Nie wywieszasz kartki z terminem twojego wyjazdu w centrum miasta, gdyż mógłby się o tym dowiedzieć jakiś złodziej. Wolisz napisać to na Facebooku i zaprosić do mieszkania złodziei z całego świata?
Właśnie poinformowałeś znajomych z Twittera, że wychodzisz z żoną i dziećmi na długo oczekiwaną premierę filmową. Na {link_wew 5736}blogu{/link_wew} umieszczasz informację, że będzie nieaktualizowany, bo jedziesz na wakacje. Uważaj, złodzieje mogą obserwować twoje zachowania w sieci i kiedy dom będzie stał pusty ukradną twoją nową kamerę.
„To analogiczna sytuacja do zamieszczenia kartki na tablicy ogłoszeń gdzieś w centrum miasta. 'Właśnie wyjechałem do Francji, wracam za dwa tygodnie'” – uważa Tomasz Buszewski, projektant stron.
Okradnij mnie, proszę!
Nikomu nie przyszłoby do głowy takie zachowanie, ale tysiące internautów korzystając z serwisów społecznościowych, informuje, gdzie się aktualnie znajduje i co wartościowego złodziej znajdzie w ich domu. Udowodnili to twórcy strony pleaserobme.com (ang. okradnij mnie, proszę – http://pleaserobme.com) na której umieszczali adresy domów, których właściciele są właśnie na wakacjach. Informacje pobierali z Twittera.
Oczywiście dane nie mają służyć do popełnienia przestępstwa. „Wzywamy użytkowników Twittera, Facebooka i innych portali społecznościowych, żeby myśleli zanim udostępnią prywatne informacje w sieci” – piszą twórcy witryny.
Co mówi o tobie radio?
W sieci umieszczamy jednak potencjalnie niegroźne informacje, które zebrane razem mogą posłużyć do włamania lub kradzieży tożsamości.
Nie zastanawiasz się zbyt często w jaki sposób może cię zdradzić radio, prawda? Jeśli korzystasz z Lasat.fm, na stronie pojawia się lista słuchanych przez ciebie utworów, a tuż obok Last.fm informuje czego i w jaki sposób słuchasz obecnie. Po tym jakiego odtwarzacza używamy, można domyśli się gdzie jesteśmy – z Winampa skorzystamy w domu, a odtwarzacza w komórce raczej poza nim.
Sprawdzi się to szczególnie w przypadku audiofilów, którzy nie przepuszczą okazji by posłuchać muzyki ze swoich głośników. Jeśli atakujący wie, że prowadzą blog o muzyce, to domyśli się, że raczej nie słuchają jej z iPoda będąc w domu.
Co złodziej wyniesie z twojego mieszkania?
Skoro mówimy złodziejowi kiedy nasz dom stoi pusty, to dlaczego nie poinformować go o tym co może ukraść? Niedawno aplikacja będąca częścią {link_wew 4291}kampanii reklamowej{/link_wew} Intela sprawdzała wydajność komputerów. Aplikacja miała charakter promocyjno-rozrywkowy, ale pokazała wyraźnie kto używa dobrego, prawdopodobnie drogiego komputera. Jeśli użytkownik skorzystał z aplikacji wieczorem, to raczej nie był to sprzęt z pracy.
Obserwujący profil może teraz poczekać aż taka osoba wyjedzie na {link_wew 3893}wakacje{/link_wew} i wejść do pustego mieszkania. Jeśli ofiara ma swój profil na YouTube albo konto na Flickrze, to łatwo dowiedzieć się z jakiego sprzętu korzysta. Filmy w jakości HD raczej nie pochodzą z dziesięcioletniej kamery, a we właściwościach zdjęcia można zobaczyć z jakiego pochodzą aparatu.
Aparat powie gdzie byłeś!
W niektórych przypadkach, zwłaszcza jeśli zdjęcia wykonywano przy pomocy telefonu, we właściwościach zostanie zapisana również lokalizacja w której zrobiono zdjęcie. Potrafią ja zapisać aparaty i smartfony wykorzystujące GPS. Na pocieszenie można dodać, że wbudowany w iPhone’a GPS nie działa zbyt dokładnie wewnątrz budynków. Jeśli jednak robisz umieścisz na Naszej-klasie zdjęcie zrobione w Egipcie, podpisując je jako zrobione w sanatorium, to raczej nie wytłumaczysz tego małą dokładnością aparatu. Szef będzie mógł zobaczyć co naprawdę robiłeś podczas zwolnienia.
Halo? Kto pisze?
Jednym z najczęściej zadawanych pytań jakie słyszę od mniej zaznajomionych z Internetem znajomych jest to czy da się ustalić miejsce zamieszkania osoby, która skomentowała ich wpis na blogu. Tzw. geolokalizatory pokazują miejsce w którym zarejestrowany jest dostawca sieci osoby o podanym IP (właściciel strony może je zobaczyć). Ich skuteczność nie jest jeszcze najlepsza, ale zwykle trafiają w miasto i pokazują poprawnego dostawcę sieci.
Dużo informacji można też uzyskać poprzez protokół WHOIS (http://dns.pl/cgi-bin/whois.pl) i stronę ripe.net, które pokazują informacje odpowiednio o domenie i adresie. Jeśli komentujący pisał z pracy, to łatwo się tego dowiemy – informacje adresowe będą udostępnione.
Niestety nie wie o tym większość osób, nawet pracujących w sieci. Przykładowo w 2009 roku jedna ze znanych firm internetowych zachwalała na blogach swoje produkty. Niestety wszystko to było doskonale widoczne, a firma skompromitowała się wśród bloggerów z którymi miała współpracować. „Reklamodawca chyba nie do końca zrozumiał ideę naszej działalności, więc jak najbardziej odcinamy się od tego” – stwierdziła przedstawicielka agencji {link_wew 5528}Blogvertising{/link_wew}, organizatora akcji.
Gdzie mieszkasz?
Dostęp do IP mają zwykle właściciele stron, ale niektóre blogi i fora pokazują adres wszystkim zainteresowanym. Mogą być w pewien sposób zamaskowane, ale telefon do dostawcy sieci i wykorzystanie sztuczek socjotechnicznych („nazywa się Jan Kowalski, moje IP to 1.2.3.4, a nazwa użytkownika abc.isp.pl, nie dostaję faktur. Proszę powiedzieć jaki podałem adres do korespondencji?”) pozwoli poznać kolejne dane.
Czasem nie trzeba jednak niczego sprawdzać, bo internauci sami podają swoje miejsce zamieszkania. Kto by pamiętał o tym, że 5 lat temu zaznaczył na mapie miejsce w którym mieszka, łącznie z imieniem, nazwiskiem i nickiem? Wszystko w celu znalezienia znajomych z okolicy korzystających z tego samego serwisu społecznościowego. Nawet jeśli dane są nieaktualne, to dlaczego by nie zadzwonić do użytkownika, przedstawić się np. jako operator telefonu i poprosić o uaktualnienie danych? Znajomość starego adresu uwiarygodni nas.
Znam twoje nazwisko
Właściciele stron mogą nawet poznać nazwisko odwiedzającego. Badania opisane w pracy naukowej „A Practical Attack to De-Anonymize Social Network Users” (http://www.iseclab.org/papers/sonda-TR.pdf ) pokazały, że w 57% przypadków możliwe jest poznanie nazwiska odwiedzającego witrynę na podstawie grup do których należy w serwisach społecznościowych. Autorzy ataku wykorzystali do tego informacje o odwiedzanych stronach, pośrednio udostępniane serwerowi przez przeglądarkę internauty.
Aby poznać nazwisko konieczne jest jednak zachęcenie ofiary do odwiedzenia naszej, specjalnie spreparowanej, strony na której zostanie przez kilka minut. Wystarczy jednak założyć stronę, na której umieścimy zabawny film z YouTube i wysłać odnośnik do osoby, której dane chcemy poznać. Przecież codziennie klika w linki od nieznanych osób z Digg.com.
Smartfon zamiast lornetki
Współczesny styl życia, w którym masowo wykorzystujemy serwisy społecznościowe i chęć pokazania światu nowego samochodu lub filmów z wakacji mogą przyczynić się do realnych strat.
Czy już niedługo smartfon rejestrujący aktywność ofiary stanie się podstawowym narzędziem dla włamywaczy i złodziei tożsamości? Jeśli będziemy udostępniać dane bez zastanowienia, to na pewno.
