Naprostá ztráta soukromí
29.7.2000 Technická poradna Témata: Policejní stát, Počítače 1058 slov
Před dvěma týdny se v USA provalila další aféra týkající se našeho soukromí na Internetu. Vyšlo najevo, že firma AOL/Netscape používá ve svých produktech kód, jehož úkolem je sledovat, co děláme na Internetu, na které stránky rádi chodíme a co si odtamtud stahujeme. Kód je umístěn ve službě Smart Download v prohlížeči Netscape. Na začátku je uživateli přiděleno jednoznačné identifikační číslo. Každá návštěva, každé stažení souboru odněkud je pak hlášeno spolu s identifikačním číslem "domů" na adresu cgi.netscape.com.
Totéž v modrém provádí firma Real Networks ve svém NetZip Download Demon. Zde kód dokonce vylepšili natolik, že je schopen hlásit "domů" nejen co si lidé stahují a odkud, ale dokonce i plné jméno plus e-mail adresu uživatele.
Tyto praktiky odhalil Steve Gibson, odborník na počítačovou bezpečnost. Po pečlivých testech vše zveřejnil na svých stránkách: http://grc.com/downloaders.htm. Zatímco AOL/Netscape hraje roli mrtvého brouka (my nic, nás se to netýká), Real Networks spustila veliký rámus, následovaly vyhrůžky soudním stíháním a zuřivé popírání, že by oni vůbec něco takového dělali. Po předložených důkazech se na krátkou dobu odmlčeli, aby pak přišli s oficiálním stanoviskem, že "zmíněný kód je prý bug - chyba v programu, a že prý o tom ani nevěděli..." Programuji 25 let a tohle mě doopravdy vytočilo. Abyste si i vy, kteří nemáte hlubší znalosti programování, udělali představu o drzosti a nehoráznosti tohoto tvrzení, představte si následující scénu: policajti zastaví Trabanta jedoucího rychlostí 200km/h, po zvednutí kapoty se zjistí, že je tam namontován motor Porsche. Řidič tvrdí, že o tom nevěděl a že mu to tam museli dát v servise omylem při poslední kontrole. Příklad je to možná hloupý, ale vystihuje míru pravděpodobnosti, se kterou oba, řidič i firma Real Networks, mluví pravdu. Detaily komunikace mezi Steve Gibsonem a firmou Real Networks si přečtěte sami na výše uvedené stránce. Čte se to jako detektivka.
Týden před touto aférou to byla zase vláda Spojených států, která musela - ač nerada - přiznat, že FBI používá systém Carnivore k hromadnému skanování e-mailů všech občanů procházejících určitým komunikačním uzlem. V tomto případě zvolilo FBI jinou taktiku. Bylo nám vysvětleno, že vlastně jde o naše dobro. Strýček Sam prý nejde po nás, ale po kriminálnících, prodavačích drog a zlých teroristech, kteří se pomoci e-mailů domlouvají, kam umístit příští bombu.
Člověk se musí ptát sám sebe, jestli jsou pracovníci FBI tak naivní nebo tak vyčůraní. I mi, jako úplnému laikovi, je jasné, že skutečný organizovaný zločin používá ve své komunikaci prostředky tak bezpečné, jak jen je technicky možné. Podle mého názoru je mnohem více pravděpodobné, že akce FBI je (pod pláštěnkou boje proti terorismu) zaměřena k vytipování lidí nestandardních nebo nepohodlných názorů. Nikdo neví, co vlastně systém Carnivore hledá, jaká slova nebo slovní spojení a ve kterém jazyku.
Začíná toho být poslední dobou nějak mnoho. V prvním sledu různí podezřelí jedinci (hackeři), kteří věnují nemalou část své energie a svého talentu na to, aby se nabourali do systému našeho počítače a odnesli si odtamtud co nejvíc, nebo alespoň způsobili škodu. V druhém sledu to jsou velké, často velmi renomované firmy, jako AOL/Netscape nebo Real Networks (kolik je ještě těch, o kterých zatím nevíme?), které oficiálně nabízejí důležitý software (často zdarma), ve skutečnosti si člověk přinese domů trojského koně. Ve třetím sledu je to přímo oficiálně vláda Spojených států, respektive jí kontrolovaná FBI.
Společným jmenovatelem je jedno: Získat důvěrné informace o každém jedinci jakoukoliv cestou. Čeština má pro tuto činnost krásné, i když nespisovné, slovo: šmírování. A typická je také reakce na zveřejnění těchto aktivit. Přijde-li se na věc, tváří se odhalení buď tak, že se jich to netýká, nebo začnou být arogantní a sprostí, nebo ze sebe dělají hlupáčky, kteří o ničem nevědí, popř. vystupují jako lidumilové, kteří to dělají pro naše dobro, aby nás ochránili před ještě větším zlem. Existuje však ještě jeden společný jmenovatel: totiž technická snadnost, se kterou lze tyto praktiky používat. Např. v případě systému Carnivore kód, který skanuje e-maily, nemusí být delší než deset až dvacet instrukcí. Z hlediska programátorů je to kód tak jednoduchý, že se může dávat začínajícím adeptům programování jako technické cvičení.
Jde z toho strach. Představuji si, jak se za pomyslnými dveřmi, které oddělují můj počítač od Internetu, houfují
různé podezřelé soukromé osoby, obří firmy disponující miliardovými prostředky a vlády různých zemí disponující
v podstatě neomezenými prostředky. Všichni mají společný cíl: nepozorovaně se dostat dovnitř, do soukromí,
zjistit, co mě zajímá, co si kupuji, kam chodím, o čem se bavím se svými přáteli. Jeden se může bránit proti
hackerům, proti firmám i proti vládám, ovšem soustředěný nápor všech asi nevydrží. Vítáme v dvacátém prvním
století ... !
Jak se lze bránit
(3.8.)
Reaguji na dotazy některých čtenářů ohledně možné obrany proti šmírování popsaném v předchozím článku. Co se týče AOL/Netscape a Real Network software, zatím byly potvrzeny tři (šmírující) produkty:
- Netscape SmartDownload
- RealDownload
- NetZip Download Demon
Všechny tři vykazují svou přítomnost v Control Panel, Add/Remove Programs a odsud se také dají vymazat. Zkontrolujte si, zda tyto programy máte, a pokud ano, pryč s nimi.
Co se týče kontrolování pošty, znovu opakuji to, co už jsem na těchto stránkách říkal několikrát. Používejte šifrování u všech e-mailů. Chcete-li ušetřit za verifikaci digitálního podpisu, stáhněte si ze Zvědavce z rubriky Software program PGP a naučte se jej používat. Není to nic těžkého. Bezpečnost textu zakódovaného pomoci PGP je ještě lepší, než šifrování pomoci digitálního podpisu. Obě aplikace používají podobnou metodu šifrování (ale nejsou navzájem zaměnitelné!), pouze délka klíče u PGP může být delší než u digitálního podpisu. Aplikace PGP je to dosti velká - 7,71 MBy. Původně jsem chtěl napsat článek o PGP, ale upustil jsem od toho. V podstatě bych stejně jen opakoval popis, který lze nalézt na Internetu tisíckrát. I dokumentace k PGP (Help file) je slušná a popisuje nejen logiku, ale i použití a příklady.
Obrana proti hackerům spočívá v implementaci firewall - software, který bude sledovat a filtrovat všechen provoz mezi počítačem a Internetem. Stáhněte si program ZoneAlarm. Je to produkt Steve Gibsona - téhož, který odhalil praktiky AOL/Netscape a Real Networks.