Nejnovější zářez WikiLeaks s názvem Vault 7 vyvolává řadu zásadních otázek

Obsahem leaku známého jako Vault 7 jsou zjištění o hackovacích praktikách používaných americkou CIA. Tentokrát nejde o odhalení praxí masového sledování, jako tomu bylo u dokumentů uniklých od Edwarda Snowdena v případě nechvalně proslulé NSA. Vzhledem k rozdílu v gesci obou služeb se poslední únik týká hackování jednotlivců, mnohdy pravděpodobně v kombinaci s „tradičnějšími“ špionážními metodami. Asi nejzásadnější částí leaku jsou data popisující soubor technologických nedostatků různých softwarů a zařízení, která CIA shromažďuje. Ta jim usnadňují vstup do konkrétních zařízení.

Snaží se WikiLeaks o nápravu reputace?

Během loňských amerických prezidentských voleb utržila pověst WikiLeaks několik šrámů. Jak upozorňuje kyberbezpečnostní expertka Marcy Wheeler, WikiLeaks se snaží v rámci Vault 7 působit zodpovědněji než v uplynulých měsících. Nejde v žádném případě o nové obvinění, nicméně obzvlášť v posledních několika leacích se WikiLeaks příliš nepárali s anonymizací zveřejňovaných materiálů. WikiLeaks zároveň ve své tiskové zprávě zdůrazňují, že nezveřejňují samotné nástroje, které by mohli hackeři zneužít, pouze záznamy dokládající jejich používání zpravodajskou službou.

Sídlo CIA ve Langley, Virginia|foto: Library of Congress

Je etické shromažďovat hackovací nástroje?

Nejzávažnější otázkou vyplývající z Vault 7 je etika shromažďování informací o dírách v zabezpečení. Jak říká pro Wired Kevin Bankston, ředitel Open Technology Institutu: „Pokud je schopna těchto děr využít CIA, jsou toho schopni i Rusové, Čína nebo organizovaný zločin. Z toho plyne jednak ponaučení, že hromadění těchto nezveřejněných slabin je špatné pro kybernetickou bezpečnost. Je také pravděpodobné, že tyto slabiny někdo leakne.“ To se však netýká pouze CIA. Relevantní je také, jak dlouho si těchto slabin byli vědomi WikiLeaks, kteří na blížící se zveřejnění Vaultu 7 lákali na svém twitterovém účtu od počátku února. Tato obvinění se WikiLeaks snaží odrazit oznámením, že budou s technologickými společnostmi spolupracovat na zalepení objevených slabin.

Use Tor. Use Signal. https://t.co/VLvBsbVHKs

— Edward Snowden (@Snowden) 21. září 2016

Jak bezpečné jsou šifrované messengery jako WhatsApp, Signal nebo Telegram?

Jedním ze stěžejních tvrzení leaku Vault 7 bylo, že CIA umí prolomit šifrované aplikace jako WhatsApp, Signal, Telegram nebo Whisper, které se však neprodleně po zveřejnění ukázalo jako zavádějící. Například i v deníku New York Times kvůli nepřesnosti opravovali zavádějící tweet, nechtěli pomáhat šířit paniku. Nejde však o to, že by aplikace v sobě měly technologické díry, nebo snad dokonce takzvaná zadní vrátka. CIA je údajně schopná dostat se k informacím, které aplikací posíláte a přijímáte před zašifrováním (respektive po rozšifrování). Umožňují to díry v samotném operačním systému telefonu. Jakkoliv jde o technicky podstatný rozdíl, otázkou zůstává, jak moc je tento detail relevantní pro řadového uživatele. Debata ohledně užitečnosti šifrovacích a anonymizačních softwarů do komunikačních aplikací od Telegramu až po Tor je už nějakou dobu velmi polarizovaná. Jedna strana v těchto nástrojích vidí nenahraditelnou zbraň chránící jednotlivce před přebujelými sledovacími aparáty, druhá naopak užitečný nástroj těchto zpravodajských služeb, které těží z falešného pocitu bezpečí a z jejich praktických nedokonalostí.

The tortured logic of a cult: Zeynep Tufekci pretends Signal’s crypto totally safe when the CIA owns your phone. https://t.co/gFwN94plTl

— Yasha Levine (@yashalevine) 10. března 2017

Je z Ruska teď univerzální „žolík“ amerických tajných služeb?

Značná část amerických komentátorů a zpravodajců se hned po zveřejnění začala ve svých textech ozývat, že Vault 7 je další střípek z ruské kampaně zaměřené na destabilizaci USA. Z úst amerických zpravodajců ale vyznívá označení Ruska za největší kybernetickou hrozbu do jisté míry absurdně. Americké agentury totiž mimo jiné v nedávné době infiltrovaly všechny velké kandidáty v posledních francouzských prezidentských volbách, ve stejném roce se nabouraly do e-mailů současného mexického prezidenta a vypustily do světa nejmasivnější virus Stuxnet, který cílil na íránské centrifugy sloužící k obohacování uranu, ale zároveň se rozšířil takřka po celém světě. Role kyberútoků a leaků v eskalujících vztazích mezi USA a Ruskem zaslouží bez sebemenších pochyb podrobné zkoumání, stejně jako symbiotický vztah WikiLeaks a Kremlu. Až reflexivní reakce hledající za vším ruský komplot snižují úroveň debaty o kybernetické bezpečnosti. Posouvá se tak ještě o příčku níž, než je současný bídný standard.