Zdrowy sceptycyzm wobec wszystkich urządzeń podłączonych do Sieci jest dziś niestety bardzo pożądany. Jak wiadomo,malware staje się coraz bardziej pomysłowy. Ukrywa się, np. jako rootkit, tak dobrze, że jest niewidzialny dla systemu operacyjnego i wszystkich działających pod jego kontrolą skanerów antywirusowych i czyha na informacje o kartach kredytowych oraz tożsamości. Oprócz tego coraz więcej urządzeń z zasady jest coraz bardziej podatne na malware: każdy sprzęt podłączony do Internetu może zostać zmanipulowany. Posiadacze wszystkich “inteligentnych” urządzeń, na których da się zainstalować aplikacje, ale nie można zainstalować oprogramowania zabezpieczającego, nie mają żadnej możliwości sprawdzenia, czy malware gromadzi i wysyła dane. Poza tym producenci oprogramowania i urządzeń często wysyłają więcej danych, niż podobałoby się to prywatnemu użytkownikowi.
Odczytywanie danych ze swoich urządzeń albo dawanie dostępu do nich branży reklamowej wytwórcy postrzegają jako oczywiste prawo. W efekcie Edward Snowden obawia się używać smartfonu, z opublikowanych przez niego wewnętrznych dokumentów NSA wynika, że władze USA przez ukryte funkcje iOS-u mają szeroki dostęp do danych w smartfonach Apple. To, że Google gromadzi jak najwięcej danych ze smartfonów z Androidem, nie stanowi żadnej nowości. Na pokusę czerpania zysków z danych klientów jest wystawiony każdy producent urządzeń podłączonych do Sieci. Smart TV po włączeniu kontaktują się z dziesiątkami adserwerów i serwerów trackingowych. Przed rokiem wyszło na jaw, że telewizory LG otwartym tekstem przesyłały do producenta dane o wybieranych programach i podłączonych nośnikach USB. Według LG żadne dane nie były wtedy zapisywane.
Takim deklaracjom wytwórców można dawać wiarę bądź nie – ale na urządzeniach nie da się w żaden sposób stwierdzić jak w rzeczywistości działa zarządzanie naszymi danymi. Nawet jeśli sprzęt ma opcję wyłączenia “serwisów danych”, nie można na nim sprawdzić, czy to coś dało. Telewizory LG mają taki przycisk, ale w omawianym przypadku dane były wysyłane bez względu na ustawienia. Z zasady podejrzane są wszystkie formy sieciowej aktywności bez rozpoznawalnej przyczyny: na przykład kiedy w sieci domowej działa tylko podłączony do niej telewizor, a dioda sygnalizująca transmisję danych w naszym ruterze wciąż miga albo kiedy pecet bez przerwy bierze dysk do galopu. Naszą czujność powinny też obudzić niepożądane formy aktywności, które wyczerpują akumulator urządzenia mobilnego szybciej, niż działo się to wcześniej. Nie należy jednak wpadać w paranoję: pewna skala ruchu sieciowego występuje przez cały czas – choćby w celu podtrzymania połączenia. A Windows, jak wiadomo, podczas faz bezczynności komputera wykonuje pożyteczne zadania aktualizacji, porządkowania i indeksowania.
Przechwytywanie transmisji danych w ruterze
Pewność, że nasze urządzenia przesyłają niepożądane dane, uzyskamy, przechwytując i analizując transfer danych poza naszym systemem. W sieci domowej najlepiej nadającym się do tego elementem
jest ruter. Na kolejnych dwóch stronach opisujemy, jak zapisać, przeanalizować i w razie wątpliwości zablokować taki transfer danych na przykładzie popularnych Smart TV Samsunga i rutera. Nie należy to wprawdzie do całkiem prostych czynności, za to z zasady działa na wszystkich urządzeniach, które przez LAN lub Wi-Fi możemy połączyć ze swoim ruterem. Warunkiem uzyskania wiarygodnych wyników jest ruter z aktualnym firmware’em, bez luk w zabezpieczeniach, i bezpieczne ustawienia podstawowe, takie jak długie indywidualne hasło dla urządzenia i klucz Wi-Fi. Kto od dłuższego czasu nie zajmował się swoim ruterem albo ma wątpliwości co do aktualności własnego systemu, najlepiej niech wgra na nowo kompletną wersję OS.
Kiedy zbadacie komputer i stwierdzicie, że komunikuje się z wątpliwej reputacji serwerami, pilnie wskazane jest skanowanie przeciwmalware’owe ze 100-procentowo pewnego nośnika (płyty CD albo pamięci USB), który należy utworzyć na innym systemie. Do tego celu dobrze nadaje się Kaspersky Rescue Disk.
Urządzeń komunikujących się przez Wi-Fi albo LAN praktycznie nie da się kontrolować. Istnieje bowiem ryzyko, że za pomocą specjalnego hardware’u hakerzy są w stanie podsłuchiwać klawiatury albo myszy bezprzewodowe. Sygnał adapterów powerline w pewnych okolicznościach może wychodzić poza granice naszego mieszkania, dlatego musimy zadbać, żeby komunikacja pomiędzy tymi urządzeniami zawsze była szyfrowana. W przypadku smartfonów połączonych z Internetem przez sieć
3G/4G do dyspozycji mamy tylko androidowy firewall albo aplikację kontrolującą inne programy.
Kontrola sieci
Tak zapiszecie w ruterze cały transfer sieciowy generowany przez urządzenie i przeanalizujecie cyfrowy hałas.
1. Przygotowanie analizy
Zainstalujcie na swoim pececie aplikację Wireshark (www.wireshark.org/download.html). Połączenie internetowe/DSL waszego rutera bądź modemu musi być aktywne. Aby ilość danych do późniejszego zbadania była umiarkowana, do rutera powinno być podłączone jedynie podejrzane urządzenie oraz pecet. W interfejsie WWW rutera – w naszym przypadku był to Fritz!Box – wyświetlone zostaną wszystkie urządzenia, gdy wejdziemy w »Network | Devices and Users«. Pozostawcie działającego peceta, ale wyłączcie badane urządzenie. Całość wypróbowaliśmy na przykładzie Smart TV Samsunga podłączonego do rutera.
2. Zapis transferu sieciowego
Na pececie otwórzcie URL: http://fritz.box/html/capture.html. Po wpisaniu hasła urządzenia otwiera się strona “Logowanie pakietów”. Tu znajduje się lista różnych interfejsów sieciowych rutera. W »Network Settings | LAN« kliknijcie »Start«, w efekcie wasza przeglądarka rozpocznie pobieranie pliku zapisu. Po wybraniu miejsca zapisu rozpocznie się nagrywanie. Wszystkie pakiety danych przechodzące przez interfejs internetowy Fritz!Boxa zostaną teraz wyeksportowane do pliku ETH. Teraz włączcie podejrzane urządzenie i odczekajcie około pięciu minut, nie robiąc niczego. Potem kliknijcie na stronie “Packet Trace” przycisk »Stop« – wówczas pobieranie pliku zostanie zakończone.
3. Ładowanie danych do Wiresharka
Wireshark oferuje niezliczone opcje zapisu i analizy pakietów sieciowych i jest dostępny jedynie w angielskiej wersji językowej, ale do naszych celów wystarczą tylko funkcje podstawowe. Klikając »File | Open…«, otwórzcie plik zapisany w kroku 2. Teraz zobaczycie trzyczęściowy widok: u góry jest lista ze wszystkimi przesłanymi pakietami sieciowymi, które są najważniejsze dla naszych celów. Poniżej znajdziecie uporządkowane szczegóły wybranego aktualnie pakietu, a całkiem na dole– surowy widok bythe.
4. Filtrowanie i sortowanie pakietów
Z wyświetlaną standardowo przez Wireshark plątaniną liter i cyfr niewiele można zrobić. Aby przełożyć adresy MAC i IP na adresy czytelne, wybierzcie »View | Name Resolution« i tam aktywujcie wszystkie trzy opcje rozpoczynające się od »Enable for…«. Następnie za pomocą filtrów wydzielcie i odrzućcie wszystkie pakiety, które nie mają nic wspólnego z podejrzanym urządzeniem. Najpierw w oknie przeglądarki otwórzcie interfejs rutera i wpiszcie swoje hasło. Tam zobaczycie wszystkie podłączone do niego urządzenia, wśród nich również to badane z adresem IP i MAC. Zaznaczcie i skopiujcie ten ostatni. W polu »Filtr« Wiresharka wpiszcie “eth.addr == [skopiowany adres MAC]” i kliknijcie »Apply«. Teraz lista jest już trochę bardziej przejrzysta. Ponieważ włączyliście urządzenie dopiero podczas nagrywania pakietów, na początku powinno być widoczne, jak urządzenie przez pakiety ARP i DHCP sobie adres IP z rutera. W przypadku sprzętów komunikujących się z umiarkowaną liczbą serwerów już ten widok wystarczy, żeby wykryć podejrzane URL, których nazwa wskazuje na firmy reklamowe (“Ad…) albo szpiegowskie (“track…” bądź “…tag…”). Nasz Samsung jednak przy każdym uruchomieniu wymieniał wiele tysięcy pakietów z różnymi serwerami, które są potrzebne do obsługi funkcji Smart TV. Wtedy Wireshark pokazuje najlepiej, do czego został stworzony: do zapewniania przejrzystości.
5. Identyfikacja wątpliwych serwerów
Jeśli lista pakietów, jak w naszym przypadku, jest zbyt nieprzejrzysta, aby przeanalizować ją ręcznie, w Wireshark kliknijcie »Statistics | Endpoints«. Wybierzcie tab »IPv4« i aktywujcie obie opcje: »Name resolution« i »Limit to display filter«. Teraz zobaczycie listę posortowaną według serwerów – w naszym przypadku jest ich trochę więcej niż 60. Około połowę stanowią serwery chmur operatorów: Amazon AWS, Akamai, Cloudapp i Cloudfront. Chcąc skorzystać z funkcji sieciowych swojego telewizora, nie macie innego wyjścia niż tolerowanie komunikacji z nimi. Wśród pozostałych znalazły się serwisy dostarczające treści do aplikacji zainstalowanych w telewizorze, takie jak dailymotion.com i google.com (YouTube), ale także kilka firm reklamowych i trackingowych, które przez wyszukiwanie
internetowe zidentyfikujecie po nazwie domeny. W naszym telewizorze Samsung były to np.: adadvisor.net, adition.com, adventori.com, mathtag.com. Tym przyjrzyjcie się teraz dokładniej.
6. Analiza konwersacji
W oknie »Endpoints« kliknijcie prawym przyciskiem myszy na podejrzanym serwerze. W oknie głównym zostaną wyświetlone teraz już tylko pakiety wymienione pomiędzy urządzeniem i tym serwerem. Kliknijcie prawym przyciskiem jeden z tych pakietów, a następnie »Follow TCP Stream«, aby Wireshark zaprezentował spójną konwersację. W naszym zrzucie ekranowym telewizor (czerwony tekst) żąda piksela trackingowego od adserwera (niebieski tekst). Jeśli informacje przesyłane są otwartym tekstem, tu je przeczytacie.
7. Tworzenie czarnej listy dla rutera
Efektem trwających trochę badań telewizora Samsung jest lista jedenastu adserwerów i serwerów trackingowych. Aby je zablokować, dodajcie nazwy domen do czarnej listy rutera. Otwórzcie jego interfejs webowy i kliknijcie »Internet | Filters«, a potem za »List of Blocked Web Sites (Blacklist)« polecenie »Edit« – wpiszcie tam ich nazwy i zatwierdźcie operację przez »OK«.
8. Stosowanie blokady
Wejdźcie na zakładkę »Permit Access« i kliknijcie komendę »Edit«. Na otwartej liście aktywujcie opcję »Filter for Web Pages «, a poniżej »Block web sites (blacklist)«. Wyłączcie »Strony internetowe zagrażające młodzieży« i zatwierdźcie operację przez »OK«. Potem na karcie “Parental Controls” przypiszcie telewizorowi profil »Standard«. W naszym przypadku z jedenastoma zablokowanymi serwerami aplikacja YouTube oraz inne na telewizorze już nie działały. Musimy więc eksperymentalnie ustalić, co można, a czego nie blokować, jeśli nie chcemy całkowicie odłączyć telewizora od Sieci.