Google wardriving? A co má vlastně být?

20. 5. 2010
Doba čtení: 10 minut

Sdílet

Autor: 29
Google Street View vozítka v Evropě zaznamenávala WiFi komunikaci, ke které se dostávala při průjezdech městem. Poněkud hloupě si tak Google opět ztížil pozici služby, která už tak má dostatek potíží. Jenže nejde se nezeptat - a co má vlastně být?

Wardriving heslo najdete v anglické Wikipedii snadno. V české to bude horší, nějaký „Tlusťa“ tam došel k názoru, že je „neencyklopedické“ a „spam“ a proto vcelku zajímavé heslo neexistuje. Najdete dokonce i www.wardrivin­g.com coby užitečný zdroj informací (byť trochu neaktuální).

Wardriving is the act of searching for WiFi wireless networks by a person in a moving vehicle, using a portable computer or PDA.

Svým způsobem wardriving mohl nejvíce proslavit Google. Právě jeho Street View vozítka totiž aktivně provozují wardrivint, tedy „vyhledávání WiFi sítí osobou v jedoucím vozidle s použitím přenosného počítače nebo PDA“.  Dokonce existuje i warbiking, tedy totožná činnost provozovaná za jízdy na kole. I tady by Google mohl být příkladem. A teoreticky by mohl být shledán vinným činností označovanou jako piggybacking, tedy připojováním se k sítím a používáním jejích služeb bez svolení. A v tomto okamžiku by už mohlo dojít i na stíhání pro trestný čin. V řadě zemí.

StreetViewCar2

Google Street View (Zdroj: Google Švýcarsko)

Google zaznamenával WiFi komunikaci

Klasický wardriving je pasivní, software pouze zaznamenává informace o dostupných WiFi sítích a kombinuje je s informací o poloze. V řadě případů také vytváří mapu pokrytí oblasti WiFi – Google původně právě tohle používal pro získání dodatečných informací pro geolokační služby. Vedle tradičního „zaměření“ mobilního telefonu a notebooku s pomocí GPS či buněk mobilního operátora by potom mohl přidat i odhad polohy podle dostupných WiFi sítí.

Aktivní wardriving je už trochu ošemetnější, vyžaduje připojení k přístupovému bodu a v některých zemích může být striktně nelegální. Ve většině případů je ale někde na hraně – v USA by například porušení zákona bylo teprve to, kdyby wardriver opravdu použil nějakou ze služeb přístupového bodu, nebo se jeho prostřednictvím připojil na místní síť či Internet.

Google Street View si v Evropě zadělal na problémy – vedle SSID a MAC adresy přístupového bodu totiž použité software zaznamenávalo i WiFi komunikaci. A jak vcelku logicky ochránci soukromí upozorňují, v řadě případů tato komunikace obsahovala osobní údaje. Taková už bohužel komunikace po Internetu je.

Celá kauza má typický průběh. V okamžiku kdy se o shromažďování poněkud nadbytečných dat začalo mluvit, Google se tvářil, jako že nic neshromažďuje. Později ale chybu přiznal a pokusil se poněkud lépe komunikovat. Ve WiFi data collection: An update označil aktivity za chybu a omyl způsobený použitím staršího kódu a pokusil se je vysvětlit. A zareagoval i na požadavky orgánů a organizací na ochranu soukromí tím, že s nimi bude spolupracovat a získané osobní údaje smaže. Trochu v prospěch Google je i to, že původní prohlášení označil za nekorektní.

Street View vozidla po tomto poněkud hloupém selhání přestala WiFi informace shromažďovat zcela a Google chce předložit používaný software nezávislém kontrole a pozměnit vnitřní procesy, aby k podobnému úletu nemohlo dojít tak snadno.

google_cars

Google Street View (Zdroj: Google)

Hloupá aféra

Google si opět zbytečně zadělal na problémy, o tom není sporu. Užitečnost zjištění polohy (pro ty co to budou potřebovat) na základě okolních WiFi sítí  je nesporná. Hodit se může tam, kde není možné použít GPS ani buňky mobilních operátorů.

Sbírat komunikaci z WiFi sítí při průjezdu městem je v podstatě úsměvné – moc toho získat nelze, vozidlo se přece jenom pohybuje dost rychle na to, aby odchytilo pouze fragmenty komunikací.

A popravdě, kdokoliv si může stoupnout s notebookem, PDA či chytrým telefonem na ulici a dělat totéž. Dlouhodobě a cíleně. A souhlasím s tím, že se můžete domnívat, že aféru nějakým způsobem zlehčuji. A že se snad snažím naznačit, že problém vlastně není problém.

Problém tu je. Google nic takového pochopitelně neměl dělat. A když už se mu podařilo něco takového dělat, měl lépe zvládnout krizovou komunikaci. Prvotní zatloukání ničemu neprospělo. A tradičně ničemu neprospěl ani Google CEO Eric Schmidt. Titulek Google chief Eric Schmidt downplays wi-fi privacy row v BBS je jenom dalším problematickým bodem – a je asi zjevné, že Eric Schmidt by býval udělal lépe, kdyby moudře mlčel, než pronášel věty typu. „Kdo byl poškozen? Řekněte jeho jméno“.

Korunu tomu nasadil i mluvčí Kay OberbeckDer Spiegel,  „Je důležité vědět, že tato technická informace bude skrz síť operátorů dostupná veřejnosti. Není to otázka osobních údajů. Tyto údaje jsou agregované a anonymní a průzkum je legitimní.“. Pokud ještě chcete nějaký důvod, proč nebrat tiskové mluvky moc vážně, tady máte jeden další.

Co se shromážděnými daty

Kritizovatelné je i další prohlášení Erica Schmidta -  „Nesmažeme to, dokud nám to někdo nenařídí.“ Vypadá na první pohled jako typické odtržení od reality a nepochopení závažnosti problému. Oč lepší by (zdánlivě) bylo prohlášení, že Google shromážděná data okamžitě smazal. Jakkoliv by samozřejmě vyvolalo vlnu pochybností o tom, „jestli to opravdu udělal“.

Problém je, že by to vyvolalo nevoli regulačních orgánů, které se teď třesou na to, aby data byla prověřena. Hovoří o tom dostatečně i prohlášení americké FTC, „musíme zjistit, co Google věděl a kdy to věděl. “ Stejně se vyjadřuje i NIC (National Information Commissioner) ve Velké Británii, „Google data by měla být smazána pouze poté, co je podrobíme rozboru, tak abychom zjistili, jaká dodatečná data byla získána.

trike

Google „Trike“

Důvěra je věc křehká

Google, Microsoft, Facebook a řada dalších společností se opakovaně pokouší měnit pravidla hry. V oblasti soukromí je to nejvíce markantní – stačí se podívat na místy až neuvěřitelný tlak Facebooku na to, aby se změnilo vnímání soukromí. A pravidla hry se většinou mění tak, že se prostě udělá něco, co zdánlivě není možné a přijatelné. Pak se sleduje, co se děje a podle reakcí se buď vítězoslavně křičí nebo se věc označí za omyl a chybu. Je to taktika funkční, protože každý takovýto pokus ve skutečnosti změní pravidla hry. Někdy mírně, někdy více.

Čím větší vliv firma  má, tím lépe se jí pravidla hry mění. Příklad Facebooku je markantní. Byť i v tomto případě je nutné se dívat na historii – kdyby například Facebook byl spuštěn s modelem soukromí podle Twitteru, nikdo by dnes nic nenamítal – všechno by totiž bylo veřejné od samého počátku.

V soukromí na Internetu neexistuje nic jako důvěra v dobré úmysly a dodržování pravidel – pokud někomu svěříte část svého soukromí, můžete dříve nebo později očekávat jenom to nejhorší. Ať už způsobené záměrem nebo chybou. Můžete pouze spoléhat na to, že ten někdo třetí se „bude snažit“ být důvěryhodný a chápat význam toho, co dělá. A co může způsobit porušením křehkého vztahu důvěry.

Důvěře neprospěje ani to, že San Francisco Chronicle někde dokázalo zjistit, že Google takto získal zhruba 600 GB dat z WiFi sítí v třicet zemích. A už vůbec nezní úplně nejlépe, že to dělal čtyři roky.

Problém je v samotném Internetu

Chcete mít soukromí? V takovém případě asi budete muset přestat používat Internet. Ale také mobilní telefony. A samozřejmě i telefony klasické. Už od dob socialistických je jasné, že jakékoliv „hovory“ je možné odposlouchávat. Dělo se to zcela běžně a soudruzi náhodně odposlouchávali hovory, jenom aby zjistili, jestli se náhodou někde nechystá nějaký ten rozvrat či antisocialistický čin. Cíleně samozřejmě odposlouchávali řadu osob. A nepochybně tak dnes činí „jiní soudruzi“. A můžeme se jenom spoléhat na to, že dodržují zákony a činí tak na základě soudního povolení.

Internet může odposlouchávat a zneužívat kdekdo. Veškerá vaše komunikace probíhá prakticky v otevřené textové podobě a odchytávat ji může kdekdo. Včetně vašeho ISP, všech ISP cestou. Ať už záměrně, nebo prostě jenom z nudy. Nebo za peníze pro někoho. Nebo z nařízení státních orgánů. Mnoho z naší internetové i mobilní komunikace je nepřetržitě a dlouhodobě ukládáno – nařizují to zákony. A zákonodárci se v posledních letech doslova zoufale snaží, aby toho bylo zaznamenáváno více a vše uchováváno ještě déle.

ey-praha-2009

Zabezpečení WiFi sítí v Praze (Zdroj: Ernst&Young, 2009)

Nad tím vším samozřejmě ještě existují tajné služby, které dělají tajné věci. A o povaze projektů typu Echelon se můžeme jenom dohadovat – byť jedno je už jisté, z období dohadů přešel tento projekt do povahy reálně existující činnosti. A hrozby pro naše soukromí – v telefonech, faxech, e-mailech a vůbec obecně jakýchkoliv datových přenosech, včetně mikrovln či optiky. Celosvětově.

Jakkoliv opět trochu zlehčím Google WiFi aféru, nelze se nezeptat. Proč ochránci soukromí nekřičí tak hlasitě v této oblasti. Jak je možné, že dovolí Evropské Unii a dalším zemím, aby plíživě rozšiřovala svůj vliv v oblasti odposlechů a špiclování? A stále více a více omezovala naše soukromí?

A proč se nikdo neptá, jakým způsobem zacházejí mobilní operátoři s daty, které nepřetržitě posílají a přijímají naše mobilní telefony. Daty velmi úzce spjatými s příliš konkrétním určením polohy a jednou konkrétní osobou?

Problém je také ve WiFi

WiFi je samozřejmě problém sám o sobě. Naše data pobíhající do vzdálenosti desítek až stovek metrů zpravidla běhají vzduchem ve zcela čitelné podobě. Pokud budete chtít odposlouchávat vnitřní firemní síť, tak k tomu budete zpravidla potřebovat do této sítě dostat nějaký ten program, který bude data odchytávat. Méně snadné je tam proniknout v podobě trojského koně. Velmi snadné bývá tam prostě přijít, najít síťovou přípojku a do ní připojit krabičku – v závratném množství firem je možné připojit počítač k první volné zásuvce. A už jenom sbírat. Byť s omezeními.

Extrémně jednoduchý způsob ale zpravidla nabízí právě WiFi. Zkuste si někdy sednout blízko místa, kde je hodně firem. Můžete si být jisti tím, že mají WiFi síť. A v několika případech z deseti bude dokonce otevřená, žádné zabezpečení. Což v praxi bude znamenat, že se můžete volně pohybovat uvnitř firemní sítě – přistupovat k počítačům, serverům, tiskárnám.

Že by snad probíhala TCP/IP komunikace šifrovaně? O tom si můžete nechat jenom zdát. A zpravidla nikdo ani neřeší, že by snad aspoň mohl nastavit nejprimitivnější WEP, aby nikdo nemohl síť snadno volně používat.

wardrive-on-android

Wardrive (Android) a integrace s Google Maps

Zkuste si to sami – můžete dokonce použít stejný software jako Google. Kismet je open source a je nakonec jedním z desítek podobných programů. A když už budete v tom zkoušení, tak doporučím k vyzkoušení i možnost rozlousknutí WEP (Airsnort)- to jenom pro ilustraci toho, že ani „chráněné“ WiFi sítě nejsou vlastně bezpečné.

A pokud se vám snad nebude Kismet líbit, můžete zkusit NetStumbler, KisMAC, iStumbler, inSSIDer, WigleWifi/war­drive (Android) či desítky dalších (přehled, další přehled)

Otevřené WiFi jsou problém

V Německu například čerstvě dospěli k názoru, že nechráněné WiFi sítě jsou hrozbou (German Court Determines Unprotected Wireless Networks a Threat) a možná se tak dočkáme toho, že po ulicích nebude jezdit Google vozidlo – místo toho se pozmění funkce vozidel tajných služeb a policií a ty budou hledat vlastníky WiFi a poté je vodit k soudu za to, že umožňují „teroristům“ využívat jejich infrastrukturu. Německá verze pokuty je zatím 100 Euro.

Otevřené WiFi sítě ale jsou skutečně problém – citované rozhodnutí německého soudu totiž upozorňuje na největší problém s otevřenými WiFi sítěmi. Mohou být skutečně použity pro nelegální aktivity. A zodpovědnost se tak může ocitnout na bedrech nikoliv zločince, ale toho, kdo pasivitou něco takového umožnil. A zde je nutno zdůraznit, že řada zemí se chystá zákonem stanovit, že za aktivity an otevřené WiFi je zodpovědný vlastník.

Pokud tedy provozujete WiFi přístupový bod, tak byste měli

  • nastudovat jak zapnout WPA (WPA2) protokol. A pamatovat si, že WEP je sice používaný, ale nechrání vlastně vůbec.
  • nezapomenout, že WiFi routery mají zpravidla nějaké tovární nastavení a to obnáší standardní SSID a ještě hůře, „nějaké“ standardní heslo.
  • zjistit, jak nastavit firemní přístupové body tak, aby umožňovaly jenom připojení známých (firemních) MAC adres – byť i MAC adresa je falšovatelná.
  • dávat pozor, pokud používáte WiFi v kavárnách, na letištích či kdekoliv jinde. Kdokoliv vás v takovém případě může odposlouchávat. A existuje nespočet WiFi přístupových bodů, které jsou takto používány. Pokud chcete komunikovat (relativně) bezpečně, začněte u používání HTTPS. A úplně nejlépe, jděte do VPN.
  • sledovat co se na vašich WiFi bodech děje, stejně tak jako to snad sledujete uvnitř sítě. Nějaký ten IDS (Intrusion Detection System) a analýzy rozhodně nejsou k zahození.

Shrnuto a podtrženo

Google shromažďováním dat z WiFi sítí udělal chybu, která ho v očích veřejnosti poškodila, ale ve skutečnosti nedělal nic jiného, než dělají (možná) stovky tisíc lidí každý den. Na Internetu nemáte soukromí a nikdy ho mít nebudete. Cokoliv na Internetu přenášíte, může být někde odchyceno a velmi pravděpodobně odchyceno a uloženo je. Jakkoliv můžete na Internetu komunikovat bezpečněji, skutečně zabezpečená komunikace by vyžadovala tolik úsilí, že by se vám to pravděpodobně už nevyplatilo.

Pokud chcete své soukromí chránit, zahoďte mobilní telefon a už nikdy se nepřipojujte k Internetu. Tečka.

 

Máte obavy, aby někdo nezachytil vaši komunikaci přes WiFi?

Autor článku

Konzultant a publicista, provozuje www.pooh.cz. Podle některých si myslí, že rozumí všemu, sám je však přesvědčen o pravém opaku a ani v 30+ letech nedokázal přijít na to, jak mít peníze a nepracovat.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).