Właśnie przeglądam Twoje konto bankowe...
Sieci komputerowe przede wszystkim miały służyć wymianie informacji. Obecnie, można jednak odnieść wrażenie, że użytkownik w ogóle nie musi być świadomy faktu wymiany danych, a wśród takich nieświadomie udostępnianych informacji znaleźć da się prawie wszystko, łącznie z hasłami do kont bankowych!
reklama
Dawniej, użytkownik musiał dokładnie wiedzieć jakie dane udostępnia. Po prostu, w pierwotnym modelu sieci komputerowej, zwanym sneakernet, nie miał innego wyjścia: wszystko dosłownie przechodziło przez jego ręce. mało tego, było noszone na jego nogach...
Jednak wraz z rozwojem internetu, ruszyła i rewolucja komputerowa. Do tej pory, przyrost nowych aplikacji jest niezwykle dynamiczny. Triumfy święcą np. programy p2p służące do wymiany danych w internecie. Zazwyczaj, żeby coś ściągnąć za ich pomocą, trzeba także coś udostępnić... i tu pojawia się problem.
Niedawno pisaliśmy na łamach DI o metodzie Google Hacking, która za pomocą wyszukiwarki Google pozwalała znaleźć prywatne dane, takie jak hasła, numery kart kredytowych czy nawet obraz z kamer ochrony. Dziś pokażemy, jak łatwo podobne dane można znaleźć przy pomocy popularnego oprogramowania p2p.
Jak działają sieci P2P?
Wystarczy utożsamić sobie naszego klienta sieci p2p jako... właśnie wyszukiwarkę, która to indeksuje nasz dysk twardy. Jej zadaniem jest udostępnić innym internautom listę rzeczy, które mamy do zaoferowania. Oczywiście, podobnie jak w Google, mamy możliwość kontroli, co udostępniać, a czego nie. Wydawałoby się, że mechanizm jest prosty, skąd więc tyle poufnych danych w sieciach p2p?
Większość z sieci p2p wymusza na użytkowniku udostępnienie określonej ilości informacji, by potem móc efektywnie ściągać dane od innych internautów. Udostępnianie, polega zwykle na zaznaczeniu katalogu lub dysku, z którego program będzie mógł wysyłać nasze pliki do innych.
Z reguły, użytkownicy udostępniają katalogi z muzyką lub filmami... ale czasem to nie wystarcza. Na siłę dodają więc cokolwiek, byle tylko przekroczyć wymagany przez program próg danych i zyskać szybszy dostęp do plików pochodzących od innych internautów.
Nasze poufne dane trafiają do sieci także dzięki niedbalstwu, które - nierzadko połączone lenistwem - tworzy poważną lukę bezpieczeństwa. Komu bowiem chciałoby się segregować filmy czy muzykę do osobnych katalogów? Komu chciałoby się wykonać żmudną robotę dodawania do programu p2p po kolei każdego z rozrzuconych po dysku plików? Szybciej i prościej jest przecież zaznaczyć całą partycję... i właśnie to jest najprostsza droga, by ktoś przysłowiowo zaczął "czytać nasze e-maile"!
P2P jako narzędzie crackerów
Jeden z Czytelników DI o pseudonimie 'Lesio' (dane do wiadomości redakcji), przesłał wczoraj do redakcji poufne dane. Zdobył je przypadkiem, poszukując w internecie - m.in. w jednej z popularnych sieci p2p - starych reklam jednego z banków. Nieświadomie, wraz z innymi materiałami, ściągnął na swój dysk pliki, których właściciele zapewne nie chcieliby nikomu ujawnić. Znajdziemy w nich między innymi loginy i hasła do polskich kont banków internetowych - w niektórych podane są nawet szczegółowe dane ich właścicieli, jak numer PESEL, czy adres zamieszkania - a także listy tzw. jednorazowych haseł "zdrapek", służących do zabezpieczenia transakcji, które jakiś nadgorliwy internauta przepisał (sic!) do pliku tekstowego.
Za pomocą klientów p2p oprócz muzyki czy filmów znaleźć możemy także inne ciekawe dane, wystarczy tylko zadać odpowiednie pytanie. Nie jest tajemnicą, że wiele aplikacji trzyma poufne dane użytkownika w plikach o dość unikatowych nazwach. I tak, wpaść w nasze ręce mogą hasła do kanałów w sieci IRC, wszelakiej maści logi zawierające szczegóły logowania do serwerów gier sieciowych, pliki cookies, a nawet całe katalogi popularnych programów takich jak np. Gadu-Gadu czy Total Commander, które co prawda posiadają szyfrowanie plików, gdzie trzymane są dane użytkownika, ale szyfr ów jest łatwy do złamania.
Warto również zwrócić uwagę na fakt, że w niektórych programach p2p, nawet nie musimy o nic pytać. Ot, wystarczy znaleźć użytkownika połączonego z naszą maszyną (np. na liście transferów wychodzących), by za pomocą jednego kliknięcia zobaczyć wszystko co ów nieszczęśnik udostępnia na swoim komputerze.
Pokaż... co potrafisz
Stara prawda specjalistów od bezpieczeństwa IT mówi, że to użytkownik jest najsłabszym ogniwem przy ochronie poufnych danych.
W erze internetu, pełnej wszelkiej maści wirusów komputerowych, nieszczelnych systemów, czy dziurawych programów najlepiej byłoby nie trzymać poufnych danych na dysku swojego komputera. Takich informacji jest jednak coraz więcej i mimo wszystko programy komputerowe ułatwiają nam zarządzenie nimi. Należy więc dołożyć wszelkich starań, by trzymać je na dysku w postaci zabezpieczonej. Warto też zadać sobie odrobinę trudu i sprawdzić, co udostępniają programy, z których korzystamy w sieci, m.in. nasz klient p2p...