A szoftveres biztonsági réseken bármikor hozzáférhetnek a számítógépünkhöz vagy más elektronikus eszközünkhöz, és a webkamerák, mikrofonok és más eszközök fölött is könnyen átvehető az irányítás. Elég egy kijátszható szoftverhiba, egy rosszul beállított adatvédelmi rendszer, néhány unatkozó tinédzser, és máris mindent megtudhatnak rólunk, ami a kép- és hangrögzítő eszközök hatósugarában történik. Teljes biztonságban csak akkor érezhetjük magunkat, ha egyáltalán nem csatlakozunk az internethez.
Az indiai XY Security információbiztonsági cég két alapítója, Aditya Gupta és Subho Halder tavaly júliusban jelentős biztonsági rést fedezett fel a Facebookon. A hiba lehetővé tette, hogy a támadók átvehessék az irányítást a felhasználó webkamerája fölött, és az üzenőfalára posztolják az így készített képeket és videókat. Gupta és Halder jelentették az esetet a Facebooknak, ami 2500 dollárt fizetett nekik az információért. Ez azt bizonyítja, hogy a közösségi oldal tisztában volt vele, hogy ez mennyire komoly hiányosság, ugyanis az összeg ötszöröse volt annak, amit ilyen esetekben fizetni szoktak.
Nem a Facebook az egyetlen sebezhető platform, de annak az esetnek érthető okból volt nagyobb visszhangja: a közösségi oldalt naponta több száz millióan használják. Akárcsak az Adobe Flasht, ami még a Facebooknál is elterjedtebb szoftver. Másfél éve ebben is felfedeztek egy komoly sebezhetőséget, amivel a felhasználók webkameráját és mikrofonját lehetett aktiválni, ráadásul anélkül, hogy a felhasználó erről tudott volna.
Az Adobe két napon belül javította a clickjacking (kattintás-eltérítés) technikáját kihasználó hibát, de az eset így is bekerült 2011 legnagyobb internetbiztonsági baklövései közé, és néhány hónap múlva ismét hasonló biztonsági rést fedeztek fel a flashben.
Az efféle esetekhez nem feltétlenül szükségesek rosszul megírt programok; néha a hardverek sem felelnek meg a biztonsági előírásoknak. Idén januárban a Trendnet-kamerák egyik biztonsági hibáját fedezték fel, bár a „felfedezni” ige elég finom kifejezés: az egész világ tudomást szerezhetett róla. A hiba miatt több ezer, magáncélra használt kamerához lehetett hozzáférni: egy Google-térképen jelölték meg a védelem nélküli webkamerákat. Az eszközök hatósugarában egy kattintással mindenki megfigyelhető volt. A Trendnet a hibát kijavító patch letöltését javasolta, de a hiba nem csak az ő kameráikat érintette.
Stephen Cobb, az információbiztonsággal foglalkozó ESET szakértője szerint a webkamera kiválasztásánál érdemes figyelembe venni az adott cég reputációját; ehhez nem árt, ha a felhasználó figyelemmel követi a biztonságtechnikával foglalkozó híreket. Webkamera-vásárlás előtt érdemes meggyőződni róla, hogy korábban sikerült-e feltörni, illetve az is fontos, hogy a kamerát regisztráljuk, és válasszunk hozzá erős jelszót. Cobb szerint ez különösen fontos lépés. A kamera regisztrációját sokan elbliccelik, pedig minden IP címmel rendelkező eszközhöz fontos telepíteni a legfrissebb illesztőprogramokat – ezek segítenek megvédeni az illetéktelen felhasználóktól, és ezek javítják az eszközök sebezhetőségét is. Regisztráció nélkül a gyártó nem tud kapcsolatba lépni a felhasználóval, ami komoly biztonsági kockázatot jelenthet – ez történt a Trendnet-kamerákkal is. Cobb elmondta, hogy sokan máig sem töltötték le a biztonsági frissítéseket, így továbbra is nyomon követhető, hogy ezek az emberek mit csinálnak.
Cobb úgy látja, hogy tökéletes biztonságot egy frissítés sem nyújthat, de a kockázat egyszerű módszerekkel csökkenthető. Aki biztosra akar menni, jobb, ha kihúzza a webkameráját a gépből, ha nem használja, ha pedig ezt nem tudja megtenni – például azért, mert integrált kamera van a laptopján –, tegyen rá ragasztószalagot.
Hogy ehhez hasonló esetek megtörténhetnek, annak sok esetben egy rossz, de sokak által használt protokoll, a UPnP az oka. A Rapid 7 adatbiztonsági cég január végén számolt be róla, hogy a UPnP protokollban található biztonsági résen át több millió webkamera, nyomtató és router fölött távoli vezérléssel is átvehető az irányítás. A Rapid 7 munkatársai több szoftverhibát is találtak a UPnP-ben, amik világszerte 40-50 millió embert érinthetnek. A US CERT (United States Computer Emergency Readiness Team) több száz viszonteladót keresett meg, arra kérve őket, hogy azonnal frissítsék a sebezhető termékek firmware-jét, de ez a folyamat hónapokig is eltarthat. A Rapid 7 épp ezért egy hálózatfigyelő eszközt is fejlesztett, amivel a hálózatra csatlakoztatott UPnP eszközök megvizsgálhatók, illetve ki is kapcsolhatók.
A sebezhetőség oka, hogy a UPnP-t eredetileg nem ilyen célra tervezték. A protokoll fejlesztői azt szerették volna, hogy a hálózatra csatlakoztatott eszközöket telepítés nélkül is használni lehessen. A UPnP segítségével például könnyű csatlakoztatni egy laptopot egy hálózati nyomtatóhoz, de mivel a protokollhoz nem tartozik beépített biztonsági rendszer, így könnyen ki is játszható. Ez viszont komoly kockázatokkal jár. A betörők például a bekapcsolt webkamerákkal megfigyelhetik, hogy van-e otthon valaki; az unatkozó tizenéves hekkerek több száz oldalt nyomtathatnak ki egy távvezérelt céges nyomtatóval, csak a móka kedvéért; a beszkennelt dokumentumainkat más is láthatja, aki csatlakozik a hálózatunkhoz; és ha ez sikerül, akár a zártláncú kamerákkal rögzített digitális felvételek is törölhetők.
A biztonsági kockázatok tehát egyértelműek, és ezek nem elszigetelt esetek: 1500 gyártó 6900 eszközét érinthetik, amik világszerte 81 millió IP címhez kapcsolódnak. Ezeknek a 80 százaléka az otthoni router, a többi pedig olyan kamera és nyomtató, amiket nem is kéne a hálózatra csatlakoztatni.
Ahhoz, hogy a biztonsági réseken átfurakodva átvehessük az irányítást egy felhasználó gépe fölött, csak a megfelelő szoftverre van szükségünk. A RAT (Remote Administration Tool) eszközök ehhez minden segítséget megadnak, és a használatuk viszonylag könnyen elsajátítható. Az első RAT-szoftvert, a Back Orifice-t 1998-ban mutatták be, de ez mai szemmel nézve primitív program, ma már sokkal kifinomultabb alkalmazások is elérhetők.
Az ilyen szoftvereket használókat ratternek hívják; ezt a tevékenységet nem hívják hekkelésnek, mivel ahhoz programozói ismeretek kellenek. Egy ratter már átlagos felhasználói tapasztalattal is sikeresen kémkedhet mások után. A ratterek nemcsak a webkamerát indíthatják el, hanem aktiválhatják a mikrofont, eltüntethetik a Start menüt, veszélyes oldalakat nyithatnak meg a gépen, vagy kilőhetik az órát a Tálcáról – gyakorlatilag teljes kontrollt élvezhetnek a gép fölött, amíg él az aktív internetkapcsolat. A ratting egyik nyilvánvaló jele, ha a webkamera ledje világít, ami azt jelzi, hogy az eszköz aktív. A hekkerek azóta arra is megoldást találtak, hogy ezt az árulkodó jelet is kikapcsolják, így sokszor úgy férkőzhetnek be a gépre, hogy tudomásunk sincs róla.
A ratterek tevékenysége szerteágazó lehet: a Hackforums egyik, több mint száz oldalas topikjában rengeteg kép látható webkamerán megfigyelt nőkről – a ratterek őket slaves, vagyis rabszolga néven emlegetik. Bár a ratterek információbiztonsági és személyiségi jogokat sértenek a tevékenységükkel, ezt többnyire szórakozásból csinálják. Másoknak a haszonszerzés a célja: egy 14 éves sráctól például 700 dollár értékű felszerelést lopott egy ratter a Runescape nevű játékban. A fiú maga is kiismerte a ratting fortélyait, így később már ő lopott meg másokat.
Adam Biviano, a Trend Micro munkatársa nem tartja meglepőnek, hogy a ratterek többnyire fiatalok. Szerinte ez azért lehet, mert a fiatalok általában nincsenek tisztában a tetteik jogi következményeivel. Viszont nemcsak ezért nem tartanak a szankcióktól, hanem azért sem, mert a rattereket igen ritkán fogják el.
Ennek valószínűleg technikai akadályai vannak, mivel az Egyesült Államokban igen szigorúan veszik a magánélet szentségét és az információbiztonságot. Egy philadelphiai bíróság 2010-ben 610 ezer dollár megfizetésére kötelezett egy iskolát, amit két diákja perelt be. Az iskola által kiadott laptopokon ugyanis olyan kémprogramok futottak, amikkel a diákok megfigyelhetők voltak. A bírók általában még azt sem engedélyezik, hogy a szövetségi nyomozók bűnözőket figyeljenek meg a webkamerán át.
Az új szórakoztatóipari termékek ilyen környezetben érdekes helyzetet teremthetnek. Az Intel idén februárban jelentette be, hogy webkamerával felszerelt set-top boxot dobnának piacra. Az eszközt tévéadások és videós tartalmak lejátszására lehet használni; a műsort maga az Intel szolgáltatná. Erik Huggers, az Intel Media vezérizgazgatója megerősítette, hogy már dolgoznak az eszközön.
Sokakban megütközést keltett, hogy az Intel webkamerával is ellátná a készüléket. A cég szerint erre azért van szükség, hogy személyre szabott műsorajánlatokkal és hirdetéseket juttathassanak el a felhasználókhoz, mivel az eszköz a kamerával különböztethetné meg őket. Ez logikusnak tűnik, elvégre más oldalak is szoktak a felhasználó ízlésének megfelelő tartalmat ajánlani; igaz, ezt többnyire a keresési előzmények és a megjelölt kedvenc tartalmak alapján választják ki.
Huggers igyekezett mindenkit megnyugtatni: elmondta, hogy a kamera lencséje lezárható lesz, így az eszköz egy mozdulattal megvakítható. Huggers szerint azért döntöttek a kamera használata mellett, mert ez sokkal egyszerűbb módszer, mintha a felhasználónak külön kéne bejelentkeznie – a döntést tehát a tévénéző kényelmével indokolták. A bejelentés utáni negatív visszhang azonban azt sejteti, hogy ez a döntés nehezen kommunikálható a felhasználók felé. Ez abból a szempontból érthető, hogy több, szoftverfejlesztéssel foglalkozó nagyvállalat, például a Google és a Facebook is elismerte, hogy figyelik a felhasználók személyes adatait. A Google például a Gmailben küldött levelekhez és a Google Docsban szerkesztett dokumentumokhoz is hozzáférhet. Az, hogy a felhasználókat ezentúl már webkamerával is figyelhetik az otthonukban, még ezen is túlmutat.
(Hogy a nagyvállalatok milyen mennyiségű személyes adathoz férhetnek hozzá, azt ironikusan, de találóan mutatja be a South Park egyik epizódja, a Humancentipad. Amikor az Apple által elrabolt Kyle-t megpróbálja megtalálni a családja, az apja azt javasolja, forduljanak a rendőrséghez. Erre Stan megjegyzi: „A rendőrséghez? Ők is az Apple-höz mennek, ha meg akarnak találni valakit!")
Nemcsak az Intel, hanem a Microsoft által használt technika is aggodalomra ad okot. A vállalat most bemutatott játékkonzoljához, az Xbox One-hoz kötelező lesz használni a mozgásérzékelővel, webkamerával és mikrofonnal felszerelt Kinect szenzort. Az Xbox One ugyan nem igényel állandó netkapcsolatot, de időnként be kell jelentkezni, így internet nélkül használhatatlan lesz. A Kinect nélkül viszont nem is lehet használni a konzolt. Ezek a feltételek elegendők voltak ahhoz, hogy az információbiztonsági szakértők aggódni kezdjenek; egy állandóan aktív szenzor folyamatosan adatokat, jelen esetben hangot és képet továbbíthat a Microsoftnak.
Egy német adatvédelmi szakértő, Peter Schaar a Spiegel Online-nak azt mondta, hogy ő is aggasztónak tartja az eszközt. Az Xbox One ugyanis megfigyelheti a felhasználók reakcióidejét és érzelmi reakcióit, amiket aztán egy külső szerverre továbbít, onnan pedig ki tudja, hová kerül - akár külsős cégeknek is tovább adhatják őket. Schaar szerint az, hogy ezeket az adatokat felhasználják vagy törlik, nem számít: maga a tény aggasztó, hogy megfigyelhetik a felhasználót. Tim Vines, a Civil Liberties Australia munkatársának szintén nem tetszik az Xbox One. Vines úgy látja, az ausztrál törvények szerint a Microsoft konzolja megfigyelésre alkalmas eszköz is lehet; épp ezért fontosnak tartaná, hogy figyelmeztessék erre a vásárlókat is.
További problémát jelent, hogy a Kinectnek állandóan bekapcsolva kell lennie, mivel az Xbox One hangvezérléssel is irányítható. Az „Xbox, on!” paranccsal például bekapcsolhatjuk a konzolt, ami arra utal, hogy a mikrofon még készenléti állapotban is aktív. Ebből a szempontból Vines aggodalma nem tűnik indokolatlannak: lehet, hogy a Microsoft nem akarja a felhasználók megfigyelésére használni az Xboxot, de a konzol ettől függetlenül megfigyelésre alkalmas eszköz. A Kinectnek például infravörös kamerája van, így a sötétben is képes látni.
A Microsoft vezérigazgatója, Phil Harrison a Eurogamernek azt nyilatkozta, hogy a Microsoft komolyan veszi a felhasználók biztonságát. Mint elmondta, nem akarják a Kinectet a felhasználók megfigyelésére használni, hacsak nem ez a kifejezett kérésük. Nem tisztázott, hogy ez mit jelent; talán Harrison arra gondolt, hogy a Kinecttel például ellenőrizhető, hogy a nézők végignézik-e a reklámokat. A cég szerint ugyanakkor a Kinect teljes áramtalanítása is megoldható: ilyenkor a rendszer áramot sem fog felvenni.
A technológia fejlődésével az adatbiztonság szinte fikarcnyit sem javult: egy új eszköz általában új biztonsági kockázatot is jelent. Viccesnek tűnik, de a biztonsági rések befoltozásánál hatékonyabb védekezésnek tűnik a Cobb által javasolt ragasztószalag – elvégre a webkameránk valóban csak akkor nem fog látni bennünket, ha fizikailag képtelen rá. A ratterek ellen azonban ez sem nyújt védelmet, és egyelőre az sem világos, hogy érdemes-e aggódni a báránybőrbe bújt farkasok, azaz a szórakoztatóelektronikai eszközökbe csomagolt, megfigyelésre is alkalmas készülékek miatt. Teljes biztonságot csak az internetkapcsolat megszüntetése jelenthet; igaz, ez csak annyira jó megoldás, mint szüzességi fogadalommal védekezni a nemi betegségek ellen.