Berta Sándor
Bárki hozzáférhet a fájlmegosztókra feltöltött adatokhoz
A Leuveni Katolikus Egyetem és az Eurécom Intézet munkatársai azt vizsgálták, hogy vajon mennyire biztonságosak a különböző fájlmegosztó szolgáltatások. A felhasználók gyakran bízzák rá akár a személyes adataikat is ezekre a platformokra, így egyáltalán nem mindegy, hogy megbízhatnak-e bennük vagy sem.
Az elmúlt években robbanásszerűen megnőtt a fájlmegosztók száma, és ezek a platformok egyre népszerűbbek, elég csak a RapidShare-t, az Easyshare-t és a Filefactory-t megemlíteni. Ezek az oldalak egy dologban megegyeznek: bárki szinte bármilyen fájlt feltölthet rájuk és azokat harmadik fél számára is elérhetővé teheti. Ez utóbbi többnyire egy URL-n keresztül történik, azaz aki ismeri az URL-t, az hozzáférhet a fájlokhoz. A Leuveni Katolikus Egyetem és az Eurécom Intézet kutatói arra voltak kíváncsiak, hogy kellően biztonságosak-e ezek a szolgáltatások.
A felmérés katasztrofális eredménnyel zárult, kiderült ugyanis, hogy szinte egyáltalán nem biztosítható az egyes fájlokhoz való korlátolt hozzáférés. Könnyen elképzelhető ugyanis, hogy valaki csak a barátainak vagy a családtagjainak akarja elérhetővé tenni egy családi eseményről készült fotóit, ám az azokhoz vezető hivatkozáshoz elvileg bárki hozzáférhet. A szakemberek több mint száz fájlmegosztót vizsgáltak meg és az eredmény gyakorlatilag minden esetben ugyanaz volt: a rendszerek csődöt mondtak.
"Miközben a szolgáltatások azt állítják, hogy az URL titkos és senki sem fejtheti meg, a tanulmányunk rámutatott, hogy ez egyáltalán nem igaz" - jelentette ki a vizsgálatban részt vevő egyik informatikus. A belga és francia kutatók egy úgynevezett webcrawler programot készítettek, ami egyetlen hónap alatt több százezer személyes adatot és fájlt talált meg a világhálón. A szakemberek alig akartak hinni a szemüknek, ezért látszólagos feltöltéseket is végeztek, hogy így ellenőrizzék le azt, hogy ezzel vagy hasonló módszerrel valóban hozzájuthatnak-e illetéktelen személyek ezekhez az információkhoz.
Egy hónap alatt a vizsgált adatcsomagokhoz 80 IP-címről 275 hozzáférés történt. Mindez annak ellenére valósult meg, hogy a linkeket egyetlen felhasználóval sem közölték! A legrosszabb helyeken azok a fájlmegosztók végeztek, akik úgynevezett szekvenciális URL-t adnak meg. A létrehozott szkript kifejezetten ilyen URL-ket vizsgált és sikerült is egy hónap alatt 311 000 fájlt felkutatnia.
A kutatók a tapasztalataikat egy összefoglaló anyagban hozták nyilvánosságra. A csoport tagja volt a Leuveni Katolikus Egyetem képviseletében Nick Nikiforakis, Steven Van Acker, Wouter Joosen, míg az Eurécom Intézettől Marco Balduzzi és Davide Balzarotti.
Az elmúlt években robbanásszerűen megnőtt a fájlmegosztók száma, és ezek a platformok egyre népszerűbbek, elég csak a RapidShare-t, az Easyshare-t és a Filefactory-t megemlíteni. Ezek az oldalak egy dologban megegyeznek: bárki szinte bármilyen fájlt feltölthet rájuk és azokat harmadik fél számára is elérhetővé teheti. Ez utóbbi többnyire egy URL-n keresztül történik, azaz aki ismeri az URL-t, az hozzáférhet a fájlokhoz. A Leuveni Katolikus Egyetem és az Eurécom Intézet kutatói arra voltak kíváncsiak, hogy kellően biztonságosak-e ezek a szolgáltatások. A felmérés katasztrofális eredménnyel zárult, kiderült ugyanis, hogy szinte egyáltalán nem biztosítható az egyes fájlokhoz való korlátolt hozzáférés. Könnyen elképzelhető ugyanis, hogy valaki csak a barátainak vagy a családtagjainak akarja elérhetővé tenni egy családi eseményről készült fotóit, ám az azokhoz vezető hivatkozáshoz elvileg bárki hozzáférhet. A szakemberek több mint száz fájlmegosztót vizsgáltak meg és az eredmény gyakorlatilag minden esetben ugyanaz volt: a rendszerek csődöt mondtak.
"Miközben a szolgáltatások azt állítják, hogy az URL titkos és senki sem fejtheti meg, a tanulmányunk rámutatott, hogy ez egyáltalán nem igaz" - jelentette ki a vizsgálatban részt vevő egyik informatikus. A belga és francia kutatók egy úgynevezett webcrawler programot készítettek, ami egyetlen hónap alatt több százezer személyes adatot és fájlt talált meg a világhálón. A szakemberek alig akartak hinni a szemüknek, ezért látszólagos feltöltéseket is végeztek, hogy így ellenőrizzék le azt, hogy ezzel vagy hasonló módszerrel valóban hozzájuthatnak-e illetéktelen személyek ezekhez az információkhoz.
Egy hónap alatt a vizsgált adatcsomagokhoz 80 IP-címről 275 hozzáférés történt. Mindez annak ellenére valósult meg, hogy a linkeket egyetlen felhasználóval sem közölték! A legrosszabb helyeken azok a fájlmegosztók végeztek, akik úgynevezett szekvenciális URL-t adnak meg. A létrehozott szkript kifejezetten ilyen URL-ket vizsgált és sikerült is egy hónap alatt 311 000 fájlt felkutatnia.
A kutatók a tapasztalataikat egy összefoglaló anyagban hozták nyilvánosságra. A csoport tagja volt a Leuveni Katolikus Egyetem képviseletében Nick Nikiforakis, Steven Van Acker, Wouter Joosen, míg az Eurécom Intézettől Marco Balduzzi és Davide Balzarotti.
