Minule jsme se seznßmili s prßvnφmi aspekty odposlechu na internetu a zahßjili exkurzi do jeho technick²ch taj∙. Vysv∞tlili jsme i nejnutn∞jÜφ teoretickΘ poznatky o odposlechu na ·rovni sφ¥ovΘ vrstvy a slφbili praktickou ukßzku. TΘ se doΦkßte nynφ, stejn∞ jako povφdßnφ o odposlechu na dalÜφ, tj. aplikaΦnφ vrstv∞.
Nßstroje pro anal²zu sφ¥ovΘho provozu jsou snadno dostupnΘ. Network Monitor je p°φmo souΦßstφ operaΦnφho systΘmu Windows NT Server nebo Windows 2000 Server. Tato verze ovÜem obsahuje pro Üpiona nep°φjemnΘ omezenφ, proto₧e umo₧≥uje analyzovat toliko pakety urΦenΘ pro jeho vlastnφ poΦφtaΦ; ke skuteΦnΘ Üpionß₧i je zapot°ebφ verze, kterou obsahuje Microsoft Systems Management Server. DalÜφm vhodn²m nßstrojem pro Windows je NtSniff 1.5 (http://www.mycio.com/davidel), kter² je k dispozici zdarma vΦetn∞ zdrojovΘho k≤du.
Odposlech na sφ¥ovΘ vrstv∞ v praxi
Podφvejme se te∩ krok za krokem, jak to vypadß v konkrΘtnφm p°φpad∞. P°edpoklßdejme, ₧e u₧ivatel v sφti se zapojen²m Network Monitorem se p°ihlßsil na POP3 server, aby si vybral svΘ e-maily, a to jako u₧ivatel testuser s heslem testpass. Network Monitor pak zaznamenal informace, kterΘ vidφte na obrßzku.
Po exportu dat do "ΦitelnΘ" podoby lze zφskat nßsledujφcφ popis u₧ivatelovy komunikace s poÜtovnφm serverem (prvnφ sloupec udßvß v ÜestnßctkovΘ soustav∞ relativnφ adresu prvnφho bajtu °ßdky, dalÜφ sloupce obsahujφ (op∞t hexadecimßln∞) datovΘ bajty, kterΘ na konci °ßdky vidφme znovu i jako text (netisknutelnΘ znaky nahrazeny teΦkami):
Je vid∞t, ₧e jak u₧ivatelskΘ jmΘno (sekvence USER testuser), tak heslo (sekvence PASS testpass) byly zaznamenßny, a ·toΦnφk se tedy oba tyto ·daje m∙₧e dozv∞d∞t. DalÜφ anal²zou provozu by mohl zφskat nap°φklad obsah vÜech e-mailov²ch zprßv, kterΘ si u₧ivatel stßhl.
Pou₧itelnost
Tato metoda je pou₧itelnß pouze tehdy, pokud mß ·toΦnφk mo₧nost p°ipojit se do n∞kterΘ ze sφtφ, kterou zprßva prob∞hne. Velice Φasto se s nφ m∙₧eme setkat v prost°edφ mφstnφch sφtφ LAN, nap°. ve Ükolßch Φi firmßch. ┌toΦnφk je pak schopen monitorovat provoz ve svΘm segmentu sφt∞.
Ulo₧enΘ zßznamy o sφ¥ovΘm provozu jsou dosti rozsßhlΘ. Pokud ovÜem ·toΦnφkovi jde nap°φklad jen o zφskßnφ u₧ivatelsk²ch jmen a hesel, m∙₧e pou₧φt specißlnφ programy schopnΘ v reßlnΘm Φase sφ¥ov² provoz analyzovat a tyto klφΦovΘ informace z n∞j filtrovat a uklßdat, tak₧e pak "p°ijde k hotovΘmu". V p°φpad∞, ₧e by se jednalo o sledovßnφ s cφlem zjistit, co a s k²m si sledovanß osoba posφlß, byla by anal²za dat pon∞kud slo₧it∞jÜφ, leΦ nikoliv nemo₧nß.
Pokud by m∞l b²t sledovßn u₧ivatel p°ipojen² p°es telefonnφ linku, nenapadß nßs zp∙sob, jak by se to dalo uskuteΦnit bez svolenφ a spoluprßce poskytovatele p°ipojenφ k internetu (ISP). Kdyby Ülo o zkompromitovßnφ jednoho urΦitΘho WWW serveru p°ipojenΘho kdesi na pßte°i u ISP, mohl by se nicmΘn∞ ·toΦnφk pokusit o p°ipojenφ svΘho vlastnφho poΦφtaΦe do stejnΘ podsφt∞.
Obrana
NejjednoduÜÜφ obranou je samoz°ejm∞ vhodnΘ Üifrovßnφ. To je v zßsad∞ mo₧no pou₧φt na t°ech ·rovnφch:
èifrovßnφ na ·rovni dat, nap°φklad e-mailovß zprßva zaÜifrovanß pomocφ PGP. Odposlech bude moci prokßzat, ₧e byla p°ijata Φi odeslßna zprßva, zjistit odesφlatele, p°φjemce, datum i velikost, ale nikoliv obsah. V p°φpad∞, ₧e ·toΦnφk p∙jde po heslech, tedy metodou osobnostnφ anal²zy, ·toku hrubou silou Φi podle slovnφku, a heslo nenφ na takov² ·tok p°ipraveno, tato metoda nebude moc platnß.
èifrovßnφ na ·rovni aplikaΦnφho protokolu. V∞tÜina b∞₧n∞ pou₧φvan²ch protokol∙ (SMTP, POP3, IMAP, HTTP, FTP, LDAP) mß sv∙j ekvivalent, p°i n∞m₧ je celß komunikace Üifrovßna, zpravidla pomocφ SSL (Secure Socket Layer). P°i pou₧itφ metody tajnΘho a ve°ejnΘho klφΦe dostateΦnΘ dΘlky je prakticky zaruΦena nedeÜifrovatelnost. Touto metodou je mo₧no zabezpeΦit kompletnφ komunikaci s danou slu₧bou. ┌toΦnφk sice m∙₧e poznat, ₧e komunikace nastala, s jak²m serverem, jak dlouho trvala, jakΘho byla typu a p°ibli₧n∞ kolik dat bylo p°eneseno, nenφ ovÜem schopen zjistit obsah komunikace, vΦetn∞ p°φpadn²ch jmen a hesel. V p°φpad∞ e-mailu by nap°φklad nedokßzal urΦit, kolik zprßv bylo p°ijato, ani ₧ßdnΘ informace o nich. Bohu₧el, obecnß implementace bezpeΦn²ch aplikaΦnφch protokol∙ dosud zdaleka nenφ b∞₧nß.
VPN (Virtual Private Network). VPN p°edstavuje metodu, jak i po nezabezpeΦenΘ sφti (jakou internet bezesporu je) vΘst bezpeΦnou komunikaci jakΘhokoliv typu. Funguje tak, ₧e mezi dv∞ma (p°φpadn∞ i vφce) body vytvo°φ "Üifrovan² tunel", jφm₧ pak prochßzφ veÜkerß komunikace. Tunel se zpravidla vytvß°φ na ·rovni IP, tak₧e jφm je mo₧no prohnat jakoukoliv slu₧bu, samu o sob∞ nezabezpeΦenou. ┌toΦnφk pak dokß₧e zjistit, ₧e nastala komunikace s protistranou (druh²m koncem tunelu), jejφ Φas i dΘlku a t°eba i p°ibli₧n² objem dat, nikoliv ovÜem typ komunikace a jejφ obsah. VPN lze ustavit nap°φklad pomocφ prost°edk∙ p°φtomn²ch ve Windows 2000 nebo takΘ pomocφ specializovan²ch program∙ (nap°φklad PGPNet).
DoporuΦit m∙₧eme tento prakticky vyzkouÜen² postup: nachßzφte-li se ve zkompromitovanΘ sφti, vytvo°te si mimo jejφ hranice bezpeΦn² server a p°ipojte se k n∞mu pomocφ VPN. DalÜφ komunikaci s okolφm pak provßd∞jte pouze pomocφ tohoto bezpeΦnΘho serveru.
Odposlech na aplikaΦnφ vrstv∞
Zde se nejednß p°φmo o aplikaΦnφ vrstvu tak, jak byla popsßna v²Üe, ale o vyu₧itφ (eventußln∞ zneu₧itφ) aplikacφ, kterΘ u₧ivatel tφm Φi onφm zp∙sobem provozuje. Vhodn²m p°φkladem m∙₧e b²t nap°φklad e-mailovß komunikace.
Na e-mailov²ch serverech v₧dy b∞₧φ n∞jak² program, kter² zajiÜ¥uje zpracovßnφ poÜty. Takov²m programem m∙₧e b²t nap°φklad Microsoft Exchange, Post.Office, Sendmail, Zmail a mnohΘ dalÜφ. Abychom mohli posoudit p°φpadnß bezpeΦnostnφ rizika, je nutno v∞d∞t, jak tyto programy pracujφ. (TakΘ nßsledujφcφ popis Φinnosti poÜtovnφho serveru je samoz°ejm∞ znaΦn∞ zjednoduÜen²; zßjemce o podrobn∞jÜφ informace odkazujeme na p°φsluÜnß RFC a jinΘ zdroje na internetu.)
P°edstavte si, ₧e pracujete ve firm∞ s n∞kolika desφtkami zam∞stnanc∙. Na recepci mß ka₧d² zam∞stnanec p°ihrßdku se sv²m jmΘnem. Pokud je n∞komu zvenΦφ doruΦena zprßva (nap°φklad poÜtou), recepΦnφ zprßvu p°evezme, p°eΦte si jmΘno na obßlce a ulo₧φ ji do adresßtovy p°ihrßdky. Tam zprßva z∙stane le₧et tak dlouho, ne₧ si ji dotyΦnß osoba vyzvedne. A naopak, pokud chcete poslat zprßvu ven, p°edßte ji recepΦnφ. Ta se op∞t podφvß na obßlku a p°φsluÜn∞ zareaguje: pokud se jednß o Φlov∞ka z firmy, rovnou zprßvu ulo₧φ do jeho p°ihrßdky. Jde-li o n∞koho zvenΦφ, zprßvu p°edß poÜt∞, a¥ si s nφ poradφ, jak umφ.
NaÜφ hypotetickΘ recepΦnφ se v p°φpad∞ poÜtovnφch server∙ °φkß MTA (Mail Transport Agent). MTA pracuje tak, ₧e (nejΦast∞ji) pomocφ protokolu SMTP (Simple Mail Transfer Protocol) p°ijφmß zprßvy. Pokud je zprßva urΦena externφmu u₧ivateli, je zaslßna p°φsluÜnΘmu mail serveru. V p°φpad∞, ₧e je zprßva urΦena lokßlnφmu u₧ivateli (tj. tomu, kdo mß na p°φsluÜnΘm serveru poÜtovnφ schrßnku neboli mailbox), je ulo₧ena do jeho schrßnky. Zde pak Φekß tak dlouho, dokud se u₧ivatel nep°ipojφ a zprßvu si nestßhne (v∞tÜinou pomocφ protokolu POP3, Post Office Protocol version 3).
Doba, po kterou je zprßva ulo₧ena na poÜtovnφm serveru, m∙₧e tedy b²t r∙znß - v zßvislosti na tom, jak Φasto si u₧ivatel vybφrß svoji schrßnku. Po tuto dobu je zprßva ulo₧ena bu∩ v n∞jakΘ databßzi, anebo (co₧ je Φast∞jÜφ) jako obyΦejn² textov² soubor na disku. A po tuto dobu mß takΘ sprßvce serveru mo₧nost s ulo₧en²m souborem libovoln∞ manipulovat. Zprßvu m∙₧e Φφst, pozm∞nit, nebo dokonce smazat. (M∞jte proto v₧dy na pam∞ti nßsledujφcφ varovßnφ: odesφlßte-li mail, poΦφtejte s tφm, ₧e si jej p°eΦte ka₧d² sprßvce ka₧dΘho serveru, p°es kter² zprßva p∙jde.)
V p°φpad∞, ₧e ·toΦnφk mß p°φstup k vaÜemu poÜtovnφmu serveru, nenφ pro n∞j tedy problΘm nechat si p°eposφlat kopie vÜech zprßv, kterΘ dostßvßte, a to leckdy zp∙sobem, kter² je prakticky neprokazateln². (Setkali jsme se dokonce s p°φpadem, kdy byly kopie e-mail∙ generßlnφho °editele p°esm∞rovßny zam∞stnancem, kter² odeÜel pracovat ke konkurenci...)
Jin²m potencißlnφm nebezpeΦφm m∙₧e b²t prohlφ₧enφ webov²ch strßnek p°es proxy. Proxy (cache) je za°φzenφ (specializovan² hardware nebo poΦφtaΦ s vhodn²m programem), kterΘ umo₧≥uje p°ipojenφ do internetu pomocφ n∞kter²ch protokol∙ (typicky FTP, HTTP), p°iΦem₧ po₧adavky zasφlanΘ klientem dßle klade pod sv²m jmΘnem. D∙vodem pou₧itφ proxy je jednak snaha o snφ₧enφ zßt∞₧e sφt∞ (pokud klient po₧aduje strßnku, kterou cht∞l n∞kdo p°edtφm, nestahuje se strßnka znovu z originßlnφ adresy, ale jen z lokßlnφ cache), za druhΘ snaha o zv²Üenφ bezpeΦnosti.
Proxy m∙₧e b²t principißln∞ dvou druh∙: prvnφ je standardnφ proxy cache, kterou si zapφÜete do prohlφ₧eΦe a pou₧φvßte ji vφcemΘn∞ dobrovoln∞, druh² p°φpad je tzv. transparentnφ proxy (nap°φklad cache na "akademickΘ" sφti TEN-155), ta je ovÜem horÜφ z hlediska ochrany soukromφ.
Klasickou HTTP proxy poznßte snadno - je nastavena ve vaÜem prohlφ₧eΦi. Transparentnφ proxy u₧ tak snadno nepoznßte - sedφ na sφti mezi vßmi a webov²m serverem a odchytßvß vÜechny po₧adavky, kterΘ pak p°edßvß dßl nebo vy°izuje z vlastnφ cache. Existujφ sice zp∙soby, jak transparentnφ proxy detekovat, ale jsou komplikovanΘ a nespolehlivΘ. ╪ada ISP p°itom transparentnφ proxy na sv²ch sφtφch pou₧φvß nebo minimßln∞ v minulosti pou₧φvala. Vede je k tomu celkem logickß snaha o snφ₧enφ zßt∞₧e linek.
Pro nßs je d∙le₧itΘ, ₧e jakßkoliv proxy si vytvß°φ (nebo alespo≥ vytvß°et m∙₧e) zßznamy o svΘ Φinnosti, tj. kdo, kdy a jakou strßnku po₧adoval. Z adres navÜtφven²ch strßnek je pak mo₧no celkem snadno odvodit citlivΘ ·daje o sledovanΘ osob∞, nap°φklad o jejφ sexußlnφ orientaci, zßjmech a podobn∞.
I adresa m∙₧e b²t nebezpeΦnß
DalÜφ potencißlnφ bezpeΦnostnφ riziko se skr²vß v pou₧itφ autentifikovan²ch WWW slu₧eb. ╪ada z nich p°edßvß autentizaΦnφ informace jako souΦßst URL. P°φkladem za vÜechny m∙₧e b²t nap°φklad portßl Centrum (http://www.centrum.cz) nebo oblφben² diskusnφ server Mageo (http://www.mageo.cz). Adresa jednΘ navÜtφvenΘ strßnky m∙₧e b²t nap°φklad
Onen tuΦn∞ zv²razn∞n² a zdßnliv∞ nesmysln² °et∞zec je klφΦem k obsahu personalizovan²ch strßnek - podle n∞j server poznß u₧ivatele a bude ochoten s nφm komunikovat. Pokud ovÜem tento °et∞zec n∞kdo zjistφ (nap°φklad z "logu" proxy serveru), m∙₧e pracovat pod jeho autorizacφ.
JednotlivΘ servery se proti mo₧nosti zneu₧itφ zpravidla brßnφ. Äßdnß ochrana ovÜem nenφ stoprocentnφ, proto₧e je v∞tÜinou zalo₧ena na vyprÜenφ tohoto k≤du po n∞jakΘm ΦasovΘm ·seku nebo na omezenφ po₧adavku na jednu IP adresu. Ob∞ tyto metody jsou k niΦemu v okam₧iku, kdy je proxy zkompromitovßna (tak i tak vystupujete pod jejφ IP adresou) a je sledovßna v reßlnΘm Φase (co₧ nenφ problΘm).
Obrana?
Op∞t Üifrovat, Üifrovat, Üifrovat! E-maily pomocφ PGP, komunikaci na webu pomocφ SSL. WebovΘ servery, u nich₧ "o n∞co jde" (kde nap°φklad zadßvßte osobnφ ·daje nebo Φφslo platebnφ karty), by v₧dycky m∞ly pou₧φvat zabezpeΦenΘ (ÜifrovanΘ) spojenφ.
Jak poznat, je-li spojenφ ÜifrovanΘ? Nap°φklad podle adresy. NezabezpeΦen² web mß URL zaΦφnajφcφ http://, zabezpeΦen² https://. Ono pφsmenko "s" za nßzvem HTTP protokolu znamenß secure, tedy zabezpeΦen². V∞tÜina prohlφ₧eΦ∙ navφc strßnky se zabezpeΦen²m p°ipojenφm n∞jak identifikuje - nap°φklad MS Internet Explorer p°i prohlφ₧enφ zabezpeΦen²ch strßnek zobrazφ ve stavovΘm °ßdku symbol visacφho zßmku.
Z ve°ejn²ch e-mailov²ch slu₧eb bohu₧el p°φstup zabezpeΦen²m protokolem poskytuje jenom Email.cz a Centrum.cz. Vadou na krßse vÜak je, ₧e jak ATC (email.cz), tak NetCentrum (centrum.cz) Üet°φ na nepravΘm mφst∞ a certifikßty si vydßvajφ samy, mφsto aby zaplatily renomovanΘ certifikaΦnφ autorit∞. V²sledkem sice nenφ signifikantnφ snφ₧enφ bezpeΦnosti, ale zato ohavnΘ a odstraÜujφcφ hlßÜky o neplatn²ch certifikßtech, generovanΘ browserem.
èpioni ve vaÜem poΦφtaΦi
NebezpeΦφ Φφhß i tehdy, kdy₧ zrovna aktivn∞ "nebrousφte" nebo nemailujete. ╪ada program∙ (zejmΘna z kategorie sharewaru) obsahuje funkce, kterΘ odesφlajφ potencißln∞ nebezpeΦnΘ ·daje sv²m tv∙rc∙m.
OdstraÜujφcφm p°φkladem m∙₧e b²t nap°φklad p°ehrßvaΦ RealPlayer (http://www.real.com), dφlko to spoleΦnosti Real Networks. Vypnout v n∞m vÜechny funkce reportujφcφ kdeco je poΦin vy₧adujφcφ prohlΘdnutφ mnoha dialogov²ch oken a n∞kolikanßsobnΘ potvrzenφ sugestivnφch hlßÜek, kterΘ vßs p°ed tφmto krokem varujφ, nebo¥ tak p°ijdete o polovinu skv∞l²ch funkcφ, kterΘ RealPlayer nabφzφ (jako nap°φklad pravidelnΘ spamovßnφ). Firma Real Netowrks mß p°itom za sebou n∞kolik afΘr spojen²ch s bezpeΦnostnφmi dφrami a ohro₧enφm soukromφ... Pon∞kud sluÜn∞ji se chovß nejrozÜφ°en∞jÜφ p°ehrßvaΦ MP3 - WinAMP, v n∞m₧ se dß zasφlßnφ t∞chto informacφ alespo≥ snadno vypnout.
DalÜφ nebezpeΦφ se skr²vß v sharewarov²ch programech, kterΘ zobrazujφ bannery (nap°. CuteFTP). Ty Φasto vyu₧φvajφ systΘm∙, kterΘ pro snazÜφ cφlenφ reklamy (s vaÜφm v∞domφm i bez n∞j) shroma₧∩ujφ data a odesφlajφ je autorovi. Bli₧Üφ informace o tΘto problematice najdete nap°φklad na strßnkßch Gibson Research Corporation (http://www.grc.com).
Skoro optimistick² zßv∞r
Na ka₧dou kliΦku existuje smyΦka a na ka₧dou smyΦku zase hßΦek. Nikdy nezmizφ rozpor mezi bezpeΦnostφ systΘmu a jeho u₧ivatelskou p°φv∞tivostφ - bezpeΦnΘ systΘmy prost∞ nejsou snadno pou₧itelnΘ. Pokud chcete bezpeΦn∞ a neodposlouchßvateln∞ komunikovat s p°edem definovan²mi protistranami, nenφ to v∞tÜinou problΘm - je mo₧no pou₧φvat silnΘ Üifrovßnφ (nap°φklad ji₧ zmi≥ovanΘ PGP - i kdy₧, jak se doΦtete na jinΘm mφst∞, ani ono nenφ bez slabin), co₧ Φinφ komunikaci prakticky zcela bezpeΦnou.
Proti sledovßnφ b∞₧nΘ Φinnosti obrany nenφ. Riziko sice m∙₧ete minimalizovat vhodn²mi opat°enφmi, z nich₧ n∞kterß jsme nastφnili v tomto Φlßnku, ale jistoty nedosßhnete nikdy.
A jeÜt∞ n∞co je - zejmΘna ve sv∞tle v²Üe °eΦenΘho - nutno zd∙raznit. Jsme velice znepokojeni snahami n∞kter²ch vlßd a jin²ch organizacφ o postavenφ silnΘho Üifrovßnφ mimo zßkon, tedy o faktickΘ omezenφ prßva na soukromφ pod zßminkou boje proti kriminßlnφ Φinnosti. Na druhou stranu chßpeme jejich obavy, proto₧e, alespo≥ v civilizovan²ch zemφch, neexistuje legßlnφ postup, jak z pachatele nebo podez°elΘho dostat klφΦ Φi heslo.1
Samoz°ejm∞ nechceme z Φtenß°∙ vychovat paranoiky, ale trocha opatrnosti neÜkodφ. P°ejeme vßm bezpeΦnou komunikaci po internetu, m∞jte vÜak na pam∞ti starou internetovou moudrost: To, ₧e jsi paranoidnφ, jeÜt∞ neznamenß, ₧e po tob∞ nejdou.
Vladimφr Smejkal | www.pravni-sluzby.cz,
Michal A. ValßÜek | altair@altair2000.net
1 Viz takΘ Φlßnky autor∙ Kodl, J., Sokol, T., Smejkal, V.: èifry, stßtnφ zßjmy a lidskß prßva, Chip 4/95, str. 34 - 36, a Smφme Üifrovat?, Chip 5/95, str. 30 - 32.
