako používajú kriminálne skupiny na napadnutie obete. Tieto techniky sú vo väčšine krajín podmienené súdnym príkazom, čo by malo zabezpečiť solídnu kontrolu nad procesom a ochranou súkromia.
Kontroverzné sa stali útoky cez tzv. zero day exploity, ktoré za slušnú finančnú odmenu poskytujú štátnym záujemcom niektoré privátne spoločnosti, ako Lench IT solutions, Gamma alebo Hacking Team. Problémom je využívanie zero day zraniteľností, teda zraniteľnosti, ktorá ešte nebola verejne odhalená a publikovaná, takže užívatelia ani poskytovateľ programu o nej nemajú vedomosť. Zodpovedný prístup je oznámiť túto zraniteľnosť autorovi kódu okamžite, aby mohol čo najskôr zabezpečiť nápravu v podobe záplaty. V opačnom prípade hrozí, že sa tieto zero day zraniteľnosti budú obchodovať a zneužívať kriminálnymi skupinami. Preto absencia informovania zo strany štátnych zložiek vedome vystavuje milióny zariadení občanov riziku útokov kriminálnych skupín.
Záver
Je prirodzené, že každá inovácia, ktorá sa masovo rozšírila, vyvoláva aj pozornosť kriminálnych skupín. Neznamená to však, že inovácia je zlá ako celok. Ak by sme chceli poskytnúť príklad cez možno trochu prehnane prenesenú paralelu, aj organizovaný zločin a teroristi využívajú papierové peniaze alebo internet na svoju činnosť. To samozrejme neznamená, že preto by sme ich mali zrušiť alebo kriminalizovať ako celok. Dôležité sú kontroly týchto skupín, prevencia, ich odhaľovanie a nie plošné znižovanie bezpečnosti všetkých občanov. Bude veľmi zložité a neefektívne zakazovať silnejšie šifry. Inými slovami táto možnosť je už málo realistická. Pre právo presadzujúce a bezpečnostné zložky nemá zmysel sa obávať programov so silným šifrovaním, ale programov, ktoré nedovoľujú užívateľom robiť chyby. Pretože väčšina páchateľov bola odhalená práve cez ne a kvalitným spojením operatívnej práce vo fyzickom svete a technickou akciou v tom digitálnom.
Ak nechceme opustiť naše hodnoty ochrany slobody a demokracie, pre právo presadzujúce a bezpečnostné zložky je rozumnejšie miesto nákladných a neefektívnych pokusov ovládnuť digitálny svet silou preniesť kvalitnú operatívnu prácu do vnútra digitálneho sveta a spojiť ju s kvalitnou prácou v tom fyzickom.
* * * * *
Pavol Draxler (1980) – Štúdium medzinárodných vzťahov na Linkӧping University vo Švédsku absolvoval v období 2006-2008. Predtým pracoval na Ministerstve vnútra SR, kde zastával post predsedu komisie na koordináciu postupu proti extrémizmu. Pôsobil tiež ako bezpečnostný špecialista vo viacerých medzinárodných organizáciách; poskytoval aj bezpečnostnú asistenciu novinárom v Kosove a v Bosne. V roku 2007 sa podieľal na činnosti Delegácie Európskej komisie v Moskve. Od roku 2011 je nezávislým expertom Európskej komisie v otázkach extrémizmu a radikalizmu. Aktuálne vedie súkromnú spoločnosť, ktorá sa venuje ochrane pred kybernetickými hrozbami.
* * * * *
Pripravené v spolupráci s Asociáciou bývalých spravodajských dôstojníkov /www.absd.sk/
Ilustračné foto: pixabay.com
