Předmluva

• OS
  • Operační systém, software, na kterém bezi jiný software.
• Android
  • Operační systém od společnosti Google, Inc. pro chytré telefony.
• GOS
  • GrapheneOS, zkratka pro tento OS založený na OS Android
• LOS
  • LineageOS, zkratka pro tento OS založený na OS Android.
  • LineageOS je založený na AOSP.
• AOSP
  • Android Open Source Project, jedná se o Android, který je "očištěný" od služeb Google a má v sobě pouze licenčně svobodné programy.
• Raspberry Pi
  • Raspberry Pi je jednodeskový počítač, zaměřený hlavně pro kutily.
  • Tento počítač má tzv. GPIO pinout, ke kterému lze připojit čidla a ty poté přímo z OS programovat.
• DDNS
  • Dynamic DNS, neboli dynamická domena.
  • Jedná se o domenu, kterou vam přideli nejaky poskytovatel (třeba freedns.afraid.org), který vam doménu aktualizuje periodicky, což se hodi, kdyz mate dynamickou IP adresu.
• Desktop Mode
  • v kontextu OS Android se jedná o funkcionalitu operačního systému, který umožňuje ovládat telefon připojený k počítačovému monitoru (společně s periferiemi jako myš a klávesnice) jako klasicky stolni počítač, byť s jinou filozofií ovládání.
  • Telefon se tak chová jako klasický stolní počítač, ačkoliv si ponechává své rozhraní pro dodatečnou funkcionalitu.
  • Jinymi slovy lze říci, že telefon plní funkci stolniho počítače i telefonu zároveň.
  • Subjektivně si myslim, že budoucnost výpočetní techniky půjde i tímto směrem.

Co předcházelo

V květnu 2022 jsem se po delší době používání svého tehdejšího telefonu Nokia 5 (Čistý Android) rozhodl k zakoupení nového přístroje, jelikož Nokia přestávala stačit mým potřebam, stejně tak i co se velikosti displeje týče.
Volba tehdy padla na Xiaomi Mi 11 Lite 5G, verze 8G/128G v černé barvě.

Společně s tím jsem pořídil i ochranné prvky, jako je ochranné sklo, pouzdra. Jinymi slovy snaha o to, aby telefon vydržel užívání v dalších letech.

Nicméně, nebylo to pouze o pozitivech.

Pomerně rychle jsem si zvykl na nové prostředí, s ním však přišly i věci jinak mě neznámé a kolikrát i "podezřelé". Jelikož Xiaomi je čínského "návrháře" (rozlišuji zde, že produkt je vyrobený v Číně / ČLR, kdo jej však navrhuje je pro mě subjektivně další entita), byly zde i aplikace, které jsem k dispozici mít nechtěl, místy to bylo i podivné chování OS.

Je pravdou, že krátce po koupi přišla slíbená aktualizace na Android 13, nicméně tím jinak nedůležité aktualizace ze strany výrobce (v tomto případě považuji jak fyzicky výrobce HW, tak i dodavatel OS) ustaly. Vlastně jedinými aktualizacemi - dodám, že pouze akutními, řešícími konkrétní bezpečnostní problém - byly pouze bezpečnostní.

Příchod Garmin Pay

Časem jsem se rozhodl si pořídit i chyté hodinky, jelikož jsem v té době rozhodl vyzkoušet si placení právě chytrými hodinkami.

První pokus byl s Xiaomi Watch 2. Paradoxní volba pro tohoto výrobce byla pro "čistý" operační systém s možností Google Wallet/Pay přímo v hodinkách.
Nicméně nepovedlo se mi tohoto docilit, hodinky při pokusu nahlásily chybu a odmítly platební kartu přidat. Původní způsob užití bylo "zpohodlnit" placení (při nástupu do MHD, v obchodě...). Už v té době jsem se snažil najít myšlenku "Jak separovat platby od (relativně permanentně) k datům připojeného telefonu. Dá se říci, že o sledování fyzického pohybu bankovními institucemi jsem tušil, nicméně čím dál více jsem měl potřebu toto oddělit. V této době (duben 2025) mi "stačilo", kdyz na domácí Wi-Fi jednorázově sesynchronizuji peněženky.

Ač se mi Xiaomi Watch 2 líbily, vrátil jsem je zpět a rozhodl se jít cestou Garmin Forerunner 255, společně s Garmin Pay.

Záhy jsem zjistil, že hodinky od Garminu nejenže nabídly styl placení, který jsem hledal, ale také možnost si napsat vlastní program. Garmin jako takový má sice uzavřený systém, nicméně má k němu k dispozici SDK (Software Development Kit, sadu programu na vývoj softwaru pro daný produkt, zjednodušeno), což mi otevřelo cestu časem i k tomu si naprogramovat vlastní "statistiky" k jednomu mému oblíbenému sportu/relaxaci.

Lze tedy říci, že Garmin vyřešil nejen problém v té době pro mě aktuální, ale přidal mi do života i možnost žít aktivněji s možností si to sledovat.

Závěrem, mé současné hodinky mi doporucil člověk jménem Valentino Hesse, čímž mu za doporučení chci poděkovat i formou tohoto textu.

Nástup VPN

V pozdějších fázích, asi tak rok před změnou jsem ve zvýšeném měřítku začal užívat domácí VPN. Konkretne jsem na svoji Raspberry Pi 3. generace (verze B) nastavil WireGuard. Jelikož už v té době jsem měl na své DDNS i certifikát přes LetsEncrypt, vlastnictví VPN dávalo smysl, hlavně kvůli bezpečnosti týkající se bankovních aplikací.

S nástupem a nastavením VPN se trochu pojí i nová filozofie užívání telefonu. Na Xiaomi jsem si všiml tzv. "sekundárního prostoru", přeloženě jde o jiný profil/uživatele na stejném telefonu. Telefon s touto funkcionalitou se chová, jako kdyby byl právě čerstvě nainstalován / zapnut, de facto jde o stejné prostředí. Výhodou tohoto prostředí je možnost mít separované aplikace (takže třeba "normální" profil bez bankovních věcí a "bankovní" profil s bankovními aplikacemi různých bank, aplikace na nákup, popřípadě komunikátory se separovaným účtem).

S tímto se však pojí vyšší nároky na baterii telefonu, jelikož "klasický" Android / LineageOS / AOSP "neumí" ukončit profil, kdyz není potřebný. Znamená to tedy, že profil běží na pozadí i nadále (což není vždy nevýhoda). Nezřídka se stávalo, že i po jedné cestě do obchodu telefon dokázal "propálit" i 20 %. To sice na cestu tam i zpět stačilo, místy bylo však užívání s ohledem na maximální dostupnost náročné, což ne vždy bylo příjemné, zvláště při delších cestách.

Od ledna 2026 jsem začal řešit, čím Xiaomi Mi 11 Lite 5G nahradím.

Google Pixel 10 Pro XL

Postupne jsem začal zkoumat specifikace různých telefonu, co by daný přistroj měl umet. V zasade jsem měl tyto požadavky:

• Profiling (rozšířená forma "sekundárního prostoru" od Xiaomi, alespoň 2 profily), ideálně s možností daný profil ukončit,
• Always-On VPN (čili zablokování veškerého provozu, není-li VPN aktivní)
• Dual-SIM (historicky mám více SIM karet, které i do dnešního dne udržuji v "provozu")
• větší display (hodně dobré zkušenosti u Xiaomi Mi 11 Lite, který měl velký display)
• Na základě zkušeností u Xiaomi i dlouhodobá podpora výrobce/dodavatele OS.

Volbou po cca 4 měsících, rešeršovaného výzkumu i za pomocí jazykových modelů (Gemini, ChatGPT) v několika instancich (tímto mám na mysli opakované využití AI "Jaký telefon? Zde jsou mé požadavky"), tak i dotazování různých diskusních fór jsem dospěl ke konečnému závěru, kterým se stal Google Pixel 10. generace, verze Pro, velikost XL. Formalním jménem "Google Pixel 10 Pro XL 16/256 GB".

Telefon jsem se rozhodl po delším váhání objednat a jelikož jsem v té době měl i členství v jednom větším internetovém obchodě, definitivně jsem se rozhodl pro koupi, konkretně zelené verze "Jade", která mi "zapadala do korporatního stylu".

Lze říci, že další den mi byl telefon doručen a já se tak mohl začít radovat z nového stroje. Samozřejmě, pro maximalni ochranu nového stroje jsem i jako v případě Xiaomi Mi 11 Lite přiobjednal ochranné prvky.

GrapheneOS

Zjednoduším-li to, Pixel jsem si neobjednal pouze jako náhradu, ale i jako cilený důvod. Už asi 2 měsíce před koupí jsem měl povedomí o operačním systému "GrapheneOS", který oproti standardnímu Androidu nabízel i od základu přeimplementovanou funkcionalitu týkající se bezpečnosti a soukromí.

I to byla součást mého předchozího rešeršovaného vyhledavání, který OS chci použít. Ano, jinymi kandidaty byla i Motorola, nicméně některé funkce jako GrapheneOS nenabízela a byť s autory GrapheneOS uzavřela partnerství na oficiálního dodavatele hardware (tím rozumím telefony), první přístroje od Motoroly mající jako OS GrapheneOS nebudou k dispozici dříve, než v roce 2027.

Funkcionalita společná a rozdilná

Jednou z motivaci pro nový telefon byla i funkcionalita tzv. "Desktop Mode", která se předchozích verzích Androidu objevovala pouze od výrobce Samsung, tzv. "DeX". Jiná varianta - která hovořila i v prospěch dříve zmíněné Motoroly - byl "Smart Connect", nicméně důvodem pro Pixel (a později i GrapheneOS) byly aktualizace operačního systému samotného.

"Zakladní" Android

Desktop Mode

Základní Android - záleží zde i na hardwaru telefonu - funkcionalitu Desktop Mode umí. Předchůdcem jím bylo USB OTG (USB On-The-Go), což je možnost připojit USB flash do telefonu a zacházet s ním podobným stylem, jako kdyby šlo o počítač, stejně tak ovladaní přes klávesnici a myš.
Desktop Mode přidává DisplayPort Alt Mode přes USB-C, která vyjma datového/ovladacího přenosu přenáší i obrazové data možné zobrazit právě na externím monitoru. Je to umožněné tzv. propustností rozhranní, v tomto případě USB-C.

Aktualizce

Ač společnost Google má snahu o snižovaní tzv. e-waste (elektronický odpad), ne každý výrobce je tomu nakloneň. Ano, stále jde o výdělek, nicméně funguje-li telefon i po své moralní zastaralosti, výrobce zpravidla nechce poskytovat opravy jinak starým strojům.

Řada Pixel od Google má v tomto případě jinou filozofii, jelikož jde o "vlajkové lodě" pro Android, filozofie aktualizaci je zde jiná a mnohem otevřenější k tomu udržet stroj v aktuálním stavu, jelikož hardware je poměrně schopný.

Rozdíl GrapheneOS oproti "základu"

Co se GrapheneOS týče, většína funkcí je v tomto systému oproti zakladnímu OS Android zachována, nicméně GrapheneOS má zaměření hlavně na bezpecnost.
Velkým rozdilem je zde nejen Always-On VPN (formalně dostupná již od verze Androidu 7/8), nicméně společně s profilovaním (které oproti zakladu má funkci cíleného vypnutí) je možnost zablokovat veškerý síťový provoz, neběží-li VPN na pozadí.

Toto je především zajímavé, má-li uživatel domácí VPN.

Základní Android nabízí aplikacím tzv. "pískoviště", nicméně v GrapheneOS je této funckionalitě věnována mnohem větší pozornost po stránce zabezpečení a soukromí. Lze i v určitých ohledech aplikaci dovolit, kam bude moci pristupovat (což je hodně zajimavé u některých aplikací typu Messenger od Meta, stejně tak WhatsApp).

Dále je hodně zajimavé - především s užitím vypínatelného profilu - právě pro bankovní aplikace, kdy nejenže dovolíte této aplikací běžet explicitně pouze tehdy, kdy je potřeba, ale také donutíte její provoz jít třeba přes vaši domácí síť. Lze tak říci, že telefon máte elektronicky stále připojený přes síťový prvek, kterému důvěřujete (což o "datech" - datovému připojení přímo z telefonu platí dvojnásob).

Jinou variantou jsou i aplikace, které chcete mít "zamknuté" za specialním heslem a dostupné pouze a pouze majiteli přístroje.

Post Scriptum ke GrapheneOS

Mám-li v krátkosti udělat výtah, lze říci, že GrapheneOS jsem na svůj Pixel 10 Pro XL nainstaloval v podstatě hned druhý den po přijetí telefonu. Možnost vyzkoušet si zakladní OS přímo od Google jsem zde moc nevyužil, jelikož i přes vlastnictví nového telefonu (a s tím spojenym "WOW" efektem) jsem měl jasný záměr.

Nicméně musím dodat, že byl by nějaký závažnější problém s GrapheneOS, příručka, respektive postup pro instalaci "sériového" Androidu je velmi jednoduchá. V zásadě stačí upravený webový prohlížeč, USB kabel do počítače a trocha času. Je to tedy změna lehce zvrátitelná a dívám se tedy na GrapheneOS s "mentalitou" "Lze to vrátit, bude-li třeba".

Vedlejší efekt na předchozím telefonu

Ač jsem zmínil, že Pixel 10 Pro XL s GrapheneOS se stal hlavním "tažným koněm" mobilního života, otevřelo mi to možnost si "hrát" do té doby s "produkčním" telefonem od Xiaomi.

Měl jsem povědomí, že telefony od Xiaomi - nachází-li se na uzemí Evropské Unie - lze tzv. odemknout a nainstalovat jiný operační systém, v mem případě LineageOS / LOS. Je to forma AOSP, která v sobě nemá predinstalované aplikace od spolecnosti Google a i daného výrobce/návrháře. Jedná se tak o "De-Googled" software, místy i "de-bloated" systém.

Učinil jsem tak a telefon jsem začal užívat jako "záložní". Ač LineageOS podporu pro vypínání profilů nemá, Always-On VPN funkcionalita je zde také přitomna a lze ji užít podobným způsobem, jako na GrapheneOS.

Kdyz zmíním paradox, že Xiaomi Mi 11 Lite 5G po instalaci LineageOS "ožilo", nebudu daleko od pravdy. Pominu-li některé funkcionality řešitelné externě, telefon je plně funkční a stačilo by jej prodat s poznamkou "Toto nefunguje, je to záměr nikoliv můj, ale dodavatele systému".

Přislušenství k telefonum přidané

V kratkosti zde zminím i "obnovu" přislušenství pro oba přístroje. Puvodní, originální nabijecí adaptér pro Xiaomi postupně ztrácel na výkonu, rozhodl jsem se tedy - i s ohledem na pracovní Samsung Galaxy S25 - vyzkoušet si bezdrátové nabíjení, které jsem doteď neměl možnost využít.

Postupne volba padla na nejen GaN nabíjecí adaptér (vzhledem k dobrým referencím jsem užil "AlzaPower Ultímate X500 67W"), tak nabíjecí "puk" "AlzaPower WQT110" s podporou Qi2.

Jelikož jsem 3Dtiskař a 3Dmodelář, návrh a 3Dtisk stojánku přímo pro tento puk (zohledňuící proporce i slabší "MagSafe" u Samsungu Galaxy S25) byl logickym krokem.

Paradox s ohledem na bezpečnost aktualizovaného OS Android

Dostavám se tímto do poslední kapitoly, kde budu řešit a pokládat otázky, na které nejspíše nedostanu odpovědi.
Jakožto člověk IT-znalý (pro kontext, pracuji jako automation engineer, server administrator a on-call ve větší IT firmě) vnímám paradox, kdy výrobcem dodaný software má "certifikaci" pro určité funkce - v tomto případě třeba Google Wallet. Funkcionalitu Tap-n-Pay zde musím nahrazovat právě Garmin Pay.

Lze se na to i dívat z jiného úhlu pohledu, kdy platba hodinkami je paradoxně bezpečnější (NFC čip v hodinkách je jinak vypnut, zapíná se pouze, když uživatel funkci pro placení explicitně zapne v daný okamžik).

To platí jak pro GrapheneOS, tak pro LineageOS.

Telefony, obecně systémy (jak Android, tak i Debian, Arch Linux) se snažím držet v aktualním stavu a nezřídka si sám zajišťuji i aktualizace / opravy.

Otázka - kterou si kladu - je "Proc je alternativní systém jinak pravidelně aktualizovaný méně bezpečný, než zastaralý systém dodaný výrobcem, který nemá dalšího důvodu se o daný přistroj / hardware starat?"

Narážím tak na paradox, kdy i pravidelně aktualizovaný - ale necertifikovaný - software je bezpečnější, než jinak "certifikovaný" software od výrobce, který se rozhodl od určitého data aktualizace nedodavat. Pokud telefon nadále funguje, proč jeho funkcionalitu ořezávat, když by to samé mohl zvládat i dalších - dejme tomu - 5 let a tím tak ještě více "rozprostřít" náklady na iniciální pořízení?

Závěrem

GrapheneOS byl cílem snažení nejen o na to najít soukromí ve světě stále více a více připomínající 1984, ale také i tom, že jinak morálně zastaralé přístroje mají i nadále svůj důvod existovat.

Mým pohledem GrapheneOS - byť s určitými nedostatky, které jsem akceptoval - plní přesně to, co jsem od něj očekával, tedy nabídnout alespoň soukromí ve světě, kdy je každý krok monitorován.

Jako přidaným benefitem i nabídnout funkcionalitu, která by v roce rozmachu informačních technologií na začátku 21. stoleti mohla působit jako sci-fi - mít skoro plnohodnotný počítač ne v batohu, ale přímo v kapse.

Galerie

| Nabíjecí stojánek pro Qi2 wireless | "Dockovací" stanice s užitím 3Dtisku |
| | |

The post GrapheneOS, poznatky z užívání first appeared on Hard Wired.

Google Dorks: Pokročilé vyhledávání pro vývojáře a bezpečnostní experty

Google Dorks představují jednu z nejsilnějších technik pro pokročilé vyhledávání informací na internetu. Tyto specializované vyhledávací dotazy využívají pokročilé operátory k odhalení specifických dat, která běžné vyhledávání často přehlédne. Pro vývojáře, bezpečnostní analytiky a IT specialisty představují neocenitelný nástroj pro průzkum digitálního prostoru.

Co jsou Google Dorks?

Google Dorks, známé také jako Google Dorking nebo Google Hacking, jsou pokročilé vyhledávací techniky, které využívají specializované operátory k vyhledání konkrétních informací v Googleově indexu. Tyto techniky byly poprvé představeny v roce 2002 bezpečnostním expertem Johnnym Longem a od té doby se staly standardním nástrojem v oblasti kyberbezpečnosti a OSINT (Open Source Intelligence).

Princip fungování

Google Dorks fungují na principu kombinování specifických vyhledávacích operátorů s cílenými klíčovými slovy. Místo širokého vyhledávání témat pomáhají Google Dorking příkazy zpřesnit výsledky a odhalit obsah, který nemusí být snadno dostupný prostřednictvím standardních vyhledávacích dotazů.

Příklad běžného vyhledávání:

login page security

Výsledek: Miliony obecných stránek o bezpečnosti přihlašovacích stránek

Příklad Google Dork:

intitle:"login" filetype:php site:company.com

Výsledek: Konkrétní PHP soubory s "login" v názvu na doméně company.com

Jak Google indexuje informace

Google jako vyhledávač prochází web pomocí crawlerů (robotů), kteří indexují obsah webových stránek. Tento proces zachytává nejen veřejně dostupný obsah, ale někdy i:

• Špatně nakonfigurované servery - zobrazující adresářové struktury
• Zapomenuté soubory - staré backupy, logy, konfigurační soubory
• Vývojářské materiály - testovací stránky, dokumentace
• Citlivá data - neúmyslně exponovaná v nesprávných lokacích

Praktický příklad:
Představte si vývojáře, který omylem nahrál konfigurační soubor database.config do veřejné složky. Standardní uživatel tento soubor nenajde, ale Google Dork může:

filetype:config "database" "password" site:targetsite.com

Hlavní výhodou Google Dorks je schopnost přistupovat k informacím, které nejsou snadno dostupné prostřednictvím standardního vyhledávání. Google jako indexovací služba organizuje webový obsah způsobem, který umožňuje přístup k těmto specializovaným dotazům, včetně oblastí typicky nepřístupných běžným uživatelům.

Základní Google Dork operátory

Operátory pro filtrování obsahu

Detailní vysvětlení základních operátorů

Operátor site:

Tento operátor je jedním z nejpoužívanějších a nejbezpečnějších. Umožňuje omezit vyhledávání pouze na konkrétní doménu nebo subdoménu.

Základní syntaxe:

site:domain.com "vyhledávaný termín"

Praktické příklady:

# Vyhledání všech PDF souborů na GitHubu
site:github.com filetype:pdf

# Hledání bezpečnostních advisories na konkrétní doméně
site:company.com "security advisory"

# Vyhledání všech subdomén
site:*.company.com

# Vyloučení hlavní domény, pouze subdomény
site:*.company.com -site:company.com

Reálný příklad výstupu:

site:stackoverflow.com "python security"
→ Vrátí: 
- https://stackoverflow.com/questions/python-security-best-practices
- https://stackoverflow.com/questions/secure-python-coding
- https://stackoverflow.com/questions/python-cryptography-libraries

Operátor filetype: a ext:

Tyto operátory jsou identické a umožňují vyhledávání konkrétních typů souborů.

Podporované formáty:

• Dokumenty: pdf, doc, docx, xls, xlsx, ppt, pptx, txt, rtf
• Archivy: zip, rar, tar, gz
• Konfigurace: xml, json, config, ini, cfg
• Skripty: php, asp, jsp, py, js
• Databáze: sql, db, mdb

Praktické příklady:

# Vyhledání Excel souborů s finančními daty
filetype:xlsx "budget" "quarterly"

# Konfiguračí soubory s hesly
filetype:config "password" OR "pwd"

# SQL soubory s dump daty
ext:sql "CREATE TABLE" "INSERT INTO"

# Presentation soubory o bezpečnosti
filetype:ppt OR filetype:pptx "cybersecurity" "presentation"

Operátor intitle:

Vyhledává konkrétní termíny v HTML značce <title> stránky.

Syntaxe a příklady:

# Základní vyhledávání
intitle:"admin panel"

# Kombinace s dalšími operátory
intitle:"login" site:company.com

# Vyhledání chybových stránek
intitle:"error" OR intitle:"not found" site:target.com

# Specifické aplikace
intitle:"phpMyAdmin" "Welcome to phpMyAdmin"

Nebezpečné kombinace pro testování:

# Exponované admin panely
intitle:"Admin Panel" OR intitle:"Administration"
intitle:"Control Panel" login
intitle:"Dashboard" password

# Databázové rozhraní
intitle:"phpMyAdmin" "running on"
intitle:"Adminer" "Database"

# Webové shelly
intitle:"Shell" "Command"
intitle:"Terminal" "Execute"

Operátor inurl:

Vyhledává termíny přímo v URL adrese stránky.

Bezpečnostní aplikace:

# Potenciálně zranitelné skripty
inurl:"admin.php"
inurl:"login.asp"
inurl:"config.php"

# SQL injection cíle
inurl:"php?id="
inurl:"product.php?id="
inurl:"news.php?article="

# File inclusion vulnerabilities
inurl:"include="
inurl:"page="
inurl:"file="

# Directory traversal
inurl:"../"
inurl:"path="

Pokročilé kombinace operátorů

Operátor allintitle:

Na rozdíl od intitle:, který hledá každý termín samostatně, allintitle: vyžaduje všechny termíny v názvu stránky.

# Všechny termíny musí být v názvu
allintitle:admin panel login

# Ekvivalent s intitle:
intitle:admin intitle:panel intitle:login

Operátor allinurl:

Podobně jako allintitle:, ale pro URL adresy.

# Všechny termíny v URL
allinurl:admin config php

# Ekvivalent s inurl:
inurl:admin inurl:config inurl:php

Operátor allintext:

Všechny termíny musí být v textu stránky.

# Vyhledání dokumentů s konkrétními termíny
allintext:confidential internal memo salary

# Hledání citlivých informací
allintext:password username database connection

Logické operátory a speciální znaky

Logické operátory

AND operátor

site:facebook.com & site:twitter.com

OR operátor

site:facebook.com | site:twitter.com

Kombinace operátorů

(site:facebook.com | site:twitter.com) & intext:"login"

Speciální znaky

*Wildcard ()**
Hvězdička slouží jako zástupný znak pro neznámé nebo proměnné slovo:

site:*.gov "confidential"

Uvozovky ("")
Vyhledávají přesnou frázi:

"error message" site:stackoverflow.com

Minus (-)
Vyloučí výsledky obsahující zadané slovo:

site:github.com -site:gist.github.com

Plus (+)
Zajistí zahrnutí konkrétního termínu:

+python +security site:*.edu

Praktické využití pro vývojáře

Vyhledávání zdrojového kódu a konfigurace

Analýza konfigurací a citlivých souborů

Konfigurační soubory:

# Web.config soubory (ASP.NET)
filetype:config inurl:web.config
# Výsledek: Exponované web.config soubory obsahující connection strings

# Database konfigurace
filetype:config "database" "password" 
# Reálný příklad nálezu:
# <connectionStrings>
#   <add name="DefaultConnection" connectionString="Data Source=server;Initial Catalog=db;User ID=admin;Password=123456"/>
# </connectionStrings>

# Environment soubory (.env)
filetype:env "DB_PASSWORD" | "API_KEY" | "SECRET_KEY"
# Typický nález:
# DB_PASSWORD=supersecretpassword
# API_KEY=sk-1234567890abcdef
# JWT_SECRET=myverysecretjwtkey

# Application.properties (Java Spring)
filetype:properties "spring.datasource.password"
# Příklad:
# spring.datasource.url=jdbc:mysql://localhost:3306/mydb
# spring.datasource.username=root
# spring.datasource.password=admin123

Backup a dočasné soubory:

# SQL dump soubory
filetype:sql "CREATE TABLE" "INSERT INTO"
# Může odhalit:
# CREATE TABLE users (id int, username varchar(50), password varchar(255));
# INSERT INTO users VALUES (1, 'admin', 'md5hashhere');

# Backup soubory
filetype:backup | filetype:bak | filetype:old
intitle:"index of" "backup"

# Dočasné vývojářské soubory
filetype:tmp | filetype:temp "test" | "debug"
"test.php" | "debug.php" | "temp.php"

Git a verzovací systémy

Exponované .git adresáře:

# .git konfigurace
intitle:"index of" ".git"
inurl:".git" filetype:config

# Konkrétní Git soubory
inurl:".git/config"
inurl:".git/HEAD"
inurl:".git/logs/"

# Reálný příklad nálezu v .git/config:
# [core]
#     repositoryformatversion = 0
# [remote "origin"]
#     url = https://username:password@github.com/company/secret-repo.git

API klíče ve veřejných repozitářích:

# GitHub hledání API klíčů
site:github.com "api_key" | "apikey" | "api-key"
site:github.com "secret_key" | "secretkey" 
site:github.com "private_key" BEGIN RSA PRIVATE KEY

# Specifické služby
site:github.com "aws_access_key_id"
site:github.com "SLACK_TOKEN" | "slack_api_token"
site:github.com "stripe_api_key" | "sk_live_"

# Reálný příklad nálezu:
# const API_KEY = "AIzaSyDXXXXXXXXXXXXXXXXXXXXXXXXXXXX";
# const STRIPE_SECRET = "sk_live_xxxxxxxxxxxxxxxxxxxx";

Analýza konkurence a research

Technologické zásobníky

Zjištění používaných technologií:

# Server technologie
site:competitor.com "powered by" | "built with" | "running on"
# Typické nálezy:
# "Powered by WordPress 5.8"
# "Built with React.js"
# "Running on Apache/2.4.41"

# Framework detekce
site:competitor.com "/wp-content/" | "/drupal/" | "/joomla/"
site:competitor.com "django" | "flask" | "laravel" | "symfony"

# CDN a služby
site:competitor.com "cloudflare" | "amazonaws" | "azure" | "googleapis"

Error stránky odhalující architekuru:

# Chybové zprávy serveru
site:competitor.com "500 Internal Server Error" | "404 Not Found"
site:competitor.com "Apache Tomcat" | "nginx" | "IIS"

# Databázové chyby
site:competitor.com "MySQL" "error" | "PostgreSQL" "error"
site:competitor.com "Warning: mysql_" | "Fatal error:"

# Reálný příklad chybové zprávy:
# Fatal error: Uncaught Error: Call to undefined function mysql_connect() 
# in /var/www/html/includes/database.php:15
# Stack trace: ...

Strategický business intelligence

Finanční a business dokumenty:

# Výroční zprávy
site:competitor.com filetype:pdf "annual report" | "výroční zpráva"
site:competitor.com filetype:pdf "investor" "presentation"

# Ceníky a obchodní podmínky
site:competitor.com filetype:pdf "price list" | "ceník" | "pricing"
site:competitor.com "terms of service" | "obchodní podmínky"

# Interní dokumenty (omylem publikované)
site:competitor.com filetype:doc | filetype:docx "confidential" | "internal"
site:competitor.com filetype:ppt | filetype:pptx "strategy" | "roadmap"

HR a personální informace:

# Organizační struktury
site:competitor.com filetype:pdf "organization chart" | "org chart"
site:competitor.com "employee directory" | "staff list"

# Job postings pro analýzu technologií
site:competitor.com "job" | "career" "python" | "java" | "react"
site:competitor.com "kubernetes" | "docker" | "aws" inurl:careers

Monitoring změn a aktualit

Novinky a press releases:

# Nedávné tiskové zprávy
site:competitor.com "press release" after:2024-01-01
site:competitor.com "announcement" | "oznámení" after:2024-01-01

# Partnership a spolupráce
site:competitor.com "partnership" | "collaboration" | "acquisition"
site:competitor.com "merger" | "investment" | "funding"

Vývojářský debugging a troubleshooting

Hledání řešení problémů

Stack traces a error logs:

# Specifické chybové zprávy
"java.lang.NullPointerException" site:stackoverflow.com
"TypeError: Cannot read property" site:github.com issues

# Python chyby
"Python" "traceback" "error" site:*.edu | site:github.com
"Django" "ImproperlyConfigured" site:stackoverflow.com

# JavaScript debugging
"Uncaught TypeError" "javascript" site:stackoverflow.com
"ReferenceError" "is not defined" site:github.com

Konfigurační problémy:

# Docker a kontejnerizace
"dockerfile" "error" "build failed" site:stackoverflow.com
"kubernetes" "deployment" "failed" site:github.com

# Database issues
"connection refused" "mysql" | "postgresql" site:dba.stackexchange.com
"timeout" "database" "connection pool" site:*.com

Bezpečnostní research

Vulnerability research:

# CVE hledání
"CVE-2024" "vulnerability" "exploit"
"security advisory" filetype:pdf after:2024-01-01

# Konkrétní technologie
"WordPress" "vulnerability" "RCE" | "SQL injection"
"Apache" "vulnerability" "remote code execution"

# Bug bounty a security research
site:hackerone.com "disclosed" "vulnerability"
site:github.com "security" "vulnerability" "POC" | "proof of concept"

Malware analysis:

# Hash values a IoCs
"MD5:" | "SHA1:" | "SHA256:" "malware"
"indicator of compromise" | "IoC" filetype:txt | filetype:csv

# YARA rules
"rule" "malware" filetype:yar | filetype:yara
"strings:" "condition:" site:github.com yara

Bezpečnostní aplikace

Identifikace vulnerabilit

Google Dorks jsou mocným nástrojem pro identifikaci bezpečnostních slabin:

# Exponované admin panely
intitle:"index of" admin
inurl:admin login

# Přístupné adresáře
intitle:"index of /" password
intitle:"index of" "parent directory"

# Databázové soubory
filetype:sql "INSERT INTO" site:target.com

# Backup soubory
filetype:bak site:target.com
intitle:"index of" backup

OSINT a digitální forensika

# Vyhledávání konkrétních uživatelů
"username" site:socialmedia.com

# Email adresy
"@company.com" -site:company.com

# Telefónní čísla a kontakty
"telefon" "+420" site:company.com

Ochrana před Google Dorking

Implementace robots.txt

User-agent: *
Disallow: /admin/
Disallow: /config/
Disallow: /backup/
Disallow: /*.sql$
Disallow: /*.config$
Disallow: /*.log$

Konfigurace .htaccess

# Zakázání indexování adresářů
Options -Indexes

# Ochrana citlivých souborů
<Files "*.config">
Order allow,deny
Deny from all
</Files>

<Files "*.log">
Order allow,deny
Deny from all
</Files>

Web Application Firewall (WAF)

Implementace WAF s pravidly pro detekci Google Dorking pokusů:

# Detekce podezřelých dotazů
"inurl:", "filetype:", "intitle:" v referrer hlavičkách

Etické aspekty a právní rámec

Používání Google Dorks musí být v souladu s etickými zásadami a právními normami:

Legální použití

• Bezpečnostní audity s povolením
• Výzkum a analýza veřejně dostupných dat
• Penetrační testování se souhlasem
• OSINT investigace

Problematické použití

• Obcházení autorizačních mechanismů
• Přístup k neoprávněným datům
• Porušování ochrany osobních údajů
• Komerční špionáž

Google Dorks Cheat Sheet

Nejpoužívanější kombinace

# Veřejné dokumenty
ext:(doc|pdf|xls|txt|rtf) intext:confidential
ext:(doc|pdf|xls) intext:"internal use only"

# Chybové zprávy s informacemi o systému
"SQL syntax error" site:target.com
"Warning: mysql_" site:target.com
"Fatal error:" site:target.com

# Exponované databáze
"phpMyAdmin" "Welcome to phpMyAdmin"
intitle:"phpMyAdmin" "running on"

# Citlivé adresáře
intitle:"index of" "parent directory" size
intitle:"Index of" wp-content/uploads/

# Login stránky
inurl:login.php
inurl:admin.php
intitle:"Admin Panel" login

Specifické pro bezpečnostní testování

# Testování SQL injection
inurl:"php?id=" site:target.com
inurl:"aspx?id=" site:target.com

# File inclusion vulnerabilities
inurl:"php?page=" site:target.com
inurl:"include=" site:target.com

# Directory traversal
inurl:"../" site:target.com

Automatizace a nástroje

Pro efektivní využití Google Dorks můžete použít specializované nástroje:

Command line nástroje

# Golang nástroj pro automatizaci
go install github.com/dwisiswant0/gork@latest

# Python skript pro batch vyhledávání
python google-dorker.py --target domain.com --threads 10

Bezpečnostní frameworky

• GHDB (Google Hacking Database) - největší databáze Google Dorks
• Recon-ng - framework s Google Dorks moduly
• theHarvester - nástroj pro OSINT s podporou Google Dorks

Budoucnost a trendy

Vývoj Google Dorks sleduje několik trendů:

Zvyšující se sofistikovanost

• Kombinace s umělou inteligencí
• Automatizované generování dotazů
• Integrace s dalšími OSINT nástroji

Obranné mechanismy

• Pokročilé detekční systémy
• Dynamické honeypots
• AI-powered anomálie detekce

Závěr

Google Dorks představují mocný nástroj pro každého, kdo potřebuje efektivně vyhledávat specifické informace na internetu. Pro vývojáře a bezpečnostní specialisty jsou nepostradatelné při auditu bezpečnosti, competitive intelligence a OSINT aktivitách.

Klíčem k úspěšnému využití je kombinace technických znalostí s etickým přístupem. Vždy dodržujte právní předpisy a používejte tyto techniky pouze pro legitimní účely. Pamatujte, že s velkou mocí přichází velká odpovědnost - Google Dorks vám umožní najít informace, které možná neměly být veřejně dostupné, ale jejich použití musí být vždy v souladu s etickými zásadami a právním rámcem.

Investice času do naučení se pokročilých vyhledávacích technik se rozhodně vyplatí a může výrazně zvýšit vaši efektivitu při práci s informacemi v digitálním prostředí.

The post Google Dorks: Pokročilé vyhledávání first appeared on Hard Wired.

Policejní Přístup k Šifrování: EU Schvaluje Kontroverzní Zákon

Podle Evropské komise nemá policie přístup k důležitým důkazům v 85 % vyšetřovaných případů kvůli šifrované komunikaci. Evropská unie proto plánuje zavést nový kontroverzní zákon, který by měl od příštího roku umožnit bezpečnostním složkám přístup k šifrovaným zprávám na populárních platformách jako WhatsApp a Messenger. Tento krok je především reakcí na nedávné teroristické útoky v Rakousku a Francii. Návrh však vyvolává vážné obavy o zachování soukromí desítek milionů evropských uživatelů, jelikož by znamenal vytvoření takzvaného "zadního vchodu" do šifrovacích systémů.

EU zavádí nový zákon umožňující policii číst šifrované zprávy

Evropský parlament společně s Radou EU nyní připravuje legislativu, která by umožnila bezpečnostním složkám přístup k šifrovaným zprávám. Tato iniciativa je součástí širší bezpečnostní strategie ProtectEU zaměřené na boj proti digitální kriminalitě. V prosinci 2020 Rada přijala usnesení o šifrování, ve kterém zdůrazňuje nutnost "zajistit bezpečnost prostřednictvím šifrování i bezpečnost navzdory šifrování".

Konkrétní návrhy počítají s několika možnými technickými řešeními. Jednou z možností je tzv. "client-side scanning", kdy by zprávy byly kontrolovány ještě před jejich zašifrováním přímo na zařízení uživatele. Další variantou je vytvoření "předních vrátek" (front-door) – právního rámce umožňujícího zákonný přístup k šifrovaným datům bez nutnosti diktovat konkrétní technické řešení poskytovatelům služeb.

V roce 2022 Evropská komise představila kontroverzní návrh nařízení proti šíření materiálů zobrazujících sexuální zneužívání dětí, přezdívaný také "chat control". Podle kritiků by toto opatření znamenalo plošné sledování soukromých zpráv, včetně těch na službách s koncovým šifrováním.

Současný vývoj situace

Belgické předsednictví nedávno stáhlo návrh na sledování online komunikace z jednání Rady EU, protože nezískal dostatečnou podporu. Nicméně místopředseda vlády Ivan Bartoš varoval, že "bitva skončila ve prospěch ochrany soukromí, ale válka u konce ještě není".

Důležitou roli v této diskusi hraje evropský inspektor ochrany údajů, který upozorňuje, že návrhy na oslabení šifrování mohou ohrozit demokratické hodnoty. Zástupci bezpečnostních složek naopak argumentují, že nemohou účinně bojovat proti závažné kriminalitě bez přístupu k digitálním důkazům.

Europoslanci vyzvali hlavy členských států, aby se zabývaly otázkou digitálních dat tak, "aby bylo možné legálně sbírat a využívat digitální důkazy" a současně "zaručit spolehlivost" služeb využívajících šifrování. Mluvčí Evropské komise ujistil, že EU hledá způsob, jak získat legální přístup k digitálním důkazům "aniž by bylo nutné zrušit či oslabit šifrování".

České ministerstvo vnitra již pracuje na implementaci směrnice EU 2023/977 o výměně informací mezi donucovacími orgány, což může souviset s připravovanými změnami v oblasti přístupu k šifrované komunikaci.

Technologické společnosti čelí dilema mezi bezpečností a soukromím

Poskytovatelé šifrovaných komunikačních služeb se ocitají na rozcestí mezi splněním požadavků evropské legislativy a zachováním bezpečnosti svých uživatelů. Návrhy EU na kontrolu obsahu konverzací by znamenaly buď prolomení šifrování, nebo vytvoření systému, který by umožnil bezpečnostním složkám přístup k zašifrovaným zprávám.

Alternativní komunikátory jako Signal, Threema a TeleGuard se k této problematice již vícekrát vyjádřily s jasným stanoviskem – pokud EU kontrolu chatů prosadí, raději by se z evropského trhu stáhly, než aby implementovaly požadované změny. Naopak WhatsApp zatím plány na kontrolu chatů veřejně nekritizoval, což odborníci přisuzují snaze udržet si dominantní pozici na trhu.

Navrhovaná řešení zahrnují metodu "exceptional access", kdy by poskytovatel komunikační služby přidal úřady jako dalšího, tajného účastníka sledovaného hovoru či chatu. Ačkoliv technicky nejde o předávání šifrovacích klíčů, i tato metoda v praxi znamená vytvoření zadních vrátek v komunikačních systémech.

Experti na kyberbezpečnost upozorňují na značná rizika:

• Zadní vrátka mohou být zneužita nejen státními orgány, ale i hackery
• Odstranění koncového šifrování by podkopalo základy důvěry v digitální komunikaci
• Systémy pro skenování obsahu by mohly být zneužity k politické kontrole

Je třeba poznamenat, že technologie kybernetického dohledu mohou mít legitimní využití, nicméně v rukou některých států se stávají nástrojem pro rozsáhlé porušování lidských práv a potlačování občanské společnosti. Proto podle zvláštního zpravodaje Rady OSN pro lidská práva by mělo být vyhlášeno moratorium na celosvětový prodej nástrojů sledování, dokud nebudou zavedeny lidskoprávní pojistky.

Situace vytváří pro technologické společnosti složité dilema – buď vyhovět požadavkům EU a riskovat ztrátu důvěry uživatelů, nebo zachovat silné šifrování a potenciálně ztratit přístup na evropský trh. Podle kritiků by v konečném důsledku mohlo dojít k situaci, kdy kromě WhatsAppu mnoho alternativ nezbude.

Experti varují před bezpečnostními riziky backdoorů

Bezpečnostní experti po celém světě opakovaně varují před závažnými riziky spojenými s implementací "zadních vrátek" do šifrovacích systémů. "Nic takového jako zadní vrátka, ke kterým mají přístup jen dobří lidé, neexistuje," upozorňuje odbornice Whittakerová, která zdůrazňuje, že v oblasti bezpečnosti šifrování neexistuje žádná střední cesta.

Navzdory pokročilým kryptografickým metodám nejsou šifrovací systémy zcela imunní vůči rizikům. Hrozby mohou vyplývat z:

1. Pokročilých metod prolomení algoritmů
2. Chybné implementace kryptografických nástrojů
3. Technologického pokroku

Zadní vrátka v praxi představují zranitelnost, kterou mohou využít nejen oprávněné orgány, ale i útočníci.

Microsoft oficiálně varuje, že i nejbezpečnější kryptografické algoritmy mohou být ohroženy, pokud jsou špatně implementovány. Společnost především doporučuje, aby veškerá důvěrná data byla přenášena přes protokol TLS (Transport Layer Security). Odborníci navíc zdůrazňují, že jakýkoliv systém umožňující výjimečný přístup dramaticky zvyšuje riziko zneužití.

V praxi již můžeme vidět, jak společnosti reagují na požadavky narušit šifrování:

• Apple například raději vypnul funkci koncového šifrování pro všechny britské uživatele, než aby implementoval slabiny požadované britskou vládou
• Signal zase otevřeně deklaroval, že "raději opustí trh, než by se podřídil něčemu, co by katastrofálně narušilo schopnost poskytovat soukromou komunikaci"

Zvlášť znepokojující je riziko, které představují kvantové počítače. Pokud dosáhnou dostatečné výkonnosti, budou schopny prolomit běžně používané algoritmy jako RSA a ECC během relativně krátké doby. To znamená, že současná diskuse o zadních vrátkách probíhá v době, kdy celá infrastruktura kryptografické ochrany čelí zásadním výzvám.

Podle zprávy Europolu dochází k výraznému nárůstu kybernetických útoků, přičemž organizovaný zločin se stále více přesouvá do online prostředí. V České republice byl v roce 2023 zaznamenán téměř dvojnásobný počet kybernetických útoků oproti roku 2022, celkem 262 incidentů. Z tohoto důvodu mnozí experti varují, že jakékoliv oslabení šifrovacích standardů může vést k ještě vyššímu počtu úspěšných útoků.

Závěr

Současná situace kolem šifrování komunikace představuje zásadní rozcestí pro digitální bezpečnost v Evropě. Především návrh EU na vytvoření přístupu k šifrovaným zprávám vyvolává oprávněné obavy odborníků i běžných uživatelů. Technologické společnosti proto čelí složitému rozhodování mezi zachováním bezpečnosti svých platforem a splněním legislativních požadavků.

Zkušenosti z minulosti jasně ukazují, že jakékoliv oslabení šifrovacích systémů může mít dalekosáhlé následky. Současně narůstající počet kybernetických útoků zdůrazňuje potřebu silného šifrování. Nicméně snaha EU o kontrolu digitální komunikace naznačuje, že soukromí uživatelů bude i nadále předmětem intenzivní debaty.

Závěrem lze říci, že řešení této komplexní situace bude vyžadovat pečlivé vyvážení mezi oprávněnými zájmy bezpečnostních složek a základním právem občanů na soukromí. Budoucnost šifrované komunikace v EU tak zůstává nejistá, přičemž následující měsíce ukážou, zda převáží argumenty pro zachování silného šifrování, nebo požadavky na větší kontrolu digitální komunikace.

The post EU zavádí nový zákon umožňující policii číst šifrované zprávy first appeared on Hard Wired.

ESP32: Backdooru v populárním čipu

Úvod

V posledních dnech se odbornou i laickou veřejností šířily znepokojivé zprávy o možném backdooru v čipu ESP32 od čínské společnosti Espressif. Vzhledem k tomu, že těchto čipů bylo celosvětově distribuováno přibližně miliarda kusů a nacházejí se v širokém spektru IoT zařízení, vyvolala tato informace značné obavy. Následující analýza objasňuje, co se skutečně zjistilo a proč se nejedná o závažné bezpečnostní riziko.

Co je ESP32?

ESP32 představuje tzv. "system on chip" (SoC) - kompletní mikrokontrolér integrovaný v jediném čipu o rozměrech přibližně 8×8 mm. Při maloobchodní ceně kolem 50 Kč nabízí mimořádný výkon a funkcionalitu:

• Velké množství vstupně-výstupních (GPIO) pinů pro připojení senzorů a ovládacích prvků
• Integrovanou podporu Wi-Fi a Bluetooth pro snadné připojení do sítě
• Podporu komunikačních standardů jako SPI, I2C, CAN-BUS a další
• Vynikající dokumentaci a vývojářskou podporu
• Příznivý poměr cena/výkon

Díky těmto vlastnostem se ESP32 stal dominantním čipem v oblasti IoT zařízení, chytrých domácností a řady dalších aplikací. Jeho hlavními konkurenty jsou některé čipy od Texas Instruments a pravděpodobně Raspberry Pi Pico 2TV.

Co bylo skutečně objeveno?

Na konferenci Rootcon konané 6.-8. března v Madridu prezentovali dva španělští výzkumníci objev nedokumentovaných příkazů v čipu ESP32. Tyto příkazy umožňují provádět některé nízkoúrovňové operace jako zápis do paměti nebo odesílání specifických Bluetooth paketů.

Je důležité zdůraznit, že existence nedokumentovaných příkazů je v hardwarových i softwarových řešeních běžná. Většina komplexnějších systémů obsahuje interní pomocné rutiny a metody, které nejsou určeny pro koncové uživatele, ale slouží k vnitřnímu fungování systému, ladění a podobným účelům.

Proč se nejedná o bezpečnostní riziko?

Klíčovým faktem je, že k využití těchto nedokumentovaných příkazů musí mít útočník již plnou kontrolu nad zařízením. To znamená:

1. Fyzický přístup k zařízení - Pro nahrání vlastního kódu do ESP32 je často nutné zařízení fyzicky rozebrat a připojit se k UART pinům na základní desce.

2. Překonání bezpečnostních mechanismů - ESP32 umožňuje implementaci kontroly digitálního podpisu firmware, kdy čip odmítne spustit kód, který není podepsán správným klíčem.

3. Harvardská architektura jako ochrana - Na rozdíl od běžných počítačů s von Neumannovou architekturou používá ESP32 harvardskou architekturu s oddělenou pamětí pro kód a data, což znesnadňuje spuštění škodlivého kódu.

Jak došlo k nedorozumění?

Společnost Tarlogic, mateřská organizace zmíněných výzkumníků, vydala původně bombastickou tiskovou zprávu hovořící o "ohrožení stovek milionů IoT zařízení". Tuto zprávu převzal server Bleeping Computer, který v titulku navýšil počet potenciálně ohrožených zařízení na miliardy. Následně se informace lavinovitě šířila dalšími médii.

Po bližším prozkoumání problematiky byly původní články staženy a přeformulovány, aby lépe odrážely skutečnou závažnost situace. Nicméně, původní senzační zprávy už stihly vyvolat značné obavy.

https://www.tarlogic.com/news/hidden-feature-esp32-chip-infect-ot-devices/
https://www.bleepingcomputer.com/news/security/undocumented-commands-found-in-bluetooth-chip-used-by-a-billion-devices/

Závěr

Používání čipu ESP32 je nadále bezpečné. Přítomnost nedokumentovaných příkazů nepředstavuje sama o sobě bezpečnostní riziko, protože k jejich využití je nutná plná kontrola nad zařízením, což by útočníkovi umožnilo i mnohem závažnější zásahy do systému bez ohledu na existenci těchto příkazů.

Bezpečnost zařízení s ESP32 závisí primárně na kvalitě jejich návrhu:

• Zařízení, která byla navržena s důrazem na bezpečnost, zůstávají bezpečná i nadále
• Zařízení s bezpečnostními nedostatky byla zranitelná již před tímto objevem

Uživatelé zařízení s ESP32 mohou tedy pokračovat v jejich používání bez obav a vývojáři mohou nadále implementovat tento čip do svých konstrukcí.

The post ESP32 neobsahuje backdoor first appeared on Hard Wired.

Masové sledování

Současná společnost čelí bezprecedentnímu rozvoji technologií umožňujících komplexní sledování a analýzu lidského chování. To, co bylo dříve doménou sci-fi literatury, se stává každodenní realitou. Moderní systémy sledování kombinují pokročilé technologie sběru dat, sofistikované algoritmy analýzy a rozsáhlé databáze, což umožňuje vytváření detailních profilů jednotlivců i celých populací.

Původní systémy sledování, zaměřené primárně na prevenci a vyšetřování závažné trestné činnosti, se postupně transformovaly v komplexní infrastrukturu umožňující monitoring prakticky všech aspektů lidského života. Tato transformace byla umožněna několika klíčovými faktory: dramatickým poklesem ceny technologií pro sběr a ukládání dat, vývojem pokročilých algoritmů pro analýzu velkých datových sad a především všudypřítomností digitálních zařízení generujících kontinuální proud dat o našich aktivitách.

Systémy státního sledování

Architektura plošného sledování

Moderní státní surveillance systémy jsou založeny na principu "sbírat vše". Tento přístup zahrnuje několik klíčových komponent:

Systémy pro plošný odposlech internetové komunikace využívají technologii Deep Packet Inspection (DPI) implementovanou přímo na úrovni páteřních sítí. Tato zařízení jsou schopná v reálném čase analyzovat veškerý procházející síťový provoz, identifikovat komunikační protokoly, extrahovat metadata a v případě nezašifrované komunikace i samotný obsah. Sofistikované algoritmy následně v těchto datech hledají předem definované vzorce podezřelého chování.

Metadata analýza představuje další kritickou součást sledovacích systémů. I když je samotný obsah komunikace šifrovaný, metadata odhalují kdo, kdy, s kým a jak dlouho komunikoval. Pomocí analýzy sociálních sítí (Social Network Analysis) lze z těchto dat rekonstruovat vztahy mezi sledovanými osobami a identifikovat klíčové uzly v komunikačních sítích.

Systémy masového sledování

Státní dohled

Státní orgány po celém světě budují rozsáhlé systémy sledování občanů. Argumentují přitom potřebou zajištění národní bezpečnosti a boje proti terorismu. Mezi hlavní nástroje patří:

• Plošné sledování internetové komunikace
• Monitorování telefonních hovorů
• Sledování finančních transakcí
• Biometrické databáze
• Systémy rozpoznávání obličejů
• Sledování pohybu pomocí mobilních zařízení
• Analýza sociálních vazeb

Biometrické sledování

Státní aparát významně investuje do rozvoje biometrických sledovacích systémů:

Technologie rozpoznávání obličejů dosáhla v posledních letech dramatického pokroku díky využití deep learning algoritmů. Moderní systémy dokáží identifikovat osoby v reálném čase i z nekvalitních záběrů, sledovat jejich pohyb napříč sítí kamer a automaticky flagovat podezřelé vzorce chování. Tyto systémy jsou implementovány nejen na letištích a hraničních přechodech, ale stále častěji i ve veřejném prostoru.

Behaviorální biometrie představuje další úroveň sledování. Tyto systémy analyzují charakteristické vzorce chování - způsob chůze, gestikulaci, hlas nebo dokonce tepovou frekvenci zachycenou na dálku. Kombinace těchto dat umožňuje jednoznačnou identifikaci osob i v případech, kdy není možné použít tradiční biometrické markery.

Korporátní sledování a datová ekonomika

Korporátní sledování

Technologické společnosti sbírají enormní množství dat o svých uživatelích:

1. Internetoví giganti

   • Google sleduje vyhledávání, pohyb po webu, polohu
   • Facebook analyzuje sociální vazby a chování
   • Amazon monitoruje nákupní zvyky
   • Microsoft sbírá data z operačních systémů a služeb

2. Telekomunikační společnosti

   • Záznamy o hovorech a SMS
   • Data o pohybu uživatelů
   • Metadata o internetovém provozu
   • Historie procházení webu

3. Finanční instituce

   • Historie transakcí
   • Platební vzorce
   • Kreditní historie
   • Finanční profily

Infrastruktura digitálního monitoringu

Korporátní sektor vyvinul mimořádně sofistikované metody sledování uživatelů. Základním stavebním kamenem je všudypřítomné sledování online aktivit:

Browser fingerprinting využívá unikátní kombinaci charakteristik prohlížeče (nainstalované fonty, pluginy, rozlišení obrazovky, časové pásmo atd.) k vytvoření jedinečného identifikátoru uživatele. Tento otisk je natolik specifický, že umožňuje sledování napříč různými webovými stránkami i v případě, že uživatel maže cookies nebo používá privátní režim prohlížení.

Tracking pixels a další prvky třetích stran jsou implementovány na většině webových stránek. Tyto nástroje nejen sledují pohyb uživatele po internetu, ale také analyzují jeho chování - dobu strávenou na stránkách, vzorce scrollování, pohyby myši a interakce s obsahem. Tyto data jsou agregována napříč různými weby a používána k vytváření detailních profilů uživatelů

Obrana proti sledování

Technická opatření

1. Anonymizace

   • Tor síť
   • VPN služby
   • Proxy servery
   • Anonymní e-maily
   • Decentralizované služby

2. Šifrování

   • End-to-end šifrování komunikace
   • Šifrování úložišť
   • PGP pro e-maily
   • Secure messaging aplikace

3. Blokování sledování

   • Ad blockery
   • Privacy badger
   • NoScript
   • Blokování telemetrie

Mobilní sledování a IoT

Smartphony a IoT zařízení představují kritickou součást korporátního sledování:

Mobilní aplikace kontinuálně sbírají data o lokaci uživatele, používaných aplikacích, kontaktech a dalších aktivitách. Tyto informace jsou často sdíleny s třetími stranami a používány k vytváření behaviorálních profilů. Zvláště významná je schopnost korelace dat z různých senzorů - například kombinace GPS dat s informacemi z akcelerometru a gyroskopu umožňuje velmi přesnou rekonstrukci aktivit uživatele.

IoT zařízení v domácnostech vytvářejí hustou síť senzorů monitorujících každodenní aktivity. Chytré spotřebiče, termostaty, osvětlení a bezpečnostní systémy generují detailní data o životním stylu obyvatel. Zvláště problematické jsou chytré asistenti jako Alexa nebo Google Home, které neustále naslouchají a mohou zachytit citlivé konverzace.

Technická implementace sledovacích systémů

Síťová infrastruktura

Moderní sledovací systémy jsou hluboce integrovány do internetové infrastruktury:

Na úrovni ISP probíhá systematický monitoring veškerého síťového provozu. Kromě DPI jsou implementovány sofistikované systémy pro analýzu DNS dotazů, SSL/TLS certifikátů a dalších metadata. Tyto systémy umožňují sledování i v případě použití šifrování, neboť samotná metadata často poskytují dostatečné informace pro identifikaci typu komunikace a jejích účastníků.

Backbone monitoring na úrovni páteřních sítí umožňuje zachytávání dat ve velkém měřítku. Specializované high-throughput systémy jsou schopné zpracovávat terabyty dat v reálném čase, přičemž sofistikované algoritmy automaticky identifikují podezřelé vzorce komunikace. Tato data jsou následně ukládána v masivních datových centrech pro pozdější analýzu.

Analýza a zpracování dat

Klíčovou součástí moderních sledovacích systémů je schopnost zpracovat a analyzovat obrovské množství zachycených dat:

Machine learning algoritmy jsou používány pro automatickou klasifikaci obsahu, identifikaci anomálií a predikci budoucího chování. Tyto systémy využívají kombinaci supervised a unsupervised learning přístupů, přičemž jsou kontinuálně trénovány na nových datech. Zvláště významné je využití deep learning modelů pro analýzu nestrukturovaných dat jako jsou obrázky, video nebo audio záznamy.

Natural Language Processing (NLP) systémy umožňují automatickou analýzu textové komunikace. Moderní NLP modely dokáží nejen identifikovat témata konverzace, ale také analyzovat sentiment, detekovat skryté významy a identifikovat potenciálně nebezpečnou komunikaci. Tyto systémy jsou často implementovány přímo na úrovni komunikačních platforem.

Legislativní rámec a legitimizace sledování

Evropská regulace

EU implementuje stále přísnější pravidla pro digitální prostor, která paradoxně mohou legitimizovat určité formy sledování:

Digital Services Act (DSA) zavádí povinné monitorování obsahu na online platformách. Pod záminkou boje proti dezinformacím a škodlivému obsahu jsou provozovatelé nuceni implementovat automatické systémy pro detekci a odstraňování "problematického" obsahu. Tyto požadavky de facto legitimizují masové sledování uživatelského obsahu.

Data retention direktivy vyžadují od telekomunikačních operátorů a ISP uchovávání rozsáhlých metadat o komunikaci svých uživatelů. Tyto data musí být na vyžádání dostupné bezpečnostním složkám, přičemž právní ochrana proti zneužití je často nedostatečná.

Národní legislativa

Jednotlivé státy rozšiřují pravomoci svých bezpečnostních složek v digitálním prostoru:

Nové trestné činy v kybernetické oblasti, jako například "činnost pro cizí moc" v České republice, rozšiřují možnosti postihu online aktivit. Tyto zákony často používají vágní definice a mohou být zneužity k omezování legitimních aktivit nebo k zastrašování aktivistů a novinářů.

Zpravodajské služby získávají stále širší pravomoci pro sledování digitální komunikace. Nová legislativa často legalizuje již existující programy masového sledování a současně omezuje možnosti právní obrany proti takovému sledování.

Budoucí trendy ve sledovacích technologiích

Umělá inteligence a strojové učení

Vývoj AI dramaticky rozšiřuje možnosti automatizovaného sledování:

Prediktivní analýza využívající pokročilé AI modely umožňuje s vysokou přesností předpovídat budoucí chování na základě historických dat. Tyto systémy jsou increasingly používány pro "preventivní" zásahy proti osobám, které algoritmus označí jako potenciálně problematické.

Computer vision systémy dosahují human-level performance v oblasti rozpoznávání obličejů a analýzy chování. Nové algoritmy dokáží identifikovat osoby i podle částečně zakrytého obličeje, nestandardního úhlu záběru nebo na základě charakteristické chůze.

Quantum Computing

Kvantové počítače představují významnou výzvu pro současné kryptografické systémy:

Schopnost prolomit současné šifrovací algoritmy znamená, že historická komunikace, která je nyní zachytávána a ukládána, může být v budoucnu dešifrována. Tento fakt motivuje bezpečnostní služby k masivnímu sběru šifrovaných dat.

Quantum machine learning algoritmy dramaticky zvýší schopnosti analýzy velkých datových sad. Tyto systémy budou schopné identifikovat subtle patterns v datech, které jsou pro klasické počítače neviditelné.

Implikace pro společnost a demokracii

Masové sledování fundamentálně mění povahu společenských vztahů a mocenských struktur. Vytváří asymetrický vztah mezi sledujícími a sledovanými, přičemž ti, kdo kontrolují sledovací systémy, získávají bezprecedentní moc nad ostatními.

Vzniká tzv. "chilling effect", kdy si lidé jsou vědomi neustálého sledování a preventivně omezují své chování, aby se vyhnuli potenciálním problémům. Tento efekt má významný dopad na svobodu projevu, politický aktivismus a obecně na schopnost společnosti diskutovat kontroverzní témata.

Digitální soukromí v době masového sledování: Pod dohledem systému

V současné digitální éře žijeme pod neustálým dohledem. Každý náš krok v online prostoru je sledován, zaznamenáván a analyzován. Technologické společnosti, vládní agentury a další subjekty shromažďují obrovské množství dat o našem chování, preferencích a vztazích. Tato масová surveillance se stává stále sofistikovanější a všudypřítomnější.

Nové formy kontroly

Digitální identita

Snahy o zavedení povinné digitální identity představují další úroveň kontroly:

• Propojení online a offline identity
• Povinné ověřování na sociálních sítích
• Biometrické přihlašování
• Centrální databáze občanů
• Sledování aktivit napříč platformami

Sociální kredit

Systémy sociálního kreditu, inspirované čínským modelem, se začínají objevovat i v západních zemích:

• Hodnocení "důvěryhodnosti" občanů
• Přidělování práv a privilegií podle skóre
• Automatické sankce za nežádoucí chování
• Propojení různých datových zdrojů
• Gamifikace společenského chování

Legislativní nástroje kontroly

Evropská unie

EU zavádí stále přísnější regulace internetového prostoru:

1. Digital Services Act (DSA)

   • Povinné monitorování obsahu
   • Rychlé odstraňování "škodlivého" obsahu
   • Vysoké pokuty pro platformy
   • Omezování anonymity
   • Povinné uchovávání dat o uživatelích

2. Další regulace

   • Povinná identifikace uživatelů
   • Omezování end-to-end šifrování
   • Rozšiřování pravomocí bezpečnostních složek
   • Povinné backdoory v komunikačních systémech

Národní legislativa

Jednotlivé státy přijímají vlastní zákony rozšiřující možnosti sledování:

• Povinné uchovávání metadat
• Rozšířené pravomoci zpravodajských služeb
• Nové trestné činy v kybernetické oblasti
• Omezování anonymity na internetu

Technické prostředky sledování

Sledování na úrovni sítě

1. Deep Packet Inspection (DPI)

   • Analýza veškerého síťového provozu
   • Identifikace typu komunikace
   • Sledování obsahu komunikace
   • Blokování nežádoucího obsahu

2. Metadata

   • Kdo s kým komunikuje
   • Kdy a jak dlouho
   • Z jaké lokace
   • Jaké služby využívá

Sledování koncových zařízení

1. Operační systémy

   • Telemetrie Windows
   • Sběr dat v Android a iOS
   • Sledování instalovaných aplikací
   • Monitorování aktivity uživatele

2. Prohlížeče

   • Historie procházení
   • Cookies a trackovací skripty
   • Fingerprinting prohlížeče
   • Sledování napříč weby

IoT a chytrá zařízení

• Chytré domácí spotřebiče
• Nositelná elektronika
• Chytré měřiče energií
• Domácí asistenti (Alexa, Google Home)

Behaviorální opatření

1. Minimalizace digitální stopy

   • Omezení sdílení osobních informací
   • Používání různých identit
   • Pravidelné mazání dat
   • Vyhýbání se centralizovaným službám

2. Bezpečné praktiky

   • Silná hesla
   • 2FA autentizace
   • Pravidelné aktualizace
   • Oddělení pracovního a osobního prostředí

Budoucí hrozby

Umělá inteligence

• Pokročilá analýza chování
• Prediktivní sledování
• Automatizované rozpoznávání vzorců
• Behaviorální profilování

Quantum Computing

• Prolomení současných šifer
• Masivní zpracování dat
• Nové možnosti sledování
• Potřeba kvantově odolného šifrování

Biometrické sledování

• Rozpoznávání obličejů
• Analýza chůze
• Hlasová biometrie
• DNA databáze

Konec digitálního soukromí v moderní době

Žijeme v době, kdy digitální technologie pronikají do všech aspektů našich životů. Nové regulace jako evropský Akt o digitálních službách (DSA) zavádějí přísnější pravidla pro online platformy s cílem zvýšit bezpečnost a omezit škodlivý obsah. Současně se však zvyšuje míra sledování online aktivit uživatelů, což vede k rostoucím obavám o digitální soukromí.

V reakci na tento vývoj vzrůstá mezi technicky vzdělanými uživateli zájem o nástroje a techniky pro ochranu digitálního soukromí. Tento trend odráží legitimní potřebu zachovat si určitou míru anonymity a kontroly nad vlastními daty v online prostoru. Uživatelé mají k dispozici širokou škálu legálních nástrojů, od šifrované komunikace přes bezpečné prohlížeče až po VPN služby.

Klíčovým faktorem je digitální gramotnost a vzdělávání. Poučení uživatelé mohou lépe chápat rizika online prostředí a činit informovaná rozhodnutí o ochraně svého soukromí. To zahrnuje kritické hodnocení služeb, které využívají, a pochopení, jaká data o nich sbírají. Technicky zdatní jedinci často volí pokročilá řešení pro zabezpečení své online komunikace a dat, což lze vnímat jako přirozenou reakci na rostoucí míru digitálního dohledu.

Jak připomíná Edward Snowden: "Argument 'nemám co skrývat' je stejný jako říct 'je mi jedno, co se stane se svobodou projevu, protože nemám co říct.'" Tento výrok podtrhuje důležitost zachování práva na soukromí v digitálním věku. Nejde přitom o snahu něco skrývat, ale o fundamentální právo na kontrolu nad vlastními osobními údaji a komunikací.

V současném komplexním digitálním prostředí je třeba hledat vyváženou cestu mezi oprávněnými bezpečnostními zájmy společnosti a ochranou osobních svobod jednotlivce. Rostoucí zájem o digitální soukromí mezi vzdělanými uživateli lze vnímat jako konstruktivní snahu o zachování těchto svobod v době rostoucího digitálního dohledu. Klíčové je přitom využívání legálních nástrojů a postupů, které umožňují chránit soukromí při zachování souladu s platnými zákony a předpisy.

The post Digitalní radikalizace first appeared on Hard Wired.