8:00
4/11/2017

Z racji liczby udzielanych mediom wypowiedzi, doszliśmy do wniosku, że ze względu na ich szczegółowość i edukacyjny charakter, będziemy je także udostępniali na łamach Niebezpiecznika. Nie chcemy aby zniknęły w otchłani czyjegoś serwera za kilka lat, albo żeby schowano je za paywallem danej gazety. Dodatkowym atutem będzie to, że prezentowana przez nas wypowiedź jest pełna (gazety ze względu na format artykułu i ograniczenia nałożone na liczbę znaków często zmuszone są skracać wypowiedzi lub w inny sposób je parafrazować/upraszczać. U nas zawsze oryginalny zapis :).

Wypowiedź dla magazynu Social Press dotycząca namierzania i deanonimizacji internautów w mediach społecznościowych.

W krytycznych przypadkach, możliwe jest pozyskanie większości informacji, jakie osoba ta umieściła w sieci – nawet z prywatnych wiadomościach. Ostatni tego typu przykład mieliśmy rok temu, kiedy wykradziono bazę danych popularnego serwisu randkowego Ashley Madison ale także w Polsce użytkownicy serwisów erotycznych byli szantażowani przez włamywacza, który po włamaniu pozyskał ich dane osobowe

Nawet jeśli z serwisów z których korzystamy nie wykradziono baz danych i nie opublikowano w internecie, to nasze dane mogą zostać pozyskane, jeśli komuś mocno na tym zależy. Albo poprzez odgadnięcie hasła, co wcale nie jest takie trudne — większość osób korzysta z tych samych haseł w jednym miejscu, więc wystarczy poznać jedno z haseł ofiary. A zrobić to można poprzez atak phishing — świetny przykład takiego ataku opisaliśmy tutaj. Jeśli hasła nie uda się pozyskać, to pozostaje procedura jego resetu. W niektórych serwisach wystarczy dobrze odpowiedzieć na kilka pytań kontrolnych, aby przejąć czyjeś konto, w innych wystarczy …rozmowa telefoniczna z biurem obsługi klienta. Jednemu z dziennikarzy przejęto konta na Twitterze, Amazonie i Apple, a następnie zdalnie pokasowano dane ze smartphona i laptopa. Wszystko dlatego, że ktoś znał jego adres zamieszkania odczytany ze wpisu na temat strony internetowej ofiary w bazie WHOIS.

Wreszcie, sporo informacji dotyczących danej osoby, jest publikowanych przez nią samą. Czy to w prywatnych blogach, czy w serwisach społecznościowych (niektórzy wrzucają tam zdjęcia swoich dowodów osobistych, praw jazdy a nawet mandatów, które przy okazji ujawniają imiona rodziców). Ale dane na temat internautów znajdują się także w publicznie dostępnych rejestrach instytucji rządowych czy prywatnych firm. Z inpostu można pozyskać dane na temat lokalizacji internauty, a z ministerialnego serwisu ksiąg wieczystych dowiemy się czy ktoś ma kredyt lub czy pozostaje w związku małżeńskim. Jakby tego było mało, dane internautów można ustalać także na podstawie serwisów, które zajmują się korelacją danych. Nie wiesz jaki numer do Ciebie dzwonił? Skorzystaj z sync.me i dostaniesz imię i nazwisko tej osoby. Kupiłeś coś na stronie pizzerii i zostawiłeś tam dane adresowe oraz numer telefonu? Jeśli z tej samej przeglądarki wejdziesz na stronę salonu samochodowego to w trakcie jej przeglądania zadzwoni do Ciebie jego pracownik. Zastanawiasz się czy to przypadek? Nie. Pracownik miał twój numer z firmy, która swoje skrypty do śledzenia internautów wstrzyknęła zarówno na stronie pizzerii jak i jest obecna na stronie salonu. Ale to jeszcze nic. Gorzej jak twój leasingodawca w ten sam sposób dowie się, że kupiłeś bilety na prom, a w umowie na leasing samochodu, przeprawy promowe nie są dozwolone.

Sytuacja wygląda jeszcze gorzej, kiedy uświadomimy sobie, że istnieją specjalne narzędzia, do masowego pozyskiwania danych na temat internautów. Przykładem jest Maltego, które przeszukuje setki baz w sieci i koreluje dane, deanonimizując internautów.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

8 komentarzy

Dodaj komentarz
  1. W większości serwisów społecznościowych “prywatne” wiadomości są zabezpieczone za pomocą protokołu HTTPS – nikt po drodze nie może ich odczytać, ale właściciele serwera, pracownicy i ewentualnie hakerzy już tak. Wyjątkiem jest Minds – tam zastosowano szyfrowanie end-to-end, dzięki czemu tylko nadawca i odbiorca wiadomości mogą ją przeczytać, bo nikt poza użytkownikiem nie posiada jego klucza prywatnego. W dodatku aplikacja mobilna Minds ma otwarty kod źródłowy, więc można sprawdzić, jak wykorzystuje swoje uprawnienia (co ciekawe, została napisana w C++, a nie w Javie, tak jak większość programów na Androida).

    • No na fb jest opcja czatu z e2e.

    • Z tego, co wiem, tylko w aplikacji mobilnej. Skąd mamy wiedzieć, czy to jest rzeczywiście e2e, skoro nie udostępniają kodu źródłowego i zabraniają dekompilacji? Poza tym nie zawsze da się korzystać ze smartfona. Nie wszędzie jest WiFi, a niektórzy operatorzy mają dość marny Internet.

  2. @Seba, ostatnia przygoda z WPA2 pokazuje że wyrazy *nikt poza* wypadają ze słownika internauty. :)

    • Wiadomo, że każde zabezpieczenie stworzone przez człowieka może zostać złamane przez innego człowieka. Ale czy z tego powodu zamykasz mieszkanie na arkusz A0 przywiązany źdźbłem trawy, bo profesjonalny włamywacz poradziłby sobie z drzwiami antywłamaniowymi?

  3. Według mnie ten referat jest godny głównej, a nie *ptr.

    • Ktoś jeszcze tak sądzi? Jeśli tak to przepniemy na główną ;) Ale tu chyba nic nie powinno zaskoczyć stałych czytelników nbzp

    • Mało. Huczny tytuł o deanonimizacji i inwigilacji, a nie ma nic o meta danych i profilowaniu. Na uzupełnienie polecam wykład naszego rodaka Michała Kosińskiego: https://www.youtube.com/watch?v=JFIsrkzuY0Q

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.