Máte strach o Vaše súkromie? Bojte sa SIS. - Nethemba

BLOG

Máte strach o Vaše súkromie? Bojte sa SIS.

2015-07-09 19:38 Pavol Lupták

Nedávna kauza kompletného kompromitovania talianskej hackerskej spoločnosti Hacking Team, ktorá dlhodobo pracovala pre diktátorské krajiny a svojimi nástrojmi a službami podporovala v nich totalitný režim (Citizenlab o ichnemorálnych aktivitách dlhodobo informuje) a nedávno zverejnená leaknutá emailová komunikácia slovenskej SIS a spoločnosti Hacking Team, v ktorej bol dohadovaný nákup ich špehovacieho softvéru, ma dotlačila ako zástupcu IT bezpečnostnej firmy Nethemba s.r.o. k nasledujúcemu verejnému prehláseniu, za ktorým si stojím:

Najväčšia hrozba pre súkromie občanov na Slovensku je Slovenská informačná služba (SIS).

Buďme ale konkrétni a poďme k faktom:

1. SIS opakovane podala zvrátený návrh na odpočúvanie akejkoľvek šifrovanej komunikácie všetkých občanov. Viac informácií SIS chce špehovať všetko, nás internet banking aj e-maily.

Na základe veľkého občianskeho odporu a viacerých kampaní proti tomuto návrhu (Tajná služba chce viac moci. 11 zmien, aby ju nezneužívala, Hromadná pripomienka mimovládnych organizácií k návrhu zákona o Úrade civilného spravodajstva a Vojenskom spravodajstve ) a rozporovom konaní na Ministerstva vnútra, ktorého som sa osobne zúčastnil, SIS uvedený návrh odpočúvania nakoniec stiahla.

2. Dňa 15.9.2014 Wikileaks zverejnili informáciu o tom, že Slovenská Republika nakúpila 39 licencií softvéru FinFisher v sume viac ako 5 miliónov EUR. FinFisher vyvíjaný spoločnosťou Gamma je využívaný totalitnými vládami rôznych krajín na špehovanie a monitorovanie disidentov. Ide o extrémne účinný softvér, lebo využíva tzv. 0-day zraniteľnosti na ktoré ešte neexistujú účinné bezpečnostné záplaty. Úrad vlády SR uvedenú informáciu dementoval  – “Vo všeobecnosti nekomentujeme informácie Wikileaks, lebo majú kvalitu na úrovni “jedna pani povedala”.  Problematiku, na ktorú sa pýtate, zastrešujú príslušné inštitúcie; obráťte sa prosím na nich,” reagoval tlačový a informačný odbor Úradu vlády SR.

Wikileaks odhaľuje ale ďalšie informácie, ktoré Úrad vlády SR ani SIS verejnosti nepovedali a sú podľa môjho názoru celkom šokujúce.
Pán Jozef Mozolík zo SIS firmy GISS s.r.o. a pán Jan Fiala z ALLSAT s.r.o. pozvali do Bratislavy nielen zástupcov nešťastnej talianskej spoločnosti Hacking Team, ale aj zástupcov neslávnej spoločnosti Gamma s cieľom odprezentovať ich špehovacie riešenie (FinFisher). A samozrejme čakali na ponuky od oboch týchto firiem.

Znamená to jednoduchý fakt – SIS reálne vyberali špehovacie riešenie medzi spoločnosťami Hacking Team a Gamma a je veľmi pravdepodobné, že nakoniec aj nejaké vybrali (o tomto svedčí minuloročné zverejnenie na wikileaks, že Slovenská republika je klientom Gamma, ktoré slovenské úrady popreli).

Bohužiaľ všetko toto podliehalo utajeniu, takže SIS si mohla dovoliť závažny fakt, že komunikuje, dohaduje sa na stretnutiach a chce zakúpiť špehovacie riešenie od dvoch úplne pofidérnych firiem (ktoré obe pracujú pre diktátorské krajiny) zamlčať (a to aj spravili).

O celej kauze FinFisher vs. Slovenská republika som mal pred takmer rokom prezentáciu – FinFisher – top government spying, video z prezentácie k dispozícii napríklad tu.

3. SIS má u všetkých mobilných operátoroch priamy prístup k Vašej mobilnej komunikácii a možnosť odpočúvať akúkoľvek Váš hovor alebo SMS správy. Potrebuje k dispozícií síce súdny príkaz, ale reálne málokedy ho nedostane. Akýmkoľvek mobilným hovorom na Slovensku sa preto nedá vôbec veriť a preto jeden z mála spôsobov ako sa reálne voči odpočúvaniu štátom brániť je realizovať “end-to-end” šifrované hovory využitím Android aplikácie RedPhonealebo iOS aplikácie Signal Private Messenger, prípadne využiť iný spôsob šifrovania použítim ZRTP protokolu.

4. Talianska spoločnosť Hacking Team, s ktorou obchodne rokovala SIS bola kompletne vyhackovaná a boli zverejnené všetky kompromitujúce informácie súvisiace s jej biznisom. Viac informácií tu:

Hackli firmu, ktorá pomáha štátom špehovať občanov

Uvedený softvér Hacking Team nakúpila Česká polícia – Česká policie údajně platí miliony za nelegální hackerské nástroje. Tu by som podotkol, že predaj Českej polícii bol realizovaný cez spoločnosť Bull s.r.o., k dispozícii faktúra. Podľa komunikácie zverejnenej na Wikileaks SIS plánovala na tento účel využiť súkromnú spoločnosť GISS s.r.o.

Využívanie špehovacieho softvéru od Hacking Team riešili členovia Českej snemovne (Sledovací software policie použila v desítkách případů, zaznělo ve Sněmovně). Vyzerá, že českí politici obhajujúci konanie českej polície sú mierne nechápaví a nerozumejú tomu, že  nakupovanie špehovacieho software (na “vznešené ciele”) od Hacking Teamu je analogicky to isté ako nakupovanie munície (tiež na “vznešené ciele”) od ISIS, ktorý okrem toho, že ju predáva svojím klientom, tak ňou zabíja nevinných ľudí.

Česká polícia odmieta zverejniť akékoľvek ďalšie informácie o samotnom softvéri Galileo, ktorý nakúpil od spoločnosti Hacking Team – Policie ČR: Šmírovací software jsme koupili, ale vše je tajné, nic neřekneme, Hacking Team hacked: prodával spyware mnoha státům včetně Česka.

Konanie (a obchodovanie s diktátorskými krajinami) v prípade Hacking Team navrhujú vyšetriť priamo členovia Európskeho parlamentu.

Podľa zverejnenej Wikileaks komunikácie vyzerá, že slovenská SIS nestihla od spoločnosti Hacking Team nič zakúpiť (kedže spoločnosť Hacking Team bola kompletne vyhackovaná a prakticky zmetená z IT bezpečnostného trhu).

Vysvetlenie prečo Česká polícia a SIS úplne morálne zlyhali

Pofidérne nemorálne aktivity talianskej hackerskej spoločnosti Hacking Team sú verejne známe už niekoľko rokov, pravidelne o tom publikuje a v minulosti publikoval napríklad Citizenlab. Ja osobne túto spoločnosť ako veľmi kontroverznú registrujem už niekoľko rokov.

Nechce sa mi veriť, že štátne inštitúcie ako Česká polícia, ktorá od nich uvedený nástroj za desaťtisíce eur reálne zakúpila, podobne slovenská SIS, ktorá uvedený nástroj plánovala zákupiť, neboli schopné pri tak veľkej čiastke si spraviť jednoduchý “background check” samotnej spoločnosti Hacking Team a zistiť, že v IT bezpečnostnej komunite majú skutočne veľmi zlú reputáciu.

Ak to náhodou omylom nespravili, tak mi nezostáva nič iné, len konštatovať, že sú neschopní a mrhajú desaťtisíce eur od svojich daňových obetí na nákup špehovacieho softvéru od pofidérnych  firiem, ktorých reputáciu si nedokážu overiť.

Prečo je nemorálne používať špehovacie hackerské nástroje firiem od Hacking Team alebo Gamma

Najnemorálnejšie na celom tomto incidente okolo hackerských firiem “pracujúcich pre vlády” ako Hacking Team alebo Gamma nie je to, že vytvárajú a predávajú sofistikovaný špehovací softvér. Ale to, že vlády, ktoré si hovoria, že sú “demokratické” (a tam patrí aj slovenská a česká) od týchto firiem (ktorých kľúčový biznis je postavený na obchodovaní s diktátorskými vládami/režimami) za peniaze daňových obetí nakupujú špehovacie služby a nástroje.

Taktiež to, že sa ako bežný občan nemáte fakt šancu akokoľvek voči tomuto brániť – na 0-day exploity neexistujú bezpečnostné záplaty (viac informácii ako funguje zvrhlý 0-day biznis s vládami vysvetľujem v mojej prezentáciiGovernment’s fight against cyber terrorism vs. FinFisher 0-day economy). Súčasne nedokážete ani legálne zistiť či vaša vláda uvedené špehovanie reálne zakúpila a používa, kedže tento softvér nakupujú štátne inštitúcie, ktoré podliehajú kompletnému utajeniu (viď vyššie uvedené prehlásenie Českej polície).

Je to krásna ukážka toho, ako sa “úžasna demokracia” reálne zmršťuje do Orwellovskej špehovacej diktatúry bez možnosti občana tomu akokoľvek zabrániť.

Kedže nemorálny biznis “government-friendly” firiem ako Hacking Team alebo Gamma vlády nikdy nezakážu a nebudú kriminalizovať (nakoľko sú sami klientami tohto biznisu), hackerské útoky voči týmto firmám je bohužiaľ jedna z mála možností ako sa dozvedieť zákulisné informácie o štátnej špehovacej diktatúre.

Ak sa skutočne bojíte o Vaše digitálne súkromie, štátne informačné služby je to, z čoho by ste mali mať ten najväčší strach.

Ak je uvedené konanie štátnych inštitúcii v silnom rozpore s Vašou vnútornou etikou, neváhajte sa pridať k našej iniciatíve Nepracujeme pre štát.

Ďalšie odkazy:

Hacking Team Breach Shows a Global Spying Firm Run Amok

Hacking Team Asks Customers to Stop Using Its Software After Hack

Online mirror hacknutého archívu http://ht.musalbas.com/