Google, mamy problem

Wersja beta Google Desktop 3 indeksuje dane z wielu komputerów w sieci LAN i... wysyła ich kopie na serwery Google.

Wersja beta Google Desktop 3 indeksuje dane z wielu komputerów w sieci LAN i... wysyła ich kopie na serwery Google.

Wraz z rosnącą ilością danych gromadzonych przez użytkowników na komputerach, narzędzia do indeksowania i przeszukiwania treści dokumentów, obrazów i innych plików stały się nieodzowną częścią codzienności. Liderem tej - wciąż jeszcze - niszy pozostaje program Google Desktop, który indeksuje treść i metadane bardzo szerokiego spektrum plików, m.in. dokumentów Microsoft Office, plików PDF, poczty elektronicznej, zdjęć, plików muzycznych i wielu innych. Korzyść z tego typu narzędzi staje się oczywista już po pierwszym ich użyciu.

W Internecie pojawiła się właśnie wersja beta programu Google Desktop 3. Zainteresowany aktualizacją zacząłem przyglądać się liście funkcji, licząc na to, że być może program będzie zawierać takie, które umożliwią bezpieczne korzystanie z niego na komputerze firmowym. Okazało się, że jest dokładnie odwrotnie. W wersji 3. Google dodał użyteczną opcję, pozwalającą indeksować dane na kilku komputerach. Jednocześnie jednak zmienił politykę prywatności w taki sposób, że program automatycznie kopiuje zebrane indeksy tekstowe na własne serwery.

Jeden szczegół

Dotychczasowa wersja programu Google Desktop 2 miała następujący zapis dotyczący ochrony prywatności: "Niniejsze wyniki wyszukiwania mogą być oglądane tylko z twojego własnego komputera, zawartość twojego komputera nie jest nigdy wysyłana do Google (ani do nikogo innego)". W nowej wersji zasad prywatności tego bardzo ważnego ustępu już nie ma. Oczywiście nieprzypadkowo - nowa wersja ma bowiem dodatkową opcję, która zakłada wysyłanie wyników indeksowania na serwer firmy. Tak indeksowane są treści witryn WWW.

Zyskiem z indeksowania więcej niż jednego komputera jest skumulowanie wyników np. z kilku komputerów domowych lub z komputerów małej firmy. Dzięki temu baza wiedzy tworzona przez narzędzie indeksujące rośnie - jest to doskonały pomysł - jednak radość przyćmiewa fakt, że na serwerach obcej firmy znajduje się kopia treści niemal wszystkich dokumentów. Google jest spółką prawa amerykańskiego, zatem obowiązują tę firmę przepisy stosowane w Stanach Zjednoczonych. Te przepisy bardzo mocno chronią dane zawarte w urządzeniach do ich składowania znajdujących się w domach prywatnych, w przedsiębiorstwach itp.

Jednak prawo chroniące dane składowane na serwerach dostawców usług, takich jak Google, Yahoo! i innych (ustawa Electronic Communication Privacy Act z 1986 r.), przewiduje słabszą ochronę. Ta różnica jest niesłychanie istotna również dla obywateli polskich, bowiem o ile ochrona danych składowanych na komputerach w Polsce jest dobrze określona prawnie (polski Kodeks Karny przewiduje kary za kradzież lub modyfikację danych), to ochrona kopii tych danych na serwerze Google jest co najmniej dyskusyjna, zarówno w sensie prawnym, jak i rzeczywistej ochrony przed nieuprawnionymi osobami.

Użytkownik sam jest temu winien, gdyż akceptując taką umowę licencyjną, zgadza się na kopiowanie treści dokumentów na komputery, nad którymi nie ma żadnej kontroli. Jeśli Google Desktop działa i ma włączoną opcję współdzielenia wyszukiwania, wyniki te znajdą się na serwerze firmy Google. Aby móc je przejrzeć z dowolnego miejsca, wystarczy uzyskać hasła do konta usług Google (tego samego, które służy do dostępu do gmail.com). Czyli ochrona niby jest, ale jeśli wziąć pod uwagę słabe zabezpieczenia przeglądarek (i związane z tym ryzyko zainfekowania komputera programami szpiegującymi) i istnienie silnie umotywowanego "poszukiwacza", nie wygląda to ciekawie.

Użytkownik komputera domowego może machnąć ręką i powiedzieć, że niczego wartościowego na nim nie przechowuje. I mimo że to dyskusyjne, jego prawo. Zresztą prawdopodobieństwo, że ktoś zainteresuje się akurat jego danymi rzeczywiście nie jest wielkie. Jeśli natomiast chodzi o ochronę danych firmy, stawka jest znacznie wyższa, a relacja zysk/koszt dla potencjalnego złodzieja informacji - znacznie bardziej atrakcyjna.

Prywatność publiczna

Nawet tzw. zwykli użytkownicy komputerów powinni się bardzo poważnie zastanowić nad celem udostępniania komukolwiek danych pochodzących z przeszukiwania własnych dokumentów. Aby przeróżne służby miały dostęp do komputera znajdującego się w domu, muszą pokonać kilka barier formalnych, związanych m.in. ze zgodą sądu, i doręczyć informację o niej użytkownikowi komputera. Użytkownik ma przynajmniej świadomość tego, że ktoś przegląda jego dane.

Jeśli są składowane na serwerze w Internecie, to mogą być przeszukane bez jego zgody.

Pole do nadużyć w tej dziedzinie jest ogromne. Fakt dostępu i przetwarzania danych użytkowników niesie ze sobą możliwość atakowania użytkowników kierowanymi do nich reklamami. Wynaleziona przez firmę Google i powszechnie znana technologia dopasowania reklam do treści w wyszukiwarce może z powodzeniem zostać zastosowana do masowego atakowania reklamami. Przecież w indeksowanych dokumentach są informacje kontaktowe! Na razie Google nie skanuje dokumentów pod kątem przygotowania reklam do konkretnego celu, ale wszystko wskazuje na to, że technologia taka jak AdWords i AdSense zostanie zmodyfikowana i zastosowana, by wybierała reklamy na podstawie treści dokumentów użytkownika - zapewne jeszcze z uwzględnieniem ich aktualności.

Specjaliści do spraw bezpieczeństwa od dawna ostrzegają przed powszechnym i bezkrytycznym korzystaniem z oprogramowania indeksującego dane, gdyż uzyskanie dostępu przez intruza do narzędzi wyszukiwania jest dużo poważniejszą szkodą niż włamanie na serwery. Na komputerach średniej wielkości firmy znajdzie się powiedzmy pół miliona dokumentów i ok. kilku milionów wiadomości e-mail. Nawet jeśli włamywacz uzyskał dostęp do wszystkich danych składowanych w firmie, czyli np. złamał zabezpieczenia domeny Active Directory i włamał się do wszystkich baz danych, wyszukanie interesujących go danych zajmie dużo czasu.

Im dłużej włamywacz grasuje w infrastrukturze teleinformatycznej, tym bardziej rośnie prawdopodobieństwo jego wykrycia. Znalezienie określonego dokumentu w powodzi danych jest niemal niemożliwe - trzeba wiedzieć, kto ten dokument przygotował, gdzie go zapisał (a może tylko wysłał e-mailem?), w jakim może być formacie itd. Narzędzie czyni to zadanie trywialnym i wykonalnym w ułamku sekundy. Włamywacz dostaje dane jak na tacy, posortowane według trafności zapytań. Zamiast kopiować gigabajty danych, co jest technicznie trudne nawet dzisiaj, włamywacz może skopiować tylko kilka interesujących go plików.

Narzędzie dla konkurencji

Składowanie indeksowanych danych w narzędziach zlokalizowanych poza firmą stanowi jeszcze jeden kłopot. Chodzi o to, że kopie danych są dostępne online na serwerach Google z innych komputerów niż te, na których dane się znajdują. Nawet jeśli w firmie dostęp do danych jest rejestrowany za pomocą skutecznego audytu i stosowane są wielopoziomowe zabezpieczenia, Google Desktop wszystkie je omija. Przecież do dostępu do wyszukiwarki wystarczy przeglądarka. Audyt na serwerze tego nie pokaże. Gdy włamywacz ma dane konta serwisu wyszukiwania, może odtworzyć treść dokumentu, nie pobierając go z serwera. Nie zadziała ani audyt otwierania plików, ani wszelkie rejestrowane próby logowania do serwerów składujących dane. Być może, zostanie zapisane odwołanie się do wyszukiwarki, ale to nic szczególnego.

Włamywacz, który uzyska dostęp do narzędzi niefrasobliwie indeksujących wszystkie dane w firmie, może otrzymać informacje umykające innym pracownikom firmy. Może dowiedzieć się szczegółów współpracy między ludźmi (tej prawdziwej, nie tej wynikającej ze struktury organizacyjnej przedsiębiorstwa), poznać obieg dokumentów, odnaleźć kolejne wersje konkretnego dokumentu rozproszone po komputerach firmy. Wielu użytkowników przechowuje w firmowym systemie pocztowym prywatną pocztę, która może być ważnym źródłem informacji. Cenniejsze są chyba już tylko pamiętniki. Dzięki analizie e-maili można poznać nastroje, nawyki, powody do narzekania itd. Nie myślę tu o wynaturzonym podejściu do zarządzania firmą. Mam na myśli sytuację, w której do danych tego typu dostęp uzyskuje konkurencja. Oprócz dokładnego rozpoznania sytuacji w firmie, osoba doświadczona w socjotechnice zyskuje dane, dzięki którym może z powodzeniem podszywać się pod pracownika firmy. Prędkość działania Google Desktop umożliwia natychmiastową odpowiedź na wiele pytań, które może zadawać druga strona, starając się upewnić co do wiarygodności rozmówcy w trakcie rozmowy telefonicznej. Gdyby duża firma wdrożyła narzędzia indeksujące wszystkie obiekty, prawdopodobieństwo udanych ataków socjotechnicznych bardzo wzrośnie.

To tylko program

Programiści są tylko ludźmi i Google Desktop, jak każda aplikacja, zawiera błędy. Ponieważ jest już dość powszechnie wykorzystywana i ma dostęp do potencjalnie poufnych danych, ryzyko prób poszukiwania (i znalezienia) błędów dających się wykorzystać do kradzieży danych jest wysokie. Poza tym wspomniane wcześniej wysyłanie danych na zewnętrzny serwer jest z natury rzeczy narażone na ataki typu man-in-the-middle. Wskazówki, jak wykorzystywać luki w zabezpieczeniach Google Desktop można znaleźć korzystając, o ironio, z serwisu Google.com.


Zobacz również