Utánunk kutatnak az Interneten

Adatbányászat – ezzel a fogalommal a legtöbben vállalati területen találkoztak eddig, pedig szó sincsen arról, hogy a folyamat csak és kizárólag a céges adathalmazokból való információk előásását jelentené. Erre egyik legjobb példát a közösségi hálózatok széles körű használata szolgáltatja: ezek az Iwiw- és Myspace-szerű szolgáltatások szinte tálcán kínálják a kutakodni vágyóknak az adatbázisokat. És itt ne gondoljunk arra, hogy valaki egyenként, kézzel szedegeti ki fáradtságos munkával az információmorzsákat – nem, ez a folyamat gyorsan és automatizáltan zajlik.

Roelof Temmingh, a múlt héten megrendezett CanSecWest IT-biztonsági konferencián mutatta be Evolution névre keresztelt eszközét, mellyel különböző keresőmotorokban és közösségi hálózatokban lehet kutakodni valaki(k) után. Emellett más site-ok eszközeit is felhasználja, hogy információkat gyűjtsön például az IP-címekből, DNS-bejegyzésekből, domain regisztrációs adatbázisokból stb. Alkalmazásával könnyen fel lehet térképezni valakinek a habitusát, ismeretségét, munkáját, ha óvatlanul megadott, elérhetővé tett magáról olyan adatokat, amiket nem kellett volna. Például egy e-mailcím elvezethet egy domainnévhez, amiből a következő keresés már akár egy fizikai címet is feldobhat.

Temmingh szerint egy kis kutakodással meglepően sok ember otthoni telefonszáma fellelhető – pusztán a munkahelyi e-mailcímének ismeretében. A szakértő felméréseire támaszkodva kijelentette, hogy például a NASA munkatársai közül jónéhány megtalálható az egyes közösségi hálózatokban; de Temmingh akadt már az USA nemzetbiztonsági hivatalában dolgozó ügynökre is, akik a Google Gmailjét használta. Mindez a jövőben sokkal egyszerűbben és gyorsabban (és ami a legfontosabb: általánosan) elérhető lesz – az olyan eszközöknek köszönhetően, mint az Evolution.

A szakértő nem csak saját programozási képességeit akarta megcsillogtatni szoftverével, hanem arra is fel kívánta hívni a figyelmet, hogy milyen veszélyes lehet a személyes adatok megadása az Interneten. Az egy-két éve felgyorsult információmegosztó folyamat eredményeként ugyanis egyre többen keresnek rá valakire személyesen. Ezen adatok megszerzésével pedig sokkal sikeresebbé válhat például egy social engineering támadás, hiszen a támadó olyan adatokat közölhet a gyanútlan áldozattal, ami miatt az elhiszi, hogy ismeri az illető. De fel lehet használni az információkat személyazonosság ellopására (identity theft) is – vagyis egy rosszindulatú internetező kiadhatja magát valaki másnak, megtévesztve ezzel az álcát fel nem ismerő felhasználókat.

Talán a hazai internetezők számára még annyira nem “hasznos”, de érdemes kipróbálni: az Evolution a lenti linken keresztül felvillanthatja képességét.