Aktívne opatrenia: Vládny malvér (NIT) a de-anonymizácia v prípade Playpen.

V našom poslednom spise sme odhalili, ako dokážu vyšetrovatelia pomocou forenznej analýzy blockchainu sledovať aj zdanlivo anonymné transakcie. Táto metóda je však pasívna – spolieha sa na chyby, ktoré cieľ už urobil. Čo sa však stane, keď cieľ zostáva príliš opatrný a jeho finančné toky sú dokonale skryté? V takom prípade prichádzajú na rad aktívne opatrenia. Ide o kontroverznú a agresívnu taktiku, pri ktorej sa vyšetrovatelia už nespoliehajú na analýzu minulosti, ale priamo útočia na zariadenia podozrivých. Najznámejším nástrojom tejto stratégie je vládny malvér, oficiálne známy pod názvom Network Investigative Technique (NIT). Toto je príbeh o tom, ako FBI vyvinula a masívne nasadila vlastný "vírus", aby prelomila ochranu siete Tor a odhalila tisíce používateľov – a o právnej a etickej búrke, ktorú tým rozpútala.

Príbeh NIT sa neoddeliteľne spája s operáciou a vyšetrovaním jednej z najväčších stránok so zneužívaním detí na Dark Webe, známej ako Cumlík. Táto .onion stránka mala v roku 2014 viac ako 200 000 registrovaných používateľov a fungovala ako robustná sociálna sieť pre pedofilov. Keď FBI po dlhom a náročnom vyšetrovaní konečne našla a zabavila server, na ktorom stránka bežala (prekvapivo sa nachádzal v Severnej Karolíne, nie v zahraničí), neurobili to, čo každý čakal. Namiesto toho, aby stránku vypli, zatkli administrátora a uzavreli prípad, rozhodli sa pre radikálny a bezprecedentný krok, podobný operácii Bayonet: nechali stránku bežať pod vlastnou kontrolou na vládnych serveroch vo Virgínii od 20. februára do 4. marca 2015. Tentoraz im však nestačilo len pasívne sledovať. Ich cieľom nebolo len zničiť platformu, ale identifikovať čo najviac jej používateľov, ktorých anonymitu Tor dokonale chránil. Na to potrebovali špeciálnu zbraň, ktorá by dokázala preraziť tento štít.  

Tou zbraňou sa stal NIT, ktorý vyvinula špecializovaná jednotka FBI. V podstate išlo o malý kúsok kódu (exploit), ktorý bol nasadený priamo na server Playpen. Tento kód bol navrhnutý tak, aby zneužil známu, no v tom čase ešte nie všeobecne opravenú zraniteľnosť v staršej verzii prehliadača Firefox, na ktorom bol v tej dobe postavený Tor Browser. Konkrétne išlo o zraniteľnosť v spracovaní JavaScriptu. Keď používateľ so zraniteľnou verziou prehliadača navštívil stránku Playpen (napríklad klikol na diskusné fórum), webový server mu spolu s bežným obsahom stránky potichu poslal aj tento škodlivý kód. NIT sa následne spustil v prehliadači používateľa. Jeho úloha bola jediná a smrtiaca: prinútiť prehliadač, aby nadviazal priame spojenie mimo siete Tor so serverom kontrolovaným FBI. Počas tohto spojenia odoslal balíček dát, ktorý obsahoval skutočnú IP adresu používateľa, spolu s ďalšími unikátnymi identifikátormi jeho počítača, ako sú MAC adresa sieťovej karty alebo názov hostiteľa v operačnom systéme. V priebehu 13 dní, počas ktorých FBI prevádzkovala túto masívnu pascu, sa im podarilo úspešne "hacknúť" a identifikovať viac ako 1000 používateľov z celého sveta.

Nasadenie NIT však okamžite rozpútalo obrovskú právnu a etickú búrku. Obrancovia súkromia a občianskych slobôd, ako napríklad Electronic Frontier Foundation (EFF), argumentovali, že FBI v podstate použila jeden jediný súdny príkaz (warrant), vydaný sudcom vo Virgínii, na to, aby mohla legálne hacknúť tisíce počítačov nielen v USA, ale po celom svete. To je bezprecedentné a masívne prekročenie právomocí, ktoré je v rozpore so štvrtým dodatkom americkej ústavy, chrániacim pred neprimeranými prehliadkami a zhabaním. Vznikla tak zásadná otázka: je "hackovanie späť" (hacking back) legitímnym nástrojom pre orgány činné v trestnom konaní? Môže vláda legálne šíriť malvér, aj keď je to za účelom odhalenia tej najzávažnejšej trestnej činnosti? Sudcovia po celých Spojených štátoch vynášali protichodné rozsudky. Niektorí dôkazy získané pomocou NIT pripustili, iní ich zamietli ako nelegálne získané "ovocie z otráveného stromu".

Táto kontroverzia nakoniec viedla k zmene amerických zákonov. V roku 2016 bola schválená zmena v tzv. Článku 41 (Rule 41) federálnych trestných pravidiel, ktorá teraz umožňuje sudcom vydať jeden príkaz na prehliadku viacerých počítačov, aj keď sa nachádzajú mimo ich jurisdikcie, najmä v prípadoch, kde sa používatelia snažia skryť svoju polohu pomocou technológií ako Tor. Pre zástancov súkromia to bol čierny deň, ktorý de facto legalizoval vládne hackovanie. Pre bezpečnostné zložky to bol nevyhnutný krok na prispôsobenie práva digitálnemu veku. Prípad Playpen sa tak stal nielen úspešnou operáciou na odhalenie stoviek páchateľov, ale aj zlomovým bodom v debate o hraniciach medzi bezpečnosťou a súkromím.

Spis NIT nám tak odhaľuje druhú, oveľa agresívnejšiu a temnejšiu tvár digitálnej kontrarozviedky. Ukazuje, že keď pasívne sledovanie a infiltrácia nestačia, bezpečnostné zložky sú pripravené a schopné prekročiť hranicu a použiť ofenzívne kybernetické nástroje, ktoré boli donedávna doménou tajných služieb alebo elitných hackerov. Je to mrazivá pripomienka, že v tieni Dark Webu sa neodohráva len boj medzi zločincami a políciou, ale aj zásadný zápas o to, aké pravidlá budú platiť v digitálnom veku, aké právomoci bude mať štát nad našimi počítačmi a kde presne leží hranica medzi ochranou spoločnosti a ochranou individuálnej slobody.