Ak sa spýtate bežného človeka na ulici, čo o ňom vedia internetoví giganti ako Google, Facebook a Apple, najčastejšia odpoveď asi bude “všetko”. Je to však naozaj tak, najmä ak komunikujeme prostredníctvom populárnych messengerov ako WhatsApp, Telegram, iMessage/FaceTime, Facebook Messenger, či Viber? Pozrime sa, aké informácie o nás zhromažďujú tieto servisy, ako s nimi nakladajú a komu k nim poskytujú prístup.
WhatsApp je v súčasnosti najrozšírenejším messengerom vo väčšine krajín sveta vrátane Slovenska. Od apríla 2016 WhatsApp poskytuje šifrovanie počas celého spojenia (end-to-end encryption), v rámci ktorého sa mobilné telefóny odosielateľa a prijímateľa správy prostredníctvom špeciálneho matematického algoritmu (ECDH) dohodnú na šifrovacom kľúči, ktorým sa správa zašifruje a ktorú nikto iný ako odosielateľ a prijímateľ nie je schopný dešifrovať. To isté sa týka aj audio a video hovorov prostredníctvom WhatsApp.
Znamená to, že sám WhatsApp nie je schopný obsah správy prečítať. Je však schopný zaznamenať prakticky všetko ostatné: kto píše, odkiaľ píše (IP adresa), kedy píše, komu píše, z akého zariadenia píše, ako dlho telefonuje atď. Nielen že WhatsApp tieto údaje zbiera, ale delí sa nimi so štátnymi orgánmi. Okrem toho je WhatsApp schopný “odpočúvať” konverzáciu v reálnom čase a každých 15 minút zasielať štátnym orgánom zhrnutie komunikácie cieľovej osoby, ktoré obsahuje jej všetky dostupné charakteristiky (metadáta) okrem samotného obsahu, ku ktorému WhatsApp prístup nemá.
Z tohto dôvodu WhatsApp neobľubujú tí, ktorí majú dôvod skrývať nielen obsah svojej komunikácie, ale aj fakt, že vôbec s určitými konkrétnymi osobami komunikujú, napríklad drogoví díleri, teroristi a iní zločinci.
Dostupnosť metadát bez obsahu správ je často dostatočná na to, aby bola súdom uznaná ako dôkaz a prispela k odsúdeniu obvineného, ako sa to stalo v USA napríklad v prípade Natalie Mayflower Edwards, ktorá prostredníctvom WhatsApp nelegálne poskytovala novinárom interné údaje Ministerstva financií USA, za čo bola odsúdená na 6 mesiacov väzenia.
Väčšinou sa vyšetrovatelia dostávajú k obsahu správ buď priamo z telefónov obvineného alebo z telefónov osôb, s ktorými obvinený komunikoval. Je však jedna výnimka. Ak človek používa WhatsApp na iPhone a nedeaktivoval automatické zálohovanie správ WhatsApp v nastaveniach iCould, WhatsApp automaticky zálohuje všetku komunikáciu na iCould, kde ju už nechráni šifrovanie WhatsApp a odkiaľ je dostupná vyšetrovateľom na základe žiadosti. Na to svojho času doplatil šéf volebnej kampane bývalého amerického prezidenta Donalda Trumpa Paul Manafort, ktorého usvedčila komunikácia cez WhatsApp, ku ktorej sa americká polícia dostala prostredníctvom zálohy WhatsApp, uloženej v jeho účte na iCloud.
Teraz už existuje možnosť manuálneho vytvorenia šifrovanej zálohy obsahu WhatsApp na iCloud Drive pomocou hesla, ktoré používateľ vytvorí špeciálne na tento účel. Služba iCloud Drive je však spoplatnená a široko sa nevyužíva.
Telegram
Telegram poskytuje dve formy komunikácie: štandardná konverzácia a tajná konverzácia. Rozdiel medzi nimi je v tom, že štandardná konverzácia sa ukladá na serveroch Telegramu a odtiaľ sa potom správy posielajú prijímateľovi, kým správy v tajnej konverzácii sú zašifrované podobným spôsobom ako v prípade WhatsAppu, t. j. cez servery Telegramu iba prechádzajú zašifrované a servery Telegramu ich neukladajú a nedešifrujú.
V praxi je však problém Telegramu v tom, že tajné konverzácie na ňom očividne používa len minimum ľudí. Sám Telegram používam menej ako WhatsApp, ale ani jediný krát som sa nestretol s tým, aby niekto zapol tajnú konverzáciu. Vždy to robím ja.
Na druhej strane sa však Telegram nedelí metadátami so štátnymi orgánmi orgánmi (aspoň nie v západných krajinách), čo z neho robí lákavú alternatívu pre zločincov, ktorí potrebujú nielen obsah ale aj fakt komunikácie skryť pred políciou. Telegram preto využívajú okrem legitímnych používateľov tiež rôzni drogoví díleri a odporúčala ho svojim členom používať aj teroristická organizácia Islamský štát (ISIS).
Tak isto ako WhatsApp, aj tajné konverzácie v Telegrame je možné zálohovať na iCloud, kde sa k nim štátne orgány môžu dostať.
Otázne je, či Telegram poskytuje orgánom činným v trestnom konaní obsah správ zo štandardných konverzácií, ktoré uchováva na svojich serveroch. Oficiálne nie, pretože Telegram je zaregistrovaný na Britských panenských ostrovoch a v Dubaji, čo sťažuje západnej polícii a rozviedke proces získavania tohto obsahu prostredníctvom súdnych rozhodnutí. Technicky to ale možné je, preto sa nedá vylúčiť, že niektoré krajiny majú spôsob, ako obsah štandardnej komunikácie od Telegramu dostať.
iMessage/FaceTime
iMessage a FaceTime poznajú najmä používatelia iPhonov a iPadov. So službou FaceTime je všetko pomerne jednoduché. Audio a video hovory cez FaceTime sú zašifrované počas celého spojenia (end-to-end encrypted) a sama spoločnosť Apple a ani štátne orgány takéto hovory odpočúvať nedokážu, čo priznávajú aj americkí vyšetrovatelia v oficiálnych súdnych obvineniach, akým je napríklad toto (viď bod 19).
So správami cez iMessage je to už o niečo zložitejšie. Samé o sebe sú tieto správy šifrované počas celého spojenia (end-to-end encrypted), ale ak má používateľ iPhonu aktivované automatické zálohy a zároveň ukladanie správ iMessage na iCloud, správy iMessage sa na iCloud zálohujú vo formáte, ku ktorému majú Apple a štátne orgány prístup. Ak však používateľ automatické zálohy telefónu na iCloud vypne, správy iMessage sa naň aj tak uložia, ale budú už zašifrované dodatočným prístupovým kľúčom na základe hesla telefónu používateľa, ku ktorému Apple prístup nemá a nemôže tak uložené správy dešifrovať a odovzdať ich polícii.
Okrem toho Apple na rozdiel od WhatsApp poskytuje štátnym orgánom iba minimum metadát komunikácie používateľov a zbiera ich v oveľa menšom množstve ako WhatsApp.
Facebook Messenger
Podobne ako Telegram, Facebook Messenger poskytuje dve formy komunikácie: štandardnú konverzáciu a tajnú konverzáciu. Štandardná konverzácia je zašifrovaná len medzi koncovým používateľom a centrálnymi servermi Facebook, čo znamená, že konverzácie sa na Facebooku ukladajú, odkiaľ má má k nim prístup prijímatel správy a aj sám Facebook. To má výhodu vtedy, ak sa človek prihlasuje na Facebook z rôznych zariadení, z ktorých sa buď predtým neprihlasoval alebo ktoré zdieľa s inými a chce mať k svojim správam vždy prístup. Takto uložené konverzácie však potom Facebook analyzuje prostredníctvom svojich algoritmov a s ich pomocou aktualizuje osobnostný profil používateľa s cieľom posielať mu reklamu “šitú na mieru”. Na základe žiadosti Facebook tiež sprístupňuje štandardné konverzácie štátnym orgánom. To isté platí aj pre konverzácie na Instagrame.
Na rozdiel od štandardnej konverzácie je však tajná konverzácia zašifrovaná počas celého spojenia medzi koncovými používateľmi (end-to-end encrypted) a cez servery Facebook prechádza v zašifrovanej forme bez toho, aby ju Facebook mohol prečítať. Takto zašifrované správy sa na serveroch Facebook neukladajú a nemajú k nim prístup ani štátne orgány. Výhodou tajných konverzácií je aj to, že sa nezálohujú na iCloud, čiže nie je možné sa k nim dostať podobnou “okľukou”, ako ku konverzáciám cez WhatsApp.
Viber
Architektúra messengera Viber je podobná ako architektúra messengera WhatsApp. V roku 2016 Viber tiež začal poskytovať šifrovanie konverzácií počas celého spojenia (end-to-end encryption). Podobne ako WhatsApp aj Viber zálohuje chaty na iCloud, odkiaľ sú na základe žiadosti dostupné štátnym orgánom.
Signal
Messenger Signal nie je v širokej verejnosti veľmi známy, ale je to najbezpečnejší a najsúkromnejší messenger, ktorý je bezplatne dostupný pre bežného používateľa.
Všetky správy prostredníctvom messngera Signal sú šifrované počas celého spojenia (end-to-end encrypted). Okrem toho Signal nezhromažďuje o používateľoch žiadne údaje okrem ich telefónneho čísla, prostredníctvom ktorého sa do messengeru zaregistrovali, dátumu registrácie a posledného prihlásenia. Keďže Signal o používateľoch takmer nič nezhromažďuje, nemá sa ani čím deliť so štátnymi orgánmi.
Práve z tohto dôvodu je Signal preferovaným komunikačným prostriedkom novinárov a ochrancov ľudských práv v rôznych autokratických a totalitárnych krajinách, kde za publikáciu kritiky štátnych orgánov hrozia vysoké tresty a prenasledovanie.
Signal nezálohuje žiadne údaje na iCloud a ani používateľovi neponúka možnosť zálohovať ich na iCloud manuálne. Zálohy obsahu Signal na Google Drive sa šifrujú pomocou hesla, ktoré používateľ vytvorí špeciálne na tento účel.
Signal od vyššie uvedených messengerov odlišuje ešte aj to, že jeho zdrojový kód je voľne dostupný na internete a každý, kto má potrebné znalosti v oblasti programovania, si môže kód prezrieť a uistiť sa, že v ňom nie sú žiadne “zadné dvierka” (backdoor), prostredníctvom ktorých sa konverzácie používateľov tajne preposielajú štátnym orgánom.
Messenger Signal verejne odporúčajú osobnosti ako Elon Musk či Edward Snowden. Zdrojom financovania messengera Signal sú dobrovoľné príspevky používateľov a nadácií. Preto Signal nie je nútený komercionalizovať údaje svojich používateľov a môže si dovoliť nič o nich nezbierať a nič o nich nezdieľať.
Žiaľ, Signal v celom svete používa tento mimoriadne bezpečný messenger iba niečo cez približne 50 miliónov ľudí, čo je oveľa menej ako WhatsApp (približne 2 miliardy ľudí) a Telegram (približne 500 miliónov ľudí).
Telefón/SMS
Z hľadiska bezpečnosti a súkromia je používanie bežných telefónnych hovorov a SMS tou najhoršou alternatívou. Mobilné telefónne hovory sú zašifrované prakticky iba medzi mobilným telefónom a telefónnou vežou operátora, aj to prostredníctvom teraz už zastaraného algoritmu A5/1, ktorý môže prelomiť ktokoľvek, kto si na to kúpi potrebné vybavenie a bude sa nachádzať v dostatočnej fyzickej blízkosti k telefónu odpočúvanej osoby. Ďalej telefonické hovory zašifrované nie sú. Štátne orgány si však žiadne špeciálne vybavenie kupovať nepotrebujú, pretože obsah telefonických hovorov im poskytuje priamo operátor, ktorý k nemu má sám plný prístup. To isté platí aj o klasických SMS-kách.
Nebezpečná čínska alternatíva: WeChat
V Číne, kde je mnoho z vyššie uvedených spôsobov komunikácie zablokovaných, je najrozšírenejšia aplikácia WeChat. Ak niekto za hranicami Číny na komunikáciu používa WeChat a môže s tým prestať, mal by tak okamžite urobiť. O súkromí v messengeri WeChat nemôže byť ani reč.
Messenger WeChat je nástrojom čínskej vlády na monitorovanie obyvateľstva. Všetky správy na WeChat prechádzajú centrálnym systémom umelej inteligencie, ktorý ich analyzuje a vyhodnocuje. Okrem toho, ako tvrdí kanadská organizácia The Citizen Lab, WeChat používa účty zahraničných používateľov na tréning svojich algoritmov s cieľom naučiť ich efektívnejšie odhaľovať čínskych disidentov a ľudí s iným názorom, ako je oficiálny názor čínskej vlády.
Žiadosti slovenských orgánov o sprístupnenie informácií používateľov
Internetoví giganti ako Apple, Google a Facebook vo svojich správach o tranparentnosti (tranparency reports) zverejňujú počet žiadostí štátnych orgánov o sprístupnenie údajov používateľov. Štatistika počtu žiadostí o obsah, ktoré slovenské štátne orgány v rokoch 2016–2021 zaslali týmto spoločnostiam, vyzerá nasledovne:
Rok | Apple | ||
|---|---|---|---|
2021 | N/A | 10 (január – jún) | 7 |
2020 | 2 | 44 | 7 |
2019 | 40 | 20 | |
2018 | 52 | 19 | |
2017 | 1 | 62 | 35 |
2016 | 95 | 37 |
Ako vidno z tabuľky, o údaje v iCloud slovenské orgány žiadajú minimálne. Viac žiadostí je adresovaných Googlu a Facebooku, kde je v prípade Googlu možné získať napríklad obsah e-mailov v službe Gmail a dát v službe Google Drive a v prípade Facebooku všetok uložený obsah komunikácie s výnimkou tajných konverzácií.
Konšpiračné teórie a tajné služby
Existujú názory, že všetko to šifrovanie a súkromie, ktoré messengery oficiálne ponúkajú, je jeden veľký podvod na ľuďoch a že v skutočnosti môžu vládne tajné služby bez problémov monitorovať akúkoľvek komunikáciu kohokoľvek, koho sa im monitorovať zachce. Ja sám takýmto konšpiračným teóriám neverím a mám na to nasledovné dôvody:
Messengery ako WhatsApp, iMessage či Signal používajú okrem “obyčajných” ľudí aj svetoví lídri, politici a úspešní podnikatelia. Ľudia blízki Donaldovi Trumpovi aj na oficiálnu komunikáciu používali WhatsApp a iMessage. Britský premiér Boris Johnson používa WhatsApp. Francúzsky prezident Emmanuel Macron používa Telegram. Americký miliardár Jeff Bezos a saudský korunný princ Mohammed bin Salman používajú WhatsApp. Elon Musk odporúča Signal. ISIS svojim členom odporúčal okrem iného Telegram a iMessage. Diplomati v medzinárodných organizáciách používajú WhatsApp. Ak by v messengeroch boli zadné dvierka, je málo pravdepodobné, že by ich tak široko používali ľudia, o ktorých sa tajné služby môžu zaujímať oveľa bližšie ako o bežných občanov.
Čím vie tajnú informáciu viac ľudí, tým vyššie je riziko, že ju niekto prezradí. Spomeňme si na rok 2013, kedy americký počítačový analytik Edward Snowden vyzradil svetu tajné informácie o tom, ako americké tajné služby zhromažďovali metadáta telefónnych hovorov Američanov. Stal sa medzinárodnou celebritou. Ak by boli v messengeroch zadné dvierka, ktoré by používali tajné služby USA, Veľkej Británie, Nemecka, Ruska či Izraela, bolo by asi iba otázkou času, kým by takúto senzáciu niekto zverejnil. Veľa je aj messengerov aj tajných služieb, ktoré by s nimi podľa konšpiračných teórií spolupracovali, čo by zvyšovalo riziko vyzradenia. Zatiaľ ale nikto nič také nezverejnil a nikde sa neobjavila hodnoverná informácia o tom, že by messengery s tajnými službami skutočne spolupracovali. Okrem toho nie sú verejne dostupné ani súdne žaloby, v ktorých by vyšetrovatelia a prokurátori opierali svoje tvrdenia o údaje z mobilnej komunikácie získané neznámym a tajomným spôsobom.
Messengery musia dodržiavať zákony. Messengery zverejňujú svoje politiky ochrany súkromia, kde vysvetľujú, aké údaje používateľov zhromažďujú a ako s nimi ďalej nakladajú. Ak by sa na verejnosť dostala informácia o tom, že niektorý messenger tajne spolupracuje s rozviedkou, bolo by to porušením jeho politiky ochrany súkromia, za čo by jeho manažéri niesli zodpovednosť.
Najpravdepodobnejším spôsobom, akým sa tajné služby a sofistikovaní hackeri predsa len môžu dostať k dátam používateľov messengerov, nie sú zadné dvierka alebo tajná spolupráca messengerov s vládami, ale hackerský útok proti messengeru alebo samotnému operačnému systému telefónu používateľa prostredníctvom zraniteľností, ktoré sa v tomto operačnom systéme nachádzajú. Tak to bolo v prípade špiónskeho softvéru Pegasus, poskytovaného izraelskou spoločnosťou NSO Group, a podobne sa vraj Saudská Arábia dostala k dátam v telefóne amerického miliardára Jeffa Bezosa.
Charakteristickou črtou takýchto útokov je ale to, že sú cielené, drahé a čoraz náročnejšie. Čoraz náročnejšie sú preto, že vývojári operačných systémov v nich pravidelne opravujú zraniteľnosti, ktoré objavia buď oni sami alebo externí počítačoví analytici z celého sveta, čím zužujú možnosti využitia takýchto zraniteľností, pretože ich v systéme zostalo menej a je zložitejšie ich objaviť. V pondelok 16. mája 2022 napríklad spoločnosť Apple opravila v operačnom systéme iOS 34 takýchto zraniteľností.
Odporúčanie
Na záver si dovolím niekoľko odporúčaní:
Ak vám záleží na čo najväčšom súkromí a bezpečnosti vašej komunikácie, používajte Signal.
Ak používate Telegram, používajte tajné konverzácie.
Ak používate Facebook Messenger, používajte tajné konverzácie.
Ak sa nachádzate v autoritárnych krajinách a diktatúrach, kde v štátnej správe zohrávajú výraznú úlohu tajné služby, na komunikáciu nepoužívajte obyčajné telefonické hovory a SMS-ky.
Neverte konšpiračným teóriám o tom, že tajné služby sa vedia rýchlo a bez problémov dostať ku všetkej mobilnej komunikácii.
