16. diel - Bezpečnosť kyberpriestoru a anonymita na internete
V predchádzajúcej lekcii, Základné bezpečnostné opatrenia pri mobilných telefónoch , sme spomenuli riziká a zásady správneho používania mobilného telefónu z hľadiska kyberbezpečnosti.
V dnešnom tutoriále o kyberbezpečnosti rozšírime už prebratú tému bezpečnosti pri práci s mailami a webovými stránkami a zameriame sa na otázku anonymity na internete.
(Ne)dohľadateľnosť a anonymita na internete
Veľa užívateľov dnes príde internet ako viac-menej anonymné prostredie automaticky. Veď nás nikto nevidí a pri registrácii nie je problém vyplniť požadované údaje, nie? A čo ak musíme uviesť svoje telefónne číslo, na ktorom dnes už veľa služieb trvá? Aj to je predsa spracovávané anonymne... To platí však len do tej doby, než budeme potrebovať niekde niečo zaplatiť a naša virtuálna identita sa natrvalo previaže s identitou bankovou posvätenou štátom.
V skutočnosti je totiž dnešný internet naopak priamo prešpikovaný technológiami, ktoré sa snažia o užívateľovi zistiť čo najviac. Stopy, ktoré pre odborníka nie je problém dohľadať, za sebou nechávame neustále.
Adresa IP a servery DNS
Iste vieme, že základom komunikácie na internete je tzv. protokol IP. Komunikácia prebieha v zásade tak, že klient (užívateľ) položí dotaz na server a ten mu odpovie. Server reprezentuje nejaký vzdialený počítač ponúkajúci danú službu, napríklad mail alebo Facebook. Ten musí pritom samozrejme vedieť, kam má odpoveď poslať. Použije teda adresu IP, uvedenú v pôvodnej otázke.
Klasické IP (verzia 4) vyzerá spravidla nejako takto:
91.222.52.52
.
Aby to bolo pre ľudí jednoduchšie, existuje možnosť adresu IP pomenovať aj čitateľnejším názvom – doménou. Konkrétne vyššie uvedená IP adresa patrí mojej doméne www.eLancer.sk. O prevod medzi IP a doménovým názvom sa starajú tzv. servery DNS (Domain Name Service).
Pre nás je v tejto chvíli dôležité len to, že zakaždým, keď čokoľvek urobíme na internete, posielame vzdialenému serveru automaticky našu IP adresu. DNS server potom ukladá informácie o tom, že sme k danej doméne pristupovali vrátane údaja o čase spojenia.
Využitie TOR siete
Uvedený problém čiastočne rieši použitie siete TOR (The Onion Router project). Tá naša otázka pošle šifrovane cez tri nezávislé servery. Cieľový server, na ktorý svoju otázku skutočne pokladáme, potom vidí len IP adresu posledného servera v rade (výstupná gateway). Naša IP adresa zostáva tak preňho skrytá. Pozná ju len prvý server (vstupná gateway). Medzi nimi je potom ešte tretí, náhodne zvolený server TOR siete, ktorý informačne oddelí vstupné a výstupné gateway. Nakoniec navyše tieto servery všetko "zabudnú". Neukladajú informáciu o tom, že vôbec nejaké takéto spojenie kedy vybavovali.
Ak chceme len maskovať IP adresy pri prezeraní webových stránok, stačí si z uvedeného odkazu stiahnuť a použiť prehliadač TOR (Tor Browser). Jedná sa o upravený Firefox, ktorý túto sieť použije automaticky. Žiadne odborné znalosti k tomu teda mať ani nemusíme. Aj tak sa nám ale najskôr rýchlo stane, že:
- Svoju identitu rovnako najskôr prezradíme tým, že niekde na stránkach zadáme informácie, vďaka ktorým nás pôjde dohľadať iným spôsobom.
- Si raz otvoríme svoj mail cez clear net ("normálny" internet) a naša identita bude trvalo prezradená. Všetky log záznamy zostanú už uložené na danom serveri.
- Budeme mať problém si cez TOR sieť založiť nejaký mail. Pretože nás nemožno dohľadať a identifikovať podľa IP, väčšina poskytovateľov nám účet pri ďalšom pokuse o prihlásenie okamžite zamkne. Odôvodní to tým, že môže ísť o "napadnutie" nášho účtu. Pre odomknutie účtu budú vyžadovať najskôr naše telefónne číslo, kam pošlú overovací kód... Zďaleka nie je všetkým problémom koniec.
Metadata v bežne používaných súboroch
Ďalšie riziko predstavujú súbory, s ktorými bežne pracujeme. Väčšina formátov dokumentov (DOCX, ODT, PDF, HTML...) obsahuje tzv. metadáta, teda vedľajšie informácie v nich uložené. (Predpona meta je z latinčiny a znamená "vedľajšie"). Typicky obsahujú meno autora, príp. prihláseného užívateľa, dátum vytvorenia a zmeny, názov programu, ktorý ich vytvoril:
Obrázky a videá zase dnes spravidla obsahujú súradnice miesta, kde boli zhotovené a názov prístroja, ktorý ich vyhotovil:
Nie je problém také informácie z dokumentov odstrániť, ale je to vec, na ktorú sa ľahko zabudne.
JavaScript, makrá a HTML
Úplnú bezpečnostnú moru potom predstavujú "aktívne" dokumenty, ktoré niečo robia. Tie spravidla využívajú makrá alebo JavaScript. Pokiaľ nám na bezpečnosti záleží, mali by sme v našich aplikáciách tieto funkcionality zakázať.
Avšak aj jednoduché otvorenie čistého HTML dokumentu nemusí byť úplne bez rizika. To platí napríklad v prípade, že do mailu umiestnime externý obrázok a klient príjemcu ho stiahne. My sa takto jednoducho dozvieme, že ho otvoril a najskôr aj jeho pravú IP adresu! Takýto obrázok navyše v maile ani nemusí byť vidieť.
Väčšinu potrebných informácií ale o sebe aj tak prezradíme sami. Väčšinou si stačí pozrieť užívateľský profil a príspevky na Facebooku a párkrát sa opýtať Google.
O niečo drsnejšiu metódu predstavuje fyzický prieskum vyhodených odpadkov vo verejne prístupnom kontajneri. Zamyslime sa, čo všetko by sa útočník dozvedel z toho, čo sme sami len tak vyhodili do smetiaka?
Príklad (zne)užitie osobných informácií
Asi si myslíte, že aspoň v posledne spomínaných prípadoch žiadne veľké nebezpečenstvo nehrozí. Ale predstavme si, že niekto bude poznať naše obľúbené nákupné miesta. Podarí sa mu dokonca takto zistiť, čo bežne kupujeme alebo podľa čoho sa pri nákupe rozhodujeme.
Potom pre neho nebude ťažké dosiahnuť to, aby sme si priniesli domov nastraženú plošticu sami. Stačí ju uložiť maskovanú v nejakej veci. Pre útočníka je to dokonca bezpečnejšie, než sa k nám „vlámať“. A rozhodne sa jedná o lacnejší spôsob špionáže, než napríklad obstaranie použiteľného laserového mikrofónu rádovo za státisíce korún.
Praktická bezpečnosť SSL spojenia
Zabezpečenie typu SSL je skutočne prakticky neprelomiteľné. Ostatne, preto ho využívajú aj banky, úradné inštitúcie alebo WhatsApp. Pri komunikácii so serverom týmto spôsobom sa nám v prehliadači zobrazuje malý kaštieľ. SSL spojenie je tiež základom digitálnych podpisov.
Nespoliehajme sa však na SSL zabezpečenie úplne vo všetkom. Takto prenášané informácie samozrejme dokáže prečítať cieľový server.
K informáciám sa môžu dostať napríklad aj vyšetrujúce orgány, ak sa server nachádza na území spadajúce pod ich jurisdikciu. Vyšetrovatelia potom majú právo nariadiť vlastníkom takého servera, aby im prístup k informáciám umožnil.
Útoky typu MITM
Existuje aj ďalšia možnosť, ako sa k informáciám cieľového servera dostať – tzv. útok typu MITM (Man In The Middle). Spočíva v tom, že útočník vstúpi "doprostred" komunikácie medzi klientom a serverom a robí neviditeľného prostredníka. Z toho tiež pochádza jeho názov.
Miesto komunikácie Klient – Server potom prebieha komunikácia Klient – Útočník – Server. Pre Klienta sa Útočník tvári ako cieľový Server, zatiaľ čo pre Server zase ako Klient.
Aj tento spôsob útoku vyžaduje prístup k danej infraštruktúre. Tu už však nie prístup k samotnému serveru, ale k linkám akéhokoľvek providera, cez ktorého sa spojenie realizuje. A to môže byť pokojne aj v inom štáte, než kde sa Server alebo Klient nachádza!
Možno teda byť na internete skutočne anonymný?
Po prečítaní tohto článku asi tušíme, že odpoveď na túto otázku nie je jednoduchá. Technicky - áno, možné to je. Anonymnú identitu si môžeme vytvoriť. Možno sa tiež vyhnúť všetkým uvedeným nástrahám, dokonca aj tie prevody peňazí je možné zariadiť. Nie je to ale vôbec jednoduché a nástrahy číhajú na každom kroku. Aj profesionál môže ľahko urobiť osudovú chybu, najmä ak mu chýba kvalitné zázemie.
V ďalšej lekcii, Bezpečnosť kyberpriestoru - Možnosti ochrany , si ukážeme, ako sa v kybernetickom chrániť pomocou špeciálnej distribúcie Linuxu alebo využitím SandBoxu a VirtualBoxu. Zamyslíme sa aj nad rozumnou mierou celkového zabezpečenia.