Służby legalnie włamią się do twojego routera. Tak chcą rozbroić obcy wywiad

Kanadyjskie służby dostały zgodę na włamywanie się do prywatnych routerów, serwerów i urządzeń domowych, jeśli te zostały przejęte przez obce botnety. Oficjalnym celem nie jest jednak szpiegowanie obywateli, lecz rozbrojenie cudzej infrastruktury ukrytej w kanadyjskich domach i firmach.

Domowy router, kamera, rejestrator, telewizor albo inne urządzenie podłączone do internetu może zostać przejęte bez wiedzy właściciela i włączone do botnetu. Jest to sieć zainfekowanych urządzeń, którymi napastnik steruje zdalnie. Dla użytkownika wszystko może wyglądać normalnie. Internet działa, kamera nagrywa, telewizor się włącza. Tyle że urządzenie po cichu wykonuje jeszcze cudze polecenia.

Takie urządzenia są dla obcych służb bardzo przydatne. Gdy atak na instytucję państwową albo infrastrukturę krytyczną wychodzi bezpośrednio z serwera za granicą, łatwiej go wykryć i zablokować. Zupełnie inaczej wygląda sytuacja, gdy ruch sprawia wrażenie, że pochodzi z przeciętnego domu, małej firmy czy zwykłego biura w Kanadzie. Wtedy jego wykrycie i powiązanie z prawdziwym sprawcą staje się znacznie trudniejsze.

Właśnie tak działają botnety oparte na routerach SOHO, czyli małych urządzeniach używanych w domach i w niewielkich firmach. Napastnik może wykorzystać je jako przekaźniki, punkty maskujące, narzędzia do skanowania, bramy do dalszych operacji albo elementy ataków DDoS. Właściciel routera może nie mieć pojęcia, że jego sprzęt stał się częścią cudzej operacji wywiadowczej.

Kanadyjski Sąd Federalny ujawnił decyzję, która pierwotnie zapadła w 2024 r. i została odtajniona dopiero teraz w wersji z licznymi zaczernieniami. Wynika z niej, że CSIS uzyskała nakaz pozwalający na użycie środków redukcji zagrożenia wobec dwóch znanych botnetów kontrolowanych przez zagranicznych przeciwników.

Służby chciały wejść technicznie w zainfekowane urządzenia i unieszkodliwić malware, zanim botnety zostaną użyte przeciwko kanadyjskim celom. Według sądu zagrożenie było poważne, a urządzenia mogły zostać skierowane do sondowania, atakowania i potencjalnego zakłócania infrastruktury krytycznej.

To bardzo duża zmiana podejścia. Państwo nie ogranicza się już do apeli w stylu: zaktualizuj router i zadbaj o bezpieczeństwo. Coraz częściej wychodzi z założenia, że jeśli urządzenie zostało przejęte przez obcych hakerów i może stanowić zagrożenie dla bezpieczeństwa kraju, służby powinny mieć możliwość jego unieszkodliwienia – oczywiście za zgodą sądu.

Największa obawa jest tu chyba oczywista. Jeśli służba może włamać się do prywatnego routera, to czy może też podejrzeć, co robi właściciel? Czy zobaczy strony, wiadomości, kamery, pliki, hasła albo tożsamość domowników? Właśnie dlatego sądowe ograniczenia są tu kluczowe.

W odtajnionym uzasadnieniu podkreślono, że działania mają być skierowane przeciw urządzeniom i malware, a nie przeciw właścicielom. CSIS nie ma ustalać tożsamości osób, których urządzenia zostały przejęte. Przypadkowo zebrane dane osobowe mają być niszczone, a treści komunikacji wysyłanej i odbieranej przez użytkowników nie mają być przechwytywane.

To brzmi całkiem rozsądnie, ale nie oznacza, że temat jest zamknięty. Samo to, że państwo może dostać zgodę na wejście do prywatnych urządzeń, budzi pytania i pewnie jeszcze długo będzie budzić emocje. Dużo zależy od tego, jak takie działania są kontrolowane, kto je nadzoruje i czy z czasem podobne uprawnienia nie zaczną być wykorzystywane w coraz szerszym zakresie.

Zgoda sądu była potrzebna właśnie dlatego, że planowane działania mogłyby w normalnych okolicznościach naruszać przepisy karne. Mówiąc prościej: państwo samo przyznało, że usuwanie malware z cudzych urządzeń nie jest zwykłą procedurą administracyjną. Z technicznego punktu widzenia może to wyglądać jak włamanie.

Przeczytaj także:

Dopiero zgoda sądu sprawia, że taka operacja staje się legalna. Służby mają wtedy jasno określone ramy działania: wiadomo, co wolno im zrobić, czego nie mogą robić, jak długo mogą działać i w związku z jakim zagrożeniem. W kanadyjskiej sprawie pierwszy nakaz obowiązywał przez 120 dni, a następnie został przedłużony o kolejne 120 dni.

*Źródło zdjęcia wprowadzającego: Brett Sayles, Pexels