Britská tajná služba GCHQ byla v otázce odposlechů internetu snad ještě důkladnější než americká NSA. Plyne to z dalších dokumentů, které zveřejnil Edward Snowden. Je v nich řada informací o programu „Karma Police“, v jehož rámci GCHQ šmírovala uživatele takřka kompletně, ale hlavně, velmi důkladně.
Vedle sociálních sítí se věnovala i online porno zájmům. Ale také třeba řešila to, co lidé poslouchají za online rádia. Viz například UK spy agency snooped on everything users did online – even porn.
GCHQ získala ničím neřízené a nehlídané možnosti odposlouchávat cokoliv, co se na internetu děje. Jakkoliv se v zásadě měla pohybovat pouze na úrovni metadat, tedy nikoliv v přímém obsahu případných přenášených zpráv, je velmi málo pravděpodobné, že by to dodržovala. Navíc samotná metadata představují zásadní zásahy do soukromí lidí.
Případné zdůvodnění ostatně GCHQ měla vždy připravené: sledování toho, co 200 tisíc lidí poslouchá za online rádia, například mělo zjistit, jestli se neobjevují příznaky rozšíření radikálních myšlenek islámu. A získané informace umožnily propojit posluchače s konkrétními rádiostanicemi v Iráku, včetně dalších propojení s profily na Facebooku či Yahoo. Vedlejším produktem bylo také zjištění toho, jaké porno weby tito lidé navštěvovali.
Program Karma Police vznikl v roce 2008 a měl zásadní cíl – získat kompletní profil každého viditelného uživatele na internetu (slovo každého je skutečně použito), stejně tak jako profil pro každý viditelný web na internetu. Vše fungovalo přímým napojením na optické kabely, které propojují internet na globální úrovni
The Intercept v From Radio to Porn, British Spies Track Web Users’ Online Identities uvádí, že každý den Karma Police shromažďovala miliardy záznamů o lidech na internetu, bez jakéhokoliv zaměření či výběru. Informace o tom, jaké weby navštěvují, jaké sociální sítě používají, co čtou za zpravodajské weby, co používají za vyhledávací stroje, chaty, fóra či blogy.
POZNÁMKA: Připomeňme si, že je to už dost dlouho, co se řešil Hacking Team a jeho intenzivní spolupráce s českými orgány. A hlavně to, že vše prozatím úspěšně míří do ztracena. Nemalý podíl na tom má i nezájem poslanců a zákonodárců o něco tak citlivého. A vlastně ne nepodobného tomu, co právě řešíme s ohledem na britskou tajnou službu.
Šifrování mimo zákon, sen britské vlády
Ve světle toho, jak intenzivně Karma Police zachytávala všechno, co mohla, je podstatně srozumitelnější, proč se Velká Británie tak snaží o postavení šifrování mimo zákon, a proč tak ochotně nasazuje filtrovací systémy omezující přístup na „nevhodné weby“. A proč to celé tak často schovává za absurdní zdůvodnění typu „ochrana dětí před pornografií“.
Význam shromažďovaných informací je ještě větší, když si uvědomíte, že k nim GCHQ přiřazovala lokační informace z mobilních telefonů, e-maily, volání přes Skype, textové zprávy. A protože si všímala i vyhledávačů, tak věděla, co lidé hledají v Googlu, ale také třeba to, co je zajímá na mapách.
Dodejme, že tady se nejedná o žádný represivní režim, který je charakteristický právě tím, že bez omezení šmíruje své občany (ale i kohokoliv dalšího). Tady se jedná, teoreticky, o demokratickou zemi, která má zaručovat svobody a práva občanům. Ale také lidem, kteří jsou občany jiných zemí.
Možná můžeme být rádi, že GCHQ (teoreticky) neměla přístup k obsahům mailů, SMS či dalších komunikací – musela se (teoreticky) spokojit s tím, odkud kam kdo volal, či kdo komu psal. Ale i to je více než dostatečné, zejména po propojení se záplavou dalších metadat. Nebo již zmíněných informací o tom, co lidé hledali. A co případně našli.
Víme, jaké posloucháte rádio
Ani zkoumání toho, co lidé poslouchají za online rádia, nebyla žádná maličkost. V roce 2009 spuštěné aktivity vedly v průběhu tří měsíců k získání sedmi milionů meta záznamů, které se týkaly více než 200 tisíc lidí ze 185 zemí.
Zjištěné informace byly poté propojeny s profily posluchačů na sociálních sítích, ale také na Skypu či Yahoo. A také s tím, jaké weby tito uživatelé navštěvují. Právě zde se objevují i zmínky o tom, že Karma Police se zaměřila i na návštěvy pornografických webů.
Všechno padalo do Černé díry
Vedle poměrně zábavného jména Karma Police se v programu vyskytují i další poněkud šprýmařsky pojatá označení. Získávaná data například padala do Černé díry, obřího úložiště pojmenovaného v originále Black Hole. Odtamtud se data dostávala k analytickým nástrojům. Znamená to také, že zde jsou uložena opravdu veškerá získaná data, nedochází k žádnému cílení/omezení výběru.
Mezi červencem 2007 a březnem 2009 se do Černé díry mělo dostat na 1,1 trilionu „událostí“ (takto agentura označuje jednotlivé záznamy) s 10 miliardami nových přidávaných denně.
Nejvíce (41 % v roce 2009) dat se týkalo toho, kde lidé na internetu brouzdají. Pozdější nástup mobilních telefonů a rozšíření užívání internetu vedlo až k násobnému zvětšení získávaných informací – v roce 2012 až 50 miliard záznamů denně.
Tajná služba se proměňuje v hackery
Zásadní zájem GCHQ začala v roce 2009 věnovat cookies, ze kterých se pokoušela získávat další informace, včetně zaměření na specifické weby (vedle Yahoo, Facebook či Google například Reuters, ale také YouPorn).
Uniklé informace zmiňují, že tyto aktivity ale nakonec GCHQ pomáhaly v něčem zcela jiném než doposud: v hackování firemních počítačových sítí. Patří sem i již dříve zveřejněná infiltrace společnosti Gemalto a tím získání přístupu k SIM kartám používaným po celém světě. Stejným způsobem se poté GCHQ podařilo dostat do sítí belgického telekomunikačního operátora Belgacomu.
Pro oba útoky přitom stačilo málo, použít IP adresy spojené s uvedenými společnostmi a pomocí nich nalézt cookies patřící zaměstnancům a používaná na Googlu, Yahoo či LinkedIn. Poté stačilo napadnout jejich počítače (tady se opět nabízí připomenout Hacking Team, protože jde přesně o technologie, které tato firma dodávala i českým orgánům).
POZNÁMKA: V zachycených datech má GCHQ navíc běžně k dispozici i kompletní hesla k řadě služeb. Stačí si jenom vzpomenout, kolik služeb nepoužívá https a jak široce to bylo rozšířené v minulosti. Dodnes je málo rozšířené v mobilních aplikacích, které často bezpečnost komunikace vůbec neřeší.
Na pomezí zákona
GCHQ vše, co dělá, v zásadě provádí legálně, nebo k tomu využívá nedostatků v zákonech. Jakkoliv se těmto aktivitám začali věnovat britští zákonodárci, zatím se neudálo nic, co by problém vyřešilo. Britská tajná služba dál prakticky neomezeně a nekontrolovaně sbírá data o lidech, které by vůbec sbírat neměla.
Data navíc uchovává (hovoří se o uchování v rozmezí 30 dnů až šesti měsíců) a v řadě případů odchytává i zcela konkrétní obsah komunikace, který uchovává také běžně až po dobu 30 měsíců.
Není nakonec divu, že v roce 2011 se v GCHQ začali obávat. Paradoxně nikoliv toho, že by snad na ně někdo mohl začít dohlížet, ale šifrování. V zásadě něčeho tak jednoduchého a základního jako je SSL/TLS. Tedy běžně dostupné šifrování webové či mailové komunikace.
