{"id":9069,"date":"2021-02-05T22:21:19","date_gmt":"2021-02-05T22:21:19","guid":{"rendered":"https:\/\/informnapalm.org\/cz\/?p=9069"},"modified":"2021-02-05T22:21:19","modified_gmt":"2021-02-05T22:21:19","slug":"o-ukrajinskych-hacktivistech-kybervalce-a-zranitelnych-mistech-ve-statnim-sektoru-rozhovor-s-mluvcim-ukrainian-cyber-alliance","status":"publish","type":"post","link":"https:\/\/informnapalm.org\/cz\/o-ukrajinskych-hacktivistech-kybervalce-a-zranitelnych-mistech-ve-statnim-sektoru-rozhovor-s-mluvcim-ukrainian-cyber-alliance\/","title":{"rendered":"O ukrajinsk\u00fdch hacktivistech, kyberv\u00e1lce a zraniteln\u00fdch m\u00edstech ve st\u00e1tn\u00edm sektoru. Rozhovor s mluv\u010d\u00edm Ukrainian Cyber Alliance"},"content":{"rendered":"

4. \u00fanora 2021 vy\u0161el na port\u00e1lu DOU.ua<\/a> zaj\u00edmav\u00fd rozhovor s\u00a0mluv\u010d\u00edm Ukrainian Cyber Alliance (UCA) Andrijem Baranovy\u010dem. Tento rozhovor zprost\u0159edkov\u00e1v\u00e1me tak\u00e9 pro \u010dten\u00e1\u0159e webov\u00fdch str\u00e1nek mezin\u00e1rodn\u00ed dobrovolnick\u00e9 komunity InformNapalm, kter\u00e1 v\u00a0jist\u00e9 historick\u00e9 f\u00e1zi tak\u00e9 sehr\u00e1la v\u00fdznamnou roli pro spojen\u00ed r\u016fzn\u00fdch skupin ukrajinsk\u00fdch hacktivist\u016f v\u00a0jedin\u00fd v\u00fdkonn\u00fd t\u00fdm UCA. Na na\u0161em webu najdete mnoho publikac\u00ed<\/a>, kter\u00e9 vznikly d\u00edky spolupr\u00e1ci mezi OSINT investigativci z\u00a0InformNapalmu a hacktivisty z\u00a0Ukrainian Cyber Alliance a dal\u0161\u00edch d\u00edl\u010d\u00edch skupin ukrajinsk\u00fdch IT specialist\u016f. P\u0159esn\u011b p\u0159ed 4\u00a0lety, za\u010d\u00e1tkem \u00fanora 2017, vy\u0161el tak\u00e9 n\u00e1\u0161 kr\u00e1tk\u00fd filmov\u00fd dokument CYBERWAR: p\u0159ehled \u00fasp\u011b\u0161n\u00fdch operac\u00ed UCA v\u00a0roce 2016<\/a>, kter\u00fd bude zaj\u00edmav\u00fd jako dopln\u011bn\u00ed tohoto rozhovoru.<\/p>\n

\n

Ukrajinsk\u00e1 kybernetick\u00e1 aliance<\/a> (UCA) je komunita ukrajinsk\u00fdch hacktivist\u016f, kter\u00e1 vznikla v\u00a0roce 2016 spojen\u00edm v\u00edce hackersk\u00fdch skupin. Podle tiskov\u00e9ho mluv\u010d\u00edho Ukrainian Cyber Alliance Andrije Baranovy\u010de<\/a> bylo jejich hlavn\u00edm c\u00edlem obstar\u00e1v\u00e1n\u00ed informac\u00ed o\u00a0Rusku a jeho \u00fa\u010dasti ve v\u00e1lce. Pozd\u011bji UCA tak\u00e9 spustila flashmob #FuckResponsibleDisclosure, kter\u00fd m\u011bl vyhodnotit kvalitu zabezpe\u010den\u00ed ukrajinsk\u00fdch st\u00e1tn\u00edch datov\u00fdch \u00falo\u017ei\u0161\u0165. V\u00a0rozhovoru pro DOU.ua \u0159ekl Andrij Baranovy\u010d o\u00a0aktivit\u00e1ch UCA, jednotliv\u00fdch akc\u00edch, kyberv\u00e1lce a prohl\u00eddk\u00e1ch SBU u\u00a0\u010dlen\u016f t\u00e9to organizace. Pod\u011blil se tak\u00e9 o\u00a0sv\u016fj n\u00e1zor na aplikaci Dija, online volby a bezpe\u010dnost internetu v\u00a0Ukrajin\u011b.<\/p>\n

<\/a><\/p>\n

O\u00a0Ukrainian Cyber Alliance<\/h2>\n

\u2014 Prvn\u00ed ot\u00e1zka je obecn\u00e1: kdo jsou hacke\u0159i?<\/em><\/p>\n

J\u00e1 s\u00e1m se neidentifikuji prim\u00e1rn\u011b jako hacker, ale jako specialista na s\u00edt\u011b, programov\u00e1n\u00ed a bezpe\u010dnost. K\u00a0ve\u0159ejn\u00fdm hacktivit\u00e1m jsem se dostal teprve kdy\u017e za\u010dala v\u00e1lka. Spole\u010dn\u011b s\u00a0kolegy jsme si \u0159ekli, \u017ee sv\u00e9 znalosti m\u016f\u017eeme uplatnit i t\u00edmto zp\u016fsobem. Kdo toti\u017e um\u00ed syst\u00e9my zabezpe\u010dit, mus\u00ed tak\u00e9 v\u011bd\u011bt, jak na n\u011b \u00fato\u010dit. Na rozd\u00edl od tzv. \u010dern\u00fdch hacker\u016f, kte\u0159\u00ed to d\u011blaj\u00ed pro pen\u00edze, a tak\u00e9 od b\u00edl\u00fdch hacker\u016f, kte\u0159\u00ed to d\u011blaj\u00ed jen tak ze z\u00e1jmu, aby zjistili, jak funguj\u00ed technologie, my se \u0159ad\u00edme mezi hacktivisty, proto\u017ee z\u00edskan\u00e9 informace vyu\u017e\u00edv\u00e1me k\u00a0vojensk\u00fdm a politick\u00fdm \u00fa\u010del\u016fm.<\/p>\n

\u2014 Nyn\u00ed budu citovat va\u0161e rozhovory, abyste se k\u00a0tomu vyj\u00e1d\u0159il. V\u00a0jednom z\u00a0\u010dl\u00e1nk\u016f tvrd\u00edte: \u201eNa tzv. \u010dern\u00fdch f\u00f3rech politiku potla\u010duj\u00ed admini: cechov\u00e9 z\u00e1jmy jsou vy\u0161\u0161\u00ed ne\u017e ty n\u00e1rodn\u00ed\u201c. Plat\u00ed to o\u00a0ukrajinsk\u00e9 hackersk\u00e9 komunit\u011b obecn\u011b?<\/em><\/p>\n

Tento cit\u00e1t se vztahuje pouze na \u010dern\u00e9 hackery, kte\u0159\u00ed hackerstv\u00ed provozuj\u00ed jako zdroj v\u00fdd\u011blku. Jako specialista na informa\u010dn\u00ed bezpe\u010dnost m\u00e1m p\u0159\u00edstup i na neve\u0159ejn\u00e1 hackersk\u00e1 f\u00f3ra. Proto\u017ee se mimo jin\u00e9 zab\u00fdv\u00e1me shroma\u017e\u010fov\u00e1n\u00edm dat o\u00a0tom, jak \u010dern\u00ed hacke\u0159i postupuj\u00ed, pozorujeme je v\u00a0jejich p\u0159irozen\u00e9m prost\u0159ed\u00ed, zkoum\u00e1me jejich zvyklosti a zp\u016fsoby, zda tu nejsou n\u011bjak\u00e9 novinky\u2026 I politika tu samoz\u0159ejm\u011b nen\u00ed v\u00edt\u00e1na, proto\u017ee to velmi \u0161kod\u00ed byznysu. \u010cern\u00e9 hackery m\u016f\u017eeme p\u0159ece tak\u00e9 ozna\u010dit za podnikatele, i kdy\u017e jejich \u010dinnost nen\u00ed leg\u00e1ln\u00ed. Proto se sna\u017e\u00ed politiku ne\u0159e\u0161it. Kyberkriminalita nem\u00e1 \u017e\u00e1dnou n\u00e1rodnost.<\/p>\n

\u2014 U\u017e jste nakousl t\u00e9ma vzniku Ukrajinsk\u00e9 kybernetick\u00e9 aliance. Pov\u011bzte n\u00e1m podrobn\u011bji, jak to cel\u00e9 za\u010dalo.<\/em><\/p>\n

P\u016fvodn\u011b jsme m\u011bli samostatnou skupinu s\u00a0n\u00e1zvem RUH8. Spole\u010dn\u011b s\u00a0kolegy jsme provedli n\u011bkolik akc\u00ed, kdy jsme mimo jin\u00e9 hackli St\u00e1tn\u00ed dumu Rusk\u00e9 federace, Radu federace nebo region\u00e1ln\u00ed vl\u00e1dy v\u00a0Astrachani a Orenburgu. Spolupr\u00e1ci s\u00a0dal\u0161\u00edmi hackersk\u00fdmi skupinami jsme nav\u00e1zali d\u00edky webu InformNapalm<\/a>, kam jsme v\u0161ichni p\u0159ed\u00e1vali informace ke zpracov\u00e1n\u00ed a zve\u0159ejn\u011bn\u00ed. K\u00a0\u010dervnu 2016 ji\u017e vznikla kompletn\u00ed Ukrajinsk\u00e1 kybernetick\u00e1 aliance ze skupin RUH8, FalconsFlame, Trinity a CyberHunta. V\u0161ichni jsme m\u011bli r\u016fzn\u00e9 dovednosti a r\u016fzn\u00e9 odbornosti, d\u00edky \u010demu\u017e jsme se vz\u00e1jemn\u011b dopl\u0148ovali. A takto jsme pokra\u010dovali a\u017e do roku 2019, ne\u017e k\u00a0n\u00e1m v\u00a0\u00fanoru 2020 vtrhla kyberpolicie a Slu\u017eba bezpe\u010dnosti Ukrajiny SBU s\u00a0naprosto nesmysln\u00fdmi obvin\u011bn\u00edmi.<\/p>\n

\u2014 K\u00a0tomuto t\u00e9matu se je\u0161t\u011b vr\u00e1t\u00edme. P\u0159edt\u00edm bychom se r\u00e1di n\u011bco dozv\u011bd\u011bli o\u00a0organizaci celkov\u011b. Kolik m\u00e1 \u010dlen\u016f? Kdo jsou, zda \u017eij\u00ed v\u00a0Ukrajin\u011b, nebo m\u00e1te tak\u00e9 cizince, kte\u0159\u00ed se cht\u011bj\u00ed na va\u0161ich akc\u00edch tak\u00e9 pod\u00edlet?<\/em><\/p>\n

V\u00a0sou\u010dasn\u00e9 dob\u011b UCA jako \u0161irok\u00e1 komunita prakticky neexistuje. P\u0159ed rokem jsme spole\u010dn\u011b s\u00a0kolegy nechali na\u0161i organizaci ofici\u00e1ln\u011b zapsat na Ministerstvu spravedlnosti, proto dnes m\u00e1me ob\u010dansk\u00e9 sdru\u017een\u00ed \u201eUkrajinsk\u00e1 kybernetick\u00e1 aliance\u201c. M\u011bli jsme v\u00a0pl\u00e1nu se zab\u00fdvat bezpe\u010dnost\u00ed, a to i ukrajinsk\u00fdch syst\u00e9m\u016f, v\u00e1lku toti\u017e netvo\u0159\u00ed pouze \u00fatok, ale tak\u00e9 obrana. Tyto v\u011bci jsme \u0159e\u0161ili na podzim 2019 se z\u00e1stupci \u00fa\u0159ad\u016f, zejm\u00e9na na Rad\u011b pro n\u00e1rodn\u00ed bezpe\u010dnost a obranu. Pak se to v\u0161ak n\u011bkomu znel\u00edbilo\u2026 Dnes tedy m\u00e1me ob\u010dansk\u00e9 sdru\u017een\u00ed, kter\u00e9 m\u00e1 t\u0159i z\u0159izovatele.<\/p>\n

\u2014 A jak se v\u011bci m\u011bly do lo\u0148sk\u00e9ho roku?<\/em><\/p>\n

P\u0159esn\u00fd po\u010det st\u00e1l\u00fdch \u010dlen\u016f uv\u00e1d\u011bt nebudu, ale nebyl nijak velk\u00fd, plus m\u00ednus 10\u00a0lid\u00ed. \u017d\u00e1dnou zahrani\u010dn\u00ed pomoc jsme nikdy nep\u0159ijali ani nep\u0159ij\u00edm\u00e1me. Nikdy jsem si ned\u00e1val za c\u00edl zjistit, kdo jsou ostatn\u00ed \u010dlenov\u00e9. O\u00a0n\u011bkter\u00fdch toho v\u00edm v\u00edce, o\u00a0n\u011bkter\u00fdch m\u00e9n\u011b. Jedn\u00e1 se p\u0159edev\u0161\u00edm o\u00a0technicky zam\u011b\u0159en\u00e9 specialisty. Vypt\u00e1vat se na tyto v\u011bci nen\u00ed v\u016fbec vhodn\u00e9: \u010d\u00edm m\u00e9n\u011b toho v\u00edm, t\u00edm tvrd\u0161\u00ed m\u00e1m sp\u00e1nek.<\/p>\n

Do aliance pat\u0159ili specialist\u00e9 z\u00a0Ukrajiny. Zat\u00edmco na\u0161e c\u00edle se nach\u00e1zely pouze v\u00a0Rusk\u00e9 federaci nebo na \u00fazem\u00ed, kter\u00e9 okupuje. V\u017edy jsme st\u00e1le znovu opakovali a opakujeme, \u017ee na\u0161im c\u00edlem bylo pouze z\u00edsk\u00e1v\u00e1n\u00ed informac\u00ed o\u00a0Rusku, jeho \u00fa\u010dasti ve v\u00e1lce, vojensk\u00fdch a politick\u00fdch \u0161pi\u010dk\u00e1ch, nic jin\u00e9ho n\u00e1s nikdy nezaj\u00edmalo.<\/p>\n

\u201eNa v\u00fdhru\u017eky prost\u011b nereagujeme\u201c<\/h2>\n

\u2014 Jste tiskov\u00fd mluv\u010d\u00ed Ukrajinsk\u00e9 kybernetick\u00e9 aliance. Vybral v\u00e1s n\u011bkdo na tuto pozici, nebo jste s\u00e1m cht\u011bl komunikovat s\u00a0tiskem za UCA?<\/em><\/p>\n

V\u017edy jsem ch\u00e1pal, \u017ee chceme-li doc\u00edlit, aby na\u0161e informace m\u011bly vliv na okoln\u00ed d\u011bn\u00ed, mus\u00edme o\u00a0tom podrobn\u011b informovat, komunikovat s\u00a0lidmi\u2026 Cel\u00e9 to za\u010dalo tak, \u017ee n\u00e1s po\u017e\u00e1dal o\u00a0rozhovor \u010dasopis Fokus. Tak jsem sv\u00e9 kolegy p\u0159esv\u011bd\u010dil, \u017ee ho poskytnout mus\u00edme, aby lid\u00e9 dob\u0159e ch\u00e1pali, kdo jsme, co d\u011bl\u00e1me, aby n\u00e1s nevn\u00edmali jako hrozbu a nepletli si n\u00e1s s\u00a0\u010dern\u00fdmi hackery.<\/p>\n

\u2014 Jak \u010dasto komunikujete s\u00a0novin\u00e1\u0159i?<\/em><\/p>\n

Dost \u010dasto. Mnoha m\u00e9di\u00edm poskytuji koment\u00e1\u0159e jako bezpe\u010dnostn\u00ed expert nebo zve\u0159ej\u0148uji sloupky k\u00a0aktu\u00e1ln\u00edmu d\u011bn\u00ed.<\/p>\n

\u2014 Jak\u00e9 komunika\u010dn\u00ed prost\u0159edky vyu\u017e\u00edv\u00e1te pro informov\u00e1n\u00ed o\u00a0v\u00fdsledc\u00edch sv\u00fdch akc\u00ed?<\/em><\/p>\n

Dokud jsme pracovali na na\u0161em hlavn\u00edm projektu zam\u011b\u0159en\u00e9m proti Rusku, byl na\u0161im f\u00f3rem InformNapalm. Ve spolupr\u00e1ci s\u00a0nimi jsme zpracov\u00e1vali data, psali \u010dl\u00e1nky, kter\u00e9 obsahovaly odkazy na materi\u00e1l, aby si ho mohl ka\u017ed\u00fd st\u00e1hnout, ov\u011b\u0159it a ujistit se, \u017ee nikoho neklameme a \u017ee se v\u011bci maj\u00ed p\u0159esn\u011b tak, jak sd\u011blujeme v\u00a0publikac\u00edch.<\/p>\n

\u2014 V\u00a0r\u016fzn\u00fdch rozhovorech jste nejednou kladl d\u016fraz na to, \u017ee p\u016fsob\u00edte v\u00a0r\u00e1mci platn\u00e9 pr\u00e1vn\u00ed \u00fapravy. P\u0159esto m\u00e1 mnoho lid\u00ed v\u00fdraz \u201ehacker\u201c spojen\u00fd s\u00a0n\u011b\u010d\u00edm, co je za hranou z\u00e1kona. Jak se to uplat\u0148uje v\u00a0Kybernetick\u00e9 alianci?<\/em><\/p>\n

Samoz\u0159ejmost\u00ed je, \u017ee poru\u0161ujeme z\u00e1kony Rusk\u00e9 federace. R\u016fzn\u00e9 rusk\u00e9 org\u00e1ny \u010dinn\u00e9 v\u00a0trestn\u00edm \u0159\u00edzen\u00ed, a\u0165 u\u017e policie, FSB nebo Vy\u0161et\u0159ovac\u00ed v\u00fdbor, vedou proti n\u00e1m n\u011bkolik des\u00edtek trestn\u00edch kauz. Toho se v\u016fbec neost\u00fdch\u00e1me ani neboj\u00edme, proto\u017ee Ukrajina a Rusko v\u00a0justi\u010dn\u00ed sf\u00e9\u0159e nijak nespolupracuj\u00ed. Na okupovan\u00e9m \u00fazem\u00ed Ukrajina na sv\u00e9 z\u00e1vazky co do udr\u017eov\u00e1n\u00ed po\u0159\u00e1dku a z\u00e1konnosti rezignovala. A na Interpol se Rusk\u00e1 federace obr\u00e1tit nem\u016f\u017ee, proto\u017ee v\u0161echny tyto akce maj\u00ed politickou slo\u017eku.<\/p>\n

V\u00a0Ukrajin\u011b samoz\u0159ejm\u011b z\u00e1kony neporu\u0161ujeme. Dokonce i kdy\u017e jsme zah\u00e1jili akci #FuckResponsibleDisclosure, kter\u00e1 m\u011bla za c\u00edl uk\u00e1zat, \u017ee ukrajinsk\u00e9 syst\u00e9my jsou velmi zraniteln\u00e9 v\u016f\u010di \u00fatok\u016fm jak z\u00a0Ruska, tak od krimin\u00e1ln\u00edch hacker\u016f, uplat\u0148ovali jsme jen neinvazivn\u00ed prost\u0159edky. Najdeme-li n\u011bjak\u00e9 informace, kter\u00e9 pat\u0159\u00ed ukrajinsk\u00e9mu st\u00e1tu, jen tak ve\u0159ejn\u011b viset, nem\u00e1 to nic spole\u010dn\u00e9ho s\u00a0nabour\u00e1n\u00edm, proto\u017ee se tam dostaly z\u00a0n\u011b\u010d\u00ed nedbalosti. T\u00edmto zp\u016fsobem ukazujeme, \u017ee ka\u017ed\u00fd z\u00e1jemce m\u016f\u017ee doslova prost\u0159ednictv\u00edm Google vyhled\u00e1va\u010de naj\u00edt utajovan\u00e9 dokumenty, kter\u00e9 se t\u00fdkaj\u00ed na\u0161\u00ed arm\u00e1dy, tajn\u00fdch slu\u017eeb atd.<\/p>\n

\u2014 \u0158\u00edkal jste, \u017ee za ta l\u00e9ta, co UCA existuje, v\u00e1m v\u00a0jednom kuse chod\u00ed v\u00fdhru\u017eky. Od koho a jak vypadaj\u00ed?<\/em><\/p>\n

T\u011bm, koho nabour\u00e1v\u00e1me, se to samoz\u0159ejm\u011b nel\u00edb\u00ed. Jako t\u0159eba v\u00a0situaci s\u00a0rusk\u00fdm propagandistou Prochanovem. Zmocnil jsem se jeho facebookov\u00e9 str\u00e1nky a z\u00e1rove\u0148 jeho m\u00e9di\u00ed D\u011b\u0148 a Zavtra a napsal jeho jm\u00e9nem n\u011bkolik vtipn\u00fdch text\u016f. Shora jmenovan\u00fd se pak nad t\u00edm v\u00a0\u017eiv\u00e9m vys\u00edl\u00e1n\u00ed po\u0159adu V\u011bsti velmi roz\u010diloval a jeho syn Andrej Fefelov chrlil pr\u00e1zdn\u00e9 v\u00fdhru\u017eky. Z\u00a0okupovan\u00e9ho \u00fazem\u00ed tak\u00e9 po\u0159\u00e1d pos\u00edlaj\u00ed n\u011bjak\u00e9 hnusy. My tyto v\u00fdhru\u017eky prost\u011b ignorujeme.<\/p>\n

<\/a><\/p>\n

Kyberv\u00e1lka<\/h2>\n

\u2014 Kterou ze sv\u00fdch akc\u00ed pova\u017eujete za nej\u00fasp\u011b\u0161n\u011bj\u0161\u00ed?<\/em><\/p>\n

V\u00a0tomto ohledu je t\u011b\u017ek\u00e9 vybrat jen n\u011bco. Ob\u010das se poda\u0159ilo dohledat informace t\u0159eba od Feder\u00e1ln\u00ed str\u00e1\u017en\u00ed slu\u017eby RF, co\u017e je sou\u010d\u00e1st n\u011bkdej\u0161\u00edho KGB, kter\u00e1 se zab\u00fdv\u00e1 mj. bezpe\u010dnost\u00ed kritick\u00e9 infrastruktury. Proto nebylo snadn\u00e9 tyto informace naj\u00edt. Nejv\u00edce zm\u00ednek v\u00a0tisku z\u00edskala akce SurkovLeaks<\/a>, kdy jsme zp\u0159\u00edstupnili e-mailov\u00e9 schr\u00e1nky kancel\u00e1\u0159e apar\u00e1tu asistenta prezidenta RF Vladislava Surkova. Rozruch zp\u016fsobilo, \u017ee se tato akce \u010dasov\u011b shodovala s\u00a0prezidentsk\u00fdmi volbami v\u00a0USA. Hned se objevily \u0159e\u010di, \u017ee by mohlo j\u00edt o\u00a0americkou odvetu Rusku za nabour\u00e1n\u00ed DNC. Tyto zv\u011bsti samoz\u0159ejm\u011b vyvr\u00e1tila americk\u00e1 zpravodajsk\u00e1 komunita, toto na\u010dasov\u00e1n\u00ed v\u0161ak vzbudilo pozornost o\u00a0p\u0159edm\u011btn\u00e9 t\u00e9ma. M\u011bli jsme tak\u00e9 akce, kter\u00e9 byly zaj\u00edmav\u00e9 z\u00a0technick\u00e9ho hlediska.<\/p>\n

\u2014 N\u00e1s budou \u010d\u00edst program\u00e1to\u0159i, ty by tedy zaj\u00edmala pr\u00e1v\u011b technick\u00e1 str\u00e1nka\u2026<\/em><\/p>\n

Z\u00a0pohledu techniky byla zaj\u00edmav\u00fdm p\u0159\u00edpadem Orenbursk\u00e1 oblast. Pou\u017eili jsme ji\u017e zve\u0159ejn\u011bn\u00e9 exploity. Jednalo se o\u00a0Heartbleed, tedy pam\u011b\u0165ov\u00fd \u00fanik. Oskenovali jsme velk\u00fd po\u010det rusk\u00fdch web\u016f, mezi nimi\u017e se na\u0161el jeden men\u0161\u00ed web um\u00edst\u011bn\u00fd v\u00a0centru zpracov\u00e1n\u00ed dat orenbursk\u00e9 oblastn\u00ed vl\u00e1dy, tzn. do\u0161lo k\u00a0\u00faniku p\u0159\u00edstupu k\u00a0n\u011bmu z\u00a0pam\u011bti serveru. Dlouho se v\u0161ak neda\u0159ilo nic ud\u011blat, proto\u017ee maj\u00ed jednak IT odd\u011blen\u00ed, jednak odd\u011blen\u00ed pro informa\u010dn\u00ed bezpe\u010dnost s\u00a0p\u0159\u00edsn\u00fdm dohledem ze strany FSB. V\u00a0jistou chv\u00edli v\u0161ak syst\u00e9mov\u00fd admin ud\u011blal chybu: p\u0159imontoval s\u00ed\u0165ov\u00e9 \u00falo\u017ei\u0161t\u011b k\u00a0ve\u0159ejn\u00e9mu webov\u00e9mu serveru, odkud pak u\u017e uniklo dost informac\u00ed na to, abychom mohli z\u00edskat p\u0159\u00edstup k\u00a0cel\u00e9mu syst\u00e9mu, zabydlet se tu a n\u00e1sledn\u011b monitorovat v\u0161echny slo\u017eky t\u00e9to oblastn\u00ed vl\u00e1dy v\u010detn\u011b FSB.<\/p>\n

Museli jsme dokonce vyhnat n\u011bkolik zbloudil\u00fdch hacker\u016f, kte\u0159\u00ed se vloupali do stejn\u00e9ho syst\u00e9mu, abychom nep\u0159i\u0161li o\u00a0p\u0159\u00edstup. Udr\u017eeli jsme tedy p\u0159\u00edstup dost dlouho, asi rok a p\u016fl. B\u011bhem t\u00e9to doby jsme odsud vyt\u00e1hli v\u0161e, co se dalo vyt\u00e1hnout. To ukazuje, jak dokonce nepatrn\u00e9 a chvilkov\u00e9 chyby zp\u016fsobuj\u00ed dlouhodob\u00e9 n\u00e1sledky. A kdy\u017e APT skupina (advanced persistent threat) u\u017e do syst\u00e9mu vnikla a opevnila se tu, pak je t\u011b\u017ek\u00e9 takov\u00e9 hackery odhalit, budou odsud tahat data t\u0159eba i dlouh\u00e1 l\u00e9ta. Podobn\u00fdm p\u0159\u00edpadem, snad medi\u00e1ln\u011b nejzn\u00e1m\u011bj\u0161\u00edm z\u00a0posledn\u00ed doby, byl supply chain \u00fatok<\/a> na SolarWinds, kdy ru\u0161t\u00ed hacke\u0159i tak\u00e9 distribuovali zadn\u00ed vr\u00e1tka p\u0159es software na monitorov\u00e1n\u00ed s\u00edt\u011b a tento p\u0159\u00edstup udr\u017eovali dlouh\u00e9 m\u011bs\u00edce. K\u00a0jejich odhalen\u00ed do\u0161lo tak\u0159ka n\u00e1hodou.<\/p>\n

\u2014 Jak\u00fd maj\u00ed va\u0161e akce c\u00edl? \u010ceho chcete dos\u00e1hnout?<\/em><\/p>\n

Jde o\u00a0to, \u017ee ru\u0161t\u00ed hacke\u0159i brouzdaj\u00ed ukrajinsk\u00fdmi syst\u00e9my jako u\u00a0sebe doma. Stav informa\u010dn\u00ed bezpe\u010dnosti v\u00a0na\u0161em st\u00e1tn\u00edm sektoru je ot\u0159esn\u00fd. Tak\u017ee hned prvn\u00ed vzkaz, kter\u00fd bychom cht\u011bli vyslat: v\u0161e, co vy m\u016f\u017eete ud\u011blat n\u00e1m, m\u016f\u017eeme ud\u011blat tak\u00e9 my v\u00e1m. M\u00e1me k\u00a0tomu dostatek znal\u00fdch odborn\u00edk\u016f. Druh\u00fdm c\u00edlem je p\u0159\u00edm\u00e9 z\u00edsk\u00e1v\u00e1n\u00ed informac\u00ed o\u00a0tom, kdo rozhoduje, zejm\u00e9na ve vojensk\u00fdch v\u011bcech, jak se rozhoduje, na co se mysl\u00ed v\u00a0kancel\u00e1\u0159i prezidenta RF, jak\u00e9 maj\u00ed stanovisko pro vyjedn\u00e1v\u00e1n\u00ed v\u00a0Minsku\u00a0\u2013 nemysl\u00edm to, co \u0159\u00edkaj\u00ed ve\u0159ejn\u011b, ale to, co prob\u00edraj\u00ed mezi sebou. M\u00e1m za to, \u017ee jde o\u00a0cenn\u00e9 informace, kter\u00e9 by bylo t\u011b\u017ek\u00e9 nebo p\u0159\u00edli\u0161 drah\u00e9 obstar\u00e1vat n\u011bjak\u00fdm jin\u00fdm zp\u016fsobem.<\/p>\n

\u2014 V\u00a0jednom z\u00a0rozhovor\u016f jste tak\u00e9 \u0159ekl, \u017ee kyberv\u00e1lka je ta nejlevn\u011bj\u0161\u00ed v\u00e1lka. Jak moc je v\u0161ak \u00fa\u010dinn\u00e1? Mysl\u00edte, \u017ee dok\u00e1\u017ee vy\u0159e\u0161it probl\u00e9m s\u00a0klasickou v\u00e1lkou?<\/em><\/p>\n

Nemluv\u00edme-li o\u00a0v\u00e1lce obecn\u011b, ale jen o\u00a0n\u011bkter\u00e9 jej\u00ed sou\u010d\u00e1sti, t\u0159eba o\u00a0kybernetick\u00e9 \u0161pion\u00e1\u017ei, ta vyjde \u0159adov\u011b levn\u011bji ne\u017e \u0161pion\u00e1\u017e klasick\u00e1. Ve ve\u0161ker\u00e9 literatu\u0159e se dnes zobecn\u011bl ji\u017e d\u00e1vno ot\u0159epan\u00fd v\u00fdrok, \u017ee kyber je dnes vedle sou\u0161e, mo\u0159e, vzduchu a vesm\u00edru p\u00e1t\u00fdm \u017eivlem, kde se v\u00e1l\u010d\u00ed. Samoz\u0159ejm\u011b se dnes p\u0159es po\u010d\u00edta\u010d v\u00e1lka vyhr\u00e1t ned\u00e1, p\u0159ece jen je\u0161t\u011b nejsme tak daleko v\u00a0budoucnosti. Jde v\u0161ak o\u00a0v\u00fdznamnou slo\u017eku, kter\u00e1 dopl\u0148uje ostatn\u00ed druhy vojsk. Ukrajina v\u00a0tomto ohledu ofici\u00e1ln\u011b nem\u00e1 \u017e\u00e1dnou doktr\u00ednu. Tato oblast se nerozv\u00edj\u00ed, a to ani po str\u00e1nce obrany, ani po str\u00e1nce \u00fatoku. Existuje samoz\u0159ejm\u011b spousta st\u00e1tn\u00edch kybercenter, zejm\u00e9na kybercentrum SBU, kybercentrum St\u00e1tn\u00edch zvl\u00e1\u0161tn\u00edch komunikac\u00ed nebo kybercentrum Ministerstva obrany, zat\u00edm v\u0161ak z\u00a0jejich strany nevid\u00edme \u017e\u00e1dn\u00e9 v\u00fdznamn\u011bj\u0161\u00ed \u00fasp\u011bchy.<\/p>\n

\u2014 M\u00e1te ur\u010dit\u00e9 z\u00e1sady. \u0158\u00edkal jste t\u0159eba, \u017ee nezasahujete do rusk\u00fdch kritick\u00fdch infrastruktur, \u201eproto\u017ee by \u0161lo v\u00a0podstat\u011b o\u00a0mezin\u00e1rodn\u00ed teroristick\u00fd \u010din\u201c. Jak\u00e9 dal\u0161\u00ed podobn\u00e9 z\u00e1sady UCA m\u00e1?<\/em><\/p>\n

Kdy\u017e jsme se aktivn\u011b v\u011bnovali shroma\u017e\u010fov\u00e1n\u00ed informac\u00ed o\u00a0Rusku, zaj\u00edmaly n\u00e1s p\u0159edev\u0161\u00edm vojensk\u00e9 a politick\u00e9 c\u00edle. T\u0159eba v\u00a0roce 2015 se n\u00e1m poda\u0159ilo z\u00edskat p\u0159\u00edstup k\u00a0dat\u016fm ze statis\u00edc\u016f rusk\u00fdch mobiln\u00edch telefon\u016f. Sna\u017eili jsme se prozkoumat archivy, t\u0159eba SMS a dal\u0161\u00ed zpr\u00e1vy, nena\u0161li jsme v\u0161ak nic, co by si zaslou\u017eilo pozornost. Proto nem\u011blo smysl pl\u00fdtvat \u010dasem na \u0159adov\u00e9 ob\u010dany, nav\u00edc vzhledem k\u00a0tomu, \u017ee nem\u00e1me a\u017e tak velk\u00fd t\u00fdm.<\/p>\n

V\u00a0Rusku je to s\u00a0bezpe\u010dnost\u00ed o\u00a0n\u011bco m\u00e1lo lep\u0161\u00ed ne\u017e v\u00a0Ukrajin\u011b. Maj\u00ed v\u00edc pen\u011bz a v\u00edc specialist\u016f, ned\u00e1 se v\u0161ak \u0159\u00edct, \u017ee by na tom byli moc dob\u0159e. Mohli bychom se samoz\u0159ejm\u011b dostat i do rusk\u00e9 infrastruktury, abychom se n\u011bkam nabourali a zp\u016fsobili v\u00e1\u017en\u00e9 \u0161kody, m\u00e1m v\u0161ak za to, \u017ee bychom se m\u011bli podobn\u00fdch akc\u00ed vyvarovat a nesklouz\u00e1vat k\u00a0terorismu.<\/p>\n

V\u00a0roce 2015 Rusko zas\u00e1hlo<\/a> do provozu ukrajinsk\u00e9 energetick\u00e9 soustavy v\u00a0Kyjev\u011b a P\u0159ikarpat\u00ed. Pr\u00e1v\u011b tehdy \u0161lo o\u00a0kauzu mezin\u00e1rodn\u00edho terorismu, tak\u017ee m\u011b p\u0159ekvapila velmi um\u00edrn\u011bn\u00e1 reakce ukrajinsk\u00e9 vl\u00e1dy na tyto ud\u00e1losti. V\u00a0zahrani\u010d\u00ed se o\u00a0\u00fatoc\u00edch na na\u0161e elektr\u00e1rny mluv\u00ed mnohem \u010dast\u011bji ne\u017e v\u00a0Ukrajin\u011b. Na\u0161e Ministerstvo zahrani\u010d\u00ed tak\u00e9 z\u00a0n\u011bjak\u00e9ho d\u016fvodu neprohl\u00e1silo, \u017ee Rusko v\u00a0podstat\u011b p\u0159e\u0161lo k\u00a0teroristick\u00fdm metod\u00e1m, co\u017e by mohlo poskytnout dal\u0161\u00ed p\u00e1ku k\u00a0n\u00e1tlaku na RF a ud\u011blat z\u00a0n\u00ed kone\u010dn\u011b odpadlick\u00fd st\u00e1t jako je \u00cdr\u00e1n nebo Severn\u00ed Korea. V\u011bc nebyla \u0159\u00e1dn\u011b vy\u0161et\u0159ena. Nen\u00ed jasn\u00e9, jak se do elektr\u00e1rensk\u00e9ho syst\u00e9mu dostali, o\u00a0co se sna\u017eili, zda \u0161lo jen o\u00a0zkou\u0161ku dovednost\u00ed, n\u00e1hodu, nebo to bude z\u00a0jejich strany n\u011bco soustavn\u00e9ho.<\/p>\n

#FuckResponsibleDisclosure<\/h2>\n

\u2014 Jak jste se posunuli od prvn\u00edho projektu, kter\u00fd m\u011bl zahrani\u010dn\u00ed c\u00edl, k\u00a0tomu vnitrost\u00e1tn\u00edmu na zabezpe\u010den\u00ed ukrajinsk\u00fdch st\u00e1tn\u00edch struktur?<\/em><\/p>\n

Toto v\u0161e prob\u00edhalo soub\u011b\u017en\u011b. Kdy\u017e se schvaloval z\u00e1kon \u201eO\u00a0z\u00e1kladech zaji\u0161\u0165ov\u00e1n\u00ed kybernetick\u00e9 bezpe\u010dnosti Ukrajiny\u201c, vznikaly na Facebooku \u010detn\u00e9 debaty. Mnoho z\u00e1stupc\u016f \u00fa\u0159ad\u016f prohla\u0161ovalo: \u201eTak vid\u00edte! A vy jste \u0159\u00edkali, \u017ee se nic nem\u011bn\u00ed. Pod\u00edvejte, jak\u00fd super z\u00e1kon jsme schv\u00e1lili. Te\u010f bude kone\u010dn\u011b v\u0161e v\u00a0po\u0159\u00e1dku\u201c. \u00da\u010delem akce #FuckResponsibleDisclosure<\/a> bylo uk\u00e1zat, \u017ee \u017e\u00e1dn\u00fd z\u00e1kon s\u00e1m o\u00a0sob\u011b nic nenaprav\u00ed a neovlivn\u00ed. Jako ilustraci tohoto tvrzen\u00ed jsme uk\u00e1zali n\u011bkolik zraniteln\u00fdch ve\u0159ejn\u00fdch informa\u010dn\u00edch syst\u00e9m\u016f. A pak za\u010dali tato zraniteln\u00e1 m\u00edsta vyhled\u00e1vat c\u00edlen\u011b.<\/p>\n

Jak u\u017e jsem \u0159\u00edkal, o\u00a0\u017e\u00e1dn\u00e9 nabour\u00e1n\u00ed nikdy ne\u0161lo. Pro porovn\u00e1n\u00ed m\u016f\u017eeme uv\u00e9st situaci, kdy t\u0159eba jdeme po ulici kolem dom\u016f a v\u0161imneme si, \u017ee pod jednou roho\u017ekou le\u017e\u00ed kl\u00ed\u010d. Nebo pen\u011b\u017eenka na chodn\u00edku. P\u0159ijdeme a uk\u00e1\u017eeme: tady m\u00e1te pod roho\u017ekou kl\u00ed\u010d nebo tady vypadlou pen\u011b\u017eenku. Kl\u00ed\u010d ani pen\u011b\u017eenku v\u0161ak nezvedneme ani nepou\u017eijeme. Stejn\u00e9 je to i se zraniteln\u00fdmi m\u00edsty. Na\u0161li jsme je a v\u00edme, jak jich lze zneu\u017e\u00edt a jak\u00e9 n\u00e1sledky to m\u016f\u017ee zp\u016fsobit. Sami v\u0161ak toho nevyu\u017e\u00edv\u00e1me, jen ukazujeme: tady m\u00e1te mezeru.<\/p>\n

\u2014 Jak hodnot\u00edte odbornost kybernetick\u00fdch specialist\u016f pracuj\u00edc\u00edch pro st\u00e1tn\u00ed struktury?<\/em><\/p>\n

V\u00a0Ukrajin\u011b existuje na sto tis\u00edc nejr\u016fzn\u011bj\u0161\u00edch \u00fa\u0159ad\u016f, obecn\u00edch nebo st\u00e1tn\u00edch podnik\u016f\u2026 Ve\u0159ejn\u00fd sektor je obrovsk\u00fd. N\u011bkde pracuj\u00ed respektovan\u00ed specialist\u00e9, kte\u0159\u00ed tu sv\u00e9 znalosti \u0159\u00e1dn\u011b uplatn\u00ed. T\u011bch je v\u0161ak jako \u0161afr\u00e1nu. Vybavit ka\u017ed\u00fd \u00fa\u0159ad alespo\u0148 syst\u00e9mov\u00fdm adminem je absolutn\u011b nemo\u017en\u00e9. V\u0161ech aj\u0165\u00e1k\u016f je v\u00a0Ukrajin\u011b cca 200\u00a0tis\u00edc. Tak\u017ee i kdyby \u0161li v\u0161ichni pracovat do ve\u0159ejn\u00e9ho sektoru, ani tak by to nesta\u010dilo.<\/p>\n

Kdy\u017e jsme p\u0159ed t\u0159emi lety spustili #FuckResponsibleDisclosure, do p\u00e1r m\u011bs\u00edc\u016f jsme na\u0161li mezery minim\u00e1ln\u011b na p\u016flce ministerstev, v\u00a0prezidentsk\u00e9 kancel\u00e1\u0159i, u\u00a0mnoha v\u011btv\u00ed ve\u0159ejn\u00e9 moci v\u010detn\u011b t\u00fdmu rychl\u00e9 reakce na po\u010d\u00edta\u010dov\u00e9 incidenty v\u00a0r\u00e1mci St\u00e1tn\u00ed slu\u017eby pro speci\u00e1ln\u00ed komunikace. Ti na sv\u00e9m webu norm\u00e1ln\u011b nechali viset pln\u011b zobrazen\u00e9 heslo k\u00a0jedn\u00e9 z\u00a0mailov\u00fdch schr\u00e1nek. Nebo t\u0159eba akademie Ministerstva vnitra nechala na internetu disk p\u0159\u00edstupn\u00fd bez hesla obsahuj\u00edc\u00ed nahranou datab\u00e1zi cel\u00e9ho person\u00e1lu, tedy jak vyu\u010duj\u00edc\u00edch, tak poslucha\u010d\u016f. Stejn\u00e9 to bylo i s\u00a0kyjevskou polici\u00ed\u2026<\/p>\n

My do toho samoz\u0159ejm\u011b nezasahujeme. A p\u0159ijdeme-li na n\u011bjakou informaci, kter\u00e1 by zlomysln\u00e9mu hackerovi pomohla t\u00e9to mezery zneu\u017e\u00edt a vloupat se, nezve\u0159ejn\u00edme ji. I kdy\u017e \u010dasto jedin\u00e1 v\u011bc, kter\u00e1 na \u00fa\u0159edn\u00edky plat\u00ed, je, kdy\u017e jim to za\u010dneme vyt\u00fdkat ve\u0159ejn\u011b. Jen strach ze zve\u0159ejn\u011bn\u00ed a v\u00fdsm\u011bchu je p\u0159im\u011bje n\u011bco ud\u011blat. Takto byly zakryty ty nejv\u00edc donebevolaj\u00edc\u00ed mezery. Mnoz\u00ed se sna\u017eili postupovat jinak, kdy na detekovan\u00e9 mezery upozor\u0148ovali p\u0159\u00edmo adminy nebo jejich nad\u0159\u00edzen\u00e9. T\u0159eba \u017de\u0148a Dokukin (zakladatel iniciativy Ukrajinsk\u00e1 kybervojska\u00a0\u2013 red.<\/em>) rozeslal n\u011bkolik set podobn\u00fdch zpr\u00e1v. V\u00a099\u00a0%\u00a0p\u0159\u00edpad\u016f \u00fa\u0159edn\u00edci na podobn\u00e1 upozorn\u011bn\u00ed nereaguj\u00ed.<\/p>\n

\u00da\u010delem akce #FuckResponsibleDisclosure tedy nebylo zakr\u00fdt v\u0161echny mezery, to jen snahami dobrovoln\u00edk\u016f ud\u011blat nejde, ale uk\u00e1zat, \u017ee stav informa\u010dn\u00ed bezpe\u010dnosti v\u00a0Ukrajin\u011b je neuspokojiv\u00fd a neodpov\u00eddaj\u00edc\u00ed. \u017d\u00e1dn\u00e9 jednotliv\u00e9 z\u00e1kony ani na\u0159\u00edzen\u00ed vl\u00e1dy syst\u00e9mov\u00e9 zm\u011bny nezp\u016fsob\u00ed. Je nutno p\u0159ehodnotit samotn\u00fd p\u0159\u00edstup, v\u00a0opa\u010dn\u00e9m p\u0159\u00edpad\u011b budou hackersk\u00e9 \u00fatoky trvat. V\u0161ichni si pamatujeme NotPetyu, kter\u00fd zp\u016fsobil \u0161kody dosahuj\u00edc\u00ed 10\u00a0miliard dolar\u016f, spoustu \u00fanik\u016f z\u00a0Ministerstva vnitra, SBU, nabour\u00e1n\u00ed velk\u00fdch podnik\u016f jako je t\u0159eba Antonov, u\u017e zm\u00edn\u011bn\u00e9 blackouty v\u00a0Kyjev\u011b a P\u0159ikarpat\u00ed\u2026 Pokud se tomu neza\u010dne v\u011bnovat pozornost, bude to m\u00edt katastrof\u00e1ln\u00ed d\u016fsledky.<\/p>\n

\u2014 Kdy\u017e jste informovali o\u00a0n\u011bjak\u00e9 meze\u0159e, zkontrolovali jste po n\u011bjak\u00e9 dob\u011b, zda jste je p\u0159esv\u011bd\u010dili?<\/em><\/p>\n

B\u00fdvalo to r\u016fzn\u00e9. Uvedu p\u0159\u00edklad. Na\u0161li jsme ve\u0159ejn\u011b p\u0159\u00edstupn\u00e1 data o\u00a0vybaven\u00ed vod\u00e1rny, zejm\u00e9na d\u00e1lkov\u00e9 \u0159\u00edzen\u00ed mechaniky, n\u011bjak\u00fdch klapek a z\u00e1slepek\u2026 Ve vod\u00e1renstv\u00ed se moc nevyzn\u00e1m, bylo v\u0161ak jasn\u00e9, \u017ee jde o\u00a0p\u0159\u00edm\u00fd p\u0159\u00edstup k\u00a0za\u0159\u00edzen\u00ed, loginy a hesla, kter\u00e1 umo\u017en\u00ed kdekomu se na d\u00e1lku p\u0159ipojit a n\u011bco prov\u00e9st. Upozornili jsme zn\u00e1m\u00e9 d\u016fstojn\u00edky Slu\u017eby bezpe\u010dnosti Ukrajiny. \u0160lo p\u0159ece o\u00a0p\u0159\u00edmou hrozbu, kter\u00e1 mohla p\u0159ipravit n\u011bkolik oblast\u00ed o\u00a0vodu. SBU se sna\u017eila n\u011bjak p\u016fsobit, data z\u00a0ve\u0159ejn\u00e9ho sektoru zmizela, vod\u00e1rny v\u0161ak m\u011bly natolik vychytral\u00e9 veden\u00ed, \u017ee dok\u00e1zalo i SBU s\u00a0jej\u00edmi po\u017eadavky n\u011bkam poslat.<\/p>\n

\u2014 Dnes je u\u00a0n\u00e1s b\u011b\u017en\u00e9, \u017ee se p\u00ed\u0161e v\u00edc o\u00a0negativn\u00edch v\u011bcech. Zaj\u00edmalo by m\u011b, zda se n\u011bkdy stalo, \u017ee jste na\u0161li dob\u0159e zabezpe\u010den\u00e9 syst\u00e9my nebo se setkali s\u00a0p\u0159im\u011b\u0159enou reakc\u00ed \u00fa\u0159edn\u00edk\u016f.<\/em><\/p>\n

Ano, nebylo to moc \u010dasto, ale setk\u00e1vali jsme se s\u00a0klidnou profesion\u00e1ln\u00ed reakc\u00ed ze strany \u00fa\u0159edn\u00edk\u016f, kdy tito zraniteln\u00e1 m\u00edsta rychle \u0159e\u0161ili, psali o\u00a0tom a ve\u0159ejn\u011b d\u011bkovali. Jednali tedy tak, jak m\u011bli spr\u00e1vn\u011b jednat. Ale p\u0159ece jen chci vyzdvihnout, \u017ee \u00fa\u0159edn\u00edci, pokud v\u016fbec reaguj\u00ed, nelze to srovnat s\u00a0t\u00edm, jak reaguje byznys, zejm\u00e9na ten velk\u00fd.<\/p>\n

T\u0159eba kdy\u017e na ve\u0159ejnost unikla data jednoho mobiln\u00edho oper\u00e1tora, trvala doba reakce na tento bezpe\u010dnostn\u00ed incident 30\u00a0vte\u0159in. Zve\u0159ejnili jsme tedy obal dokumentu (na samotn\u00e9m obalu nic d\u016fv\u011brn\u00e9ho nebylo), a ji\u017e za p\u016flminuty n\u00e1m napsal bezpe\u010dnostn\u00ed in\u017een\u00fdr a zdvo\u0159ile se ptal na v\u0161echny podrobnosti. Do 24\u00a0hodin provedli vlastn\u00ed intern\u00ed \u0161et\u0159en\u00ed, na\u0161li p\u0159\u00ed\u010dinu \u00faniku a odstranili ji. Stejn\u00e9 to bylo, kdy\u017e se ve ve\u0159ejn\u00e9 \u010d\u00e1sti internetu na\u0161ly stopy po nabour\u00e1n\u00ed Sn\u011bmovny reprezentant\u016f Kongresu USA. Vloupali se tam n\u011bjac\u00ed nezn\u00e1m\u00ed hacke\u0159i, a jeden z\u00a0na\u0161ich dobrovoln\u00edk\u016f na\u0161el meziserver, p\u0159es n\u011bj\u017e se data stahovala. Op\u011bt jen za n\u011bkolik m\u00e1lo hodin se Ameri\u010dan\u00e9 ji\u017e ptali, zda je tato informace kompletn\u00ed, nebo existuje je\u0161t\u011b n\u011bco, co nechceme sd\u00edlet ve\u0159ejn\u011b.<\/p>\n

Naproti tomu u\u00a0n\u00e1s to bohu\u017eel \u010dasto b\u00fdv\u00e1 tak, \u017ee kdy\u017e odhal\u00edme mezeru, p\u0159ijde \u0161\u00e9f nebo tiskov\u00fd mluv\u010d\u00ed dot\u010den\u00e9 organizace a za\u010dne dokazovat, \u017ee na tom nic zraniteln\u00e9ho nen\u00ed. \u017de na tom nez\u00e1le\u017e\u00ed nebo \u017ee to zd\u011bdili po p\u0159edch\u016fdc\u00edch\u2026 Za\u010dnou vyhro\u017eovat ozn\u00e1men\u00edm na policii nebo SBU, kl\u00e1st v\u0161emo\u017en\u00fd odpor a proch\u00e1zet v\u0161emi f\u00e1zemi od pop\u00edr\u00e1n\u00ed a\u017e k\u00a0p\u0159ijet\u00ed. Z\u00a0n\u011bjak\u00e9ho d\u016fvodu jsou p\u0159esv\u011bd\u010deni, \u017ee to na n\u011b n\u011bkdo z\u00e1m\u011brn\u011b narafi\u010dil, aby je o\u010dernil a podrazil.<\/p>\n

<\/a><\/p>\n

Prohl\u00eddka a soudy<\/h2>\n

\u2014 Jak prim\u00e1rn\u011b prob\u00edhala interakce mezi Kybernetickou alianc\u00ed a ve\u0159ejn\u00fdmi strukturami?<\/em><\/p>\n

Ty informace, kter\u00e9 jsme pokl\u00e1dali za v\u00fdznamn\u00e9 a zneu\u017eiteln\u00e9, jsme p\u0159ed\u00e1vali voj\u00e1k\u016fm nebo zpravodajc\u016fm. O\u00a0\u017e\u00e1dnou form\u00e1ln\u00ed interakci ne\u0161lo, jen o\u00a0komunikaci p\u0159es zn\u00e1m\u00e9 d\u016fstojn\u00edky, jim\u017e se dalo d\u016fv\u011b\u0159ovat. Pokud jde o\u00a0mezery ve ve\u0159ejn\u00e9m sektoru, zve\u0159ej\u0148ovala se v\u011bt\u0161ina informac\u00ed s\u00a0popisem zraniteln\u00fdch m\u00edst a navrhovan\u00fdch opat\u0159en\u00ed, kter\u00e1 by mohla situaci zlep\u0161it.<\/p>\n

Na podzim 2019 byla Kybernetick\u00e1 aliance pozv\u00e1na na Radu pro n\u00e1rodn\u00ed bezpe\u010dnost a obranu. Prob\u00edralo se tam, jak zreformovat st\u00e1tn\u00ed p\u0159\u00edstup k\u00a0informa\u010dn\u00ed bezpe\u010dnosti a jako ho spojit s\u00a0digitaliza\u010dn\u00edmi pl\u00e1ny vicepremi\u00e9ra Mychajla Fedorova. Ten na t\u00e9to porad\u011b tak\u00e9 mluvil a vypr\u00e1v\u011bl o\u00a0sv\u00fdch pl\u00e1nech. N\u00e1sledn\u011b jsme m\u011bli n\u011bkolik sch\u016fzek s\u00a0\u00fa\u0159edn\u00edky, poslechli si, co \u0159\u00edkaj\u00ed, dali dohromady men\u0161\u00ed skupinu, v\u0161e mezi sebou probrali (nejen v\u00a0r\u00e1mci UCA, ale tak\u00e9 za \u00fa\u010dasti mnoha zn\u00e1m\u00fdch aj\u0165\u00e1k\u016f), vypracovali vizi, jak by se dal st\u00e1vaj\u00edc\u00ed syst\u00e9m zm\u011bnit\u2026 U\u00a0toho to tak\u00e9 skon\u010dilo. Posed\u011bli jsme spolu, pokecali a roze\u0161li se, nic se nezm\u011bnilo.<\/p>\n

\u2014 A co p\u0159edt\u00edm, oslovily v\u00e1s st\u00e1tn\u00ed struktury individu\u00e1ln\u011b v\u00a0n\u011bjak\u00fdch konkr\u00e9tn\u00edch z\u00e1le\u017eitostech?<\/em><\/p>\n

Ne, neoslovily.<\/p>\n

\u2014 K\u00a0dne\u0161n\u00edmu dni, po prohl\u00eddce v\u00a0\u00fanoru 2020 a n\u00e1sledn\u00fdch soudech, jste spolupr\u00e1ci se st\u00e1tn\u00edmi strukturami zastavili. Pov\u011bzte n\u00e1m chronologii ud\u00e1lost\u00ed.<\/em><\/p>\n

Za\u010dn\u011bme t\u00edm, \u017ee na podzim 2019 se v\u00a0Ukrajin\u011b vym\u011bnilo veden\u00ed kyber\u00fatvar\u016f jak na SBU, tak na policii. P\u0159i\u0161li sem nov\u00ed lid\u00e9, i pr\u00e1v\u011b v\u00a0t\u00e9 dob\u011b se z\u00a0n\u011bjak\u00e9ho d\u016fvodu za\u010daly d\u00edt zm\u00edn\u011bn\u00e9 ud\u00e1losti. \u010c\u00edm to cel\u00e9 za\u010dalo? V\u00a0\u0159\u00edjnu 2019 na leti\u0161ti Od\u011bsa n\u011bjak\u00fd nezn\u00e1m\u00fd vtip\u00e1lek prom\u00edtl na elektronickou tabuli hanliv\u00fd obr\u00e1zek s\u00a0Gretou Thunbergovou. V\u0161ichni se tomu zasm\u00e1li a pokr\u010dili rameny: nu, stane se. S\u00a0t\u00edm, \u017ee n\u011bkolik t\u00fddn\u016f p\u0159ed t\u00edmto incidentem jeden z\u00a0na\u0161ich dobrovoln\u00edk\u016f Andrij Perevezij upozornil, \u017ee maj\u00ed v\u00a0syst\u00e9mu mezery.<\/p>\n

V\u00a0\u00fanoru 2020 pak ke mn\u011b dom\u016f vtrhne SBU a policie spole\u010dn\u011b s\u00a0t\u011b\u017ece vyzbrojenou zvl\u00e1\u0161tn\u00ed jednotkou s\u00a0brn\u011bn\u00edm a z\u00e1lo\u017en\u00edmi z\u00e1sobn\u00edky k\u00a0samopal\u016fm. Nev\u00edm, cht\u011bli snad v\u00a0m\u00e9 kuchyni rozpoutat men\u0161\u00ed v\u00e1lku? V\u00a0povolen\u00ed k\u00a0prohl\u00eddce st\u00e1lo, \u017ee j\u00e1, Andrij Perevezij a Sa\u0161a Halu\u0161\u010denko (dnes p\u016fsob\u00ed na kybercentru Rady pro n\u00e1rodn\u00ed bezpe\u010dnost a obranu) pr\u00fd spole\u010dn\u011b hackli tabuli na mezin\u00e1rodn\u00edm leti\u0161ti Od\u011bsa. Tedy naprosto sm\u011b\u0161n\u00e1 obvin\u011bn\u00ed a samoz\u0159ejm\u011b vykonstruovan\u00e1 kauza.<\/p>\n

Neml\u010deli jsme a den nato uspo\u0159\u00e1dali<\/a> tiskovou konferenci, p\u0159i n\u00ed\u017e jsme prohl\u00e1sili, \u017ee jde o\u00a0politick\u00fd n\u00e1tlak. N\u00e1sledn\u011b prob\u011bhla dv\u011b soudn\u00ed jedn\u00e1n\u00ed o\u00a0zaji\u0161t\u011bn\u00ed od\u0148at\u00fdch v\u011bc\u00ed. P\u0159i prvn\u00edm soudn\u00edm jedn\u00e1n\u00ed na\u0161e obhajoba nenechala na stanovisku prokuratury jedinou nit suchou, b\u011bhem p\u0159est\u00e1vky mezi dv\u011bma soudn\u00edmi jedn\u00e1n\u00edmi v\u00a0jedin\u00e9m dni v\u0161ak soudce ode\u0161el do pracovn\u00ed neschopnosti. Domn\u00edv\u00e1m se, \u017ee org\u00e1ny \u010dinn\u00e9 v\u00a0trestn\u00edm \u0159\u00edzen\u00ed na n\u011bj tla\u010dily, aby nevydal spravedliv\u00e9 rozhodnut\u00ed. Pak byl soudce vym\u011bn\u011bn, i tento ji\u017e nechal zajistit na\u0161e v\u011bci zabran\u00e9 p\u0159i prohl\u00eddk\u00e1ch, tedy po\u010d\u00edta\u010de a disky.<\/p>\n

Od t\u00e9 doby uplynulo ji\u017e 11\u00a0m\u011bs\u00edc\u016f. Ve v\u011bci nedo\u0161lo k\u00a0\u017e\u00e1dn\u00e9mu posunu, nem\u00e1me ani \u017e\u00e1dn\u00e9 procesn\u00ed postaven\u00ed: nejsme sv\u011bdkov\u00e9 ani obvin\u011bn\u00ed, ofici\u00e1ln\u011b n\u00e1m nebylo vysloveno \u017e\u00e1dn\u00e9 podez\u0159en\u00ed. Dnes m\u00e1 tento p\u0159\u00edpad na starosti policie. Jen to protahuj\u00ed a doufaj\u00ed\u2026 Vlastn\u011b nev\u00edm, v\u00a0co doufaj\u00ed. Osobn\u011b j\u00e1 douf\u00e1m, \u017ee se s\u00a0pomoc\u00ed na\u0161ich skv\u011bl\u00fdch obh\u00e1jc\u016f dom\u016f\u017eeme nejen spravedlnosti u\u00a0soudu, ale tak\u00e9 potrest\u00e1n\u00ed vin\u00edk\u016f.<\/p>\n

\u2014 V\u00a0jednom rozhovoru jste \u0159ekl, \u017ee situaci s\u00a0od\u011bsk\u00fdm leti\u0161t\u011bm pova\u017eujete za z\u00e1minku, aby k\u00a0v\u00e1m \u201emohli p\u0159ij\u00edt s\u00a0prohl\u00eddkou, zabavit techniku a pokusit se tam n\u011bco naj\u00edt\u201c. Co p\u0159esn\u011b podle v\u00e1s cht\u011bj\u00ed naj\u00edt?<\/em><\/p>\n

Nev\u00edm, t\u0159eba n\u011bjak\u00fd kompromituj\u00edc\u00ed materi\u00e1l, aby mohli vyvinout tlak, k\u00a0n\u011b\u010demu donutit nebo u\u010dinit n\u011bjak\u00fd neslu\u0161n\u00fd n\u00e1vrh. Na to v\u0161ak nikdy nedo\u0161lo, proto\u017ee v\u011bc hned p\u0159e\u0161la do ve\u0159ejn\u00e9 roviny. O\u00a0\u017e\u00e1dn\u00fdch dohod\u00e1ch v\u00a0t\u00e9to situaci nem\u016f\u017ee b\u00fdt \u0159e\u010d. Jsem naprosto p\u0159esv\u011bd\u010den, \u017ee neb\u00fdt leti\u0161t\u011b Od\u011bsa, vyu\u017eili by jak\u00e9koli jin\u00e9 z\u00e1minky, aby mohli p\u0159ij\u00edt se stejn\u00fdmi prohl\u00eddkami.<\/p>\n

\u2013 A\u00a0nesna\u017eili jste se prov\u00e9st vlastn\u00ed vy\u0161et\u0159ov\u00e1n\u00ed situace kolem leti\u0161t\u011b?<\/em><\/p>\n

Ve spisov\u00fdch podkladech jsem nahl\u00e9dl do technick\u00fdch podrobnost\u00ed. Mysl\u00edm, \u017ee vyp\u00e1trat skute\u010dn\u00e9ho pachatele nebude snadn\u00e9. To nejlep\u0161\u00ed, co se d\u00e1 ud\u011blat, je prov\u00e9st bezpe\u010dnostn\u00ed audit a zabezpe\u010dit leti\u0161tn\u00ed syst\u00e9m. Ten spravuje od\u011bsk\u00e1 soukrom\u00e1 spole\u010dnost, i mysl\u00edm, \u017ee na to maj\u00ed.<\/p>\n

\u2014 P\u0159i zm\u00edn\u011bn\u00e9 tiskovce hned n\u011bkolik \u010dlen\u016f UCA odtajnilo svou toto\u017enost, i kdy\u017e p\u0159edt\u00edm zachov\u00e1vali inkognito. Nelitujete tohoto rozhodnut\u00ed? Jak to ovlivnilo konkr\u00e9tn\u011b v\u00e1s?<\/em><\/p>\n

Cel\u00e1 v\u011bc se t\u00edm zjednodu\u0161ila. Nav\u00edc vzhledem k\u00a0tomu, \u017ee na\u0161e anonymita byla jen pomysln\u00e1. Jde sp\u00ed\u0161 o\u00a0sou\u010d\u00e1st obrazu: masky a kukly poutaj\u00ed pozornost. Samoz\u0159ejm\u011b mysl\u00edm, \u017ee jak SBU, tak Ministerstvo vnitra na\u0161e jm\u00e9na znaly u\u017e dlouho. Z\u00a0praktick\u00e9ho hlediska pokra\u010dovat v\u00a0t\u00e9to h\u0159e na anonymitu nem\u011blo \u017e\u00e1dn\u00fd smysl. Proto jsme p\u0159i\u0161li na tiskovou konferenci pod prav\u00fdmi jm\u00e9ny: j\u00e1, Artem Karpinskyj, Andrij Perevezij a Oleksandr Halu\u0161\u010denko. Byl s\u00a0n\u00e1mi tak\u00e9 z\u00e1stupce advok\u00e1tn\u00edho sdru\u017een\u00ed, kter\u00fd poskytl pr\u00e1vn\u00ed vyj\u00e1d\u0159en\u00ed.<\/p>\n

\u2014 Co mysl\u00edte, m\u011bli by ukrajin\u0161t\u00ed hacktivist\u00e9 m\u00edt imunitu, tedy ochranu p\u0159ed trestn\u00edm st\u00edh\u00e1n\u00edm? Nebo by to vedlo k\u00a0pod\u0159\u00edzenosti?<\/em><\/p>\n

V\u00a0prvn\u00ed \u0159ad\u011b m\u00e1m za to, \u017ee imunitu p\u0159ed trestn\u00edm st\u00edh\u00e1n\u00edm nesm\u00ed m\u00edt nikdo. \u201eSpr\u00e1vn\u00fd hoch\u201c nen\u00ed \u017e\u00e1dn\u00e1 obhajoba. N\u00e1\u0161 justi\u010dn\u00ed syst\u00e9m je v\u0161ak zcela zkorumpovan\u00fd a rozvr\u00e1cen\u00fd, v\u00a0\u010dem\u017e spat\u0159uji probl\u00e9m. To znamen\u00e1, \u017ee kdy\u017e \u017e\u00e1dn\u00e9 ukrajinsk\u00e9 z\u00e1kony neporu\u0161ujeme, pak nech\u00e1pu, pro\u010d by m\u011blo n\u011bkoho zaj\u00edmat, zda jsme hacke\u0159i, peka\u0159i nebo je\u0161t\u011b n\u011bkdo.<\/p>\n

<\/a><\/p>\n

Tiskov\u00e1 konference Ukrajinsk\u00e9 kybernetick\u00e9 aliance<\/h5>\n

O\u00a0aplikaci Dija a bezpe\u010dnosti internetu<\/h2>\n

\u2014 Na stejn\u00e9 tiskov\u00e9 konferenci zazn\u011bla v\u011bta, \u017ee kdyby se UCA v\u017edy obr\u00e1tila na mezin\u00e1rodn\u00ed instituce, Ukrajina by o\u00a0bezv\u00edzov\u00fd styk u\u017e d\u00e1vno p\u0159i\u0161la. Co konkr\u00e9tn\u011b se t\u00edm myslelo?<\/em><\/p>\n

Pokud si dob\u0159e pamatuji, tohle \u0159ekl Andrij Perevezij. Ch\u00e1pu-li to spr\u00e1vn\u011b, m\u011bl na mysli, \u017ee t\u0159eba jadern\u00e9 elektr\u00e1rny nebo leti\u0161t\u011b pat\u0159\u00ed do kritick\u00e9 infrastruktury a \u017ee Ukrajina m\u00e1 ur\u010dit\u00e9 mezin\u00e1rodn\u00ed z\u00e1vazky co se t\u00fd\u010de \u00farovn\u011b zabezpe\u010den\u00ed t\u011bchto objekt\u016f. Proto\u017ee kdyby, chra\u0148 Bo\u017ee, spadlo dopravn\u00ed letadlo nebo do\u0161lo k\u00a0hav\u00e1rii na jadern\u00e9 elektr\u00e1rn\u011b, zas\u00e1hlo by to nejen Ukrajinu. Tak\u017ee kdyby se mezin\u00e1rodn\u00ed organizace, kter\u00e9 dohl\u00ed\u017eej\u00ed na jadernou energetiku a leteckou bezpe\u010dnost, dozv\u011bd\u011bly, jak n\u00edzkou \u00farove\u0148 zabezpe\u010den\u00ed tyto kritick\u00e9 objekty maj\u00ed, m\u011bly by na ukrajinskou vl\u00e1du spoustu nep\u0159\u00edjemn\u00fdch ot\u00e1zek.<\/p>\n

\u2014 V\u00a0jednom ze sv\u00fdch status\u016f jste tvrdil, \u017ee mobiln\u00ed komunikace v\u00a0Ukrajin\u011b na rozd\u00edl od internetu nen\u00ed bezpe\u010dn\u00e1. \u0158ekn\u011bte n\u011bco i k\u00a0tomu.<\/em><\/p>\n

Skute\u010dn\u011b m\u011b p\u0159ekvapuje, \u017ee je to pro n\u011bkoho tajemstv\u00ed. Od za\u010d\u00e1tku 2000.\u00a0let, kdy byl schv\u00e1len z\u00e1kon o\u00a0telekomunikac\u00edch, z\u00edskala Slu\u017eba bezpe\u010dnosti Ukrajiny p\u0159\u00edm\u00fd p\u0159\u00edstup k\u00a0telefonn\u00edm s\u00edt\u00edm oper\u00e1tor\u016f. Pot\u0159ebovala ho k\u00a0tomu, aby mohla prov\u00e1d\u011bt \u201eutajovan\u00e9 p\u00e1trac\u00ed \u00fakony\u201c, neboli jednodu\u0161e \u0159e\u010deno odposlechy. Org\u00e1ny \u010dinn\u00e9 v\u00a0trestn\u00edm \u0159\u00edzen\u00ed dost\u00e1vaj\u00ed ro\u010dn\u011b n\u011bkolik tis\u00edc p\u0159\u00edkaz\u016f, aby mohly v\u00e9st leg\u00e1ln\u00ed odposlechy. Nicm\u00e9n\u011b skute\u010dnost, \u017ee maj\u00ed k\u00a0za\u0159\u00edzen\u00ed oper\u00e1tor\u016f p\u0159\u00edm\u00fd p\u0159\u00edstup, samoz\u0159ejm\u011b sk\u00fdt\u00e1 velk\u00fd prostor ke zneu\u017e\u00edv\u00e1n\u00ed. Existuje \u010dern\u00fd trh se slu\u017ebami, kdy v\u00e1m za docela p\u0159ijateln\u00e9 pen\u00edze prodaj\u00ed jak\u00e9koli informace z\u00a0ve\u0159ejn\u00fdch rejst\u0159\u00edk\u016f, zejm\u00e9na budou neleg\u00e1ln\u011b nahr\u00e1vat telefon\u00e1ty.<\/p>\n

A co se stalo ned\u00e1vno\u2026 Nyn\u00ed parlament u\u017e podruh\u00e9 projedn\u00e1v\u00e1 nov\u00fd z\u00e1kon \u010d.\u00a03014 o\u00a0telekomunikac\u00edch. Poprv\u00e9 ho sice Nejvy\u0161\u0161\u00ed rada schv\u00e1lila, ale vetoval Zelenskyj. V\u00a0z\u00e1kon\u011b provedli n\u011bjak\u00e9 zm\u011bny a znovu mu p\u0159edlo\u017eili k\u00a0podpisu. A nev\u00ed se, zda ho prezident podep\u00ed\u0161e, nebo vetuje. Obsahuje formulace, kter\u00e9 umo\u017e\u0148uj\u00ed vykl\u00e1dat ustanoven\u00ed t\u00fdkaj\u00edc\u00ed se odposlech\u016f telefon\u00e1t\u016f tak, aby i poskytovatel\u00e9 internetu museli zajistit pro SBU p\u0159\u00edstup ke sv\u00fdm s\u00edt\u00edm, co\u017e by samoz\u0159ejm\u011b m\u011blo velmi nep\u011bkn\u00e9 d\u016fsledky. Tohle by byla ji\u017e tot\u00e1ln\u00ed a definitivn\u00ed nehor\u00e1znost.<\/p>\n

Nikdo nezpochyb\u0148uje, \u017ee org\u00e1ny \u010dinn\u00e9 v\u00a0trestn\u00edm \u0159\u00edzen\u00ed mus\u00ed m\u00edt leg\u00e1ln\u00ed mo\u017enost z\u00edsk\u00e1vat informace o\u00a0u\u017eivatel\u00edch od telefonn\u00edch oper\u00e1tor\u016f a poskytovatel\u016f internetu. M\u00e1m v\u0161ak za to, \u017ee by bylo logick\u00e9, aby si obstaraly p\u0159\u00edkaz, p\u0159edlo\u017eily ho oper\u00e1torovi, kter\u00fd by pak po\u017eadovan\u00e9 informace s\u00e1m nahr\u00e1val. Budou-li justi\u010dn\u00ed org\u00e1ny m\u00edt p\u0159\u00edstup k\u00a0za\u0159\u00edzen\u00ed, budou ho tak\u00e9 vyu\u017e\u00edvat, a to i k\u00a0zi\u0161tn\u00fdm osobn\u00edm \u00fa\u010del\u016fm. Co\u017e znamen\u00e1 korupci a obrovsk\u00e9 ztr\u00e1ty pro hospod\u00e1\u0159stv\u00ed a pr\u00e1va ob\u010dan\u016f.<\/p>\n

\u2014 Ned\u00e1vno jste tak\u00e9 okomentoval proveden\u00ed bug bounty za \u00fa\u010delem odhalen\u00ed zraniteln\u00fdch str\u00e1nek aplikace Dija. Pod\u00edlel jste se na tom? V\u00a0jak\u00e9 m\u00ed\u0159e pova\u017eujete tuto aplikaci v\u016fbec za bezpe\u010dnou?<\/em><\/p>\n

Projekt masov\u00e9 digitalizace pozorn\u011b sleduji. A mysl\u00edm, \u017ee jde o\u00a0digitalizaci zcela nepromy\u0161lenou, kdy se digitalizuj\u00ed ty v\u011bci, kter\u00e9 jsou v\u016fbec zbyte\u010dn\u00e9. Pot\u0159ebuji t\u0159eba od st\u00e1tu n\u011bjak\u00e9 potvrzen\u00ed. Nez\u00e1le\u017e\u00ed na tom, jakou m\u00e1 formu, chci, aby \u017e\u00e1dn\u00e1 potvrzen\u00ed nebyla v\u016fbec. Nebo vezm\u011bme to prvn\u00ed, co se v\u00a0aplikaci Dija ud\u011blalo: p\u0159idali sem ukrajinsk\u00fd ob\u010dansk\u00fd pr\u016fkaz. Moc nech\u00e1pu, k\u00a0\u010demu je to dobr\u00e9. Podle m\u011b je mnohem jednodu\u0161\u0161\u00ed zru\u0161it kontrolu ob\u010danek p\u0159i prodeji vlakov\u00fdch j\u00edzdenek ne\u017e nahr\u00e1vat ob\u010danku do telefonu. Chci prost\u011b m\u00edt \u00fastavn\u011b zaru\u010denou svobodu pohybu a chodit bez ob\u010danky. Mnoho n\u00e1pad\u016f v\u00a0t\u00e9to aplikaci pova\u017euji bu\u010f za nesmysln\u00e9, nebo za takov\u00e9, kter\u00e9 mohou zp\u016fsobit velice negativn\u00ed d\u016fsledky.<\/p>\n

V\u00edme, \u017ee data z\u00a0rejst\u0159\u00edk\u016f pravideln\u011b unikaj\u00ed a pravideln\u011b se fal\u0161uj\u00ed, \u017ee je v\u00a0t\u011bchto rejst\u0159\u00edc\u00edch spousta chyb. A nam\u00edsto aby se sn\u00ed\u017eilo mno\u017estv\u00ed informac\u00ed, kter\u00e9 st\u00e1t o\u00a0ob\u010danech shroma\u017e\u010fuje, a nam\u00edsto zaji\u0161t\u011bn\u00ed \u0159\u00e1dn\u00e9ho zabezpe\u010den\u00ed t\u011bchto dat sna\u017e\u00ed se je Ministerstvo pro digit\u00e1ln\u00ed transformaci sdru\u017eit do ob\u0159\u00edho syst\u00e9mu. Co\u017e znamen\u00e1, \u017ee k\u00a0r\u016fzn\u00fdm rejst\u0159\u00edk\u016fm z\u00edsk\u00e1 p\u0159\u00edstup v\u00edc lid\u00ed, bude v\u00edc \u00fanik\u016f a rizik.<\/p>\n

Jde-li o\u00a0v\u00fdskyt n\u011bjak\u00fdch zraniteln\u00fdch m\u00edst, zde Ministerstvo pro digit\u00e1ln\u00ed transformaci reaguje na kritiku zcela nep\u0159im\u011b\u0159en\u011b. Mnoho novin\u00e1\u0159\u016f se sna\u017eilo prost\u0159ednictv\u00edm ofici\u00e1ln\u00edch dotaz\u016f z\u00edskat aspo\u0148 n\u011bjak\u00e9 informace o\u00a0port\u00e1lu a aplikaci, zejm\u00e9na osv\u011bd\u010den\u00ed komplexn\u00edho syst\u00e9mu zabezpe\u010den\u00ed informac\u00ed. V\u00a0reakci ministerstvo poskytlo z\u00e1m\u011brn\u011b po\u0161kozen\u00e9 soubory, kter\u00e9 nejdou otev\u0159\u00edt. Na v\u0161echny dotazy uji\u0161\u0165uj\u00ed: \u201eU\u00a0n\u00e1s je v\u0161e v\u00a0po\u0159\u00e1dku, provedli jsme audity. M\u00e1me certifik\u00e1ty. Ale ty v\u00e1m neuk\u00e1\u017eeme, mus\u00edte n\u00e1m to prost\u011b v\u011b\u0159it\u201c. M\u00e1m za to, \u017ee informa\u010dn\u00ed bezpe\u010dnost nen\u00ed tou oblast\u00ed, kde m\u016f\u017eeme spolehnout na slovo \u00fa\u0159edn\u00edka.<\/p>\n

Bug bounty program, kter\u00fd ozn\u00e1mili<\/a> v\u00a0prosinci, je PR tah, kter\u00fd jim m\u00e1 pon\u011bkud zlep\u0161it pov\u011bst: \u201eOslovili jsme hackery z\u00a0cel\u00e9ho sv\u011bta, ti v\u0161e otestovali a nena\u0161li skoro nic, tak\u017ee aplikace je spolehliv\u011b zabezpe\u010dena\u201c. My osobn\u011b jsme se toho nez\u00fa\u010dastnili. N\u011bkolik ukrajinsk\u00fdch spole\u010dnost\u00ed a instituc\u00ed (jak ve\u0159ejn\u00fdch, tak soukrom\u00fdch) se v\u0161ak na Ministerstvo pro digit\u00e1ln\u00ed transformaci obr\u00e1tilo: \u201eM\u00e1me z\u00e1jem se do bug bounty tak\u00e9 zapojit\u201c, a reakce ze strany pana ministra byla naprosto \u0161\u00edlen\u00e1\u00a0\u2013 v\u0161echny odp\u00e1lkoval.<\/p>\n

To nasv\u011bd\u010duje, \u017ee se sna\u017e\u00ed v\u0161e v\u00a0tichosti za\u0159\u00eddit bokem a takto pos\u00edlit svou pov\u011bst, proto v\u0161emo\u017en\u011b h\u00e1zej\u00ed klacky pod nohy, \u010d\u00edm\u017e omezuj\u00ed po\u010det \u00fa\u010dastn\u00edk\u016f. Nav\u00edc se bug bounty prov\u00e1d\u00ed ve chv\u00edli, kdy si lid\u00e9 jsou ji\u017e zcela jisti, \u017ee k\u00a0zaji\u0161t\u011bn\u00ed bezpe\u010dnosti ud\u011blali v\u0161e, co bylo mo\u017en\u00e9. P\u0159edt\u00edm tu v\u0161ak \u017e\u00e1dn\u00ed nez\u00e1visl\u00ed audito\u0159i nebyli. Z\u00fa\u010dastnila se jen n\u011bjak\u00e1 estonsk\u00e1 neziskovka. Tak\u017ee nez\u00e1visl\u00fd audit \u017e\u00e1dn\u00fd, v\u00fdsledky nejsou zve\u0159ejn\u011bny, ale z\u00a0n\u011bjak\u00e9ho z\u00e1hadn\u00e9ho d\u016fvodu se prov\u00e1d\u00ed bug bounty program.<\/p>\n

\u2014 Va\u0161e citace: \u201eHacknout lze cokoliv, je to jen ot\u00e1zka \u010dasu a vynalo\u017een\u00fdch snah\u201c. Pot\u0159ebujeme v\u00a0tomto p\u0159\u00edpad\u011b v\u016fbec aplikace jako je Dija?<\/em><\/p>\n

Skute\u010dnost, \u017ee hacknout se d\u00e1 prakticky cokoliv, neznamen\u00e1, \u017ee m\u00e1me sed\u011bt se slo\u017een\u00fdma rukama. Nevyz\u00fdv\u00e1m k\u00a0tomu, aby se v\u0161ichni vr\u00e1tili do doby kamenn\u00e9, vzdali se telefon\u016f a po\u010d\u00edta\u010d\u016f a znovu pou\u017e\u00edvali pap\u00edr. Je to nepraktick\u00e9, nemodern\u00ed, nevid\u00edm d\u016fvod rezignovat na technick\u00fd pokrok. Jak\u00fdkoli \u00fakol v\u0161ak mus\u00edme realizovat spr\u00e1vn\u011b. Jak\u00fd c\u00edl t\u0159eba sleduje aplikace Dija? Jeden z\u00a0t\u011bch, kter\u00e9 se pravideln\u011b objevuj\u00ed v\u00a0prohl\u00e1\u0161en\u00edch veden\u00ed Ministerstva pro digit\u00e1ln\u00ed transformaci a samotn\u00e9ho pana Zelensk\u00e9ho: v\u00fdhledov\u011b to umo\u017en\u00ed prov\u00e9st volby digit\u00e1ln\u011b.<\/p>\n

M\u00e1m v\u0161ak za to\u00a0\u2013 co\u017e nen\u00ed jen m\u016fj n\u00e1zor, ale prakticky v\u0161ech mezin\u00e1rodn\u00edch expert\u016f na volby a informa\u010dn\u00ed bezpe\u010dnost\u00a0\u2013 \u017ee dosud neexistuje \u017e\u00e1dn\u00e1 technologie, kter\u00e1 by umo\u017enila prov\u00e9st volby online a v\u0161echny p\u0159esv\u011bd\u010dit o\u00a0d\u016fv\u011bryhodnosti jejich v\u00fdsledk\u016f. Posl\u00e1n\u00edm voleb toti\u017e nen\u00ed ur\u010dit v\u00edt\u011bze, ale p\u0159esv\u011bd\u010dit pora\u017een\u00e9, \u017ee nikdo nepodv\u00e1d\u011bl. V\u00a0p\u0159\u00edpad\u011b digit\u00e1ln\u00edch voleb to nen\u00ed mo\u017en\u00e9, alespo\u0148 v\u00a0sou\u010dasn\u00e9 dob\u011b. Dnes neexistuje \u017e\u00e1dn\u00fd st\u00e1t s\u00a0v\u00fdjimkou Estonska, kde by se konaly online volby. A dokonce i v\u00a0samotn\u00e9m mal\u00e9m Estonsku existuje mnoho nespokojen\u00fdch, kte\u0159\u00ed by se r\u00e1di vr\u00e1tili k\u00a0bezpe\u010dn\u011bj\u0161\u00edmu offline syst\u00e9mu.<\/p>\n

Chce-li Ministerstvo pro digit\u00e1ln\u00ed transformaci n\u011bco zlep\u0161it, pak m\u00e1 smysl pracovat p\u0159edev\u0161\u00edm na odpov\u011bdnosti \u00fa\u0159edn\u00edk\u016f za zad\u00e1v\u00e1n\u00ed chybn\u00fdch informac\u00ed do rejst\u0159\u00edk\u016f. Dejme tomu, \u017ee chcete pou\u017e\u00edt \u0159idi\u010d\u00e1k v\u00a0aplikaci Dija. M\u016f\u017ee se st\u00e1t, \u017ee tu bude chyb\u011bt fotografie, vlo\u017eka techni\u010d\u00e1ku, nebo \u017ee text obsahuje jak\u00fdkoli nesmysl. Pak budeme muset nav\u0161t\u00edvit Centrum spr\u00e1vn\u00edch slu\u017eeb a vy\u0159\u00eddit si nov\u00fd \u0159idi\u010d\u00e1k prakticky od za\u010d\u00e1tku. Mysl\u00edm, \u017ee u\u017eite\u010dnou digitalizac\u00ed by bylo donutit ty \u00fa\u0159edn\u00edky, kte\u0159\u00ed zadali chybn\u00e1 data, aby svou chybu napravili, abyste tedy nemuseli ob\u00edhat \u00fa\u0159ady, ale oni to ud\u011blali sami. Teprve a\u017e syst\u00e9m za\u010dne fungovat norm\u00e1ln\u011b v\u00a0offline, m\u016f\u017ee se nechat zautomatizovat. Kdy\u017e zautomatizujeme bordel a podv\u00e1d\u011bn\u00ed, z\u00edsk\u00e1me automatick\u00fd bordel a digit\u00e1ln\u00ed podv\u00e1d\u011bn\u00ed.<\/p>\n

\u2014 V\u00a0jednom z\u00a0rozhovor\u016f jste \u0159\u00edkal, \u017ee neodbornost a nezodpov\u011bdnost jsou dva d\u016fvody, kter\u00e9 umo\u017e\u0148uj\u00ed rusk\u00fdm hacker\u016fm \u00fato\u010dit na na\u0161e st\u00e1tn\u00ed a obchodn\u00ed struktury. Jak vid\u00edte p\u0159ekon\u00e1n\u00ed t\u011bchto probl\u00e9m\u016f? A je v\u016fbec mo\u017en\u00e9 je zcela vy\u0159e\u0161it, kdy\u017e podle v\u00e1s lze hacknout cokoliv?<\/em><\/p>\n

Hacknout sice lze cokoliv, n\u011bkoho v\u0161ak lze hacknout snadno a u\u00a0n\u011bkoho to d\u00e1 pr\u00e1ci. A nez\u00e1le\u017e\u00ed tolik na samotn\u00e9m nabour\u00e1n\u00ed, ale na tom, jak na n\u011b reaguj\u00ed lid\u00e9 a jak se sna\u017e\u00ed zp\u016fsobenou \u0161kodu sn\u00ed\u017eit.<\/p>\n

\u00da\u0159edn\u00edci si mus\u00ed uv\u011bdomit, \u017ee jsou zodpov\u011bdn\u00ed za data, kter\u00e1 jsme jim sv\u011b\u0159ili, proto\u017ee maj\u00ed svou hodnotu. M\u016f\u017eeme zjistit dokonce konkr\u00e9tn\u00ed ceny na \u010dern\u00e9m trhu. Jde tedy o\u00a0hodnotnou v\u011bc, kter\u00e1 se mus\u00ed hl\u00eddat stejn\u011b tak jako fyzick\u00e9 objekty. Zat\u00edm v\u0161ak za jejich integritu a ochranu nikdo nezodpov\u00edd\u00e1.<\/p>\n

Je tu i druh\u00e1 strana mince: \u010dlov\u011bk m\u016f\u017ee zodpov\u00eddat jen za to, \u010demu rozum\u00ed. Nem\u00e1-li st\u00e1tn\u00ed organizace syst\u00e9mov\u00e9ho admina, ale jen \u0161patn\u011b placen\u00e9ho zam\u011bstnance, kter\u00fd pob\u00edh\u00e1 a vym\u011b\u0148uje kazety v\u00a0tisk\u00e1rn\u00e1ch, ten samoz\u0159ejm\u011b nem\u016f\u017ee odpov\u00eddat za nic. Ale pokud st\u00e1tn\u00ed \u00fa\u0159ad nezvl\u00e1d\u00e1 udr\u017eovat vlastn\u00ed informa\u010dn\u00ed syst\u00e9m, nech\u0165 se vr\u00e1t\u00ed k\u00a0pap\u00edru, trezor\u016fm a ostraze u\u00a0vchodu. Bu\u010f se tedy nau\u010d\u00edte udr\u017eovat sv\u00e9 informa\u010dn\u00ed syst\u00e9my a zodpov\u00eddat za jejich integritu a\u017e do \u00farovn\u011b trestn\u00ed odpov\u011bdnosti, v\u00fdpov\u011bd\u00ed, pokut nebo d\u016ftek, nebo je prost\u011b nem\u00e1te provozovat.<\/p>\n

\u2014 Na za\u010d\u00e1tku rozhovoru jste \u0159ekl, \u017ee v\u00a0organizaci dnes zb\u00fdvaj\u00ed t\u0159i aktivn\u00ed \u010dlenov\u00e9. \u010c\u00edm se Ukrainian Cyber Alliance zab\u00fdv\u00e1 dnes?<\/em><\/p>\n

V\u00a0tuto chv\u00edli se zab\u00fdv\u00e1me p\u0159edev\u0161\u00edm vlastn\u00edmi starostmi. I kdy\u017e se samoz\u0159ejm\u011b pod\u00edl\u00edme na v\u0161emo\u017en\u00fdch debat\u00e1ch, zejm\u00e9na o\u00a0zm\u011bn\u00e1ch v\u00a0legislativn\u00ed sf\u00e9\u0159e. \u017d\u00e1dn\u00e9 syst\u00e9mov\u00e9 projekty v\u0161ak aktu\u00e1ln\u011b nevedeme. Pro za\u010d\u00e1tek se tedy chceme domoci spravedlnosti u\u00a0soudu, pak si ujasn\u00edme, co d\u00e1l.<\/p>\n

\u2014 M\u00e1te n\u011bjak\u00e9 konkr\u00e9tn\u00ed pl\u00e1ny nebo n\u00e1pady?<\/em><\/p>\n

N\u00e1pad\u016f je spousta: co bychom mohli ud\u011blat jak pro zabezpe\u010den\u00ed, tak pro \u00fatok. Vym\u00fd\u0161let podobn\u00e9 projekty je pr\u00e1v\u011b posl\u00e1n\u00edm ob\u010dansk\u00e9ho sdru\u017een\u00ed. Ty jsou v\u0161ak odlo\u017eeny na neur\u010dito. Nejd\u0159\u00edv to mus\u00edme do\u0159e\u0161it se soudem.<\/p>\n

\n

\u010ct\u011bte tak\u00e9 dal\u0161\u00ed p\u0159\u00edsp\u011bvky k\u00a0t\u00e9matu na InformNapalmu<\/h2>\n