Při hackování nám nechybí hravost

Dvě hodiny instalování speciálního prohlížeče a jste tam, na temném internetu – darkwebu. „Za prachy udělám cokoliv. Jestli chceš, abych položil pár podniků nebo lidskejch životů, udělám to. Zruinuju je finančně nebo je dostanu za katr. Chceš odhalit, jestli někdo kouká na dětský porno? No problem!“ píše třeba na jedné z darkwebových stránek neznámý hacker.</p>

<p>
Podobných portálů, které nejsou běžně dostupné a které inzerují služby hackerů, jsou na darkwebu tisíce. Nabourání facebookového účtu stojí setiny bitcoinů (desítky korun), stejně jako třeba hack e‑mailu vašeho šéfa. Položit web konkurenčního e‑shopu pak vyjde na jednotky bitcoinů, dražší bývají krádeže důvěrných obchodních dat. Všechno placeno v digitální měně, jejíž pohyb téměř nelze dohledat.

Odposlouchavat policii – a pak se přiznat

„Je to dělání věcí neobyčejným způsobem. Člověk má pocit, že věci by měly nějak fungovat, ale nefungují. Snaží se proto fungování světa zefektivnit,“ popisuje „hákování“ hacker s přezdívkou Krtek v hackerském klubu BRMlab v pražských Holešovicích.

BRMlab přitom není žádné ilegální doupě a Krtek žádný kriminálník. Pražský hackerspace tak hledače senzací nejspís zklame. „Hákování“ v něm každý den provádějí desítky podobných „krtků“ – které ovšem nebaví krádeže identit nebo vydírání internetových uživatelů, ale vymýšlení technických zlepšováků – od výroby vlastní 3D tiskárny po ovládání živého hmyzu pomocí joysticku.

Neznamená to přitom, že by se zdejší hackeři občas nedostali k citlivým informacím. Loni na podzim tak třeba odhalili, že rádiový systém pražské policie a dopravního podniku lze snadno odposlouchávat a vysílat do něj vlastní falešné zprávy. K napíchnutí nijak nešifrovaného rádia, které hlavní město stálo skoro 700 milionů korun, jim přitom stačil obyčejný digitální tuner za pár stokorun.

Autoři hacku, Marek Sebera a Tomáš Suchan, tak mohli v pražské MHD způsobit chaos nebo svůj objev prodat třeba mafii. „My si ale řekli, že taková bezpečnostní díra nesvědčí ani městské policii, ani nám jako občanům, pro které pracuje. Takže jsme o tom začali mluvit a psát a dnes to vypadá, že s tím rádiem Praha konečně něco udělá,“ vysvětluje Sebera, proč svůj „hackerský výzkum“ zveřejnil.

Zachoval se tak jako typický white hat, jak se etickým hackerům, kteří na bezpečnostní skuliny upozorňují, říká. Pro své černé „kolegy“ (black hats), již se napadáním počítačů živí, přitom příliš pochopení nemá. „Spousta z nich nikdy žádný útok beztak nenapsala. Jen příslušný kód někde okopírovali,“ říká Sebera s despektem. Black hats podle něj jinak slušnou hackerskou komunitu poškozují.

„Když vás baví provádět útoky, můžete zvolit kompromis a věnovat se penetračním testům,“ říká další z „brmlabských“ hackerů s přezdívkou Niekto, který odolnost firemních počítačů testuje zcela legálně. „Kdo si přitom jednou vzal za ilegální hack peníze, ten už se veze,“ myslí si Niekto. „Mí známí si takhle měsíčně kradením údajů z kreditek přišli třeba na desetkrát větší peníze než já. Jenže je pak odhalili a oni za to teď sedí,“ říká slovenský ajťák z Prahy. Ten neprovádí nic nekalého, přesto je stejně jako jeho kamarádi k policii nedůvěřivý.

CzERT na ministerstvu smrti

Svérázný smysl pro humor byl s českými hackery spojen hlavně v devadesátých letech. Tehdy byl nejznámější CzERT – Czech Emergency Response Team. Za tím stál Slovák Pajkus, který spolupracoval s asi čtyřmi kamarády z Česka. Prvním známým útokem CzERTa bylo nabourání webu české armády v listopadu 1996. „Lidé spěte, nad Vámi bdí Armáda ČR,“ zněl text, jímž CzERT armádní web doplnil. Útok neminul ani stránky ministerstva zdravotnictví, z něhož se přes noc stalo „ministerstvo smrti Čínské republiky“.

„Policisté jsou počítačovému démonovi CzERT na stopě,“ uvedl v říjnu 1997 tehdejší počítačový kriminalista Jiří Dastych. Reakce CzERT na sebe nenechala dlouho čekat. Skupina na policejní web vložila kreslený vtip, který Dastycha parodoval. „Zeptali jsme se pana Dastycha, zda nám může říct bližší informace o dané stopě na CzERT. ‘Ano, mohu vám říct, že jsme konečně zjistili, co je to ten Internet‘,“ napsali „čerti“.

Útok na web policie byl nejspíš čertovým posledním. „Byla to jenom studentská prča, recese,“ říkal pak člen skupiny známý jako Ook. „Snažili jsme se neškodit. Naše změny stránek navíc většinou dělaly serverům ještě reklamu,“ doplňoval ho Pajkus neboli Miroslav Pikus, z něhož je dnes po ukončení hackerské kariéry topmanažer Slovak Telekomu.

Podle dokumentaristy Jana Šípka, který se s první generací českých a slovenských hackerů scházel, byla jejich hlavním rysem hravost. „Hodně tehdejších útoků mělo navíc za cíl upozornit na bezpečnostní problémy, což byl třeba případ hacku slovenského NBÚ,“ vypráví Šípek.

Slovenští hackeři v roce 2006 náhodně přišli na to, že tamní Národní bezpečnostní úřad – hlavní strážce státních tajemství – používá ke svému zabezpečení banální heslo „nbusr123“, které lehce prolomili. Díky tomu ze systémů úřadu ukradli celkem 20 GB tajných dokumentů – k provedení útoku se ale hned anonymně přiznali tisku. Z následného vyšetřování vyplynulo, že přístupový kód nastavil dodavatel softwaru, který přitom úřad upozornil, aby heslo ihned změnil. K tomu ale nedošlo ani poté, co už byl skandál na světě, a hackerští vtipálci už navíc mezi lidi rozšířili trička s prozaickým nápisem „nbusr123“.