Oglądasz kolejny odcinek popularnego serialu kryminalnego. Detektyw zabezpiecza smartfon podejrzanego, przekazuje go genialnemu informatykowi w okularach, a ten – po kilku sekundach energicznego uderzania w klawiaturę i rzuceniu paru mądrych haseł typu „bypasuję mainframe” – z uśmiechem oznajmia: „Mamy to!”. Na ekranie pojawiają się prywatne wiadomości, zdjęcia i historia lokalizacji. Brzmi znajomo? W świecie Hollywood nie ma zabezpieczeń, których nie dałoby się złamać w czasie trwania jednej przerwy reklamowej. Rzeczywistość jest jednak o wiele bardziej skomplikowana i – dla scenarzystów – frustrująco nudna. Krótka odpowiedź brzmi: nie, to nie jest prawda. Przy zachowaniu odpowiednich zasad bezpieczeństwa, nowoczesny telefon lub komputer może stać się dla służb śledczych cyfrową twierdzą nie do zdobycia.

Matematyka, której nie da się oszukać

Aby zrozumieć, dlaczego hollywoodzki haker to bajka, musimy przyjrzeć się fundamentom współczesnego bezpieczeństwa cyfrowego. Kluczem jest szyfrowanie, a dokładniej standard AES-256 (Advanced Encryption Standard), który jest obecnie powszechnie stosowany w systemach operacyjnych takich jak iOS, Android, Windows czy macOS.

Szyfrowanie to proces czysto matematyczny. Kiedy blokujesz swoje urządzenie silnym hasłem, dane na dysku zamieniają się w bezładną papkę znaków. Aby je odczytać, potrzebny jest klucz deszyfrujący, który powstaje na bazie Twojego hasła.

Dlaczego służby nie mogą po prostu „zgadnąć” hasła za pomocą superkomputerów? Ponieważ liczba kombinacji przy 256-bitowym kluczu jest astronomiczna. Gdybyśmy zaprzęgli wszystkie komputery na Ziemi do łamania jednego takiego klucza metodą brute-force (czyli sprawdzania każdej możliwej kombinacji po kolei), proces ten zająłby... miliardy lat. Prawa fizyki i matematyki stoją tu twardo po stronie użytkownika.

Jak działają narzędzia policyjne, skoro nie łamią szyfrów?

Skoro samo szyfrowanie jest matematycznie nie do złamania, to jak to możliwe, że policja i agencje wywiadowcze czasami jednak dostają się do zabezpieczonych telefonów? Służby na całym świecie korzystają ze specjalistycznego oprogramowania i urządzeń, takich jak słynny Cellebrite czy GrayKey. Te narzędzia nie łamią jednak samej matematyki szyfrującej. One szukają luk w zabezpieczeniach systemu operacyjnego (tzw. exploitów lub podatności typu zero-day).

Działanie tych systemów opiera się na prostym schemacie:

• Wykorzystanie błędów w oprogramowaniu: Twórcy systemów operacyjnych (Apple, Google, Microsoft) stale łatwiacie błędy w kodzie. Zanim jednak luka zostanie wykryta i naprawiona, firmy tworzące narzędzia śledcze mogą ją wykorzystać, aby np. obejść limit błędnych prób wpisania kodu PIN i wyciągnąć dane.
• Stan urządzenia (BFU vs. AFU): To kluczowe pojęcia w informatyce śledczej.
  • BFU (Before First Unlock): Stan, w którym telefon został wyłączony lub zrestartowany i nie wpisano jeszcze kodu. W tym stanie klucze deszyfrujące nie są załadowane do pamięci RAM. Telefon jest wtedy niemal całkowicie bezpieczny. Nawet najnowocześniejsze narzędzia śledcze mają ogromny problem z urządzeniami w stanie BFU.
  • AFU (After First Unlock): Stan po przynajmniej jednokrotnym odblokowaniu telefonu od momentu włączenia. Klucze deszyfrujące znajdują się w pamięci RAM, co ułatwia specjalistycznemu oprogramowaniu wyciągnięcie danych. Co ciekawe, Apple w systemie iOS 18 wprowadziło funkcję „Inactivity Reboot” – jeśli telefon leży zablokowany i nieużywany przez 72 godziny, automatycznie się restartuje, przechodząc z podatnego stanu AFU do bezpiecznego BFU.

Jeśli więc masz nowoczesny, w pełni zaktualizowany telefon z silnym hasłem alfanumerycznym (a nie prostym 4-cyfrowym PIN-em), szanse na to, że policja dostanie się do środka za pomocą kabla i programu, drastycznie spadają – często do zera.

Słynny przypadek FBI kontra Apple

Najlepszym dowodem na to, że służby nie są wszechmogące, jest głośna sprawa z 2016 roku dotycząca zamachowca z San Bernardino. FBI zabezpieczyło jego iPhone’a 5c i... nie potrafiło go odblokować. Agencja oficjalnie zażądała od Apple stworzenia specjalnej wersji systemu (tzw. backdoora), która pozwoliłaby na obejście zabezpieczeń.

Apple stanowczo odmówiło, argumentując, że stworzenie takiego narzędzia zagroziłoby bezpieczeństwu milionów użytkowników na całym świecie. Ostatecznie FBI musiało zapłacić zewnętrznej firmie hakerskiej ponad milion dolarów za wykorzystanie luki w zabezpieczeniach tego konkretnego, dość starego już modelu telefonu. Gdyby zamachowiec korzystał z nowszego modelu wyposażonego w fizyczny procesor bezpieczeństwa (Secure Enclave) i silne hasło, FBI prawdopodobnie nigdy nie odczytałoby tych danych.

Gdzie leży najsłabsze ogniwo?

Skoro technologia jest tak bezpieczna, dlaczego w prawdziwym życiu przestępcy cyfrowi i tak wpadają? Ponieważ najsłabszym ogniwem prawie zawsze jest człowiek oraz jego nawyki. Służby rzadko muszą „hakować” sam telefon, ponieważ mają do dyspozycji inne, znacznie prostsze ścieżki:

1. Kopia zapasowa w chmurze

To najczęstszy błąd. Twój telefon może być zaszyfrowany i zablokowany hasłem składającym się z 30 znaków, ale jeśli automatycznie wysyła kopię zapasową (zdjęcia, wiadomości, kontakty) do iCloud lub Google Drive, policja nie musi dotykać telefonu. Wystarczy, że przedstawi odpowiedni nakaz sądowy firmie Apple lub Google, a ta – zgodnie z prawem – przekaże dane z chmury.

Ciekawostka: Można temu zapobiec, włączając pełne szyfrowanie end-to-end kopii zapasowych (np. funkcja Ochrona danych zaawansowanych w iCloud), dzięki czemu nawet Apple nie ma klucza do odczytania Twoich danych.

2. Biometria a prawo

Odblokowywanie telefonu twarzą (Face ID) lub odciskiem palca jest niezwykle wygodne, ale z punktu widzenia prawa i bezpieczeństwa fizycznego bywa ryzykowne. W wielu krajach przepisy prawne chronią nas przed przymusem wyjawienia hasła, które nosimy w głowie (prawo do odmowy składania wyjaśnień lub ochrony przed samooskarżeniem). Jednak zmuszenie kogoś do przyłożenia palca do czytnika lub skierowanie obiektywu na jego twarz bywa w niektórych jurysdykcjach interpretowane jako czynność czysto fizyczna (jak pobranie odcisków palców na komisariacie), na którą podejrzany nie musi wyrażać zgody.

3. Słabe hasła i blokady wzorem

Większość ludzi używa kodów PIN typu „1234”, „0000” czy daty urodzenia. Takie zabezpieczenia programy śledcze łamią w ułamki sekund metodą słownikową. Z kolei blokowanie telefonu za pomocą „wzoru” na ekranie zostawia tłuste ślady na szybce, które wprawne oko (lub odpowiednie oświetlenie) bez trudu odczyta.

Jak realnie zabezpieczyć swoje dane?

Jeśli chcesz, aby Twoje urządzenia były tak bezpieczne, jak to tylko możliwe (i rzeczywiście odporne na metody rodem z seriali), warto wdrożyć kilka prostych nawyków:

• Używaj hasła alfanumerycznego: Zamiast 4-cyfrowego PIN-u, ustaw hasło składające się z liter, cyfr i znaków specjalnych. Już 8-10 znakowe skomplikowane hasło drastycznie utrudnia jakiekolwiek próby złamania.
• Regularnie aktualizuj system: Aktualizacje łatają luki, z których korzystają narzędzia takie jak Cellebrite czy GrayKey.
• Szyfruj kopie zapasowe: Upewnij się, że kopie w chmurze są szyfrowane metodą end-to-end.
• Restartuj urządzenie w sytuacjach ryzyka: Jeśli obawiasz się, że ktoś może chcieć uzyskać nieautoryzowany dostęp do Twojego telefonu (np. podczas kontroli granicznej w niektórych krajach), po prostu go wyłącz lub zrestartuj. Wprowadzenie go w stan BFU drastycznie podnosi poziom bezpieczeństwa.

Seriale kryminalne muszą iść na skróty, by utrzymać tempo akcji. Pokazywanie śledczych czekających miesiącami na to, aż programiści znajdą nową lukę w systemie, byłoby po prostu nudne. W rzeczywistości jednak dobrze zabezpieczony smartfon lub komputer to twardy orzech do zgryzienia – nawet dla najlepszych agencji rządowych na świecie.