Skip to content

Útvar prazvláštních činností

By Tomáš Pecina Rozkošný skandálek kolem italské společnosti Hacking (aka Hacked) Team vydal plody formou 400 GB dat z firemních úložišť. Pro tento blog jsou nejzajímavější e-maily putující mezi milánskou centrálou a zaměstnanci českého distributora, společnosti BULL s. r. o., zejména pány Hlavsou a Martínkem.

Z komunikace je především zřejmé, že česká policie nebyla jediným zákazníkem, jemuž byly malwarové produkty přeprodávány. Proč je to zajímavé? Proto, že platí tzv. hackerský paragraf (§ 230 TrZ) a podnikání, o které se zde jedná, spadá bez větších diskusí pod jeho pátý odstavec, se sazbou od tří do osmi let. Podstatnou obchodu bylo, že zákazník dostal (relativně jednoduchou) aplikaci, jíž mohl ovládat napadená zařízení, a zároveň prostředky, jimiž mohl cílové počítače nebo mobilní telefony infikovat – v hackerské mluvě exploity. Ty byly až do r. 2012 publikovány na portálu, k němuž si zákazník za částky od několika tisíc euro ročně platil přístup, později, když se počet nových exploitů rapidně snížil, je za zhruba stejné peníze dostával formou periodických aktualisačních balíků. Životnost exploitu je přitom obecně krátká, spíše měsíce než roky, a zákazník, který přestane platit, bude brzy na suchu: zařízení oběti nedokáže účinně infikovat, ledaže by k němu měl fysický přístup.

Společnost BULL poslala do Itálie dokonce i seznam svých klientů, v excelové tabulce, ovšem v zašifrovaném zipu (např. tady), a z tohoto seznamu by bylo ihned zřejmé, komu se malware dodával, tedy zda podnikání BULLu bylo trestnou činností čili nic: připomínáme, že dodat podobný produkt jinému než oprávněnému odběrateli je trestné. Zda jsem heslo příslušného ZIPu prolomil a zda tedy vím, komu přesně bylo dodáváno, se ovšem – právě pro existenci hackerských paragrafů – milí čtenáři, nikdo, a najmě pak policie, nedoví (ty můj kvítku medový!), jen ať se policisté snaží sami. Je ostatně naivní myslet si, že by tito svérázní pomahači a ochránci stíhali svého vlastního dodavatele: to by se pak mohly na veřejnost dostat pěkné věci, namátkou seznam provisí, které byly za dodávky na policejním presidiu inkasovány. Policie bude nyní tyto výtečníky chránit i za cenu, že by měla zavřít všechny ostatní občany České republiky (ale jistě, klidně si věřte na pohádky o nezkorumpovaných policajtech: i takoví existují, ovšem stěží to ve službě dotáhli dál než na místní oddělení Pičín-město; kdekoli výše je korupce v policii prevalentní a pro příštích několik desítek let nevymýtitelná).

Čímž jsme u druhého aspektu, používání malwaru oprávněnými policejními útvary. Ústavněprávní rámec věci vymezuje čl. 2 odst. 2 Listiny, tedy že státní moc lze uplatňovat jen v případech a v mezích stanovených zákonem, a to způsobem, který zákon stanoví. O způsob tu právě běží: není-li určitý modus invase do soukromí občana dovolen zákonem o policii nebo trestním řádem, je nepřípustný, a tuto nepřípustnost nemůže zhojit ani desatero soudních příkazů.

Jaké služby byly policii poskytovány, lze naznat nejlépe z hodnocení výsledků testů samotnou policií: i pokud bychom připustili, že policisté na všechno to, co pomocí malwaru zjišťovali nebo chtěli umět zjistit, dostali soudní příkaz, některé z těch věcí se pod příslušná ustanovení trestního řádu nevejdou, ani kdybychom zákon ohýbali kleštěmi na plech.

A další principiální otázkou je samotný akt infekce. Paragraf 158d trestního řádu dovoluje mnohé, nikoli však vše, a podobně jako v Německu, kde jsou affairy týkající se policejních trojanů téměř na denním pořádku, bude nutné judikatorně vymezit, jakými prostředky smí policie zasáhnout do technického zařízení podezřelého, už proto, že jednou infikované zařízení mohou pak využívat i jiní, nepolicejní hackeři, zejména pokud z Hacked Teamu unikly i zdrojové kody jejich přístupového softwaru a je tedy známo, kudy do napadeného hardwaru zadními vrátky vstoupit.

Zdroj: Paragraphos (Tomáš Pecina)