Wielki Brat w Sieci

"- Lubisz 艂ucznictwo, John?
- S艂ucham?
- 艁ucznictwo. By艂em niegdy艣 艣wietnym strzelcem, za m艂odu, mi艂o艣nikiem. Robi艂em w艂asne strza艂y. Znasz tajemnic臋 jak zrobi膰 strza艂臋, kt贸ra leci do celu? Musisz u偶y膰 silnych pi贸r, wi臋c kupi艂em sobie soko艂a. Nazwa艂em go Apollo, po bogu 艂ucznictwa. Cudowne stworzenie. Pi臋kne, dumne, okaza艂e pi贸ra. Pewnego dnia Apollo kr膮偶y艂 po okolicy. Wolny. Obserwowa艂em go, podziwia艂em. Wzi膮艂em m贸j 艂uk i zastrzeli艂em go. Prosto w serce. Z miejsca zmar艂. Wiesz dlaczego to zrobi艂em, John? Abym sobie przypomina艂, 偶e z pozoru nieszkodliwe 艣lady, kt贸re za sob膮 zostawiamy, mog膮 p贸藕niej powr贸ci膰 aby nas zniszczy膰."*

*Cytat z filmu "Echelon. Conspiracy", 2009, re偶yseria Greg Marcks

Cytat idealnie wpisuje si臋 w sedno artyku艂u, poniewa偶 jednym z poruszanych tutaj zagadnie艅 b臋dzie kwestia danych jakie udost臋pniamy w Sieci.

Coraz cz臋艣ciej dzielimy si臋 niemal ka偶d膮 informacj膮 na blogach, dodajemy nowe fotografie, w polach informacyjnych i profilach wpisujemy numery komunikator贸w i telefony kontaktowe. Nie zdajemy sobie jednak wtedy sprawy z tego, 偶e te wszystkie drobne przyjemno艣ci naszego 偶ycia mog膮 w przysz艂o艣ci by膰 du偶ym problemem. Jednym z najwi臋kszych problem贸w zwi膮zanych z anonimowo艣ci膮 w Sieci jest fakt, 偶e sami o ni膮 nie dbamy.

To tu, to tam - znajdziesz mnie bez problemu

W dzisiejszych czasach jednym z wyznacznik贸w bycia modnym jest fakt przynale偶enia do jak najwi臋kszego grona wszelkiego rodzaju spo艂eczno艣ci internetowych, posiadania "tub" na filmy i zdj臋cia, prywatne zapiski i blogi jako namiastka pami臋tnika - tyle, 偶e to wszystko jest dost臋pne dla milion贸w internaut贸w na 艣wiecie.


Rys. 1. Popularno艣膰 portali spo艂eczno艣ciowych w Polsce w latach 2008/2009

Powy偶szy wykres zrobiony na zlecenie D-Link Technology Trend przez Milward Brown SMG/KRC, przedstawia popularno艣膰 portali spo艂eczno艣ciowych w Polsce w latach 2008/2009. Wida膰 wyra藕nie, 偶e przoduje rodzima Nasza-Klasa, nie daj膮c szans tak popularnym na zachodzie serwisom jak Facebook czy Twitter.

Jeszcze 10 - 15 lat temu aby kogo艣 pozna膰 (nawet przez Internet), trzeba by艂o z t膮 osob膮 porozmawia膰, poprosi膰 o zdj臋cie, spotka膰 si臋. Dzisiaj tego problemu nie ma. Wystarczy posiada膰 konto w serwisie spo艂eczno艣ciowym lub wpisa膰 kluczowe informacje do wyszukiwarki. W kilka minut jeste艣my w stanie nadrobi膰 kilka dni zb臋dnego "klikania". Jest to typowy przyk艂ad, okre艣lony przez socjolog贸w jako "pod膮偶anie za stadem". Skoro stu moich znajomych ma konto w portalu spo艂eczno艣ciowym, to i ja powinienem je mie膰. Tym sposobem dla kogo艣 innego my sami mo偶emy by膰 t膮 setn膮 osob膮. Tak powstaje samonap臋dzaj膮ce si臋 ko艂o.

Z bada艅 prowadzonych przez wiele firm zajmuj膮cych si臋 bezpiecze艅stwem IT wynika, 偶e oko艂o po艂owa u偶ytkownik贸w portali spo艂eczno艣ciowych akceptuje zaproszenia od kompletnie nieznanych os贸b. Wielu z nich udost臋pnia tym "znajomym" swoje prywatne adresy e-mail, numery telefon贸w, a niekt贸rzy nawet sw贸j pe艂ny adres zamieszkania. Zastan贸wmy si臋, jak intensywnych dzia艂a艅 wymaga艂oby uzyskanie takich danych jeszcze kilka lat temu. Dzisiaj wystarczy kilka klikni臋膰...

Pomijaj膮c pojedyncze przypadki ujawniania swojego adresu zamieszkania, nale偶y zastanowi膰 si臋 nad sensem umieszczania pozosta艂ych danych. Numery komunikator贸w, telefon贸w, informacje o rodzinie, dacie urodzin, wszystko to jest przecie偶 przechowywane na serwerach. Co z tego, 偶e zaznaczymy opcj臋 tylko dla znajomych/ukryj. Nikt nigdy nie da nam stuprocentowej gwarancji, 偶e zawarto艣膰 serwera nie wpadnie w r臋ce cyberprzest臋pc贸w, a dane wykradzione lub opublikowane. Je偶eli kto艣 b臋dzie stara艂 si臋 z nami skontaktowa膰, mo偶e napisa膰 wiadomo艣膰 i poprosi膰 o numer.

Osobnym w膮tkiem jest publikowanie zdj臋膰 w serwisach spo艂eczno艣ciowych. Nie jest niczym z艂ym zamieszczanie w艂asnych fotografii. Taka jest przecie偶 idea tych portali, by dzieli膰 si臋 wra偶eniami, na przyk艂ad, z wakacji i opisy ubarwia膰 zdj臋ciami. Sytuacja jest jednak inna, kiedy te fotografie zahaczaj膮 o granice dobrego smaku, s膮 przepe艂nione erotyk膮 lub scenami niekoniecznie zas艂uguj膮cymi na uznanie... Nale偶y zdawa膰 sobie spraw臋, 偶e za kilka lat mog膮 by膰 one dla nas kompromituj膮ce i pozbawi膰 szans na dobre stanowisko pracy. M贸wimy w ko艅cu o gigantycznej bazie danych, do kt贸rej ka偶dy w mniej lub bardziej ograniczony spos贸b ma dost臋p.

Zosta艅my przyjaci贸艂mi...

Serwisy spo艂eczno艣ciowe mog膮 by膰 wykorzystane do r贸偶nego rodzaju atak贸w maj膮cych na celu zbieranie informacji, przechwytywania login贸w i hase艂, a tak偶e do reklamowania i spamowania.

Pierwszym przyk艂adem takiego dzia艂ania jest robak internetowy Koobface. Jego nazwa to anagram s艂owa Facebook, serwisu kt贸ry by艂 atakowany przeze艅 najcz臋艣ciej. Inne portale zmagaj膮ce si臋 z tym szkodnikiem to MySpace, Twitter, Bebo czy Hi5. G艂贸wnym celem robaka by艂y newralgiczne dane, takie jak numery kart kredytowych. Jego dzia艂anie opiera艂o si臋 na infekowaniu kolejnych kont u偶ytkownik贸w, bazuj膮c na... zaufaniu. Okaza艂o si臋 bowiem, 偶e je偶eli padniemy ofiar膮 robaka i nasze konto zostanie zara偶one, do przyjaci贸艂 z naszej listy kontakt贸w b臋d膮 wysy艂ane wiadomo艣ci i komentarze zawieraj膮ce odno艣niki do film贸w na stronie przypominaj膮cej YouTube. Kiedy kto艣 kliknie link, pojawi si臋 pro艣ba o pobranie najnowszej wersji programu Adobe Flash Player w celu odtworzenia filmu. Oczywi艣cie b臋dzie to ko艅 troja艅ski. Od tej pory nic nie b臋dzie sta艂o na przeszkodzie by wykrada膰 has艂a, numery kart kredytowych czy przy艂膮czy膰 komputer do botnetu. Poni偶ej mo偶na zobaczy膰 jak wygl膮da艂a wiadomo艣膰 generowana na fa艂szywej stronie:


Rys. 2. Strona, do kt贸rej kieruje odsy艂acz wysy艂any przez robaka Koobface

Aby przej膮膰 konto, Koobface pocz膮tkowo infekowa艂 system i wykrada艂 has艂o oraz login potrzebne do zalogowania w portalu. Przeszukiwa艂 w tym celu pliki cookie na komputerze ofiary, by nast臋pnie przej膮膰 konto. Innym sposobem by艂 phishing, a wi臋c wysy艂anie maili z linkiem prowadz膮cym do zainfekowanej strony, 艂udz膮co podobnej do oryginalnej. U偶ytkownik my艣la艂, 偶e wiadomo艣膰 pochodzi od portalu i logowa艂 si臋 poprzez wskazany odno艣nik. Niestety, w tym momencie wszystkie dane by艂y przesy艂ane do cyberprzest臋pcy, kt贸ry wchodzi艂 w posiadanie kolejnego konta. Poni偶szy diagram pokazuje kolejne etapy zdobywania kont.


Rys. 3. Dzia艂anie robaka Koobface

Omawiane wcze艣niej sposoby przejmowania kontroli s膮 niczym w por贸wnaniu do ostatnich osi膮gni臋膰 robaka Koobface. Jego najnowsza wersja jest ca艂kowicie zautomatyzowana i nie wymaga ingerencji cz艂owieka w proces pozyskiwania konta. Szkodnik sam rejestruje konto i potwierdza rejestracj臋 ze z pocztowej skrzynki Gmail. W kolejnym kroku tworzy profil ze zdj臋ciem, do艂膮cza do grup i dodaje nowych znajomych.

Nale偶y by膰 zatem nieufnym w stosunku do link贸w i zaprosze艅 jakie otrzymujemy od os贸b ca艂kowicie nam obcych. Gorzej niestety sprawa si臋 ma w przypadku otrzymania wiadomo艣ci z zainfekowanego konta naszego przyjaciela. Tutaj pom贸c mo偶e rozwaga i niepobieranie plik贸w z nieznanych 藕r贸de艂. Wa偶ny jest te偶 uaktualniony program antywirusowy, kt贸ry uchroni system przed infekcj膮 nawet w przypadku pr贸by pobrania niebezpiecznego pliku.

Kolejnym problemem serwis贸w spo艂eczno艣ciowych s膮 fikcyjne konta zak艂adane w celu reklamowania produkt贸w lub spamowania. Tym razem za przyk艂ad mo偶e pos艂u偶y膰 portal Nasza-Klasa. Dw贸ch nastolatk贸w napisa艂o program, kt贸ry automatycznie dodawa艂 komentarz do ka偶dej nowo opublikowanej fotografii w serwisie. Poza komplementem zamieszczano tam tak偶e reklamy i odno艣niki do innych stron.

W przesz艂o艣ci wizerunek Naszej Klasy by艂 te偶 wykorzystywany do rozsy艂ania wspomnianego wcze艣niej phishingu. U偶ytkownicy otrzymywali e-maila, w kt贸rym widnia艂a informacja o oczekuj膮cej na portalu wiadomo艣ci. W celu jej odczytania nale偶a艂o klikn膮膰 odno艣nik.


Rys. 4. Phishing z u偶yciem wizerunku portalu Nasza-Klasa

W tym momencie nast臋powa艂o przekierowanie na fa艂szyw膮 witryn臋. Dalszy scenariusz jest niemal identyczny jak opisany wy偶ej przypadek robaka Koobface. Po przej艣ciu na stron臋, u偶ytkownik proszony by艂 o aktualizacj臋 programu Adobe Flash Player, kt贸ry by艂 szkodliwym programem wykradaj膮cym hasa:


Rys. 5. Zawarto艣膰 strony wy艣wietlanej po klikni臋ciu odsy艂acza z wiadomo艣ci phishingowej

Nale偶y podkre艣li膰, 偶e administratorzy portali spo艂eczno艣ciowych zdaj膮 sobie spraw臋 z zagro偶e艅, na jakie s膮 nara偶one ich u偶ytkownicy. Praktycznie ka偶dy z nich posiada odpowiedni膮 zak艂adk臋 na stronie g艂贸wnej, z odpowiednimi informacjami, z kt贸rych dowiedzie膰 si臋 mo偶na w jaki spos贸b ograniczy膰 dost臋p do konta osobom trzecim lub jak rozpozna膰 fa艂szyw膮 wiadomo艣膰.

Pisz臋, wi臋c jestem...

W Internecie nie jeste艣my anonimowi i nawet przy wielu staraniach, korzystaniu z serwer贸w po艣rednicz膮cych, unikania wysy艂ania maili z przypadkowych miejsc, anonimowi nie b臋dziemy. Zawsze jest opcja, 偶e gdzie艣 pope艂nili艣my b艂膮d. Wystarczy przecie偶, 偶e za艂o偶ymy nowe konto w komunikatorze i nasz adres IP zostaje skojarzony z konkretnym numerem oraz mailem (kt贸ry zazwyczaj jest niezb臋dny do rejestracji). Komu艣 mo偶e si臋 wydawa膰, 偶e wystarczy skorzysta膰 z proxy lub program贸w typu TOR (The Onion Router) by anonimowo korzysta膰 z Internetu. Nic bardziej mylnego. Po pierwsze nie zapewniaj膮 one bezpiecze艅stwa dla ca艂ego ruchu sieciowego, po drugie udowodniono, 偶e istnieje szansa na zdobycie danych, kt贸re teoretycznie powinny by膰 niewidoczne. W 2007 roku Dan Egerstad, szwedzki konsultant ds. bezpiecze艅stwa, udowodni艂, 偶e mo偶liwe jest przej臋cie nazw u偶ytkownik贸w i hase艂 do skrzynek pocztowych os贸b korzystaj膮cych w艂a艣nie z programu TOR.

Druga sprawa to fakt, 偶e wi臋kszo艣膰 u偶ytkownik贸w wychodzi z za艂o偶enia, 偶e wszystko co robi膮 bez podpisywania si臋 imieniem i nazwiskiem jest anonimowe. U偶ywaj膮 login贸w, tymczasowych nick贸w, nie zdaj膮c sobie nawet sprawy z tego jak szybko mo偶na do nich dotrze膰. Tymczasem wiele serwis贸w stosuje ostrze偶enia takie jak to poni偶ej:


Rys. 6. Ostrze偶enie o braku anonimowo艣ci

Dzi臋ki temu, nawet je偶eli komentarz zawiera tylko tymczasowy login, przy samej wiadomo艣ci widoczny b臋dzie unikatowy adres IP, b臋d膮cy wirtualnym odciskiem palca ka偶dego urz膮dzenia w Internecie. Dzi臋ki temu, w skrajnych przypadkach, kiedy komentarz zawiera tre艣ci niezgodne z prawem, administrator strony, na kt贸rej umieszczono wpis mo偶e powiadomi膰 o zaistnia艂ej sytuacji Policj臋. Adres IP wska偶e dostawc臋 Internetu, kt贸ry przy odpowiednim nakazie b臋dzie zmuszony udost臋pni膰 dane osoby, kt贸rej przypisano dany adres IP.

Portale spo艂eczno艣ciowe wchodz膮 w now膮 faz臋, kt贸ra mo偶e jeszcze bardziej odbi膰 si臋 na naszej prywatno艣ci. Nie tylko dodajemy konta znajomych do naszego profilu i korespondujemy z nimi, ale dzielimy si臋 tak偶e naszymi upodobaniami. Przyk艂adem jest tutaj Facebook, kt贸ry daje mo偶liwo艣膰 por贸wnania zainteresowa艅 znajomych, ich przekona艅. S艂u偶膮 temu aplikacje, kt贸rym zezwalamy na dost臋p do naszych danych.


Rys. 7. Por贸wnywanie danych o znajomych

O ile w tym przypadku mamy w miar臋 klarown膮 sytuacj臋 i mo偶emy po prostu nie zgodzi膰 si臋 na dzia艂anie aplikacji i udost臋pnianie jej pewnych danych, o tyle wcze艣niejsze dzia艂ania Facebooka mog膮 nieco szokowa膰. Kilka miesi臋cy temu g艂o艣na by艂a sprawa systemu 艣ledzenia aktywno艣ci u偶ytkownika przy pomocy Facebook Beacon. Portal zbiera艂 w ten spos贸b informacje o u偶ytkowniku tak偶e na innych serwisach i stronach. Sama idea polega艂a na tym, by w momencie - na przyk艂ad- zakupu przedmiotu na jednej ze stron, z kt贸r膮 Facebook mia艂 podpisan膮 umow臋, odpowiednia informacja pojawia艂a si臋 na 艣cianie u偶ytkownika. To co wzbudzi艂o najwi臋cej kontrowersji to fakt, 偶e Facebook otrzymywa艂 od zaprzyja藕nionych serwis贸w informacje o akcjach podejmowanych przez u偶ytkownika nawet wtedy, kiedy nie wyra偶a艂 on na to zgody i nie by艂 zalogowany w portalu.

Podsumowuj膮c artyku艂 mo偶na powiedzie膰, 偶e na ujawnienie cz臋艣ci danych jeste艣my skazani poprzez samo pod艂膮czenie komputera do Sieci. Mam na my艣li daty logowania, preferencje u偶ytkownika, wyniki wyszukiwania oraz wiele innych informacji, bez kt贸rych nie mo偶na m贸wi膰 o swobodnym poruszaniu si臋 po Internecie. Z drugiej jednak strony, nie musimy pomaga膰 wielkim korporacjom w zdobywaniu naszych danych osobowych. Nie ma potrzeby uzupe艂niania wszystkich p贸l informacyjnych podczas rejestracji w nowym portalu. Publikowanie zdj臋膰, kt贸re nas kompromituj膮 lub s膮 przepe艂nione erotyk膮, mo偶e za kilka lat znacznie utrudni膰 nam, na przyk艂ad, znalezienie pracy. Pami臋tajmy te偶, 偶e ide膮 serwis贸w spo艂eczno艣ciowych jest 艂膮czenie grona przyjaci贸艂 lub os贸b o podobnych zainteresowaniach. Liczba znajomych o niczym nie 艣wiadczy, wi臋c nie akceptujmy ka偶dego zaproszenia tylko dlatego, 偶e kto艣 nam je zaproponowa艂.

Zako艅cz臋 artyku艂 cytatem z ksi膮偶ki "Rok 1984" George'a Orwella:

"Z epoki identyczno艣ci, z epoki samotno艣ci, z epoki Wielkiego Brata, z epoki dw贸jmy艣lenia pozdrawiam was!"

殴r贸d艂o:
Kaspersky Lab