Jsem kancléř prezidenta. Hackeři, vítejte
ReportVratislav Mynář, vedoucí kanceláře prezidenta Zemana, měl ve svém domě v Praze tak špatně zabezpečenou internetovou síť, že do ní snadno pronikli hackeři: probourali se dokonce do bezpečnostního systému nemovitosti. Jde samozřejmě o zásah do soukromí Mynářových, hackeři ovšem tvrdí, že tím testovali ochranu sítě politiků. A Mynář z toho vyšel tak, že kdyby nějaká cizí tajná služba chtěla, snadno by do jeho sítě pronikla. Pokud už se tak nestalo…
Na první fotografii vidíte prošedivělého muže v kraťasech a v triku, jak vyváží ze své vily popelnici. Na druhé fotce lze spatřit ženu v růžových šatech. Vedle ní postává další žena, která hlídá dvě děti. Žena v růžovém jde do garáže ke svému vozu Mercedes-Benz.
Obě fotografie jsou snímky z bezpečnostní kamery nemovitosti, v níž žijí muž v kraťasech a žena v růžových šatech.
Za normálních okolností by šlo o věcný popis dvou fotek z všedního dne jedné rodiny. Kdyby se ovšem nejednalo o dům jednoho z nejvýše postavených úředníků v zemi – a kdyby nešlo o fotografie získané, řekněme, špionážním postupem.
Snímky z průmyslové kamery objektu se totiž nedostaly na veřejnost tak, že by je uvolnili jejich majitelé. Získali je hackeři, kteří se – a to je důležité – poměrně snadno dostali do počítačové sítě této rodiny vysokého státního úředníka. A co hůře, napíchli se tak i do bezpečnostních kamer dané nemovitosti.
Nemovitost patří rodině Vratislava Mynáře, který byl pravou rukou prezidenta Miloše Zemana. Deset let, až do začátku letošního března, kdy do úřadu hlavy státu nastoupil Petr Pavel, zastával Mynář post vedoucího Kanceláře prezidenta republiky.
Muž v kraťasech na snímku získaném hackery je Vratislav Mynář a žena v růžových šatech je jeho žena Alex Mynářová.
•••
Získávat tímto způsobem snímky o komkoli, včetně Vratislava Mynáře, je samozřejmě útokem na soukromí těchto osob: průlomem do osobnostních práv této rodiny.
Problém, na který chtěli hackeři upozornit, je však, jak tvrdí, jiný než samotný fakt, že mají fotky z kancléřova domu. Hackeři testovali, jak jsou bezpečnostně zajištěni ve svých domovech někteří vysoce postavení činitelé státu a politiky. V jejich pracovním prostředí totiž existují pevná pravidla a přísná bezpečnostní opatření: místnosti na Hradě, na Úřadu vlády či ve sněmovně jsou bezpečnostně chráněny, často a pravidelně se tam mění hesla do zabezpečených sítí, celý IT systém je v takových místech pod kontrolou a údržbou odborného personálu. V těchto prostorách také existuje fyzická ostraha a státní specialisté tam pravidelně provádějí tak zvanou obranně-technickou kontrolu, tedy kontrolu proti odposlechům.
Otázka ale zní, zda a jak jsou bezpečnostně zajištěny nemovitosti, kde jsou významní politici či vysoce postavení úředníci doma. Jak si chrání své soukromí tam? Často si přece takový člověk nosí práci domů a napojí se na internet.
•••
S jedním z hackerů, který ono, jak říká, „testování“ prováděl, jsem se sešel. Setkání mi zprostředkovali lidé z prostředí Paralelní Polis, což je nestátní nezisková organizace, kterou v roce 2014 založila v pražských Holešovicích umělecká skupina Ztohoven. Tato skupina se proslavila zejména akcí, během které v září 2015 ukradla na Pražském hradě standartu a místo ní vyvěsila na stožáru obří rudé trenky. Označila to za umělecký protest proti politice prezidenta Miloše Zemana.
Kolem Paralelní Polis se pohybuje spousta nadaných lidí z různých oborů – a také hackerů. Když jsem se na ně ptal šéfa Ztohoven Romana Týce, jen pokrčil rameny a řekl: „Kolem naší skupiny je tolik lidí, že ani já často neznám jejich úplné příběhy a co všechno dělají.“ A tak se údajně stalo, že ani on dlouhou dobu nevěděl, že jeden z přátel Paralelní Polis se naboural do Mynářovy vily.
Jak jsem ze slov představitelů umělecké skupiny Ztohoven pochopil, neměli důvod aktivity hackerů nějak zpochybňovat, či jim dokonce aktivně bránit. Byl to podle nich zajímavý test toho, zda či jak snadno lze proniknout do domácího okolí významných lidí z politické scény. Ztohoven to údajně zaujalo i proto, že zvažovali, zda této hackerské aktivity nelze využít umělecky. Třeba mohli – jak mi řekli – zajít nepozorovaně do Mynářovy vily a vyfotit se tam v rudých trenkách. Nebo se Mynářovi mohli napojit do televize a přehrát mu tam film, který by kancléř nečekal nebo nechtěl ani vidět.
Z toho ale nakonec sešlo. Kritické debaty uvnitř Ztohoven umělecký projekt raději odpískaly. Nechtěli se stát aktéry trestného činu, který by neměl celospolečenský přesah či význam. A tak se do Mynářovy nemovitosti nakonec nepodívali.
•••
V každém případě z jejich aktivit – k mému překvapení – vyplynulo, že nabourat se do domácí sítě významného úředníka státu Vratislava Mynáře bylo poměrně jednoduché. Respektive to bylo snadné pro člověka, který se vyzná v oboru informačních technologií.
Právě proto jsem se rozhodl tento článek napsat. Jsem totiž přesvědčen, že by stát měl více pracovat na tom, aby se tohle příště nestalo. Aby zájmy státu a jeho institucí byly chráněny i doma před možným zneužitím. To, že se do domu kancléře dostal hacker blízký skupině Ztohoven, představuje po mém soudu do budoucna potenciálně velké riziko. Když to nyní byl schopen udělat nadaný hacker z ulice, příště může jít o profesionála z nějaké zpravodajské služby cizího státu. Anebo – v horším případě – už to třeba nějaká zahraniční rozvědka udělala, jen se to veřejně neví.
•••
Hackerovi, s nímž jsem se setkal, budu pro účely tohoto textu říkat Lisbeth Vlekařová. Křestní jméno je inspirace ze známého knižního bestselleru z prostředí novinařiny a tajných služeb.
Lisbeth Salanderová byla totiž hlavní postavou knižní trilogie Milénium švédského spisovatele Stiega Larssona. Možná si trilogii budete pamatovat pod názvy jednotlivých dílů: Muži, kteří nenávidí ženy, Dívka, která si hrála s ohněm a Dívka, která kopla do vosího hnízda.
Lisbeth se chovala asociálně, trpěla Aspergerovým syndromem a vykazovala nadprůměrně vysokou inteligenci. Ze zásady nekomunikovala s úřady, s doktory ani s policií. Lisbeth byla v uměleckém knižním projektu jedním z nejschopnějších hackerů na světě.
I moje „Lisbeth Vlekařová“ se při pár schůzkách, které jsem s ní měl, projevovala jako člověk s vysokou inteligencí, ani ona neměla důvěru ve státní složky a také ona se chovala tak trochu asociálně.
Pokud jde o příjmení Vlekařová, vybral jsem ho s úmyslem přiblížit se osobě Vratislava Mynáře. Vlekař je totiž jeho přezdívka mezi novináři. Mynář má v jihomoravských Osvětimanech, odkud pochází, penzion s restaurací: nad ním je kopec, na kterém nechal postavit vlek – aby přilákal turisty na zimní lyžování. Nedaleko je rybník, který slouží v zimě k zasněžování sjezdovky umělým sněhem. To vše dnes tvoří areál s názvem Ski Park Osvětimany. Proto „Vlekař“.
•••
Lisbeth Vlekařová – budu dále mluvit jen o ní, i když někdy mohlo jít i o další její „kolegy“ hackery – se dostala do domácího počítačového systému Vratislava Mynáře přes jeho wi-fi. Ta zajišťuje bezdrátové připojení k internetu. Telefon, laptop i další zařízení dnešní doby se k internetu připojí právě přes wi-fi.
Lisbeth Vlekařová přijela jednoho dne k domu kancléře a zaparkovala jen pár desítek metrů naproti jeho domu. Hackerka stála na veřejném místě na ulici. Mynářova wifina měla dost silný signál. Byl krásně „chytitelný“ ve velkém okruhu od jeho vily. Podle odhadu se jednalo o prostor deset až patnáct metrů od hranice pozemku vily. Vypadalo to, jako by chtěl mít kancléř doma co nejsilnější wifinu, aby mu zasáhla i na zahradu, kde v létě trávili on i jeho rodina volný čas. Hackerka proto měla ulehčenou situaci. Čím silnější, naddimenzovaná wi-fi, tím snazší napíchnutí. Lisbeth tak nemusela překročit práh soukromého pozemku.
Celkem měl Mynář ve svém objektu tři wifiny. Každá měla jednoduchý název: VILA.
Mynář totiž žije se svou rodinou v prvorepublikové vile v pražských Strašnicích. Média již dříve popsala, že ji koupil na konci roku 2014 za 5,5 milionu korun od pražského advokáta Víta Širokého. Ten zastupoval například odsouzeného lobbistu Romana Janouška. Posudek vypracovaný tři roky předtím přitom vilu ocenil na 11 až 13 milionů korun. Mynář pak investoval další miliony korun do nákladné rekonstrukce.
Ale zpět k tématu.
•••
Hackerka podle svého vyprávění nastartovala svůj laptop a vydala pokyn, aby počítač hledal v nejbližším okolí wi-fi. Je to úplně stejný postup, jako když jste v restauraci či v hotelu a napojíte se na jejich veřejnou wifinu a tím dostanete přístup do internetové sítě, která vás spojí s online světem. Často mají i v těchto veřejných zařízeních wifiny heslo, které vám ovšem personál milerád sdělí, neboť tuto službu nabízí jako nadstandardní péči o zákazníky.
Vratislav Mynář měl svou wifinu také zaheslovanou a samozřejmě – na rozdíl od hotelu či restaurace – nikomu heslo nesděloval. Ale ani to není nepřekonatelné.
•••
Ne všechno je totiž na wifině zašifrované. Proto se dá s wifinou trochu komunikovat. A zdatný hacker ví, že může udělat jednu věc. Velmi zjednodušeně řečeno: lze vydat do wifiny pokyn: „Všichni se odpojte, nastal tu výpadek.“ Všechna spojení s wifinou se proto na chvíli odpojí.
Po takto uměle vytvořeném výpadku ale nastane automatické obnovování zařízení a jeho spojení s internetem. A právě v tuto kritickou chvíli nabíhají ve wifině i původní hesla, která do zařízení nastavil jejich majitel.
Tento proces, který trvá jen pár desítek vteřin, pak stačí nahrát do počítače. „Během této kratinké chvilky zjistíte heslo k wifině v zašifrované podobě,“ vysvětlila mi Lisbeth Vlekařová. Pak už nemusíte stát na místě činu u vily. Hackerka proto nastartovala své auto a odjela od Mynářovy vily někam do bezpečí. Do svého laptopu dostala za dvě minuty množství cizích dat. Mezi nimi bylo – jak již bylo řečeno – i heslo Mynářovy wifiny. To teď ovšem bylo nutné rozklíčovat.
•••
Nastala tedy druhá fáze práce hackera. Rozluštit heslo. K tomu stačí kvalitní grafická karta, s jejíž pomocí lze – zjednodušeně řečeno – heslo z dat dešifrovat. Počítač generuje a chrlí různé kombinace, heslo může být kombinací písmen z abecedy a čísel. Ti chytřejší zapíší do hesla i jiné symboly z klávesnice – třeba hvězdičky, pomlčky či „mřížku“.
Mynář byl jednodušší případ. Po nějaké chvíli se ukázalo, že heslo k jeho wifině je složeninou jednoho jména a čtyř číslovek, které – jak lze vysledovat z veřejných zdrojů – představují datum narození jednoho z rodinných příslušníků. „To heslo na mě vyskočilo asi po šesti hodinách dešifrování,“ vysvětlila Lisbeth Vlekařová.
•••
Pak bylo třeba si ověřit, jestli je hackerka napíchnutá na správné wifině. Proto zašla Lisbeth opět k Mynářově vile. Tentokráte jako turistka po svých. V ruce měla zařízení zvané „sniffer“, které připomíná velkou obtloustlou flešku.
Sniffer se spojil s Mynářovou wifinou a sál z ní základní informace. Během toho šlo určit, kolik a jaká zařízení ve vile jsou na wifinu napojena. Jedním z nich byl iPad Mynářovy manželky Alexandry. Právě tím se hackerka ujistila, že je ve správné síti.
•••
Dalším krokem bylo zmapovat prostředí toho, co bylo na wifinu v domě připojeno. Mynářova wi-fi byla spojena s čtyřiadvacetiportovým switchem. Jde o prvek, k němuž lze kabelem přes tak zvané LAN porty připojit další koncová zařízení. Přirovnat ji lze zjednodušeně k elektrickému rozvaděči, v tomto případě ovšem pro počítačové sítě, v němž jsou zástrčky pro kabely. Když má například rodina v domě hodně zařízení, která chce propojit vzájemně nebo s internetem, zapojují se do switche a ten už se pak jako jeden celek spojuje s wifinou. Když se tedy hacker dostane do wifiny, dostane se i do switche a tím pak i do dalších zařízení celé domácnosti.
Také switch je samozřejmě zaheslován. Ale Mynář si s tím nedal moc velkou práci a nechal tam hesla nastavená od prodejce.
•••
Jakmile se hackerka dostala i do switche, stala se de facto administrátorem celé Mynářovy domácí sítě. „Mohla jsem tak vidět všechen tok dat uvnitř celého systému,“ vysvětlila Lisbeth Vlekařová a zdůraznila, že mohla dokonce přenastavit všechna hesla nebo proniknout do sítě a třeba i vymazat záznamy. Prý mohla udělat cokoli. Jenže k aktivnímu zásahu do systému neměla důvod. Nebyla to špionka, která by chtěla proniknout do celého kancléřova domu, nasbírat kompromitující materiály a pak ho vydírat.
Hackerka chtěla jen pochopit, jak se Mynář brání proti kybernetickému útoku. Výsledek byl, že kancléř se choval jako velice nepoučený uživatel, který si užívá moderních výdobytků doby, ale na bezpečnost nedbá. „Třeba hygiena hesel u Mynáře byla nulová,“ poznamenala hackerka: nezaznamenala, že by si kancléř měnil ve svých sítích hesla.
Tady je třeba podotknout, že jediným vysvětlením Mynářova přístupu nemusí být jen jeho dětinskost. Mynář se také po deset let u prezidenta choval jako někdo, kdo si myslí, že může dělat cokoli bez jakýchkoli následků. Například když si v době covidu a přísného lockdownu dovolil navzdory opatřením uspořádat ve své osvětimanské restauraci zabijačku. Nebo když si nedávno – jak zjistil server Seznam Zprávy – půjčil na Hradě obří stan pro soukromé účely ve svém ski areálu nebo když chodil střílet do lánské obory zvěř, jako kdyby byl šlechtic ve svém panství.
•••
Podobně se patrně choval Mynář při zajištění bezpečnosti u sebe doma. Jako kdyby si říkal, že když má funkci, může všechno… Šokující pro mě bylo, že Lisbeth se dostala i do bezpečnostního systému domu, který byl kromě jiného tvořen kamerovým systémem a alarmem u vstupu do domu.
Obecně vzato: hackerka tak mohla vidět, co si přehrává rodina v televizi nebo – teoreticky – co si tiskne na tiskárně. O televizi však hackerce nešlo. A pokud jde o tiskárnu, používala Mynářova rodina starou tiskárnu, která nedává hackerovi tolik příležitosti k „odposlechu“ toho, co si majitel doma tiskne. Kdyby to byla modernější síťová tiskárna, bylo by to podle ní snadnější.
Ale o tiskárnu jde až v poslední řadě. Mnohem důležitější je při posuzování kybernetické bezpečnosti právě ochrana zmíněného bezpečnostního systému Mynářovy vily.
•••
Hackerka přišla na to, že zabezpečovací systémy u Mynářů jsou od firmy Paradox Security Systems. Lisbeth Vlekařová brzy zjistila, že Mynář nechal v zabezpečovacím systému hesla od výrobce. To byla další jeho chyba a lehkovážnost.
Když se dostanete do zabezpečovacího systému, lze následně dalšími kroky zjistit hesla, která si rodina uložila k otevírání vrat či domovních dveří. „Vstupní heslo“ u Mynářů bylo jednoslovné a opravdu jednoduché. Zveřejňovat ho netřeba. Co je ale dobré říct, je, že kancléř nastavil své domácí heslo ke vstupu do domu tak rozpoznatelně, že to jednodušeji ani udělat nemohl. Při troše intuice by šlo rozkódovat, aniž by byl třeba speciální software.
•••
Mynář má ve vile pro zajištění bezpečnosti senzory. Jde jednak o magnetické, pak pohybové a nakonec EPS senzory, tedy požární signalizace.
A díky hacknutému systému bylo možné vidět, kde senzory přesně jsou. To je informace, která by byla dobrá pro aktivního útočníka – například ze zpravodajské služby cizího státu. Pro něho by to byla cenná informace, kdyby chtěl dům kancléře tajně navštívit, aby tam instaloval prostorové štěnice, tedy odposlechy, které snímají obraz a zvuk z místnosti. Mohl by to tedy udělat bez komplikací, neboť by se vyhnul místům, která by spustila poplach. Navíc lze štěnice rychle a nepozorovaně nainstalovat právě do bezpečnostních senzorů. Nemusí se tedy v bytě hledat jiné místo nebo vrtat do stěny.
•••
Dokonalá znalost zabezpečovací techniky nemovitosti napadeného člověka znamená naprostou ztrátu jeho ochrany. Když si totiž útočník naplánuje vniknutí do domu, může si v klidu kvůli znalosti zabezpečení odemknout dveře, aniž by spustil alarm. Může odpojit pohybové senzory nebo se jim při průchodu domem vyhnout. A nakonec lze sledovat, nebo dokonce i mazat videa, která snímá a nahrává bezpečnostní kamerový systém v domě. Pokud útočník do domu pronikne, smaže si v systému inkriminovanou nahrávku v době, kdy v domě „řádil“. Jednoduše řečeno: zamete za sebou stopy tak dokonale, že na nelegální návštěvu domu nemusí vůbec nikdo přijít.
A ještě něco.
I kamerový systém byl zaheslován, ale Mynářova neochota udělat něco navíc a přenastavit hesla od původního dodavatele z něj udělala opět snadný terč. To samé heslo ke kamerám, které se hackerce podařilo zjistit, fungovalo i pro webové rozhraní celého kamerového systému. Dům a chod domu kancléře Mynáře se tak daly sledovat i na dálku, aniž by člověk musel stát u vily a být napojen na wifinu. Stačilo si kliknout na správné adresy na webu, zadat získané heslo a pak už jen z tepla nějaké kavárny koukat Mynářům „do kuchyně“.
Mynář měl přitom v domě deset kamer. Tři na zahradě, dvě nasměrované na branku, jednu na zadní vchod a jednu na hlavní bránu. Další kamery měl Mynář na dětském hřišti na zahradě, u venkovních schodů a u schodů do garáže.
Jako důkaz, že do domácího zabezpečovacího systému kancléře Hradu hackerka pronikla, mi ukázala fotografie zmíněné na začátku článku.
•••
Kancléř měl štěstí v jedné věci. Vždy když byla hackerka v okolí vily a napojila se do domácí Mynářovy sítě přes wifinu, nezaznamenala, že by kancléř napojil do takto napíchnutého domácího systému služební počítač. Hackerka se tak nedostala do jeho služebních záznamů.
Nicméně kdyby chtěla a byla aktivnější, což u profesionálního útočníka lze očekávat, nebyl by patrně problém proniknout i do Mynářova služebního počítače. Jak to lze udělat, je trochu složitější. Ale z toho, co jsem si vyslechl na schůzkách s Lisbeth Vlekařovou, by to udělat šlo. Při znalosti všeho dosavadního, co se hackerce podařilo nashromáždit u něj doma, by se jí povedlo penetrovat i počítač používaný primárně na Hradě, nebo alespoň kancléřův služební mail či mobil.
•••
V době, kdy hackerka sledovala Mynářovu vilu, probíhala v médiích aféra se skartací tajných materiálů na Hradě. „Čekali jsme, že i on doma třeba něco vyhodí. Ale to se nestalo. U něj doma se nic tajného neskartovalo,“ řekla hackerka.
Toto hodnocení mě zaujalo. Požádal jsem proto hackerku o vysvětlení, jak to může vědět. Její odpověď mě – mírně řečeno – překvapila. Hackeři společně se členy umělecké skupiny Ztohoven si v několika případech odvezli od domu i odpadky, které Mynářova rodina vyhodila do popelnice.
„Udělali jsme jen to, co by udělala jakákoli zpravodajská služba, kdyby chtěla získat stopy nebo důkazy u sledované osoby,“ vysvětlila mi Lisbeth neobvyklé počínání.
•••
Když už jsme u těch odpadků…
Jiná bezpečnostní chyba, které se Mynář dopouští, je, že rodina netřídí odpad. Pokud by ho třídila, kancléř by lépe zahladil stopy, které za sebou při běžné lidské činnosti nechává každý člověk.
Z odpadků lidí, kteří ho třídí, lze obtížněji získat nějakou cennou informaci. Vyhodit najednou odpadky společně s papíry a plasty do jedné popelnice směsného odpadu usnadní útočníkovi práci. Ten se tak zmocní v rychlosti před domem obsahu jedné popelnice a získá vše najednou. Nemusí tedy operaci opakovat a zkoumat speciálně odpad v kontejnerech na papír či na plasty. Ve špionážní branži platí, že čím méně návštěv na místě činu, tím úspěšnější je akce. Neboť se minimalizují stopy pro případné odhalení.
Pokud přijdou někomu úvahy o přehrabování se v odpadcích nepatřičné, vězte, že prozíravé zacházení s odpadky je jedním z důležitých aspektů dodržování zásad bezpečnosti.
Kdyby člověk třídil alespoň papíry, a ještě lépe – v případě exponovaného politika či úředníka – je nechával raději projet domácí skartovačkou, nemuselo by se přijít třeba na to, jaké léky úředník či jeho rodina užívají, co se píše v záznamech od lékařů, co rodina nakupuje za oblečení nebo za vybavení do bytu, tedy za co a jak utrácí.
V odpadcích lze totiž mnohdy najít i něco, co může představovat pro danou osobu bezpečnostní riziko. Vyhozená informace může sloužit k dohledání dalších informací, které pak lze využít všelijak. Cizí zpravodajská služba může takového politika či úředníka vydírat.
•••
V odpadcích kancléřovy rodiny nalezla hackerka zdravotnické záznamy, pracovní dokumentaci rodinných příslušníků nebo třeba smlouvu na pronájem jiných nemovitostí Mynářovy rodiny.
Co a jak lze obecně vyčíst z odpadků, si můžeme ukázat na jedné konkrétní věci. V odpadcích kancléře nalezla hackerka i pomalované papíry o velikosti A4. Na jedné straně byly kresby, které evidentně malovaly děti Vratislava Mynáře. Sluníčka, obláčky či různé klikyháky. Na jednom papíře byla zelená srdíčka a pod nimi dětským písmem napsáno „Vráťa“.
Na tom samozřejmě není nic špatného. Kdyby ale na druhé straně těchto kreseb nebylo něco jiného…
•••
Jak to tak občas bývá, dávají rodiče dětem na kreslení použité papíry. V tomto případě byly na druhé straně dětských kreseb vytisknuté fotografie nějakého luxusního bytu. To znamená, že Mynářova rodina si doma vytiskla interiéry a exteriéry bytu. Nabízí se, že uvažovala o jeho koupi nebo o pronájmu.
Těch snímků bylo asi deset. Z vytisknutých fotografií vyplývalo, že se jedná o byt v atraktivní lokalitě někde v cizině a u moře.
•••
Fotografie bytu jsem tedy nechal projet ve vyhledávači webového prohlížeče Google. Ten umožňuje hledat nejen zadaná slova, ale třeba i fotografie. Trvalo to chvíli, po pečlivém porovnávání nabídnutých shod jsem našel internetovou stránku jedné realitní kanceláře v USA, která nabízela k prodeji luxusní apartmány na Floridě.
„Celý svět chce být v Miami. Pro počasí, hudbu, módu, chuť tropů prodchnutou kosmopolitním stylem, který nikde jinde na planetě nenajdete,“ píše se na internetových stránkách bytového komplexu, jehož obrázky se ocitly v popelnici kancléře Mynáře. A dále se tam psalo: „Život v Miami je nekonečnou pastvou pro smysly. A díky bydlení v Aventura Marina II Condos je to na dosah.“
Šlo o dvoupatrový penthouse s výhledy na oceán. Na podlaze rozlehlého bytu byly podle inzerátu koberce a mramor, v jedné z koupelen římská vana a klenuté stropy. Cena bytu byla 1,5 milionu dolarů, tedy v přepočtu asi 33 milionů korun.
•••
Vratislav Mynář se vyjádřil těsně před uzávěrkou vydání. Tvrdí, že na fotkách jsou apartmány Františka Janečka, který do nich zval jeho a rodinu na dovolenou. „Papíry vyhodila manželka. Já o tom ani nevěděl,“ napsal Mynář v sms.
Celkově k akci hackerů uvedl: „Možná jsem nevěnoval IT bezpečnosti náležitou pozornost. Nepředpokládal jsem, že někdo bude šmírovat mě a moji rodinu.“ Sdělil také, že by čekal, že se věcí budou zabývat příslušné instituce. „Není to poprvé, kdy někdo narušil mé soukromí. A po zkušenostech s úmyslným založením požáru v domě naší rodiny v Osvětimanech se obávám, že může jít o předehru dalšího útoku. Tím spíš, že není vyloučena účast profesionálů,“ napsal mi Mynář.
•••
V případě Vratislava Mynáře se často mluví o tom, že svou významnou funkci dokázal několikrát využít i podnikatelsky. V roce 2017 lobboval v Kyrgyzstánu za českou firmu, která se tam ucházela o miliardovou zakázku na výstavbu vodní elektrárny. Při návštěvě katarského emíra v Česku v roce 2022 se zase zasazoval o spolupráci šejků s fotbalovým klubem 1. FC Slovácko, s nímž má blízké vztahy.
Mynářovy aktivity v byznysu, ale i nestandardní postupy kancléře na Hradě sledovala také česká tajná služba BIS. Co během odposlechů zjistila, se neví. Je ale možné, že výsledek její práce bude využit až poté, co nebude mít Mynář krytí hradního úředníka a nejbližšího spolupracovníka prezidenta Miloše Zemana. „Do té doby nemělo smysl cokoli řešit. Mynář by dostal od svého prezidenta milost,“ řekl mi zdroj blízký BIS.
Vratislav Mynář vykonával úřad kancléře, aniž by měl bezpečnostní prověrku od NBÚ. Národní bezpečnostní úřad mu v roce 2015 odmítl vydat prověrku na přísně tajné. Podle dokumentů, z nichž v březnu 2021 citovaly Seznam Zprávy, NBÚ uvedl, že se u Mynáře opakovaně objevovaly projevy „nedůvěryhodného chování“. A podle NBÚ nešlo ani vyloučit, že by případně upřednostnil svůj zájem nad zájmem na ochranu utajovaných informací. Podle NBÚ nebyl Mynář během řízení o udělení prověrky schopen uvést u svých obchodních transakcí ani rámcové informace.
•••
Když jsem hackerce řekl, že jsem dohledal identitu luxusního bytu, jehož fotografie našla v odpadcích, usmála se. „No vidíte. Já jsem ty informace nevyhodnocovala. Já je jen získala,“ řekla Lisbeth.
Hackerce z toho všeho vyplynulo – nad rámec věcné kyberbezpečnosti – ještě jedno poučení. „Vlastně nechápu, jak mohl někdo takovému člověku, jako je Mynář, svěřit zodpovědnost za chod Hradu, když se choval takhle neopatrně a nesvéprávně u sebe doma,“ řekla Lisbeth Vlekařová.
•••
V hierarchii hackerů jsou tři základní skupiny: černí, bílí a šedí. Černí hackeři (black hat) jsou lidé, kteří útočí na počítačové systémy s úmyslem něco ukrást. Jejich motivací bývá většinou finanční profit, někdy pracují i pro státní aktéry nebo mají politické cíle.
Na druhé straně stojí tak zvaní bílí hackeři, kteří se snaží hledat bezpečnostní chyby a na základě svých zjištění navrhovat vhodná opatření. O „white hat“ se mluví jako o „etických hackerech“: systém zkouší napadnout, protože na zakázku klienta testují jeho zabezpečení – tudíž tak činí s vědomím majitele. Často tyto etické hackery najímají nadnárodní firmy, které třeba testují bezpečnost svých aplikací. Nebo to velmi často dělají i velké bankovní domy.
A nakonec je tu skupina hackerů ze střední zóny – ani černí, ani bílí, ale spíš šediví. „Grey hat“ – tedy ti, kteří testují bezpečnostní prostředí bez svolení majitele, ale většinou pro zábavu či osobní slávu. Někdo jiný to dělá třeba kvůli veřejnému zájmu s celospolečenským dopadem. Mezi ně zjevně patřila i Lisbeth Vlekařová. Přestože podle svých slov nekrade data a nemá jiné špatné úmysly, vykonávala svou činnost bez souhlasu majitele systému, tudíž také nelegálně.
•••
Na případ hacknuté Mynářovy vily lze nahlížet dvojí optikou. Za prvé – jak už jsem řekl – jde o skandální prolomení jejich soukromí ze strany hackera. Za druhé: jde o přístup k míře ochrany domácích sítí významných představitelů státu.
Případem vniknutí do domácího IT by se měla podle Úřadu pro ochranu osobních údajů (ÚOOÚ) zabývat policie. (Když jsem úřad požádal o stanovisko, nesdělil jsem mu jméno napadeného člověka, ale v dotazu jsem popsal podstatu, k čemu došlo.)
„Vzhledem k charakteru tématu je potřebné říct, že věc nespadá do působnosti Úřadu pro ochranu osobních údajů. Úřad není orgánem činným v trestním řízení. Pouze těm přísluší případná kvalifikace uvedeného jednání jako trestného činu,“ uvedl mluvčí ÚOOÚ Milan Řepka.
•••
Pokud jde o druhé téma, lze po tomto testu konstatovat, že jde hodně o osobní přístup významných politiků či úředníků, nikoli o systémové řešení ze strany státu.
Hackerka Lisbeth Vlekařová zkoušela proniknout i do domácí sítě dalších dvou politiků: šéfa ANO a expremiéra Andreje Babiše a bývalého místopředsedy Poslanecké sněmovny Tomia Okamury z SPD.
V případě Babiše byl výsledek nula. Babiš má dokonale chráněnou domácí síť, na kterou se navíc nedá jen tak snadno dostat z okolí jeho domu přes signál wifiny. Hackerka, která se v pražských Průhonicích pokoušela o něco podobného, co provedla u Mynáře, nezachytila z přilehlých ulic Babišovy vily žádnou jeho wi-fi.
U Tomia Okamury se hackerka k jeho wi-fi dostala. Okamura bydlí ve vile na pražském Břevnově. Hackerka zjistila, že má dvě wi-fi: jednu soukromou pro majitele Okamuru (nazvanou Akari), druhou pro hosty (OH-Guest). Penetrovat jeho domácí síť – jako se to podařilo u Mynáře – nešlo tak rychle a snadno. Vzhledem k rozdělenému systému pro hosty a pro „pana domácího“ by šlo o náročnější operaci, na kterou neměla hackerka dostatek času. Hackerka se dostala do sítě pro hosty, ale v této síti byly nastaveny limity, aby se z ní nedalo jen tak lehce dostat do Okamurovy soukromé sítě.
•••
Otázka tedy zní: měl by si vysoce postavený úředník či exponovaný politik s funkcí ve státní správě nechat udělat bezpečnostní audit soukromých míst, do nichž si může brát i svoji práci?
Státní orgán, který se výslovně zabývá kyberbezpečností – Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) –, obdržel od Reportéra dotazy, jak mají postupovat aktivní politici nebo vysoce postavení úředníci státu při zajištění bezpečnosti u sebe doma.
„V práci by měla zajišťovat bezpečnostní opatření IT oddělení, přičemž úředníci by měli být současně proškoleni o bezpečném chování v kyberprostoru. V domácím prostředí je jednání úředníků plně v jejich kompetenci,“ sdělil vedoucí komunikace NÚKIB Marek Vala. A dodal: „Je třeba mít na mysli, že v případě nedostatečného nebo nesprávného zabezpečení domova může dojít ke zneužití dat. Dveře a okna od domu také nenecháváme volně otevřené, ale zamykáme je.“
Podle NÚKIB je základním bezpečnostním opatřením, které by měli využívat státní úředníci při práci z domova, to, že budou pracovat pouze na zabezpečených zařízeních, která jsou připojena k wi-fi pomocí pracovní VPN.
VPN představuje zkratku pro virtuální privátní síť. V IT se jedná o nástroj, který vytváří bezpečné a šifrované připojení na méně zabezpečených sítích. VPN díky tomu poskytuje službu umožňující skrýt vaši IP adresu, vyhnout se sledování, šifrovat vaši komunikaci.
Existují nějaké postupy, jak znesnadnit útočníkům napadnout domácí IT přes wi-fi? „Základem je používat silná hesla a pravidelně aktualizovat router, aby neobsahoval zranitelnosti, které může útočník zneužít,“ řekl Marek Vala. Měl i několik dalších doporučení, například „zvážit segmentaci sítě, tedy oddělit jednotlivé sítě“. Právě segmentaci sítě provedl na rozdíl od hradního kancléře Tomio Okamura.
•••
„Nemusíte být nejrychlejší, ale nesmíte být nejpomalejší, protože pak se stanete nejsnadnější kořistí stáda. A Mynář byl z vybraných lidí kulhající antilopa, na kterou se snadno vrhne jakýkoli lev,“ řekla mi hackerka Lisbeth. Vratislav Mynář se stal její kořistí, protože se zkrátka choval zcela lehkovážně a jako papaláš.