Twój telefon i komputer wiedzą o tobie wszystko. Jak zabezpieczyć się przed kradzieżą najcenniejszych danych?
Michał Nazarewicz
18 października 2012, 12:15·12 minut czytania
Publikacja artykułu: 18 października 2012, 12:15
Strzeżesz swoich tajemnic, pilnujesz sekretów, ale dzielisz się nimi ze swoim najbliższym towarzyszem życia – komputerem i smartphonem. Tymczasem kilka kliknięć wystarczy, by to, co chcesz ukryć, wyszło na światło dzienne.
Reklama.
Ilu osobom wtedy zaszkodzisz? Czy maile, zdjęcia, notatki mogą mieć jakąkolwiek wartość dla kogoś, kto działa z niskich pobudek? Telefon komórkowy to niebezpieczna puszka Pandory, która – gdy wpadnie w niepowołane ręce – bez żadnego wahania pokaże rejestr rozmów, treść wiadomości, a także zbieraną nierzadko przez lata kolekcję zdjęć i nagrań wideo.
Jeszcze większym zagrożeniem jest laptop, który trudniej zabezpieczyć. Te urządzenia mają znacznie bardziej otwartą architekturę. To duży pozytyw dla tych, którzy lubią je modernizować: wymienić procesor czy dysk twardy. Bo zgromadzone tam dane najczęściej nie są chronione wcale. – W komputerach przenośnych przechowujemy nie tylko zdjęcia z wakacji (i te mniej przystojne), archiwa komunikatorów czy maile, ale także umowy biznesowe, poufne ustalenia ze wspólnikami czy plany finansowe – zauważa Karolina Jach, której firma zajmuje się ochroną tajemnic przedsiębiorstw przed wyciekiem, i która prowadzi poświęcony takim incydentom portal WyciekDanych.pl. – To szczególnie niepokoi, gdy uświadomimy sobie, jak łatwo taki dysk podłączyć do innego komputera i odczytać jego zawartość. Nie pomogą wtedy żadne hasła, bo w ten sposób się je omija. – dodaje Jach.
Ryzykowna wygoda
– Dlatego najskuteczniejszym sposobem ochrony danych w komputerze na wypadek kradzieży lub zgubienia jest zaszyfrowanie całego dysku twardego lub samego katalogu użytkownika. Są nawet bezpłatne programy, takie, jak TrueCrypt, które to robią bardzo dobrze – radzi Przemysław Jaroszewski, specjalista od zabezpieczeń komputerowych w firmie NASK. – Można korzystać także z programów, które zapamiętują nasze hasła, oczywiście, same są takim hasłem zabezpieczone. Narzędzia, takie, jak KeePass, po prostu ułatwiają cyfrowe życie – podpowiada specjalista.
– Jednak nawet umieszczenie całego systemu operacyjnego wraz z danymi na tak zabezpieczonej partycji czy dysku nie daje stu procent bezpieczeństwa – ostrzega Krzysztof Keller z firmy EFFOR, zajmującej się bezpieczeństwem tajemnic. – Przeprowadzone ostatnio ataki typu cold boot umożliwiają bowiem wydobycie haseł wpisywanych przy uruchamianiu komputera, które nawet w kilka minut po jego wyłączeniu są jeszcze w pamięci operacyjnej. Nie jest bowiem tak, jak zwykło się uważać, że po wyłączeniu komputera dane z RAM-u znikają. One tam jeszcze są przez kilkadziedziąt sekund, a nawet kilka minut. Mając narzędzia, można je odzyskać i w ten sposób odszyfrować zaszyfrowany dysk systemowy – wyjaśnia Keller.
Jaroszewski zauważa także, że wiele czynności użytkownika jest samych w sobie ryzykownych. Przykładowo, zapamiętywanie haseł w przeglądarkach internetowych, choć zwiększa wygodę, jest także zwyczajnie niebezpieczne. Skoro przeglądarka zna nasze hasła, to musi mieć jakieś miejsce, w którym je zapisuje, i sposób, by je później, w razie potrzeby, odczytać. Można się o tym przekonać choćby poprzez funkcję „Pokaż zapisane hasła” umieszczoną w programie Firefox. – Ta opcja, przygotowana przez programistów, nie jest sama w sobie luką w bezpieczeństwie. Jest jednym ze sposobów na to, by wzrastała świadomość użytkowników. Skoro każdy może mieć wgląd w kod źródłowy tego programu, i poznać wewnętrzne mechanizmy, to wiedza o zapisanych hasłach nie powinna być limitowana tylko dla wtajemniczonych – wyjaśnia ekspert.
Groźne ciasteczka
Same hasła, choć oczywiście niebezpieczne, to jedynie czubek internetowej góry lodowej. Przeglądarka zbiera bowiem, i zapisuje dużo więcej potencjalnie równie groźnych danych. Za takie specjaliści uważają także internetowe ciasteczka, czyli małe pliki, zapisywane na dysku twardym komputera, które przechowują niektóre informacje, przydatne na przykład przy ponownych uruchomieniach komputera. W ciasteczkach mogą być dane logowania do serwisów, zawartość koszyka z zakupami, preferencje.
Wynika z nich na przykład, jakie filmy oglądamy na internetowych witrynach, i które z nich odwiedzamy regularnie. To, w połączeniu z historią przeglądanych stron, daje osobom o niecnych intencjach kompletny obraz zwyczajów użytkownika. A jeśli do tego jeszcze dołożyć obrazki i strony zapisane w pamięci podręcznej przeglądarki, taki podglądacz będzie wiedział o naszym elektronicznym zachowaniu wszystko.
Równie niebezpieczne są także zapisane rozmowy z komunikatorów, takich, jak Skype czy polskiego GG. – Kilkukrotnie takie informacje były wykorzystywane przez adwokatów jako dowody w sądzie, chociażby przy sprawach rozwodowych – zdradza Karolina Jach. – Informatyka śledcza opiera się głównie na wiedzy o tym, jakie informacje komputery zapisują bez świadomości użytkowników, oraz na tym, jak się do nich dostać. Gdyby ludzie się zabezpieczali tak, jak zabezpiecza się biznes, mielibyśmy znacznie trudniejszą pracę – mówi.
Atrakcyjna blondynka
– To od nas zależy, ile i jakie informacje są zapisywane na stałe. Zarówno komputer, jak i telefon wiedzą tylko tyle o człowieku, na ile człowiek mu pozwoli – wyjaśnia Tomasz Dyrda z działu zarządzania ryzykiem nadużyć w firmie Ernst & Young. I przytacza prawdę, którą niczym mantrę powtarzają eksperci od bezpieczeństwa: wszystko zależy od świadomości użytkownika.
– Widziałem wiele firm kupujących urządzenia i programy, których producenci zapewniali o bezpieczeństwie. Ale gdy procedury, stosowane w korporacji, nie nadążają za tym wszystkim, co opracowują hakerzy i złodzieje informacji – ludzie, i firmy, tracą dane. Nikomu nie przychodzi do głowy, że informacje może wykraść chociażby atrakcyjna blondynka, która prosi na lotnisku o pozwolenie skorzystania z internetu „tylko na pięć minut” – opowiada Keller. – Takie historie to dla przedsiębiorstw i biznesmenów działających w Polsce zupełna nowość, na którą nie są przygotowani – dodaje.
Bo instalacja odpowiednio wcześniej przygotowanego, szkodliwego programu na komputerze to kwestia kilkunastu sekund. A na inżynierię społeczną, jak takie ataki określają hakerzy, odporna jest tylko przeszkolona mniejszość. Ten ułamek jeszcze się zmniejsza, gdy ta „inżynieria społeczna” to atrakcyjny przedstawiciel płci przeciwnej.
Wie, gdzie jesteś
Osobisty towarzysz życia, czyli telefon, od czasów poczciwych i służących tylko do dzwonienia Nokii i Siemensów przebył długą drogę. Dziś prowadzi dla nas kalendarz, zapisuje notatki – głosowe i tekstowe, robi zdjęcia. A przede wszystkim – ciągle wie, gdzie znajduje się jego użytkownik. I pozwala ustalić, co robił; w zasadzie – od zawsze. Zanim jeszcze do telefonów masowo trafiły odbiorniki satelitarnego systemu GPS, dane o lokalizacji zbierał operator komórkowy. To zresztą zrozumiałe: musi wiedzieć, gdzie znajduje się posiadacz telefonu, żeby wiedzieć, którędy skierować połączenie.
Dziś chwalimy się tym, gdzie jemy lunch, wypoczywamy i chodzimy do dentysty – publikując informacje o tym w serwisach społecznościowych. Chwaląc się pokonywanymi biegiem (czy na rowerze) trasami, przekazujemy też informacje o tym, gdzie mieszkamy: mało kto, wrzucając mapę z rekordowego treningu, zauważa, że początek i koniec trasy z reguły jest w tym samym miejscu – pod jego klatką schodową.
Nawet jednak, jeśli pilnujemy swojej prywatności, możemy być z niej odarci, gdy smartfon wpadnie w cudze ręce. Choć w Polsce nikt takich informacji nie zbiera, dzieje się to często: w bazie serwisu zgubione.net znajduje się blisko 12 tysięcy urządzeń. Prowadząca badania w Stanach Zjednoczonych firma Micro Trax informuje, że dzień w dzień właściciela w sposób nieplanowany zmienia 113 smartphone’ów na minutę. Telefon gubi rocznie prawie 25 procent Amerykanów: w taksówkach (120 tysięcy przypadków rocznie), autobusach i pociągach, na lotniskach. Do biura londyńskiego Zarządu Transportu Miejskiego wpływa co roku prawie 123 tysięcy zgłoszeń, dotyczących zgubionych telefonów i komputerów. Tylko kilka procent z nich udaje się odnaleźć.
Co dzieje się z resztą? Z pewnością znajdują nowych właścicieli; tylko od poszkodowanych posiadaczy zależy, czy dostaną z nimi także zdjęcia, wiadomości i kontakty. – W przypadku danych prywatnych, naraża się na utratę prywatności tylko relatywnie niewielki krąg osób: są to głównie znajomi – zauważa Dyrda. – Ale w przypadku urządzeń wykorzystywanych przez klientów biznesowych, potencjalne ryzyko jest znacznie, znacznie większe. To, co jest na smartfonach, może mieć wpływ nie tylko na mnie, ale także na firmę, firmy współpracujące, szerszy krąg ludzi – podsumowuje.
Nic w tym dziwnego: przenośne urządzenia w służbie ludzi interesu mają często zapisane dane logowania do skrzynek pocztowych, połączeń z wewnętrznymi sieciami VPN, dokumenty zawierające informacje o współpracownikach, raporty, umowy.
Kryptografia w telefonie
Trzy najpopularniejsze platformy, czyli Android opracowany przez Google (wykorzystywany w telefonach m. in. Samsunga, Motoroli czy LG), iOS (iPhone) i BlackBerry (RIM) mają możliwość takiego ich zabezpieczenia, żeby w przypadku ich utraty przynajmniej usunąć znajdujące się w pamięci dane. Większość z nich można także wyposażyć w rozwiązania pozwalające na ich lokalizację. Wymagają one jednak łączności z siecią. Czy są bezbronne, gdy wpadną w ręce kogoś, kto zdobył je wyłącznie w celu skopiowania danych?
– Wszystkie nowoczesne telefony, niezależnie, czy pracują pod kontrolą systemu Android, Symbian, iOS, Windows Phone czy BlackBerry OS można tak skonfigurować, by uniemożliwiały dostęp do zgromadzonych w nich danych – uspokaja Karolina Jach. – Czasem wiąże się to jednak z poważnymi ingerencjami w oprogramowanie: my stosujemy sprawdzone na całym świecie rozwiązania komercyjne, które pracują na poziomie jądra telefonu – dodaje. Oznacza to, że nawet, jeśli ktoś będzie chciał je od nowa zaprogramować, nie usunie takiego programu.
Często wystarczy jednak wykorzysytać te funkcje, które telefon oferuje „w pakiecie”. Zarówno iPhone, jak i BlackBerry wykorzystują kryptografię, którą trzeba jednak włączyć – i wtedy w znacznym stopniu uodparniamy się przed próbami przejęcia naszych danych.
O zabezpieczeniach stosowanych przez firmę z jabłkiem w logo wypowiedział się jeden z przedstawicieli amerykańskiego Departamentu Sprawiedliwości. Na prowadzonym przez Massachusets Institute of Technology blogu „Technology Review” możemy przeczytać: „choć na początku urządzenia Apple były pełne poważnych błędów związanych z bezpieczeństwem (...) dziś w wielu przypadkach zastosowane rozwiązania uniemożliwiają przeprowadzenie organom ścigania jakiejkolwiek analizy danych.”
Szczególną uwagę autorzy opracowania zwracają na użycie zaawansowanej kryptografii, która tak bardzo chroni przechowywane w urządzeniu danych, że specjaliści nie mogą sobie z tym poradzić. – Z perspektywy Departamentu Sprawiedliwości wygląda to tak, że jeśli dysk [w urządzeniu] jest zaszyfrowany, nie mamy tam czego szukać – powiedział Ovie Carroll, dyrektor laboratorium ds. zwalczania cyberprzestępczości Wydziału ds. Przestępczości Komputerowej i Ochrony Własności Intelektualnej amerykańskiego Departamentu Sprawiedliwości. Takie zabezpieczenia, oprócz ochrony prywatności, działają także na niekorzyść społeczeństwa: nietrudno wyobrazić sobie, jak podobne stwierdzenia muszą cieszyć kryminalistów.
Zastosowane w iPhone oraz iPadzie rozwiązania wykorzystują kryptografię AES (Advanced Encryption Standard), stosowaną również przez organizacje państwowe. Każde z urządzeń ma własny klucz prywatny, który nie jest nigdzie przechowywany. Oznacza to, że takich danych po prostu nie da się odczytać. Żeby jednak z takich zabezpieczeń korzystać, należy pamiętać o... ich włączeniu.
- W [tych urządzeniach] to ode mnie zależy, czy zdefiniuję haslo dostępowe do telefonu. Jego zabezpieczenia są na tyle mocne i dobre, że jeśli hasło jest ustawione, a ja go nie znam, to wyciągnięcie danych jest bardzo trudne – wyjaśnia Tomasz Dyrda. – Jeśli hasła nie ma wcale, to dostęp jest otwarty do zdjęć, kontaktów, wiadomości, danych o historii internetowej, danych innych aplikacji – uzupełnia.
Zabezpieczenia BlackBerry są jeszcze poważniejsze, bo trudno jest je zupełnie wyłączyć, a nad ich konfiguracją czuwają z reguły firmowi informatycy. Urządzenia te powstały bowiem z myślą o rynku korporacyjnym i rządowym, więc oferują wiele możliwości, takich, jak chociażby wymuszanie okresowej zmiany haseł.
Główny klucz
Oczywiście, nawet zaszyfrowanie danych nie musi zapewniać stuprocentowej pewności, że nie da się ich odzyskać. Inaczej na takie rozwiązania nie godziłyby się korporacje, dla których dane są bardzo cenne. Istnieją systemy, które korzystają z tzw. master key, czyli klucza głównego – którym można się posłużyć, by odszyfrować wszystkie zaszyfrowane dane.
– Część droższych programów, wykorzystywanych do ochrony tajemnic i zabezpieczania ich przed wyciekiem na skutek kradzieży nośnika lub urządzenia, daje możliwość awaryjnego odszyfrowania informacji. Taka funkcjonalność jest też wbudowana w komputerowe systemy operacyjne, między innymi te, firmowane przez Microsoft i Apple – wyjaśnia Karolina Jach.
To zrozumiałe. Nikt nie lubi tracić swoich danych – nie tylko gdy je fizycznie zgubi, ale – a może szczególnie – gdy zapomni to długie hasło, które wydawało się takie trudne, że okazało się aż nadto skuteczne.