"Dzieci, co robimy kiedy jest post?", "Lajkujemy i share'ujemy!". Ta rzekoma rozmowa katechetki z uczniami podstawówki krąży po sieci od początku Facebooka. I choć stawiam, że jest miejską legendą - doskonale opisuje świat w jakim teraz żyjemy.
Nie zamierzam pierwszy rzucać kamieniem, też mam w sobie pierwiastek sieciowego ekshibicjonizmu. Znajdziecie mnie w mediach społecznościowych, gdzie mniej lub bardziej się udzielam. Nie trzeba przesadnych zdolności z OSINT-u, by poznać moje zainteresowania. Czy to dobrze? Chyba nie, ale przynajmniej wiem co i gdzie udostępniam, więc jakąś tam dbałość o OPSEC zachowuję. A nie wszyscy tak robią.
Bieganie po oceanie
W końcówce marca media nie tylko bezpieczniackie ale przede wszystkim te głównego nurtu rozbrzmiewały połączeniem zaskoczenia i rozbawienia po specyficznym treningu oficera francuskiej marynarki wojennej. Uskuteczniał bieganie... na środku oceanu. Czy raczej tak wyglądało, bo ta informacja w połączeniu z przydziałem służbowym nieostrożnego biegacza dała prostą odpowiedź. Miejsce na Morzu Śródziemnym, w którym znajdowała grupa uderzeniowa lotniskowca FS Charles de Gaulle. W dzisiejszych czasach rzecz jasna lotniskowcowa grupa uderzeniowa to byt o "zadrapanie", którego choćby trzeba się mocno postarać. No ale lepiej się broni kluczowego zasobu armii, gdy wróg nie wie, gdzie go znaleźć, prawda?
Czy to jedyny taki przypadek? Gdzie tam. Upłynęło już osiem lat od najsłynniejszego [to temat do dyskusji] danych, dzięki któremu mogliśmy poznać lokalizację baz wojskowych w wielu krajach, w tym na terenach trwających misji. Lotniskowiec to chociaż ma wokół siebie potężną ochronę. W przypadku bazy na środku pustyni nieroztropne publiczne bieganie może kosztować wiele żyć. Aha, a czemu temat do dyskusji? Bo nie nazwałbym tego wyciekiem. Nikt tych danych nie ukradł. Użytkownicy sami je udostępniali, Czy w pełni świadomie? To już inna sprawa.
Życie plug&play
Winę za to ponosi społecznościowo-sportowa aplikacja Strava. Nie no, tak na serio to nie mogę zwalać na aplikację. Winę za każdy taki przypadek ponosi człowiek, który radośnie korzysta z dobrodziejstw dzisiejszych czasów "na defaulcie", czyli domyślnych ustawieniach. Wystarczy serwis Shodan, by znaleźć miliony urządzeń sieciowych dostępne z internetu jako admin/admin, sprzęty IoT czasami nawet z wpisanym hasłem na stałe, ogólnodostępne kamery w każdym miejscu, jakie możesz sobie wyobrazić.
Przedstawione przypadki, a także Stravę, czy Garmin Connect, łączy przynajmniej jedno. To, że nasze życie w internecie traktujemy jako "plug&play". Podłączamy sprzęt, odpalamy aplikację, logujemy się i to wszystko. No i potem oczywiście chwalimy się w sieci. Czy chodzi o zakupy, życiowe osiągnięcie i i bieganie właśnie - kultura dzielenia się nakłada na nas presję, by wiedzieli o tym inni.
Nie bez kozery piszę "nas". Ja też to robię i choć do nadmiernie dzielących się mi daleko, sam mam świadomość, że czasami przesadzam. I - choć ciężko mi się do tego przyznać, ale nic nie uczy tak dobrze, jak przykład eksperta, który dał ciała - sam jeszcze niedawno robiłem to samo co użytkownicy Stravy. Choć ja akurat korzystam z Garmin Connect.
Lokalizacyjna "mgła wojny"
Skąd się wziął impuls do zmiany? Wysyłając znajomemu link do treningu, z którego właśnie wróciłem zdałem sobie sprawę, że będzie mógł zobaczyć trasę? Tzn. jasne, m.in. po to wysłałem, ale skoro link nie wymaga zalogowania się do serwisu, to przecież może zobaczyć go każdy! "Nie zobaczy bez linka" - powiecie. A ja powiem, że wciąż może, ale przyjdzie mu to trudniej.
Udostępniane łącze nie zawiera identyfikatora użytkownika, ani żadnej stałej, mogącej wiązać kolejne udostępnienia z konkretnym użytkownikiem. Format linku to:
https://connect.garmin.com/modern/activity/xxxxxxxxxxx?share_unique_id=yy
gdzie x i y to cyfry. Przy zmianie jednych i drugich system zwraca informację o aktywności prywatnej. Pytanie, czy generując skończoną liczbę zapytań - szczególnie w sytuacji, gdy share_unique_id jest dwucyfrowy - jesteśmy w stanie trafić w parę, która da nam dostęp do czyjegoś treningu?
Gdy dotarła do mnie moja niefrasobliwość, wolałem tego nie sprawdzać. I tak jak w przypadku osób uprawiających bieganie w okolicy poufnej infrastruktury krytycznej odradzam w ogóle dzielenie się tego typu informacjami, tak pozostałym polecam włączyć coś, co nazywam "mgłą wojny". Garmin Connect i Strava na pewno - pozostałe nie wiem - umożliwiają ukrycie dzielenia się aktywnością w promieniu wokół podanego przez użytkownika miejsca. Wtedy każdy, kto wejdzie w posiadanie linka do mojego treningu będzie myślał, że zaczął się i skończył w innym miejscu - tak jak na tytułowym obrazku. Dorzucamy do tego bieganie w różnych godzinach i po różnych trasach i w efekcie znacząco ograniczamy płaszczyznę zrobienia nam krzywdy.
Czy wszystkim musisz się dzielić
Przede wszystkim warto się jednak zastanowić, czy musimy iść za modą i dzielić się wszystkim ze wszystkimi? Nie każdy jest celem wysokiego ryzyka i w przypadku pewnie z 95 procentom z nas fakt, że ze szczątków takich informacji można uzyskać o nas dużą wiedzę nie zrobi różnicy. Pytanie jednak, czy tego chcesz? I czy wiesz, że z takiej wiedzy można przygotować specyficznie pod Twoim kątem taki phishing, któremu się nie oprzesz? No ale to temat na inny materiał.
A póki co - pora na bieganie?
PS: No i sprawdź, czy Twoje urządzenia sieciowe nie są dostępne z internetu! Jeśli masz Funboxa - zadbaliśmy o niego w Twoim imieniu.