První bylo NBÚSR
Abychom se dostali ke kořenům celého problému, musíme se vrátit o tři měsíce zpět. 25. dubna byl na serveru Blackhole.sk zveřejněn článek, který oznámil, že byl napaden server Národného Bezpečnostného Úradu Slovenské republiky. Článek popsal kompletní způsob napadení i informace, které byly tímto způsobem získány.
Princip napadení byl velmi trivální a přístup byl získán pomocí dnes již legendárního uživatelského účtu nbusr s heslem nbusr123. „Získání plných práv nad serverem bylo z loginu nbusr možné bez zadání jakéhokoliv hesla,” píše se v článku.
Přestože pravděpodobně nebyly způsobeny žádné výrazné škody, zvedla se vlna nevole proti diletantskému zabezpečení celé sítě, na které chtěl celý útok upozornit. Informace o celém problému proběhly mnoha médii. V tu chvíli se zdálo, že je po všem.
Zabavení serveru Onyx
Celá kauza nabyla nových rozměrů téměř tři měsíce poté, když byl 20. 7. přibližně v 10 hodin dopoledne na příkaz Generální prokuratury odnesen server Onyx, na kterém téměř deset let mimo jiné běžely weby Hysteria.sk a Kyberia.sk.
O zásahu policie nebyl předem nikdo informován a administrátoři se o akci dozvěděli až podle toho, že jejich server přestal odpovídat. „O odnesení serveru jsme se dozvěděli od GtsNextry, u které byl server v housingu. My jako admini a v podstatě i vlastníci jsme se o tom dozvěděli po kontaktování Nextry a zjištění, že server neodpovídá,” říká jeden z administrátorů, známý na Hysterii jako Zyx.
Několik dní nebylo vůbec jasné, co a proč se vlastně stalo. Jedinou informací, která byla veřejnosti k dispozici, byla informace o odnesení serveru policií. Dále už to byly jen dohady o účasti serveru na dubnovém napadení NBÚSR.
Ani vlastníci serveru nedostali žádné vyrozumění a věděli stejně málo jako ostatní. Teprve po čtyřech dnech se uskutečnilo setkání administrátorů s jedním z vyšetřovatelů případu. „Včera se nám podařilo konečně setkat i s vyšetřovatelem, takže už jsme i my trochu moudřejší,” sdělil nám jeden z administrátorů.
Důvody více než podivné
Samozřejmě nás zajímal především oficiální důvod odnětí serveru policií. „Důvodem je podle toho, co nám bylo řečeno a podle toho, co obsahuje povolení od prokurátora na zabavení serveru, proxy server, který běžel na Onyxu,” říká administrátor zabaveného serveru.
Podle vyšetřovatelů si někdo skrze místní proxy server prohlížel soubor se seznamem hesel získaných přes upravený ssh démon v NBÚSR. „To je podle mého osobního názoru poměrně málo k takovému kroku, protože někdo z lidí, kteří Hysteria proxy používali, mohl kliknout na URL nebo ji opsat z nějakého chatu, IRC a podobně,” myslí si administrátor serveru Onyx.
Podle něj je návštěva podobné stránky nedostatečným důvodem k zabavení celého serveru, který používá několik tisíc uživatelů. „Dovolím si pochybovat, zda je návštěva nějaké URL dostatečným důvodem k zadržení serveru a jako podklad pro nějaké trestní stíhání,” dodává vlastník zabaveného serveru.
Admini serveru Onyx navíc tvrdí, že vyšetřování nepřinese žádné výsledky: „Pokud je jediným důvodem přístup přes Hysteria proxy, tak si myslíme, že vyšetřovatelé nenajdou nic, protože proxy měla vypnutý access log.”
Mluvčí prezídia Policejního sboru SR se k případu odmítl vyjádřit: „K vyšetřování průniku do systému Národného bezpečnostného úradu se až do jeho ukončení nebudeme vyjadřovat. Rovněž nebudeme komentovat ani jednotlivé procesní a vyšetřovací úkony. K celému případu poskytneme informace až po ukončení vyšetřování.”
Zabavení zasáhlo tisíce uživatelů
Služby serveru využívalo několik tisíc uživatelů, kteří byli jeho zabavením více či méně postiženi. „Co se týče portálu Kyberia.sk, dotklo se to přibližně 5000 lidí,” odhaduje počet uživatelů Zyx.
V případě Hysterie je problém o to vážnější, že si jeho provoz uživatelé platí a často spoléhají na jeho funkčnost. „Je to něco přes 100 až 150 uživatelů, kteří používali shell, maily a měli tam svá soukromá data,” odhaduje škody jeden z vlastníků serveru.
Zúčastněte se letní fotosoutěže
Bude vám k tomu stačit digitální foťák, dobrá nálada a nějaký ten kousek textilu z našeho butiku. Máte šanci vyhrát PDA s operačním systémem Palm OS, set-top-box pro příjem digitální televize a další skvělé ceny! Můžete také hlasovat o vítěznou fotografii v prvním kole.
Na otázku, kdo bude hradit vzniklou škodu, odpovídá: „Nebereme to tak, že by nám tím vznikala škoda, i když chápu, že bychom to tak brát mohli, ale není to něco, čím bychom se chtěli zabývat.”
Uživatelům, kteří se budou dovolávat odškodnění, bude prodloužena předplacená doba užívání serveru. „Pokud budou mít uživatelé pocit, že byli o něco kráceni, pravděpodobně to vyřešíme symbolickým posunutím data expirace uživatelských účtů o několik měsíců,” dodáva jeden z vlastníků zabaveného serveru.
Výslechy budou pokračovat
Podle informací vyšetřovaných uživatelů plánuje policie pokračovat ve vyšetřování a provádět další výslechy. „Plánují ještě pozvat na svědeckou výpověď mě a jednoho kolegu,” řekl nám o průběhu vyšetřování jeden z administrátorů.
Podle jeho slov ale administrátoři pravděpodobně nebudou nadále vypovídat. „Zvažujeme, že po včerejších výrocích jednoho z vyšetřovatelů, který hackerskou komunitu označil za společensky nebezpečnější než mafii a vyprávěl o tom, jak má Pajkusovu fotografii vylepenou v kanceláři jako fotku úhlavního nepřítele, využijeme svého práva nevypovídat.”
„Ne proto, že by se nás to nějak dotklo nebo že bychom byli uraženi, ale jednoduše z obavy z možné předpojatosti policie,” dodává administrátor Onyxu známý jako Zyx.
Co na to právník
Zajímalo nás, zda je něco možného i v České republice. Na vyjádření s ohledem na české právo jsme se proto zeptali Mgr. Petra Kočího z Advokátní kanceláře Mašek, Kočí & spol..
Za jakých okolností je možno v ČR zabavit funkční server?
Jakoukoliv věc je možné odejmout v případě, že se jedná o věc důležitou pro trestní řízení. Otázku vydání a odnětí věci důležité pro trestní řízení upravuje zejména § 78 a násl. trestního řádu. Dle tohoto ustanovení má každý, kdo má takovouto věc u sebe, povinnost ji na vyzvání předložit či vydat (je-li nutné věc dlouhodoběji zajistit) soudu, státnímu zástupci nebo policejnímu orgánu. Nebude-li věc důležitá pro trestní řízení na vyzvání předložena či vydána, může být odňata. Rovněž může být splnění povinnosti věc vydat vynucováno uložením pořádkové pokuty do výše 50 000 Kč.
Toto obecné ustanovení se tedy vztahuje i na jakékoliv hardwarové vybavení. Orgány činné v trestním řízení musí, dle jedné ze základních zásad trestního práva procesního, trestní věci projednávat s plným šetřením základních práv a svobod a při provádění úkonů trestního řízení mohou do těchto práv osob, jichž se takové úkony dotýkají, zasahovat jen v odůvodněných případech na základě zákona a v nezbytné míře pro zajištění účelu trestního řízení. Zda byla dodržena ona „nezbytná míra”, bude záležet vždy na posouzení konkrétního případu.
Jaké další pravomoce má v tomto případě PČR? Může si vyžádat konkrétní data, požadovat šifrovací klíče a podobně?
O hardwarových klíčích platí výše uvedené. Pokud by se však jednalo např. o hesla či jiné informace, pak takové údaje nemusí sdělit obviněný. Dle našeho názoru má i svědek právo odepřít poskytnutí těchto informací, a to za stejných podmínek, kdy může odepřít výpověď, tedy pokud je příbuzným obviněného v pokolení přímém, jeho sourozenec, osvojitel, osvojenec, manžel, partner a druh, či pokud by výpovědí způsobil nebezpečí trestního stíhání sobě, svému příbuznému v pokolení přímém, svému sourozenci, osvojiteli, osvojenci, manželu, partneru nebo druhu anebo jiným osobám v poměru rodinném nebo obdobném, jejichž újmu by právem pociťoval jako újmu vlastní.
Mění nějakým způsobem situaci fakt, že server poskytuje služby několika tisícům legitimních uživatelů, kteří jsou takto poškozeni?
Odpověď na tuto otázku byla již naznačena úvodem. Vždy se bude střetávat vlastnické právo provozovatele serveru (a odvozená uživatelská práva třetích osob) se zájmem na zjištění trestných činů a odhalení a potrestání jejich pachatelů. Pro legalitu zásahu by měla vždy být zachována přiměřenost a nezbytnost zásahu státní moci.