Új Szó, 2013. augusztus (66. évfolyam, 177-202. szám)
2013-08-21 / 194. szám, szerda
18 DlGlTÁLlA ÚJ SZÓ 2013. AUGUSZTUS 21. www.ujszo.com Aki biztosra akar menni, jobb, ha kihúzza a webkameráját a gépből, ha nem használja, ha pedig ezt nem tudja megtenni, tegyen rá ragasztószalagot Internetes biztonság: soha többé magánélet Aszoftveresbiztonsági réseken bármikor hozzáfér- hetneka számítógépünkhöz vagy más elektronikus eszközünkhöz, és aweb- kamerák, mikrofonokés más eszközök fölött is könnyen átvehető az irányítás. Elégegy kijátszható szoftverhiba, egy rosszul beállítottadatvédelmi rendszer, néhány unatkozó tinédzser, és máris mindent megtudhatnak rólunk, ami a kép- és hangrögzítő esz- közökhatósugarábantör- ténik. Biztonságban csak akkor érezhetjükmagun- kat, ha egyáltalán nem csatlakozunk az internethez. ÖSSZEFOGLALÓ Az indiai XY Security információbiztonsági cég két alapítója, Aditya Gupta és Subho Halder tavaly júliusban jelentős biztonsági rést fedezett fel a Facebookon. A hiba lehetővé tette, hogy a támadók átvehessék az irányítást a felhasználó webkamerája fölött, és az üzenőfalára posztolják az így készített képeket és videókat. Gupta és Halder jelentették az esetet a Facebooknak, ami 2500 dollárt fizetett nekik az információért. Ez azt bizonyítja, hogy a közösségi oldal tisztában volt vele, hogy ez mennyire komoly hiányosság, ugyanis az összeg ötszöröse volt annak, amit üyen esetekben fizetni szoktak. Nem a Facebook az egyetlen sebezhető platform, de annak az esetnek érthető okból volt nagyobb visszhangja: a közösségi oldalt naponta több száz millióan használják. Akárcsak az Adobe Flasht, ami még a Facebooknál is elterjedtebb szoftver. Másfél éve ebben is felfedeztek egy komoly sebezhetőséget, amivel a felhasználók webkameráját és mikrofonját lehetett aktiválni, ráadásul anélkül, hogy a felhasználó erről tudott volna. Az Adobe két napon belül javította a clickjacking (kattintás-eltérítés) technikáját kihasználó hibát, de az eset így is bekerült 2011 legnagyobb intemetbiztonsági baklövései közé, és néhány hónap múlva ismét hasonló biztonsági rést fedeztek fel a flashben. Tudatos webkamera-vásárló Az efféle esetekhez nem feltétlenül szükségesek rosszul megírt programok; néha a hardverek sem felelnek meg a biztonsági előírásoknak. Idén januárban a Trendnet-kamerák egyik biztonsági hibáját fedezték fel, bár a „felfedezni” ige elég finom kifejezés: az egész világ tudomást szerezhetett róla. A hiba miatt több ezer, magáncélra használt kamerához lehetett hozzáférni: egy Google-térké- pen jelölték meg a védelem nélküli webkamerákat. Az eszköTeljes biztonságot csak az internetkapcsolat megszüntetése jelenthet (Képarchívum) zök hatósugarában egy kattintással mindenki megfigyelhető volt. A Trendnet a hibát kijavító patch letöltését javasolta, de a hiba nem csak az ő kameráikat érintette. Stephen Cobb, az információ- biztonsággal foglalkozó szlovák ESET cég szakértője szerint a webkamera kiválasztásánál érdemes figyelembe venni az adott cég reputációját; ehhez nem árt, ha a felhasználó figyelemmel követi a biztonságtech-* nikával foglalkozó híreket. Webkamera-vásárlás előtt érdemes meggyőződni róla, hogy korábban sikerült-e feltörni, ü- letve az is fontos, hogy a kamerát regisztráljuk, és válasszunk hozzá erős jelszót. Cobb szerint ez különösen fontos lépés. A kamera regisztrációját sokan elbliccelik, pedig minden IP címmel rendelkező eszközhöz fontos telepíteni a legfrissebb illesztőprogramokat - ezek segítenek megvédeni az illetéktelen felhasználóktól, és javítják az eszközök sebezhetőségét is. Regisztráció nélkül a gyártó nem tud kapcsolatba lépni a felhasználóval, ami komoly biztonsági kockázatot jelenthet- ez történt a Trendnet-kamerákkal is. Cobb elmondta, hogy sokan máig sem töltötték le a biztonsági frissítéseket, így továbbra is nyomon követhető, hogy ezek az emberek mit csinálnak. Cobb úgy látja, hogy tökéletes biztonságot egy frissítés sem nyújthat, de a kockázat egyszerű módszerekkel csökkenthető. Aki biztosra akar menni, jobb, ha kihúzza a webkameráját a gépből, ha nem használja, ha pedig ezt nem tudja megtenni - például azért, mert integrált kamera van a laptopján -, tegyen rá ragasztószalagot. Rossz protokoll, rossz eszközökkel Hogy ehhez hasonló esetek megtörténhetnek, annak sok esetben egy rossz, de sokak által használt protokoll, a UPnP az oka. A Rapid 7 adatbiztonsági cég január végén számolt be róla, hogy a UPnP protokollban található biztonsági résen át több mülió webkamera, nyomtató és router fölött távoli vezérléssel is átvehető az irányítás. A betörők például a bekapcsolt webkamerákkal megfigyelhetik, hogy van-e otthon valaki; az unatkozó tizenéves hekkerek több száz oldalt nyomtathatnak ki egy távvezérelt céges nyomtatóval, csak a móka kedvéért; a beszkennelt dokumentumainkat más is láthatja, aki csatlakozik a hálózatunkhoz; és ha ez sikerül, akár a zártláncú kamerákkal rögzített digitális felvételek is töröl- hetők. Hivatali patkányok Ahhoz, hogy a biztonsági réseken átfurakodva átvehessük az irányítást egy felhasználó gépe fölött, csak a megfelelő szoftverre van szükségünk. A RAT (Remote Administration Tool) eszközök ehhez minden segítséget megadnak, és a használatuk viszonylag könnyen elsajátítható. Az első RAT-szoftvert, a Back Orifice-t 1998-ban mutatták be, de ez mai szemmel nézve primitív program, ma már sokkal kifinomultabb alkalmazások is elérhetők. Az ilyen szoftvereket használókat rattemek hívják; ezt a tevékenységet nem hívják hekke- lésnek, mivel ahhoz programozói ismeretek kellenek. Egy ratter már átlagos felhasználói tapasztalattal is sikeresen kémkedhet mások után. A ratterek nemcsak a webkamerát indíthatják el, hanem aktiválhatják a mikrofont, eltüntethetik a Start menüt, veszélyes oldalakat nyithatnak meg a gépen, vagy kilőhetik az órát a Tálcáról - gyakorlatilag teljes kontrollt élvezhetnek a gép fölött, amíg él az aktív internetkapcsolat. A ratting egyik nyilvánvalójele, ha a webkamera ledje világít, ami azt jelzi, hogy az eszköz aktív. A hekkerek azóta arra is megoldást találtak, hogy ezt az árulkodó jelet is kikapcsolják, így sokszor úgy férkőzhetnek be a gépre, hogy tudomásunk sincs róla. A ratterek tevékenysége szerteágazó lehet: a Hackfo- rums egyik, több mint száz oldalas topikjában rengeteg kép látható webkamerán megfigyelt nőkről - a ratterek őket slaves, vagyis rabszolga néven emlegetik. Bár a ratterek információbiztonsági és személyiségi jogokat sértenek a tevékenységükkel, ezt többnyire szórakozásból csinálják. Másoknak a haszonszerzés a célja: egy 14 éves sráctól például 700 dollár értékű felszerelést lopott egy ratter a Runescape nevű játékban. A fiú maga is kiismerte a ratting fortélyait, így később már ő lopott meg másokat. Adam Biviano, a Trend Micro munkatársa nem tartja meglepőnek, hogy a ratterek többnyire fiatalok. Szerinte ez azért lehet, mert a fiatalok általában nincsenek tisztában a tetteik jogi következményeivel. Viszont nemcsak ezért nem tartanak a szankcióktól, hanem azért sem, mert a rattereket igen ritkán fogják el. Jók az adataid, hogy nézel ki? Az új szórakoztatóipari termékek ilyen környezetben érdekes helyzetet teremthetnek. Az Intel idén februárban jelentette be, hogy webkamerával felszerelt set-top boxot dobnának piacra. Az eszközt tévéadások és videós tartalmak lejátszására lehet használni; a műsort maga az Intel szolgáltatná. Erik Huggers, az Intel Media vezér- igazgatója megerősítette, hogy már dolgoznak az eszközön. Sokakban megütközést keltett, hogy az Intel webkamerával is ellátná a készüléket. A cég szerint erre azért van szükség, hogy személyre szabott műsorajánlatokat és hirdetéseket juttathassanak el a felhasználókhoz, mivel az eszköz a kamerával különböztethetné meg őket. Ez logikusnak tűnik, elvégre más oldalak is szoktak a felhasználó ízlésének megfelelő tartalmat ajánlani; igaz, ezt többnyire a keresési előzmények és a megjelölt kedvenc tartalmak alapján választják ki. Huggers igyekezett mindenkit megnyugtatni: elmondta, hogy a kamera lencséje lezárható lesz, így az eszköz egymozdu- lattal megvakítható. Huggers szerint azért döntöttek a kamera használata mellett, mert ez sokkal egyszerűbb módszer, mintha a felhasználónak külön kéne bejelentkeznie - a döntést tehát a tévénéző kényelmével indokolták. A bejelentés utáni negatív visszhang azonban azt sejteti, hogy ez a döntés nehezen kommunikálható a felhasználók felé. Ez abból a szempontból érthető, hogy több, szoftverfejlesztéssel foglalkozó nagyvállalat, például a Google és a Facebook is elismerte, hogy figyelik a felhasználók személyes adatait. A Google például a Gmailben küldött levelekhez és a Google Docsban szerkesztett dokumentumokhoz is hozzáférhet. Az, hogy a felhasználókat ezentúl már webkamerával is figyelhetik az otthonukban, még ezen is túlmutat. (Hogy a nagyvállalatok milyen mennyiségű személyes adathoz férhetnek hozzá, azt ironikusan, de találóan mutatja be a South Park egyik epizódja, a Humancentipad. Amikor az Apple által elrabolt Kyle-t megpróbálja megtalálni a családja, az apja azt javasolja, forduljanak a rendőrséghez. Erre Stan megjegyzi: ,A rendőrséghez? Ők is az Apple-hez mennek, ha meg akarnak találni valakit! ”) Játék a kémkedés Nemcsak az Intel, hanem a Microsoft által használt technika is aggodalomra ad okot. A vállalat most bemutatott játékkonzoljához, az Xbox One-hoz kötelező lesz használni a mozgásérzékelővel, webkamerával és mikrofonnal felszerelt Kinect szenzort. Az Xbox One ugyan nem igényel állandó netkapcso- latot, de időnként be kell jelentkezni, így internet nélkül hasz- nálhatadan lesz. A Kinect nélkül viszont nem is lehet használni a konzolt. Ezek a feltételek elegendők voltak ahhoz, hogy az információbiztonsági szakértők aggódni kezdjenek; egy állandóan aktív szenzor folyamatosan adatokat, jelen esetben hangot és képet továbbíthat a Microsoftnak. Egy német adatvédelmi szakértő, Peter Schaar a Spiégel On- line-nak azt mondta, hogy ő is aggasztónak tartja az eszközt. Az Xbox One ugyanis megfigyelheti a felhasználók reakcióidejét és érzelmi reakcióit, amiket aztán egy külső szerverre továbbít, onnan pedig ki tudja, hová kerül - akár külsős cégeknek is továbbadhatják őket. Schaar szerint az, hogy ezeket az adatokat felhasználják vagy törlik, nem számít: maga a tény aggasztó, hogy megfigyelhetik a felhasználót. Tim Vinesnak, a Civil Liberties Australia munkatársának szintén nem tetszik az Xbox One. Vines úgy látja, az ausztrál törvények szerint a Microsoft konzolja megfigyelésre alkalmas eszköz is lehet; épp ezért fontosnak tartaná, hogy figyelmeztessék erre a vásárlókat is. További problémát jelent, hogy a Kinectnek állandóan bekapcsolva kell lennie, mivel az Xbox One hangvezérléssel is irányítható. Az „Xbox, on!” paranccsal például bekapcsolhatjuk a konzolt, ami arra utal, hogy a mikrofon még készenléti állapotban is aktív. Ebből a szempontból Vines aggodalma nem tűnik indokolatlannak: lehet, hogy a Microsoft nem akaija a felhasználók megfigyelésére használni az Xboxot, de a konzol ettől függetlenül megfigyelésre alkalmas eszköz. A Kinectnek például infravörös kamerája van, így a sötétbenis képes látni. A Microsoft vezérigazgatója, Phü Hamson a Eurogamemek azt nyilatkozta, hogy a Microsoft komolyan veszi a felhasználók biztonságát. Mint elmondta, nem akarják a Kinectet a felhasználók megfigyelésére használni, hacsak nem ez a kifejezett kérésük. Nem tisztázott, hogy ez mit jelent; talán Harrison arra gondolt, hogy a Kinecttel például ellenőrizhető, hogy a nézők végignézik-e a reklámokat. A cég szerint ugyanakkor a Kinect teljes áramtalanítása is megoldható: ilyenkor a rendszer áramot sem fog felvenni. Kihúzni a dugót A technológia fejlődésével az adatbiztonság szinte fikarcnyit sem javult: egy új eszköz általában új biztonsági kockázatot is jelent. Viccesnek tűnik, de a biztonsági rések befoltozásánál hatékonyabb védekezésnek tűnik a Cobb által javasolt ragasztószalag - elvégre a webkameránk valóban csak akkor nem fog látni bennünket, ha fizikailag képtelen rá. A ratterek ellen azonban ez sem nyújt védelmet, és egyelőre az sem világos, hogy érdemes-e aggódni a báránybőrbe bújt farkasok, azaz a szórakoztatóelektronikai eszközökbe csomagolt, megfigyelésre is alkalmas készülékek miatt. Teljes biztonságot csak az internetkapcsolat megszüntetése jelenthet; igaz, ez csak annyira jó megoldás, mint szüzességi fogadalommal védekezni a nemi betegségek ellen. (I)
