„Annak idején az iWiW közösségi oldal szociológiai kísérletnek indult Magyarországon, az adatvédelmi kérdésekre nem gondolt senki” – mondta Hlavaty Győző, a KFKI Rendszerintegrációs Zrt. rendszermérnöke, szeptember 29-én, az Informatikai Biztonság Napján (ITBN 2010) tartott előadásában. „Először csak akkor kezdtek ezzel foglalkozni, amikor a Magyar Telekom bejelentette, hogy felvásárolja a közösségi hálózatot.”

A szakember szerint ma már nincs szükség komoly informatikai háttértudásra, ha valaki hozzá akar férni mások személyes adataihoz. Hlavaty Győző a Twitter mikroblog szolgáltatásának feltörésével kapcsolatban említette meg: a hacker a cég egyik alkalmazottjának saját oldalát törte fel úgy, hogy kizárólag néhány ötletes megoldásra volt szüksége. Ennek első lépése az úgynevezett profilépítés: a kiszemelt áldozatról összegyűjtött minden, nyilvánosan elérhető adatot: a közösségi oldalakon szerepelt, hogy az illető hol végezte tanulmányait, hogy hívják a szüleit, sőt, még kutyája nevét is megtalálta a bárki számára megtekinthető adatok között. Az így felépített profillal a hacker ezután elkezdett próbálkozni, végiggondolta, hogy milyen más online szolgáltatást használhat a célpont. Talált is néhány ingyenes postafiókot, ahol megnyomta az „elfelejtettem a jelszavamat” feliratú gombot. A rendszer által feltett kérdésekre pedig a felépített profil alapján tudott válaszolni. A hackernek szerencséje volt, az adott ingyenes levelező szolgáltatás ugyanis nem új jelszó készítését kínálta fel, hanem elküldte az áldozat régi jelszavát.

Eltűntek a különálló hálózatok, összeolvad a cégek és a felhasználók adatteste

sxc.hu

„Sok felhasználó követi el azt a hibát, hogy egyetlen jelszót használ több szolgáltatáshoz” – figyelmeztetett Hlavaty Győző. „A Twitter-alkalmazott esetében is ez történt, az így megszerzett jelszóval pedig a hacker hozzá tudott férni a célpont Twitter-oldalához is. Nem tudom szebben mondani, a legnagyobb problémát a felhasználói hülyeség okozza: ha pontos lakcímünket is megosztjuk a közösségi oldalakon, majd ezek után kiírjuk, ha egy hétre elmegyünk nyaralni, ne csodálkozzunk, ha a lakásunkat nem egészen abban az állapotban találjuk meg, ahogy otthagytuk. Viszont amíg nem használjuk tudatosan ezeket a szolgáltatásokat, rengeteg problémával szembesülhetünk.”

 Idegenek a virtuális térben: mit kezdünk az adattestünkkel?

 „Mint látható, ma már nem elég, ha kerítést építünk házunk köré, személyes védelmünk határvonalai ugyanis kitolódtak, sokkal több információ érhető el velünk kapcsolatban, mint gondolnánk” – mondta előadásában Vargha Gergely, a Kürt Kft. Biztonsági Intelligencia Központjának képesített etikus hackere. „A hétköznapi felhasználók még mindig idegenként mozognak a virtuális térben, s mint látható, a személyes biztonság elleni támadások sokszor egyszerűbbek, mint gondolnánk.”

 Vargha Gergely megismertette az ITBN hallgatóságát az adattest fogalmával. Valójában az egyénhez kapcsolódó információkról van szó, amely magába foglalja azokat a digitálisan kereshető nyomokat, amelyeket magunk után hagyunk.

„Az adattestnek három fő jellegzetességét állapíthatjuk meg: az adattest sohasem csökken, folyamatosan nő, emellett halálunk után is „életben marad””- magyarázta a szakember. „Ennél is fontosabb azonban, hogy adattestünk tőlünk jórészt független, önálló életet él. Gondoljunk csak bele: adattestünk már akkor megszületik, amikor szüleink összeházasodnak: családnevünk ugyanis ekkortól válik meghatározottá. Fogantatásunk után máris megkezdődik az adattest bővülése, születésünk várható időpontjával, az ultrahang vizsgálataink adataival. Megszületésünket követően pedig egyre jobban duzzad, az anyakönyvi kivonatunkkal, oltási könyvünkkel és hasonlókkal. Ezután, ha szüleink találnak a postaládájukban egy 20 százalékos kedvezményre feljogosító kupont, amelyet a baba-mama áruházban válthatnak be, természetesen kitöltik, megadják az adatainkat az adott cégnek. Innentől a direkt-marketing piac részévé válunk és minden évben megkapjuk a születésnapi üdvözletet az adott cégtől.” Vargha Gergely szerint rendkívül nehéz befolyásolni a tőlünk független adattest életét. Erre példaként említette a Google térképszolgáltatását, amelyet az Egyesült Államokban például az adóhivatal (IRS) a műholdas fotók segítségével vizsgálódik – nem teljesen legálisan – az engedély nélkül felépített úszómedencék tulajdonosai után. Nagy-Britanniában pedig új trend hódít a fiatalok között: szintén az online térképen megkeresik azokat a közelükben lévő házakat, ahol van medence a kertben, majd, ha az adott ingatlan tulajdonosai hosszabb időre elutaznak, illegális medencepartit szerveznek, az ott lakók tudta nélkül. 

Medencék a Google Maps-en: az adóhatóság figyel

„Nincs már messze az idő, amikor egy büntetőeljárás során perújrafelvételt kérnek majd valaki ellen, mivel eskü alatt vallotta, hogy nem tartózkodott otthon, azonban egy közösségi oldalra feltöltött digitális fotó metadatait tartalmazó EXIF állományból kiderül, hogy a kép valójában a lakásában készült a kérdéses időpontban” – figyelmeztetett Vargha Gergely. „

 „Fontos megjegyezni, ezt ugyanis a felhasználók sokszor figyelmen kívül hagyják: nem csak a magánszemélyeknek van adatteste, hiszen a vállalati kapcsolatrendszerünk ugyanúgy épül fel, mint a magánjellegű kapcsolataink hálózata” – tette hozzá Vargha Gergely előadásához Frész Ferenc, a Kürt Biztonsági Intelligencia Központjának vezetője. „Vagyis kijelenthetjük, hogy eltűntek a különálló hálózatok, minden összeér mindennel. Ez technológiai szempontból is elmondható, ma már nincsenek különálló külső és belső hálózatok, ugyanazt a technológiát, ugyanazokat a szoftvereket és hardvereket használják. Ha pedig egy hacker meg akar szerezni valamilyen érzékeny adatot, nem a nagyvállalatokat fogja megtámadni, hanem a közjegyzőt, vagy az ügyvédi irodát, amelynek valószínűleg gyengébb a védelme.”

Frész Ferenc szerint a technológia fejlődése egyben a személyes felelősség megszűnésével jár. A szakember hibás gondolkodásmódnak nevezte, ha egy vállalat vezetője úgy gondolja, hogy az informatikai biztonság kizárólag a rendszergazdák felelőssége.

 „A kérdés az, hogy miként kerülhető el, hogy egy magánszemély és egy vállalat adatteste ne olvadjon össze, ha elkerülhető egyáltalán” – folytatta Frész. „Ma adatbiztonsági szempontból visszazuhantunk a kilencvenes évek szintjére. Számos népszerű alkalmazásban – Skype, Facebook – ott van már a lehetőség, hogy szinkronizáljuk a levelezőrendszerünkkel. Ennek pedig egyenes következménye, hogy a közösségi oldalakon, hálózatokon a cégek és az egyének adatteste össze fog olvadni, ez csaknem kivédhetetlen. Ezért minden egyes felhasználónak saját, egyéni felelősséget kellene meghatározni. A helyzetet súlyosbítja a mobilinternet-hozzáférések elterjedése. Ne legyenek senkinek illúziói, az ilyen hálózaton lebonyolított adatforgalom nyílt hálózaton mozog, azt a szolgáltató nem védi meg.”  

 A szakember felhívta a figyelmet egy másik problémára is: mi történik az adatainkkal, ha az egyik közösségi oldal megveszi a másikat. Erre példaként a Facebook közösségi oldal márkanevét viselő, egyelőre csak terv szintjén létező mobiltelefont és hitelkártyát említette.

„Ma rendkívüli kihívásokkal állunk szemben az IT-biztonság terén” – hangsúlyozta Frész Ferenc. „A helyzet pedig sajnos sokkal rosszabb, mint gondoljuk.”

Az adatvédelmi biztos szerint kulcsfontosságú, hogy a különböző szolgáltatókat – internet-, mobilszolgáltató, illetve a közösségi oldalak mögött álló cégek – felelősségre lehessen vonni, ha visszaélnek a rájuk bízott személyi adatokkal.

  „A felhasználók oktatása nem elégséges, fontos, hogy felelősségre lehessen vonni ezeket a cégeket és ösztönözni kell őket arra, hogy már eleve ezt fejben tartva fejlesszenek” – tette hozzá Peter Hustinx. „A közösségi hálózatok esetében olyan adatvédelmi irányelvekre lenne szükség, amelyek alaphelyzetben rendkívül szigorúak és a felhasználóra bízzák, hogy mit és mikor akarnak megosztani másokkal. Ha azonban kizárólag a felhasználók oktatásába fektetünk, de közben lehetővé tesszük a cégeknek, hogy olyan eszközöket hozzanak létre, amelyek erodálják a magánélethez való jogot, csak a pénzt pazaroljuk. Természetesen meg kell találni a megfelelő egyensúlyt az egyéni jogok és a szolgáltatók üzleti érdekei között.”

A legtöbb felhasználó nem törődik a biztonsággal, sokan használnak egyszerű jelszót

sxc.hu

A felhasználók oktatásával kapcsolatban érdekes véleményt idézett a hvg.hu-nak adott interjújában Dani István, a KFKI Rendszerintegrációs Zrt. műszaki igazgatója: „volt szerencsém meghallgatni Bruce Schneier előadását a 2010-es Hacktivity konferencián, ahol a szakember elmondta: bár sokan azt mondják, a felhasználókat oktatni kell, ő ebben nem hisz. Schneier szerint a felhasználók nem foglalkoznak a biztonsággal, egyszerűen nem érdekli őket. Az informatika akkor lesz biztonságos, ha olyan „bolondbiztos” rendszert hoznak létre, amely elejét veszi, hogy a képzetlen felhasználó bármilyen bajt csináljon. Annyiban egyetértek vele, hogy a felhasználókat valóban nem lehet a végtelenségig képezni, ha nem érdekli őket a biztonság, akkor nem lehet mit tenni. A közösségi oldalak esetében a rendszerek fejlesztőit kellene kötelezni rá, hogy bizonyos adatokat ne kérhessenek el a regisztráció során. Én azonban azt gondolom, hogy annyit mindenki megtehet, hogy az alapvető biztonsági lépéseket betartja. Lehet, hogy ez kicsit kényelmetlenebb, de biztonságosabb.”

„A közösségi oldalak üzemeltetői igen komoly befektetésekkel hoztak létre olyan körülményeket, ahol a személyiségi jogok és adatok kerülnek veszélybe” – mondta a hvg.hu-nak adott interjúja során Peter Hustinx európai adatvédelmi biztos. „A Facebook például jó néhányszor megváltoztatta az adatvédelmi szabályzatát az elmúlt években, ráadásul elég bonyolult, sokak számára átláthatatlan a rendszer. A probléma pedig ott kezdődik, hogy ma a fiatalok komoly társadalmi életet élnek az ilyen oldalakon, sőt, még az idősebb generáció számára is egyre nehezebb elkerülni a közösségi oldalak használatát. Ez azonban nem jelenti azt, hogy ne foglalkoztatná az embereket az adataik sorsa. Egy a közelmúltban végzett kutatás kimutatta, hogy az efféle oldalak felhasználói máshol húzzák meg a határvonalat, ha a személyes adataikról van szó. Sokan pedig nem veszik figyelembe, hogy valójában nem csak a legszűkebb, megbízható baráti körükkel kommunikálnak, sokkal inkább kiabálnak a nyílt utcán. Természetesen ehhez mindenkinek joga van, de nem árt tisztában lenni a lehetséges következményekkel: amit egy ilyen fórumon mondunk, bármikor, bárhol visszaköszönhet.”