Neurobte chybu ako nemeckí dôstojníci. Experti radia, ako sa nenechať odpočúvať

Dôstojníci nemeckého letectva sa jednoducho mali viac snažiť. Takto opísal nemecký časopis Der Spiegel fiasko týkajúce sa uniknutého rozhovoru o raketách Taurus, ktorý zverejnila ruská propagandistická televízia.

Čelní predstavitelia Luftwaffe sa počas rozhovoru cez cloudovú službu WebEx rozprávali o ich možných dodávkach pre Ukrajinu, ako aj ich potenciálnych cieľoch. Po zverejnenom rozhovore sa nemecký kancelár dostal pod tlak, že pri raketách Taurus nehovoril úplne pravdu, a znepokojilo to aj spojencov, ktorí sa pýtali, či Berlínu môžu posúvať citlivé informácie.

Kde urobili nemeckí dôstojníci najväčšiu chybu a ako sa podobným zlyhaniam vyvarovať, sme sa rozprávali s etickým hekerom a expertom na internetovú bezpečnosť.

Ako sa to mohlo stať?

Nemecká vláda okamžite spustila vyšetrovanie, ako sa to mohlo stať, a po niekoľkých dňoch uistila svojich západných spojencov, že za únikom nebol ruský špión, ale išlo o individuálne zlyhanie. Podľa prvých zistení sa jeden z účastníkov rozhovoru totiž pripojil na WebEx cez otvorený a neautorizovaný kanál v singapurskom hoteli.

Jeho zlyhanie bolo o to väčšie, že v tom čase sa v Singapure konala letecká šou. Ako napísal Tagesschau, išlo o veľtrh leteckého priemyslu, na ktorí prišli vysokí vojenskí dôstojníci z viacerých európskych krajín. Pre ruské tajné služby to bola skvelá príležitosť odpočúvať zaujímavé ciele, čo sa im nakoniec aj podarilo, a propaganda Kremľa dostala silný náboj, ktorý neváhala použiť.

Nie je jasné, ako presne k odpočutiu rozhovoru nemeckých dôstojníkov išlo. Či sa nemecký dôstojník pripojil cez hotelovú wifi, respektíve priamym telefonátom, alebo ho mohli odpočuť aj cez steny hotelovej izby.

Problémom mohlo byť aj to, že ako píše Der Spiegel, údaje o telefonickom pripojení cez WebEx sa zvyčajne posielajú e-mailom a tie môžu byť tiež zachytené a použité na odpočúvanie.

Ako pripomína nemecký časopis, keď sa napríklad na začiatku svojho funkčného obdobia chcel nemecký kancelár Olaf Scholz spojiť cez šifrovanú videokonferenciu so spojencami z Aliancie, musel ísť na federálne ministerstvo obrany. Jedine tam bola k dispozícii potrebná technika.

Samozrejme, keby sa nemeckí dôstojníci riadili týmto pravidlom, ich možnosti komunikácie by boli výrazne obmedzené. Aj bez špeciálnej miestnosti s modernou technikou je však možné komunikovať citlivé veci tak, aby ste hekerom alebo tajným službám sťažili snahu prelomiť vaše súkromie.

Dá sa WebExu veriť?

Je vôbec platforma WebEx bezpečná? Európske vlády vrátane slovenského ministerstva zahraničných vecí začali túto platformu vo veľkom používať najmä v čase pandémie covidu. Bežne ju používajú aj diplomati EÚ, jej použitie samo osebe preto nie je problémom.

„Ako každá platforma, aj bezpečnosť stretnutia cez WebEx veľmi závisí od nastavenia administrátorom. Ak umožním pripojenie cez telefón pomocou jednoduchého PIN-u, ale nezapnem end-to-end šifrovanie a ďalšie možnosti, tak bezpečnosť takéhoto stretnutia bude značne narušená,“ vysvetľuje etický heker Tomáš Volný zo spoločnosti Axelum.

Samotný WebEx je v poriadku aj podľa Pavla Draxlera z bezpečnostnej firmy Binary Confidence, pokiaľ sa používa so správnym nastavením.

„Dôležité je zodpovedať si otázku, či nám nevadí, že by niekto iný mohol počúvať ten konkrétny typ rozhovoru. WebEx je tretia strana. Ak nám teda nevadí, že si môžu teoreticky takisto nahrať našu poradu, tak je v poriadku používať ho ako cloudovú službu bez šifrovania,“ vysvetľuje Draxler.

Pre citlivejších klientov má podľa jeho slov WebEx aj možnosť vlastného servera, čo veľa inštitúcií používalo. Podstatnejšia je však najmä možnosť end-to-end šifrovania. „To znamená, že dáta sa šifrujú medzi nami a odšifrovať ich môže len ten, s kým sa rozprávame. Veľa platforiem toto šifrovanie zapína automaticky. V prípade WebExu je však toto šifrovanie potrebné zapnúť osobitne pre každého účastníka porady,“ vysvetľuje expert.

Ako dodáva Volný, WebEx umožňuje pripojenie zo zariadenia cez internet a rovnako cez telefón, keď je potrebné zavolať na telefónne číslo a zadať PIN kód. „Je dosť možné, že bola využitá druhá možnosť a odpočúvali to ako bežný telefónny hovor. Ak to tak naozaj bolo, tak v tom prípade je jasné, že si dotyčný neuvedomoval možné riziká, ktoré sú s tým spojené,“ vysvetľuje etický heker.

Prečo je hotelová wifi taký problém a VPN taká dôležitá

Nie je jasné, či sa nemecký dôstojník skutočne pripojil cez hotelovú wifi. Ak áno, išlo by o obrovské bezpečnostné zlyhanie bez ohľadu na to, či wifi sieť bola dobre zaheslovaná.

Etický heker Tomáš Volný takto opisuje závažnosť problému:

Wifi heslo, ktoré zadávame, je v podstate heslo na šifrovanie prenosu medzi nami a wifi zariadením a toto heslo je pre všetkých rovnaké. Takže ktokoľvek ho má, vie rozšifrovať dátovú komunikáciu kohokoľvek na sieti. Problém pri verejných wifi je, že sú buď bez hesla, teda bez šifrovania, alebo je toto heslo ľahko dostupné. Dátový prenos ide vzduchom, čiže každý, kto je v dosahu, si ho môže nahrať. Ak nejaká aplikácia nepoužíva dodatočné šifrovanie, tak tieto dáta vie útočník rovno čítať alebo inými trikmi môže skúsiť oklamať získanie šifrovacieho kľúča aplikácie. To už nie je také ľahké, ale možné.

Čo však v prípade, že nemáme inú možnosť, iba sa pripojiť cez hotelovú wifi?

„Ak musím použiť hotelovú wifi, je dôležité využiť zabezpečené pripojenie pomocou VPN. Virtuálna súkromná sieť vytvorí bezpečný tunel medzi mojím zariadením a servermi umiestnenými v iných krajinách. Cez tento tunel následne prúdi celá komunikácia a nie je možné ju odchytiť,“ hovorí Volný.

Použitie mobilnej siete má svoje výhody aj nevýhody, ale aj tam by experti odporučili použitie VPN.

„Ak nemáme kvalitné end-to-end šifrovanie, tak máme len zlé a horšie možnosti,“ vraví Draxler. „Využitím dát cez mobil namiesto verejnej wifi síce znížime možnosť, aby naše dáta čítal ktokoľvek na tejto wifi. No na druhej strane tieto dáta môže čítať mobilný operátor.“

Práve preto je riešením VPN. Ako hovorí expert z Binary Confidence, už sa pomaly stáva bežným štandardom pre firmy aj jednotlivcov. „Dobre nastavená VPN poskytuje veľmi slušnú úroveň šifrovania.“

Ako si nastaviť wifi doma

Ostražitý treba byť aj pri využívaní vlastnej domácej wifi, ktorú treba mať dobre nastavenú.

„V prvom rade treba použiť silné šifrovanie. Pri súčasných routeroch sú k dispozícií štyri úrovne: WEP, WPA 1 až 3, pričom WEP a WPA 1 sú pomerne ľahko prelomiteľné protokoly, preto treba používať minimálne WPA 2 alebo novší WPA 3,“ hovorí Draxler.

Samozrejmosťou je používať silné heslo. Ako vysvetľuje – veľa útokov je tzv. slovníkových. „Útočník vtedy skúša prelomiť systém podľa slovníka. Nie je preto dobré používať ako heslo bežné slovo, ktoré je v slovníku. Vhodné sú kombinácie viacerých slov a znakov alebo zhluky náhodných písmen a znakov,“ vraví bezpečnostný expert.

Podľa Draxlera sa nesmie zabúdať ani na aktualizovanie firmvéru (patchovanie) wifi zariadení, ktoré často od výroby obsahujú zraniteľnosti. Pokročilý užívateľ wifi by mal potom myslieť aj na segmentáciu domácej siete. To znamená, že sprístupní zvlášť wifi sieť pre návštevy a svoje vlastné zariadenia, napríklad pre kamery.

Etický heker Volný takisto dodáva, že je dobré zmeniť si pre wifi názov. „Môže to pomôcť, hoci samo osebe ma to nezachráni. Ak to má router povolené, tak by som odporúčal vypnúť funkciu WPS. Rovnako tak, ak router umožňuje vytvoriť hosťovskú wifi, tak je dobré ju povoliť a poskytovať ju hosťom,“ hovorí. V takomto prípade hostí nepúšťa medzi ostatné zariadenia, pretože sú od nich izolované.“

Podľa Volného však netreba zabúdať ani na výber samotného routeru. „Kupovať lacný router sa neoplatí, keďže už naňho nikdy nemusím dostať aktualizáciu v prípade nájdenia zraniteľnosti,“ vraví.

Čo ak ste whistleblower a môže vás odpočúvať štát?

Čo ak sa potrebujeme s niekým spojiť a prebrať extrémne citlivé veci a zároveň sa nemôžeme so svojím kontaktom stretnúť osobne? Napríklad ide o whistleblowera, ktorý vyšetruje korupciu štátnych orgánov, alebo o priemyselné tajomstvo, ku ktorému sa chce dostať konkurencia.

„Jednoznačne by som na to mal použiť bezpečné zariadenie. To znamená, že by to nemalo byť zariadenie, ktoré bežne používam na prácu, ale malo by byť určené iba na takúto komunikáciu,“ hovorí etický heker. Možnosti sa potom podľa neho rozširujú v závislosti od toho, čo máme dostupné.

„Ak mám počítač, tak je dobré použiť operačný systém Tails, ktorý je určený presne na takéto situácie. Ak mám vytvorený bezpečný telefón, tak je dobré nemať v ňom SIM kartu, nakoľko je možné robiť útoky pomocou GSM siete. Všeobecne je dôležité vypnúť čo najviac funkcií,“ hovorí Volný a pripomína novú možnosť, ktorú zaviedol Apple. Pri iPhonoch zaviedol tzv. lockdown mód, ktorý viacero funkcií vypína a je dobré ho v takýchto prípadoch použiť.

Obaja experti odporúčajú používať aj pri bežnej komunikácii aplikácie ako Signal alebo Threema. „Samozrejme, treba využiť ďalšie bezpečnostné prvky, aby táto komunikácia nebola ohrozená – nastavené heslo na zariadení a v prípade počítača aj šifrovaný disk,“ hovorí Volný.

Dôležité je myslieť aj na konkrétnu situáciu, ktorej treba prispôsobiť mieru opatrení. „Stojíme proti štátom, ktoré majú možnosť nakázať operátorom získať naše dáta, alebo môžu použiť špehovací softvér ako Pegasus? Alebo proti korporácii, ktorá môže využiť služby black hekerov a súkromných bezpečnostných služieb?“ pýta sa Draxler.

V takom prípade je aj podľa neho ideálne použiť zariadenia, ktoré nie sú s vami spojené a používate ich len na komunikáciu pre tento konkrétny prípad. Komunikovať môžeme cez bezpečnú aplikáciu, ako je napríklad Signal.

A čo keď nemáte také zariadenie poruke?

„Vtedy je možné si s protistranou dohodnúť emailový účet na bezpečnej službe, akou je napríklad Protonmail, a komunikovať tadiaľ. Problém však môže byť, ak by útočník dokázal napadnúť zariadenie, z ktorého komunikujeme, a teda môže čítať komunikáciu už v zariadení,“ hovorí expert z Binary Confidence.

Práve pre také situácie bol vyvinutý spomínaný operačný systém Tails. „Spúšťa sa z USB kľúča a má slušné opatrenia proti napadnutiu samotného systému,“ dodáva Draxler.