Berta Sándor
Név szerint azonosíthatók a közösségi portálok tagjai
Anonim szörfölés a weben? Egyszer régen tényleg valóság lehetett. IT-kutatóknak sikerült egy egyszerű módszerrel az internetezőket név szerint azonosítaniuk. A biztonsági probléma elsősorban a közösségi portálok több millió regisztrált tagjának lehet kellemetlen.
Thorsten Holz, Gilbert Wondracek, Engin Kirda és Christopher Kruegel egy 15 oldalas dokumentumban foglalták össze a probléma lényegét. A négy szakember az ISEC IT-Biztonsági Kutatólaboratóriumának munkatársai. Az intézményt a Bécsi Műszaki Egyetem, az Eurécom Institute és a Kalifornia Egyetem közösen hozta létre. A kutatók egy technikai értelemben viszonylag egyszerű módszert találtak a személyes adatok megszerzésére. A trükk egy tíz éve ismert biztonsági hibát használ ki. Sokan nem tudják, hogy azzal, hogy csatlakoznak egy felhasználói csoporthoz egy egyedülálló profil jön létre, ami a támadók számára olyan, mint ujjlenyomat, amit a böngészőből is könnyen kiolvashatnak.
"Egy közösségi hálózatban nagyon kevés azoknak a száma, akik ugyanazoknak a csoportoknak a tagjai. A Xingnél például az 1,8 millió regisztrált tag körülbelül 6500 csoportba szerveződött. Közülük több mint 750 000-nek van egy egyedi csoportkonstellációja, ami gyakorlatilag egy egyértelmű ujjlenyomatnak is tekinthető" - mondta Thorsten Holz és Gilbert Wondracek. Amennyiben egy módosított oldal működtetője fogja ezeket az virtuális ujjlenyomatokat és összehasonlítja egy közösségi portál minden regisztrált tagjának profiljaival, akkor egy idő múlva - az egyezéseknek köszönhetően - pontosan megállapíthatja az illető személyazonosságát.
A Xing tagjai máris tesztelhetik a módszert egy direkt erre a célra létrehozott portálon. A látogatóknak nem kell bejelentkezniük a rendszerbe és adatokat sem kell megadniuk magukról. A program egyedül a böngésző által a Xing látogatásakor hátrahagyott nyomok alapján kideríti az adott személy nevét. A kutatók szerint az ilyen jellegű támadások ellen csak a szigorú "adathigiénia és egy jó adag paranoia segít".
Az alapötlet Gilbert Wondracektől származik, aki észrevette, hogy a Xing hálózatában való tartózkodásakor a böngészője személyes adatokat is rögzít. Azonnal elmondta a dolgot a kollégájának, Thorsten Holznak. A két szakember úgy vélte, hogy ezek a támadások egy nagyon régi biztonsági rés, az úgynevezett History Stealing (a böngészők megjegyzik a meglátogatott honlapokat, és ezeket egyszerű ellopni) kihasználásával valósulhatnak meg. A probléma régóta ismert és számos honlap világít rá. Köztük van a Didyouwatchporn.com, amely felismeri, hogy ha a látogatója előzőleg egy pornóoldalon tartózkodott és hasonló elven működik a Whattheinternetknowsaboutyou.com, amely a látogató teljes archivált böngészését képes kilistázni.
A gond csak az, hogy ezek a megoldások többnyire a haverok idegesítésén kívül másra nem alkalmasak. Amit viszont Wondracek és három kollégája talált, az kicsit komolyabb. Megfelelő módszerekkel ugyanis a History Stealing arra is felhasználható, hogy megállapítsák: egy felhasználó melyik online csoporthoz tartozik. "Nagyon meglepődtünk, hogy mennyire könnyű volt ezt megállapítani" - nyilatkozta Wondracek. De nem csak ő lepődött meg, hanem az IT-szakma is. A szakembert azonnal meghívták a következő IEEE Symposium on Security & Privacy nevű szakértői konferenciára.
A módszer a következő módon működik: Első lépésként a kutatók elindítanak egy keresőrobotot valamelyik közösségi portálon. Ez úgy jelentkezik be a rendszerbe, mintha egy élő ember lenne, majd egymás után áttanulmányozza az összes felhasználói csoportot és eltárolja a tagok nevét egy adatbázisban. Így létrejön egy felhasználói adatkártya, amiben az emberek a csoporttagságuk szerint vannak rendezve.
A második lépés, hogy amennyiben az egyik regisztrált tag felkeresi a módosított oldalt egy javascript-program History Stealing-támadást intéz az illető böngészője ellen. Az alkalmazás másodpercek alatt átnézi a keresőrobot által korábban összegyűjtött több tízezer linket. Ha találatot észlel, akkor már tudni lehet, hogy az adott személy melyik csoport tagja. A támadók ugyanakkor még nem tudják az illető nevét.
A harmadik lépés, hogy a szoftver a csoportprofilt összehasonlítja a korábban készített felhasználói adatbázissal: mely látogatók aktívak. Amennyiben többen is, akkor a program egyenként megvizsgálja a hozzájuk tartozó linkeket és ha egyezést talál, megint egy lépéssel közelebb jut a célszemélyhez. Ezt a folyamatot egészen addig folytatja a keresőrobot, amíg végül csak egyetlen személy marad. Amikor sikeresen megtörtént az azonosítás a program kiszedi a profilból az illető nevét.
S hogy mi mindenre használhatók a megszerzett adatok? Nos, például zsarolásra, banki csalásokra, szociális és politikai ellenőrzésre, illetve célzott spamtámadások végrehajtására. De például az elnyomó rezsimek felderíthetik a titkos ellenzéki csoportok tagjait azáltal, hogy létrehoznak egy kormányellenes anyagokat tartalmazó oldalt és odacsalják a feltételezett ellenzékieket. Minden azon múlik, hogy a támadó milyen adatra kíváncsi. A név megszerzése után már könnyen hozzájuthat az illető más adataihoz, digitális fotóihoz, munkahelyi információhoz, barátaihoz, párjához. "Ha valaki mondjuk 20 millió spam e-mailt küld el, annak az is kifizetődő, ha csak minden ezrediket nyitják meg. A személyre szabott elektronikus levelekkel azonban kockázat nélkül növelni lehet ez az arányt" - jegyezte meg Holz.
A közösségi portálok üzemeltetői nem tehetnek sokat, az ilyen jellegű támadások nehezen blokkolhatók. A szakemberek szerint talán megoldást jelenthet, ha a belső linkek után véletlenszerűen egy számot helyeznek el. Ezeket a hivatkozásokat a felhasználók nem tudják elmenteni, így nehezebbé válik a támadók dolga is. Mivel napjainkban egyre több csoport jön létre a különböző közösségi platformokon, így ez a támadóknak kedvez. Minél több csoport van annál jobban működik egy ilyen támadás.
Az igazi problémát azonban az jelentheti, hogy a bűnözők ötvözik a régi és az új módszereket, ráadásul ez a megoldás annyira egyszerű, hogy akár egy kevésbé rutinos hacker is könnyedén alkalmazhatja. Felvetődnek jogi problémák is, hiszen, elvileg aki History Stealinget csinál, az nem követ el illegális dolgot, hanem csak a böngészők teljesen legális funkcióját használja ki. A bűnözők - a csoportok összekötésével - akár komplett áldozati dossziékat is összeállíthatnak, mindezt gyorsan, egyszerűen és olcsón.
A History Stealing az emberek szokásait használja ki: egyre többen szeretnék magukat megmutatni a világnak, ezért regisztrálnak a közösségi portálokra és csatlakoznak különböző csoportokhoz. Másrészt sok felhasználó sajnos nem igazán figyel a biztonságra. Bár a Firefox, az Opera vagy éppen az Internet Explorer is tartalmaz privát böngészés üzemmódot, ezt kevesen használják, mert lassítja, illetve körülményesebbé teszi a böngészést. Ezáltal viszont megnyílik az út a támadók előtt. Az egyetlen jó hír, hogy ez a támadási megoldás sem tökéletes. Először is, több percig tart, másodszor csak azoknál a csoporttagoknál alkalmazható, akik hosszabb ideig aktívak és akik bekapcsolták a böngészőjükben a sütik tárolását, illetve a javascript-funkció támogatást.
Mindenesetre a felhasználóknak fel kell tenniük azt a kérdést, hogy a körülményesebb böngészést és a biztonságot részesítik előnyben vagy inkább bevállalják a hagyományos böngészést és az ezzel járó kockázatokat? A fejlesztők ugyanis hiába integrálnak a böngészőikbe korszerű védelmi mechanizmusokat, ha az emberek ezeket kényelmi szempontok miatt nem használják.
Thorsten Holz, Gilbert Wondracek, Engin Kirda és Christopher Kruegel egy 15 oldalas dokumentumban foglalták össze a probléma lényegét. A négy szakember az ISEC IT-Biztonsági Kutatólaboratóriumának munkatársai. Az intézményt a Bécsi Műszaki Egyetem, az Eurécom Institute és a Kalifornia Egyetem közösen hozta létre. A kutatók egy technikai értelemben viszonylag egyszerű módszert találtak a személyes adatok megszerzésére. A trükk egy tíz éve ismert biztonsági hibát használ ki. Sokan nem tudják, hogy azzal, hogy csatlakoznak egy felhasználói csoporthoz egy egyedülálló profil jön létre, ami a támadók számára olyan, mint ujjlenyomat, amit a böngészőből is könnyen kiolvashatnak.
"Egy közösségi hálózatban nagyon kevés azoknak a száma, akik ugyanazoknak a csoportoknak a tagjai. A Xingnél például az 1,8 millió regisztrált tag körülbelül 6500 csoportba szerveződött. Közülük több mint 750 000-nek van egy egyedi csoportkonstellációja, ami gyakorlatilag egy egyértelmű ujjlenyomatnak is tekinthető" - mondta Thorsten Holz és Gilbert Wondracek. Amennyiben egy módosított oldal működtetője fogja ezeket az virtuális ujjlenyomatokat és összehasonlítja egy közösségi portál minden regisztrált tagjának profiljaival, akkor egy idő múlva - az egyezéseknek köszönhetően - pontosan megállapíthatja az illető személyazonosságát.
A Xing tagjai máris tesztelhetik a módszert egy direkt erre a célra létrehozott portálon. A látogatóknak nem kell bejelentkezniük a rendszerbe és adatokat sem kell megadniuk magukról. A program egyedül a böngésző által a Xing látogatásakor hátrahagyott nyomok alapján kideríti az adott személy nevét. A kutatók szerint az ilyen jellegű támadások ellen csak a szigorú "adathigiénia és egy jó adag paranoia segít".
Az alapötlet Gilbert Wondracektől származik, aki észrevette, hogy a Xing hálózatában való tartózkodásakor a böngészője személyes adatokat is rögzít. Azonnal elmondta a dolgot a kollégájának, Thorsten Holznak. A két szakember úgy vélte, hogy ezek a támadások egy nagyon régi biztonsági rés, az úgynevezett History Stealing (a böngészők megjegyzik a meglátogatott honlapokat, és ezeket egyszerű ellopni) kihasználásával valósulhatnak meg. A probléma régóta ismert és számos honlap világít rá. Köztük van a Didyouwatchporn.com, amely felismeri, hogy ha a látogatója előzőleg egy pornóoldalon tartózkodott és hasonló elven működik a Whattheinternetknowsaboutyou.com, amely a látogató teljes archivált böngészését képes kilistázni.
A gond csak az, hogy ezek a megoldások többnyire a haverok idegesítésén kívül másra nem alkalmasak. Amit viszont Wondracek és három kollégája talált, az kicsit komolyabb. Megfelelő módszerekkel ugyanis a History Stealing arra is felhasználható, hogy megállapítsák: egy felhasználó melyik online csoporthoz tartozik. "Nagyon meglepődtünk, hogy mennyire könnyű volt ezt megállapítani" - nyilatkozta Wondracek. De nem csak ő lepődött meg, hanem az IT-szakma is. A szakembert azonnal meghívták a következő IEEE Symposium on Security & Privacy nevű szakértői konferenciára.
A módszer a következő módon működik: Első lépésként a kutatók elindítanak egy keresőrobotot valamelyik közösségi portálon. Ez úgy jelentkezik be a rendszerbe, mintha egy élő ember lenne, majd egymás után áttanulmányozza az összes felhasználói csoportot és eltárolja a tagok nevét egy adatbázisban. Így létrejön egy felhasználói adatkártya, amiben az emberek a csoporttagságuk szerint vannak rendezve.
A második lépés, hogy amennyiben az egyik regisztrált tag felkeresi a módosított oldalt egy javascript-program History Stealing-támadást intéz az illető böngészője ellen. Az alkalmazás másodpercek alatt átnézi a keresőrobot által korábban összegyűjtött több tízezer linket. Ha találatot észlel, akkor már tudni lehet, hogy az adott személy melyik csoport tagja. A támadók ugyanakkor még nem tudják az illető nevét.
A harmadik lépés, hogy a szoftver a csoportprofilt összehasonlítja a korábban készített felhasználói adatbázissal: mely látogatók aktívak. Amennyiben többen is, akkor a program egyenként megvizsgálja a hozzájuk tartozó linkeket és ha egyezést talál, megint egy lépéssel közelebb jut a célszemélyhez. Ezt a folyamatot egészen addig folytatja a keresőrobot, amíg végül csak egyetlen személy marad. Amikor sikeresen megtörtént az azonosítás a program kiszedi a profilból az illető nevét.
S hogy mi mindenre használhatók a megszerzett adatok? Nos, például zsarolásra, banki csalásokra, szociális és politikai ellenőrzésre, illetve célzott spamtámadások végrehajtására. De például az elnyomó rezsimek felderíthetik a titkos ellenzéki csoportok tagjait azáltal, hogy létrehoznak egy kormányellenes anyagokat tartalmazó oldalt és odacsalják a feltételezett ellenzékieket. Minden azon múlik, hogy a támadó milyen adatra kíváncsi. A név megszerzése után már könnyen hozzájuthat az illető más adataihoz, digitális fotóihoz, munkahelyi információhoz, barátaihoz, párjához. "Ha valaki mondjuk 20 millió spam e-mailt küld el, annak az is kifizetődő, ha csak minden ezrediket nyitják meg. A személyre szabott elektronikus levelekkel azonban kockázat nélkül növelni lehet ez az arányt" - jegyezte meg Holz.
A közösségi portálok üzemeltetői nem tehetnek sokat, az ilyen jellegű támadások nehezen blokkolhatók. A szakemberek szerint talán megoldást jelenthet, ha a belső linkek után véletlenszerűen egy számot helyeznek el. Ezeket a hivatkozásokat a felhasználók nem tudják elmenteni, így nehezebbé válik a támadók dolga is. Mivel napjainkban egyre több csoport jön létre a különböző közösségi platformokon, így ez a támadóknak kedvez. Minél több csoport van annál jobban működik egy ilyen támadás.
Az igazi problémát azonban az jelentheti, hogy a bűnözők ötvözik a régi és az új módszereket, ráadásul ez a megoldás annyira egyszerű, hogy akár egy kevésbé rutinos hacker is könnyedén alkalmazhatja. Felvetődnek jogi problémák is, hiszen, elvileg aki History Stealinget csinál, az nem követ el illegális dolgot, hanem csak a böngészők teljesen legális funkcióját használja ki. A bűnözők - a csoportok összekötésével - akár komplett áldozati dossziékat is összeállíthatnak, mindezt gyorsan, egyszerűen és olcsón.
A History Stealing az emberek szokásait használja ki: egyre többen szeretnék magukat megmutatni a világnak, ezért regisztrálnak a közösségi portálokra és csatlakoznak különböző csoportokhoz. Másrészt sok felhasználó sajnos nem igazán figyel a biztonságra. Bár a Firefox, az Opera vagy éppen az Internet Explorer is tartalmaz privát böngészés üzemmódot, ezt kevesen használják, mert lassítja, illetve körülményesebbé teszi a böngészést. Ezáltal viszont megnyílik az út a támadók előtt. Az egyetlen jó hír, hogy ez a támadási megoldás sem tökéletes. Először is, több percig tart, másodszor csak azoknál a csoporttagoknál alkalmazható, akik hosszabb ideig aktívak és akik bekapcsolták a böngészőjükben a sütik tárolását, illetve a javascript-funkció támogatást.
Mindenesetre a felhasználóknak fel kell tenniük azt a kérdést, hogy a körülményesebb böngészést és a biztonságot részesítik előnyben vagy inkább bevállalják a hagyományos böngészést és az ezzel járó kockázatokat? A fejlesztők ugyanis hiába integrálnak a böngészőikbe korszerű védelmi mechanizmusokat, ha az emberek ezeket kényelmi szempontok miatt nem használják.