Programi za oddaljeni dostop so namenjeni nadzoru računalnika iz drugega računalnika, oba pa sta v internetu. V konkretni zgodbi je lastnik ukradenega prenosnika spremljal početje tatu, vse dokler se ta ni odločil, da nekaj kupi v spletni trgovini in je v postopku nakupa vnesel svoje ime in naslov. Lastnik je to opazoval, tat pa o tem ni imel niti pojma. Epilog je, da so na njegova vrata potrkali možje v modrem. V zgodbi je nekaj nejasnosti, ki jih mediji, ki so zgodbo razširili, niso niti poskušali obrazložiti, zato je veliko vprašanje, ali je sploh resnična. In četudi je, je pri bilo vsej zadevi veliko srečnih naključji. Zakaj?
Računalnik ali omrežje računalnikov ima v internetu svoj unikatni IP-naslov, ki mu ga dodeli ponudnik dostopa. Če niste posebej dogovorjeni, da imate vedno isti naslov (statični IP), se ta spreminja. V vsakem primeru je zelo malo možnosti, da bi vedeli, pod katerim naslovom se zdaj skriva do nedavnega vaš prenosni računalnik. Kaj pa tako imenovani naslov MAC (Media Access Control) – unikatna številka omrežne kartice, usmerjevalnika? Ta je vidna, vendar zgolj v krajevnem omrežju (LAN), ne pa tudi v internetu. V najboljšem primeru jo vidi ponudnik dostopa v internet. Če bi se torej želeli »priključiti« na ukradeni računalnik, bi morali vedeti, pod katerim IP-naslovom se ta skriva. In če bi poznali naslov, sploh ne bi bilo potrebe po spremljanju početja tatu (menda je cele dneve gledal porniče). Dovolj bi bilo, da bi IP-naslov sporočili policiji, ta bi obiskala ponudnika dostopa, ki bi jim lahko povedal, kdo se za njim skriva.
DOMENA NAMESTO NASLOVA!
Zgodba postane verjetna, če je računalnik v internetu poznan pod domeno, ne pa po trenutnem IP-naslovu. Domeno mu dodeli storitev dynDNS.org (struktura domene: imeprenosnika.vašadomena.dyndns.org), program v računalniku pa poskrbi za osvežitev bodisi ko se računalnik priklopi v internet bodisi ko se zamenja njegov dotedanji IP-naslov. Če imate v računalniku tudi programsko opremo za oddaljeni dostop, lahko vohunite za početjem tatu, tako da le opazujete dogajanje na zaslonu in se ne izdate s tem, da na primer prevzamete nadzor nad računalnikom. Vedeti morate tudi, kdaj je ukradeni računalnik sploh dostopen. Lahko poskušate in čakate ali pa uporabite kakšno od storitev, ki neprestano preverja prej omenjeno domeno in vam sporoči, kdaj je ta dostopna (primer: www.websitepulse.com). S tem boste prevarali priložnostnega tatu, ki je ukradel računalnik, ali pa nič hudega slutečega kupca ukradenega blaga, pri čemer se ne enemu ne drugemu veliko o računalnikih ne sanja. Dovolj je namreč, da tat izbriše zanj potencialno nevarne programe oziroma še bolje, da pred uporabo izbriše vse na disku in ponovno namesti, kar potrebuje, in je pred vami popolnoma varen.
Zgodba je zanimiva tudi z druge perspektive. Rešitve, ki obljubljajo vrnitev ukradenega računalnika, delujejo po enakem načelu. Tatu lahko izsledijo zgolj, če ta računalnik priključi v internet in če prej ni »počistil« diska in odstranil zaščite. Zatorej sodimo, da lahko dajo lažen občutek varnosti, ki je nevaren. Kajti še huje kot kraja računalnika, je kraja tako ali drugače zaupnih podatkov, ki se na njem nahajajo!
Izdajalski IP-naslov
Je poznavanje naslova IP-dovolj? Ne vedno. Vzemimo dva primera. Tat računalnik priključi v internet pri sebi doma, prek svojega internetnega priključka. Njegov ponudnik ga pozna in v tem primeru je poznavanje naslova dovolj. Kaj pa ko tat računalnik v internet priključi prek javnega brezžičnega omrežja, prek priključka v internetnih bifejih ali prek nevarovanega brezžičnega omrežja soseda. V tem primeru ga bo policija zelo težko ujela, če ne bo dovolj hitro na mestu dogodka, v zadnjem primeru pa lahko potrka tudi na vrata nič hudega slutečega soseda. Dobra storitev zato poskuša pridobiti čim več podatkov, morda osebne podatke, ki bi jih nepreviden tat vpisal, ali pa, če ima prenosnik vdelano kamero, tudi njegovo fotografijo
KO SE PRENOSNIK SAM OGLASI
Prenosniki so med tatovi vroče žemljice. Razmeroma lahko jih je ukrasti in hitro spraviti v promet! In ker je tako, je velik tudi interes po storitvah, ki obljubljajo, da če vam bodo računalnik ukradli, ga boste lahko dobili nazaj. V nekaterih primerih vam obljubljajo celo varnost podatkov. Razumljivo je, da ko je govor o komercialnih storitvah, o njih nočejo izdati veliko podatkov, saj bi to vplivalo na sposobnost storitve, da opravlja svoje poslanstvo. A pri vseh tovrstnih rešitvah gre za bolj ali manj podoben način delovanja. V »ščiteni« računalnik se namesti programska oprema, ki pri kraji, kadar koli je mogoče, pošilja podatke. Poslani podatki, med njimi je lahko tudi slika »novega« uporabnika, so taki, da omogočajo določanje fizične lokacije prenosnika (omrežni podatki – IP-naslovi in podobno). Nekateri omogočajo tudi oddaljeni dostop do ukradenega računalnika in izbris vseh tistih podatkov v njem, za katere lastnik želi, da nikoli ne pri prišli v neprave roke. Prav tako v večini primerov ni znano, kako so te storitve občutljive na ponovno namestitev sistema, formatiranje ali celo zamenjavo diska. Takšne posege v prenosni računalnik lahko preživi storitev, ki ima del sebe varno spravljeno v BIOS-u računalnika. Če tat na primer zamenja disk, ta del poskrbi, da se tudi na novega namestijo vsi programi, ki so potrebni za zagotavljanje delovanja storitve.
ADEONA, BOGINJA VARNE VRNITVE
Večina komercialnih storitev za nas ni zanimivih, saj slonijo na tretji osebi (podjetju), ki skrbi za zbiranje podatkov in iskanje ukradenega računalnika, zato niso na voljo v Sloveniji. Je pa toliko zanimivejša na primer prostokodna storitev Adeona (http://adeona.cs.washington.edu/). Njena prednost je tudi v tem, da uporabnik vse naredi sam, brez morebitne ogroženosti svoje zasebnosti, podatki o lokaciji računalnika pa se shranjujejo v strežnikih openDHT (pošilja jih vsake pol ure). Večina podobnih storitev takoj, ko jih namestite, začne pošiljate podatke – torej tudi ko prenosnik še ni ukraden ali izgubljen in je še vedno v vaših rokah. Ponudnik storitve lahko torej vidi vaše početje. Čeprav do zdaj še ni bilo poročil, da bi do take zlorabe prišlo, pa v protiteroristični paranoji nikoli ne vemo, kaj nekdo dela v imenu »patriotskega akta« ali česa podobnega. Adeona pa je drugačna – podatki, ki jih shranjuje, so šifrirani in berljivi zgolj z vašim geslom, ki si ga izmislite v postopku namestitve. Nihče drug ne more do njih in nihče drug iz njih ne more izluščiti informacij! Trenutno gre za beta različico, ki jo je preprosto odstraniti in tudi v bodoče pravijo, da je storitev namenjena zgolj iskanju prenosnikov, ki so jih ukradli običajni tatovi, in ne oni s preobilico računalniškega znanja.
KAJ PA POTEM?
Ponudniku storitev sledenja ukradenega računalnika obljubljajo veliko, od tega, da najdejo naslov tatu, pa do približne ocenitve lokacije prek otokov brezžičnega omrežja in še fotografije tatu povrhu. Realno pa je tisto, kar dejansko dobite, največkrat IP-naslov računalnika in čas, kdaj je bil ta skrit pod tem naslovom. Kaj zdaj? V vsakem primeru morate iti na policijo, prijaviti krajo računalnika in več ko pri tem poveste podatkov, več možnosti imate, da bi računalnik še kdaj videli. Z IP-naslovom si sami ne morete dosti pomagati, policija pa lahko dobi sodni nalog, na njegovi podlagi pa od ponudnika dostopa v internet tudi podatke o naročniku, ki mu je bil v konkretnem času dodeljen problematičen naslov. Od tu naprej gre za klasično policijsko delo.
ŠE O PREVENTIVI
Dodatek nekaterim komercialnim storitvam sledenja je možnost brisanja »pomembnih« podatkov pri kraji. Ne klasičnega brisanja, temveč prepisovanja, kar je edini postopek, ki podatke fizično uniči. Tu vidimo dve pomembni omejitvi. Prva je čas, ko se uničevanje vključi. Ko računalnik ugotovi, da je ukraden (na primer trikratni vnos napačnega gesla) ali na ukaz iz interneta? V obeh primerih je zadeva vprašljiva, saj tisti, ki je prenosnik ukradel zaradi podatkov v njem, to verjetno ve in bo zelo pazil, da brisanja ne bo aktiviral. V internet pa takšnega prenosnika zagotovo ne bo priključil. Lahko pa pride tudi do lažnega alarma in si sami sebi naredimo prav lepo škodo.
Vsakdo, ki ima v prenosniku res pomembne podatke in drugače ne gre in jih na primer ne more imeti kje varno shranjenih v »oblaku«, naj razmisli o njihovem šifriranju. Rešitev, tako brezplačnih kot tudi komercialnih, je več, od programskih, ki »zakodirajo« izbrane datoteke in mape ali kar ves disk, pa do bolj sofisticiranih programsko-strojnih rešitev, kjer je za dešifriranje podatkov potrebna naprava, morda v obliki USB-ključa – če vam tega ukradejo skupaj s prenosnikom, je bilo vse zaman. Šifriranje celotnega diska ima pred šifriranjem datotek oziroma map nekatere prednosti. Šifrirano je popolnoma vse oziroma ostanejo nešifrirani le tisti deli diska, ki so potrebni za normalen zagon sistema (obstaja strojna rešitev, ki šifrira tudi ta del), tudi začasne datoteke in del diska z začasnimi podatki (izmenjevalni prostor), iz katerih lahko tat izlušči zaupne podatke, pa četudi je napadena datoteka zavarovana. Pri tem načinu uporabnik ne izbira, katere datoteke naj sistem zaščiti, zato odpade človeška napaka, ko preprosto pozabi na kakšno datoteko, hkrati pa sistem tudi zahteva identifikacijo uporabnika pred zagonom sistema ,in ne ko je ta že zagnan. Preprosto je tudi uničevanje podatkov, saj je v prvem koraku dovolj, da uničimo šifrirni ključ in podatki nimajo več vrednosti. Vendar tudi v tem primeru predlagajo poznejše fizično uničenje podatkov. Ima pa šifriranje celotnega diska slabost, kajti če tat ukrade računalnik v delujočem stanju, datoteke niso šifrirane, pri šifriranju posameznih datotek, vsake s svojim šifrirnim ključem, pa so.
Storitve sledenja prenosnika so, če zanemarimo potencialno nevarnost ogrožanja zasebnosti, edini proaktivni način povrnitve računalnika, ko je bil ta že enkrat odtujen. Zadnje čase se veliko govori tudi o novejših tehnologijah (na primer Intel ATT – Anti Theft Technology), ki bodo vgrajene »globlje« v drobovje računalnika in bodo zato težje odstranljive ter odpornejše na iznajdljivost tatov. Kakor koli že, osnova delovanja bo še vedno enaka: pogoj, da je ukradeni računalnik priključen v internet, in zbiranje podatkov, ki jih bo ta pošiljal. Možnost brisanja podatkov od daleč in onemogočanje dostopa do podatkov na disku so le dodatki, ki varujejo podatke, ne pripomorejo pa k povrnitvi računalnika. Najbolje, tako glede lastnika kot tudi glede podatkov pa je, da vam računalnika sploh ne ukradejo.
Ko ga ukradejo, je že prepozno!
Po toči zvoniti je prepozno. Misliti je treba prej in krajo preprečiti. Nekaj napotkov:
• Nikoli ne puščajte prenosnika v prostoru, ne da bi ga imeli vedno na očeh. Če skočite iz pisarne, ga zaklenite v omaro. Velja za prostore, kjer je običajno, da se v njem zadržujejo tudi tuji ljudje.
• Ne puščajte prenosnika tam, kjer ga je preprosto ukrasti. Prtljažnik avtomobila se vam morebiti zdi varen kot bančni sef, vendar ni.
• Razni dodatki za zaklepanje (veriga in ključavnica Kensington) so primerni za mesta, kjer je veliko tujih ljudi, prenosnik pa tam potrebujete in ga nimate vedno na očeh. Zato pa to tudi uporabljajo na sejmiščih, kongresnih prostorih …
• Nekaj dodatne varnosti daje prenosnik, priključen v priključno postajo zanj (docking station), saj ga je malce težje vzeti iz mize.
• Na potovanju ne imejte prenosnika temu namenjeni torbici, saj ste tako opaznejši očem morebitnih tatov, ki točno vedo, kaj nosijo. Bolje je prenosnik imeti v nahrbtniku ali v torbi, ki je namenjena tudi drugim stvarem.
Preventiva, bistvo zaščite podatkov!
Večini žrtev ni tako žal za prenosnikom, kot za podatki, ki so bili na njem. Zato velja premisliti o naslednjem:
• Če je le mogoče, pomembnih podatkov ne imejte v prenosniku. Ti naj bodo v varnem strežniku, do njih pa boste prišli prek omrežja. Načelo računalništva v oblaku je dober primer za to.
• Podatke, ki jih imate v prenosniku, redno hranite še kje drugje. Tako pri kraji ne boste izgubili skoraj dokončane diplomske naloge ali poslovnega načrta.
• Če so podatki že v prenosniku, naj bodo šifrirani. Boljša rešitev je šifriranje celotnega diska kot zgolj zaščita nekaterih datotek oziroma map.
• Ne zanašajte se preveč na uporabniško ime in geslo kot zaščito operacijskega sistema. Ne pomaga veliko.
• Bralnik prstnih odtisov je boljša možnost, vendar je z njim opremljeno manj prenosnikov, v poslovnem svetu pa boste imeli, vsaj v Sloveniji, težave, saj takih prenosnikov pravzaprav ne smete imeti, razen če ima vaše podjetje posebno dovoljenje za uporabo biometričnih ukrepov.
• Z geslom zaščitite tudi dostop do BIOS-a.
Moj mikro, Januar 2009 | Marjan Kodelja |
