A Massachusetts Institute of Technology radarokkal, szonárokkal és jelfeldolgozással foglalkozó kutatója, Steven Smith gondolt egyet, és kifejlesztett egy kereséseket és weboldal-látogatásokat generáló automatizált módszert családja internetes tevékenységének "forgalomszennyezéssel" való elfedésére. Smith a PhantomJS nevű aktivitáshamisító szoftvert használta az online emberi viselkedésnek megfelelő, megtévesztő internetes keresések generálására. A dezinformálás napjaink újsütetű módszere a magánszféránk megvédésére.
Mike Elgan, az amerikai Computerworld munkatársa cikkében áttekinti, miért érdemes megtévesztési módszerekkel elrejteni online tevékenységünket és személyes adatainkat a kíváncsi szemek elől.
Jelszót kérő hatóságok
Rendszeresen jelennek meg cikkek a szaksajtóban arról, miért elengedhetetlen az erős jelszavak használata a különféle online szolgáltatásoknál. De arról is szót ejtenek a hozzáértők, hogy a legerősebb jelszó sem ér semmit akkor, ha megosztjuk másokkal.
Az amerikai belbiztonsági minisztérium nemrégiben jelentette be, hogy a határátkelőhelyeken és a repülőtereken végrehajtott telefon- és laptop-átvizsgálások száma közel a kétszeresére emelkedett (8383-ról 14993-ra nőtt) az elmúlt hat hónap folyamán. Az átkutatott készülékeknek a legtöbbjét jelszó védte, és a vizsgálathoz az utazóknak "önként" meg kellett adniuk jelszavukat az eljáró hatósági személynek, ha be akartak lépni az országba. Egyes becslések szerint az idén az ilyen átvizsgálások száma eléri majd a 60 ezret. A kiterjedt ellenőrzés részeként az amerikai kormányzat azt tervezi, hogy az országba belépéskor a külföldiektől és amerikai állampolgároktól egyaránt elkérik a közösségi szolgáltatásokhoz használt jelszavaikat, így ellenőrizhetik, hogy az illetők kiket követnek, és kikkel állnak kapcsolatban.
Sok egyéb mellett a vizsgálódások valószínűleg kiterjednek majd arra is, hogy a célszemélyek hol jártak, mit olvasnak, milyen anyagi helyzetben vannak, és milyen az egészségi állapotuk. A határátkelőknél lefolytatni kívánt ellenőrzések törvényi háttere, hogy a törvényalkotók szerint ezekre nem terjed ki az amerikai alkotmány negyedik kiegészítése, amely tiltja, hogy a hatóságok indokolatlanul zaklassák a polgárokat házkutatással, irataik vagy más személyes tulajdonuk átvizsgálásával vagy lefoglalásával.
A belbiztonsági minisztérium tájékoztatása szerint az ellenőrzések számának növekedése összhangban van a terrorfenyegetettség fokozódásával. Így aztán elmondhatjuk, hogy amíg nem köszönt ránk a világbéke, a jelszókérések és átvizsgálások számának emelkedésére számíthatunk.
Időközben az amerikai kongresszus szép csendben érvénytelenítette a Federal Communications Commission által tavaly hatályba léptetett adatvédelmi szabályozást, így az internetszolgáltatók legálisan eladhatják a felhasználók böngészési előzményeit. Ha jóindulatúan nézzük, akkor az elképzelés hátterében a hirdetési tevékenység támogatása áll, az új szabályozásnak köszönhetően azonban a kémszervezetek és a hackerek egyszerűen hozzájuthatnak majd a böngészési adatokhoz, ha hirdetőnek adják ki magukat.
Ugyancsak komoly aggodalomra ad okot az amerikai rendvédelmi szervezetek kifogásolható gyakorlata: a Google keresési adatok felhasználása nyomozási célokra. Egy Minnesota állambeli város rendőrsége nemrégiben bírói felhatalmazást kapott a Google szervereinek átkutatására egy csalási ügy szálainak felderítése érdekében. A nyomozás során a rendőrök megismerhették a település összes lakójának IP-címét, email-címét és fiókinformációit.
Az emberek még az ilyen riasztó hírek hallatán is azzal áltatják magukat, hogy velük ilyesmi nem történhet meg, legalábbis nem a közeli jövőben. A nagyszabású adatlopási incidensek azonban azt mutatják, hogy a személyes információkat jóval korábban tulajdonították el, mint ahogy az esetre fény derült. Így például a Yahoo! levelezőszolgáltatásának több mint egymilliárd felhasználót érintő feltörésére a kibertámadás felfedezése előtt két évvel, még 2013-ban került sor. Így aztán nem túlzás azt állítani, hogy ilyen kellemetlenség bárkivel, bármikor megtörténhet, vagy már meg is történt, csak még nem értesült róla.
Bár a közösségi szolgáltatások jelszavának hatósági elkérése remélhetőleg csak a gyanús személyeket érinti majd, és így az esetek száma korlátozott lesz, azt is érdemes figyelembe venni, hogy manapság bárki gyanússá válhat, és az új repülőtéri ellenőrzési módszereket általában idővel más országok is átveszik. Ami azt jelentheti, hogy nemsokára világszerte alkalmazni fogják őket.
Új védelmi módszerek kellenek
Mostanáig a személyes adatok legjobb védelmének az elrejtés bizonyult: az információkat főként jelszavakkal, kétfaktoros azonosítással, titkosítással és virtuális magánhálózatokkal (VPN-ekkel) óvjuk meg az illetéktelenektől. Ez a megközelítés azonban egyre kevésbé hatékony. A kiberbűnözők feltörik a jelszavakat, a hatóságok pedig még ezzel sem vesződnek, hanem egyszerűen elkérik tőlünk. A kormányok arra próbálják rávenni az Apple-t, a Google-t és a Facebookot, hogy építsenek be a titkosítást feloldó hátsó ajtókat az üzenetküldő appokba.
Még a virtuális magánhálózatok sem mindig védenek meg minket. Az ezeket a szolgáltatásokat üzemeltető cégek titkosítják a számítógépünk és a szervereik közötti forgalmat, a felkeresett weboldal pedig azt észleli, hogy a látogató a szerverekről érkezett, nem pedig a gépünkről. Ennek eredményeképpen a böngészési adatok nem jutnak el az internetszolgáltatóhoz, a VPN-üzemeltetők viszont ismerni fogják azokat. A kérdés az, hogy VPN-cégünk megbízhatóbb-e, mint az internetszolgáltatónk? Ez egyáltalán nem biztos. Egyes VPN-üzemeltetőket rajtakaptak azon, hogy értékesítik ügyfeleik adatait, míg mások nem működnek elég biztonságosan. Egyes VPN-ek titkosítási kulcsait ellopták, míg mások VPN-nek álcázott hackervállalkozások.
Megállapítható tehát, hogy a kormányok, vállalatok és hackerek akkor is megszerezhetik személyes adatainkat, ha valamilyen módszerrel rejtegetjük őket.
Többre megyünk félreinformálással
Nincs abban semmi új, hogy a rejtegetést dezinformálással kombinálva növeljük a védelem hatékonyságát. A második világháborúban részben ez vezetett a szövetségesek győzelméhez, mivel a németek nagyrészt az elrejtésre hagyatkoztak. Azt hitték, hogy a titkos kódot előállító Enigma gépük feltörhetetlen, de a szövetségesek megfejtették a kódot. A németeknek is sikerült a szövetségesek titkosításának a feltörése, azonban az utóbbiak a dezinformálás mestereivé váltak, és elhitették az előbbiekkel, hogy a partra szállás nem Normandiában fog megtörténni, hanem több más helyen.
E kis történelmi lecke után térjünk vissza a jelenbe! Mostanság jó ötletnek tűnik minél előbb létrehozni egy hamis Facebook- és Twitter-fiókot, hogy legyen előzményünk, amikor majd szükségünk lesz rájuk. Egyesek odáig mennek az álcázásban, hogy a hamis fióknál alkalmaznak egy őket ábrázoló fotót profilképként, míg az igazi fióknál valaki másnak a fényképét töltik fel. Így amikor határátlépéskor kérik a közösségi szolgáltatásokhoz való jelszavukat, nyugodtan megadhatják a hamis fiókokhoz valókat. Üzletembereknek hasonlóképpen érdemes egy második telefont vásárolniuk kifejezetten utazási célra, és az igazit otthon hagyni.
Azután itt van még a cikkünk elején megemlített forgalomszennyezési módszer. Felismerve az igényeket, várhatóan egy sor forgalomhamisító bedolgozó jelenik majd meg a böngészőkhöz és az üzenetküldő appokhoz, amelyek hatásosan elfedik a valódi online tevékenységeket. Ilyen például a Chrome böngészőhöz készült Noiszy, amely félrevezető digitális lábnyomot hagy az interneten. A RuinMyHistory nevű projekt (amelyet készítői éppen azért hoztak létre, mert az internetszolgáltatók Amerikában immár legálisan eladhatják a böngészési információkat) weboldalak véletlenszerű meglátogatásával hamisítja meg a böngészési előzményeket.