Dvě hodiny instalování speciálního prohlížeče a jste tam, na temném internetu – darkwebu. „Za prachy udělám cokoliv. Jestli chceš, abych položil pár podniků nebo lidskejch životů, udělám to. Zruinuju je finančně nebo je dostanu za katr. Chceš odhalit, jestli někdo kouká na dětský porno? No problem!“ píše třeba na jedné z darkwebových stránek neznámý hacker.</p>
<p>Podobných portálů, které nejsou běžně dostupné a které inzerují služby hackerů, jsou na darkwebu tisíce. Nabourání facebookového účtu stojí setiny bitcoinů (desítky korun), stejně jako třeba hack e‑mailu vašeho šéfa. Položit web konkurenčního e‑shopu pak vyjde na jednotky bitcoinů, dražší bývají krádeže důvěrných obchodních dat. Všechno placeno v digitální měně, jejíž pohyb téměř nelze dohledat.
Odposlouchavat policii – a pak se přiznat
„Je to dělání věcí neobyčejným způsobem. Člověk má pocit, že věci by měly nějak fungovat, ale nefungují. Snaží se proto fungování světa zefektivnit,“ popisuje „hákování“ hacker s přezdívkou Krtek v hackerském klubu BRMlab v pražských Holešovicích.
BRMlab přitom není žádné ilegální doupě a Krtek žádný kriminálník. Pražský hackerspace tak hledače senzací nejspís zklame. „Hákování“ v něm každý den provádějí desítky podobných „krtků“ – které ovšem nebaví krádeže identit nebo vydírání internetových uživatelů, ale vymýšlení technických zlepšováků – od výroby vlastní 3D tiskárny po ovládání živého hmyzu pomocí joysticku.
Neznamená to přitom, že by se zdejší hackeři občas nedostali k citlivým informacím. Loni na podzim tak třeba odhalili, že rádiový systém pražské policie a dopravního podniku lze snadno odposlouchávat a vysílat do něj vlastní falešné zprávy. K napíchnutí nijak nešifrovaného rádia, které hlavní město stálo skoro 700 milionů korun, jim přitom stačil obyčejný digitální tuner za pár stokorun.
Autoři hacku, Marek Sebera a Tomáš Suchan, tak mohli v pražské MHD způsobit chaos nebo svůj objev prodat třeba mafii. „My si ale řekli, že taková bezpečnostní díra nesvědčí ani městské policii, ani nám jako občanům, pro které pracuje. Takže jsme o tom začali mluvit a psát a dnes to vypadá, že s tím rádiem Praha konečně něco udělá,“ vysvětluje Sebera, proč svůj „hackerský výzkum“ zveřejnil.
Zachoval se tak jako typický white hat, jak se etickým hackerům, kteří na bezpečnostní skuliny upozorňují, říká. Pro své černé „kolegy“ (black hats), již se napadáním počítačů živí, přitom příliš pochopení nemá. „Spousta z nich nikdy žádný útok beztak nenapsala. Jen příslušný kód někde okopírovali,“ říká Sebera s despektem. Black hats podle něj jinak slušnou hackerskou komunitu poškozují.
„Když vás baví provádět útoky, můžete zvolit kompromis a věnovat se penetračním testům,“ říká další z „brmlabských“ hackerů s přezdívkou Niekto, který odolnost firemních počítačů testuje zcela legálně. „Kdo si přitom jednou vzal za ilegální hack peníze, ten už se veze,“ myslí si Niekto. „Mí známí si takhle měsíčně kradením údajů z kreditek přišli třeba na desetkrát větší peníze než já. Jenže je pak odhalili a oni za to teď sedí,“ říká slovenský ajťák z Prahy. Ten neprovádí nic nekalého, přesto je stejně jako jeho kamarádi k policii nedůvěřivý.
CzERT na ministerstvu smrti
Svérázný smysl pro humor byl s českými hackery spojen hlavně v devadesátých letech. Tehdy byl nejznámější CzERT – Czech Emergency Response Team. Za tím stál Slovák Pajkus, který spolupracoval s asi čtyřmi kamarády z Česka. Prvním známým útokem CzERTa bylo nabourání webu české armády v listopadu 1996. „Lidé spěte, nad Vámi bdí Armáda ČR,“ zněl text, jímž CzERT armádní web doplnil. Útok neminul ani stránky ministerstva zdravotnictví, z něhož se přes noc stalo „ministerstvo smrti Čínské republiky“.
„Policisté jsou počítačovému démonovi CzERT na stopě,“ uvedl v říjnu 1997 tehdejší počítačový kriminalista Jiří Dastych. Reakce CzERT na sebe nenechala dlouho čekat. Skupina na policejní web vložila kreslený vtip, který Dastycha parodoval. „Zeptali jsme se pana Dastycha, zda nám může říct bližší informace o dané stopě na CzERT. ‘Ano, mohu vám říct, že jsme konečně zjistili, co je to ten Internet‘,“ napsali „čerti“.
Útok na web policie byl nejspíš čertovým posledním. „Byla to jenom studentská prča, recese,“ říkal pak člen skupiny známý jako Ook. „Snažili jsme se neškodit. Naše změny stránek navíc většinou dělaly serverům ještě reklamu,“ doplňoval ho Pajkus neboli Miroslav Pikus, z něhož je dnes po ukončení hackerské kariéry topmanažer Slovak Telekomu.
Podle dokumentaristy Jana Šípka, který se s první generací českých a slovenských hackerů scházel, byla jejich hlavním rysem hravost. „Hodně tehdejších útoků mělo navíc za cíl upozornit na bezpečnostní problémy, což byl třeba případ hacku slovenského NBÚ,“ vypráví Šípek.
Slovenští hackeři v roce 2006 náhodně přišli na to, že tamní Národní bezpečnostní úřad – hlavní strážce státních tajemství – používá ke svému zabezpečení banální heslo „nbusr123“, které lehce prolomili. Díky tomu ze systémů úřadu ukradli celkem 20 GB tajných dokumentů – k provedení útoku se ale hned anonymně přiznali tisku. Z následného vyšetřování vyplynulo, že přístupový kód nastavil dodavatel softwaru, který přitom úřad upozornil, aby heslo ihned změnil. K tomu ale nedošlo ani poté, co už byl skandál na světě, a hackerští vtipálci už navíc mezi lidi rozšířili trička s prozaickým nápisem „nbusr123“.
<img src= “trykomp.svg“ alt=“Banální heslo slovenského NBÚ povzbudilo hackery k tisknutí triček.“>
Když hackeři hacknou policejní hackery
Současným ilegálním hackerům už přitom podobná hravost chybí, o publicitu vůbec nestojí. „Dnes jde zkrátka o byznys. Představa, že při útoku sedí někdo v kápi ve sklepě, už neplatí,“ říká bezpečnostní expert firmy net.pointers Martin Půlpán.
Podle něj služeb hackerů využívají například drogové kartely, které své „zboží“ přibalují třeba do krabic s banány, jež míří do Evropy či USA. „V cílové zemi se hackeři nabourají do systému logistické firmy. A pak už jen vyberou konkrétní balíky, do nichž byly drogy vloženy. Znají čárové kódy, jimiž jsou jejich zásilky označeny, jdou tedy najisto. Sama logistická firma o celé věci neví,“ vypráví Půlpán.
Vedle podobných akcí je módní také šíření takzvaného ransomwaru, jímž hackeři cílí na běžné uživatele. Jejich disky virem zašifrují, za následné odblokování pak vyžadují výkupné. Distributor vyděračského softwaru přitom vůbec nemusí být programátor. Hackerští autoři ransomwaru Cerber tak třeba svůj produkt inzerovali i s návodem, jak ho do počítačů nasadit. Jejich „franšízantům“ tak stačilo za úplatu šířit nákazu po světě.
„Většinu zaznamenaných útoků přitom představují banality – typicky nabourání účtu na Facebooku pro prokázání nevěry,“ říká počítačový kriminalista, který chce raději zůstat v anonymitě, protože ví, že skutečné nebezpečí pro jeho práci spočívá jinde. „Hackery z darkwebu, kteří útočí na velké podniky, prakticky nikdo nezastaví. A tyhle lidi bych si znepřátelit nechtěl,“ konstatuje detektiv, jemuž při odhalování kyberzločinů pomáhají i vybraní etičtí hackeři z Česka.
Podobná spolupráce se ale ne vždy vyplácí, o čemž svědčí kauza italské firmy Hacking Team. Ta české policii přes prostředníka dodávala malware, s jehož pomocí se kriminalisté dostávali k informacím z mobilů a počítačů podezřelých osob. Jejich sledování sice české soudy povolily – loni v létě ovšem neznámí hackeři své italské kolegy hackli a z jejich firmy vynesli i veškeré informace. Z uniklých detailů komunikace mezi policií a Hacking Teamem pak podle právníků mohli těžit obhájci lidí, na něž kriminalisté hackerské pasti nastražili. Případem se zabývala i poslanecká komise pro kontrolu odposlechů, policejní skandál ale vyšuměl do prázdna.
Žádné státy – vládnout má internet
Hacking je přitom čím dál více také prostředkem boje mezi státy. Státní hackeři z Číny nebo Ruska dokážou krást vojenské plány protivníků nebo od internetu odřezávat celé země, jako se to nedávno přihodilo třeba Turecku.
V Česku jsou zatím nejvíc vidět hlavně kyberaktivisté, kteří naposledy protestovali proti ministru Andreji Babišovi demonstrativním útokem na web jeho firemní skupiny Agrofert. Málokdo si přitom uvědomuje, jakou mocí tito kyberbojovníci vládnou.
„Pár schopných hackerů ti dokáže položit celý stát. Miliarda lidí může být nahrazena stovkou schopných, motivovaných, dobře organizovaných lidí. Ani nemusí mít tolik prostředků, i s jedním obyčejným počítačem můžeš udělat obrovské věci,“ říká v rozhovoru s dokumentaristou Šípkem třeba hacker Martin, podle něhož jsou počítačoví piráti pojistkou proti oblbování společnosti politiky.
Spousta hackerů ostatně sdílí názor, že státy postupně odumřou a nahradí je globální společnost řízená spravedlivějšími principy internetu. „Internet představuje svět, který nelze vypnout. Podle mě přitom do takových paralelních systémů postupně dobrovolně přejdou všichni lidé, a státy tak zcela ztratí smysl,“ říká člen umělecké skupiny Ztohoven Pavol Lupták, který se označuje za kryptoanarchistu.
Víra v pokojný přechod vlády do rukou nezkorumpovatelných technologií je nejspíš důvodem, proč se jinak anarchisticky ladění hackeři proti dnešnímu zřízení nebouří. „Já třeba ale vůbec nejsem přesvědčený o tom, že je většinový názor správný. Demokracie je podle mě diktaturou většiny,“ míní Lupták, který prý věří jen ve vlastní morální úsudek.
Jakou legitimitu ale mají nevolení hackeři, kteří se svými znalostmi technologií mohou stát příštími vládci společností? ptáme se ho. „A jakou legitimitu má, když se většina lidí dohodne, že vám sebere peníze nebo omezí vaše práva?“ odpovídá otázkou Lupták, jenž míní, že nastolení internetové společnosti se neobejde bez utrpení osvícených hackerů, které státy exemplárně potrestají.
