Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Wielki Brat w Sieci


Maciej Ziarek
Analityk zagrożeń, Kaspersky Lab Polska

"- Lubisz łucznictwo, John?
- Słucham?
- Łucznictwo. Byłem niegdyś świetnym strzelcem, za młodu, miłośnikiem. Robiłem własne strzały. Znasz tajemnicę jak zrobić strzałę, która leci do celu? Musisz użyć silnych piór, więc kupiłem sobie sokoła. Nazwałem go Apollo, po bogu łucznictwa. Cudowne stworzenie. Piękne, dumne, okazałe pióra. Pewnego dnia Apollo krążył po okolicy. Wolny. Obserwowałem go, podziwiałem. Wziąłem mój łuk i zastrzeliłem go. Prosto w serce. Z miejsca zmarł. Wiesz dlaczego to zrobiłem, John? Abym sobie przypominał, że z pozoru nieszkodliwe ślady, które za sobą zostawiamy, mogą później powrócić aby nas zniszczyć."*

*Cytat z filmu "Echelon. Conspiracy", 2009, reżyseria Greg Marcks

mziarek_anonimowosc_web.jpg Cytat idealnie wpisuje się w sedno artykułu, ponieważ jednym z poruszanych tutaj zagadnień będzie kwestia danych jakie udostępniamy w Sieci.

Coraz częściej dzielimy się niemal każdą informacją na blogach, dodajemy nowe fotografie, w polach informacyjnych i profilach wpisujemy numery komunikatorów i telefony kontaktowe. Nie zdajemy sobie jednak wtedy sprawy z tego, że te wszystkie drobne przyjemności naszego życia mogą w przyszłości być dużym problemem. Jednym z największych problemów związanych z anonimowością w Sieci jest fakt, że sami o nią nie dbamy.

To tu, to tam - znajdziesz mnie bez problemu

W dzisiejszych czasach jednym z wyznaczników bycia modnym jest fakt przynależenia do jak największego grona wszelkiego rodzaju społeczności internetowych, posiadania "tub" na filmy i zdjęcia, prywatne zapiski i blogi jako namiastka pamiętnika - tyle, że to wszystko jest dostępne dla milionów internautów na świecie.

mziarek_anonimowosc_01.png
Rys. 1. Popularność portali społecznościowych w Polsce w latach 2008/2009

Powyższy wykres zrobiony na zlecenie D-Link Technology Trend przez Milward Brown SMG/KRC, przedstawia popularność portali społecznościowych w Polsce w latach 2008/2009. Widać wyraźnie, że przoduje rodzima Nasza-Klasa, nie dając szans tak popularnym na zachodzie serwisom jak Facebook czy Twitter.

Jeszcze 10 - 15 lat temu aby kogoś poznać (nawet przez Internet), trzeba było z tą osobą porozmawiać, poprosić o zdjęcie, spotkać się. Dzisiaj tego problemu nie ma. Wystarczy posiadać konto w serwisie społecznościowym lub wpisać kluczowe informacje do wyszukiwarki. W kilka minut jesteśmy w stanie nadrobić kilka dni zbędnego "klikania". Jest to typowy przykład, określony przez socjologów jako "podążanie za stadem". Skoro stu moich znajomych ma konto w portalu społecznościowym, to i ja powinienem je mieć. Tym sposobem dla kogoś innego my sami możemy być tą setną osobą. Tak powstaje samonapędzające się koło.

Z badań prowadzonych przez wiele firm zajmujących się bezpieczeństwem IT wynika, że około połowa użytkowników portali społecznościowych akceptuje zaproszenia od kompletnie nieznanych osób. Wielu z nich udostępnia tym "znajomym" swoje prywatne adresy e-mail, numery telefonów, a niektórzy nawet swój pełny adres zamieszkania. Zastanówmy się, jak intensywnych działań wymagałoby uzyskanie takich danych jeszcze kilka lat temu. Dzisiaj wystarczy kilka kliknięć...

Pomijając pojedyncze przypadki ujawniania swojego adresu zamieszkania, należy zastanowić się nad sensem umieszczania pozostałych danych. Numery komunikatorów, telefonów, informacje o rodzinie, dacie urodzin, wszystko to jest przecież przechowywane na serwerach. Co z tego, że zaznaczymy opcję tylko dla znajomych/ukryj. Nikt nigdy nie da nam stuprocentowej gwarancji, że zawartość serwera nie wpadnie w ręce cyberprzestępców, a dane wykradzione lub opublikowane. Jeżeli ktoś będzie starał się z nami skontaktować, może napisać wiadomość i poprosić o numer.

Osobnym wątkiem jest publikowanie zdjęć w serwisach społecznościowych. Nie jest niczym złym zamieszczanie własnych fotografii. Taka jest przecież idea tych portali, by dzielić się wrażeniami, na przykład, z wakacji i opisy ubarwiać zdjęciami. Sytuacja jest jednak inna, kiedy te fotografie zahaczają o granice dobrego smaku, są przepełnione erotyką lub scenami niekoniecznie zasługującymi na uznanie... Należy zdawać sobie sprawę, że za kilka lat mogą być one dla nas kompromitujące i pozbawić szans na dobre stanowisko pracy. Mówimy w końcu o gigantycznej bazie danych, do której każdy w mniej lub bardziej ograniczony sposób ma dostęp.

Zostańmy przyjaciółmi...

Serwisy społecznościowe mogą być wykorzystane do różnego rodzaju ataków mających na celu zbieranie informacji, przechwytywania loginów i haseł, a także do reklamowania i spamowania.

Pierwszym przykładem takiego działania jest robak internetowy Koobface. Jego nazwa to anagram słowa Facebook, serwisu który był atakowany przezeń najczęściej. Inne portale zmagające się z tym szkodnikiem to MySpace, Twitter, Bebo czy Hi5. Głównym celem robaka były newralgiczne dane, takie jak numery kart kredytowych. Jego działanie opierało się na infekowaniu kolejnych kont użytkowników, bazując na... zaufaniu. Okazało się bowiem, że jeżeli padniemy ofiarą robaka i nasze konto zostanie zarażone, do przyjaciół z naszej listy kontaktów będą wysyłane wiadomości i komentarze zawierające odnośniki do filmów na stronie przypominającej YouTube. Kiedy ktoś kliknie link, pojawi się prośba o pobranie najnowszej wersji programu Adobe Flash Player w celu odtworzenia filmu. Oczywiście będzie to koń trojański. Od tej pory nic nie będzie stało na przeszkodzie by wykradać hasła, numery kart kredytowych czy przyłączyć komputer do botnetu. Poniżej można zobaczyć jak wyglądała wiadomość generowana na fałszywej stronie:

mziarek_anonimowosc_02.png
Rys. 2. Strona, do której kieruje odsyłacz wysyłany przez robaka Koobface

Aby przejąć konto, Koobface początkowo infekował system i wykradał hasło oraz login potrzebne do zalogowania w portalu. Przeszukiwał w tym celu pliki cookie na komputerze ofiary, by następnie przejąć konto. Innym sposobem był phishing, a więc wysyłanie maili z linkiem prowadzącym do zainfekowanej strony, łudząco podobnej do oryginalnej. Użytkownik myślał, że wiadomość pochodzi od portalu i logował się poprzez wskazany odnośnik. Niestety, w tym momencie wszystkie dane były przesyłane do cyberprzestępcy, który wchodził w posiadanie kolejnego konta. Poniższy diagram pokazuje kolejne etapy zdobywania kont.

mziarek_anonimowosc_03.png
Rys. 3. Działanie robaka Koobface

Omawiane wcześniej sposoby przejmowania kontroli są niczym w porównaniu do ostatnich osiągnięć robaka Koobface. Jego najnowsza wersja jest całkowicie zautomatyzowana i nie wymaga ingerencji człowieka w proces pozyskiwania konta. Szkodnik sam rejestruje konto i potwierdza rejestrację ze z pocztowej skrzynki Gmail. W kolejnym kroku tworzy profil ze zdjęciem, dołącza do grup i dodaje nowych znajomych.

Należy być zatem nieufnym w stosunku do linków i zaproszeń jakie otrzymujemy od osób całkowicie nam obcych. Gorzej niestety sprawa się ma w przypadku otrzymania wiadomości z zainfekowanego konta naszego przyjaciela. Tutaj pomóc może rozwaga i niepobieranie plików z nieznanych źródeł. Ważny jest też uaktualniony program antywirusowy, który uchroni system przed infekcją nawet w przypadku próby pobrania niebezpiecznego pliku.

Kolejnym problemem serwisów społecznościowych są fikcyjne konta zakładane w celu reklamowania produktów lub spamowania. Tym razem za przykład może posłużyć portal Nasza-Klasa. Dwóch nastolatków napisało program, który automatycznie dodawał komentarz do każdej nowo opublikowanej fotografii w serwisie. Poza komplementem zamieszczano tam także reklamy i odnośniki do innych stron.

W przeszłości wizerunek Naszej Klasy był też wykorzystywany do rozsyłania wspomnianego wcześniej phishingu. Użytkownicy otrzymywali e-maila, w którym widniała informacja o oczekującej na portalu wiadomości. W celu jej odczytania należało kliknąć odnośnik.

mziarek_anonimowosc_04.jpg
Rys. 4. Phishing z użyciem wizerunku portalu Nasza-Klasa

W tym momencie następowało przekierowanie na fałszywą witrynę. Dalszy scenariusz jest niemal identyczny jak opisany wyżej przypadek robaka Koobface. Po przejściu na stronę, użytkownik proszony był o aktualizację programu Adobe Flash Player, który był szkodliwym programem wykradającym hasa:

mziarek_anonimowosc_05.jpg
Rys. 5. Zawartość strony wyświetlanej po kliknięciu odsyłacza z wiadomości phishingowej

Należy podkreślić, że administratorzy portali społecznościowych zdają sobie sprawę z zagrożeń, na jakie są narażone ich użytkownicy. Praktycznie każdy z nich posiada odpowiednią zakładkę na stronie głównej, z odpowiednimi informacjami, z których dowiedzieć się można w jaki sposób ograniczyć dostęp do konta osobom trzecim lub jak rozpoznać fałszywą wiadomość.

Piszę, więc jestem...

W Internecie nie jesteśmy anonimowi i nawet przy wielu staraniach, korzystaniu z serwerów pośredniczących, unikania wysyłania maili z przypadkowych miejsc, anonimowi nie będziemy. Zawsze jest opcja, że gdzieś popełniliśmy błąd. Wystarczy przecież, że założymy nowe konto w komunikatorze i nasz adres IP zostaje skojarzony z konkretnym numerem oraz mailem (który zazwyczaj jest niezbędny do rejestracji). Komuś może się wydawać, że wystarczy skorzystać z proxy lub programów typu TOR (The Onion Router) by anonimowo korzystać z Internetu. Nic bardziej mylnego. Po pierwsze nie zapewniają one bezpieczeństwa dla całego ruchu sieciowego, po drugie udowodniono, że istnieje szansa na zdobycie danych, które teoretycznie powinny być niewidoczne. W 2007 roku Dan Egerstad, szwedzki konsultant ds. bezpieczeństwa, udowodnił, że możliwe jest przejęcie nazw użytkowników i haseł do skrzynek pocztowych osób korzystających właśnie z programu TOR.

Druga sprawa to fakt, że większość użytkowników wychodzi z założenia, że wszystko co robią bez podpisywania się imieniem i nazwiskiem jest anonimowe. Używają loginów, tymczasowych nicków, nie zdając sobie nawet sprawy z tego jak szybko można do nich dotrzeć. Tymczasem wiele serwisów stosuje ostrzeżenia takie jak to poniżej:

mziarek_anonimowosc_06.png
Rys. 6. Ostrzeżenie o braku anonimowości

Dzięki temu, nawet jeżeli komentarz zawiera tylko tymczasowy login, przy samej wiadomości widoczny będzie unikatowy adres IP, będący wirtualnym odciskiem palca każdego urządzenia w Internecie. Dzięki temu, w skrajnych przypadkach, kiedy komentarz zawiera treści niezgodne z prawem, administrator strony, na której umieszczono wpis może powiadomić o zaistniałej sytuacji Policję. Adres IP wskaże dostawcę Internetu, który przy odpowiednim nakazie będzie zmuszony udostępnić dane osoby, której przypisano dany adres IP.

Portale społecznościowe wchodzą w nową fazę, która może jeszcze bardziej odbić się na naszej prywatności. Nie tylko dodajemy konta znajomych do naszego profilu i korespondujemy z nimi, ale dzielimy się także naszymi upodobaniami. Przykładem jest tutaj Facebook, który daje możliwość porównania zainteresowań znajomych, ich przekonań. Służą temu aplikacje, którym zezwalamy na dostęp do naszych danych.

mziarek_anonimowosc_07.png
Rys. 7. Porównywanie danych o znajomych

O ile w tym przypadku mamy w miarę klarowną sytuację i możemy po prostu nie zgodzić się na działanie aplikacji i udostępnianie jej pewnych danych, o tyle wcześniejsze działania Facebooka mogą nieco szokować. Kilka miesięcy temu głośna była sprawa systemu śledzenia aktywności użytkownika przy pomocy Facebook Beacon. Portal zbierał w ten sposób informacje o użytkowniku także na innych serwisach i stronach. Sama idea polegała na tym, by w momencie - na przykład- zakupu przedmiotu na jednej ze stron, z którą Facebook miał podpisaną umowę, odpowiednia informacja pojawiała się na ścianie użytkownika. To co wzbudziło najwięcej kontrowersji to fakt, że Facebook otrzymywał od zaprzyjaźnionych serwisów informacje o akcjach podejmowanych przez użytkownika nawet wtedy, kiedy nie wyrażał on na to zgody i nie był zalogowany w portalu.

Podsumowując artykuł można powiedzieć, że na ujawnienie części danych jesteśmy skazani poprzez samo podłączenie komputera do Sieci. Mam na myśli daty logowania, preferencje użytkownika, wyniki wyszukiwania oraz wiele innych informacji, bez których nie można mówić o swobodnym poruszaniu się po Internecie. Z drugiej jednak strony, nie musimy pomagać wielkim korporacjom w zdobywaniu naszych danych osobowych. Nie ma potrzeby uzupełniania wszystkich pól informacyjnych podczas rejestracji w nowym portalu. Publikowanie zdjęć, które nas kompromitują lub są przepełnione erotyką, może za kilka lat znacznie utrudnić nam, na przykład, znalezienie pracy. Pamiętajmy też, że ideą serwisów społecznościowych jest łączenie grona przyjaciół lub osób o podobnych zainteresowaniach. Liczba znajomych o niczym nie świadczy, więc nie akceptujmy każdego zaproszenia tylko dlatego, że ktoś nam je zaproponował.

Zakończę artykuł cytatem z książki "Rok 1984" George'a Orwella:

"Z epoki identyczności, z epoki samotności, z epoki Wielkiego Brata, z epoki dwójmyślenia pozdrawiam was!"

Źródło:
Kaspersky Lab