DŮLEŽITÉ UPOZORNĚNÍ!
Policie České republiky se zajímá o IP-adresy osob, které komentují tento blog. Ve vlastním zájmu zde proto nic nepopírejte, nezpochybňujte, neschvalujte, neospravedlňujte, nikoho a nic nehanobte, nepodporujte a nepropagujte, a pokud se přesto rozhodnete komentář přidat, pak se, prosím, ničemu nedivte.
Aktuálně: Výnos sbírky pro Vlastimila Pechance dosáhl ke dni 6. 10. 2016 částky 59 416 Kč.
Výtěžek prvního benefičního koncertu, který se uskutečnil dne 12. 3. 2016, činil 13 500 Kč.

pondělí 13. července 2015

Útvar prazvláštních činností

Rozkošný skandálek kolem italské společnosti Hacking (aka Hacked) Team vydal plody formou 400 GB dat z firemních úložišť. Pro tento blog jsou nejzajímavější e-maily putující mezi milánskou centrálou a zaměstnanci českého distributora, společnosti BULL s. r. o., zejména pány Hlavsou a Martínkem.

Z komunikace je především zřejmé, že česká policie nebyla jediným zákazníkem, jemuž byly malwarové produkty přeprodávány. Proč je to zajímavé? Proto, že platí tzv. hackerský paragraf (§ 230 TrZ) a podnikání, o které se zde jedná, spadá bez větších diskusí pod jeho pátý odstavec, se sazbou od tří do osmi let. Podstatnou obchodu bylo, že zákazník dostal (relativně jednoduchou) aplikaci, jíž mohl ovládat napadená zařízení, a zároveň prostředky, jimiž mohl cílové počítače nebo mobilní telefony infikovat – v hackerské mluvě exploity. Ty byly až do r. 2012 publikovány na portálu, k němuž si zákazník za částky od několika tisíc euro ročně platil přístup, později, když se počet nových exploitů rapidně snížil, je za zhruba stejné peníze dostával formou periodických aktualisačních balíků. Životnost exploitu je přitom obecně krátká, spíše měsíce než roky, a zákazník, který přestane platit, bude brzy na suchu: zařízení oběti nedokáže účinně infikovat, ledaže by k němu měl fysický přístup.

Společnost BULL poslala do Itálie dokonce i seznam svých klientů, v excelové tabulce, ovšem v zašifrovaném zipu (např. tady), a z tohoto seznamu by bylo ihned zřejmé, komu se malware dodával, tedy zda podnikání BULLu bylo trestnou činností čili nic: připomínáme, že dodat podobný produkt jinému než oprávněnému odběrateli je trestné. Zda jsem heslo příslušného ZIPu prolomil a zda tedy vím, komu přesně bylo dodáváno, se ovšem – právě pro existenci hackerských paragrafů – milí čtenáři, nikdo, a najmě pak policie, nedoví (ty můj kvítku medový!), jen ať se policisté snaží sami. Je ostatně naivní myslet si, že by tito svérázní pomahači a ochránci stíhali svého vlastního dodavatele: to by se pak mohly na veřejnost dostat pěkné věci, namátkou seznam provisí, které byly za dodávky na policejním presidiu inkasovány. Policie bude nyní tyto výtečníky chránit i za cenu, že by měla zavřít všechny ostatní občany České republiky (ale jistě, klidně si věřte na pohádky o nezkorumpovaných policajtech: i takoví existují, ovšem stěží to ve službě dotáhli dál než na místní oddělení Pičín-město; kdekoli výše je korupce v policii prevalentní a pro příštích několik desítek let nevymýtitelná).

Čímž jsme u druhého aspektu, používání malwaru oprávněnými policejními útvary. Ústavněprávní rámec věci vymezuje čl. 2 odst. 2 Listiny, tedy že státní moc lze uplatňovat jen v případech a v mezích stanovených zákonem, a to způsobem, který zákon stanoví. O způsob tu právě běží: není-li určitý modus invase do soukromí občana dovolen zákonem o policii nebo trestním řádem, je nepřípustný, a tuto nepřípustnost nemůže zhojit ani desatero soudních příkazů.

Jaké služby byly policii poskytovány, lze naznat nejlépe z hodnocení výsledků testů samotnou policií: i pokud bychom připustili, že policisté na všechno to, co pomocí malwaru zjišťovali nebo chtěli umět zjistit, dostali soudní příkaz, některé z těch věcí se pod příslušná ustanovení trestního řádu nevejdou, ani kdybychom zákon ohýbali kleštěmi na plech.

A další principiální otázkou je samotný akt infekce. Paragraf 158d trestního řádu dovoluje mnohé, nikoli však vše, a podobně jako v Německu, kde jsou affairy týkající se policejních trojanů téměř na denním pořádku, bude nutné judikatorně vymezit, jakými prostředky smí policie zasáhnout do technického zařízení podezřelého, už proto, že jednou infikované zařízení mohou pak využívat i jiní, nepolicejní hackeři, zejména pokud z Hacked Teamu unikly i zdrojové kody jejich přístupového softwaru a je tedy známo, kudy do napadeného hardwaru zadními vrátky vstoupit.

Aktualisováno.
Vzkaz pro medového kvítka: nakonec jsem své rozhodnutí změnil a abych ilustroval, s jakým materiálem a s jakými špičkovými bezpečnostními odborníky česká policie spolupracuje a za mé peníze obchoduje, sděluji, že heslo je skutečně složité, prakticky neprolomitelné: Pilsner.

42 komentářů:

  1. Policajti v Česku vraždí děti:

    Strážník dal pěstí těhotné do břicha: Žena vymodlené dítě potratila!
    http://www.blesk.cz/clanek/zpravy-krimi/330228/straznik-dal-pesti-tehotne-do-bricha-zena-vymodlene-dite-potratila.html

    OdpovědětVymazat
    Odpovědi
    1. Jít "řešit" noční klid sám může akorát hňup a blázen.

      Aniž bych chtěl předjímat, informace v článku jsou dosti kusé, ale hlavní bude prokázat, zda strážník věděl, že dotyčná byla těhotná. Podle toho se věc bude odvíjet, to jest, zda strážník vůbec trestně stíhán (pomiňme zneužití pravomoci úřední osoby, na to je málo informací, aby to bylo lze posoudit) za ublížení na zdraví, či-li nic (kázeňské pravomoci strážníci nepodléhají).

      Vymazat
  2. Začínám se bát. Nemůžete dát ve dvou, třech větách bezpečnostní tipy? Například...věříte bitlockeru? JG

    OdpovědětVymazat
  3. navíc, ten soubor zip mi nejde stáhnout, páč prohlížeč varuje před útočníky...jg

    OdpovědětVymazat
  4. Nějak si neumím představit, že by Policie ČR něčí zařízení, byť za pomoci tohoto vykutáleného software, dokázala infikovat vlastními silami.
    Předpokládám, že na činnosti policie se přímo podílel některý ze zaměstnanců společnosti Bull. Je něco takového legální/dohledatelné/postižitelné?

    OdpovědětVymazat
  5. To heslo k ZIPu jde prolomit celkem snadno. Akorát po mě zkušební verze Ultimate ZIP Crackeru chce za jeho zobrazení, abych si koupil plnou verzi, na což bych se mohl zvysoka...

    OdpovědětVymazat
  6. § 158d TŘ je bohužel absolutně neurčitý a těžko říci, co dovoluje a co ne. Vážný kandidát na přepsání a modernizaci při příští rekodifikaci. Vzhledem k jeho gumovosti bych byl opatrný s tvrzeními, že něco určitě nejde. Zajímavý je také vztah § 158d a § 88 TŘ, který je zde dosti zamlžen.

    OdpovědětVymazat
    Odpovědi
    1. Tyto nejasnosti je nutné překlenout ústavně konformním výkladem, jak činíme např. v kause rozdojení kozla.

      Vymazat
  7. Prosim rozlisujte hacker vs cracker

    http://www.catb.org/jargon/html/H/hacker.html
    http://www.catb.org/jargon/html/C/cracker.html

    OdpovědětVymazat
    Odpovědi
    1. Toto rozlišování je mrtvě narozeným dítětem, kromě "hackerů" samotných ho nikdo nerespektuje. Moderněji se proto hovoří o "white hat" a "black hat" hackerech. To se snad ujme.

      Vymazat
  8. jen s notebookem mohli policisté sledovat kohokoliv
    http://www.novinky.cz/internet-a-pc/374998-dalsi-odhaleni-jen-s-notebookem-mohli-policiste-sledovat-kohokoliv.html

    OdpovědětVymazat
    Odpovědi
    1. To je typická snůška nesmyslů. V dokumentech se jasně píše, že wi-fi zabezpečenou WPA a ne WEPem dokázali prolomit jen slovníkovým útokem. Notebook plný "hackerských nástrojů" má dnes každý uživatel linuxu, to je jen další novinářské cliché.

      Vymazat
    2. Nejčastější metodou domácího hádání hesla je identifikace routeru a dohledání defaultního hesla, co se nastavovalo buď v továrně, nebo u poskytovatele (typicky O2). Téměř nikdo si ho neměnil a prakticky všichni měli Wifi zapnutou.

      Opravdu silné heslo, kdy je potřeba opakovaně nagenerovat obsáhlý slovník.. to je poměrně otrava a to by se snad nechtělo dělat ani policajtům, když mají i jiné možnosti.

      Vymazat
  9. Zaujalo me, jak spatne umi panove z fy BULL anglicky. Uz jsem videl v zivote leccos, ale aby sloveso "use" nekdo napsal "yous", to jsem opravdu videl poprve.

    OdpovědětVymazat
    Odpovědi
    1. To víš, management. Viděl jsem bezpečnostní směrnice nejmenované automobilky TPCA, podle kterých musí mít každý ze zaměstnanců záchranný člun (rozuměj, bezpečnostní obuv).

      Vymazat
    2. To vypada, ze to spise psali ti Italove z Hacked Teamu

      Vymazat
    3. U Italu je vubec zazrak, ze umi aspon neco EN ... bezne vyslovovali na skoleni sheet, jako shit, jeste ted se smeju.

      Vymazat
    4. "Yous" místo "use" napíše člověk v rychlosti běžně, pokud si po sobě text nepřečte (hlava už myslí na další slovo, prsty píšou předchozí), ale zarážející je třeba pasivum "sended" tam, kde by běžný Angličan nebo Američan řekl "sent": za ty prachy si jistě Bull bude moci zaplatit jazykový kurs s důrazem na vypilování těchto detailů.

      Vymazat
  10. Jsou to přece jenom kuci šikovný, už umí napsat i mail!

    OdpovědětVymazat
  11. Zajímavý e-mail z té cache:

    https://wikileaks.org/hackingteam/emails/emailid/955502

    OdpovědětVymazat
    Odpovědi
    1. Myslím že zákazník (hacked team) se zakoupeným softwarem nezacházel tak úplně v souladu s licenčními podmínkami :-)

      Vymazat
    2. A jak dobře poznamenal můj kolega, je zarážející že si to objednávaj z jejich ofiko adresy, čekal bych že na to použijou nějakej freemail ...

      Vymazat
    3. Ital z Hacking Teamu si objednal vyčištění počítače nějakými českými lamami?
      Cože???

      Vymazat
    4. Ech, jasně, on to email nějakého Hacking Teamem napadeného nešťastníka, pokoutně přeposlaný Hacking Teamu. (Nebo to pořád chápu špatně?)

      Vymazat
    5. Moje konspiracni teorie je, ze ve skutecnosti si nechal vycistit pocitac aby tim nakazil pocitace cistici spolecnosti (a skrzeva ne hromadu dalsich lidi).

      Vymazat
    6. NIkoliv, Tydlitát. Objednali si to proto, že dostali jakousi informaci, že to prý umí najít jeden z těch jejich exploitů.

      Vymazat
  12. Odpovědi
    1. Skvělé! Bohužel jsem neměl dost místa na disku, abych si celý balík stáhl, ale s tímto extraktem bude možné jednoduše pracovat.

      Vymazat
    2. http://nat.brmlab.cz:9066/

      Vymazat
    3. Mně http://nat.brmlab.cz:9066/ hlásí timeout… nějaký IP ban, nebo co…?

      Vymazat
    4. Spíš firewall u vás. Mně to funguje normálně.

      Vymazat
  13. Společnost HT nabízela verze svých programů pro Windows i Linux (včetně Fedory). Jsou známé nějaké podrobnosti o tom, jak přesně se programy do počítačů uživatelů dostávaly, kam se instalovaly a jak se tam ukryly, aby nebyly odhaleny, a jak a na kterém portu komunikovaly s tím, kdo je ovládal? K. Š.

    OdpovědětVymazat
    Odpovědi
    1. HT nabízela svůj "aktivně monitorovací" software, jak to eufemisticky nazýval ÚZČ, pro tyto platformy, nikoli exploity. Neuměla proniknout ani do Linuxu, ani do iPhonu, pokud nebyl "jailbreaknutý", toliko do Windows, do Symbianu a do Androidu.

      Jak to dělali prakticky, je patrné z těch 400 GB dat.

      Vymazat
  14. No takže jaká jsou možná vysvětlení této aférky…
    1. kluci z HT už toho měli nad hlavu, tak to zabalili. => tím se docela znemožnili, takže napříště už si špehovací nástroje objednáte jinde… třeba u Američanů (NSA/CIA).
    2. kluci z HT dostali „nabídku, která se neodmítá“ od Američanů (NSA/CIA), podmíněnou tím, že to zabalí.
    3. kluci z Ameriky (NSA/CIA?) odstřelili italskou firmičku, takže napříště už si špehovací nástroje objednáte jedině u Američanů.To by tak hrálo, aby o tom, co se děje v KLDR nebo Čechostánu věděla první nějaká Itálie…
    4. Hacking Team byl hacknut l33t hax0ry, před kterými se třese i CIA/NSA. Nejnepravděpodobnější variantha.

    OdpovědětVymazat
    Odpovědi
    1. To videni "CIA/NSA" je plodem nejake vasi dusevni nemoci? :-)
      Nejaka moderni obdoba zido-zednaru - ti prece mohli za vse v minulych cca 200 letech.

      Vymazat
    2. Zlatá FBI.
      https://firstlook.org/theintercept/2015/07/16/hackingteam-attacked-tor-browser/

      Vymazat
  15. E-maily Hacking Teamu skrývají i veselé historky. Podívejte se na e-mail ID 358609.

    OdpovědětVymazat
    Odpovědi
    1. takych veselych historiek je tam viac ;)

      zazipovana excelova tabulka sa na lepsej i7 s pomocou grafarny da slovnikovym utokom rozzipovat za menej ako 30 sekund :D

      brmlab to zobral za spravny koniec, niekt0 so skusenostou zo slovenskej hysterky sa len uchechtne nad porekadlom "dovtedy sa s dzbanom po vodu..." :D

      vela zabavy aj ked to je skor k placu...

      Vymazat
    2. Mezi obrázky převládají klasické fotky psů, jídla, dětí, veletrhů… Nicméně – natrefil jste již někdo na klasické fotky prsou, respektive dámského přirození?

      Pokud jde o così, je patrno, že šéf Christian Pozzi (*1981) preferuje větší rozměry:
      http://nat.brmlab.cz:9065//FileServer/Amministrazione/9 - VARIE/5 - Gadget-Varie/BADGES INGRESSO/FOTO HT/Foto HT Inviate/

      Preference ostatních nerd-revolucionářů (jejich profilové fotky zde: http://nat.brmlab.cz:9065//FileServer/Amministrazione/9 - VARIE/5 - Gadget-Varie/BADGES INGRESSO/FOTO HT/Foto HT Inviate/ ) zůstávají naneštěstí neznámy…

      Vymazat
    3. Oprava prvého odkazu:
      http://nat.brmlab.cz:9065//c.pozzi/Desktop/you.txt

      Vymazat

Kursiva: <i>text</i>
Tučně (když už to musí být…): <b>text</b>
Odkaz: <a href = "http://adresa">název odkazu</a>, tedy <a href = ""></a>