Transmisja na żywo z toalety na Facebooku. Każdy może być szpiegiem, każdy może być szpiegowany
Całe twoje życie jest w twoim smartfonie. Kto włada twoim smartfonem, ten włada twoim życiem. Przekonała się o tym młoda mieszkanka Tarnobrzega, która, idąc do toalety, wzięła ze sobą telefon.
Cztery minuty z jej życia stało się hitem Internetu. Kobieta weszła do toalety, usiadła na muszli, położyła swojego smartfona obok stóp i w tym momencie włączyła się kamera w telefonie. Czterominutową transmisję na żywo z toalety na profilu tarnobrzeżanki mogło oglądać online 1500 jej znajomych na Facebooku. Dzień później kobieta skasowała swój profil, ale jej czterominutowy epizod życiowy zdążyły obejrzeć setki ludzi. Albo i tysiące, bo „znajomi” na portalu mogli transmisję streamingować.
Do tej pory nie wiadomo, czy pani przez przypadek włączyła kamerę w smartfonie, czy zrobił to za nią haker. Bardziej prawdopodobna jest wersja druga, co znaczy, że bohaterem takiego filmu może stać się każdy z nas, bo na rynku gęsto jest od programów szpiegujących. Legalnych za stosunkowo niewielkie pieniądze i nielegalnych. Wykorzystywanych przez służby specjalne, cyberprzestępców, domorosłych hakerów, rządy, zazdrosne żony i przesadnie troskliwych rodziców.
Każdy może być szpiegiem
I każdy może być ofiarą szpiega. Komercyjnego spyware’a można kupić już za kilka dolarów, zupełnie legalnego. Firmy produkujące takie aplikacje zachwalają, że zainstalowana w smartfonie dziecka pozwala rodzicom na większą kontrolę pociechy, daje możliwość zlokalizowania w przestrzeni, pozwala sprawdzać, czy nie korzysta z treści niebezpiecznych i szkodliwych w sieci.
W konsekwencji rodzic może ze swojego urządzenia zdalnie kontrolować to, w jaki sposób dziecko korzysta ze swojego urządzenia. I dziecko niekoniecznie musi o tym wiedzieć. Mąż niekoniecznie musi wiedzieć o tym, że żona takim programem zainfekowała jego telefon, pracownik nie musi być świadom, że pracodawca zaopatrzył wszystkie telefony służbowe swojej firmy w podobnie działający program.
Bardziej rozbudowane oprogramowanie szpiegujące pozwala przejąć kontrolę nad systemem operacyjnym zainfekowanego aparatu. I nie ma znaczenia, czy to Android czy iOS, bo oba systemy narażone są na ataki.
Nie trzeba go instalować, może instalować się sam, wystarczy pod wybrany numer smartfona wysłać wiadomość tekstową, MMS-a, zdjęcie zawierające kod instalacyjny. Otwarcie pliku przez odbiorcę umieszcza w urządzeniu mRAT, a ten zadba o to, by zdalnie zbierać z zainfekowanego urządzenia informacje: książkę adresową, treść korespondencji, historię połączeń, hasła, zdjęcia, dane śledzenia GPS, historię operacji finansowych (jeśli płacimy aplikacją smarfona).
Może zdalnie przejąć uprawnienia administratora, uruchomić kamerę i nagrywanie dźwięku, wejść na profil fejsbukowy i zrobić z nim wszystko, począwszy od zbierania informacji, skończywszy na modyfikacjach profilu. Właściciel aparatu zostaje odarty z prywatności, niemal traci kontrolę nad swoim cyberżyciem. Tymczasem rzeczywistość wirtualna odgrywa coraz większe znaczenie, a dla młodszego pokolenia większe niż real.
Podglądanie zgodne z prawem
Albo i niezgodne. Dostęp do wszelkich naszych danych z pamięci smatrfona mogą mieć służby specjalne. Inwigilacja 4 mld użytkowników sieci GSM jest niemożliwa, toteż służby typują: podejrzanych o terroryzm, szpiegostwo gospodarcze, ale też aktywistów broniących praw człowieka, adwokatów, dziennikarzy, polityków.
Izraelskie oprogramowanie śledzące Pegasus stało się sławne, kiedy wręcz przeczulony na punkcie inwigilacji międzynarodowy działacz na rzecz praw człowieka zauważył w swoim smartfonie podejrzanego SMS-a. Podejrzeniami podzielił się z fachowcami od cyberbezpieczeństwa, ci odkryli, że SMS to kod aktywujący oprogramowanie szpiegowskie, wykorzystujący lukę w programie operacyjnym iOS. Luki ma i Android i iOS, o części z nich twórcy systemów operacyjnych wiedzą, ale tą wiedzą się nie chwalą.
Pegasus wykorzystał właśnie jedną z takich luk. „Informatyczni śledczy” odkryli też, że to nie przypadek, a mRAT dotknął kilkuset operatorów GSM w 45 krajach i nie wiadomo jak dużą liczbę użytkowników smartfonów Apple’a. A mógł zrobić z telefonem wszystko, począwszy od zbierania danych, kontrolę i nagrywanie rozmów, po zapis nagrań telefonicznej kamery. Bez wiedzy użytkownika.
Szybko też doszli do tego, że oprogramowanie wyprodukowano w Izraelu, jego twórcy zapewniali, że sprzedają je tylko służbom specjalnym i tylko zgodnie z prawem. Podejrzenia padły także na polskie służby, nie wyklucza się, że kupiło je Centralne Biuro Wywiadowcze, choć nigdy tego nie potwierdziło. Pytany o stan rzeczy prominentny polski polityk stwierdził jedynie, że „uczciwi obywatele mogą być spokojni”.
Giganci IT podejrzewani są o to, że szpiegują internautów. Google o tajne zbieranie danych klientów swojej przeglądarki, ostatnio przez USA przetoczyła się wieść, że na polecenie sieci katolickich szpitali w ramach tajnego programu „Nightingale” gromadzi szczegółowe dane medyczne milionów Amerykanów z 21 stanów.
Facebook miał dość kłopotów z Cambridge Analytica, właśnie został oskarżony przez amerykańskiego obywatela o to, że bez jego wiedzy zdanie uruchamia kamerę w jego aparacie. Joshua nie wykluczył, że i inni klienci fb doświadczają tego samego, choć jeszcze tego nie zauważyli.
Kłopoty na własną prośbę
Nie trzeba oprogramowania szpiegującego, żeby cyberprzestrzeń zgotowała piekło.
Sara lubiła się bawić, Obi King lubił jeździć po Europie, nagrywać smartfonem swoje życie towarzyskie, nagrania umieszczać na swoich stronach YouTube i Snapchacie. Trafił do Rzeszowa, na Rynku poznał Sarę, wieczór skończyli w hotelowym pokoju, nagrania, jakie ciemnoskóry Brytyjczyk umieścił w sieci nie pozostawiały wątpliwości, jak spędzili noc.
Nie wiadomo, czy Sara świadoma była, że jest filmowana w negliżu, pewne jest, że nie miała pojęcia, że stanie się obiektem drwin, szyderstwa, potępienia, rzadziej współczucia, kiedy brać internetowa zobaczyła nagrania na profilach Kinga. Rzeszowscy znajomi poznali ją z nagrań, filmik błyskawicznie poszedł w świat, Sara nie miała życia, a komentarz „nie żal mi takiej szmaty” był jednym z łagodniejszych wpisów internautów.
Skasowała swój profil fejsbukowy, by nie czytać komentarzy pod swoim adresem i pozostało czekać, aż świat o tych kilku minutach nagrania zapomni.
„Półmózgim sadystą” i „pierd…m sadystą” - zdaniem internautów - został przeworski myśliwy, który zamieścił w sieci własny film, jak to trzy jego posokowce bawarskie szarpią dogorywającego, ale wciąż broniącego się postrzelonego dzika. Komentarzy w necie mógł nie czytać, ale nie dało się nie słyszeć komentarzy na ulicy. Ani uniknąć tego, by jego dzieci nazywane były w szkole „dziećmi mordercy”.
W Chełmży 14-latka chciała sobą zainteresować 22-letniego mężczyznę, sama sobie zrobiła rozbieraną sesję zdjęciową, jej efekty wysłała komunikatorem GG obiektowi swoich westchnień. Zdjęcia w necie zaczęły żyć własnym życiem, 22-latek wysłał je dwóm swoim kolegom, ci „puścili dalej”, w telefonach uczniów wszystkich chełmżyńskich szkół można było znaleźć zdjęcia nagiej gimnazjalistki. Wkrótce nie tylko wszyscy w Chełmży, ale cały świat mógł oglądać do woli nagą gimnazjalistkę.
Nikt nie może być spokojny
Wystarczy minimum rozwagi, by uniknąć podobnych sytuacji. Kiedy jednak w grę wchodzi cyberinwigilacja, zdecydowana większość z nas jest bezsilna.
- Można przyjąć, że zainstalowany przez rodziców w telefonie dziecka monitoring nie jest naganny, bo w założeniu służy jego bezpieczeństwu i tylko rodzic ma do niego dostęp
- ocenia dr Stanisław Rysz, ekspert w dziedzinie bezpieczeństwa danych.
- I jest w pełni legalny, bo rodzic jest prawnym opiekunem dziecka. Problem pojawia się wtedy, kiedy to nie rodzic monitoruje, a twórca aplikacji. Jeszcze poważniejsza sytuacja pojawia się wtedy, kiedy użytkownik telefonu nie ma pojęcia, że jest monitorowany, a dane o nim są zbierane. Przy nikłej wiedzy informatycznej większość z nas praktycznie nie ma szans, by zorientować się, że jest się śledzonym. W rzeczywistości nie wiemy, czy jesteśmy inwigilowani, a jeśli tak, to przez kogo, w jakim celu i jakich konsekwencji możemy się po tym spodziewać. Nawet dobrzy informatycy przyznają, że nie są w stanie zidentyfikować aktywności bardziej skomplikowanych procesów śledzących.
Jak zmniejszyć ryzyko
Biuro prasowe Komendy Wojewódzkiej w Rzeszowie przyznaje, że corocznie odbiera ponad sto zgłoszeń pokrzywdzonych o włamaniach do sieci informatycznych i nielegalnym pozyskiwaniu danych. W około stu przypadkach rocznie podejrzenia potwierdzają się.
Policyjni informatycy dają szereg rad, jak zminimalizować ryzyko hackingu:
- wykorzystuj narzędzia zapewniające bezpieczeństwo naszego systemu,
- rozsądnie korzystaj z poczty e-mail, portali społecznościowych, komunikatorów, przestrzegaj zasad bezpieczeństwa,
- stosuj zasadę ograniczonego zaufania - zakupy, praca, telefony z banku,
- pobieraj aplikacje tylko z zaufanych źródeł,
- nie pobieraj plików z nieznanych lub niezaufanych źródeł, zwłaszcza tych, których pobieranie może się wiązać z naruszeniem przepisów prawa,
- nie zezwalaj przeglądarce na zapisywanie haseł i nazw użytkownika,
- nie przechowuj nazw użytkownika, hasła lub listy haseł jednocześnie,
- nie zapisuj nigdzie PIN-u oraz nie udostępniaj swoich danych innym osobom,
- nie przechowuj bazy danych z hasłami i swoich poufnych danych na zewnętrznych serwerach online (np. na serwerze pocztowym czy serwerze FTP, w chmurze),
- ze wzmożoną czujnością korzystaj z urządzeń, do których dostęp mają również inne osoby,
- kończąc pracę, korzystaj z opcji wylogowania, jeśli to możliwe usuwając również wszystkie pliki cookie oraz pamięć cache (pliki tymczasowe), które podczas surfowania zostały zapisane przez przeglądarkę,
- staraj się nie korzystać w miejscach publicznych z niezabezpieczonych sieci Wi-Fi (tzw. hotspot’ów),
- nie pobieraj na dysk i nie uruchamiaj w systemie programów typu crack, keygen, etc.,
- nie otwieraj linków, które otrzymujesz poprzez komunikator lub email. Taki link może wyglądać normalnie i mieć konstrukcję np. microsoft.com, ale jego odwołanie (href) może przekierować cię na zupełnie inną, specjalnie spreparowaną lub zainfekowaną stronę
- ignoruj wiadomości email, których nadawca prosi o podanie (np. w celach weryfikacyjnych) twoich poufnych danych,
- korzystaj tylko z oryginalnego systemu operacyjnego, pochodzącego z legalnych źródeł,
- staraj się, aby programy z których korzystasz zawsze były zaktualizowane do najnowszej dostępnej publicznie stabilnej wersji.
- pamiętaj, aby mieć zainstalowane i zaktualizowane oprogramowanie zabezpieczające,
- stosuj silne hasła,
- stosuj różne hasła (nie używaj tylko jednego hasła, kiedy logujemy się na różnych stronach w myśl zasady: 1 hasło = 1 strona www,
- natychmiast zmień hasła fabryczne w swoim telefonie. Unikaj haseł 0000, 1234, daty urodzin lub innych łatwych do odgadnięcia, unikaj też ustawień automatycznego logowania i zapamiętywania haseł.