Na kočku a myš: Za oponou

Na kočku a myš je povídka (no, spíš už novela), která se mi v hlavě líhla někdy od roku 2013-2014. Verze, kterou si můžete přečíst tady, na Wattpadu a na Archive of Our Own je vlastně třetí hlavní iterací, resp. přepisem.

Chtěl jsem napsat něco z hackerského prostředí už dlouho. Protože mi je oborově blízké (viz níže), protože se jedná o věc velmi aktuální, a týká se prakticky každého, a v neposlední řadě i proto, že jsem si něco takového chtěl přečíst, ale nic jsem nenašel.

Na kočku a myš vyžadovalo spoustu rešerše. Čtení knížek o hackování, koukání na videa, sledování přednášek, pochopení aspoň některých snazších věcí. Dozvěděl jsem se toho hodně, ale nejsem Neal Stephenson, abych ve svých příbězích cpal čtenářům do hlavy obsah poloviny Wikipedie. A taky teda neumím psát tak dobře, aby mi to prošlo a číst se to dalo.

Takže jsem se rozhodl napsat tenhle canc, který třeba těm zvídavějším z vás poskytne nějaké zajímavé materiály, nebo informace.

Během těch let jsem několikrát dostal dva opakující se dotazy, takže kdyby vás to zajímalo, tak:

„Seš hacker?“

Stručná odpověď: Ne, nejsem hacker 🙂

Dlouhá odpověď: V IT se pohybuji od mala a vždycky mě zajímalo. Pracoval jsem tři roky jako programátor velkých webových aplikací, pak jsem dělal ve videoherní firmě, a teď se starám o Linuxové servery. InfoSec, tedy informační (někdy také kybernetická) bezpečnost je strašně široké odvětví, do kterého bych rád časem pronikl a v rámci něj se specializoval. S tím také souvisí druhá otázka:

„Jak moc je to realistický?“

Stručná odpověď: No, to záleží.

Dlouhá odpověď: Valná většina technik, programů, postupů a dalších věcí je buď skutečná nebo přinejmenším na skutečnosti založená a skutečností inspirovaná. Můžete si vygooglit Vegu, kterou Warren použil v první kapitole, nebo si přečíst něco o SQL Injection, případně o slovníkovém lámání hesel. Jenže ono opravdové hackování je obvykle záležitost zdlouhavá a nezáživná. Nezřídka musí hacker svůj cíl studovat a postupně se k němu blížit klidně i celé měsíce, a to by asi nikoho nebavilo číst. Proto jsem se snažil v Na kočku a myš vycházet ze skutečnosti, ale zjednodušit ji natolik, abych neodradil čtenáře bez potřebných technických znalostí, a aby to zkrátka nebyla nuda.

Jak je to s americkými zpravodajskými službami?

V Na kočku a myš figurují dvě, a jedna další je zmíněna.

NSA – National Security Agency, to je ta, kterou pravděpodobně znáte díky Edwardu Snowdenovi. NSA se soustředí na monitorování elektronické komunikace. Čtou vaše maily, odposlouchávají telefony, monitorují vaše Messengery a baví se tím, na jaké porno po večerech koukáte. Tedy, ne tak úplně, samozřejmě. Skrz NSA proteče absurdní množství dat, a obyčejné životy obyčejných lidí nikoho nezajímají.

Na NSA je ale zajímavá jedna věc: nejsou jen pasivními pozorovateli. NSA se k informacím dokáže dostat různě, a kromě využívání zranitelností rozšířených programů a operačních systémů (už jste si nainstalovali poslední bezpečnostní aktualizaci Windows?) produkuje i vlastní poměrně zajímavé nástroje, kterými infiltruje cíle v jiných zemích. Více k tomu třeba zde.

NSA má docela široké pole působnosti, ale nesmí své nástroje používat proti občanům a subjektům s Americkou národností. Na tohle nařízení nicméně docela úspěšně kašle, což na veřejnost vynesl právě zmíněný Snowden.

Přidruženou organizací je United States Cyber Command, zkracovaný na USCYBERCOM, Warren se o ní zmiňuje v 2. kapitole:

„Takže, Rayi, co teda děláš?“

              „Vedoucího analytika při protikyberteroristické divizi.“

            Warren uznale hvízdnul. No, aspoň už měl trochu představu, co je Selig zač. A seznal, že ho opravdu nebude zkoušet vodit za nos.

              „Neměl by ale podobný věci řešit USCYBERCOM? Teda, ne že bych o tom něco věděl, ale dost se chvástali, jaká je to moderní organizace plná schopných lidí.“

              „USCYBERCOM má svůj význam. Tím je hlavně být výkladní skříní téhle země. Ve skutečnosti ale řeší hodně specializované úkoly. Co děláme my je asi o něco obyčejnější, ale o to důležitější.“

              „A mně přišlo, že chtěli jen odvést pozornost od všech průserů NSA,“ ušklíbnul se Warren.

              „Taky že jo, ale to ještě neznamená, že je celá organizace jen Potěmkinova vesnice.“

              „Hm,“ zamumlal si pro sebe hacker, a znovu zmlknul.

NSA má centrálu ve Fort Meade.

CIA – Central Intelligence Agency. Jak ji všichni známe a milujeme ze špionážních filmů 🙂 Podobně jako NSA, i CIA je „foreign intelligence service“, tedy je zaměřena na získávání informací ze zemí mimo USA. Na půdě USA nemá CIA žádné pravomoci a operovat zde nemá.

Co se týče špionážních filmů, za sebe bych doporučil třeba vynikající Argo, a pokud máte raději knížky a nevadí vám trochu suché čtení, tak třeba Billion Dollar Spy. Obojí popisující reálné operace CIA. Pracovníci CIA v zahraničí mají obvykle diplomatickou imunitu a jsou zaměstnanci americké ambasády, takže ve většině zemí je odhalený pracovník CIA daným státem vyhoštěn. Ne všechny státy se tímhle pochopitelně řídí, ale podstatně větší riziko na sebe berou agenti, tj. zdroje, které s CIA spolupracují, ale jsou to občané jiného státu a nikoliv zaměstnanci CIA samotné. (Agenty zaměstnává jen FBI, mimochodem, je to docela častá faktická chyba.)

Teď se možná ptáte, jaký je tedy rozdíl mezi NSA a CIA, obojí sbírá informace zvenčí. Nápověda je v předchozím odstavci. CIA se zaměřuje zejména na HUMINT, což je trochu humorná zkratka pro Human Intelligence – tedy informace získané z lidských zdrojů. NSA pokrývá SIGINT – Signal Intelligence, to zahrnuje Internet, telefony, satelity atd.. CIA je ale poměrně vynalézavá a může například nařídit útok dronem na cíl v jiné zemi. Mimo jiné se také v roce 2018 „profláklo“, že CIA skrze nastrčenou společnost desítky let prodávala šifrovací zařízení, ve kterých měla nainstalovaná zadní vrátka, která jí umožňovala odposlouchávat komunikaci, kterou její účastníci považovali za šifrovanou.

CIA má centrálu v Langley.

V České republice je takovým ekvivalentem CIA Bezpečnostní informační služba – BIS.

DEF CON – hackerská olympiáda v Las Vegas

Do výslechové místnosti ale vešel někdo jiný. A Warrenovi se vyšplhalo obočí rekordně vysoko. Nově příchozí vypadal o něco mladší než druhý agent, taky měl podstatně lepší fyzičku, jestli to tedy mohl přes volnější oblečení posoudit. Oblečení byla vůbec anomálie. Rozhodně nedržel žádný dress code, naopak na sobě měl obyčejné džíny a volnou mikinu s logem konference DEF CON. Warren ji měl doma také. Jenže mikina sama o sobě mohla klamat, na největší hackerskou akci na světě se sjížděl kdekdo. Včetně federálů.

Konference DEF CON opravdu existuje, a pro bezpečnostní složky skýtá jedinečnou příležitost nahlédnout pod pokličku svým protivníkům. Dokonce na ní občas lidé z těchto organizací sami přednášejí. Hackování volebních terminálů, bankomatů, lékařské techniky, aut, středisek letového provozu, ale třeba i páčení zámků, nebo sociální inženýrství – hackování lidí. DEF CON není zdaleka jedinou takovou akcí, ale v tomhle případě by bylo možná trefnější mluvit spíš o rockovém koncertu než o konferenci.

Hacker, který vážně seděl

Kevin Mitnick byl ve své době hotovým postrachem, protože zas a znovu dokazoval, že technické zabezpečení je jen tak dobré, jak dobří jsou jeho uživatelé. Jeho příběhy „z praxe“, kterých napsal několik knih, jsou sice upravené, aby člověk nepoznal původní firmu, kterou Mitnick obelstil, ale jejich informační hodnota zůstává.

Po přečtení Art of Deception si budete dvakrát rozmýšlet, jestli někomu ještě někdy podržíte dveře do zaměstnání nebo vašeho domu. Nebo jestli se zoufale znějící ženě na telefonu pokusíte pomoci s její žádostí o telefonní číslo na vašeho kolegu/kolegyni, protože jsou přátelé a něco se stalo jeho/jejím rodičům. Mitnicka chytili v roce 1995, a po pěti letech ve vězení si založil firmu, kde své dovednosti uplatňuje legálně a za úplatu.

Jak je to tedy s tím najímáním chycených hackerů vládou? Kdo ví… hledal jsem poměrně dlouho a zevrubně, ale nenašel jsem ani náznak podobných praktik. U Mitnicka se není co divit, už v roce 1995 byl poměrně známý a jeho zatčení vzbudilo velkou pozornost. U hackerů, kteří se netěší takové pověsti? Těžko říci. Na jedné straně není těžké si podobný scénář představit (však kolik je takových seriálů, filmů, nebo knih?) na straně druhé je pořád potřeba se ptát, zda by si zpravodajské služby takhle pouštěly takříkajíc lišku do kurníku. Váš odhad je ale v tomhle případě úplně stejně dobrý, jako můj…

Seznam podkladů

Knihy

Neal Stephenson, J. Frederick George – The Cobweb

Neal Stephenson – Cryptonomicon

David E. Hoffman – The Billion Dollar Spy: A True Story of Cold War Espionage and Betrayal

Kevin D. Mitnick, William L. Simon – The Art of Deception: Controlling the Human Element of Security

Dafydd Stuttard, Marcus Pinto – The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws

Web

https://www.eff.org

https://www.troyhunt.com

https://www.cybrary.it

https://medium.com/@thegrugq

+ asi 30 twitterových účtů, dodám na požádání

Sdílej s přáteli:

Komentáře: 2

  1. Moc zajímavé informace, díky za tenhle pohled do zákulisí. Ještě jednou musím smeknout před tím odhodláním všechno to nastudovat a promítnout do povídky tak, že čtenář nebyl přehlcen informacemi a zároveň tam bylo všechno důležité.

    1. Díky. Dost jsem zvažoval, jestli to napsat, říkal jsem si, jestli to vůbec bude někoho zajímat, tak jsem rád, že ano 🙂

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.