Jak se budou šířit ukradená data internetem? To se rozhodla zkusit firma Bitglass, která se zabývá bezpečností dat a nabízí nástroje na rychlé upozorňování na úniky (například vyhledáváním podezřelých přenosů v záznamech z firewallu).
V roce 2014 totiž podniky přišly na nabourání a únik v průměru až po 205 dnech. Alespoň to tak vyšlo firmě FireEye. I tato doba je přitom zlepšením oproti minulosti.
Jak sledovat data?
V Bitglass sestavili excelový soubor s 1586 algoritmicky vytvořenými jmény a osobními údaji smyšlených zaměstnanců, včetně adres, telefonních čísel, čísel sociálního pojištění a kreditních karet.
Bitglass tvrdí, že je schopen do souboru umístit vodoznak, který „dává vědět domů“, tedy Bitglassu, kdo a kde (IP adresu a uživatelské jméno) a na jakém zařízení soubor otevřel. Firma prý dokáže doplňovat vodoznak do souborů při jejich průchodu skrze její proxy. (Do formátů například pro Office to patrně může jít.)
Označené soubory umístili v lednu 2015 na Dropbox a skrze Tor na sedm „tržišť“ na „temném webu“. Pak už jen sledovali, odkud a kolikrát se jim soubory ohlásí.
Za prvních osm dnů byla data zobrazena dvousetkrát, a to z těch míst, kam byla umístěna (píše The Verge) a lidmi z pěti zemí na třech světadílech. Pak se začala šířit a dvanáctý den posbírala 47 různých stažení a 1081 zobrazení z 22 zemí na pěti světadílech. Poté Bitglass patrně pokus uzavřel.
Můžeme se dohadovat, jak spolehlivé je v tomto případě určení polohy podle IP adres, Bitglass nicméně tvrdí, že ve vzorci následných přístupů rozpoznali, že soubory si mezi sebou sdílely především dvě skupiny, jedna nigerijská a jedna ruská.
Předpokládat se dá i to, že offline otevření by se nezaznamenalo, nebo to, že data přemístěná do jiného souboru by se už neohlašovala, jakkoli Bitglass prohlašuje, že jejich vodoznak přežije i úpravy souboru. Bez znalosti podrobností o užité značkovací technologii těžko posoudit, jakou míru aktivity s daty skutečně zachytili a co jim mohlo uniknout.
