Ma reggelre a teljes internet azon csámcsog, hogy hollywoodi sztárok, zömmel fiatal színésznők és énekesnők meztelen fotói kerültek nyilvánosságra. Előzetes információk szerint állítólag az Apple felhős tároló megoldása, az iCloud háza táján kell keresni a hibát, egy élelmes hacker ide betörve vadászhatta le a bulvárérték mellett jelentős valódi értékkel is rendelkező fotókat és videókat – a felvételek egy részét ugyanis pénzért próbálja áruba bocsátani.
Sose volt még ennyire egyszerű
Természetesen meztelen fotói, videói nem csak sztároknak vannak. Egyrészt egyre szabadosabbá válik a világ, ez most egy ilyen korszak, lehet elítélni, vagy örülni ennek, de tény. Az pedig nagyon sokat segít az ilyesfajta divatnak, hogy technikailag sosem volt még könnyebb magunkról pikáns fotókat, “akcióvideókat” készíteni, másoknak elküldeni, vagy megosztani. Már a leggagyibb telefonban is akad egy néhány megapixeles kamera, amely akár elfogadható minőségű videót is lő, az internet, ezen belül pedig a közösségi hálózatok, a levelező- és üzenetküldő szolgáltatások, valamint a felhő alapú tárhelyek segítségével pedig azonnal a világ szervereire kerülnek a felvételek másolatai. Járjuk tehát körül a témát: biztonságban vannak a fotóink a felhőben? És ha ott nem, a gépünkön, telefonunkon már tényleg nem férhetnek hozzá?
Jöjjön a hervasztó válasz: biztonsági területen dolgozó szakemberek egyöntetű véleménye szerint alapesetben semmi, sehol sincs tökéletes biztonságban. Ahogy egy autónál is szinte csak a lopás folyamatának hosszát növeli meg egy riasztó, immobiliser vagy egy váltózár alkalmazása, a számítástechnikai adatvédelemben is ugyanez a helyzet: ahová be lehet törni, oda elvben be is fognak törni. Vannak persze hihetetlenül bonyolult, folyamatosan monitorozott, és persze ennek megfelelően a magánfelhasználók számára megfizethetetlenül drága vállalati rendszerek, amelyeket teljesen hacker- és szivárgásbiztosnak tartanak, de most a mindenki által használható megoldásoknál maradunk.
Fotók a felhőben
Kezdjük azzal a témával, amely valószínűleg a mostani “sztárfotó-szivárgást” is elindította. A felhő alapú tárolásról sokan még mindig nem tudják, micsoda – még akkor sem, ha folyamatosan használják. Alapesetben felhőről beszélünk, ha az adataink nem a saját gépünkön vannak, hanem valamilyen internet-alapú szolgáltatás segítségével tároljuk őket. Ilyen az Apple-féle iCloud, a Google Drive, a Dropbox, és még megannyi hasonló versenytárs.
A felhő előnye egyértelmű. Csak elkattintunk egy fotót New Yorkban, és az máris rendelkezésre áll a szolgáltatáshoz kapcsolódó összes gép (és felhasználó) számára Budapesten, Fokvárosban, vagy Reykjavíkban, mivel a kép nem csak a telefonunkon lesz elérhető, hanem bekerül a kapcsolódó felhőszolgáltatásunk tárhelyére is. Ha például a párunkkal osztozunk egy iCloud mappán, az iPhone-nal ellőtt fotót ő szinte azonnal megnézheti a távolban is a MacBookján vagy iPadjén. Ez idáig szuper, de itt jön a de.
Mint minden internetes szolgáltatás, alapesetben a felhő is egy hihetetlenül egyszerű módszerrel védi a megosztott tartalmaka: egy felhasználónév-jelszó párossal. Erről pedig már számtalanszor bizonyosodott be, hogy édeskevés. Eleve sokan használnak könnyen kitalálható kódszavakat (az 12345-től a “password” szón át saját születési dátumaikig), ha pedig egy kicsit tényleg szofisztikáltabb a jelszó, akkor is a hackerek rendelkezésére állnak különféle kódtörő algoritmusok, amelyek számára gyakorlatilag csak idő kérdése a bejutás.
Egyes szolgáltatók hasonló, korábbi incidensek hatására bevezették a kettős azonosítás lehetőségét. Ez olyasmi, mint amit például a netbank-rendszerek alkalmaznak: a belépési adatok megadása után valamilyen másodlagos azonosításra is szükség van, például egy sms-ben kiküldött kód beírására. Ugyan elvben ez is megkerülhető, de már csak nagyon körülményesen (például úgy, hogy a hacker ellopja a delikvens telefonját, vagy átirányítja a bejövő üzeneteit), ezért az ilyen extra védelmi funkciók bekapcsolását csak ajánlani tudjuk.
Az én házam, az én váram
A másik lehetőség, amikor azon igyekszünk, hogy a személyes adatok semmilyen módon ne kerüljenek ki a gépeinkről, tehát a telefonról, amivel a képek készültek, vagy a számítógépről, amelyen tároljuk őket. Ha nem rakjuk fel őket a netre, nem is vadászhatják le – gondolhatnánk, de persze ez sem igaz.
Az első veszélyforrás ilyen esetben természetesen a lopás. Egy telefont könnyen kiemelhet a zsebből vagy táskából bárki, de ugyanígy elszaladhatnak a vállunkról letépett laptop-táskával is. Innentől aztán ismét csak percek kérdése, hogy egy közepesen képzett hacker túljusson a telefon PIN-kódján, vagy a notebook belépési jelszaván, és máris ott van előtte minden, amit nem akartunk másokkal megosztani.
Még akkor sem beszélhetünk bombabiztos védelemről, ha mondjuk az elkészült pikáns felvételeket azonnal töröljük a telefonról, és otthon egy olyan gépen tároljuk őket, ami egyáltalán nincs “netre kötve”, vagy épp kiírjuk valamilyen adathordozóra, amit a fiókba rejtünk. Ilyen esetekben is megannyi példa volt arra, hogy a biztonságban hitt adatok előbb-utóbb napvilágot láttak, és nem is csak arról a lehetőségről beszélünk, hogy betörhetnek a lakásba. Inkább az emberi mulasztás, a bizalom kérdésköre kaphat itt szerepet.
Külön weboldalak indultak annak idején kifejezetten azzal a céllal, hogy ex-barátnők és volt párok kompromittáló fotóit és videóit tárják nyilvánosság elé: a felvételek forrása pedig általában épp a sértődött, elhagyott másik fél. Ilyenkor aztán utólag bosszankodhat az érintett, hiszen hiába tett meg mindent az adatok biztonságáért, az emberi veszélyforrást nem látta előre.
Tehát akkor mi a teendő?
Egyszerűek és kegyetlenek leszünk: ha ön akár egy picikét is tart attól, hogy a tükörből elkattintott meztelen fotói, vagy az ágytorna közben felvett akciójelenetek nyilvánosságra kerülnek, ne készítsen ilyen felvételeket. Ennél biztosabb megoldás nincs… Ha pedig mégis ellenállhatatlan vágyat érez az ilyesfajta dokumentálásra, tegyen meg mindent azért, hogy a lehető legtöbb oldalról védje az adatokat.
Egyrészt csak olyan felhőszolgáltatást válasszon, ahol lehetőség van többszintű védelemre. Ezeken belül is tárolja valamilyen tömörített fájlban az adatokat, természetesen szintén jelszóval védve. Azt talán mondanunk sem kell (de azért mondjuk), hogy jelszavakat, hozzáférési adatokat még a legmegbízhatóbbnak tartott ismerősnek adjon meg, hiszen ki tudja, mikor orrol meg ránk az illető annyira, hogy visszaél a rábízott tudással.
Hasonlóképpen óvatosan kell bánni az otthon tárolt fotókkal. Itt is jó szolgálatot tesz, ha jelszóval védett, tömörített állományt készít az adatokból, de mappákat is védhetünk jelszóval, és akár el is rejthetjük ezeket úgy, hogy csak a mappa pontos nevének, helyének ismeretében látszik egyáltalán, hogy van ilyen a gépen. Persze eleve az sem árt, ha nem a “Képek” mappa alatt, mondjuk egy “Titkos képeim XXX” nevű mappában tárolja a felvételeket: hallottunk például olyan trükkös felhasználóról, aki például a Windows/System mappa alá hozott létre nagyon “tudományos” nevű almappákat (például Extendedsecurity/User/Antivirus). Ezekben ráadásul úgy tárolta a fájlokat, hogy ezeket megfosztotta eredeti .jpg, vagy .avi kiterjesztésüktől, és helyettük például .pjg és .via végződéseket alkalmazott. Persze ezzel a megoldással is vannak gondok: az említett illetőnél például az, hogy tudok a trükkről…
A szakértő szemével
Megkerestünk egy szakértőt is az incidenssel kapcsolatban felvetődött kérdésekkel. Petrányi-Széll András, a G Data magyarországi kommunikációs vezetője válaszolt.
Merhet-e bárki ezek után személyes tartalmakat felhőben tárolni annak veszélye nélkül, hogy nyilvánosságra kerüljenek?
– Régi mondás, hogy ami az internetre kerül, az ott is marad. Ha a felhőben tárolunk valamilyen adatot, számolnunk kell azzal, hogy az egy véletlen, vagy támadás következtében akár nyilvánosságra kerülhet. A tárolásnak egyébként nem feltétlenül kell akaratlagosnak lennie. Egy okostelefon – ha nem korlátozzuk le ezt a tulajdonságát – automatikusan és alapértelmezetten kezdi el szinkronizálni az elkészített fotókat különböző felhő alapú szolgáltatásokkal. Egy fotó így teljesen automatikusan kerülhet fel egyszerre 4-5 közösségi oldalra és tárhelyre, beleértve az iCloudot, a Google Plust, a Flickr-t, az Instragramot, a OneDrive-ot és a Dropboxot. Ezeket pedig rendszerint egyetlen jelszó választja el a külvilágtól.
Vannak-e technológiák, amikkel jobban megvédhetjük a felhőben tárolt adatainkat?
– Vannak olyanok, amelyek nagyobb biztonságot jelentenek a támadások egy-egy fajtája ellen. A Tresorit például titkosítva tárolja az adatainkat, a Facebookon pedig be lehet állítani az sms azonosítást. Ezek mind növelik a biztonságot, de ez még nem jelenti azt, hogy teljes biztonságban vannak az adataink. Hozzáteszem, hogy az adat sehol a világon nincs teljes biztonságban. Egy világhírű színésznő meztelen fotója több tízezer – vagy még ennél is több – dollárt ér a bulvármédia számára. Ez az összeg motiválja az elkövetőket, és vannak közöttük olyanok, akik egy betöréses lopás elkövetésétől sem riadnának vissza, hogy hozzájussanak.
A kockázatokat mindig szintekre kell sorolni, vannak kockázatosabb és kevésbé kockázatos módjai az adatok tárolásának. Emellett viszont nem csupán az adatok kiszivárgásának van kockázata, de az adatok elveszítésének is, a kettő pedig sokszor egymás ellen hat. Ha például feltöltöm a fotóimat a felhőbe, és ezután elveszítem a telefonomat, akkor a fotóim nem vesznek el. Ez tehát arra sarkall, hogy használjam a felhő alapú szolgáltatásokat. Mindenkinek meg kell ítélnie azt, hogy saját maga számára melyik jelenti a nagyobb kockázatot: az elvesztéstől vagy a kiszivárgástól fél jobban.
“De én csak magamnak készítem ezeket a fotókat, amik nem hagyják el a telefonomat vagy a számítógépemet”. Ez mennyire biztosít valódi védelmet?
– A telefon nevében is benne van, hogy “mobil”, a rajta lévő adat is az. Számolnunk kell az elvesztés és a gondatlanság kockázatával is. Megtörténhet, hogy a készüléket elhagyjuk vagy ellopják tőlünk, de például Sarka Kata félmeztelen fotói úgy szivárogtak ki, hogy Hajdú Péter eladta a használt és lecserélni kívánt telefont. Ha egy híresség biztosabb megoldást szeretne, akkor ne a mobiltelefonjával fotózza magát, és az elkészült képeket ne tárolja olyan számítógépen, amelynek van internetkapcsolata.
Hogyan védhetjük meg a saját eszközeinken tárolt adatokat?
– Alapvető követelmény a jogtiszta vírusirtó szoftver és tűzfal használata, ez véd ugyanis az interneten keresztül történő betörés (hackelés) ellen. Emellett alkalmazzunk titkosítást – akár az okostelefonon is – és használjunk erős jelszavakat. Ezek a technológiák növelik a biztonságot, és már az otthoni felhasználók számára is elérhetőek. A G Data TotalProtection tartalmaz például egy fájlszéfet, amelynek segítségével egy titkosított mappát hozhatunk létre a gépünkön, és ebben tárolhatjuk az érzékeny adatainkat, fotóinkat. Ennél is fontosabb azonban a tudatos használat. Meg kell tanulnunk úgy használni ezeket a technológiai eszközöket, hogy a rajtuk tárolt adatok ne jelentsenek veszélyt a számunkra. És itt nem csak egy hírességre gondolhatunk. A közösségi zaklatás például leginkább a tinédzsereket sújtja, elég, ha Megan Meier történetére gondolunk. Nagyon fontosnak tartom tehát a gyerekek, tinédzserek nevelését: meg kell értetni velük, hogy hiába tűnik privátnak a közösségi média, mégsem az.
A biztonság növelése egyébként egyre inkább előtérbe kerül, és szerencsére vannak előremutató szolgáltatások. Ilyen a fentebb már említett Tresorit, de ide sorolhatjuk a fiatalokat megcélzó Snapchat üzenetküldő szolgáltatást, vagy a német posta nemrég bemutatott titkosított üzenetküldését is.