Biuro Ekspertyz Sądowych jakość opinii

  • przygotowywana w zespołach
  • wydawana przez biegłego specjalistę z wieloletnim doświadczeniem
  • przy wykorzystywaniu wysokiej klasy zaplecza technologicznego

Realne zagrożenia dla bezpieczeństwa danych

Artykuł autorstwa: biegły sądowy z zakresu badania telefonów komórkowych Paweł Dejko dla Biuro Ekspertyz Sądowych w Lublinie, www.ekspertyzy.net.pl

 

W związku z nagłośnieniem przez media zmian w tzw. ustawie o policji (potocznie zwanej ustawą inwigilacyjną) w Internecie pojawiło się dziesiątki artykułów o zabezpieczaniu swoich danych, w tym danych zapisanych w pamięci telefonów komórkowych. Z jednej strony widać nieuzasadnioną panikę i strach przed niekontrolowaną przez nikogo inwigilacją szarych obywateli przez polskie organy ścigania, a nawet NSA – z drugiej strony totalną ignorancję części użytkowników, którzy mając świadomość względnie czystego sumienia, nie boją się udostępniać swoich danych, gdyż ich zdaniem nie wiąże się to z żadnymi konsekwencjami.

W tym opracowaniu chcielibyśmy skupić się na tych drugich. Oni są w szczególnym niebezpieczeństwie. Nawet gdy dotrze do nich, że w końcu należy zadbać o bezpieczeństwo swoich danych, skupią się na „szpiegach” zza oceanu, sieci TOR, VPN-ach i szyfrowaniu rozmów, zamiast na tym co jest najbardziej istotne i co stanowi faktyczne ryzyko. Aby uświadomić niektórym to ryzyko, stworzyliśmy poniższy scenariusz.

Piątkowa impreza

Piątkowy wieczór, wychodzisz ze znajomymi na miasto. Jesteście w popularnym klubie – głośna muzyka, piwo, śmiech, rozmowy. Pamiętasz, że po 23:00 jeszcze zerkałeś na wyświetlacz i sprawdzałeś godzinę. Później światło, kolejka po coś, chyba do toalety, taksówka, kumple pomagający ci wejść do mieszkania. Jest sobota przed południem, a ty w nienajlepszej kondycji psychofizycznej próbujesz znaleźć swój telefon. Nie ma go na nocnym stoliku, na który go zawsze odkładasz i podłączasz do ładowarki. Nie ma w kieszeniach spodni, ani kurtki. Nie ma na szafce w łazience, ani na półce koło wieszaka. Próba wydzwonienia swojego numeru kończy się komunikatem, że abonent jest poza zasięgiem lub ma wyłączony telefon. Łykasz coś na kaca, popijasz wodą i kontaktujesz się z kolegami. Pytasz, czy ktoś nie znalazł twojego telefonu. Po szybkiej burzy mózgów udajesz się do klubu, w którym wczoraj balowałeś. Na miejscu dowiadujesz się, że nikt wczoraj nic nie znalazł, nie było żadnego telefonu. Zostawiasz namiary w razie, gdyby jednak coś się znalazło. Ostatnia szansa to korporacja taksówkowa, ale i tam nikt nic nie wie.

Tracisz nadzieję. Szkoda. Numer ten miałeś od 15 lat, telefon prawie nowy, ponad 1,5 tysiąca kosztował. Do tego kontakty, SMSy, maile, cała masa zdjęć i filmów zapisanych na 8 GB karcie. Godzisz się z tym, że musisz zacząć szukać na Allegro nowego egzemplarza. Postanawiasz, że po weekendzie zgłosisz na policję i do operatora utratę karty SIM i telefonu. Do poniedziałku może się u kogoś przypadkiem znajdzie.

W poniedziałek zjawia się u ciebie kolega i mówi, że dzwonili z klubu. Podobno ktoś znalazł twój telefon przed wejściem, w piątek. Będzie do odebrania u barmana, od godziny dziesiątej.

Zakładasz buty, kurtkę i pełen nadziei zmierzasz w stronę klubu. Na miejscu mówisz, z jaką sprawą przychodzisz, barman wyciąga telefon – wygląda jak twój. Włączasz, pokazujesz barmanowi zablokowany ekran. Odblokowujesz sobie znanym zygzakiem. Barman kiwa głową, że jest OK, a fakt, że odblokowałeś jest dla niego dostatecznym dowodem na to, że telefon faktycznie należy do ciebie. Sprawdzasz kartę SIM, kartę pamięci, ostatnie połączenia, SMS – wszystko jest w porządku. Twoje problemy się skończyły, przynajmniej na to wygląda.

Ten sam wieczór, ale od strony przestępcy

Wtedy w piątek, w klubie, między bawiącymi się gośćmi, był jeszcze jeden facet. Skromny, nie rzucający się w oczy. Jest tam co tydzień. Siedzi cały wieczór, pije piwo, pali papierosy, obserwuje – czasem zagada do jakiejś dziewczyny, czasem porozmawia o czymś z przypadkowymi ludźmi, od czasu do czasu namówi kogoś na grę w bilard. Kiedy zbieraliście się do domu, mężczyzna dokładnie widział, jak niewiele bardziej trzeźwi koledzy pomagali ci stanąć na nogi po szóstym piwie. Gdy opuściliście lokal, podszedł do waszego stolika. Poza szklankami z niedopitym piwem i okruchami po pizzy, obok stołu na ławie, leżał twój smartfon. Podniósł go i sprawnym ruchem włożył do kieszeni kurtki, po czym opuścił lokal. Chwilę później wyłączył telefon i wyjął z niego baterię. Kiedy ty w sobotę leczyłeś kaca i szukałaś po mieszkaniu telefonu, ten stał już w kolejce klientów do swojego znajomego, którego niepozorny komis z telefonami, pod szpetnym szyldem „telefony gsm, unlock, simlock, naprawa”, mieści się w jednej z bram kamienicy na rynku. W jednym zdaniu wytłumaczył koledze o co mu chodzi: „zrób mi zrzut pamięci z tego telefonu”.

Na nic blokada kodem czy wzorem. Sprawny serwisant ma co najmniej kilka metod na skopiowanie danych z pamięci wewnętrznej telefonu: od prostej modyfikacji partycji /recovery i wykonania pełnej kopii zapasowej danych, przez zrzut pamięci przy pomocy urządzeń serwisowych, wykorzystując interfejs JTAG. W tym czasie mężczyzna z baru wykonuje u siebie w mieszkaniu, za pomocą darmowych narzędzi, kopię binarną 8 GB karty pamięci znalezionej w gnieździe czytnika kart telefonu. Po kilku godzinach pracy ma już zarówno kopię karty pamięci, jak i pamięci wewnętrznej twojego telefonu.

Wykorzystując nawet testowe wersje oprogramowania do odzyskiwania danych, mężczyzna z klubu bez problemu dostanie się do plików bazodanowych zawierających dane użytkownika. Przykładowo plik:

/data/data/com.sec.android.provider.telephony/databases/mmssms.db

w systemie Android OS, przechowuje rejestr wiadomości tekstowych i MMS, a plik:

/data/data/com.sec.android.provider.logprovider/databases/logs.db

zawiera rejestr połączeń. Historia przeglądania Internetu, przepustki internetowe, historia rozmów z komunikatorów – to wszystko jest zapisane w podobnych plikach bazodanowych, których zawartość można podglądać oprogramowaniem typu SQLViewer, a w wielu przypadkach możliwe jest nawet dokonanie częściowego odzyskania usuniętych danych.

Dobranie się do prywatnych zdjęć, a nawet odzysk tych usuniętych, jest jeszcze prostszy. Świetnie poradzi sobie z tym dowolne oprogramowanie służące do odzyskiwania danych.

Dwa dni później twój telefon nie jest już przestępcy do niczego potrzebny. W stanie praktycznie nienaruszonym i niewzbudzającym podejrzeń, smartfon wraca poprzez klub, w którym został zgubiony, do prawowitego właściciela.

Dla wielu osób utrata telefonu i karty SIM wiąże się przede wszystkim ze stratami materialnymi. Nieuczciwy znalazca wykorzysta 21,98 zł zgromadzone na koncie pre-paidowym, a następnie sprzeda w całości lub na części posiadany telefon. Dane wydają się pozornie bezpieczne, bo po kilkukrotnym błędnym wprowadzeniu kodu, telefon zablokuje się na dobre, a przecież zwykły złodziejaszek nie będzie miał wystarczającej wiedzy, żeby przełamać zabezpieczenia telefonu. Zresztą na co komu prywatne dane jakiegoś grafika z agencji reklamowej, który ma nudne życie i zarabia dwa tysiące na umowie o dzieło? Tymczasem fizyczna utrata urządzenia jest najmniejszym problemem jego użytkownika.

To, co jest w nim cenne, to dane zapisane w pamięci wewnętrznej. Coraz więcej użytkowników smartfonów korzysta z nich jak z komputerów osobistych. Logują się za ich pomocą na konta bankowe, tworzą zbiory danych, przechowują zdjęcia, archiwizują maile, przechowują w ich pamięci dokumenty... Nie mając podstawowej wiedzy na temat zabezpieczeń, będąc leniwymi, stosują najprostszą i najłatwiejszą formę zabezpieczenia, którego działania nie rozumieją, a która zarazem jest prosta do obejścia przez bardziej wprawnego przestępcę.

Może się zdarzyć tak, że za kilka dni do twoich drzwi zapuka dziwny mężczyzna w kapturze, który oznajmi ci, że zna kompromitującą dla ciebie historię przeglądania treści w serwisach pornograficznych, wie z archiwum SMS, że miałeś romans z żoną swojego kierownika, zna poufne dane zapisane w mailach twojego firmowego konta pocztowego, a na koniec dobije cię twoimi zdjęciami nago, które kiedyś nie wiadomo po co zrobiłeś, skasowałeś, ale które udało się odzyskać. Za zachowanie tajemnicy każe ci słono zapłacić. A to i tak w lepszym scenariuszu, zakładając, że coś jeszcze będziesz miał na koncie. Jeśli jesteś na tyle leniwy, by zapisać dane logowania do banku, złodziej posługując się twoim telefonem może sobie szybko wypłacić twoje oszczędności. Przecież potwierdzenie przelewu SMS-em jest takie bezpieczne...

Jak się przed tym ustrzec?

Najprościej rzecz biorąc, nie używać telefonów do zadań pozostawiających w ich pamięci kompromitujące dane. Regularnie czyścić historię, nie zapisywać przepustek, nie przechowywać archiwum SMS, nie pobierać maili ze skrzynek pocztowych, na których przesyłane są wrażliwe dane. Jeśli już, to należy zdać sobie sprawę, że w przypadku popularnych telefonów pracujących pod kontrolą popularnych systemów operacyjnych jedyną formą skutecznego zabezpieczenia jest całkowite zaszyfrowanie danych w telefonie i na karcie pamięci oraz zabezpieczenie dostępu bezpiecznym hasłem. Dlaczego praktycznie nikt tego nie robi? Bo perspektywa wpisywania kilku- lub kilkunastoznakowego hasła za każdym razem, gdy chce się odblokować telefon, odstrasza użytkownika smartfonu nastawionego na wygodę, responsywność i błyskawiczny dostęp do tego, na co ma w tym momencie ochotę. Dlatego użytkownicy wolą łudzić się, że wystarczy wężyk po ekranie, skanowanie tęczówki, odcisku palca albo czterocyfrowy kod PIN, aby skutecznie zabezpieczyć swoje dane. Zresztą w końcu nikt nie jest pedofilem, mordercą czy terrorystą, więc czego tu się obawiać?!

Warto też pamiętać, by po zgubieniu telefonu zmienić natychmiast hasła do serwisów społecznościowych, kont mailowych oraz przede wszystkim – do konta bankowego. Nawet jeśli telefon znajdzie się bezpiecznie w samochodzie u kolegi, to zmiana tych haseł raz na jakiś czas nie zaszkodzi, a na pewno utrudni, w razie czego, wykorzystanie danych ujawnionych w pamięci twojego urządzenia.