Kriminalai, nelaimės
Ar saugūs jūsų privatūs duomenys?
2011 02 01
Prof. Jonas Grigas
Pasaulis ką tik pažymėjo asmens duomenų apsaugos dieną. Tačiau ar saugūs mūsų privatūs duomenis vis daugiau nuo technologijų priklausančiame pasaulyje?
Kasdien didėja informacijos, atviros ir slaptos, cirkuliuojančios elektroniniais tinklais. Populiarėjant elektroninei bankininkystei, elektroniniams pirkimams ir atsiskaitymams, šimtai milijardų dolerių ir eurų kasdien juda elektroniniais tinklais. Bet ar saugiai? Deja, net geriausios saugumo priemonės neapsaugo jūsų elektroninių duomenų nuo ryžtingo kompiuterių pirato. Pranešama, kad JAV kompanijos dėl duomenų vagystės kasmet praranda apie 250 mlrd. dolerių. Viena iš duomenų vagystės kompiuterinių programų yraZeus. Tačiau mokslininkai demonstruoja, kad duomenis galima pavogti ir iš kompiuterio monitoriaus vaizdo atspindžio akies obuolyje arba iš spausdintuvo keliamų garsų. Nuo tokių piratų sunku apsisaugoti ir jų beveik neįmanoma susekti.
Žurnalas Scientific American (2009 m. gegužė)skelbia, kad Michaelis Backesas pro mažo teleskopo okuliarą 18-punktų raides kompiuterio ekrane mato didelės salės gale taip aiškiai, lyg kompiuteris gulėtų prieš akis. Dar daugiau, duomenis kompiuterio ekrane jis gali perskaityti iš atspindėto ant gretimo stalo stovinčios stiklinės vandens vaizdo. Saarlando universiteto (Vokietija) mokslinis darbuotojas Backesas atrado, kad daugelis daiktų gali atspindėti paslaptis nuo kompiuterio monitoriaus ekrano į seklio telekamerą. Tokie daiktai yra akiniai, kavos puodeliai, plastikiniai buteliai, metaliniai juvelyriniai dirbiniai ir netgi kompiuteriu dirbančiojo akių obuoliai. Nuo visų jų galima nuskaityti duomenis.
Ekrano vaizdų atspindys yra ne vienintelis būdas nutekinti iš kompiuterio duomenis. Mokslininkai neseniai pademonstravo penkis skirtingus būdus slapta fiksuoti klavišų nuspaudimus, neinstaliavus jokių programų kompiuteryje. Techniškai išsilavinę ekspertai gali pavogti duomenis skaitydami kompiuterinio tinklo modifikatoriaus šviesos diodų mirgėjimą arba kruopščiai tirdami monitoriaus skleidžiamas radijo bangas. Duomenis galima iššifruoti net iš spausdintuvų keliamo triukšmo. Toks duomenų vogimas vadinamas vogimu šalutiniais kanalais.
Išskyrus kai kurias svarbiausias karines programas, toks duomenų vogimas kompiuterių specialistų buvo ignoruojamas. Jie stengėsi sukurti saugesnes nuo įsilaužimo schemas ir kompiuterių tinklų protokolus. Tačiau tai gali apsaugoti tik informaciją pačiame kompiuteryje ir tinkle. Naujieji įsilaužėliai išnaudoja neapsaugotas vietas, kur kompiuteriai susiduria su realiu pasauliu: prie klavišų, monitoriaus ar spausdintuvo prieš duomenis įslaptinant arba juos pavertus į žmogui skaitomą formą. Tokie duomenų vagys nepalieka jokių įsilaužimo į kompiuterį pėdsakų. Ekspertai yra įsitikinę vienu dalyku: jei tik duomenys yra nepakankamai apsaugoti ir turi didelę piniginę arba žvalgybinę vertę, anksčiau ar vėliau kažkas bandys juos pavogti.
Duomenų vogimas šalutiniais kanalais atsirado daug anksčiau nei personaliniai kompiuteriai. Pirmojo pasaulinio karo metu kariaujančių šalių žvalgybos daliniai slapta klausė vieni kitų telefonais perduodamų įsakymų, nes tų laikų telefonai turėjo tik vieną laidą, o kitu tarnavo žemė – ja tekėjo elektros srovė. Žvalgai įkišdavo vieną laido galą į žemę, o kitą galą prijungdavo prie stiprintuvo ir klausydavosi priešo įsakymų. Apie 1960 m. amerikiečių kariniai specialistai pradėjo tirti kompiuterių monitorių skleidžiamas radijo bangas ir sukūrė tų skleidžiamų radijo bangų ekranavimo būdus, kurie naudojami iki šiol svarbioms vyriausybės ir bankų kompiuterių sistemoms. Be tokios apsaugos senesnių kompiuterių ekranų vaizdą iš skleidžiamų radijo bangų galima buvo atkurti kitame kambaryje ar net kitame pastate.
Sukurti skystųjų kristalų plokšti kompiuterių monitorių ekranai naudoja mažas įtampas, todėl skleidžia silpnesnes radijo bangas. Tačiau dar 2003 m. Kembridžo universiteto kompiuterių specialistas Markus Kuhn pademonstravo, kad ir tokie plokščiaekraniai monitoriai spinduliuoja skaitmeninius signalus, kuriuos galima pagauti ir iššifruoti už daugelio metrų nuo kompiuterio.
Lozanos Federalinio technologijos instituto (Šveicarija) magistrantai Martin Vuagnoux ir Sylvain Pasini pademonstravo, kad įprasta radijo sekimo įranga 95 proc. tikslumu gali sugauti ir iššifruoti kompiuterio klavišų spaudymo signalus už 20 metrų nuo kompiuterio. Kiekviename oro uoste dešimtys laukiančių lėktuvų žmonių siuntinėja informaciją, kartais svarbią, spaudydami nešiojamų kompiuterių klavišus. Ir ji yra neapsaugota nuo vagių.
Kalifornijos universiteto mokslininkai, vadovaujami Giovanni Vigna, 2008 metais paskelbė dar vieną duomenų vagystės būdą, kuriam nereikia net įmantraus radijo imtuvo. Pakanka kompiuteriuose esančios telekameros ir tam tikros programos. Ta programa, pavadinta ClearShot, iš pirštų judesių vaizdo, spaudant kompiuterio klavišus, atkuria žmogaus spausdinamą tekstą.
Atrodytų keista, kad kas nors leistų savo nuosavo kompiuterio telekamerą naudoti jo duomenų vagystei. Tačiau žmonių išradingumui nėra ribų. Rinkti vaizdus iš kompiuterio telekamerų gali būti taip pat paprasta, kaip ir įvilioti žmogų į nekaltai atrodantį interneto puslapį. 2008 m. gale amerikiečiai Jeremiah Grossman ir Robert Hansen atskleidė slaptus įtaisus daugelyje interneto naršyklių ir Adobe Flash programinėje įrangoje, kurie kartu leidžia priešiškam interneto tinklo vartotojui rinkti garso ir vaizdo informaciją iš kompiuterio mikrofono ir telekameros. Vienas neapdairus klavišo nuspaudimas paleidžia sekimo programą.
Backesas mano, kad visi minėtieji duomenų vagystės būdai yra prieinami tik ekspertams, turintiems tinkamą įrangą. Tačiau beveik kiekvienas, nusipirkęs maždaug pusantro tūkstančio litų vertės teleskopą, galėtų vogti duomenis iš atspindžių ir prieš šį vagystės būdą beveik nėra apsaugos. Backesas yra garsaus Makso Planko instituto Saarbriukene (Vokietija) programinių sistemų darbuotojas, mokslinį vardą įgijęs IBM firmos Ciūricho laboratorijoje. Jis kuria šifravimo programas, o laisvalaikiu su studentais vykdo įvairius projektus savo malonumui. Prieš porą metų jis sukūrė kompiuterinį kodą, kuris rašalinio spausdintuvo garsą paverčia spausdinamo teksto vaizdu.
Idėja sukurti tokį kodą Backesui kilo, kai eidamas koridoriumi jis susidomėjo savo studentu, kuris laboratorijoje kažką intensyviai spausdino. Jis pastebėjo ant stalo stovinčio puodelio paviršiuje atspindį nuo kompiuterio ekrano ir jam gimė idėja. Kitą dieną jis nuėjo į parduotuvę ir už 300 eurų nusipirko paprastą teleskopą ir skaitmeninį fotoaparatą. Ši įranga veikė puikiai. Spausdinamas tekstas buvo aiškiai matomas iš atspindžio nuo šaukšto, vyno butelio ar sieninio laikrodžio. Vaizdus galima skaityti beveik nuo bet kokio atspindinčio paviršiaus. Visi, kurie naudojamės kompiuteriais, prieš jo ekraną turime beveik sferinius gerai atspindinčius objektus savo veide - akis. Ar gali mūsų skaitmeninės paslaptys būti perskaitytos kompiuteriu dirbančio asmens akyse?
Backesas suprato, kad vaizdų skaitymui iš akių reikia geresnio teleskopo ir jautresnio fotoaparato. Kadangi akys dažnai mirksi, fotoaparato užrakto greitis turi būti didelis. Backesas nustatė, kad atspindėto vaizdo ryškumas, o ne skiriamoji geba lemia atstumą, kuriuo žvalgas gali skaityti iš akių kompiuterio monitoriaus vaizdą. Nusipirkęs 1500 dolerių vertės teleskopą ir pasiskolinęs iš Astronomijos instituto 6000 dolerių vertės astronominį fotoaparatą, jis už 10 metrų galėjo skaityti 72-punktų raidžių dydžio tekstą kompiuteriu dirbančiojo akyse.
Tačiau iš astronomijos jis nusprendė pasiskolinti ir kai ką daugiau – procesą, vadinamą dekonvoliucija, kuris pašalina tolimų galaktikų foną fotografijose. Jis labai išryškina vaizdą. Šis procesas naudojamas ne tik astronomijoje. Mikroskopu stebint atomus gaunamas blyškus vaizdas, tačiau atomus galima išryškinti, pašalinant foną. Aš šį procesą daugelį metų taikiau tiriant rentgeno spindulių sužadintus elektronų emisijos iš feroelektrikų spektrus. Taigi, pritaikius dekonvoliucijos programą, galima stebėti 36-punktų raides už 10 metrų esančiu teleskopu, kurį galima lengvai paslėpti lengvame automobilyje. Backesas žino ir kaip dar patobulinti šį duomenų vagystės būdą. Galima panaudoti nematomą (infraraudoną) lazerio spindulį, kuris dalimis nuskaitys nuo akių obuolio informaciją, panaudojus jau esamas kompiuterines programas, ir sukurs aiškų vaizdą.
Apsaugoti svarbius duomenis nuo pernelyg komunikabilių kompiuterių kartais yra daug sunkiau nei apsaugoti juos nuo brukalų (spam) ir virusų. Nėra tokios programinės įrangos, kuri apsaugotų duomenis nuo vagystės šalutiniais kanalais. Kita vertus, niekada nežinai, ar kas tavo duomenis skaito. Anot Backeso ir Kuhn, karinės organizacijos naudoja šias technologijas žvalgybos duomenų rinkimui.
Užuolaidos yra vienas iš būdų, trukdančių iš atspindžių vogti privačius duomenis. Tačiau sunku tikėtis, kad žmonės visada prisimins arba galės užtraukti užuolaidas ant langų. Nors daugelis nešiojamų kompiuterių naudotojų turi “slaptumo filtrus” ant ekranų apsaugai nuo slapto duomenų skaitymo iš už nugaros, tačiau šie filtrai tik padidina atspindžių ryškumą vartotojo akyse, taip tik palengvindami duomenų vagystę.
Plokšti ekranai spinduliuoja poliarizuotą šviesą. Todėl padengus langų stiklus šviesą poliarizuojančia plėvele atrodytų turėtume blokuoti atspindžius nuo kompiuterių ekranų kambaryje. Tačiau praktikoje taip nėra. Dėl nedidelių iš ekrano sklindančios šviesos poliarizacijos kampo pokyčių išsiskverbia pakankamai šviesos, iš kurios geras teleskopas gali išskirti vaizdą.
Lyginant su kitais žinomais kompiuterinio šnipinėjimo būdais, duomenų vagystė šalutiniais kanalais turi esminių trūkumų. Reikia būti netoliese sekamo objekto ir stebėti sekamą asmenį aktyviai naudojantis duomenimis. Yra daug lengviau įtikinti kažką atverti elektroninio laiško priedą ir instaliuoti šnipinėjimo programą, kuri atveria įėjimą į visus kompiuteryje esančius duomenis. Ir tai galima padaryti milijonams kompiuterių vienu metu.
Dėl šių priežasčių įsibrovimai į kompiuterių duomenų bazes šalutiniais kanalais vargu ar paplis taip, kaip paplito brukalai ir kiti puolimai elektroniniais tinklais. Tačiau tikėtina, kad jie bus naudojami įsiskverbimui į kompiuterius labai svarbių duomenų adresatų - tokių kaip finansininkai ir svarbūs įmonių ar vyriausybių pareigūnai. Šiais atvejais duomenų vagystė šalutiniais kanalais matyt yra lengviausias būdas apeiti įmantrias kompiuterinių tinklų saugumo sistemas ir padaryti tai, nepaliekant jokių pėdsakų, kuriuos saugumo tarnyba po to galėtų aptikti. Kuhn sako, kad tokios duomenų vagystės jau vyksta, nes yra žmonių, tvirtinančių, kad jų duomenys bankuose buvo pavogti nežinomais būdais. Tačiau dar niekas niekur nebuvo pagautas taip darant. Tikėkimės, kad Lietuvoje šie modernūs privačių duomenų vagystės būdai gal greitai nepaplis bent jau todėl, kad nedaug turime tokių konfidencialių duomenų.
Atgal