Pravidelný občasník originálního humoru

Google wardriving? A co má vlastně být? (rozšířené a doplněné vydání)

Autor chlívek (IT pel mel ) - vydáno 5.6.2010

Google Street View vozítka v Evropě zaznamenávala WiFi komunikaci, ke které se dostávala při průjezdech městem. Poněkud hloupě si tak Google opět stížil pozici služby, která už tak má dostatek potíží. Jenže nejde se nezeptat - a co má vlastně být?


Upozornění - článek vyšel 20.května na Lupa.cz (Google wardriving? A co má vlastně být?). Od té doby se v otázce Google wardrivingu udály další věci. Rozhodl jsem se tedy původní článek doplnit. Dopňek najdete po textu "původního" článku, přeskočit můžete tudy.


Wardriving heslo najdete v anglické Wikipedii snadno. V české to bude horší, nějaký "Tlusťa" tam došel k názoru, že je "neencyklopedické" a "spam" a proto vcelku zajímavé heslo neexistuje. Najdete dokonce i www.wardriving.com, coby užitečný zdroj informací (byť trochu neaktuální).

Wardriving is the act of searching for Wi-Fi wireless networks by a person in a moving vehicle, using a portable computer or PDA.

Svým způsobem wardriving mohl nejvíce proslavit Google. Právě jeho Street View vozítka totiž aktivně provozují wardrivint, tedy "vyhledávání Wi-Fi sítí osobou v jedoucím vozidle s použitím přenosného počítače nebo PDA". Dokonce existuje i warbiking, tedy totožná činnost provozovaná za jízdy na kole. I tady by Google mohl být příkladem. A teoreticky by mohl být shledán vinným činností označovanou jako piggybacking, tedy připojováním se k sítím a používáním jejích služeb bez svolení. A v tomto okamžiku by už mohlo dojít i na stíhání pro trestný čin. V řadě zemí.


Google Street View (Zdroj: Google Švýcarsko)

Google zaznamenával WiFi komunikaci

Klasický wardriving je pasivní, software pouze zaznamenává informace o dostupných Wi-Fi sítích a kombinuje je s informací o poloze. V řadě případů také vytváří mapu pokrytí oblasti WiFi - Google původně právě tohle používal pro získání dodatečných informací pro geolokační služby. Vedle tradičního "zaměření" mobilního telefonu a notebooku s pomocí GPS či buněk mobilního operátora by potom mohl přidat i odhad polohy podle dostupných WiFi sítí.

Aktivní wardriving je už trochu ošemetnější, vyžaduje připojení k přístupovému bodu a v některých zemích může být striktně nelegální. Ve většině případů je ale někde na hraně - v USA by například porušení zákona bylo teprve to, kdyby wardriver opravdu použil nějakou ze služeb přístupového bodu, nebo se jeho prostřednictvím připojil na místní siť či Internet.

Google Street View si v Evropě zadělal na problémy - vedle SSID a MAC adresy přístupového bodu totiž použité software zaznamenávalo i WiFi komunikaci. A jak vcelku logicky ochránci soukromí upozorňují, v řadě případů tato komunikace obsahovala osobní údaje. Taková už bohužel komunikace po Internetu je.

Celá kauza má typický průběh. V okamžiku kdy se o shromažďování poněkud nadbytečných dat začalo mluvit, Google se tvářil, jako že nic neshromažďuje. Později ale chybu přiznal a pokusil se poněkud lépe komunikovat. Ve WiFi data collection: An update označil aktivity za chybu a omyl způsobený použitím staršího kódu a pokusil se je vysvětlit. A zareagoval i na požadavky orgánů a organizací na ochranu soukromí tím, že s nimi bude spolupracovat a získané osobní údaje smaže. Trochu v prospěch Google je i to, že původní prohlášení označil za nekorektní.

Street View vozidla po tomto poněkud hloupém selhání přestala WiFi informace shromažďovat zcela a Google chce předložit používaný software nezávislém kontrole a pozměnit vnitřní procesy, aby k podobnému úletu nemohlo dojít tak snadno.


Google Street View (Zdroj: Google)

Hloupá aféra

Google si opět zbytečně zadělal na problémy, o tom není sporu. Užitečnost zjištění polohy (pro ty co to budou potřebovat) na základě okolních WiFi sítí je nesporná. Hodit se může tam kde není možné použít GPS ani buňky mobilních operátorů.

Sbírat komunikaci z WiFi sítí při průjezdu městem je vpodstatě úsměvné - moc toho získat nelze, vozidlo se přeci jenom pohybuje dost rychle na to, aby odchytilo pouze fragmenty komunikací.

A popravdě, kdokoliv si může stoupnout s notebookem, PDA či chytrým telefonem na ulici a dělat totéž. Dlouhodobě a cíleně. A souhlasím s tím, že se můžete domnívat, že aféru nějakým způsobem zlehčuji. A že se snad snažím naznačit, že problém vlastně není problém.

Problém tu je. Google nic takového pochopitelně neměl dělat. A když už se mu podařilo něco takového dělat, měl lépe zvládnout krizivou komunikaci. Prvotní zatloukání ničemu neprospělo. A tradičně ničemu neprospěl ani Google CEO Eric Schmidt. Titulek Google chief Eric Schmidt downplays wi-fi privacy row v BBS je jenom dalším problematickým bodem - a je asi zjevné, že Eric Schmidt by býval udělal lépe, kdyby moudře mlčel, než pronášel věty typu. "Kdo byl poškozen? Řekněte jeho jméno".

Korunu tomu nasadil i mluvčí Kay Oberbeck v Der Spiegel, "Je důležité vědět, že tato technická informace bude skrz síť operátorů dostupná veřejnosti. Není to otázka osobních údajů. Tyto údaje jsou agregované a anonymní a průzkum je legitimní.". Pokud ještě chcete nějaký důvod proč nebrat tiskové mluvky moc vážně, tady máte jeden další.

Co se shromážděnými daty

Kritizovatelné je i další prohlášení Erica Schmidta - "Nesmažeme to, dokud nám to někdo nenařídí". Vypadá na první pohled jako typické odtržení od reality a nepochopení závažnosti problému. Oč lepší by (zdánlivě) bylo prohlášení, že Google shromážděna data okamžitě smazal. Jakkoliv by samozřejmě vyvolalo vlnu pochybností o tom, "jestli to opravdu udělal".

Problém je, že by to vyvolalo nevoli regulačních orgánů, které se teď třesou na to, aby data byla prověřena. Hovoří o tom dostatečně i prohlášení americké FTC, "musíme zjist co Google věděl a kdy to věděl. a kdy to věděl". Stejně se vyjadřuje i NIC (National Information Commissioner) ve Velké Británii, "Google data by měla být smazána pouze poté co je podrobíme rozboru, tak abychom zjistili, jaká dodatečná data byla získána."


Google "Trike"

Důvěra je věc křehká

Google, Microsoft, Facebook a řada dalších společností se opakovaně pokouší měnit pravidla hry. V oblasti soukromí je to nejvíce markantní - stačí se podívat na místy až neuvěřitelný tlak Facebooku na to, aby se změnilo vnímání soukromí. A pravidla hry se většinou mění tak, že se prostě udělá něco, co zdánlivě není možné a přijatelné. Pak se sleduje co se děje a podle reakcí se buď vítězoslavně křičí nebo se věc označí za omyl a chybu. Je to taktika funkční, protože každý takovýto pokus ve skutečnosti změni pravidla hry. Někdy mírně, někdy více.

Čím větší vliv firma má, tím lépe se jí pravidla hry mění. Příklad Facebooku je markantní. Byť i v tomto případě je nutné se dívat na historii - kdyby například Facebook byl spuštěn s modelem soukromí podle Twitteru, nikdo by dnes nic nenamítal - všechno by totiž bylo veřejné od samého počátku.

V soukromí na Internetu neexistuje nic jako důvěra v dobré úmysly a dodržování pravidel - pokud někomu svěříté část svého soukromí, můžete dříve nebo později očekávat jenom to nejhorší. Ať už způsobené záměrem nebo chybou. Můžete pouze spoléhat na to, že ten někdo třetí se "bude snažit" být důvěryhodný a chápat význam toho co dělá. A co může způsobit porušením křehkého vztahu důvěry.

Důvěře neprospěje ani to, že San Francisco Chronicle někde dokázalo zjistit, že Google takto získal zhruba 600 GB dat z WiFi sítí v třicet zemích. A už vůbec nezní uplně nejlépe, že to dělal čtyři roky.

Problém je v samotném Internetu

Chcete mít soukromí? V takovém případě asi budete muset přestat používat Internet. Ale také mobilní telefony. A samozřejmě i telefony klasické. Už od dob socialistických je jasné, že jakékoliv "hovory" je možné odposlouchávat. Dělo se to zcela běžně a soudruzi náhodně odposlouchávali hovory, jenom aby zjistili, jestli se náhodou někde nechystá nějaký ten rozvrat či antisocalistický čin. Cíleně samozřejmě odposlouchávali řadu osob. A nepochybně tak dnes činí "jiní soudruzi". A můžeme se jenom spoléhat na to, že dodržují zákony a činí tak na základě soudního povolení.

Internet může odposlouchávat a zneužívat kdekdo. Veškerá vaše komunikace probíhá prakticky v otevřené textové podobě a odchytávat jí může kdekdo. Včetně vašeho ISP, všech ISP cestou. Ať už záměrně, nebo prostě jenom z nudy. Nebo za peníze pro někoho. Nebo z nařízení státních orgánů. Mnoho z naší internetové i mobilní komunikace je nepřetržitě a dlouhodobě ukládáno - nařizují to zákony. A zákonodárci se v posledních letech doslova zoufale snaží, aby toho bylo zaznamenáváno více a vše uchováváno ještě déle.


Zabezpečení WiFi sítí v Praze (Zdroj: Ernst&Young, 2009)

Nad tím vším samozřejmě ještě existují tajné služby, které dělají tajné věci. A o povaze projektů typu Echelon se můžeme jenom dohadovat - byť jedno je už jisté, z období dohadů přešel tento projekt do povahy reálně existující činnosti. A hrozby pro naše soukromí - v telefonech, faxech, e-mailech a vůbec obecně jakýchkoliv datových přenosech, včetně mikrovln či optiky. Celosvětově.

Jakkoliv opět trochu zlehčím Google WiFi aféru, nelze se nezeptat. Proč ochránci soukromí nekříči tak hlasitě v této oblasti. Jak je možné, že dovolí Evropské Unii a dalším zemím aby plíživě rozšiřovala svůj vliv v oblasti odposlechů a špiclování? A stále více a více omezovala naše soukromí?

A proč se nikdo neptá, jakým způsobem zacházejí mobilní operátoři s daty, které nepřetržitě posílají a přijímají naše mobilní telefony. Daty velmi úzce spjatými s příliš konkrétním určením polohy a jednou konkrétní osobou?

Problém je také ve WiFi

WiFi je samozřejmě problém sám o sobě. Naše data pobíhající do vzdálenosti desítek až stovek metrů zpravidla běhají vzduchem ve zcela čitelné podobě. Pokud budete chtít odposlouchávat vnitřní firemní síť, tak k tomu budete zpravidla potřebovat do této sítě dostat nějaký ten program, který bude data odchytávat. Méně snadné je tam proniknout v podobě trojského koně. Velmi snadné bývá tam prostě přijít, najít síťovou přípojku a do ní připojit krabičku - v závratném množství firem je možné připojit počítač k první volné zásuvce. A už jenom sbírat. Byť s omezeními.

Extrémně jednoduchý způsob ale zpravidla nabízí právě WiFi. Zkuste si někdy sednout blízko místa, kde je hodně firem. Můžete si být jisti tím, že mají WiFi síť. A v několika případech z deseti bude dokonce otevřená, žádné zabezpečení. Což v praxi bude znamenat, že se můžete volně pohybovat uvnitř firemní sítě - přistupovat k počítačům, serverům, tiskárnám.

O tom že by snad probíhala TCP/IP komunikace šifrovaně? O tom si můžete nechat jenom zdát. A zpravidla nikdo ani neřeší, že by snad aspoň mohl nastavit nejprimitivnější WEP, aby nikdo nemohl síť snadno volně používat.


Wardrive (Android) a integrace s Google Maps

Zkuste si to sami - můžete dokonce použít stejný software jako Google. Kismet je open source a je nakonec jedním z desítek podobných programů. A když už budete v tom zkoušení, tak doporučím k vyzkoušení i možnost rozlousknutí WEP (Airsnort)- to jenom pro ilustraci toho, že ani "chráněné" WiFi sítě nejsou vlastně bezpečné.

A pokud se vám snad nebude Kismet líbit, můžete zkusit NetStumbler, KisMAC, iStumbler, inSSIDer, WigleWifi/wardrive (Android) či desítky dalších (přehled, další přehled)

Otevřené WiFi jsou problém

V Německu například čerstvě dospěli k názoru, že nechráněné WiFi sítě jsou hrozbou (German Court Determines Unprotected Wireless Networks a Threat) a možná se tak dočkáme toho, že po ulicích nebude jezdit Google vozidlo - místo toho se pozmění funkce vozidel tajných služeb a policií a ty budou hledat vlastníky WiFi a poté je vodit k soudu za to, že umožňují "teroristům" využívat jejich infrastrukturu. Německá verze pokuty je zatím 100 Euro.

Otevřené WiFi sítě ale jsou skutečně problém - citované rozhodnutí německého soudu totiž upozorňuje na největší problém s otevřenými WiFi sítěmi. Mohou být skutečně použity pro nelegální aktivity. A zodpovědnost se tak může ocitnout na bedrech nikoliv zločince, ale toho, kdo pasivitou něco takového umožnil. A zde je nutno zdůraznit, že řada zemí se chystá zákonem stanovit, že za aktivity an otevřené WiFi je zodpovědný vlastník.

Pokud tedy provozujete WiFi přístupový bod, tak byste měli

  • nastudovat jak zapnout WPA (WPA2) protokol. A pamatovat si, že WEP je sice používáný, ale nechrání vlastně vůbec.
  • nezapomenout, že WiFi routery mají zpravidla nějaké tovární nastavení a to obnáší standardní SSID a ještě hůře, "nějaké" standardní heslo.
  • zjistit jak nastavit firemní přístupové body tak, aby umožňovaly jenom připojení známých (firemních) MAC adres - byť i MAC adresa je falšovatelná.
  • dávat pozor pokud používáte WiFi v kavárnách, na letištích, či kdekoliv jinde. Kdokoliv vás v takovém případě může odposlouchávat. A existuje nespočet WiFi přístupových bodů, které jsou takto používány. Pokud chcete komunikovat (relativně) bezpečně, začněte u používání HTTPS. A uplně nejlépe, jděte do VPN.
  • sledovat co se na vašich WiFi bodech děje, stejně tak jako to snad sledujete uvnitř sítě. Nějaký ten IDS (Intrusion Detection System) a analýzy rozhodně nejsou k zahození.

Shrnuto a podtženo

Google shromažďováním dat z WiFi sítí udělal chybu, která ho v očích veřejnosti poškodila, ale ve skutečnosti nedělal nic jiného, než dělají (možná) stovky tisíc lidí každý den. Na Internetu nemáte soukromí a nikdy ho mít nebudete. Cokoliv na Internetu přenášíte, může být někde odchyceno a velmi pravděpodobně odchyceno a uloženo je. Jakkoliv můžete na Internetu komunikovat bezpečnější, skutečně zabezpečená komunikace by vyžadovala tolik úsilí, že by se vám to pravděpodobně už nevyplatilo.

Pokud chcete své soukromí chránit, zahoďte mobilní telefon a už nikdy se nepřipojujte k Internetu. Tečka.


Upozornění - článek vyšel 20.května na Lupa.cz (Google wardriving? A co má vlastně být?). Od té doby se v otázce Google wardrivingu udály další věci. Rozhodl jsem se tedy původní článek doplnit. A nově doplněné informace najdete právě v následujícím textu.

Google se chystá šmírování patentovat

Zajímavý vývoj celé situace - Google si totiž chce toto specifické "wi-fi šmírování" patentovat. Pro právníky žalující Google je to dostatečný důkaz (viz Wired), že vůbec ešlo o omyl či svévolnou akci nějakého toho technika. Podávaný patent se týká právě "zpřesnění polohy v rámci LBS založený na "Wi-Fi šmírování".

Google patentová přihláška nicméně podle Google nemá s touto kauzou nic společného a obsahuje různé způsoby, které Google inženýři vymysleli - Wireless network-based location approximation řeší skutečně leccos.

The invention pertains to location approximation of devices, e.g., wireless access points and client devices in a wireless network. Location estimates may be obtained by observation/analysis of packets transmitted or received by the access point. For instance, data rate information associated with a packet is used to approximate the distance between a client device and the access point. This may be coupled with known positioning information to arrive at an approximate location for the access point. Confidence information and metrics about whether a device is an access point and the location of that device may also be determined. Accuracy of the location determination may be affected by factors including propagation and environmental factors, transmit power, antenna gain and diversity, etc. A location information database of access points may employ measurements from various devices over time. Such information may identify the location of client devices and provide location-based services to them.

V rámci EU Google data předá

Podle The Financial Times (citují Erica E. Schmidta) by Google mohl poskytnout získaná data regulátorům v Německu, Španělsku, Francii a Itálii. Připomenu, že jde o 600GB dat, která Google nashromáždil za zhruba tři uplynulé roky.

"We screwed up. Let's be very clear about that. If you are honest about your mistakes it is the best defense for it not happening again," citovala média Schmidta.

Za úlet je podle Schmidta zodpovědný inženýr (mužského pohlaví) a čekají ho "disciplinární opatření".

Podle Daily Telegraph se Google podařilo zmapovat každý Wi-Fi router v domácnosti či firm ve Velké Británii.

V USA čeká možná Google několik žalob

Galaxy Inetrnet Services (americký ISP) podal na Google tzv. class-action žalobu - viní jej z porušení federálních i místních zákonů na ochranu soukromí. A podle informací v médiích to není poslední žaloba podobného druhu - Google přitom v některých případech může čelit pokutě až 100 000 dolarů za každou osobu, jejíž soukromí porušil.

Generální proukurátor státu Missouri Chris Koster žádá od Google odpověď na to, jak Wi-Fi šmírování mohlo ovlivnit místní obyvatele (Missouri AG looks into Google Wi-Fi mess) - což nakonec jenom ukazuje na úroveň bezradnosti regulačních/státních orgánů.

Štítky : Bezpečnost, Google.com, Ochrana soukromí, Soukromí, Wi-Fi, Wardriving, Právo




Poslední změna : 5.6.2010 09:13, Vytvořen : 4.6.2010 19:44, Vydán : 5.6.2010, 13925x

Komentáře pro ty z Facebooku

Aktuální články autora

Související články