Bármilyen informatikai eszközről is legyen szó, egyszerűen minden felület potenciális sebezhetőséget jelent, amin keresztül az eszköz információcserét folytat a külvilággal. És persze mindig lesz olyan, amire nem gondolunk. Ideértve az ember pszichikai nyomait is.
Az iOS eszközök Sirije és az androidos mobilok Google Now funkciója egy roppant vicces dolog, már csak azért is, mert ahogyan azt korábban is sejteni lehetett, nem csak az ember számára hallható hanggal és nem csak a mobil tulajdonosa tud utasításokat adni a mobilnak, hanem a funkción keresztül hakkolható a mobil targetált elektromágneses sugárzással is, 16-17 láb távolságból, esetlegesen anélkül, hogy a mobil tulajdonosa ebből bármit is észlelne, ahogy az olvasható a Wired nemrég megjelent cikkében is, ami arra is kitér, hogy francia kutatók egyébként bagóért beszerezhető eszközökből dobták össze a támadáshoz szükséges eszközt.
A mai kütyük egyébként többé-kevésbé árnyékoltak az elektromágnesességgel szemben, könnyen belátható, hogy a mikrofon eleve nem lehet annyira árnyékolt, mint a többi rész, annak meg nincs sok értelme, hogy folyamatosan figyeljen. Ebben a nem túl zajos videóban azt mutatják be, hogy az egyébként lezárt mobilt hogyan is oldották fel gyakorlatilag a "távoli parancsvégrehajtás" ezen kevésbé ismert módszerével.
Korábban már olvashattunk példát, hogy egészen szokatlan átvivő közeg is alkalmas lehet egy támadás kivitelezésére, pár évvel korábban még teljesen őrült ötletnek tűnt, hogy a processzor által végzett titkosítási folyamatokat a szó szoros értelemben lehallgassák, aztán simán megcsinálták. A kriptoanalízis ezen formájáról egészen emberi nyelven írt wiki-szócikk erre.
Nyilván túl nagy sansza nincs annak, hogy ilyen támadást alkalmazzanak is, hacsak nem nagyon nagy értékű információhoz próbálnak hozzáférni, másrészt a támadóknak fizikailag is közel kell kerülniük az eszközhöz.
Amit érdemes tanulságként levonni – már megint – hogy le lehet ugyan költöztetni mondjuk az összes gépet a pincébe, aztán a falat kibélelni ólommal, a mobilt meg Faraday-bagbe tenni, ha felmerül az esélye annak, hogy valaki azt próbálja meg támadási vektorként alkalmazni mondjuk valakinek a leghallgatására, értelmetlen. Mindig lesznek olyan módszerek, amikre a személy nem gondol, mi több, még a kutatók sem, tökéletes biztonság akkor lenne kialakítható, ha mindent elzárnánk a külvilágtól, ami információt hordoz. Ez egyrészt nem megvalósítható, másrészt nem is kell megvalósítani. Amikor azt írtam, hogy "mindent", úgy értem, hogy az informatikai eszközökön túl még a felhasználót is, aki tud valamilyen információt. Ugyanis egy személy gyakorlatilag a puszta létével pszichikai nyomok hatalmas forrása lehet, amire két egyszerű példát is írok.
Az egyik, hogy máig az egyik leghatékonyabb eszköze a puhatolásnak [kriminalisztikai értelemben: olyan adatszerzés, amikor a másik nem is tudja, hogy adatot szolgáltat] az, ha a social engineer, a fedett nyomozó vagy a hazugságvadász úgy beszélget a másikkal, hogy a beszélgetést egyébként a másik teljesen spontánnak érzi és egy rakás irreleváns kérdés közé, a beszélgetés közepére bök be egy fedett nyomozó egy arra irányuló kérdést, amire konkrétan kíváncsi, persze nem feltétlenül direkt kérdést kell elképzelni. Az eredmény: a másik még csak észre sem veszi, hogy valamit konkrétan elmondott vagy éppenséggel olyan információkat kotyogott ki, amiből már kimozaikozható az, amire mondjuk egy nyomozó kíváncsi, megerősít vagy gyengít egy előzetes hipotézist.
összetett, de nem úgy, ahogy elképzelitek
A másik példa, ami mutatja a pszichikai nyomok hatalmas információértékét, azok a nyomok, amik a nyelvhasználatban nyilvánulnak meg. Hiába próbál valaki úgy blogot írni például, hogy az technikai szempontból gyakorlatilag a legdurvább paranoiditásig menően anonimizált, a nyelvhasználata elárulhatja a szerzőt akkor is, ha nem is azokat a szavakat vagy szóösszetételeket használja, amik rá jellemzőek is máshol is fellelhetők a neten, mondjuk a személyes blogján vagy a magánlevelezésében. Ugyanis a mondatszerkesztési stílus és a mondatok közti logikai összefüggések strukturálása többek szerint olyan egyedi, mint az ujjlenyomat (az idiolektus egyfajta része), alighanem az adott szerző által írt témától is független. Azaz szöveganyag alapján azonosítani egy szerzőt a neten elvben csak számítási teljesítmény kérdése. Sok esetben ezerszer prózaibb a helyzet, egyszerűen a szóhasználat alapján felfedhető a szerző kiléte.
A titkosszolgálatok története pedig tele van olyan sztorival, amikor egy módszer nem került egy garasba sem, ámde annál ötletesebb volt és félelmetesen egyszerű, mint például az, hogy a KGB ügynökei hogyan azonosították a CIA ügynökeit, végülis ugyancsak pszichikai nyomok alapján.
a világ egyik legismertebb DJ-jének olyan képe, ami millió meg egy helyen fenn van a neten, a Google Képkereső pont ezt a képet mégsem találja. Miért? Na, annyi könnyítést adok a megfejtéshez, hogy a találatokból lehet következtetni rá, hogy milyen kétklikkes manipulációt végeztem a képen