
4. února 2021 vyšel na portálu DOU.ua zajímavý rozhovor s mluvčím Ukrainian Cyber Alliance (UCA) Andrijem Baranovyčem. Tento rozhovor zprostředkováváme také pro čtenáře webových stránek mezinárodní dobrovolnické komunity InformNapalm, která v jisté historické fázi také sehrála významnou roli pro spojení různých skupin ukrajinských hacktivistů v jediný výkonný tým UCA. Na našem webu najdete mnoho publikací, které vznikly díky spolupráci mezi OSINT investigativci z InformNapalmu a hacktivisty z Ukrainian Cyber Alliance a dalších dílčích skupin ukrajinských IT specialistů. Přesně před 4 lety, začátkem února 2017, vyšel také náš krátký filmový dokument CYBERWAR: přehled úspěšných operací UCA v roce 2016, který bude zajímavý jako doplnění tohoto rozhovoru.
Ukrajinská kybernetická aliance (UCA) je komunita ukrajinských hacktivistů, která vznikla v roce 2016 spojením více hackerských skupin. Podle tiskového mluvčího Ukrainian Cyber Alliance Andrije Baranovyče bylo jejich hlavním cílem obstarávání informací o Rusku a jeho účasti ve válce. Později UCA také spustila flashmob #FuckResponsibleDisclosure, který měl vyhodnotit kvalitu zabezpečení ukrajinských státních datových úložišť. V rozhovoru pro DOU.ua řekl Andrij Baranovyč o aktivitách UCA, jednotlivých akcích, kyberválce a prohlídkách SBU u členů této organizace. Podělil se také o svůj názor na aplikaci Dija, online volby a bezpečnost internetu v Ukrajině.
O Ukrainian Cyber Alliance
— První otázka je obecná: kdo jsou hackeři?
Já sám se neidentifikuji primárně jako hacker, ale jako specialista na sítě, programování a bezpečnost. K veřejným hacktivitám jsem se dostal teprve když začala válka. Společně s kolegy jsme si řekli, že své znalosti můžeme uplatnit i tímto způsobem. Kdo totiž umí systémy zabezpečit, musí také vědět, jak na ně útočit. Na rozdíl od tzv. černých hackerů, kteří to dělají pro peníze, a také od bílých hackerů, kteří to dělají jen tak ze zájmu, aby zjistili, jak fungují technologie, my se řadíme mezi hacktivisty, protože získané informace využíváme k vojenským a politickým účelům.
— Nyní budu citovat vaše rozhovory, abyste se k tomu vyjádřil. V jednom z článků tvrdíte: „Na tzv. černých fórech politiku potlačují admini: cechové zájmy jsou vyšší než ty národní“. Platí to o ukrajinské hackerské komunitě obecně?
Tento citát se vztahuje pouze na černé hackery, kteří hackerství provozují jako zdroj výdělku. Jako specialista na informační bezpečnost mám přístup i na neveřejná hackerská fóra. Protože se mimo jiné zabýváme shromažďováním dat o tom, jak černí hackeři postupují, pozorujeme je v jejich přirozeném prostředí, zkoumáme jejich zvyklosti a způsoby, zda tu nejsou nějaké novinky… I politika tu samozřejmě není vítána, protože to velmi škodí byznysu. Černé hackery můžeme přece také označit za podnikatele, i když jejich činnost není legální. Proto se snaží politiku neřešit. Kyberkriminalita nemá žádnou národnost.
— Už jste nakousl téma vzniku Ukrajinské kybernetické aliance. Povězte nám podrobněji, jak to celé začalo.
Původně jsme měli samostatnou skupinu s názvem RUH8. Společně s kolegy jsme provedli několik akcí, kdy jsme mimo jiné hackli Státní dumu Ruské federace, Radu federace nebo regionální vlády v Astrachani a Orenburgu. Spolupráci s dalšími hackerskými skupinami jsme navázali díky webu InformNapalm, kam jsme všichni předávali informace ke zpracování a zveřejnění. K červnu 2016 již vznikla kompletní Ukrajinská kybernetická aliance ze skupin RUH8, FalconsFlame, Trinity a CyberHunta. Všichni jsme měli různé dovednosti a různé odbornosti, díky čemuž jsme se vzájemně doplňovali. A takto jsme pokračovali až do roku 2019, než k nám v únoru 2020 vtrhla kyberpolicie a Služba bezpečnosti Ukrajiny SBU s naprosto nesmyslnými obviněními.
— K tomuto tématu se ještě vrátíme. Předtím bychom se rádi něco dozvěděli o organizaci celkově. Kolik má členů? Kdo jsou, zda žijí v Ukrajině, nebo máte také cizince, kteří se chtějí na vašich akcích také podílet?
V současné době UCA jako široká komunita prakticky neexistuje. Před rokem jsme společně s kolegy nechali naši organizaci oficiálně zapsat na Ministerstvu spravedlnosti, proto dnes máme občanské sdružení „Ukrajinská kybernetická aliance“. Měli jsme v plánu se zabývat bezpečností, a to i ukrajinských systémů, válku totiž netvoří pouze útok, ale také obrana. Tyto věci jsme řešili na podzim 2019 se zástupci úřadů, zejména na Radě pro národní bezpečnost a obranu. Pak se to však někomu znelíbilo… Dnes tedy máme občanské sdružení, které má tři zřizovatele.
— A jak se věci měly do loňského roku?
Přesný počet stálých členů uvádět nebudu, ale nebyl nijak velký, plus mínus 10 lidí. Žádnou zahraniční pomoc jsme nikdy nepřijali ani nepřijímáme. Nikdy jsem si nedával za cíl zjistit, kdo jsou ostatní členové. O některých toho vím více, o některých méně. Jedná se především o technicky zaměřené specialisty. Vyptávat se na tyto věci není vůbec vhodné: čím méně toho vím, tím tvrdší mám spánek.
Do aliance patřili specialisté z Ukrajiny. Zatímco naše cíle se nacházely pouze v Ruské federaci nebo na území, které okupuje. Vždy jsme stále znovu opakovali a opakujeme, že našim cílem bylo pouze získávání informací o Rusku, jeho účasti ve válce, vojenských a politických špičkách, nic jiného nás nikdy nezajímalo.
„Na výhružky prostě nereagujeme“
— Jste tiskový mluvčí Ukrajinské kybernetické aliance. Vybral vás někdo na tuto pozici, nebo jste sám chtěl komunikovat s tiskem za UCA?
Vždy jsem chápal, že chceme-li docílit, aby naše informace měly vliv na okolní dění, musíme o tom podrobně informovat, komunikovat s lidmi… Celé to začalo tak, že nás požádal o rozhovor časopis Fokus. Tak jsem své kolegy přesvědčil, že ho poskytnout musíme, aby lidé dobře chápali, kdo jsme, co děláme, aby nás nevnímali jako hrozbu a nepletli si nás s černými hackery.
— Jak často komunikujete s novináři?
Dost často. Mnoha médiím poskytuji komentáře jako bezpečnostní expert nebo zveřejňuji sloupky k aktuálnímu dění.
— Jaké komunikační prostředky využíváte pro informování o výsledcích svých akcí?
Dokud jsme pracovali na našem hlavním projektu zaměřeném proti Rusku, byl našim fórem InformNapalm. Ve spolupráci s nimi jsme zpracovávali data, psali články, které obsahovaly odkazy na materiál, aby si ho mohl každý stáhnout, ověřit a ujistit se, že nikoho neklameme a že se věci mají přesně tak, jak sdělujeme v publikacích.
— V různých rozhovorech jste nejednou kladl důraz na to, že působíte v rámci platné právní úpravy. Přesto má mnoho lidí výraz „hacker“ spojený s něčím, co je za hranou zákona. Jak se to uplatňuje v Kybernetické alianci?
Samozřejmostí je, že porušujeme zákony Ruské federace. Různé ruské orgány činné v trestním řízení, ať už policie, FSB nebo Vyšetřovací výbor, vedou proti nám několik desítek trestních kauz. Toho se vůbec neostýcháme ani nebojíme, protože Ukrajina a Rusko v justiční sféře nijak nespolupracují. Na okupovaném území Ukrajina na své závazky co do udržování pořádku a zákonnosti rezignovala. A na Interpol se Ruská federace obrátit nemůže, protože všechny tyto akce mají politickou složku.
V Ukrajině samozřejmě zákony neporušujeme. Dokonce i když jsme zahájili akci #FuckResponsibleDisclosure, která měla za cíl ukázat, že ukrajinské systémy jsou velmi zranitelné vůči útokům jak z Ruska, tak od kriminálních hackerů, uplatňovali jsme jen neinvazivní prostředky. Najdeme-li nějaké informace, které patří ukrajinskému státu, jen tak veřejně viset, nemá to nic společného s nabouráním, protože se tam dostaly z něčí nedbalosti. Tímto způsobem ukazujeme, že každý zájemce může doslova prostřednictvím Google vyhledávače najít utajované dokumenty, které se týkají naší armády, tajných služeb atd.
— Říkal jste, že za ta léta, co UCA existuje, vám v jednom kuse chodí výhružky. Od koho a jak vypadají?
Těm, koho nabouráváme, se to samozřejmě nelíbí. Jako třeba v situaci s ruským propagandistou Prochanovem. Zmocnil jsem se jeho facebookové stránky a zároveň jeho médií Děň a Zavtra a napsal jeho jménem několik vtipných textů. Shora jmenovaný se pak nad tím v živém vysílání pořadu Věsti velmi rozčiloval a jeho syn Andrej Fefelov chrlil prázdné výhružky. Z okupovaného území také pořád posílají nějaké hnusy. My tyto výhružky prostě ignorujeme.
Kyberválka
— Kterou ze svých akcí považujete za nejúspěšnější?
V tomto ohledu je těžké vybrat jen něco. Občas se podařilo dohledat informace třeba od Federální strážní služby RF, což je součást někdejšího KGB, která se zabývá mj. bezpečností kritické infrastruktury. Proto nebylo snadné tyto informace najít. Nejvíce zmínek v tisku získala akce SurkovLeaks, kdy jsme zpřístupnili e-mailové schránky kanceláře aparátu asistenta prezidenta RF Vladislava Surkova. Rozruch způsobilo, že se tato akce časově shodovala s prezidentskými volbami v USA. Hned se objevily řeči, že by mohlo jít o americkou odvetu Rusku za nabourání DNC. Tyto zvěsti samozřejmě vyvrátila americká zpravodajská komunita, toto načasování však vzbudilo pozornost o předmětné téma. Měli jsme také akce, které byly zajímavé z technického hlediska.
— Nás budou číst programátoři, ty by tedy zajímala právě technická stránka…
Z pohledu techniky byla zajímavým případem Orenburská oblast. Použili jsme již zveřejněné exploity. Jednalo se o Heartbleed, tedy paměťový únik. Oskenovali jsme velký počet ruských webů, mezi nimiž se našel jeden menší web umístěný v centru zpracování dat orenburské oblastní vlády, tzn. došlo k úniku přístupu k němu z paměti serveru. Dlouho se však nedařilo nic udělat, protože mají jednak IT oddělení, jednak oddělení pro informační bezpečnost s přísným dohledem ze strany FSB. V jistou chvíli však systémový admin udělal chybu: přimontoval síťové úložiště k veřejnému webovému serveru, odkud pak už uniklo dost informací na to, abychom mohli získat přístup k celému systému, zabydlet se tu a následně monitorovat všechny složky této oblastní vlády včetně FSB.
Museli jsme dokonce vyhnat několik zbloudilých hackerů, kteří se vloupali do stejného systému, abychom nepřišli o přístup. Udrželi jsme tedy přístup dost dlouho, asi rok a půl. Během této doby jsme odsud vytáhli vše, co se dalo vytáhnout. To ukazuje, jak dokonce nepatrné a chvilkové chyby způsobují dlouhodobé následky. A když APT skupina (advanced persistent threat) už do systému vnikla a opevnila se tu, pak je těžké takové hackery odhalit, budou odsud tahat data třeba i dlouhá léta. Podobným případem, snad mediálně nejznámějším z poslední doby, byl supply chain útok na SolarWinds, kdy ruští hackeři také distribuovali zadní vrátka přes software na monitorování sítě a tento přístup udržovali dlouhé měsíce. K jejich odhalení došlo takřka náhodou.
— Jaký mají vaše akce cíl? Čeho chcete dosáhnout?
Jde o to, že ruští hackeři brouzdají ukrajinskými systémy jako u sebe doma. Stav informační bezpečnosti v našem státním sektoru je otřesný. Takže hned první vzkaz, který bychom chtěli vyslat: vše, co vy můžete udělat nám, můžeme udělat také my vám. Máme k tomu dostatek znalých odborníků. Druhým cílem je přímé získávání informací o tom, kdo rozhoduje, zejména ve vojenských věcech, jak se rozhoduje, na co se myslí v kanceláři prezidenta RF, jaké mají stanovisko pro vyjednávání v Minsku – nemyslím to, co říkají veřejně, ale to, co probírají mezi sebou. Mám za to, že jde o cenné informace, které by bylo těžké nebo příliš drahé obstarávat nějakým jiným způsobem.
— V jednom z rozhovorů jste také řekl, že kyberválka je ta nejlevnější válka. Jak moc je však účinná? Myslíte, že dokáže vyřešit problém s klasickou válkou?
Nemluvíme-li o válce obecně, ale jen o některé její součásti, třeba o kybernetické špionáži, ta vyjde řadově levněji než špionáž klasická. Ve veškeré literatuře se dnes zobecněl již dávno otřepaný výrok, že kyber je dnes vedle souše, moře, vzduchu a vesmíru pátým živlem, kde se válčí. Samozřejmě se dnes přes počítač válka vyhrát nedá, přece jen ještě nejsme tak daleko v budoucnosti. Jde však o významnou složku, která doplňuje ostatní druhy vojsk. Ukrajina v tomto ohledu oficiálně nemá žádnou doktrínu. Tato oblast se nerozvíjí, a to ani po stránce obrany, ani po stránce útoku. Existuje samozřejmě spousta státních kybercenter, zejména kybercentrum SBU, kybercentrum Státních zvláštních komunikací nebo kybercentrum Ministerstva obrany, zatím však z jejich strany nevidíme žádné významnější úspěchy.
— Máte určité zásady. Říkal jste třeba, že nezasahujete do ruských kritických infrastruktur, „protože by šlo v podstatě o mezinárodní teroristický čin“. Jaké další podobné zásady UCA má?
Když jsme se aktivně věnovali shromažďování informací o Rusku, zajímaly nás především vojenské a politické cíle. Třeba v roce 2015 se nám podařilo získat přístup k datům ze statisíců ruských mobilních telefonů. Snažili jsme se prozkoumat archivy, třeba SMS a další zprávy, nenašli jsme však nic, co by si zasloužilo pozornost. Proto nemělo smysl plýtvat časem na řadové občany, navíc vzhledem k tomu, že nemáme až tak velký tým.
V Rusku je to s bezpečností o něco málo lepší než v Ukrajině. Mají víc peněz a víc specialistů, nedá se však říct, že by na tom byli moc dobře. Mohli bychom se samozřejmě dostat i do ruské infrastruktury, abychom se někam nabourali a způsobili vážné škody, mám však za to, že bychom se měli podobných akcí vyvarovat a nesklouzávat k terorismu.
V roce 2015 Rusko zasáhlo do provozu ukrajinské energetické soustavy v Kyjevě a Přikarpatí. Právě tehdy šlo o kauzu mezinárodního terorismu, takže mě překvapila velmi umírněná reakce ukrajinské vlády na tyto události. V zahraničí se o útocích na naše elektrárny mluví mnohem častěji než v Ukrajině. Naše Ministerstvo zahraničí také z nějakého důvodu neprohlásilo, že Rusko v podstatě přešlo k teroristickým metodám, což by mohlo poskytnout další páku k nátlaku na RF a udělat z ní konečně odpadlický stát jako je Írán nebo Severní Korea. Věc nebyla řádně vyšetřena. Není jasné, jak se do elektrárenského systému dostali, o co se snažili, zda šlo jen o zkoušku dovedností, náhodu, nebo to bude z jejich strany něco soustavného.
#FuckResponsibleDisclosure
— Jak jste se posunuli od prvního projektu, který měl zahraniční cíl, k tomu vnitrostátnímu na zabezpečení ukrajinských státních struktur?
Toto vše probíhalo souběžně. Když se schvaloval zákon „O základech zajišťování kybernetické bezpečnosti Ukrajiny“, vznikaly na Facebooku četné debaty. Mnoho zástupců úřadů prohlašovalo: „Tak vidíte! A vy jste říkali, že se nic nemění. Podívejte, jaký super zákon jsme schválili. Teď bude konečně vše v pořádku“. Účelem akce #FuckResponsibleDisclosure bylo ukázat, že žádný zákon sám o sobě nic nenapraví a neovlivní. Jako ilustraci tohoto tvrzení jsme ukázali několik zranitelných veřejných informačních systémů. A pak začali tato zranitelná místa vyhledávat cíleně.
Jak už jsem říkal, o žádné nabourání nikdy nešlo. Pro porovnání můžeme uvést situaci, kdy třeba jdeme po ulici kolem domů a všimneme si, že pod jednou rohožkou leží klíč. Nebo peněženka na chodníku. Přijdeme a ukážeme: tady máte pod rohožkou klíč nebo tady vypadlou peněženku. Klíč ani peněženku však nezvedneme ani nepoužijeme. Stejné je to i se zranitelnými místy. Našli jsme je a víme, jak jich lze zneužít a jaké následky to může způsobit. Sami však toho nevyužíváme, jen ukazujeme: tady máte mezeru.
— Jak hodnotíte odbornost kybernetických specialistů pracujících pro státní struktury?
V Ukrajině existuje na sto tisíc nejrůznějších úřadů, obecních nebo státních podniků… Veřejný sektor je obrovský. Někde pracují respektovaní specialisté, kteří tu své znalosti řádně uplatní. Těch je však jako šafránu. Vybavit každý úřad alespoň systémovým adminem je absolutně nemožné. Všech ajťáků je v Ukrajině cca 200 tisíc. Takže i kdyby šli všichni pracovat do veřejného sektoru, ani tak by to nestačilo.
Když jsme před třemi lety spustili #FuckResponsibleDisclosure, do pár měsíců jsme našli mezery minimálně na půlce ministerstev, v prezidentské kanceláři, u mnoha větví veřejné moci včetně týmu rychlé reakce na počítačové incidenty v rámci Státní služby pro speciální komunikace. Ti na svém webu normálně nechali viset plně zobrazené heslo k jedné z mailových schránek. Nebo třeba akademie Ministerstva vnitra nechala na internetu disk přístupný bez hesla obsahující nahranou databázi celého personálu, tedy jak vyučujících, tak posluchačů. Stejné to bylo i s kyjevskou policií…
My do toho samozřejmě nezasahujeme. A přijdeme-li na nějakou informaci, která by zlomyslnému hackerovi pomohla této mezery zneužít a vloupat se, nezveřejníme ji. I když často jediná věc, která na úředníky platí, je, když jim to začneme vytýkat veřejně. Jen strach ze zveřejnění a výsměchu je přiměje něco udělat. Takto byly zakryty ty nejvíc donebevolající mezery. Mnozí se snažili postupovat jinak, kdy na detekované mezery upozorňovali přímo adminy nebo jejich nadřízené. Třeba Žeňa Dokukin (zakladatel iniciativy Ukrajinská kybervojska – red.) rozeslal několik set podobných zpráv. V 99 % případů úředníci na podobná upozornění nereagují.
Účelem akce #FuckResponsibleDisclosure tedy nebylo zakrýt všechny mezery, to jen snahami dobrovolníků udělat nejde, ale ukázat, že stav informační bezpečnosti v Ukrajině je neuspokojivý a neodpovídající. Žádné jednotlivé zákony ani nařízení vlády systémové změny nezpůsobí. Je nutno přehodnotit samotný přístup, v opačném případě budou hackerské útoky trvat. Všichni si pamatujeme NotPetyu, který způsobil škody dosahující 10 miliard dolarů, spoustu úniků z Ministerstva vnitra, SBU, nabourání velkých podniků jako je třeba Antonov, už zmíněné blackouty v Kyjevě a Přikarpatí… Pokud se tomu nezačne věnovat pozornost, bude to mít katastrofální důsledky.
— Když jste informovali o nějaké mezeře, zkontrolovali jste po nějaké době, zda jste je přesvědčili?
Bývalo to různé. Uvedu příklad. Našli jsme veřejně přístupná data o vybavení vodárny, zejména dálkové řízení mechaniky, nějakých klapek a záslepek… Ve vodárenství se moc nevyznám, bylo však jasné, že jde o přímý přístup k zařízení, loginy a hesla, která umožní kdekomu se na dálku připojit a něco provést. Upozornili jsme známé důstojníky Služby bezpečnosti Ukrajiny. Šlo přece o přímou hrozbu, která mohla připravit několik oblastí o vodu. SBU se snažila nějak působit, data z veřejného sektoru zmizela, vodárny však měly natolik vychytralé vedení, že dokázalo i SBU s jejími požadavky někam poslat.
— Dnes je u nás běžné, že se píše víc o negativních věcech. Zajímalo by mě, zda se někdy stalo, že jste našli dobře zabezpečené systémy nebo se setkali s přiměřenou reakcí úředníků.
Ano, nebylo to moc často, ale setkávali jsme se s klidnou profesionální reakcí ze strany úředníků, kdy tito zranitelná místa rychle řešili, psali o tom a veřejně děkovali. Jednali tedy tak, jak měli správně jednat. Ale přece jen chci vyzdvihnout, že úředníci, pokud vůbec reagují, nelze to srovnat s tím, jak reaguje byznys, zejména ten velký.
Třeba když na veřejnost unikla data jednoho mobilního operátora, trvala doba reakce na tento bezpečnostní incident 30 vteřin. Zveřejnili jsme tedy obal dokumentu (na samotném obalu nic důvěrného nebylo), a již za půlminuty nám napsal bezpečnostní inženýr a zdvořile se ptal na všechny podrobnosti. Do 24 hodin provedli vlastní interní šetření, našli příčinu úniku a odstranili ji. Stejné to bylo, když se ve veřejné části internetu našly stopy po nabourání Sněmovny reprezentantů Kongresu USA. Vloupali se tam nějací neznámí hackeři, a jeden z našich dobrovolníků našel meziserver, přes nějž se data stahovala. Opět jen za několik málo hodin se Američané již ptali, zda je tato informace kompletní, nebo existuje ještě něco, co nechceme sdílet veřejně.
Naproti tomu u nás to bohužel často bývá tak, že když odhalíme mezeru, přijde šéf nebo tiskový mluvčí dotčené organizace a začne dokazovat, že na tom nic zranitelného není. Že na tom nezáleží nebo že to zdědili po předchůdcích… Začnou vyhrožovat oznámením na policii nebo SBU, klást všemožný odpor a procházet všemi fázemi od popírání až k přijetí. Z nějakého důvodu jsou přesvědčeni, že to na ně někdo záměrně narafičil, aby je očernil a podrazil.
Prohlídka a soudy
— Jak primárně probíhala interakce mezi Kybernetickou aliancí a veřejnými strukturami?
Ty informace, které jsme pokládali za významné a zneužitelné, jsme předávali vojákům nebo zpravodajcům. O žádnou formální interakci nešlo, jen o komunikaci přes známé důstojníky, jimž se dalo důvěřovat. Pokud jde o mezery ve veřejném sektoru, zveřejňovala se většina informací s popisem zranitelných míst a navrhovaných opatření, která by mohla situaci zlepšit.
Na podzim 2019 byla Kybernetická aliance pozvána na Radu pro národní bezpečnost a obranu. Probíralo se tam, jak zreformovat státní přístup k informační bezpečnosti a jako ho spojit s digitalizačními plány vicepremiéra Mychajla Fedorova. Ten na této poradě také mluvil a vyprávěl o svých plánech. Následně jsme měli několik schůzek s úředníky, poslechli si, co říkají, dali dohromady menší skupinu, vše mezi sebou probrali (nejen v rámci UCA, ale také za účasti mnoha známých ajťáků), vypracovali vizi, jak by se dal stávající systém změnit… U toho to také skončilo. Poseděli jsme spolu, pokecali a rozešli se, nic se nezměnilo.
— A co předtím, oslovily vás státní struktury individuálně v nějakých konkrétních záležitostech?
Ne, neoslovily.
— K dnešnímu dni, po prohlídce v únoru 2020 a následných soudech, jste spolupráci se státními strukturami zastavili. Povězte nám chronologii událostí.
Začněme tím, že na podzim 2019 se v Ukrajině vyměnilo vedení kyberútvarů jak na SBU, tak na policii. Přišli sem noví lidé, i právě v té době se z nějakého důvodu začaly dít zmíněné události. Čím to celé začalo? V říjnu 2019 na letišti Oděsa nějaký neznámý vtipálek promítl na elektronickou tabuli hanlivý obrázek s Gretou Thunbergovou. Všichni se tomu zasmáli a pokrčili rameny: nu, stane se. S tím, že několik týdnů před tímto incidentem jeden z našich dobrovolníků Andrij Perevezij upozornil, že mají v systému mezery.
V únoru 2020 pak ke mně domů vtrhne SBU a policie společně s těžce vyzbrojenou zvláštní jednotkou s brněním a záložními zásobníky k samopalům. Nevím, chtěli snad v mé kuchyni rozpoutat menší válku? V povolení k prohlídce stálo, že já, Andrij Perevezij a Saša Haluščenko (dnes působí na kybercentru Rady pro národní bezpečnost a obranu) prý společně hackli tabuli na mezinárodním letišti Oděsa. Tedy naprosto směšná obvinění a samozřejmě vykonstruovaná kauza.
Nemlčeli jsme a den nato uspořádali tiskovou konferenci, při níž jsme prohlásili, že jde o politický nátlak. Následně proběhla dvě soudní jednání o zajištění odňatých věcí. Při prvním soudním jednání naše obhajoba nenechala na stanovisku prokuratury jedinou nit suchou, během přestávky mezi dvěma soudními jednáními v jediném dni však soudce odešel do pracovní neschopnosti. Domnívám se, že orgány činné v trestním řízení na něj tlačily, aby nevydal spravedlivé rozhodnutí. Pak byl soudce vyměněn, i tento již nechal zajistit naše věci zabrané při prohlídkách, tedy počítače a disky.
Od té doby uplynulo již 11 měsíců. Ve věci nedošlo k žádnému posunu, nemáme ani žádné procesní postavení: nejsme svědkové ani obvinění, oficiálně nám nebylo vysloveno žádné podezření. Dnes má tento případ na starosti policie. Jen to protahují a doufají… Vlastně nevím, v co doufají. Osobně já doufám, že se s pomocí našich skvělých obhájců domůžeme nejen spravedlnosti u soudu, ale také potrestání viníků.
— V jednom rozhovoru jste řekl, že situaci s oděským letištěm považujete za záminku, aby k vám „mohli přijít s prohlídkou, zabavit techniku a pokusit se tam něco najít“. Co přesně podle vás chtějí najít?
Nevím, třeba nějaký kompromitující materiál, aby mohli vyvinout tlak, k něčemu donutit nebo učinit nějaký neslušný návrh. Na to však nikdy nedošlo, protože věc hned přešla do veřejné roviny. O žádných dohodách v této situaci nemůže být řeč. Jsem naprosto přesvědčen, že nebýt letiště Oděsa, využili by jakékoli jiné záminky, aby mohli přijít se stejnými prohlídkami.
– A nesnažili jste se provést vlastní vyšetřování situace kolem letiště?
Ve spisových podkladech jsem nahlédl do technických podrobností. Myslím, že vypátrat skutečného pachatele nebude snadné. To nejlepší, co se dá udělat, je provést bezpečnostní audit a zabezpečit letištní systém. Ten spravuje oděská soukromá společnost, i myslím, že na to mají.
— Při zmíněné tiskovce hned několik členů UCA odtajnilo svou totožnost, i když předtím zachovávali inkognito. Nelitujete tohoto rozhodnutí? Jak to ovlivnilo konkrétně vás?
Celá věc se tím zjednodušila. Navíc vzhledem k tomu, že naše anonymita byla jen pomyslná. Jde spíš o součást obrazu: masky a kukly poutají pozornost. Samozřejmě myslím, že jak SBU, tak Ministerstvo vnitra naše jména znaly už dlouho. Z praktického hlediska pokračovat v této hře na anonymitu nemělo žádný smysl. Proto jsme přišli na tiskovou konferenci pod pravými jmény: já, Artem Karpinskyj, Andrij Perevezij a Oleksandr Haluščenko. Byl s námi také zástupce advokátního sdružení, který poskytl právní vyjádření.
— Co myslíte, měli by ukrajinští hacktivisté mít imunitu, tedy ochranu před trestním stíháním? Nebo by to vedlo k podřízenosti?
V první řadě mám za to, že imunitu před trestním stíháním nesmí mít nikdo. „Správný hoch“ není žádná obhajoba. Náš justiční systém je však zcela zkorumpovaný a rozvrácený, v čemž spatřuji problém. To znamená, že když žádné ukrajinské zákony neporušujeme, pak nechápu, proč by mělo někoho zajímat, zda jsme hackeři, pekaři nebo ještě někdo.
Tisková konference Ukrajinské kybernetické aliance
O aplikaci Dija a bezpečnosti internetu
— Na stejné tiskové konferenci zazněla věta, že kdyby se UCA vždy obrátila na mezinárodní instituce, Ukrajina by o bezvízový styk už dávno přišla. Co konkrétně se tím myslelo?
Pokud si dobře pamatuji, tohle řekl Andrij Perevezij. Chápu-li to správně, měl na mysli, že třeba jaderné elektrárny nebo letiště patří do kritické infrastruktury a že Ukrajina má určité mezinárodní závazky co se týče úrovně zabezpečení těchto objektů. Protože kdyby, chraň Bože, spadlo dopravní letadlo nebo došlo k havárii na jaderné elektrárně, zasáhlo by to nejen Ukrajinu. Takže kdyby se mezinárodní organizace, které dohlížejí na jadernou energetiku a leteckou bezpečnost, dozvěděly, jak nízkou úroveň zabezpečení tyto kritické objekty mají, měly by na ukrajinskou vládu spoustu nepříjemných otázek.
— V jednom ze svých statusů jste tvrdil, že mobilní komunikace v Ukrajině na rozdíl od internetu není bezpečná. Řekněte něco i k tomu.
Skutečně mě překvapuje, že je to pro někoho tajemství. Od začátku 2000. let, kdy byl schválen zákon o telekomunikacích, získala Služba bezpečnosti Ukrajiny přímý přístup k telefonním sítím operátorů. Potřebovala ho k tomu, aby mohla provádět „utajované pátrací úkony“, neboli jednoduše řečeno odposlechy. Orgány činné v trestním řízení dostávají ročně několik tisíc příkazů, aby mohly vést legální odposlechy. Nicméně skutečnost, že mají k zařízení operátorů přímý přístup, samozřejmě skýtá velký prostor ke zneužívání. Existuje černý trh se službami, kdy vám za docela přijatelné peníze prodají jakékoli informace z veřejných rejstříků, zejména budou nelegálně nahrávat telefonáty.
A co se stalo nedávno… Nyní parlament už podruhé projednává nový zákon č. 3014 o telekomunikacích. Poprvé ho sice Nejvyšší rada schválila, ale vetoval Zelenskyj. V zákoně provedli nějaké změny a znovu mu předložili k podpisu. A neví se, zda ho prezident podepíše, nebo vetuje. Obsahuje formulace, které umožňují vykládat ustanovení týkající se odposlechů telefonátů tak, aby i poskytovatelé internetu museli zajistit pro SBU přístup ke svým sítím, což by samozřejmě mělo velmi nepěkné důsledky. Tohle by byla již totální a definitivní nehoráznost.
Nikdo nezpochybňuje, že orgány činné v trestním řízení musí mít legální možnost získávat informace o uživatelích od telefonních operátorů a poskytovatelů internetu. Mám však za to, že by bylo logické, aby si obstaraly příkaz, předložily ho operátorovi, který by pak požadované informace sám nahrával. Budou-li justiční orgány mít přístup k zařízení, budou ho také využívat, a to i k zištným osobním účelům. Což znamená korupci a obrovské ztráty pro hospodářství a práva občanů.
— Nedávno jste také okomentoval provedení bug bounty za účelem odhalení zranitelných stránek aplikace Dija. Podílel jste se na tom? V jaké míře považujete tuto aplikaci vůbec za bezpečnou?
Projekt masové digitalizace pozorně sleduji. A myslím, že jde o digitalizaci zcela nepromyšlenou, kdy se digitalizují ty věci, které jsou vůbec zbytečné. Potřebuji třeba od státu nějaké potvrzení. Nezáleží na tom, jakou má formu, chci, aby žádná potvrzení nebyla vůbec. Nebo vezměme to první, co se v aplikaci Dija udělalo: přidali sem ukrajinský občanský průkaz. Moc nechápu, k čemu je to dobré. Podle mě je mnohem jednodušší zrušit kontrolu občanek při prodeji vlakových jízdenek než nahrávat občanku do telefonu. Chci prostě mít ústavně zaručenou svobodu pohybu a chodit bez občanky. Mnoho nápadů v této aplikaci považuji buď za nesmyslné, nebo za takové, které mohou způsobit velice negativní důsledky.
Víme, že data z rejstříků pravidelně unikají a pravidelně se falšují, že je v těchto rejstřících spousta chyb. A namísto aby se snížilo množství informací, které stát o občanech shromažďuje, a namísto zajištění řádného zabezpečení těchto dat snaží se je Ministerstvo pro digitální transformaci sdružit do obřího systému. Což znamená, že k různým rejstříkům získá přístup víc lidí, bude víc úniků a rizik.
Jde-li o výskyt nějakých zranitelných míst, zde Ministerstvo pro digitální transformaci reaguje na kritiku zcela nepřiměřeně. Mnoho novinářů se snažilo prostřednictvím oficiálních dotazů získat aspoň nějaké informace o portálu a aplikaci, zejména osvědčení komplexního systému zabezpečení informací. V reakci ministerstvo poskytlo záměrně poškozené soubory, které nejdou otevřít. Na všechny dotazy ujišťují: „U nás je vše v pořádku, provedli jsme audity. Máme certifikáty. Ale ty vám neukážeme, musíte nám to prostě věřit“. Mám za to, že informační bezpečnost není tou oblastí, kde můžeme spolehnout na slovo úředníka.
Bug bounty program, který oznámili v prosinci, je PR tah, který jim má poněkud zlepšit pověst: „Oslovili jsme hackery z celého světa, ti vše otestovali a nenašli skoro nic, takže aplikace je spolehlivě zabezpečena“. My osobně jsme se toho nezúčastnili. Několik ukrajinských společností a institucí (jak veřejných, tak soukromých) se však na Ministerstvo pro digitální transformaci obrátilo: „Máme zájem se do bug bounty také zapojit“, a reakce ze strany pana ministra byla naprosto šílená – všechny odpálkoval.
To nasvědčuje, že se snaží vše v tichosti zařídit bokem a takto posílit svou pověst, proto všemožně házejí klacky pod nohy, čímž omezují počet účastníků. Navíc se bug bounty provádí ve chvíli, kdy si lidé jsou již zcela jisti, že k zajištění bezpečnosti udělali vše, co bylo možné. Předtím tu však žádní nezávislí auditoři nebyli. Zúčastnila se jen nějaká estonská neziskovka. Takže nezávislý audit žádný, výsledky nejsou zveřejněny, ale z nějakého záhadného důvodu se provádí bug bounty program.
— Vaše citace: „Hacknout lze cokoliv, je to jen otázka času a vynaložených snah“. Potřebujeme v tomto případě vůbec aplikace jako je Dija?
Skutečnost, že hacknout se dá prakticky cokoliv, neznamená, že máme sedět se složenýma rukama. Nevyzývám k tomu, aby se všichni vrátili do doby kamenné, vzdali se telefonů a počítačů a znovu používali papír. Je to nepraktické, nemoderní, nevidím důvod rezignovat na technický pokrok. Jakýkoli úkol však musíme realizovat správně. Jaký cíl třeba sleduje aplikace Dija? Jeden z těch, které se pravidelně objevují v prohlášeních vedení Ministerstva pro digitální transformaci a samotného pana Zelenského: výhledově to umožní provést volby digitálně.
Mám však za to – což není jen můj názor, ale prakticky všech mezinárodních expertů na volby a informační bezpečnost – že dosud neexistuje žádná technologie, která by umožnila provést volby online a všechny přesvědčit o důvěryhodnosti jejich výsledků. Posláním voleb totiž není určit vítěze, ale přesvědčit poražené, že nikdo nepodváděl. V případě digitálních voleb to není možné, alespoň v současné době. Dnes neexistuje žádný stát s výjimkou Estonska, kde by se konaly online volby. A dokonce i v samotném malém Estonsku existuje mnoho nespokojených, kteří by se rádi vrátili k bezpečnějšímu offline systému.
Chce-li Ministerstvo pro digitální transformaci něco zlepšit, pak má smysl pracovat především na odpovědnosti úředníků za zadávání chybných informací do rejstříků. Dejme tomu, že chcete použít řidičák v aplikaci Dija. Může se stát, že tu bude chybět fotografie, vložka techničáku, nebo že text obsahuje jakýkoli nesmysl. Pak budeme muset navštívit Centrum správních služeb a vyřídit si nový řidičák prakticky od začátku. Myslím, že užitečnou digitalizací by bylo donutit ty úředníky, kteří zadali chybná data, aby svou chybu napravili, abyste tedy nemuseli obíhat úřady, ale oni to udělali sami. Teprve až systém začne fungovat normálně v offline, může se nechat zautomatizovat. Když zautomatizujeme bordel a podvádění, získáme automatický bordel a digitální podvádění.
— V jednom z rozhovorů jste říkal, že neodbornost a nezodpovědnost jsou dva důvody, které umožňují ruským hackerům útočit na naše státní a obchodní struktury. Jak vidíte překonání těchto problémů? A je vůbec možné je zcela vyřešit, když podle vás lze hacknout cokoliv?
Hacknout sice lze cokoliv, někoho však lze hacknout snadno a u někoho to dá práci. A nezáleží tolik na samotném nabourání, ale na tom, jak na ně reagují lidé a jak se snaží způsobenou škodu snížit.
Úředníci si musí uvědomit, že jsou zodpovědní za data, která jsme jim svěřili, protože mají svou hodnotu. Můžeme zjistit dokonce konkrétní ceny na černém trhu. Jde tedy o hodnotnou věc, která se musí hlídat stejně tak jako fyzické objekty. Zatím však za jejich integritu a ochranu nikdo nezodpovídá.
Je tu i druhá strana mince: člověk může zodpovídat jen za to, čemu rozumí. Nemá-li státní organizace systémového admina, ale jen špatně placeného zaměstnance, který pobíhá a vyměňuje kazety v tiskárnách, ten samozřejmě nemůže odpovídat za nic. Ale pokud státní úřad nezvládá udržovat vlastní informační systém, nechť se vrátí k papíru, trezorům a ostraze u vchodu. Buď se tedy naučíte udržovat své informační systémy a zodpovídat za jejich integritu až do úrovně trestní odpovědnosti, výpovědí, pokut nebo důtek, nebo je prostě nemáte provozovat.
— Na začátku rozhovoru jste řekl, že v organizaci dnes zbývají tři aktivní členové. Čím se Ukrainian Cyber Alliance zabývá dnes?
V tuto chvíli se zabýváme především vlastními starostmi. I když se samozřejmě podílíme na všemožných debatách, zejména o změnách v legislativní sféře. Žádné systémové projekty však aktuálně nevedeme. Pro začátek se tedy chceme domoci spravedlnosti u soudu, pak si ujasníme, co dál.
— Máte nějaké konkrétní plány nebo nápady?
Nápadů je spousta: co bychom mohli udělat jak pro zabezpečení, tak pro útok. Vymýšlet podobné projekty je právě posláním občanského sdružení. Ty jsou však odloženy na neurčito. Nejdřív to musíme dořešit se soudem.
Čtěte také další příspěvky k tématu na InformNapalmu
- Dobrovolníci zveřejnili rozsáhlou interaktivní databázi ruské agrese
- Dobrovolníci nasbírali důkazy účasti 32 vojenských jednotek Ozbrojených sil RF na záboru Krymu
- SurkovLeaks (part 3): rozbor korespondence Surkovova prvního náměstka Inala Ardzinby
- SurkovLeaks (part 2): hacktivisté zveřejnili další hacknuté maily ze Surkovovy kanceláře
- Nabourané finanční soustavy „DLR“. Na účtech nadace teroristy Zacharčenka je přes 100 mil. rublů
- Kybernetická válka: přehled nejúspěšnějších veřejných operací Ukrajinské kybernetické aliance 2016
- FrolovLeaks VII: rozpočty na řádění „Ruského jara“
- Andrij Derkač a jeho pásky: o zvláštní operaci RF na ovlivnění prezidentských voleb v USA
- V pozadí protiukrajinských akcí v Polsku stojí Kreml. Rozbor nabourané korespondence
- Náčelník dělostřelectva prvního ruského okupačního sboru pod dohledem UCA. Díl 1
- Náčelník rozvědky 2. armádního sboru pod dohledem UCA. Part 5: PSNR-8
- UCA: „Jak jsme průmyslově lovili ruské propagandisty“ (anglicky)
- Náčelník rozvědky 2. armádního sboru pod dohledem UCA. Part 2: drony Forpost
- Hackeři „spálili“ příslušníka zvláštních jednotek ruské vězeňské služby. Video (18+)
Šíření nebo převzetí s odkazem na zdroj je vítáno. Příspěvky od InformNapalmu lze použít na základě volné licence Creative Commons s uvedením autorství, CC BY. Podmínkou používání našich příspěvků je hypertextový odkaz na zdroj v prvním nebo druhém odstavci vaší publikace. Sledujte facebookovou stránku naší komunity InformNapalm Česko.
InformNapalm nedostává žádnou finanční podporu od vlády jakéhokoli státu ani od dárců. Jedinými přispěvateli financujícími provoz našeho webu jsou dobrovolníci z naší komunity a čtenáři webu. Zařadit se mezi dobrovolníky můžete i vy, popř. podpořit rozvoj jedinečného dobrovolnického zpravodajského média InformNapalm svými příspěvky prostřednictvím Patreonu.
Překlad: Svatoslav Ščyhol
Aktuální hlášení skupiny INFORM NAPALM