Hlavní navigace

Experiment Ars Technica: špehovat vás na internetu je tak jednoduché

12. 6. 2014
Doba čtení: 4 minuty

Sdílet

 Autor: Isifa
Jaká data se dají o člověku zjistit z jednoduchého monitorování jeho přístupu na internet? Pokus serveru Ars Technica o imitaci NSA ukázal, kolik nechráněných dat vysíláme.

Server Ars Technica (AT) publikoval velmi zajímavý článek popisující experiment, při kterém jeho reportér několik dní sledoval data proudící z a do smartphonu a počítače jednoho dobrovolníka – redaktora rozhlasové stanice NPR Stevea Henna

Posloužil k tomu v USA běžně prodávaný přístroj na testování bezpečnosti sítí – jde v podstatě o nenápadný malý router, který umí monitorovat datové přenosy přes wifi a Bluetooth (případně v ethernetové síti, pokud jej k ní připojíte) a je vybavený softwarem pro průniky do špatně chráněných sítí. Zjištěná data přitom umí posílat k analýze na svůj mateřský server.

Experimentátoři router připojili jako AP (access point) k domácí síti dobrovolníka (při reálném špehování by to samozřejmě útočník měl o něco těžší – musel by vymyslet, jak se do sítě dostat) a začali stahovat údaje o datech, která si jeho iPhone posílal a stahoval z internetu. „Za první dvě minuty jsme měli obrázek o Hennově digitálním životě v poslední době. A to ještě test pořádně nezačal,“ popisuje první výsledky AT.

Obrovské množství údajů bylo možné zjistit i ve chvíli, kdy telefon jen volně ležel na stole a majitel jej aktivně nepoužíval. Řada aplikací (mail, webový browser, mapy, kalendář, zprávy, Twitter, Facebook…) totiž běžela na pozadí a čile komunikovala přes internet.

Co není šifrované, je veřejné

Experimentátoři v malém měřítku imitovali postupy americké National Security Agency (NSA), která podle informací uniklých díky Edwardu Snowdenovi monitoruje internetový provoz na páteřních sítích. Nejprve sledovali a analyzovali kompletní data, která si Hennova síť vyměnila s internetem. V druhé fázi se pak soustředili na prověrku dat proudících z a do vybraných internetových služeb a aplikací.

Některá data odposlouchávat nedokázali – zejména pokud byla komunikace chráněná šifrováním (jako například pracovní e-maily nebo firemní VoIP komunikace, ke které NPR používá vlastní VPN). Zjistili ale, že řada internetových služeb není při šifrování dat příliš důsledná (ostatně – jak ukázaly nedávné chyby v OpenSSL – Heartbleeddalší, ani šifrování koneckonců nemusí být tak bezpečné, jak by se mohlo zdát).

Co všechno tedy byli schopní odhalit?

  • analýzou cookies (tzv. PREF cookie Googlu, která slouží mimo jiné k ukládání nastavení prohlížeče a k cílení reklamy) a refererů v odkazech, na které uživatel z vyhledávání přišel, dokázali poměrně přesně zrekonstruovat, jaké dotazy v poslední době vyhledával v Googlu (chybu týkající se nešifrovaného posílání dat z PREF cookie některým službám, například Mapám, už podle článku Google opravil).
  • z dat o vyhledávání na Amazonu se dá o uživateli zjistit řada osobních informací, včetně jména, data narození, místa bydliště a klíčových slov, která hledal. Při vyhledávání nebo prohlížení osobního „seznamu přání“ (Wish List) totiž nejsou stránky šifrované. Není to jen problém Amazonu, řada e-shopů totiž vyžaduje šifrované připojení až ve chvíli, kdy zákazník platí za nákup, do té doby jsou data nechráněná, konstatuje Ars Technica.
  • i když samotné hovory přes Skype jsou šifrované, jeho klient používal nechráněné spojení pro stahování profilových fotek uživatelů, ze kterého se dal zrekonstruovat seznam kontaktů (včeně jejich uživatelských jmen) konkrétního uživatele. Microsoft po upozornění uvedl, že chybu v nové verzi klienta opravil.
  • zlatým dolem dat se ukázaly být smartphony – na starších verzích Androidu například Facebook posílal nešifrované profilové a další fotografie, na Androidu 4.1.1 zase nebyly zašifrované dotazy na vyhledávání v Googlu.
  • v iOS pro změnu aplikace Yahoo na předpověď počasí posílala data o poloze uživatele zcela nešifrovaná a v textové podobě; prohlížeč Safari pro změnu na pozadí refreshuje stránky, které uživatel vysloveně nezavřel, takže je možné zjistit, na jakých webech se pohyboval.
  • operátor AT&T v souboru s nastavením pro iPhone posílá instrukci, aby se smartphone automaticky připojoval k wifi s názvem „attwifi“. Případnému útočníkovi tak stačí, aby svou wifi pojmenoval tímto SSID a telefon se k ní automaticky připojí.
  • mobilní aplikace Pinterestu posílá nezašifrovaná všechna data kromě nastavení aplikace a z WhatsApp se dají zjistit telefonní čísla.
  • jednoduše se dá zjistit, jaké aplikace si kdo stahuje či kupuje – obchody s aplikacemi (App Store i Google Play) posílají stahované aplikace v nešifrovaných souborech .ZIP

Kompletní popis odhalených bezpečnostních nedostatků najdete v článku.

BRAND24

Ke všem výše popsaným výsledkům přitom Ars Technica došla jen prostým pasivním „odposloucháváním“ běžného internetového provozu jednoho uživatele. Experimentátoři se přitom nesnažili použít žádné „ostřejší“ aktivní techniky. 

Poučení? I když se snažíte dodržovat základní bezpečnostní opatření, soukromí na internetu je chiméra. Velmi podrobné informace o našem chování v síti si kdokoli může zjistit docela jednoduše. A nemusí to být zrovna NSA se svými velevýkonnými servery. Stačí trocha snahy a volně dostupný přistroj za pár set dolarů.

Byl pro vás článek přínosný?

Autor článku

Šéfredaktor Lupa.cz a externí spolupracovník Českého rozhlasu Plus. Dříve editor IHNED.cz, předtím Aktuálně.cz a Českého rozhlasu. Najdete mě na Twitteru nebo na LinkedIn

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).