Dlho si uvedomujem, že pre niektorých čitateľov sú moje zložité texty frustrujúce a že by som potreboval editora. Získavanie dôkazov a realizácie penetračných testov však tiež nie sú jednoduché, prečo by som mal čitateľov šetriť?
Úvodom krátko k otázkam etiky, legitimity a legality nasledovného textu: 11. januára 2018 zverejnil Jakub Goda na blogu Denníka N článok s názvom “Pod falošným menom som písal hoaxy pre Hlavné správy,” v ktorom dôkladne popísal postup, akým dokázal primäť redakciu jedného z najvýznamnejších alternatívnych webov publikovať články s vymysleným obsahom a od neexistujúceho autora. Išlo a stále ide o cenný materiál, prijatý mienkotvornými novinármi z väčšiny plnoformátových redakcií stredného prúdu s rešpektom, či neraz veľkým nadšením. Na blogu Denníka N je dodnes jedným z najčítanejších a je aj relatívne kvalitne vyzdrojovaný. Oprávnene – Goda nachytal vydavateľa Hlavných správ na hruškách a poukázal na obrovské diery vo fungovaní malej redakcie. V diskusiách na facebooku a iných sociálnych sieťach, podcastoch a generických článkoch iných redakcií prijali tento materiál buď neutrálne, alebo pozitívne.
Inak povedané, preverovanie slabých miest mienkotvorného média za použitia účelovej registrácie na maili, sociálnych sieťach a používanie vymyslenej identity bolo vo všeobecnosti až na výnimky tvorené zvyčajne fanúšikmi kritizovaného webu akceptované ako legitímna forma získavania relevantných dát o jeho spoľahlivosti. Slovenský precedens je teda na svete, legitimizovaný médiami stredného prúdu a preto si môžeme moralizujúce odsudky a osobné útoky ušetriť a venovať sa v diskusii konečne samotnej podstate problému.
Teaser (kto nevie čo to je, nech si vygúgli)
V roku 2017 som zverejnil sériu článkov týkajúcu sa trestnej činnosti súvisiacej s rozkrádaním majetku BBSK, za ktorú som získal Novinársku cenu. Táto séria tiež bola súčasťou dôvodovej správy hlavného kontrolóra, v ktorej konštatoval celkom 14 porušení zákona a neplatnosť zmlúv, ktorými vtedajšie vedenie župy – Kotleba, Uhrík a spol. – manipulovalo s majetkom. Dnes na základe tejto série koná vo veci polícia a prebieha stíhanie. Samotná práca na tomto materiáli bola pre mňa vyčerpávajúca a nákladná, podobný materiál bol objektívne na hranici možností samostatne publikujúcej osoby. V poslednom článku série, ktorým som svoju prácu na téme uzatváral a končil som však zverejnil aj post scriptum: „Toto vyhlásenie sa netýka pána Miroslava Suju a partie Aeterna Germanitas. Budem sa vám venovať rád a nie, rozhodne sa nebojím vašich odkazov a poslíčkov. Považujem vás za ešte väčšie zlo, než voleného Kotlebu a vaše spôsoby za neprijateľné. Viem že máte veľa kamarátov a známych ale verte, že v tejto disciplíne môžeme smelo súťažiť a vyhrám. Ozaj, a buďte taký dobrý a naučte svojho švagra Danka parkovať. Dokazovať si silu a zastrašovať detvancov nevychovaným správaním je iba a len nesmierne trápne. Je rok 2017 a dinosaury už buď vyhynuli, alebo sedia v base.„ Prečo som to už nechcel nechať tak?
Pretože popri práci na tej sérii som priebežne získaval aj množstvo materiálu, ktorý nesúvisel s vecou samotnou, nedal sa v článkoch použiť, ale nasvedčoval o nekalej, či trestnej činnosti širšej skupiny osôb, než ktorej som sa venoval v súvislosti s BBSK. Zo zistených dát bolo zrejmé, že rozkrytie zjavne oveľa rozsiahlejšej schémy nebude v silách jednotlivca, nechať to množstvo kvalitných dát a podkladov nespracované som považoval za amorálne. Prostredníctvom jedného z účelových kont, ktoré boli dlhodobo využívané pri penetrácii prostredia podpoľania boli teda tieto dáta priebežne odosielané redakcii Aktualít. Komunikácia prebiehala pod menom „Ondrej Cerovský.“ Z dôvodov, ktoré uvediem nižšie.
Po istom čase a zbežnej komunikácii s viacerými osobami sa práci na týchto dátach začal prevažne venovať redaktor Ján Kuciak. Ján Kuciak aj na základe informácií od „Cerovského“ a na základe následných vlastných zistení napríklad konfrontoval bývalého „Černákovho vojaka“ Miroslava Suju s otázkou, či sa chystá manipulovať voľby do BBSK. Kuciak na základe informácií od „Cerovského“ tiež osobne navštívil Detvu bez akejkoľvek redakčnej podpory 5 novembra 2017 v deň volieb do BBSK a svojou osobnou prítomnosťou pred okrskovou miestnosťou a v spolupráci s hliadkou PZ pomohol zabrániť pripravenej manipulácii spojenej s kupovaním hlasov. Doporučujem prečítať si v diskusii jeho reakciu na podporné komentáre. Miroslav Suja tak jeho zásluhou v regulérnych voľbách prehral a nedostal sa do krajského zastupiteľstva. Prehral o 61 hlasov s kandidátom Smeru Romanom Malatincom.
Pri pohľade z hlavného mesta môže ísť o banálnu príhodu. Z Detvy však čosi také vyzerá úplne inak. Na ilustráciu príbeh z dávnejších komunálnych volieb: pani Krnáčová, matka novozvoleného poslanca za Piešť zhodou okolností pred rokmi kandidovala v obvode, v ktorom sa o hlasy voličov uchádzal aj Ľupták. Priamy svedok udalostí popisuje: “Prišli k nim, zaklopali u nich na dome a zavolali si pani Krnáčovú, zmierlivo jej dohovárali, že by bolo dobre a pre všetkých lepšie, keby sa z kandidátky stiahla. Odmietla. O niekoľko dní mali Krnáčovci večierok s priateľmi a cez okno videli zapálené auto, ako sa valí z protiľahlého kopca. Auto prerazilo múr a prešlo až do obývačky domu pani Krnáčovej. Na druhý deň pani Krnáčová stiahla kandidatúru.” Samozrejme, ako už neraz, tento incident nebol orgánmi činnými v trestnom konaní nikdy objasnený. S menom Miroslava Suju bolo spojené aj vyšetrovanie kupovania hlasov vo voľbách do BBSK ešte v časoch, keď za župana kandidoval smerák Maňka: na žltých lístočkoch s „doporučením“ bolo vtedy na mieste primátora práve jeho meno a na miestach poslancov Suja a Ľupták – noční návštevníci už spomínanej pani Krnáčovej. Suja je známy ako človek, ktorému sa nehovorí „nie.“ Sopliak čo v noci dofrčal odkiaľsi z Bratislavy ho ponížil pred celou Detvou. Jeho, jedného z dedičov Černákovho impéria. Skúste si to na chvíľu predstaviť.
Niekoľko týždňov sa v sporadickej komunikácii Kuciak uisťoval o validite niektorých informácií, v druhej polovici januára intenzívne pracoval na článku, ktorý vydali Aktuality pod názvom „Kandidát SaS prepísal firmu. Má rovnakého konateľa ako firma, čo stavala Bonaparte.“ Na základe tohto článku sa vtedajší okresný šéf SaS v Detve Roman Vrťo „dobrovoľne“ porúčal z funkcie. Jeho nasledovník, Marek Jaďuď bol vyhodený z toho istého postu vedením SaS o niekoľko mesiacov na základe článku zverejneného už pod mojim menom v začiatkoch tejto série. Ibaže Kuciakov článok otvoril Pandorinu skrinku: bolo to úplne prvýkrát, čo sa v médiách objavila ucelená informácia nasvedčujúca, že v regióne podpoľania operuje skupina, ktorá sa dovtedy napriek obrovským príjmom z eurofondov, dotácií a nenávratných finančných príspevkov mediálnej pozornosti úspešne vyhýbala (celkový výtlak tejto skupiny pritom počas jednej dekády v násobkoch presahoval výtlak vadalovskej skupiny a mala aj oveľa kvalitnejšie krytie zhora). Podľa zdrojov ktoré sa osvedčili už viac než rok predtým nastala medzi jej členmi panika pretože nikto netušil, čo všetko Kuciak vie a ktorým smerom sa bude jeho publikovanie uberať. Paradox je, že zrejme sa tej téme ďalej nehodlal venovať. Aktuality vydali Kuciakov a Turčekov článok 25 januára 2018. Martina a Ján boli zavraždení o necelý mesiac neskôr, 21 februára 2018. Komunikácia Cerovského cez spoločný účet Aktualít na mnoho mesiacov úplne zanikla.
Čo sa dialo medzitým už viete.
Pred koncom roka sa konečne v médiách objavila informácia o tom, že došlo k zadržaniu osôb podozrivých z vraždy žiarskeho poslanca Mareka Rakovského, neskôr aj k k uvaleniu väzby a vzneseniu obvinenia voči jednej z nich. Rakovského brat je pritom aktuálne súdený za machinácie a podvody v súvislosti so zmluvami o dotáciách od Slovenskej implementačnej agentúry, ktoré podpisovala zhodou okolností bývalá členka môjho tímu. Ďalším spoluobvineným je majiteľ firmy, na ktorú bolo písané auto používané Alenou Zs., obľúbenkyňou viacerých slovenských politikov a momentálne podozrivou z podielu na vražde Kuciaka. Toto sú zatiaľ neveľmi, ale predsa verejne známe fakty. Doposiaľ nezverejnenými sú však tie, ktoré spájajú vraha poslanca Mareka Rakovského a jeho spolupáchateľov s Miroslavom Sujom a tiež ďalšími postavami v tomto zamotanom príbehu. Ukážu, ako veľmi blízko je z Donovalov do Detvy a odtiaľ do Veľkého Krtíša a Komárna: a odtiaľ zas do Bratislavy. Verím že čoskoro ich bude konečne možné zverejniť v plnom rozsahu.
Ale teraz ide o niečo iné. Chcelo by to vysvetlenie, prečo sa niekto, kto má údajne potrebu exhibovať a za každú cenu na seba pútať pozornosť odrazu zakryje úplne iným, ničnehovoriacim menom. Nuž preto, lebo nik s kúskom pudu sebazáchovy a trochou informácií by sa v prípade komunikácie s Aktualitami nezachoval inak.
Penetračný test Aktualít (kto nevie, čo to je, opäť si môže googliť)
Niekoľko mesiacov po vražde a po ohlásených zmenách a vzniku medzinárodného tímu na vyšetrenie vraždy Kuciaka som zo zvedavosti napísal na účet Aktualít znovu a skúsil zistiť, čo sa v kedysi katastrofálne nezabezpečenom spôsobe kontaktu medzi redaktormi a zdrojmi zmenilo. Očakával som, že ten šialený incident z februára prinesie zásadnú zmenu k lepšiemu a zaplátanie aspoň tých najväčších bezpečnostných a komunikačných dier. Nádej som vkladal aj do prípadnej zmeny vydavateľa, ktorý by mohol slovenské reálie lepšie vyhodnotiť. Napísal som im 11 septembra 2018 a zistil, že sa nezmenilo nič. Nižšie je uvedený presný technický popis týchto dier, keďže sa podobným veciam profesionálne venujem. Nehodlal som sa tým však ďalej zaoberať, mal som dosť práce s prípravou vlastného článku a vravel si, že je to primárne vecou a problémom vydavateľstva, ktoré má zaistiť bezpečnosť vlastných ľudí.
Ten článok vyšiel 12.9.2018 o 9:38 na blogu sme.sk pod názvom “Neznesiteľná ľahkosť vraždy”. V ten istý deň o 11.21 sa však „Ondrejovi Cerovskému“ náhle ozval samotný šéfredaktor portálu Aktuality Peter Bárdy s výzvou na stretnutie – priamo cez spoločný fcb messenger Aktualít. Z neskoršej komunikácie vyplynulo, že bol dôkladne oboznámený s obsahom tej časti komunikácie medzi „Cerovským“ a Kuciakom, ktorá bola uchovaná na spoločnom messengerovom účte Aktualít.
Nuž sme takmer dva mesiace komunikovali a bol som zvedavý, kam to bude smerovať a čo tým Bárdy sleduje – oficiálne sa totiž Aktuality o tému podpolianskej stopy ostentatívne nezaujímali, lebo Bránik. Neoficiálne však rozhodne áno. A tak som to poňal ako penetračný test, pretože mi okrem komunikačných boli známe aj značné limity vo fyzickom zabezpečení objektov, v ktorých sa pohybujú aj ľudia z jeho redakcie.
Komunikácia na spoločnom účte Aktualít (5 fotografií)
Podrobný popis testu by bol nad možnosti tohto materiálu a viedol by k zhoršeniu beztak kritickej situácie. Ak niekoho, mali by prednostne zaujímať vydavateľa, pretože jeho ľudia sú naďalej, často o tom vôbec netušiac, vystavení značným rizikám. Rovno ho teda preskočím a idem k záverom, ku ktorým sme sa dopracovali. Robili sme to zdarma a z dlhej chvíle, keďže nám reputačné straty spôsobené z reťaze odtrhnutými hoaxermi spôsobili niekoľko stratených kontraktov.
Jednou z rozhodujúcich fáz podobných testov je vo finálnej fáze zdanlivo spontánne vypustenie informácie o chystanom zverejnení cez viacero na sebe nezávislých kanálov s tým, že pre každý z nich je použitá jedinečná doplnková informácia, aby bolo možné po zdetekovaní prípadného úniku identifikovať, ktorým, či ktorými kanálmi prenikli informácie k testovanému subjektu. V prípade Aktualít boli pre tento účel využité tri stretnutia: jedno s predstaviteľom stredoslovenského média s lokálnym dosahom a jeho priateľom, ktorý “vďaka” článku Jána Kuciaka z 25 januára prišiel o miesto okresného predsedu SAS. Druhé s predstaviteľmi redakcie SME a tretie s publicistom na voľnej nohe, známym svojim pozitívnym postojom k jednotlivcom v redakcii Aktualít. Na všetkých troch stretnutiach padla z mojej strany striktná požiadavka nešíriť túto informáciu ďalej pred zverejnením. V dvoch prípadoch sa informácia o chystanom zverejnení nestretla s pochopením a reakciou bolo doporučenie, aby bola na vážne bezpečnostné diery redakcia Aktualít upozornená diskrétnou formou “na pive” bez toho, aby sa o nich dozvedela verejnosť. Zhodou okolností sa tie dva prípady týkali profesionálnych novinárov. Predstaviteľ lokálneho média, ktorého prevádzka webu neživí na stretnutí nemal tendenciu ovplyvňovať formu ďalšieho zaobchádzania so zisteniami a jeho deklarovaný postoj bol neutrálny.
Najneskôr o dva týždne informácia s istotou prenikla do prostredia Aktualít s unikátnou značkou využitou iba v komunikácii so SME – išlo o to jediné a pamätné stretnutie z ostatného článku, ktorého zmysel obe strany vraj pochopili odlišne. Veľmi pravdepodobne ju posunul ďalej aj spomínaný publicista, nie je to však možné tvrdiť s istotou. Únik informácie od predstaviteľa lokálneho média k Aktualitám sa nepotvrdil, vylúčiť ho nemožno, ale žiadna zo zistených informácií tomu nenasvedčuje. Jeho vedomosť o tejto skutočnosti sa však prejavila skutočne komicky: krátko pred komunálnymi voľbami sa v detvianskych internetoch zjavil ďalší Ondrej Cerovský – teda fejk fejku – údajný investigatívec, ktorý sa mimoriadne insitným spôsobom pokúsil vyvolať dojem, že ma platí buď jeden z bývalých predstaviteľov mesta Detva, alebo firma pokúšajúca sa pri Detve ťažiť zlato. Ale že ma teda rozhodne niekto platí. Monty Python šuviks. Batmana z Detvy už radšej nespomínam.
Viacero osôb, ktorým bola táto informácia v redakcii aktuality.sk „konkurenciou“ diskrétne sprístupnená krátko na to začala prípravné práce na protireakcii, ktorej budeme svedkami o niekoľko hodín. Že sú na zverejnenie tohto článku v redakcii už dôkladne pripravení nasvedčuje aj fakt, že na konkrétne otázky žiaden z oslovených vedúcich predstaviteľov portálu, resp. vydavateľstva nereagoval. Oslovení boli: Peter Bárdy, šéfredaktor Aktualít, Milan Dubec, partner a CEO vydavateľstva Ringier Axel Springer Slovakia, Peter Hollý, CFO toho istého vydavateľstva a Peter Porubský, zodpovedný vo vydavateľstve za spoluprácu s médiami a PR. Na nedávne odhalenie kolosálneho zlyhanie vnútorných kontrolných mechanizmov v nemeckom Der Spiegel v súvislosti s prácou elitného redaktora Claasa Relotia reagovali ľudia z Aktualít veľmi živo a nadšene reagovali, s obrovským rešpektom k pokore a poctivosti, s akou sa nemecké vydavateľstvo k veci postavilo. Bude preto nesmierne zaujímavé sledovať, ako sa zachovajú dívajúc sa do svojho vlastného špíglu: zatiaľ to z neodpovedí nevyzerá dobre. Aj keď prvá lastovička už z hniezda vyletela: Peter Bárdy si ma zablokoval a už nie sme priatelia na facebooku, lebo veď máme šestnásť rokov.. Skvelý začiatok.
Otázky ignorované Bárdym som preposlal jeho šéfom – a tí ich úspešne odignorovali tiež. Ukážkové PR vydavateľstva ašpirujúceho na lídra trhu. Aktuality sa rady pýtajú. Odpovedať sa im už nechce. (Radovan Bránik)
Niekoľko kľúčových zistení týkajúcich sa otázky (ne)zaistenia bezpečnosti redaktorov a zdrojov spomínaného portálu.
1. šéfredaktor portálu Aktuality bol už na jeseň roku 2017 oboznámený so skutočnosťou, že Ján Kuciak o.i. spracúval podklady v redakcii a tiež pôsobil v teréne na základe informácií poskytnutých osobami, ktorých totožnosť nebola redakcii známa a využívali pri časti komunikácie účelovú registráciu. Našťastie išlo o informácie poskytnuté v dobrej vôli a natoľko validné, že na ich základe boli zverejnené iba pravdivé články. Ani niekoľko mesiacov potom, ako šéfredaktor v komunikácii osobne potvrdil, že si je vedomý, že celý čas komunikovali so zdrojom so zmenenou identitou, ktorého totožnosť mu pritom nebola známa Aktuality túto skutočnosť nikdy nezverejnili. Kvalitu, validitu a hodnovernosť informácií „Cerovského“ potvrdzuje aj Bárdyho opakovaná snaha o stretnutie a to, že iniciatíva na stretnutie vyšla od neho.
2. zdroj, ktorý stojí o absolútnu anonymitu a vlastnú bezpečnosť sa nemôže skontaktovať s konkrétnym redaktorom Aktualít bez sprostredkovateľa, ktorým je anonymný administrátor. Na stránke Aktualít nie sú uvedené na autorov mailové adresy a ani žiadne iné kontakty. Zdroj môže využiť buď spoločnú mailovú adresu, ktorej obsluha je v rukách viacerých jemu neznámych osôb, ktoré sa najprv oboznamujú s obsahom mailu a následne rozhodujú o jeho ďalšej distribúcii podľa vlastného uváženia, alebo môže použiť messenger. Na ňom je jediným spôsobom identifikácie podpis osoby v textovej podobe – človek z Aktualít pri komunikácii vidí účet aj identitu zdroja, zdroj však vidí iba súvislý tok komunikácie na spoločnom účte Aktualít, kde sa neraz paralelne vyskytuje viacero účastníkov – a tí sa navzájom vidia. Neexistuje žiaden spôsob, akým si môže zdroj overiť, že osoba podpísaná v tejto komunikácii ako Ján Kuciak, Peter Bárdy, či Martin Turček ňou aj v skutočnosti je. Kým zdroj nezíska mailovú adresu, alebo kontakt do niektorej šifrovacej aplikácie, či telefónne číslo, nie je jeho komunikácia a totožnosť nijako krytá – a nič z toho nezíska, kým niektorého z administrátorov nepresvedčí, že má zmysel mu nejaký kontakt poskytnúť. Zdroje s kvalitnou komunikačnou históriou sú pritom vo výhode, voči novým zdrojom vystupujú administrátori veľmi ostražito a často žiaden kontakt neposkytnú, kým zdroj „nepustí chlp.“ A to je veľký problém: ochrana zdrojov má a musí byť alfou a omegou. Ibaže nebola a nie je.
3. v komunikácii so zdrojmi prebiehajúcej cez spoločný fcb messenger Aktualít s „Ondrejom Cerovským“ a ďalšími Ján Kuciak nikdy žiadnu formu šifrovania nepoužíval, nie je to totiž ani technicky možné – svoju totožnosť len potvrdzoval vpísaním vlastného mena do textu správy. Kto napriek tejto vedomosti opakovane tvrdí že Ján všetku svoju komunikáciu šifroval, vedome klame a živí falošný mýtus – nech už ho k tomu vedú akékoľvek pohnútky.
4. Ján Kuciak niekedy skutočne využíval aj šifrovanú komunikáciu, ktorá však išla mimo oficiálnych komunikačných kanálov Aktualít. V našom konkrétnom prípade používal zdvojené zabezpečenie: aplikáciu Signal v kombinácii s programom AES Crypto – aj keby niekto zachytil prenesenú komunikáciu, bez použitia hesla by sa dostal maximálne k nezrozumiteľnej kombinácii písmen a čísel. Z mojej strany išla komunikácia z viacerých zariadení a neraz z veľmi exotických IP adries a telefónnych čísel. Kuciak moju totožnosť poznal. Okrem podpoľania sme si vymenili niekoľko informácií aj na ďalšiu dôležitú tému, ktorá s ním cez personálne prepojenia konkrétnych osôb súvisela. Telefón, ktorým som s ním komunikoval naposledy skončil takto, osud toho jeho mi nie je známy. Podľa mojich vedomostí mal tri, z toho jeden, ktorý považoval za bezpečný.
5. administrátori centrálneho a najčastejšie využívaného komunikačného účtu Aktualít majú prístup do ktorejkoľvek z komunikácií ktoréhokoľvek redaktora bez toho, aby o tom existoval záznam a môže sa oboznámiť s obsahom komunikácie a totožnosťou zdroja bez akejkoľvek kontroly a dokonca bez toho, aby o tom príslušný redaktor vôbec vedel. Tento fakt v komunikácii nevdojak potvrdil aj samotný Peter Bárdy, keď po čase navrhol niekoľko zmien smerom k väčšiemu súkromiu komunikácie. Najprv s „Cerovským“ komunikoval zo spoločného účtu viditeľného aj množstvu ďalších osôb, neskôr prešiel na komunikáciu z osobného účtu s argumentom: „Dobrý deň, radšej vám píšem napriamo, nech to nekuká tisíc očí, mohli by ste stredu – štvrtok?“ a k tomu mi poskytol číslo mobilu. Postupne sme sa na základe jeho iniciatívy dopracovali až k aplikácii Signal, kde som aj komunikáciu 29 októbra 2018 ukončil a odmlčal som sa.
6. do objektu v ktorom sa opakovane pohybujú osoby venujúce sa investigatívnej činnosti, alebo inej spolupráci s portálom aktuality.sk (a sídli tam viacero ďalších redakcií patriacich do portfolia Ringier Axel Springer Slovakia) je možný vstup a východ neautorizovaných osôb bez overenia totožnosti, alebo za uvedenia vymyslených údajov bez toho, aby ich vstup a prítomnosť zaznamenal ľudský personál ako mimoriadnu udalosť. Vstupné priestory a turnikety sú pomerne často, neraz dlhé minúty bez akéhokoľvek dozoru.
7. vovnútri objektu je možné získať bezkontaktnou formou dáta z identifikačných karietza použitia zariadenia, ktoré možno legálne získať bez uvedenia identifikačných údajov za cenu niekoľkých desiatok Eur. Zároveň možno tieto karty klonovať s presnosťou blížiacou sa 100% (najefektívnejším miestom na získavanie týchto dát je výťah, kde nevyhnutné priblíženie medzi viacerými osobami na niekoľko sekúnd nebudí nežiadúcu pozornosť a je spoločensky akceptované). Za využitia legálne získaného a voľne dostupného software možno dosiahnuť 100% klonovanie kariet a zároveň pozmeňovanie dát na nich podľa vlastnej úvahy a aktuálnych potrieb. Nákupná cena jednej čistej karty využiteľnej na klonovanie len o málo presahuje sumu jedno Euro. Podľa identifikácie subjektov, ktoré zabezpečujú prevádzku budovy a bezpečnostnú službu, evakuačných plánov, tvaru, rozmiestnenia a typu čítacích zariadení je otázkou desiatok minút zistiť, s akým systémom má útočník dočinenia a ako ho jednoducho obísť.
8. počas trvania testu bolo opakovane zaznamenané ponechávanie kariet s rôznym stupňom prioritizácie bez kontroly voľne a bez dozoru, niekedy až desiatky minút, zvyčajne zo strany obslužného personálu. Krádež týchto kariet by však nemala význam, pretože po zistení straty by ju musel personál nahlásiť a došlo by k vydaniu novej. Snaha o použitie tej predchádzajúcej by spôsobila neželanú pozornosť a hrozilo by prezradenie. Elegantným a bezrizikovým riešením by bolo opäť klonovanie, pretože zvlášť u obslužného personálu stačí na zamaskovanie zneužitia využitie odpozorovanej rutiny správania a jej napodobnenie vo vhodnom čase.
9. kamerový systém pôvodne určený na kontrolu okolia, vstupných priestorov a uzlových bodov v budove v jeho dnešnej kondícii a s absenciou, nesprávnym, alebo nedostatočným využívaním niektorých nevyhnutných funkcionalít umožňuje v rôznych časových úsekoch vstup, pohyb po budove a aj výstup z nej bez toho, aby došlo k jeho spozorovaniu obslužným personálom, alebo zachyteniu záznamovým zariadením. V prípade využitia sofistikovaného útoku na zdravie, alebo život cieľovej osoby, alebo skupiny osôb, pri ktorom medzi útokom a jeho účinkom uplynie dostatočná doba je u prípadného páchateľa možné s pravdepodobnosťou hraničiacou s istotou predpokladať, že jeho nájdenie bude extrémne zložité, alebo nemožné. Konkrétnejší byť nemôžem, nebudem poskytovať návody osobám so zlými úmyslami.
10. bezpečnostné zložky štátu, ktoré realizujú „diskrétnu“ dodatočnú ochranu objektu a osôb ani raz nezaznamenali podozrivú aktivitu a žiadnym spôsobom nezasiahli proti realizátorom penetračného testu. Od jeho realizácie do zverejnenia uplynul dostatok času, aby ani osoby trénované v efektívnom uchovávaní pamäťovej stopy neboli schopné spätne identifikovať “páchateľov.” V prípade útoku hrubou silou bez predchádzajúcej dlhotrvajúcej prípravy by ich prítomnosť zrejme viedla k zníženiu strát a zvýšila by pravdepodobnosť zadržania, alebo fyzickej eliminácie páchateľov. V prípade dlhodobo pripravovaného sofistikovaného útoku realizovaného profesionálmi je ich prítomnosť bezcenná.
Diery vo fyzickom zabezpečení (8 fotografií)
Pri realizácii testu neboli porušené žiadne zákony SR, ani nariadenia a predpisy, nedošlo k zneužitiu, či odcudzeniu cudzích predmetov bez vedomia ich majiteľov, či držiteľov. Všetky spomínané poznatky boli získané výhradne využitím tej časti techník “social engineering” ktoré nie sú v rozpore so slovenskými zákonmi a neboli žiadnym spôsobom poškodené majetkové, alebo nehmotné práva žiadneho subjektu. Zistených bezpečnostných dier je výrazne viac, akékoľvek ich zverejňovanie by bolo v priamom rozpore s bezpečnostnými záujmami osôb ktoré môžu v budúcnosti čeliť ohrozeniu. Zverejnené sú len niektoré ukážky dier, ktoré možno odstrániť v priebehu niekoľkých hodín bez ohrozenia prevádzky budovy a redakcií. Otázka je, ako je možné že žiadne z týchto opatrení neboli realizované pred, ale ani po smrti Jána Kuciaka, keď už nemohla byť žiadna pochybnosť, že ohrozenie života novinárov je reálne a dodnes nie je zrejmé, prečo bol cieľom útoku. Nemožno teda v žiadnom prípade vylúčiť, že toto riziko naďalej trvá a týka sa ďalších novinárov. Chystané, či čiastočne realizované sťahovanie do lepšieho na veci nič nemení. Zo strany vydavateľstva bol tento prístup vo v zťahu k vlastným ľuďom neospravedlniteľný hazard a nechať veci (ne)fungovať v nezmenenej podobe aj takmer rok po vražde kolegu bolo jednoducho nefér.
Čo s tým?
Odpoveď na otázku, ako veľmi by sa zvýšila účinnosť niektorej z potenciálne využiteľných foriem útoku v prípade, že by na zákony a práva jeho realizátor kašlal a mal by nepriateľské úmysly ponechávam na fantázii čitateľov. Že sa sledovanie novinárov skutočne realizuje, že vydieranie niektorých z nich kompromitačnými materiálmi a ich dlhoročné zneužívanie rôznymi jednotlivcami, alebo subjektami na skryté presadzovanie cudzej agendy do obsahu novín skutočne prebieha, že vydavatelia často ani netušia, ktorý z ich zamestnancov slúži dvom, či viacerým pánom už dnes ťažko niekto spochybní. Krátko po smrti Martiny Kušnírovej a Jána Kuciaka som na túto problematiku opakovane verejne upozornil, reakciou bol neraz zúrivý odpor a podozrievanie. Nebolo prekvapením, že túto reakciu často vyvolávali a živili osoby, ktorých sa tento problém osobne týka. Kočner, Kriak, Tóth a ďalší už medzitým nevdojak prispeli k čiastočnému vytriezveniu z ilúzií. Tieto poznatky však zatiaľ neviedli k drakonickému a bezodkladnému zavedeniu tvrdých bezpečnostných opatrení, zásadným zmenám komunikačných protokolov vovnútri redakcie, k personálnemu auditu a ani k zmenám v spôsobe komunikácie so zdrojmi, hoci je na nich každá redakcia existenčne závislá. Takmer rok po tej šialenej udalosti je takmer všetko po starom.
Odpoveď na otázku, kto sa ešte po oboznámení s týmito zisteniami odváži obrátiť s dôverou na redakciu aktuality.sk a poskytne jej pod vlastnou identitou citlivé, či potenciálne nebezpečné informácie takisto ponechávam na zvážení čitateľov. A nejde iba o aktuality, je verejným tajomstvom, že komunikačné rutiny spred vraždy ostávajú prakticky nezmenené aj v ostatných redakciách a bezpečnostné diery nik nepláta.
Odpoveď na otázku “Quis custodiet ipsos custodes?” ostáva nateraz otvorená. Novinári sa vždy pasovali do úlohy strážnych psov demokracie a často oprávnene. Často hľadajú a neraz nájdu chyby, ktorých sa dopúšťajú iní a s veľkou pompou ich oznamujú verejnosti. Už roky dozadu však sami neboli imúnni a dopúšťali sa chýb, ktoré zvyčajne ostávali vzhľadom k silnej profesionálnej solidarite idúcej za hranice etiky skryté. Novinári sú strážcami demokracie. Kto ale stráži strážcov?
Ide o nezdravý jav, ktorý smrť Martiny Kušnírovej a Jána Kuciaka extrémne zosilnila. Kým roky dozadu existovali vo verejnom diskurze neprekročiteľné tabu, dnes je skôr pravidlom, ako výnimkou, že ktokoľvek si dovolí spochybniť prácu a verejné výstupy ktoréhokoľvek príslušníka kasty nekritizovateľných, stáva sa terčom agresívnych útokov osobného charakteru, ktoré svojou intenzitou a obsahom neprerážajú len dno elementárnej ľudskej slušnosti, ale porušujú aj občianske práva a neraz aj konkrétne paragrafy trestného zákona. V tom lepšom prípade ostávajú nezmazané a nepovšimnuté v diskusných vláknach mienkotvorcov na facebooku, v tom horšom sú ich autormi samotní novinári. Navzdory verejne deklarovanej snahe o zlepšenie sa neraz deje pravý opak. A hľadači pravdy a tajomstiev iných zúrivo chránia pred zverejnením tie, ktoré sa týkajú ich samých. Neraz zaznieva heslo “Pravda zvíťazí!” ibaže v niektorých prípadoch sa deje pravý opak a skutočná podstata je prekrývaná nezdravými a lživými mýtmi.
Strážne psy demokracie zvlčili. Nič na tom nezmenil fakt že chodia v baránčom rúchu s logom #AllForJan.
A Martina, vždy to tam chýba.
Čo s tým?
PS: Nech už sa stane čokoľvek, toto je môj úplne posledný článok na portáli sme.sk. Po opakovaných negatívnych skúsenostiach s neprofesionalitou a verejne nepriznaným uprednostňovaním súkromných vzťahov a (ne)priateľstiev pred verejným záujmom a právom verejnosti na neskreslené informácie tu už nemám čo hľadať. A nejde o žiadne konšpirácie, za týmto systematickým zlyhávaním nie sú žiadne skryté záujmy oligarchov a ani temné spojenia so židojaštermi, Sorosom, či Novým Svetovým Poriadkom. Veľké a seriózne noviny jednoducho nemôžu hrať malé trápne hry. Priateľská výpomoc Aktualitám v podobe úniku dôverne poskytnutej informácie a diskreditačného článku, hoci samotný Kódex SME zreteľne zakazuje podobnú spoluprácu a jasne definuje konkurenčné médiá nie je tým dôvodom. K odchodu sa schyľovalo už takmer rok a viac si už nemáme čo povedať.
Výhrada, že tento článok je dôsledkom zlých vzťahov za ostatné mesiace a akousi osobnou pomstou je vopred vylúčená: „Ondrej Cerovský“ poskytoval Aktualitám kvalitné materiály dávno pred Kuciakovou smrťou a Radovan Bránik ešte oveľa dlhšie, keď boli vzťahy vynikajúce. Výhrada, že pseudonym bol využívaný zo strachu pred tou bandou neobstojí tiež: išiel som proti nim nekompromisne a verejne dávno pred Kuciakovou smrťou a robím tak s ešte väčšou intenzitou aj teraz.
Akémukoľvek alternatívnemu médiu, ktoré by rado využilo túto hlúpu situáciu už vopred hovorím nie. Ponúk už bolo niekoľko a každú z nich vopred odmietam. Z blata do kaluže sa mi rozhodne nechce. Nenechám sa odstrčiť tam, kde by ma radi videli, aby mohli každú budúcu výhradu vybaviť smutným povzdychom, aká je škoda, že sa zo mňa stal konšpirátor. Nestal.
Zariadim sa inak. A dokončím sľúbené za každú cenu. Inde.
Zdroj: Radovan Bránik