Rozšifrovali moji rádcové?

I slabé heslo zabránilo policejním specialistům prolomit se do počítače aktivisty zatčeného v rámci akce Fénix. Vždycky je ale lepší zabezpečit svoje data pořádně.

„Nerozšifrovali.“ Tak zněla odpověď soudního znalce z oboru kybernetiky, kterému policisté z Národní centrály proti organizovanému zločinu dali za úkol prolomit se k datům v notebooku, který mi zabavili při domovní prohlídce během policejní razie Fénix v dubnu 2015. Úkolem soudního znalce bylo „zpřístupnit veškerá data a provést zálohu pevných disků“ a „zjistit programové vybavení zařízení“.

Během desetidenního procesu tipování hesla soudní znalec na mém počítači vyzkoušel nejen „slovníkový útok“, ale také takzvaný „brute force attack“.

O překvapivém policejním neúspěchu jsem se dozvěděl s odstupem času z policejního spisu až po mém obvinění. Přestože jsem neměl v počítači nic kompromitujícího, co bych potřeboval před policií skrývat, poslechl jsem kdysi kamaráda, který mi při instalaci operačního systému doporučil, ať si ho zašifruji. Prý je to velmi jednoduché. Ubuntu, které jsem používal, něco takového nabízí během instalace v základní nabídce. Zkusil jsem to. Náhodné zašifrování v kombinaci se slabým heslem mě dlouho drželo v přesvědčení, že policie se k zabaveným datům dostala velmi snadno. Až později jsem se začal zajímat o to, jak dobře jsem si počítač vlastně zabezpečil.

Naservírovat policii data

Standardní postup, který policie praktikuje v případě zabavených elektronických nosičů, jako jsou telefony, počítače nebo třeba digitální fotoaparáty, je jejich předání soudnímu znalci. Ten má za úkol policii naservírovat všechna data, která se v nich nacházejí. Znalec by měl být schopný zpřístupnit i data, která byla z počítače v minulosti smazána, ale stále jsou v něm fyzicky přítomna, aniž by k nim měl uživatel přímý přístup. Dále by měl být schopen zjistit programové vybavení počítače. Policisty samozřejmě zajímá software k zajištění bezpečnosti dat, což by hnedle rádi považovali za důkaz konspirace. Naštěstí chránit své soukromí stále není zločin a nemělo by to být ani podezřelé.

Popsaný osud čekal vše, co mi policisté během domovní prohlídky zabavili: notebook, telefon, digitální kameru, externí disky a SIM karty. Soudní znalec Ing. Jan Janka zpřístupnil data ze všech zabavených digitálních nosičů kromě notebooku. V těch policisté nic podstatného pro mé trestní stíhání nenalezli, takže zaměřili svou pozornost na notebook. Napodruhé dali znalci jasný úkol: prolomit se do počítače. Ubuntu při instalaci umožňuje zašifrovat celý operační systém tak, že bez vstupního hesla se systém ani nespustí. Tudíž v mém případě znalec ani nezjistil, jaký jsem v něm měl nainstalovaný software.

Ve znaleckém posudku jsem se dočetl následující: „Pro zjištění hesla byl použit specializovaný program se slovníkovým útokem, jelikož pevný disk byl zabezpečen šifrovacím programem LUKS (Linux Unified Key Setup). Ani po vyčerpání všech možných kombinací písmen a čísel nebylo heslo pro dešifrování pevného disku zjištěno. Jelikož nebyl získán přístup k datům uložených na pevném disku zkoumaného notebooku, bylo další zkoumání ukončeno.“

Slovníkový útok i brute force attack

Z faktury, kterou policie znalci proplatila, jsem se navíc dověděl, jak takový proces probíhá. Znalec nejprve demontuje pevný disk, který připojí ke speciálnímu „technologickému počítači“. Během desetidenního procesu tipování hesla znalec na mém počítači vyzkoušel nejen „slovníkový útok“, ale také takzvaný „brute force attack“.

Pod těmito názvy se skrývají dva nejznámější způsoby hledání neznámého přístupového hesla. Slovníkový útok spočívá ve snaze uhodnout správnou kombinaci znaků tak, že útočník postupně zkouší různá pravděpodobná hesla z připraveného seznamu. Tímto seznamem může být například obyčejný slovník mateřského jazyka, protože je pravděpodobné, že si lidé jako hesla vybírají běžná slova, která si dobře zapamatují. Do rozšířených slovníků jsou dále zahrnuty i další varianty jako například slova doplněná o číslici. Velikost slovníku pak sice narůstá, ale stále se jedná o mnohem méně pokusů než při zkoušení veškerých možných kombinací. To je naopak podstatou druhého způsobu, zvaného brute force attack neboli útok hrubou silou. Systematické vyzkoušení všech možných kombinací je sice potenciálně efektivnější, ale zabírá velmi mnoho času a výpočetní kapacity. Z toho důvodu je možné vyzkoušet kombinaci všech čísel, symbolů a velkých a malých písmen jen do omezeného počtu znaků. Hesla delší než sedm nebo osm znaků jsou už jen těžko překonatelná. Jejich rozluštění by bylo navíc finančně velmi náročné. Rozhodně však stojí za připomenutí, že i bez takto složitých operací vyplatila policie uvedenému soudnímu znalci za práci na všech digitálních nosičích zabavených během akce Fénix celkem přes 427 tisíc korun.

209 miliard kombinací

Mé heslo, které znalec rozluštit nedokázal, je přitom slabé. Má pouze osm znaků a použil jsem při jeho tvorbě jen malá písmena abecedy, kterých je celkem 26. Tímto omezením mnohonásobně redukuji počet možných kombinací. Z uvedených parametrů hesla lze snadno vypočítat zbývající počet možností: 26 na osmou. To je necelých 209 miliard. Bez znalosti parametrů, které jsem zde prozradil, stál útočník před ještě mnohem složitějším úkolem (jak tomu ostatně většinou bývá). Všech možných kombinací z osmi a méně znaků obsahujících nejběžnější symboly, čísla a malá i velká písmena, je minimálně 584 bilionů, tedy dva a půl tisíckrát více.

Jak si skutečně bezpečné heslo vytvořit? Po své zkušenosti jsem přešel k heslu, které obsahuje kromě malých písmen také písmena velká, symboly a čísla. Bohužel se taková hesla často zapomínají, čímž může dojít k jejich odhalení, protože si je lidé musejí někam zapsat nebo je musí nějakým způsobem v daném přihlašovacím systému obnovovat. Doporučuji si vytvořit mnemotechnickou pomůcku, kterou si lehko zapamatujete. Vezměte třeba nějakou větu a heslo poskládejte tak, že použijete jen první písmena slov dané věty. Některá z nich pak nahraďte symbolem, číslicí nebo velkým písmenem. Tento postup si většinou lehko zapamatujete a získáte silné heslo.

Pokud si například vezmeme část známého výroku policisty Roberta Šlachty „Za prvé jsem nikdy nejezdil s traktorem, ale s kombajnem“, přičemž slovo zastoupí jen první znak nebo číslice a podstatná jména i slovesa budou zastoupena velkým písmenem, dostaneme: z1JnNsT,asK. To už je dostatečně silné heslo na to, aby ho případný útočník nerozluštil, a současně si stačí vzpomenout na větu, ze které je složeno.

Pokud nechcete, aby se někdo dostal k vaším soukromým datům, rozhodně vám zmíněný postup tvorby hesla pro zašifrování počítače doporučuji. Nikdy nevíte, kdy a proč se váš počítač ocitne v rukou někoho, kdo to s vámi nemyslí vůbec dobře.

Autor je environmentální aktivista a ekolog.

 

Čtěte dále