Hlavní navigace

Experiment Ars Technica: špehovat vás na internetu je tak jednoduché

 Autor: Isifa
David Slížek 12. 6. 2014

Jaká data se dají o člověku zjistit z jednoduchého monitorování jeho přístupu na internet? Pokus serveru Ars Technica o imitaci NSA ukázal, kolik nechráněných dat vysíláme.

Server Ars Technica (AT) publikoval velmi zajímavý článek popisující experiment, při kterém jeho reportér několik dní sledoval data proudící z a do smartphonu a počítače jednoho dobrovolníka – redaktora rozhlasové stanice NPR Stevea Henna

Posloužil k tomu v USA běžně prodávaný přístroj na testování bezpečnosti sítí – jde v podstatě o nenápadný malý router, který umí monitorovat datové přenosy přes wifi a Bluetooth (případně v ethernetové síti, pokud jej k ní připojíte) a je vybavený softwarem pro průniky do špatně chráněných sítí. Zjištěná data přitom umí posílat k analýze na svůj mateřský server.

Experimentátoři router připojili jako AP (access point) k domácí síti dobrovolníka (při reálném špehování by to samozřejmě útočník měl o něco těžší – musel by vymyslet, jak se do sítě dostat) a začali stahovat údaje o datech, která si jeho iPhone posílal a stahoval z internetu. „Za první dvě minuty jsme měli obrázek o Hennově digitálním životě v poslední době. A to ještě test pořádně nezačal,“ popisuje první výsledky AT.

Obrovské množství údajů bylo možné zjistit i ve chvíli, kdy telefon jen volně ležel na stole a majitel jej aktivně nepoužíval. Řada aplikací (mail, webový browser, mapy, kalendář, zprávy, Twitter, Facebook…) totiž běžela na pozadí a čile komunikovala přes internet.

Co není šifrované, je veřejné

Experimentátoři v malém měřítku imitovali postupy americké National Security Agency (NSA), která podle informací uniklých díky Edwardu Snowdenovi monitoruje internetový provoz na páteřních sítích. Nejprve sledovali a analyzovali kompletní data, která si Hennova síť vyměnila s internetem. V druhé fázi se pak soustředili na prověrku dat proudících z a do vybraných internetových služeb a aplikací.

Některá data odposlouchávat nedokázali – zejména pokud byla komunikace chráněná šifrováním (jako například pracovní e-maily nebo firemní VoIP komunikace, ke které NPR používá vlastní VPN). Zjistili ale, že řada internetových služeb není při šifrování dat příliš důsledná (ostatně – jak ukázaly nedávné chyby v OpenSSL – Heartbleeddalší, ani šifrování koneckonců nemusí být tak bezpečné, jak by se mohlo zdát).

Co všechno tedy byli schopní odhalit?

  • analýzou cookies (tzv. PREF cookie Googlu, která slouží mimo jiné k ukládání nastavení prohlížeče a k cílení reklamy) a refererů v odkazech, na které uživatel z vyhledávání přišel, dokázali poměrně přesně zrekonstruovat, jaké dotazy v poslední době vyhledával v Googlu (chybu týkající se nešifrovaného posílání dat z PREF cookie některým službám, například Mapám, už podle článku Google opravil).
  • z dat o vyhledávání na Amazonu se dá o uživateli zjistit řada osobních informací, včetně jména, data narození, místa bydliště a klíčových slov, která hledal. Při vyhledávání nebo prohlížení osobního „seznamu přání“ (Wish List) totiž nejsou stránky šifrované. Není to jen problém Amazonu, řada e-shopů totiž vyžaduje šifrované připojení až ve chvíli, kdy zákazník platí za nákup, do té doby jsou data nechráněná, konstatuje Ars Technica.
  • i když samotné hovory přes Skype jsou šifrované, jeho klient používal nechráněné spojení pro stahování profilových fotek uživatelů, ze kterého se dal zrekonstruovat seznam kontaktů (včeně jejich uživatelských jmen) konkrétního uživatele. Microsoft po upozornění uvedl, že chybu v nové verzi klienta opravil.
  • zlatým dolem dat se ukázaly být smartphony – na starších verzích Androidu například Facebook posílal nešifrované profilové a další fotografie, na Androidu 4.1.1 zase nebyly zašifrované dotazy na vyhledávání v Googlu.
  • v iOS pro změnu aplikace Yahoo na předpověď počasí posílala data o poloze uživatele zcela nešifrovaná a v textové podobě; prohlížeč Safari pro změnu na pozadí refreshuje stránky, které uživatel vysloveně nezavřel, takže je možné zjistit, na jakých webech se pohyboval.
  • operátor AT&T v souboru s nastavením pro iPhone posílá instrukci, aby se smartphone automaticky připojoval k wifi s názvem „attwifi“. Případnému útočníkovi tak stačí, aby svou wifi pojmenoval tímto SSID a telefon se k ní automaticky připojí.
  • mobilní aplikace Pinterestu posílá nezašifrovaná všechna data kromě nastavení aplikace a z WhatsApp se dají zjistit telefonní čísla.
  • jednoduše se dá zjistit, jaké aplikace si kdo stahuje či kupuje – obchody s aplikacemi (App Store i Google Play) posílají stahované aplikace v nešifrovaných souborech .ZIP

Kompletní popis odhalených bezpečnostních nedostatků najdete v článku.

KL_HLASOVANI

Ke všem výše popsaným výsledkům přitom Ars Technica došla jen prostým pasivním „odposloucháváním“ běžného internetového provozu jednoho uživatele. Experimentátoři se přitom nesnažili použít žádné „ostřejší“ aktivní techniky. 

Poučení? I když se snažíte dodržovat základní bezpečnostní opatření, soukromí na internetu je chiméra. Velmi podrobné informace o našem chování v síti si kdokoli může zjistit docela jednoduše. A nemusí to být zrovna NSA se svými velevýkonnými servery. Stačí trocha snahy a volně dostupný přistroj za pár set dolarů.

Našli jste v článku chybu?
Lupa.cz: Poučný příběh jednoho rozšíření pro Chrome

Poučný příběh jednoho rozšíření pro Chrome

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: RRTV: licence pro Šlágr TV

RRTV: licence pro Šlágr TV

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: 7 příčin neplodnosti u žen: pravda a mýty

7 příčin neplodnosti u žen: pravda a mýty

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: Vytvořte si web sami. Redakční systém Tumblr

Vytvořte si web sami. Redakční systém Tumblr

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup