Úgy járhatunk, mint a celebek?

Több mint 100 celeb meztelen fotóját szerezte meg egy hekker az Apple felhőjéből. Jó, ha tudjuk, hogy gyakorlatilag mindannyian tárolunk kényes adatokat olyan helyeken, amik egy jól képzett hekker számára hozzáférhetők. Most éppen nem kíváncsi rájuk senki, de ha személyünk valamiért felértékelődik, lesz az a pénz, amiért valaki megszerzi azokat. Márpedig ez baj, mert kis fantáziával a legártatlanabbnak tűnő adatokból is lehet lejárató kampányt indítani.

Aranybányának gondolta az Apple iCloudjában található, celebekről készült kínos fotókat egy hekker Amerikában. 101 ismert személyiség meztelen fotóját szerezte meg a tárhelyről, majd vélhetőleg pénzszerzési vágytól fűtve azzal fenyegette meg őket a weben, hogy a képeket közzéteszi. Hekkerünk nem állt távol az igazságtól, az ilyen adatok és tartalmak piaca nagymértékben hasonlít az aranybányákéhoz.

A romantikus kalandfilmekkel ellentétben az aranybányákról minden szakmabeli pontosan tudja, hol terülnek el. Titkos lelőhelyek nincsenek, a kitermelésnek kizárólag a megtérülési korlát szab határt. Ha az arany ára égbe szökni látszik, mint történt az a 2008-as válság idején, akkor a nehezen hozzáférhető bányákból is megpróbálják felhozni a színesfémet, mert a magas kitermelési költségeket is kompenzálja a piaci ár. Ugyanez a helyzet a személyes adatainkkal. Minden szakmabeli, legyen az hekker, titkosszolgálat, vagy akár egy válóperes ügyben a másik fél által felkért „szakértő” pontosan tudja, hogy hol vannak az adataink. Ez még akkor is igaz, ha mi magunk nem is látjuk saját adatainkat a triviálisnak tűnő helyeken. A kérdés csak az, hogy érdemes-e valakinek le-, vagy esetünkben inkább felmenni érte a felhőbe, azaz a várható nyereség meghaladja-e a kitermelési költséget, ami esetünkben a hekker munkájával és a lebukás kockázatával mérhető.

Ha az olvasó most megelégedéssel dől hátra, azzal hogy „tudtam, pont ezért nem töltöttem fel semmit a felhőbe”, akkor ki kell ábrándítanom, feltehetőleg téved. Elhiszem, hogy önről nincs pucér kép a telefonjában, de feltehetőleg van más olyan adat, amelynek ellenséges célú felhasználása bizonyára fájna. Ha más nem, hát az ismerősök telefonszámai, e-mail címei ilyenek, de ha tárol a telefonján céges adatokat, partnerlistát, árakat vagy leveleket, akkor azok is veszélyesek lehetnek önre nézve, amennyiben nyilvánosságra kerülésük esetén önt minden valószínűség szerint kirúgnák a munkahelyéről. És ki ne küldött volna publikus e-mail címre céges dokumentumot csak azért, hogy otthon tovább dolgozhasson? Vagy ki ne mentett volna biztos, ami biztos alapon jelszavakat mobiljának furmányos zugaiba?

Márpedig ezek az adatok minden valószínűséggel pont ott vannak, ahol a hekkerek keresni fogják őket, hiszen ők pontosan tudják, hogy mi történik például egy telefon szoftverfrissítésekor. Ez egy tipikus helyzet, amikor a mobilfelhasználók bő 99 százaléka engedélyezi, hogy adatai átmenetileg – a szoftvercsere idejére – egy külső tárhelyre kerüljenek, hogy néhány perc várakozás után, remek új funkciók kíséretében „magasabb felhasználói élményhez” jusson. Az adat, legyen az kép, telefonszám, levelezés, vagy egyszerűen a tartózkodási helyünk, legkésőbb ettől a pillanattól kezdve házon kívül van, és aki keresi, az meg is találhatja őket. De ha nem is frissítjük telefonunkat, akkor is kapóra jön olykor egy ingyenes hot spot, vagy egy éttermi, repülőtéri, esetleg egy szállodai „free wifi”, és innentől a feladat visszavezethető az előzőre.

Persze kit érdekel mindez, amikor a közösségi média, vagy a Gmail használatával életünk valóságos nyitott könyv például a reklámcégek kezében, és ehhez nap, mint nap emberek milliárdjai aktívan hozzá is járulnak. Ne legyen kétségünk: a kéretlen e-mailek, az elevenünkbe vágó pop-upok nem a legkellemetlenebb felhasználási formája formái személyes adatainknak.

Adja magát a kérdés, hogy mi a teendő ebben a helyzetben. Nincs jó hírem, a jelenség ellen nehéz védekezni, de legalábbis rém kellemetlen. Az amerikai elnöknek nincs telefonja, hiába remélte, hogy biztonságosnak vélt Blackberry-jét meghagyják neki a titkosszolgálatok. Jómagam nem tárolok céges adatokat mobil eszközön, ez számomra afféle szakmai ártalom. Ennek megfelelően pontosan tudom, milyen kényelmetlenséggel jár az egyes telefonszámok vagy e-mail címek bepötyögése minden alkalommal, amikor az ember kommunikálni akar valakivel.

Bármilyen meglepő, biztonsági szakemberként sem várom el az egyszeri felhasználótól, hogy lemondjon a mobil eszközök tudásának kihasználásáról, mert pontosan tudom, hogy a kitermelési költségek elég magasak ahhoz, hogy a hekkereknek ne érje meg az egyszeri ember adatai után kutakodni. Abban viszont biztos vagyok, hogy egy bizonyos felelősségi körnél magasabban – vagyis ott, ahol adataink unciánkénti ára eléri a kitermelési költséget – kénytelenek vagyunk lemondani bizonyos kényelmi szolgáltatásokról.

Mire érdemes figyelni mégis mindezek fényében? Nos, elsősorban arra, hogy szolgáltatóink elkövetnek-e mindent az adatok biztonsága érdekében. Jó, ha tisztában vagyunk azzal, hogy mi az az adat, amit nem szeretnénk ország-világgal megosztani, azt ne is tegyük. Fogadjuk el tényként, hogy a kényelem és a biztonság egymással szemben áll. Ha egy alkalmazás automatikus bejelentkezést biztosít, vagy pontosabb szolgáltatásért a lokációnkat eltárolja, esetleg a könnyebb fizetés kedvéért még a kártyaadatainkat is megjegyzi, az biztosan kényelmes, de ettől a pillanattól kezdve már nem vagyunk adataink urai, a rosszindulatú adatbányászok viszont pontosan tudják, hogy hol kell keresni.

Ha nem tudjuk, hogyan kell adatainkat megfelelően védeni, vagy azok felértékelődése várható, forduljunk szakemberhez. Ők ismerik a biztonsági kockázatot jelentő folyamatokat, a legkisebb kényelmi veszteséggel járó megoldásokat, és a használt szoftverek biztonsági szintjéről (értsd: kitermelési költségek) is képet tudnak alkotni, mivel nap, mint nap ezzel foglalkoznak. Az ő figyelmüket nem kerülik el a „jelentős biztonsági rést találtak a …rendszerében” kezdetű cikkek, ezért arról is van fogalmuk, hogy az egyes megoldások készítői általában mennyire bizonyulnak sikeresnek a hozzáférés megnehezítése terén.

Ami ezen felül van, az már a kríziskommunkiáció hatókörébe tartozik. Ha úgy hozná a sors, hogy személyünk hiteltelenítése valahol valakinek nagyon fontossá válik, célszerű számba venni az addig elkövetett baklövéseket, és felkészülni a legrosszabbra. Az egyszer ellenőrzésünk alól kikerült adatok törlése ugyanis reménytelen.

A cikk a vg.hu oldalon jelent meg 2014. szeptember 19-én.

Amennyiben tetszett Önnek bejegyzésünk, ossza meg ismerőseivel:
Share on LinkedIn10Share on Facebook0Share on Google+0Tweet about this on TwitterEmail this to someone

Fűzzön hozzá gondolatokat