Niepozorny Niepozorny
182
BLOG

Używasz Facebooka? Nie komentuj w sieci, bo cię odnajdą.

Niepozorny Niepozorny Technologie Obserwuj notkę 0

Załóżmy, że jesteś typowym internautą. Korzystasz z portali typu nasza-klasa.pl, myspace.com czy LinkedIn. Pewnego dnia zaczynają się dziać dziwne rzeczy - księgarnia internetowa, w której szukałeś wczoraj pewnej książki, ale się nie rejestrowałeś i nic nie kupiłeś, wysyła ci maila ze swoją ofertą i propozycją zniżki. Anonimowy pracownik konkurencyjnej, nielubianej firmy przysyła ci pełen przekleństw list w którym żąda, żebyś nie wchodził więcej na strony jego przedsiębiorstwa i nie "węszył" (no byłeś wczoraj popatrzeć z ciekawości...). Zachodzi też wiele innych, równie ciekawych jak niezrozumiałych faktów.

Pójdźmy krok dalej. Wyobraźmy sobie, że jesteś Kataryną. Żyjemy w praworządnym państwie prawa, więc oczywiście nasza Kataryna nie musi się niczego obawiać - wszak komentuje sobie spokojnie w oparciu o powszechnie dostępną wiedzę nie łamiąc żadnych przepisów. "Dziennikarze" do niej nie dotrą, bo nie ujawnia żadnych danych o sobie, a służby panstwowe/operatorzy internetowi ich nie udostępnią. Nawet w takim utopijnym państwie "dziennikarze" mogą odnaleźć Katarynę (o ile tylko używa portali społecznościowych). Wystarczy, że w pierwszym komentarzu pod jej notką wrzucają link do tekstu z opisem "koniecznie przeczytaj". Kataryna nieświadoma niczego wchodzi, a następnego dnia widzi swoją twarz w pobliskim kiosku.

To nie pomyłka. Nie trzeba już tajnych służb ani policji, żeby namierzyć internautę. Wystarczy skorzystać ze znanych od dawna, dynamicznie ostatnio rozwijających się metod podkradania pamięci historii przeglądarki internetowej (history stealing). Wydaje się, że historia odwiedzanych stron powinna być chroniona wszelkimi dostępnymi środkami i widoczna tylko dla pracującego przy komputerze.  Jest to jednak nieprawda. Każdy internauta z jakimkolwiek stażem wie, że link kliknięty wygląda inaczej niż taki, którego nie odwiedziliśmy. Projektant strony internetowej może sobie te linki ostylować, czyli sprawić, żeby np. odnośnik nieodwiedzony był jaskrawoczerwony i migał, a odwiedzony zmieniał się w piękną różę. Wszystkie popularne przeglądarki oszczędzają pamięć komputera i łącze internetowe, więc nie ładują róży gdy dana strona nie była przez nas odwiedzana (bo niby po co, skoro się nie wyswietli?). W ten sposób można "odpytywać" historię użytkownika o różne adresy. Można sprawić, by proces ten był niewidoczny dla użytkownika. Przy umiejętnej konstrukcji zapytań otrzymujemy zbiór grup zainteresowań serwisu społecznościowego (lub lepiej - serwisów), które odwiedza dany internauta. Jest to jego swego rodzaju odcisk palca (jak to odciski może być uszkodzony - być może wyrejestrowaliśmy się z odwiedzonej grupy już jakiś czas temu, a link dalej tkwi w historii przeglądarki, nie ma jest to jednak jakaś straszna przeszkoda przy odpowiednim algorytmie). Jeśli posiadamy bazy danych członków grup (które nie są zbyt trudne do zdobycia), to otrzymujemy nadspodziewanie małą liczbę kandydatów (np. kilkuset). Teraz wystarczy w drugim kroku sprawdzić stworzoną listę już pod kątem linków z poszczegolnymi loginami - i voila!  Mamy login, a tym samym imię i nazwisko. Prawdopodobieństwo sukcesu wynosi - co sprawdzono w praktyce - nawet kilkadziesiąt procent. To duże uproszczenie (i może zbyt skrótowy opis), ale obrazuje schemat postępowania przestępcy.

Atak może okazać sie jeszcze prostszy, czy wręcz trywialny, gdy ofiara używa np. osiedlowej sieci komputerowej.

Opisany wyżej sposób ataku nie jest zbyt praktyczny, ale spełnia dwa kryteria, z powodu których go opisałem: jest prosty do zrozumienia i pokazuje jak można przekształcić zwykłe funkcjonalności w łom. Oczywiście organy państwowe i tak z łatwością nas zidentyfikują po IP, żądając wyjawienia danych od operatora, wielu nieroztropnie trzyma swoje najcenniejsze dane w rękach firm typu Google Inc, itd. ale przerażające jest, że dowolny niezależny podmiot niskim kosztem w tak prosty sposób może sprawić, że nie będziemy już anonimowi.

Ktoś, kto naprawdę nie chce, by informacje o nim były zbierane przez różne tajemnicze podmioty powinien poważnie pomyśleć nad używaniem (np. do swojej publicystyki) proxy czy TORa (na który nie tak dawno zorganizowano nagonkę medialną). Dobrze też korzystać z otwartego oprogramowania bez ukrytych furtek którymi producent może nam podkradać dane albo chociaż osobnej przeglądarki internetowej.  Zwłaszcza, że punkt ciężkości życia prywatnego, politycznego i gospodarczego przesunął się do Internetu. Zauważyły to już  nawet największe machiny typu UE - majstrowania dopiero początek.

Więcej szczegółów + literatura:

Oraz bonus ;)

Niepozorny
O mnie Niepozorny

Nowości od blogera

Komentarze

Inne tematy w dziale Technologie