Hlavní navigace

Experiment Ars Technica: špehovat vás na internetu je tak jednoduché

 Autor: Isifa
David Slížek 12. 6. 2014

Jaká data se dají o člověku zjistit z jednoduchého monitorování jeho přístupu na internet? Pokus serveru Ars Technica o imitaci NSA ukázal, kolik nechráněných dat vysíláme.

Server Ars Technica (AT) publikoval velmi zajímavý článek popisující experiment, při kterém jeho reportér několik dní sledoval data proudící z a do smartphonu a počítače jednoho dobrovolníka – redaktora rozhlasové stanice NPR Stevea Henna

Posloužil k tomu v USA běžně prodávaný přístroj na testování bezpečnosti sítí – jde v podstatě o nenápadný malý router, který umí monitorovat datové přenosy přes wifi a Bluetooth (případně v ethernetové síti, pokud jej k ní připojíte) a je vybavený softwarem pro průniky do špatně chráněných sítí. Zjištěná data přitom umí posílat k analýze na svůj mateřský server.

Experimentátoři router připojili jako AP (access point) k domácí síti dobrovolníka (při reálném špehování by to samozřejmě útočník měl o něco těžší – musel by vymyslet, jak se do sítě dostat) a začali stahovat údaje o datech, která si jeho iPhone posílal a stahoval z internetu. „Za první dvě minuty jsme měli obrázek o Hennově digitálním životě v poslední době. A to ještě test pořádně nezačal,“ popisuje první výsledky AT.

Obrovské množství údajů bylo možné zjistit i ve chvíli, kdy telefon jen volně ležel na stole a majitel jej aktivně nepoužíval. Řada aplikací (mail, webový browser, mapy, kalendář, zprávy, Twitter, Facebook…) totiž běžela na pozadí a čile komunikovala přes internet.

Co není šifrované, je veřejné

Experimentátoři v malém měřítku imitovali postupy americké National Security Agency (NSA), která podle informací uniklých díky Edwardu Snowdenovi monitoruje internetový provoz na páteřních sítích. Nejprve sledovali a analyzovali kompletní data, která si Hennova síť vyměnila s internetem. V druhé fázi se pak soustředili na prověrku dat proudících z a do vybraných internetových služeb a aplikací.

Některá data odposlouchávat nedokázali – zejména pokud byla komunikace chráněná šifrováním (jako například pracovní e-maily nebo firemní VoIP komunikace, ke které NPR používá vlastní VPN). Zjistili ale, že řada internetových služeb není při šifrování dat příliš důsledná (ostatně – jak ukázaly nedávné chyby v OpenSSL – Heartbleeddalší, ani šifrování koneckonců nemusí být tak bezpečné, jak by se mohlo zdát).

Co všechno tedy byli schopní odhalit?

  • analýzou cookies (tzv. PREF cookie Googlu, která slouží mimo jiné k ukládání nastavení prohlížeče a k cílení reklamy) a refererů v odkazech, na které uživatel z vyhledávání přišel, dokázali poměrně přesně zrekonstruovat, jaké dotazy v poslední době vyhledával v Googlu (chybu týkající se nešifrovaného posílání dat z PREF cookie některým službám, například Mapám, už podle článku Google opravil).
  • z dat o vyhledávání na Amazonu se dá o uživateli zjistit řada osobních informací, včetně jména, data narození, místa bydliště a klíčových slov, která hledal. Při vyhledávání nebo prohlížení osobního „seznamu přání“ (Wish List) totiž nejsou stránky šifrované. Není to jen problém Amazonu, řada e-shopů totiž vyžaduje šifrované připojení až ve chvíli, kdy zákazník platí za nákup, do té doby jsou data nechráněná, konstatuje Ars Technica.
  • i když samotné hovory přes Skype jsou šifrované, jeho klient používal nechráněné spojení pro stahování profilových fotek uživatelů, ze kterého se dal zrekonstruovat seznam kontaktů (včeně jejich uživatelských jmen) konkrétního uživatele. Microsoft po upozornění uvedl, že chybu v nové verzi klienta opravil.
  • zlatým dolem dat se ukázaly být smartphony – na starších verzích Androidu například Facebook posílal nešifrované profilové a další fotografie, na Androidu 4.1.1 zase nebyly zašifrované dotazy na vyhledávání v Googlu.
  • v iOS pro změnu aplikace Yahoo na předpověď počasí posílala data o poloze uživatele zcela nešifrovaná a v textové podobě; prohlížeč Safari pro změnu na pozadí refreshuje stránky, které uživatel vysloveně nezavřel, takže je možné zjistit, na jakých webech se pohyboval.
  • operátor AT&T v souboru s nastavením pro iPhone posílá instrukci, aby se smartphone automaticky připojoval k wifi s názvem „attwifi“. Případnému útočníkovi tak stačí, aby svou wifi pojmenoval tímto SSID a telefon se k ní automaticky připojí.
  • mobilní aplikace Pinterestu posílá nezašifrovaná všechna data kromě nastavení aplikace a z WhatsApp se dají zjistit telefonní čísla.
  • jednoduše se dá zjistit, jaké aplikace si kdo stahuje či kupuje – obchody s aplikacemi (App Store i Google Play) posílají stahované aplikace v nešifrovaných souborech .ZIP

Kompletní popis odhalených bezpečnostních nedostatků najdete v článku.

Ke všem výše popsaným výsledkům přitom Ars Technica došla jen prostým pasivním „odposloucháváním“ běžného internetového provozu jednoho uživatele. Experimentátoři se přitom nesnažili použít žádné „ostřejší“ aktivní techniky. 

Poučení? I když se snažíte dodržovat základní bezpečnostní opatření, soukromí na internetu je chiméra. Velmi podrobné informace o našem chování v síti si kdokoli může zjistit docela jednoduše. A nemusí to být zrovna NSA se svými velevýkonnými servery. Stačí trocha snahy a volně dostupný přistroj za pár set dolarů.

Našli jste v článku chybu?

13. 6. 2014 20:15

Potkal jsem ve vlaku dlouho-nepotkanou kamarádku.
Odjela za prací do Jihoafrické republiky.
Pracuje pro agenturu, která evropským bankám dává podklady k poskytnutí úvěrů.
Za asi 5 dní nasbírá o klientovi asi 20 stránek "odposlechnutých" informací".
ČUs BUs. Užívajte si Internetu. ;-)





12. 6. 2014 17:16

Jirka (neregistrovaný)

Děkuji za, pro mě, zajímavý článek (včetně odkazů).

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá