Figyelnek a kütyük mikrofonjai, a notebookok webkamerái. Figyel a Google és az Apple. Figyelnek még a digitális fényképezőgépek is. Oké, hivatalosan nem azért teszik, hogy kémkedjenek utánunk, de a szép új világban fel kell készülnünk rá, hogy elvileg egy csomó technológiai megoldás létezik, amely gyakorlatilag szinte minden adatot megszerezhet rólunk. Innentől már csak az a kérdés, hogy az adott hardver, szoftver vagy rendszer fejlesztői mit kezdenek ezekkel. Nézzünk öt példát!
OSINT
Nem kell senkinek sem kémkednie utánunk, elég, ha közösségi médiára pakoljuk az életünket. Egyes munkahelyi pozíciókban lévők okkal nem posztolnak semmilyen családi képet, preferált éttermet, vakációhelyszínt (se előtte, se utána) – az ugyanis egy dolog, hogy mennyi mindent megadunk magunkról, az viszont a másik, hogy ezekből milyen konklúziót szűr le egy viselkedéselemző rendszer. Az OSINT, azaz open-source intelligence fogalom a hírszerzésben gyakorlatilag azzal egyenértékű, amikor rendszerek megtörése nélkül odaülünk a Google, a Twitter, az Instagram, a Pinterest, a Facebook, a bármi elé és rákeresünk valakire, mondjuk magunkra. Adjunk perspektívát a történetnek és nézzük meg, hogy a kapott információk alapján kívülállóként meg tudjuk-e mondani egy héten jó biztonsággal, hogy hol vagyunk, kivel vagyunk, mit csinálunk, hol lakunk. Ezen adatokból már jó tippel meg lehet mondani, hogy be lehet-e hozzánk törni. Elszorult már a torkunk? Helyes.
A rendszer
Ha eltekintünk a Five Eyes (ez Anglia-Amerika-Ausztrália-Kanada-Új Zéland hírszerző egyleteinek szövetsége), illetve az egyes országok automatizált információszerző és –tároló rendszereitől (és korántsem akarunk belefutni annak politikai és emberjogi vonatkozásaiba, hogy van-e ennek értelme és/vagy haszna), még mindig ott tartunk, hogy a Google-hirdetésekben található tracking cookiek ott ülnek a gépeinken, a Gmail a hirdetések miatt kénytelen átfutni leveleinket, a Dropbox átnézi a tárolt fájlokat és minden rendszerüzemeltető tudja: 100%-osan biztos rendszer nincs, a biztonsági hibák, leakek, adatlopások nagy része emberi hanyagságnak, figyelmetlenségnek vagy social engineeringnek köszönhető, az embereket tartalmazó adatbázisok pedig jól értékesíthetőek. Kössük össze tehát – az ingyenes rendszerek ára az, hogy magánéletünk egy részét feladjuk, a fizetős rendszereké ugyanez, csak ott még fizetünk is, kis túlzással.
A legbiztonságosabb számítógépek általában azok, amelyek nincsenek internetre kötve, esetleg fizikailag kigyomlálnak belőle mindent, amivel információt lehet továbbítani. Óvatosabbak a webcamet és a mikrofont is kiiktatják, gépelés közben pedig a fejükre és a gépre borítanak egy takarót, mivel gépeléshangból, illetve jó szögben felvett képből minden látszik, amit gépelünk. Bár, ha olyanok vagyunk, akit ennyire kell figyelni, ezeket az alapvetéseket régóta ismerjük.
Ezért érdemes legfontosabb szolgáltatásainkra ismerni az alternatívákat: Dropbox helyett SpiderOakot használni, Google helyett DuckDuckGo-t futtatni keresőnek, Skype helyett OTR messaginget részesíteni előnyben – ha több is érdekelne minket, fussunk át a Reset The Net által összeállított pakkot.
A kütyük
Paranoidabb biztonságtechnikusok szerint aminek van kamerája, az lát minket, aminek van mikrofonja, az hall minket. Mobiljaink (a telefonhálózatok működésétől függetlenül) elég jó társai életünknek, csoda, hogy eddig nem gyártottak formatervezett Faraday-kalitkát nekik: a Google például, Android-készülékein keresztül ismeri a világ WiFi-jelszavainak nagy részét. Az Apple és a Google megmondja, hol vagyunk. Emlékszünk még például a Samsung-tévékkel kapcsolatos hírverésre?
Az okostévéket tudtuk ugyan hanggal irányítani, de épp ezért azok mikrofonja folyamatosan be volt kapcsolva és figyelt minket, hogy tudja, mikor adunk neki parancsot. Ezzel még nem lenne annyi baj (de, rengeteg van, de most ezen átsiklunk), de a tévé nem lokálisan értelmezte a verbális parancsokat, hanem a hangfájlokat továbbküldte egy külső cég szerverére, ott lefutott a parancsértelmezés, a tévé pedig visszaküldte az instrukciót. És ez csak egy rosszabbul megvalósított loop volt a sok közül, sokan tartunk már a megtörhető implantoktól és bőr alá ültethető rendszerektől, ne adj’ isten, a Ghost in the Shellből percenként visszaköszönő, távolról kényelmesen meghackelhető agyaktól. Lényeg a lényeg: az nem tör meg minket, aki nem akar, ha pedig valaki meg akar figyelni minket, meg fog.
EXIF
A digitális bármilyen eszközzel lőtt képek mellett tárolt ún. EXIF adatok azért hasznosak, mert megtudhatjuk belőle a készítés technikai részleteit (fókusztávolságot, apertúrát, miegyebet). Emellett rosszabb esetben a kép készítésének pontos GPS-koordinátája is kiderül belőle, ami sokszor az utolsó dolog lehet, amit ki akarnánk adni a kezeink közül. Ha installálunk egy új kamera-alkalmazást a telefonunkra, vagy elkezdünk használni egy fényképezőgépet, kapcsoljuk ki az EXIF-adatok mentését, ha nincs égető szükségünk ezekre az információkra. Ha pedig utólag javítanánk ki ezt a rizikófaktort, kitörölhetjük ezen adatokat bármilyen, erre szakosodott programmal (pl. a FileMind QuickFixxel), de legrosszabb esetben a Windows Explorer Properties menüpontja alól is szanálhatunk.
Like
Térjünk vissza a Facebookra egy kicsit – remekül lehet profilozni azokból a dolgokból, amiket szeretünk, amik érdekelnek és megmozgatnak minket annyira, hogy reagáljunk rá, ezeket pedig egyre jobban összefoglalhatjuk egy akcióval: ez a like. Pár kószán elnyomott lájkból ugyan még nem lehet pontos profilozást végezni, ehhez a most futó publikus rendszereknek is kell vagy 1000 különféle lájk, de ha emberismeretünket is bevetjük, jobban elárul rólunk valamit közösségi lájkolásaink publikus listája, mint azt szeretnénk. Láthatja mindenki publikusan ezeket? Igen? És miért is?