ROZHOVOR. I v Česku se objevují výzvy novinářů, aby je lidé kontaktovali přes šifrované aplikace. Často však reportéři zapomínají dát svým zdrojům pro takovou komunikaci bezpečný návod. „Říkat lidem, že nějaký nástroj zcela ochrání jejich data, je přinejmenším nezodpovědné. A pokud pracujete s lidmi, které tímto můžete uvrhnout do nebezpečí nebo je jinak zranit, pak je to i nechutně nemorální,“ kritizuje v rozhovoru pro HlídacíPes.org polský bezpečnostní analytik Łukasz Król. 

„Nemám co skrývat“ nebo „můj život není tak důležitý, aby někoho zajímalo, co si píšu na sociálních sítích“. To jsou dvě tvrzení, která slýchám často v diskuzích o digitální bezpečnosti. Jak na takovou odpověď reagují lidé z komunity bezpečnostních analytiků?

Łukasz Król, foto: se souhlasem Łukasze Króla

Na to existuje jedna často citovaná odpověď a myslím, že ji docela rád opakuje i známý Edward Snowden: říkat, že nemáte co skrývat, a proto nemusíte řešit své soukromí, je jako říkat, že nemáte co říct a proto nepotřebujete svobodu slova. Mně osobně se ale tato odpověď příliš nelíbí, protože rámuje digitální bezpečnost a soukromí jako něco individualistického.

Pro mě není důležité jen to, zda já osobně mám či nemám co skrývat, ale také jestli lidé v mém okolí mají či nemají co skrývat. Bezpečnost by měla být založena na empatii a komunitě, takže na fráze typu „nemám co skrývat“ reaguji tak, že v životě každého člověka mohou být a dost pravděpodobně i jsou lidé, kteří mají mnohem větší bezpečnostní potřeby.

Nemusí hned jít o politiky, whistleblowery nebo investigativního novináře, který pracuje na citlivém tématu. Třeba má někdo ve vašem okolí násilnického partnera, před kterým si potřebuje střežit své soukromí. Dobrá bezpečnost není jen o vás, ale i o ochraně lidí kolem vás, aby všichni mohli žít ve větším klidu a bezpečí.

Bezpečnostní režim na míru

Když se zaměříme konkrétně na novináře, je pro ně digitální prostředí bezpečným místem?

Asi vás svou odpovědí zklamu, ale záleží na tom, v jaké se kdo nachází situaci, a tedy jaký má bezpečnostní režim. Bezpečnostní oblast je velice sociální obor, a to se projevuje na tom, že neexistuje nějaké objektivní řešení, které bude vyhovovat všem. Různí lidé mají rozdílné bezpečnostní potřeby a čelí různým bezpečnostním rizikům.

Já bych bezpečnost ani nepropojoval pouze s digitálním světem. Podle mě nejsme v dnešní době nějak výrazně ohroženější než dříve. Ostatně i proto nemám rád pojem kybernetická bezpečnost, protože jde o termín, který propojuje bezpečnost výhradně s internetovou sférou, přitom jde ve skutečnosti o mnohem delší historický trend. Když mluvím o bezpečnosti, mám na mysli hlavně informační bezpečnost, na kterou museli lidé myslet i v době před digitálním prostředím.

Navíc možnost nějaké ochrany v digitálním prostoru je mnohem dostupnější. Například když autoři aplikace WhatsApp zavedli ze dne na den šifrované zprávy pro kohokoli, kdo aplikaci využívá, pokořili něco dříve nemyslitelného – ohromně ztížili přístup k osobní komunikaci státním aktérům a dalším, kdo by soukromí při komunikaci chtěl narušit.

Tuhle ochranu ale umí obejít třeba sledovací systém Pegasus, jak se nedávno ukázalo…

Ano, existují nástroje jako Pegasus, potýkáme se s phishingovými útoky a novináři navíc čelí cíleným útokům, ale zároveň je k dispozici neuvěřitelně snadné zabezpečení. Přijde mi to trochu jako zázrak, že mám v kapse malé zařízení, které je v podstatě neproniknutelné pro kohokoli kromě zpravodajských agentur na nejvyšší úrovni. Tedy aspoň, pokud se o něj dobře starám, aktualizuji ho a používám zabezpečené aplikace.

Mluvil jste o bezpečnostním režimu, který se u každého liší podle jeho bezpečnostních potřeb. Jak člověk zjistí, co jsou právě ty jeho potřeby?

Říkáme tomu modelování hrozeb a jde o způsob, jak přemýšlet o tom, co v našich životech stojí za ochranu a jak to případně efektivně chránit. V rámci tohoto procesu bychom měli zjistit, kdo jsou naši potenciální protivníci, kteří by mohli mít záměr nás ohrozit. Pokud jsem investigativní novinář věnující se Rusku, pak budu čelit úplně jiným hrozbám a budu vyžadovat úplně jiný typ zabezpečení než například novinář, který pokrývá lokální politiku v demokratickém státě. V obou případech budete mít jiná rizika, a tedy i jiné nástroje, které případným útočníkům mnohem více zkomplikují jejich nekalé úmysly.

KAŽDÉ RÁNO TO NEJLEPŠÍ Z HLÍDACÍPES.ORG

Typickým příkladem je i kontrast mezi novináři, kteří hodně cestují a kteří pracují z prostředí kanceláře. Pokud jde o novináře, který cestuje přes státní hranice, třeba do autoritářských zemí, je dost možné, že státní složky budou chtít prohledat jeho telefon nebo počítač. V takovém případě bude na místě, aby daný novinář u sebe vždy měl jen co nejmenší potřebné množství dat. A třeba v případě fotografií, aby je vždy co nejrychleji zaslal do redakce a vymazal je z telefonu.

Nebo řekněme, že máme novináře, který pracuje s uniklými dokumenty. To může být docela nebezpečné, protože do dokumentů mohou být snadno vložené viry a jiné nástrahy. Opět proto budou potřeba specifické postupy co dělat, aby novinář chránil sebe, svůj počítač nebo třeba svůj zdroj, který mu dokument poslal.

Jako v nové bondovce…

Když zmiňujete uniklé dokumenty, jak se z pozice bezpečnostního analytika stavíte obecně k jejich zveřejňování?

Existuje řada případových studií z reálného života, které by skvěle jednoduše vysvětlily, proč není dobré zveřejňovat uniklé dokumenty v úplné podobě. Například probíhající kauza uniklých dokumentů z Facebooku, takzvané Facebook Papers, byla zpracovávaná v úzké skupině novinářů a publikovány byly jen jednotlivé části materiálů, se kterými pracují. A má to dobrý důvod. Nechcete totiž zveřejnit tak obrovský balík dokumentů, když nevíte, jestli ta společnost nemá sofistikované mechanismy, jak odhalit váš zdroj.

Jako třeba?

Třeba pokud váš zdroj vytiskl dokumenty ve firemní tiskárně, tak za sebou dost pravděpodobně zanechal nějaké stopy. Firma by pak mohla ve svém interním systému porovnat zveřejněnou kopii dokumentu s naskenovanými dokumenty na svých tiskárnách a jednoduše zjistit, kdo to vytiskl.

Nebo některé firmy u citlivých informací, které poskytují svým zaměstnancům, mohou například mírně měnit obsah zpráv podle toho, komu je pošlou. Může jít o slovosled, využitou slovní zásobu, rozdíly v interpunkci nebo gramatice. Takže kdybych byl šéf nějaké firmy a napsal e-mail kolegům Anně a Janovi, které bych zval na společnou tajnou schůzku, tak bych Anně poslal třeba: „Pojďme zítra na oběd!!“ A Janovi bych zase napsal: „Pojďme zítra na oběd!“ Kdyby se tento e-mail někde publikoval s tím, že se zástupci společnosti XY sešli na tajné schůzce, hned bych věděl, odkud vítr vane, byť by byl třeba „anonymizovaný“. Proto pokud chceme ochránit své zdroje, musíme myslet na bezpečnostní mechanismy, které firmy a úřady mohou využívat a využívají.

Když se bavíme o bezpečnosti, je třeba říct, že neexistuje nic jako neprolomitelné heslo nebo nevyřešitelná šifra. Každá bezpečnostní ochrana se dá nějakým způsobem obejít a většinou je  jen otázkou času, kdy se tak stane. Má tedy vůbec smysl snažit se dosáhnout něčeho takového jako je dokonalá bezpečnost?

Řekněme, že chci ochránit svůj notebook. Odpojím ho proto od internetu a vložím do domu, který zabetonuji, včetně všech oken a dveří. I tak ale může, čistě teoreticky, útočník využít nějakou ozbrojenou speciální jednotku, která na dům skočí z vrtulníku, udělá díru do mé střechy, najde můj notebook a odletí s ním pryč. Taková akce by útočníka stála spoustu finančních prostředků a úsilí, o což přesně jde. Smyslem zabezpečení je především zvýšit náklady na útok do takové míry, aby nebyl prakticky proveditelný.

To zní jako z akčního filmu…

Ve skutečnosti přesně tak se o tom někdy v nadsázce mluví i v bezpečnostní komunitě. Říkáme tomu hrozba filmové zápletky. To znamená, že přemýšlíme o hrozbě, která je tak nepravděpodobná a vyžadovala by tak sofistikované protivníky, že se spíše odehraje v novém filmu o Jamesi Bondovi než ve skutečnosti. To se dělá právě proto, abychom zvýšili případné náklady na útok tak, že se to útočníkům nevyplatí.

Pravidla bezpečné komunikace

V Česku někteří novináři začali využívat šifrovaný ProtonMail. Na Twitteru jsem už zaznamenal několik výzev, aby zdroje daného novináře kontaktovaly bezpečně právě na adresu ProtonMail. Pokud se ale nepletu, jde o nástroj, který funguje pouze v případě, že oba účastníci komunikace využívají email služby ProtonMail. To ale zdroj nemusí vždy vědět. Není v tomto případě riskantní veřejně vyzývat zdroje s potenciálně citlivými informacemi, aby novináře kontaktovaly touto cestou?

Ano, je. To však neznamená, že je ProtonMail špatný nástroj. V oblasti bezpečnosti plní velmi důležitou funkci, protože jde o službu, která toho o vás moc neví, nebo aspoň tvrdí, že toho o vás moc neví. Takže pokud jste například novinář ve Spojených státech a vaší hrozbou je vláda, která může tlačit na Google, aby jí poskytl obsah vaší komunikace, pak je ProtonMail dobrá volba, protože k tomu obsahu, jak tvrdí, nemá přístup.

Problém může nastat ve chvíli, kdy vám někdo na ProtonMail pošle e-mail z Google nebo třeba Outlooku. Vaše komunikace bude sice u společnosti ProtonMail přístupná pouze v šifrované podobně, ale ty ostatní služby ji budou mít k dispozici bez šifrování. To teoreticky znamená, že kdyby FBI požádala americký soud o přístup k vašim zprávám na Google nebo by k tomu měla legální pravomoc zpravodajská agentura, pak by jim Google mohl vaše zprávy předat. Proto je dobré, aby buď všichni účastníci komunikace měli ProtonMail, nebo aby si uživatelé jiných služeb nastavili ve svých e-mailových schránkách funkci PGP (Pretty Good Privacy). To je však o dost složitější.

Navíc ProtonMail sice nemá přístup k obsahu e-mailů, ale má přístup k řadě metadat, která mohou prozradit informace o tom, kdo, kdy a odkud zprávy posílá. ProtonMail nedávno obdržel právní požadavek, na jehož základě musel prozradit IP adresy určitých uživatelů, a neměl jinou možnost, než tomuto požadavku vyhovět, což je pomohlo identifikovat.

Vystavují tedy novináři své zdroje při využívání ProtonMailu nějakému, byť třeba málo pravděpodobnému nebezpečí?

Věc se má tak, že se ProtonMail stal jistý typem bezpečnostního signálu. Je to trochu, jako bych na ulici potkal člověka s tričkem „mailuji bezpečně“. To vám sice nic neřekne o tom, jak daný člověk skutečně dbá na svou bezpečnost při e-mailové komunikaci, ale budete vědět, že to rád dává najevo. Pořád se nic nedozvíte o tom, zda má nastavené dobré heslo, dvoufaktorové ověření či jaké má další bezpečnostní návyky. Jde tedy podle mě především o signalizaci bezpečnostního postoje a toho, že jste si dali tu práci udělat něco navíc. Nelze však tvrdit, že je ProtonMail zcela bezpečný a přitom zamlčet rizika, která má. To je nezodpovědné.

Je tedy lepší využívat nějaké jiné služby? Populární je teď i v české novinářské komunitě aplikace Signal.

Asi nejlepší varianta je, když daná služba nepodporuje přijímání zpráv z nezabezpečených messengerů. Tak to má právě Signal na iOS, operačním systému společnosti Apple. Nikdo vám tam totiž nemůže poslat SMS nebo zprávu jinou cestou, než že si sám založí Signal účet. Pak je vaše komunikace vždy end-to-end šifrovaná a k obsahu zpráv nemá přímý přístup nikdo jiný než koncoví účastníci komunikace, neboli odesílatel a příjemce.

I v tomto případě však je zásadní, aby byly vždy vyloženy všechny karty na stůl. Protože to, že všichni účastníci komunikace využívají Signal, ještě neznamená, že se ke zprávám nelze nijak dostat. Pokud jeden z účastníků komunikace například nemá silné heslo k telefonu, pak se může útočník snadno nabourat do telefonu a zprávy přečíst.

Říkat lidem, že nějaký nástroj zcela ochrání jejich data, je přinejmenším nezodpovědné. A pokud pracujete s lidmi, které tímto můžete uvrhnout do nebezpečí nebo je jinak zranit, pak je to i nechutně nemorální.

Když jste mluvil o tom tričku „mailuji bezpečně“, napadlo mě, jestli digitální bezpečnost není tak trochu v módě, že zkrátka někteří novináři využívají tyto služby, ale už neříkají jejich celý příběh. Je to možné?

Neřekl bych, že jde o módu. Podle mě k tomu prostě nemají dostatek informací. Navíc v oblasti digitální bezpečnosti, stejně jako v jiných sférách lidského poznání, koluje řada mýtů a ničím nepotvrzených přesvědčení. Na světě je stále mnoho lidí, kteří věří, že když vám studený vítr zafouká na tělo, tak v podstatě okamžitě onemocníte. Věří tomu i přesto, že to žádný kvalifikovaný epidemiolog nikdy nepotvrdil. Stejné to je i v oblasti bezpečnostní. Existuje obrovské množství přesvědčení, která se mohla sice kdysi zakládat na pravdě, ale dnes již nejsou relevantní. Kolují legendy, následujeme tradice a děláme rituály, které nás nutně nečiní bezpečnějšími.

Jako například?

Na tom je zábavné to, že když některé mýty zmíním, většina lidí v mém okolí se ráda zeptá, zda a do jaké míry je to skutečně mýtus. Většina z těch falešných přesvědčení podle mě stojí především na tom, na co v bezpečnosti zaměřit svůj čas a pozornost. To se týká třeba využívání služby VPN (virtual private network), kterou někteří lidé využívají v podstatě nepřetržitě, ale někdy je možná i lepší VPN nepoužívat, protože pokud neumíte vybrat tu správnou, tak může být nespolehlivá a vytvářet falešný pocit bezpečí.

Zároveň se podle mě přeceňuje míra rizika, že vás někdo hackne, když se připojíte na špatnou wi-fi. To se stává neuvěřitelně zřídka, že čas a pozornost, kterou byste tomu věnovali někde na školení, by bylo mnohem lepší věnovat například dvoufázovému ověřování. To by zabránilo mnohem více útokům.