Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Pokaż swoje konto, a powiem Ci kim jesteś...

Tagi:

Maciej Ziarek
Analityk, Kaspersky Lab Polska

Bez wątpienia serwisy społecznościowe przeżywają teraz w Polsce swoje pięć minut. Nie ma w tym nic dziwnego - w końcu pozwalają nam na łatwe i szybkie nawiązywanie nowych znajomości, odnajdywanie starych znajomych, których nie widzieliśmy od wielu lat, a czasami nawet na znalezienie miłości naszego życia. Pod tym względem serwisy społecznościowe są o wiele efektywniejsze od forów internetowych czy komunikatorów. Ich popularność cały czas rośnie, przybywa użytkowników, a w związku z tym także i danych osobowych...

W artykule skupiłem się przede wszystkim na najpopularniejszych serwisach w Polsce. Należą do nich Nasza-klasa.pl, Grono.net, Sympatia.pl, Fotka.pl oraz GoldenLine.pl.

Wchodząc po raz pierwszy na te portale, widzimy ambitne hasła o odnalezieniu starych znajomych czy poznaniu wielkiej społeczności internetowej. Tego typu slogany z pewnością zachęcają do rejestracji i dzielenia się swoimi danymi. O tym, jak bardzo popularne są obecnie portale społecznościowe, możemy się przekonać, patrząc na wyniki sondy (http://www.smgkrc.pl/hotnews5pl.html) wykonanej przez Instytut MillwardBrown SMG/KRC na zlecenie D-Link Technology Trend. Wykres przedstawia, ile procent internautów zna i korzysta z portali społecznościowych.

pokaz_konto_01_s.png  enlarge.gif
Rys. 1. Znajomość serwisów społecznościowych wśród polskich internautów

Z tego samego badania dowiadujemy się, że o istnieniu takich serwisów wie 53% Polaków, a korzysta z nich 31%. Daje to niebagatelną liczbę kilku milionów użytkowników.

Tyle danych osobowych to z kolei pokaźna ilość informacji, które mogłyby być potencjalnie wykorzystane, dlatego należy je odpowiednio zabezpieczyć. Na forach internetowych najczęściej podajemy tylko adres e-mail, ewentualnie nr komunikatora. Portale społecznościowe natomiast, po uzupełnieniu profilu mogą przechowywać:

  • Imię i nazwisko
  • Datę urodzenia/wiek
  • Numery komunikatorów
  • Numer telefonu komórkowego
  • Zdjęcia, filmy
  • Adres e-mail
  • Miejsca nauki/pracy
  • Wykształcenie
  • Listę znajomych/rodzinę
  • CV

Informacje te mogą być w niektórych przypadkach dostępne za pomocą jednego kliknięcia!

Do czego można wykorzystać dane osobowe? Scenariuszy jest wiele, a wachlarz metod użycia tych informacji jest ograniczony jedynie pomysłowością osoby, która je zbiera. Ktoś może podawać się za nas na forach lub listach dyskusyjnych i oczerniać nasze imię czy reputację. Im więcej danych zdobędzie, tym lepiej będzie mógł wypełnić profil, uwiarygodniając w ten sposób swoje wypowiedzi. Upubliczniając nasz adres e-mail lub numer komunikatora, możemy stać się ofiarami spamu i spimu (spam rozsyłany poprzez komunikatory internetowe). Dojść może także do większych nadużyć jak próba fałszowania czyjejś tożsamości.

Nigdy też nie wiadomo, z kim tak naprawdę mamy do czynienia w sieci, wypowiadając się na forum czy rozmawiając z nieznajomym przez komunikator. Mało kto podałby świeżo poznanej osobie takie informacje jak telefon komórkowy czy własne zdjęcia. A jednak niektórzy udostępniają takie dane w serwisach społecznościowych, umożliwiając wglądu do nich każdemu zarejestrowanemu? Nie jest problemem (zadając odpowiednie pytanie np. w Google) odszukać informacji o kimś po szczątkowych informacjach, jak nr komunikatora. Głównie dzięki portalom społecznościowym.

Należy także pamiętać, że w Sieci nic nigdy nie ginie. Jeżeli ktoś doda do swojego konta zdjęcia na pograniczu dobrego smaku lub wręcz kompromitujące fotografie, musi liczyć się z tym, że za 10 lat zdjęcia te nadal będzie można odnaleźć w sieci, nawet jeżeli wcześniej zostały wykasowane. Można by rzec, że Internet nie wybacza błędów młodości…

Ze względu na olbrzymią ilość przechowywanych danych osobowych portale społecznościowe muszą dostosować się do obowiązującego na terenie Polski prawa, zwłaszcza do Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku. W myśl tej ustawy, na straży ochrony danych osobowych stoi GIODO (Generalny Inspektor Ochrony Danych Osobowych). W ustawie tej znajdują się odpowiednie artykuły, w myśl których instytucje oraz serwisy zbierające i przetwarzające dane osobowe winny w należyty sposób je zabezpieczyć:

"Art. 36. Administrator danych jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem. (Dz. U. z dnia 29 października 1997 r.)"

Przyjrzyjmy się zatem regulaminom wybranych serwisów społecznościowych:

Nasza-klasa.pl:

"Nasza Klasa spółka z ograniczoną odpowiedzialnością z siedzibą we Wrocławiu zapewnia wszystkim zarejestrowanym użytkownikom realizację uprawnień wynikających z ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. nr 133, pozycja 883), w szczególności prawo wglądu do własnych danych, prawo żądania aktualizacji i usunięcia danych oraz prawo wniesienia sprzeciwu w przypadkach określonych w przepisach tej ustawy. Baza danych osobowych prowadzona przez Serwis została zgłoszona do Generalnego Inspektora Ochrony Danych Osobowych."

Fotka.pl:

"Dokonując rejestracji w serwisie internetowym Fotka.pl, Użytkownik wyraża zgodę na przetwarzanie swoich danych osobowych zgodnie z Polityką Ochrony Prywatności przedstawioną w dalszej części Regulaminu oraz zgodnie z ustawą z dnia 29 sierpnia 1997r. o Ochronie Danych Osobowych oraz ustawą z dnia 18 lipca 2002r. o świadczeniu Usług Drogą Elektroniczną z późniejszym zmianami."

Sympatia.pl:

"Grupa Onet.pl S.A. jako administrator danych osobowych serwisu Sympatia, dba o najwyższe bezpieczeństwo udostępnionych naszej firmie danych. Są one szczególnie chronione i zabezpieczone przed dostępem osób nieupoważnionych (...) Zbiór danych osobowych serwisu Sympatia został zgłoszony do Generalnego Inspektora Danych Osobowych."

Grono.net:

"Wraz z rejestracją użytkownik wyraża zgodę na gromadzenie, przetwarzanie oraz wykorzystywanie przekazanych przez siebie danych osobowych przez serwis Grono.net w celach statystycznych i marketingowych (...) Gromadzone przez serwis dane nie będą udostępniane innym podmiotom, chyba, że po uzyskaniu uprzedniej zgody użytkownika."

GoldenLine.pl:

"GoldenLine powierzył przetwarzanie danych osobowych Użytkownika OVH Sp. z o.o. z siedzibą we Wrocławiu, przy ul. Powstańców Śląskich 16/18, w zakresie niezbędnym do prawidłowego wykonania czynności związanych z hostingiem portalu internetowego www.goldenline.pl na podstawie pisemnej umowy zawartej zgodnie z art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.)."

Z regulaminów tych jasno wynika, że wszystkie wyżej wymienione serwisy zobowiązują się do należytego przechowywania danych osobowych i ochrony ich przed dostępem osób trzecich.

16 stycznia 2008 r. w biurze GIODO odbyła się konferencja prasowa "Czy nasze dane osobowe są bezpieczne na portalu nasza-klasa.pl?" W związku z bardzo szybko rosnącą popularnością tego portalu, Generalny Inspektor Ochrony Danych Osobowych postanowił przyjrzeć się bliżej serwisowi, a konkretnie sprawdzić, czy wywiązuje się on z przepisów i obowiązków, jakie narzuca na niego Ustawa o ochronie danych osobowych.

4 lutego w biurze GIODO odbyła się kolejna konferencja prasowa "Co się stało z Naszą-klasą?" Przedstawiono na niej wyniki kontroli. Chociaż były pewne zastrzeżenia (m.in. co do szyfrowania podczas logowania do serwisu, a właściwie jego braku), to generalnie serwis wypadł pozytywnie. GIODO Michał Serzycki powiedział na konferencji m.in.:

"Na tyle na ile pozwala Internet, użytkownicy Naszej-klasy są zabezpieczeni dobrze, ale trzeba mieć świadomość tego, że Internet nie jest miejscem bezpiecznym, w związku z tym zawsze może dojść do wycieku informacji, zawsze może się znaleźć genialny hacker, który złamie te zabezpieczenia tak jak zawsze się znajdzie doskonały złodziej, który otworzy najlepiej nawet zabezpieczony samochód. A druga kwestia, zawsze na końcu jest człowiek, człowiek, który może skusić się chęcią zarobku i po prostu zgrać te dane i wynieść."

Po kontroli serwisu Nasza-klasa.pl przez GIODO i orzeknięciu, że dane są chronione i przechowywane w sposób prawidłowy, stosunkowo szybko pojawił się kontrowersyjny i niepokojący artykuł w serwisie Hacking.pl. Jego autor stwierdził, że:

"Dane 7 mln (prawie 8 mln) użytkowników, niestety każdy może sobie pobrać na swój własny komputer przy pomocy np. VPS za 5 $. Dane takie jak imię, nazwisko (często również rodowe), ukończona szkoła, zdjęcia, czasem numer telefonu i gg, nie są ukryte."

Pojawiła się groźba wycieku danych osobowych milionów użytkowników. Autor pokazał nawet sposób, w jaki pobrał powyższe informacje o kontach i zapisał je w postaci tabeli w Excelu. Sposób ten polegał na użyciu programu cURL. Jest to aplikacja, która pozwala nam wysłać lub pobrać z serwerów treść formularzy. Działa z wiersza poleceń i obsługuje takie protokoły jak FTP, FTPS, HTTP, HTTPS, SCP, SFTP, TFTP i inne. Nie wdając się w szczegóły techniczne sposobu, w jaki wszedł w posiadanie danych osobowych, autor zaprezentował na łamach serwisu Hacking.pl zrzut ekranu przedstawiający tabelkę Excela:

pokaz_konto_02_s.jpg  enlarge.gif
Rys. 2. Arkusz Excela zawierający dane osobowe z serwisu nasza-klasa.pl

Na pierwszy rzut oka mogłoby się wydawać, że rzeczywiście miało tu miejsce duże niedociągnięcie ze strony GIODO, skoro udało się wyciągnąć tyle informacji. Sytuacja staje się jednak bardziej klarowna, kiedy przyjrzymy się sposobowi, w jaki działa program cURL, oraz uzyskanym przy jego pomocy danym. Jak wcześniej wspomniałem, program pozwala przy użyciu odpowiedniej składni wysłać lub pobrać formularz z serwera. Oznacza to, że atakujący wszedł w posiadanie jedynie informacji, które są w portalu nasza-klasa.pl ogólnodostępne z poziomu zwykłego użytkownika. Jeżeli ktoś podał jedynie imię i nazwisko i żadnych dodatkowych informacji, to tylko to znalazłoby się w tej tabeli Excela. Fakt ten potwierdzony jest także przez zespół naszej-klasy.pl.

W poniższym fragmencie oficjalnego komentarza możemy przeczytać:

"Autor artykułu z hacking.pl zasymulował na komputerze osobę, która "chodząc" po profilach użytkowników używa opcji "Zapisz stronę jako...;". Dostępne są więc dla niej tylko te informacje, który dany użytkownik zdecydował się ujawnić. Takie spisywanie można by także praktykować w sposób tradycyjny, używając długopisu i kartki - komputer wykona to oczywiście zdecydowanie szybciej. Zespół nk posługuje się wieloma mechanizmami, które pozwalają zweryfikować czy po serwisie porusza się prawdziwy człowiek czy maszyna, co pozawala nam skutecznie walczyć z takimi nadużyciami".

Zatem w tym przypadku nie można mówić o wycieku danych osobowych sensu stricte. Nikt nie wejdzie w posiadanie naszego maila, jeśli nie jest upubliczniony, czy ukrytych danych kontaktowych, jak nr komunikatora czy telefonu komórkowego. Jednak reakcja mediów była błyskawiczna, a prostowanie tego doniesienia najczęściej ograniczało się do dopisywania komentarzy pod newsami przez bardziej świadomych sytuacji użytkowników.

Podobna sytuacja miała miejsce już wcześniej (styczeń 2007), lecz dotyczyła serwisu Grono.net. Sprawa dotyczyła danych osobowych, które zostały zindeksowane przez Google, a tym samym stały się dostępne dla każdego, nawet niezarejestrowanego na portalu Grono.net internauty. Zaczęło się od publikacji artykułu w serwisie wiadomości24, w którym autor po wpisaniu frazy Grono.net do wyszukiwarki Google otrzymał dane osobowe użytkowników, nazwiska, telefony, adresy e-mail itd. Nie da się zaprzeczyć, że takie dane dostępne z poziomu wyszukiwarki stanowią niekontrolowany wyciek, a więc błąd. Jakby było tego mało, pojawiły się także informacje, że za pomocą Google można się także dostać do skrzynek wiadomości serwisu. Grono.net sprawę potraktowało poważnie. W końcu ustalono przyczynę takiego stanu rzeczy. We fragmencie oświadczenia zarządu Grono.net możemy przeczytać:

"Co się stało?

W wyszukiwarce Google w wyniku błędu skryptu indeksującego znalazły się informacje o użytkownikach grono.net, które normalnie dostępne są dla innych użytkowników grono.net a nie dla wszystkich internautów. Są to informacje, które użytkownicy sami zdecydowali się uczynić publicznymi dla innych członków grono.net. Ani ich charakter, ani zakres nie powodował żadnego zagrożenia - np. uzyskania dostępu do poczty czy przejęcia konta użytkownika. Przyczyna usterki została przez grono.net usunięta. Zwróciliśmy się także do Google o usunięcie w trybie ekspresowym z wyszukiwarki wszystkich informacji pochodzących z grono.net.

Jakie dane znalazły się w Google?

Skrypt indeksujący Google Bot był zarejestrowany w serwisie grono.net jako zwykły użytkownik i miał dostęp wyłącznie do widocznych publicznie danych - tych samych do jakich dostęp mają wszyscy użytkownicy grono.net. Dostępne były więc dane, które sam użytkownik zdecydował się ujawnić innym uczestnikom grono.net. Nie znalazły się w Google zastrzeżone dane konta użytkownika, hasła itd. Nie zostały także ujawnione dane, które użytkownik uczynił dostępnymi np. wyłącznie znajomym. Google Bot nie indeksował także ukrytych gron, ani żadnych innych informacji, których członkowie społeczności grono.net nie chcieli ujawnić. Zindeksowane zostały więc wyłącznie informacje widoczne dla każdego z miliona użytkowników serwisu. W okresie współpracy reklamowej z systemem Google, skrypt zindeksował jedynie ok. 15% profili użytkowników grono.net."

Innym zagrożeniem, które często przemilcza się, a na które narażony jest każdy użytkownik większych serwisów czy portali, nie tylko społecznościowych, jest phishing. Jest to wyrafinowana metoda wyciągania wszelkich informacji z komputera ofiary. Atakujący wysyła do ofiary maila z linkiem do zainfekowanej strony, gdzie użytkownik podaje dane dotyczące np. konta w banku lub proszony jest o pobranie pliku, który okazuje się być trojanem. Z pozoru metoda wydaje się prosta i pozbawiona sensu (bo kto podałby takie dane na życzenie nieznajomego), jednak sprawa staje się jasna, gdy przyjrzymy się takiemu mailowi:

pokaz_konto_03_s.png  enlarge.gif
Rys. 3. Przykład wiadomości phishingowej

Z założenia wiadomość ma być łudząco podobna do maila, jaki mógłby zostać wysłany przez bank. Przynajmniej tak ma myśleć ofiara. W treści najczęściej proszeni jesteśmy o podanie nowego hasła lub autoryzację transakcji na konkretniej stronie. Jednak strona ta nie jest prawdziwą stroną banku lecz witryną spreparowaną przez cyberprzestępcę (adres tej strony to w powyższym przypadku http://host217-36-231-196.in-addr.btopenworld.com/aspnet_client/system_web/1_1_4322/XXXXXX.htm i nie trzeba być ekspertem, aby zauważyć, że nie jest to adres banku), by przechwycić podawane na niej informacje.

Ten sam mechanizm może zostać zastosowany w odniesieniu do serwisów społecznościowych. Użytkownicy mogą otrzymywać maile informujące, że w związku ze zmianami na portalu proszeni są o kontrolne zalogowanie się. Klikając link podany w liście, przechodzą na stronę łudząco podobną do prawdziwej. Dalej scenariusz powtarza się tak samo jak w przypadku banku.

Na taki problem ostatnio natrafiły dwa serwisy społecznościowe: nasza-klasa.pl oraz fotka.pl. Scenariusz działania był jednak trochę inny niż ten przedstawiony wyżej. Na konta mailowe masowo rozsyłano informację, że jakiś użytkownik napisał do nas wiadomość lub chce pokazać swoje zdjęcia. Autentyczności tej wiadomości miała dodać treść od użytkownika wraz z odnośnikiem do strony przypominającej oryginalną.

pokaz_konto_04_s.jpg  enlarge.gif
Rys. 4. Sfałszowana wiadomość serwisu Fotka.pl

Po przejściu na stronę podaną w liście na ekranie pojawiał się komunikat, że nie można wyświetlić treści strony z powodu braku odpowiedniej wersji programu Flash Player.

pokaz_konto_05_s.jpg  enlarge.gif
Rys. 5. Sfałszowana i zainfekowana strona, do której prowadzi odsyłacz z przedstawionego powyżej maila

Proponowano przy tym pobranie pliku o nazwie get_new_flashplayer.exe, który to miał zainstalować na naszej maszynie najnowszą wersję oprogramowania. Oczywiście nie był to Flash Player tylko backdoor: Backdoor.Win32.Agent.cri.

pokaz_konto_06.jpg 
Rys. 6. Szkodliwy program wykryty przez oprogramowanie firmy Kaspersky Lab

Jak wcześniej pisałem, podobny problem napotkał serwis nasza-klasa.pl.

pokaz_konto_07_s.png  enlarge.gif
Rys. 7. Sfałszowana wiadomość serwisu nasza-klasa.pl

pokaz_konto_08_s.jpg  enlarge.gif
Rys. 8. Prośba o pobranie i instalację odpowiedniego oprogramowania

Kilka szczegółów pozwalało odróżnić te wiadomości od prawdziwych:

  • w temacie wiadomości zabrakło polskiego znaku (uzytkownik, zamiast użytkownik);
  • w większości maili rozsyłanych do internautów widniały obcojęzycznie brzmiące nazwy użytkowników, a początek wiadomości często pisany był w innym języku;
  • link widniejący w wiadomości nie pokrywał się z adresem ładowanej strony;
  • prawie wszystkie odnośniki na zainfekowanej stronie rozpoczynały pobieranie zainfekowanego pliku;
  • w linkach występowały domeny inne niż polskie (pl).

Serwisy traktujące o bezpieczeństwie zareagowały błyskawicznie, informując o podejrzanych wiadomościach. Także same portale fotka.pl i nasza-klasa.pl umieściły stosowane informacje na swoich łamach.

Dlaczego fałszerze wybrali właśnie te portale? Aby odpowiedzieć na to pytanie, wystarczy odwołać się do statystyk popularności, które zamieściłem na początku artykułu. Zarówno nasza-klasa.pl jak i fotka.pl są najbardziej znanymi i odwiedzanymi polskimi serwisami społecznościowymi, a ponieważ atakujący rozsyłali wiadomości do przypadkowych osób, szansa trafienia w użytkowników tych portali była bardzo duża (zwłaszcza w przypadku naszej-klasy.pl). Dodatkowo wchodził w grę element socjotechniczny. Nie od dzisiaj wiadomo, że człowiek z natury jest ciekawski. W mailach tych widać tylko krótki fragment wiadomości, zatem istniało bardzo duże prawdopodobieństwo, że zaintrygowany użytkownik kliknie link.

Nie możemy jednak popadać w przesadę - rejestracja w serwisach społecznościowych sama w sobie nie niesie zagrożenia. Niemniej jednak, zwiększa ryzyko, że przypadkowo zostaniemy oszukani - jeżeli ktoś nigdy nie rejestrował się w takim portalu i nagle dostaje informacje o czekającym na niego zaproszeniu do grona znajomych, stosunkowo szybko powinien zdać sobie sprawę, że jest to mail fałszywy.

Na zakończenie ponownie odwołam się do sondy wykonanej przez Instytut MillwardBrown SMG/KRC na zlecenie D-Link Technology Trend. Tym razem chcę zwrócić uwagę na świadomość użytkowników w zakresie ryzyka związanego z podawaniem danych osobowych w Internecie.

pokaz_konto_09_s.png  enlarge.gif
Rys. 9. Świadomość ryzyka związanego z podawaniem danych osobowych

28 stycznia 2008 roku w Życiu Warszawy ukazała się rozmowa Karoliny Woźniak z GIODO Michałem Serzyckim. Oto jak odpowiedział na pytanie dotyczące bezpieczeństwa danych osobowych w sieci.

"Czy Internet jest rzeczywiście tak niebezpieczny?

Niestety tak, użytkownicy powinni sobie zdawać sprawę z tego, że nasze dane nie zawsze są najlepiej chronione, a wirtualna rzeczywistość to kopalnia wiedzy na nasz temat. Można tu wykraść nie tylko nasz adres czy numer telefonu, ale także dowiedzieć się, jakie mamy preferencje, zainteresowania, sprawdzić, po jakich stronach surfujemy. Dlatego tak ważne jest zachowanie ostrożności. Hackerzy zawsze znajdą bowiem sposób na złamanie nawet najlepszych zabezpieczeń."

Biorąc pod uwagę fragment powyższej rozmowy oraz wspomnianą już sondę, z pewnością cieszy fakt, że prawie 2/3 użytkowników serwisów społecznościowych zdaje sobie sprawę z ryzyka, o jakim mówił GIODO, i nie umieszcza ważniejszych informacji o sobie. Z drugiej strony pozostaje 1/3 użytkowników, którzy albo wcale nie przejmują się bezpieczeństwem swoich danych osobowych, albo mając świadomość ryzyka - podejmują je. Ceńmy swoje dane, własną prywatność oraz tożsamość. Czy wszyscy muszą znać Twój numer komunikatora oraz telefonu? Czy koniecznie w profilu musisz mieć 30 różnych zdjęć, będących przekrojem Twojego życia a nawet życia Twoich bliskich i znajomych? Jeżeli jest taka możliwość, ukrywaj dane dla osób niezarejestrowanych i takich, które nie należą do grona Twoich znajomych. Pamiętaj, że jeżeli ktoś bardzo będzie chciał się z Tobą skontaktować, zrobi to chociażby przez wysłanie zwykłego e-maila.

Źródło:
Kaspersky Lab