keresés

2016. április 6., szerda

Adatbiztonság, adatvédelem - szoftverrel, vagy anélkül?

A hálózatiság, illetve az Interneten való jelenlét mára közel sem olyan elérhetetlen, mint korábban volt. Egyik példa erre, hogy már 2012-ben minden 5. ember rendelkezett szélessávú-internetkapcsolattal Magyarországon, mindezek mellett pedig Deutsch Tamás 2016. 04. 07-én megerősítette a korábbi ígéreteket, miszerint 2018-ra a magyar kormány minden településen elérhetővé teszi az ingyenes (szélessávú) wifi-t.
Ennek hozományaként azonban kérdés, hogy az átlagfelhasználó fel van-e/lesz-e készülve erre?

 Az ingyenes internetes "szolgáltatások" sok ember életében nagy fontossággal bírnak. Pl. videókat néz a Youtube-on, képeit, fájljait a Facebook-on, vagy a Google Drive-on osztja meg, számítógépére ingyenesen telepíti a Windows 10-et stb. Kérdés azonban:  miként is fizetünk az "ingyenességért". Mik lehetnek a hátrányai a felelőtlen adathalmozásnak, adatkezelésnek? Miért fontos az adatvédelem?


A triumvirátus – mibe is kerül az „ingyenesség”? ("Egy profil mind fölött...")

Facebook

A Facebook használatának előnyeit gyakorlatilag mindenki ismeri, azonban hátrányairól már kevesebbet olvashat, tájékozódhat a felhasználó (mindezek ellenére tapasztalhatja azokat). Ezen hátrányok közé tartozik például, hogy nyomon követik kereséseinket, érdeklődési köreinket a hirdetések felénk irányuló optimalizálása végett. Az aggasztó az, hogy ez nem csupán az oldal használatának időtartamára korlátozódik, hanem a kilépés elhagyásával való bezárásra, és sokszor már belépés nélkül is képesek azonosítani minket különböző szolgáltatásai, funkciói (pl. videómegosztók esetében „lájk” gomb) végett. Erről a témáról többen is írtak. Legújabb funkciójával pedig („lájk” funkció árnyalása) még finomabb adatokra tehetnek szert – illetve ezáltal érzelmileg is hatást gyakorolhatnak a felhasználóra azáltal, hogy hírfolyamának összetételének bizonyos szempontból való változtathatóságával mérhetővé válik, mi milyen hatással van a felhasználóra (reakciók, olvasási idő stb.). Ez azért lehet fontos (káros(?)), mert gyakorlatilag automatizálva lehet esetlegesen különböző algoritmusokat kinyerni a társadalom manipulálása érdekében, melynek „előnyei” például, hogy kultúrák és nyelvek feletti lehet.
Egyéb Facebook adatokat elemezve azonban egyéb következtetések is lehetségesek a felhasználók gyakorlatilag minden tevékenységéről – pl. biológiai ritmusokról.

Google

A Facebook mellett a másik, amit említeni szoktak adatvédelmi tekintetben a Google. Azért is fontos a Google, mert kereséseink révén szinte primer forrásból ismeri érdeklődési köreinket, időközben pedig a közösségi szolgáltatásaival, a YouTube felvásárlásával stb., fordított sorrendben építette fel "hatalmát", de végül is gyakorlatban ugyanott, vagy talán még kifinomultabb módon érte el azt, mint a Facebook a „profilweb” oldaláról.
A különböző szolgáltatásaiba való belépés nélkül is ismeri kereséseinket (IP, kiszolgáló stb. útján), szolgáltatásain keresztül pedig elég nagy hatékonysággal ismerheti jövőbeli igényeinket (pl. YouTube csatornák ajánlása stb.). Sőt böngészője, szinkronizálási lehetőségei (gyakran kényszerei) miatt egyre pontosabban képes az adott felhasználót „definiálni” (levelezéseit (Gmail), érdeklődési köreit (kereső, Google Books, YouTube), vásárlásait, beszélt/tanult/kapcsolatba került nyelveit (Google Translate), fizikai helyzetét, fizikai pozícióját (pl. hol él, hová tart a használó – Google Maps), házának, lakásának kinézetét, méretét (Street View) étrendjét, időbeosztását (Google Calendar), szakdolgozatait, egyéb dokumentumait, szellemi termékeeit (Google Drive) stb.).

Microsoft

Tudni kell a korábban leírtak mellett, hogy gyakorlatilag minden rendszer/szoftver gyűjt adatokat – általában ezt azzal indokolják, hogy a fejlesztésekhez szükséges. Azonban az ingyenessé vált Microsoft Windows 10 ezt úgy is megteszi, ha az adatvédelmi nyilatkozatunkban (használatakor) másképp rendelkezünk erről. Feltételezhetően az ingyenességet ilyen áron kapták meg a felhasználók – illetve bizonyos részei a továbbiakban is fizetős tartalmak (pl. Microsoft Word család). Tény, hogy egyéb megoldásokkal áthidalhatóak az ilyen esetek (pl. LibreOffice), azonban kérdés, ha az „ingyenesség” egyszer megszűnik (ld. játékiparban DLC/Pay-2-Win modellek), mihez kezdenek majd a felhasználók.

Triumvirátus vége, császárság kora közeleg?

A jelen piaci modelleket tekintve, elképzelhető, hogy a verseny folyamán a különböző cégek egymást kiegészítve (vagy bekebelezve) szinkronizálhatják különböző profiljainkat (Facebook, Google stb.). A kérdés az, hogy mire is fogják ezen adatok összességét használni? A válasz valószínűsíthetően nem biztos, hogy optimista, tekintettel arra, hogy ezen cégek, szolgáltatások tevékenységüket tekintve is már-már a sötét hálózat(ok) és a sötét web megoldásaira, aktivitásaira hasonlító módon gyűjti adatainkat az ingyenesség mögé bújva.


Adatvédelem

Adataink védelme az egyik legfontosabb teendő, aminek eleget kell tennünk az informatika világában is. Amennyiben nem a megfelelő módon kezeljük ezeket, könnyen adatlopásnak, adathalászatnak, banki adatokkal való visszaélésnek, anyagi kár okozásának, „identitáslopásnak” stb. válhatunk áldozatává.

Adathalászat, adatlopás

Adathalászat áldozatává válhatunk manapság több módon is – pl. online játékokban kért adataink megadásával, kémprogramok „véletlen” letöltésével stb.
Az ESET egyik közleménye például arról ad hírt, hogy az ismertebb alkalmazásokba épített káros tartalmak mellett (pl. Daemon Tools, µTorrent stb.) már különböző online játékok (pl. Full Tilt Poker, PokerStars) is használnak beépített kémprogramokat. Ezen kémprogramok nem csak az esetleges kártyapartik elvesztését eredményezhetik (tehát anyagi kár éri a felhasználót), hanem a böngészőből jelszavakat, azonosítókat próbálnak kinyerni.
Adathalászat esetén legtöbbször a felhasználó szolgáltat ki adatokat.
Egy ilyen esetről ad számot Brian Krebs, biztonsági szakértő, mely során egy hamis e-mail-lel csaltak ki bűnözők adózási adatokat a Seagate Technology egyik alkalmazottjától, melyek segítségével nem csak személyes adatokhoz stb. jutottak hozzá, hanem ezáltal hamis adó-visszaigénylési műveleteket is indíthattak.
Hasonló tevékenység, ami kiemelt fontosságú, amikor a felhasználók banki adatait próbálják kicsalni arra illetéktelenek a felhasználóktól. Tipikus példája ennek a hamis e-mail-ek küldése (pl. valamelyik bank nevében, hogy adatai megváltoztatásához a jelenlegi azonosítót, jelszót küldjük el a csalóknak), illetve gyakorlatilag a csalók lemásolják az adott bank weboldalát, annak felületét (a linkje a kapott e-mailben természetesen nem egyezik az adott bank hivatalos web címével), és azon a felületen próbálják elérni, hogy beírja a „netbankozás” reményében a felhasználó a megfelelő adatokat. Erre egyébként a Magyar Nemzeti Bank egyik közleménye is figyelmeztet.
 

Amerikában az ilyen esetek gyakorlatilag mindennaposak. Megesett például, hogy egy teljes üzleti cég bankszámláit „törték fel” bűnözők a lehalászott adatok segítségével. Máskor mobilalkalmazásokban talált kiskapukat használtak ki a csalók – pl. a NatWest online bankolási rendszere szenvedett támadást ilyen hibák miatt.
A Bitglass kutatói például kimutatták, hogy az ilyen adatok sokszor hetekig több kontinensen keringenek (a lenyomozhatóság sikerének esélyét csökkentve), továbbá a kétes üzenetek, kérések stb. esetében 1000 megtekintésből átlagosan 22-szer nyitották meg, töltötték le stb. a káros tartalmakat, dőltek be a csalásnak az USA-ban.
2016. 04. 09-én Magyarországon a veszprémi kórház informatikai rendszerét bénította meg egy időre egy zsaroló vírus (pl. ilyen a CTB-blocker, melyről írtak már mások is), mely egy megnyitott e-mailen keresztül juthatott be az intézmény rendszerébe.
Az internetes webáruházak esetén is természetesen fennállhatnak az imént felsorolt veszélyek.


Identitáslopás

Az identitáslopás már korántsem olyan nehezen kivitelezhető, mint korábban volt. A felhasználók teletöltik személyes adataikkal a közösségi oldalakat, nyereményjátékok stb. keretében telefonszámot, e-mail címet stb. adnak meg. Ezeken kívül néhány további adattal máris leképezhető valakinek a személye – természetesen csak hivatalos szempontból. Ezt használhatják fel bűnözők pl. adó-visszaigénylések jogosulatlan felvételére, bankszámlákhoz való hozzáféréshez, USA-ban rendszeres ilyen tekintetben a vízumokkal stb. való visszaélések. Erre maga az FBI is figyelmeztet mindenkit (egyébként 2016 februárjában pont az FBI volt áldozata egy adathalászati bűncselekménynek). A prevenció annak köszönhető, hogy az ottani lakosság 7%-át érintette ez a fajta bűncselekmény csak 2015-ben. Mindezek mellett az ilyen jellegű adatok „árai” is egyre alacsonyabbak – átlagosan fele annyiért lehet venni lopott/hamis adatokat 2014-óta (mindazonáltal ez még mindig bűncselekmény).

Többoldalú adatvédelem

Az adatvédelemnek a korábban leírtak mellett azonban két oldala van. Egyfelől a felhasználó és az általa használt eszköz/szolgáltatás oldala, másfelől a hatósági/hivatalos szervek és az eszközök/szolgáltatások oldala is. Az utóbbi időkben elszaporodtak az olyan viták, események, melyekre több ország jogalkotása nem készült fel, illetve másrészről a cégek, szolgáltatók sem.
Erre példa a San Bernardino-ban megtalált terroristák telefonjainak ügye, mely során az FBI felkérte az Apple-t, hogy segítsenek számukra feltörni aiPhone operációs rendszerét az abban tárolt adatokért (tekintettel az eszköz és a szoftver önvédelmi mechanizmusaira, ez kis sikerrel lett volna kivitelezhető belátható időn belül), azonban a cég megtagadta ezt. Perre vitték az ügyet, azonban később az FBI jelezte, hogy köszönik szépen, de már nincs szükségük az Apple-re, ugyanis mégis sikerült megoldaniuk ezt a problémát. Kérdéses, hogy az ilyen szempontú adatvédelem megér-e egy esetleges támadás meghiúsítását (ami emberéleteket menthetne meg), illetve kérdéses, hogy adott esetben milyen mértékben lehessen „semmibe venni” az adatvédelmet (annak veszélyével, hogy ezt másokra is könnyűszerrel kiterjeszthetik).
Európában is fennállhat egy ilyen vita, tekintettel a migránsválságra, az ellenőrizetlen és kontrollálatlan embertömegekre, illetve a beszivárogni vágyó/beszivárgott „sejtek” technikai tudására, mely kiterjed az Apple termékek ismeretére is (okkal).
Mindezeknek köszönhetően még világosabbá vált, hogy új koncepciókra van szükség az úgymond „dolgok Internetének”, mobileszközök védelmének stb. törvényi szabályozásához – pl. egységes kiberbiztonsági technológiai szabványokra.


Mit tehetünk?

Megannyi fórum témája az, hogy miként védhetjük meg magunkat a fentebb taglaltaktól, azonban az az igazság, hogy a szoftveres védelem csak részben működhet (vagy éppen maga a szoftveres védelem útján tesszük magunkat áldozattá a háttérben megbúvó összetevői miatt). Helyzetünkön javíthatunk például garantáltan vírusmentes tartalmak letöltésével (pl. Ninite), böngészőnkbe telepíthető blokkolóprogramokkal (pl. AdBlock, NoScript), inkognitómóddal, jelszavaink és azonosítóink „nem megjegyeztetésével”, megfelelő és naprakészen frissített vírusírtóval (pl. ESET), kevésbé sebezhető rendszerek használatával (pl. Ubuntu) stb.
Mindezek ellenére hiába bármilyen program, eszköz a védelmünk érdekében, ha  nem vigyázunk személyes adatainkra kellőképpen (közösségi oldalakon, nyereményjátékokra való regisztrációkor, online vásárláskor, e-mail levelezéseinkkor stb.), semmiféle szoftver vagy hatóság nem képes megelőzni a saját felelőtlenségünk okozta károkat.


Nincsenek megjegyzések:

Megjegyzés küldése