Menu
CHIP Speedtest

Jak Guardian znemožnil sebe i WikiLeaks

10.09.2011 21:55 | Redakce Chip
Jak Guardian znemožnil sebe i WikiLeaks
Někdo prostě nedokáže říci: Podělal jsem to, pánové, je mi líto.

Od začátku září jsou na internetu zpřístupněny všechny uniklé americké diplomatické depeše bez jakýchkoli úprav a vynechání. Mnozí lidé v depeších zmínění mohou být v ohrožení. Zároveň je tím oslaben účinek všech těch depeší, které dříve zveřejněny nebyly. Původně je WikiLeaks záměrně vypouštěly postupně a po tematických částech, aby měla odhalení co největší dopad. A také proto postupně, že prostě nebylo dost zdrojů na rychlejší redakci (vynechání údajů ohrožujících určité osoby na zdraví a na životě).

Nyní jsou to však vlády a tajné služby nesvobodných států, kdo má největší zdroje projít celý balík dříve, než to stihnou novináři, blogeři nebo organizace nevládní. A uvedení informátoři mohou zmizet předtím, než se veřejnost vůbec dozví, že žili.

Kolosální selhání vyšlo z takřka nepředvídatelného neporozumění mezi hackerem a novinářem bez valného smyslu pro techniku a bezpečnost; vypůjčíme‑li si jeho slova: to si ani nejde vymyslit.

Julian Assange („asánž“) novináře potřeboval. Ačkoli kniha vydaná Guardianem vyznívá tak, že ho o tom sami přesvědčili. Bez spolupráce vlivných sdělovacích prostředků nemělo předchozí zveřejňování úniků žádoucí dopad. A když se v mrtvé schránce WikiLeaks ocitlo přes 250 000 diplomatických depeší, nemělo sdružení aktivistů nejmenší vyhlídku na zpracování takového objemu vlastní silou. Redakce největších světových deníků byly jedinou nadějí na uskutečnění Julianova záměru ovlivnit světové dění ve prospěch větší otevřenosti i zodpovědnosti mocných.

Popis předání hesla v Leighově knize
Popis předání hesla v Leighově knize

Po složitých jednáních — alespoň je tak podává kniha — Julian souhlasil s tím, že poskytne Davidu Leigh („lí“) z Guardianu celý soubor. Zašifroval jej pomocí PGP a zpřístupnil na internetovém serveru WikiLeaks ke stažení. Heslo napsal Davidovi na papírek — ale ne celé. Bylo do něho potřeba vložit ještě jedno slovo (takzvaně „sůl“), které si David musil zapamatovat.

Když David Leigh soubor stáhl a podle pokynů dešifroval nainstalovaným PGP, zjistil, že hledí na soubor s příponou 7z, vida ji poprvé v životě. Sice každé bystřejší školní dítko by v takovou chvíli zadalo do Googlu „7z“, ale přední britský investigativní novinář sedl do auta a jel nad ránem přes celý Londýn za Julianem, se souborem na USB flash disku, že si s ním neví rady. Julian mu jej s útrpným úsměvem ve tváři rozbalil…

To bylo už v létě 2010. David Leigh a Guardian pak v dalších měsících prý několikrát porušili dohodnutá bezpečnostní opatření. Například pracovali s depešemi na počítačích připojených k internetu, ačkoli se šéfredaktor Guardianu vlastním podpisem zavázal držet soubory jen na počítačích bez přístupu k internetu. Také celý soubor předali, bez souhlasu a vědomí Assange, listu New York Times, s nímž WikiLeaks už v té době nespolupracovaly. Nespolehlivost Guardianu podnítila rozkol s WikiLeaks, provázený veřejnými slovními přestřelkami mezi oběma stranami.

První depeše byly zveřejněny 28. listopadu 2010; a po malých částech byly zveřejňovány další

David Leigh
David Leigh

David Leigh mezitím s kolegou Lukem Hardingem napsal poutavou knihu o své zkušenosti s Assangem a s WikiLeaks. Mnohé pasáže Juliana popudily. O největším prohřešku knihy však musil mlčet, aby na něj neupozornil… David Leigh, snad ve snaze vtáhnout čtenáře co nejvíce do děje, uvedl v knize celé heslo, včetně „soli“ — tedy i toho slova, které se mělo do hesla jen vložit, ale nemělo být nikdy nikam zapsáno. David Leigh nechal úplné heslo otisknout pro celý svět.

Prý v tu chvíli věřil, že heslo už neplatí. V tom je podstata osudného nedorozumění. Není sice záznamu toho, co si ti dva pánové tenkrát opravdu řekli, ale zdá se, že David Leigh vyrozuměl, že dostává dočasné heslo k dočasnému souboru na dočasném serveru. V únoru 2011, kdy kniha vyšla, se domníval, že heslo je už jen frází bez užitku — kromě užitku literárního.

Co do bezpečnosti bylo ovšem i tak nesmírně pitomé zveřejnit způsob, jakým nejznámější hacker světa sestavuje hesla k souborům s třaskavým obsahem. A kromě toho se Leigh mohl zeptat, zda smí heslo uvést…

Potíž je, že soubor přichystaný pro Davida Leigh zůstal na serveru WikiLeaks ještě měsíce. Můžete to Julianovi vyčítat, ale uvědomte si, že to byl soubor nicneříkajícího jména — z.pgp — uložený mezi jinými podobně nicneříkajícími soubory, ve skryté složce mezi mnoha jinými složkami. Především byl jeho obsah jen nesmyslnými čísly, ježto byl zašifrován tak, že bez znalosti hesla by jej za našeho života nedešifrovala ani největší serverová farma na světě.

Nevíme, jaké důvody měl Julian k tomu, že soubor ponechal, kde byl. Každopádně můžeme rozumně předpokládat, že neměl nejmenší tušení, že David Leigh za čas otiskne heslo v knize. Vždyť Julian už Guardianu a Davidu Leigh, a jiným světovým deníkům, svěřil celý soubor, a tedy jej tak nezbytně vystavil mnohem většímu nebezpečí. Proč by jej mazal ze serveru WikiLeaks?

Když se WikiLeaks v okamžiku zveřejnění prvních depeší staly terčem silného útoku, byl celý obsah serveru pro jistotu rozšířen na torrenty do internetu, aby se data neztratila. Převzala je spousta dobrovolníků a zrcadlila je po celém světě. Byl mezi nimi i soubor z.pgp. Pamatujte, že nezveřejněná citlivá data byla silně zašifrována — bez znalosti hesla byla v naprostém bezpečí…

David Leigh ovšem neměl tušení o tom, že někde na torrentech v internetu putuje nenápadný soubor, který lze stále dešifrovat jeho heslem, a bezstarostně se o ně podělil v knize.

Představa Davida Leigh, že Julian Assange mohl ještě po vydání knihy soubor odstranit z internetu, je pochopitelně stejně naivní jako vůbec zveřejnění hesla. Julian v tu chvíli už nemohl nic než mlčet a doufat.

Knihu sice četla spousta lidí, ale ani náhodou z ní nevyplývalo, že soubor stále existuje a že je součástí „zálohy“ WikiLeaks rozšířené po internetu. Jméno složky a souboru literárně zajímavým zjevně nebylo… Ale někdo přece o souboru věděl — a měl potřebu na něj upozornit. Daniel Domscheit­‑Berg, odpadlík od WikiLeaks a zakladatel OpenLeaks, snad z osobních důvodů naznačil tu tady, tu onde, že záloha WikiLeaks obsahuje soubor se všemi neupravenými depešemi a že se k němu „dá najít“ heslo.

Povědomost o tom se šířila a výzva najít a rozluštit zlákala nejednoho. V srpnu Julian Assange už věděl, že odhalení se nezadržitelně blíží. Věděl s předstihem o článku chystaném německým časopisem Freitag a přesvědčil je, aby alespoň nenapsali nic určitého. Také se obrátil na americké velvyslanectví v Londýně a pak na americké ministerstvo zahraničí s výzvou, aby Američané pokud možno upozornili své informátory na hrozící nebezpečí.

Dvacátého devátého srpna poukázal na podezřelou složku jakýsi Nin_99. Ale správné heslo neznal. Nigel Parry knihu četl a možné heslo znal. Třicátého prvního tak bylo vše venku. Ještě týž den se celý archiv objevil na Cryptome.

S ohledem na to pak zveřejnily neupravený archiv také samy WikiLeaks.

Smutné je nyní čtení Guardianu. Jeho postoj by se dal shrnout: My nic, to vy jste to zavinili! Vyhlášený list se bezostyšně vykrucuje před celým světem jen proto, že jeho vedoucí investigativní redaktor (a švagr šéfredaktora) odmítá byť jen náznakem připustit vlastní díl viny. Kromě toho vychází najevo, že Guardian vypouštěl z depeší nejen to, co by ohrozilo na životě nebo na zdraví kontakty v nesvobodných zemích. Chránil i mnohé docela jiné zájmy…

Celý příběh pak ukazuje, že nejslabším článkem každého bezpečnostního řešení je člověk; a že co dokáže napadnout uživatele laického, to ani nevymyslíte.

Zajímavosti ze světa IT v e-mailu

Stačí odeslat svoji e-mailovou adresu


Odesláním formuláře souhlasíte se zpracováním svých osobních údajů a užitím pro marketingové účely vydavatelství Burda Praha, spol. s.r.o.

Předplatné / nákup chipu Digitální edice chipu Aktuální vydání