Vojna na Ukrajine a množiace sa útoky Ruska nielen proti jej štátnym inštitúciám, ale aj proti krajinám v rámci Európskej únie, opäť otvárajú dôležitú otázku kybernetickej bezpečnosti.

O bezpečnosti našich bežných smartfónov a najznámejších komunikačných aplikácií, ale najmä o úrovni zabezpečenia Slovenska a hrozbách, ktoré potenciálne hrozia našim ministerstvám či iným inštitúciám, sa FonTech rozprával s Tomášom Kucharíkom, expertom na kybernetickú bezpečnosť a bezpečnosť mobilnej komunikácie zo spoločnosti Ardaco.

Jeho slovenská firma Ardaco vyvíja zabezpečnú komunikačnú platformu určenú práve pre štátne inštitúcie a firmy a tvrdí, že bežné instant messengery do prostredia štátu z najrôznejších dôvodov absolútne nepatria.

Dá sa porovnať bezpečnosť smartfónov s Androidom a iPhonov s „uzavretejším“ iOS? Je na tom niektorý operačný systém lepšie? 

Android aj iOS dnes poskytujú pomerne pokročilé bezpečnostné mechanizmy. Omnoho väčším rizikom je samotný používateľ, ak s mobilom robí veci, ktoré by z pohľadu bezpečnosti nemal. Je však aj rozdiel, či sa na to pozeráme z pohľadu bežných užívateľov, kde je riziko menšie, alebo štátnej inštitúcie, kde by bezpečnosť mala byť na oveľa vyššej úrovni.

Naznačili ste, že iOS je uzavretejší, čo má určite svoje výhody a vo všeobecnosti sa považuje za trochu bezpečnejšiu platformu. Aj preto, že Android nie je vždy rovnaký – niektorý výrobca má napríklad iba jednoduché odomykanie rozpoznávaním tváre, ktoré sa dá obísť, iní pokročilejšie. Ani Android by som však nedovolil zatracovať. Napríklad Samsung a jeho Knox má dobrú bezpečnosť a povedal by som, že sa vyrovná aj iOS. Záleží teda od výrobcu.

Okrem Androidu a iOS sú tu aj špecializované, dva až päťkrát drahšie upravené „Hardened Androidy“. Ich bezpečnosť je však tiež otázna – lepší výrobca smartfónov totiž v prípade problému vždy okamžite vydáva záplaty, no menším špecializovaným to trvá aj niekoľko mesiacov.

Staršia kauza hovorí o krádeži súkromných fotografií z cloudových služieb. Bez cloudu sa však dnes nezaobídu ani firmy. Odporúčate takéto úložiská používať, alebo platí, že čo nemám na svojom šifrovanom disku, predstavuje potenciálny problém? 

Ak dodržiavam základné pravidlá bezpečnosti, cloudové technológie sú úplne v poriadku. Aj americký Pentagon používa cloud od súkromnej firmy, ten však má certifikáciu pre vládne organizácie. Záleží na jeho šifrovaní, spôsobe uloženia dát a tom, kto k nim má prístup.

Pre bežného používateľa cloud nepredstavuje problém. Pokiaľ si tam ukladám bežné fotografie alebo komunikáciu s rodinou, nemyslím si, že je to nebezpečné. Pokiaľ som však podnikateľ s citlivými dátami o cenách alebo prieskume trhu, pozorne by som sa pozrel na to, ktorú cloudovú službu si vyberám.

Napríklad v USA majú poskytovatelia úložísk povinnosť poskytnúť prístup k dátam súkromných používateľov a firiem napríklad americkej vláde, od roku 2018 to upravuje tzv. Cloud Act.

Platí teda, že dáta, ktoré mám šifrované v iPhone, sú vo väčšom bezpečí ako tie v iCloude? Medializovali sa prípady, kedy Apple odmietol dať FBI prístup do konkrétneho iPhonu, ale musel poskytnúť prístup k zálohe v cloude.

Netvrdil by som, že to, čo je v telefóne, je automaticky bezpečné. Trend je skôr opačný. Možno pre súkromných používateľov áno, ale pre štátne organizácie a firmy s citlivými dátami určite nie.

Jedna vec je to, čo sa píše v novinách, že Apple váhal dať kľúče ku „cracknutiu“ telefónu, no policajné služby majú nástroje, ako to obísť a k dátam sa dostať, hoci to zo zrejmých dôvodov nechcú publikovať. Ja tiež nechcem dávať návod, ako sa k týmto dátam dostať a zneužiť to.

Sú však konkrétne prípady, aj s aplikáciami ako Threema, Signal či Telegram, kde sa k dátam štátne orgány dostali. Napríklad program Pegasus od izraelskej firmy NSO. Najnovšie Španielsko, kde bol Pegasom hacknutý premiér a celá vláda, v Nemecku bolo niekoľko whitepaperov, kde jasne ukázali, ako boli tieto aplikácie hacknuté.

Ako boli hacknuté?

Zjednodušene. Veľa aplikácií si dáta ukladá v telefóne. Áno, sú šifrované a nie je úplne jednoduché a bezproblémové ich rozšifrovať . Ale ak raz máte niečo uložené na telefóne a útočník sa k telefónu dostane, tak má neobmedzené množstvo času a prostriedkov, ako ich rozšifrovať. Je to podstatne jednoduchšie, ako keď ich máte uložené mimo telefónu, na nejakom bezpečnejšom mieste.

V NSO Pegasus vyvinuli pre štáty, na boj proti zločinu a terorizmu. Teraz ale existuje obava, že sa z bezpečnostných zložiek dostal do rúk hackerov? Predpokladám, že jeho použitie proti bežnému smrteľníkovi nebude lacné, ale firmy a štáty by sa mali obávať?

Fakty sú jednoznačné. NSO vraví, že je to kontrolované a iba pre štátne účely. Druhá strana mince je, že Pegasus bol zneužitý štátnymi orgánmi na sledovanie novinárov, špehovanie opozície.  A kópie Pegasu sa objavili aj na dark webe.

Má Pegasus aj Slovensko? Vojenské spravodajstvo, SIS? Vie sa naša polícia dostať do bežného smartfónu?

Nebudem špekulovať nad nástrojmi. Slovenská polícia a naše bezpečnostné zložky majú určite dosť nástrojov na to, aby sa dostali k informáciám, ktoré potrebujú. Pegasus je najviac spomínaný, ale tých útočných produktov je viac.

Náš systém Silentel je vybavený množstvom bezpečnostných opatrení, ktoré zaisťujú bezpečnosť a integritu na úrovni systému, na úrovni aplikácií a ochranu informácií užívateľa. Napríklad Silentel poskytuje jedinečný mechanizmus, ktorý fyzicky neukladá správy na zariadeniach používateľov. Správy sa načítajú iba vtedy, keď otvoríte aplikáciu. Už len toto opatrenie môže narušiť snahy malvéru a ľudí, ktorí sa pokúšajú fyzicky preniknúť do vášho zariadenia.

Súboj hackerov s vývojármi aplikácií je vraj nikdy nekončiaci súboj. Niečo sa zapláta, nejaká nová zraniteľnosť zase objaví…

Presne tak. Aj Pegasus sa stále vyvíja a všetky malvéry podobne. Keď hacker nájde slabé miesto, nie vždy to verejne publikuje. Informácie, niekedy za státisíce až milióny dolárov, predávajú práve firmám ako je NSO, ktoré slabé miesta využívajú.

Na koho presne mieri vaša aplikácia Silentel? Vlády, veľké firmy, alebo myslíte aj na ľudí, ktorým nahradí WhatsApp a Messenger?

Cieľovou skupinou sú hlavne štátne organizácie a veľké firmy, ktoré chcú niečo chrániť. Tie môžu kompletne celý systém prevádzkovať na serveroch u seba, dáta sú u nich, nejdú nikam do sveta. Je teda skutočne  ťažšie ich zneužiť.

V krajine na západ od Slovenska takto poskytujeme služby celej štátnej správe. Premiér aj všetky ministerstvá sa rozhodli, že WhatsApp či Signal nebudú používať. Ich používanie bolo aj za hranou zákona, posielať citlivé informácie o svojej krajine takto. Rozhodli sa nasadiť bezpečný systém, náš Silentel. Pre štáty vieme naše aplikácie „brandovať“ – urobiť unikátne so štátnym logom a podobne.

Pár týždňov dozadu minister hospodárstva Richard Sulík v rádiu Expres prezradil, že na vláde používajú aplikáciu Signal (všimol si portál TouchIT, poz. red.). Ako to hodnotíte? 

Mnoho politikov si žiaľ ani neuvedomuje, že takýmto spôsobom ohrozujú štátne záujmy. Posielajú informácie o štáte, o svojom fungovaní cez nezabezpečené aplikácie niekde do sveta a nemajú nad tým úplnú kontrolu.  Štát sa nemôže spoliehať na “údajnú” bezpečnosť. Potrebuje bezpečnosť, ktorú dokáže niekto verifikovať a zadefinovať podmienky, na základe ktorých povie, kedy je komunikácia dostatočne bezpečná.

V niektorých krajinách sú aplikácie tohto typu vyslovene zakázané pre štátnych zamestnancov. 

Vo veľkých nemeckých bankách, kde sú na tom zamestnanci rovnako, majú zákaz. A už vôbec nie na pracovné účely. Informácie o bezpečnosti štátu by mali zostať v konkrétnom štáte, na Slovensku, nie ukladať sa niekde na serveroch inde, mimo EÚ, v USA, Číne, nedajbože v Rusku, kde môžu byť zneužité.

Treba si uvedomiť, že aplikácie ako Signal, WhatsApp či Telegram vám môžu poslať (škodlivú, poz. red.) správu ktokoľvek, ak má napr. vaše telefónne číslo. Aj takto boli vedené útoky. Silentel nie je naviazaný na žiadne telefónne číslo, e-mailovú adresu a podobne, je to uzavretý systém, kde si kontakty, s ktorými vôbec môžete komunikovať v rámci organizácie, vyberáte výhradne sami a nie je možné sa medzi ne dostať zvonku. To je základné bezpečnostné pravidlo. Mnohé krajiny majú striktne definované, aké komunikačné prostriedku môžu štátni zamestnanci používať. Pri najvyšších ústavných a vládnych predstaviteľov by to malo byť samozrejmé.

Spomínate zákazníkov „na západ od SR“, Slovenské inštitúcie teda vašu službu nevyužívajú?

Máme aj zákazníkov zo štátnej správy na Slovensku. Máme ale podpísanú zmluvu o mlčanlivosti, takže o tom nemôžem hovoriť. Slovenským orgánom a vláde sa však snažíme vysvetľovať, že by mali využívať systém ako je Silentel, kde majú 100 % kontrolu.

Ako teda komunikujú slovenské štátne orgány? Niekto cez WhatsApp, niekto cez e-maily, niekto cez bezpečný systém? Nechystal sa nejaký „štátny messenger“?

Jedna vec sú plány, iné realita. Plány na štátnu bezpečnú komunikáciu som videl už pred 15 rokmi. Niektoré boli dobré, iné zlé. Systémov v našich štátnych organizáciách je niekoľko. To, čo je podľa zákona komunikované ako dôverné, tajné, prísne tajné, majú komunikovať zabezpečenými prostriedkami. Druhá vec je prax.

Väčšina z nich je veľmi nepraktických a ťažko sa používajú, preto sa už aj v médiách objavujú informácie, že minister alebo úradník radšej používa WhatsApp alebo Signal. Ich bezpečnosť však z pohľadu národných záujmov nie je nijako preukázaná. Problémom môžu byť aj tzv. metadáta ukladané na serveroch. Hoci nevidíte obsah, vidíte aspoň kto, s kým a kedy komunikoval, čo tiež môže byť problém.

So Silentelom chceme ponúknuť veľmi jednoduchý produkt používateľsky príbuzný týmto messengerom, s koncovou aplikáciou, pre Windows, Android alebo iOS, ale z bezpečnostného hľadiska zabezpečený ako tieto „ťažkopádne“ systémy. 

Niekedy aj na vyššej úrovni máme NATO certifikát doslova pre vojenské účely či bezpečnostnú previerku Silentelu na NBÚ, pri ktorej sa robia konkrétne testy. Potom produkt môžete používať aj na posielanie utajovaných skutočností.

Ako by teda nasadzovanie jednotnej bezpečnej komunikačnej platformy prebiehalo v praxi, na Slovensku? Vie si ju štát vybrať sám a nasadiť, alebo musí prebehnúť nejaký tender, zdĺhavé porovnávanie rôznych komerčne dostupných riešení počas dlhých mesiacov?

Štát si ich vie vybrať sám. V mnohých štátoch EÚ či USA sa tak stalo. Na západ od nás si takto vybrali Silentel. Samozrejme, urobili si vlastné porovnanie viacerých certifikovaných produktov a vybrali si to najlepšie, čo im vyhovovalo pre ich potreby.

Produkt musí byť certifikovaný a spĺňať pravidlá, ktoré sme spomínali. Takmer vo všetkých krajinách sú pre ochranu národných informácií a záujmov preferovaní domáci výrobcovia. Takýto systém sa dá nasadiť počas niekoľkých týždňov alebo mesiacov, nie sú to žiadne „roky“.

Dá sa povedať, či sa nejako zmenil počet útokov na štátne orgány od začiatku vojny na Ukrajine? Zaznamenali sme ich aj na Slovensku?

Určite pribúdajú. Nie len v Európe, exponenciálne ich pribúda všade, aj v USA a určite aj na Slovensku.

Ktorých útokov je viac? Tých, ktoré vedie jeden štát proti inému „nepriateľskému“, alebo takých, kde sa jedna firma snaží ukradnúť dáta konkurencii?

Kybernetické útoky si vie objednať každý – nepriateľský štát aj konkurencia. Je to iba otázka ceny. Priemyselná špionáž je úplne bežná, v Nemecku varovali firmy pred takýmito útokmi z Ázie. Rozprával som sa s jednou švajčiarskou firmou vyrábajúcou lietadlá – vraveli, že na ich servery sú vedené útoky prakticky permanentne. Dve veľké banky mi potvrdili, že veľa útokov je vedených na mobily. Ak cestujú do Číny, svoje mobily si ani neberú, radšej si kúpia nové, ktoré tam používajú a po návrate ich vyhodia.

Môže bežný používateľ nejako zistiť, či je jeho telefón napadnutý? Predtým, ako svoje dáta nájdem zavesené niekde, kde nemajú byť?

Napríklad sekanie zvuku, pomalšie reakcie telefónu alebo extrémne vybíjanie batérie. Dá sa „ukradnúť“ kamera, dáta, zvuky. Bežný používateľ má možnosť si všímať podozrivé udalosti – napr. náhle reštarty telefónu, náhle vybitie batérie, nedostupné aktualizácie systému alebo problémy s prístupom k mikrofónu alebo kamere.

Tie sofistikovanejšie systémy sú však prepracovanejšie a používateľ nemá väčšinou šancu si nič podozrivé všimnúť. Bežné antivírusy sú na to pomerne slabé, neviem o tom, že by také niečo zvládali. Existujú však nástroje, ktoré dokážu zistiť aj to, či bolo vaše zariadenie napadnuté Pegasom, alebo nie. Samozrejme, sú to sofistikované technológie, ktoré nie sú pre bežného používateľa, ale veľké spoločnosti a štát by takéto systémy mal používať na ochranu svojich kľúčových predstaviteľov.