0:05
Főoldal | Rénhírek
Az osztrák rendőrök a hátsó ajtónál vannak?

Cseveg a felhasználó, hallgat a gép?

Az MSN-en titkosítás nélkül zajlanak a beszélgetések. A Skype ennél valamivel többet nyújt, de ne bízzunk benne! Mi a helyzet a Facebookkal? Körképünkből kiderül, mit használjunk, ha nem szeretnénk, hogy mások is hozzáférhessenek magánjellegű párbeszédeinkhez.

Takács Boglárka | 2011. szeptember 29.

Arról már korábban írtunk, hogy a webes adatforgalom a legtöbbször mindenféle titkosítás nélkül zajlik az interneten, és így mások szinte bármihez hozzáférhetnek – például elolvashatják, mire kerestünk a Google-on. De mi a helyzet a csevegőprogramokkal? Az online beszélgetéseit szinte mindenki magánügynek érzi, míg az egyszerű webezés sokkal személytelenebb. Ebből az adódna, hogy a csetprogramok adatforgalma jobban védett az illetéktelen behatolás ellen – de valóban így van? Mennyire vagyunk biztonságban a Skype vagy a Facebook csevegés közben? Ha még mindig MSN-t vagy AIM-ot használunk, átálljunk-e másra, és ha igen, mire? A kisragadozó utánajárt!

Osztrák mini rendőrautó. Leselkednek utánunk?
Osztrák mini rendőrautó. Leselkednek utánunk?
(Forrás: Wikimedia Commons / flik / CC BY 2.0)

Az internetes beszélgetéseket sokféleképpen lehet lehallgatni. Akár még úgy is, hogy valaki beáll a célszemély mögé és nézi a képernyőjét: nem véletlenül korlátozták a közelmúltban ismét azt, hol lehet fotózni és videózni a parlamentben. Ha valaki hozzá tud férni a lehallgatni kívánt személy gépéhez, akkor telepíthet rá kémprogramokat. Most elsősorban nem erről a ritkább esetről lesz szó. Feltételezzük, hogy mi vagyunk annyira óvatosak, hogy nem futtatunk ismeretlen programot a számítógépünkön, rendszeresen frissítjük a szoftvereinket, és így tovább. De hogyan érhetjük el azt, hogy az interneten áthaladó beszélgetéseinket mások út közben elfogva ne tudják elolvasni? Ehhez az kell, hogy az általunk használt csevegőprogram adatforgalma titkosítva legyen.

Facebook: titkosítva, de minek?

A Facebook chat rendkívül egyszerű eset: a webböngészőben fut, így ugyanazok a korábbi cikkünkben ismertetett tudnivalók vonatkoznak rá, mint bármilyen más webes adatátvitelre. Habár a Facebookon bekapcsolhatjuk az SSL titkosítást – erről szintén korábbi cikkünkben lehetett részletesen olvasni –, alapesetben ki van kapcsolva. Régebben a csetforgalmat a Facebook egyáltalán nem titkosította, akárhogyan ügyeskedtünk a beállításainkkal, de mostanra már szerencsére képes erre.

A Facebook mégis olyan gondokkal küzd, amelyek miatt nem ajánlhatjuk nyugodt szívvel biztonságos csevegésre. Az oldalt meglehetősen esetlenül tákolták össze, maguk a készítők sem számítottak arra, hogy ez lesz a világ egyik legnagyobb közösségi portálja. Valószínűleg emiatt is gyakoriak a biztonsági problémák a Facebookon: tavaly májusban például egy programhiba bárki számára lehetővé tette, hogy barátai magánbeszélgetéseit is elolvassa. A Facebook biztonsági szolgáltatásai a közelmúltban érezhetően javultak, de egyelőre még van hova fejlődni... Mindenesetre ha ismeretlen programhibára bukkanunk, mindenképpen jelentsük, mert a Facebook biztonsági csapata akár pénzt is adhat érte!

A Skype és az osztrák rendőrök esete

A csetelésre és telefonbeszélgetésre egyaránt alkalmas Skype-on zajló kommunikáció ugyan titkosított, viszont a rendszer maga úgy épül fel, hogy elvben lehallgathatóak az üzenetek. Valóban fel is merült, tesz-e ilyesmit a cégvezetés. A Skype biztonsági igazgatója, Kurt Sauer még 2007-ben a következőt nyilatkozta a ZDNet technológiai portálnak:

Biztonságos kommunikációs szolgáltatást nyújtunk. Azt nem fogom elmondani, hogy mi magunk le tudjuk-e hallgatni [az üzeneteket], vagy nem. 

A Skype nem nyílt forráskódú program, úgyhogy nem lehet egyszerűen a forráskód átnézésével megállapítani, pontosan mit is csinál a felhasználó gépén. Épp ezért maga a program is lehet biztonsági kockázat. Osztrák rendőrök elejtett megjegyzéseiből úgy tűnik, hogy az állami hatóságok hozzá tudnak férni a Skype-beszélgetésekhez – a cég maga nem kívánta kommentálni a kiszivárgott információkat. Ha a rendőrök igazat mondtak, akkor valószínűleg a hatóságok nem a titkosítás visszafejtésével jutnak hozzá a kívánt adatokhoz. Két lehetőség valószínűsíthető: az első és rosszabbik az, hogy a Skype-kliensprogram tartalmaz valamilyen hátsó ajtót (angol eredetű szakkifejezéssel backdoort), amin keresztül az állam emberei hozzáférhetnek mindenhez. A második pedig, hogy a rendőrök valamilyen egészen más módszerrel hallgatják le a Skype-kommunikációt – például billentyűlenyomásokat figyelő szoftvert telepítenek a célszemély számítógépére. A bajor tartományi rendőrség mindenesetre ez utóbbi módszerrel próbálkozott, tehát ha van is a Skype programkódjában elrejtett hátsó ajtó, nekik nem szóltak róla...

Osztrák zsaruk gyakorlaton
Osztrák zsaruk gyakorlaton
(Forrás: Wikimedia Commons / Sgt.Hondo / CC-BY-SA 3.0 DE)

A fentebbiekből következik, hogy ha kimondottan az állam elől akarunk elrejteni valamit, akkor inkább ne használjuk a Skype-ot, de más esetben elegendő lehet az általa nyújtott biztonság. Mi inkább valamilyen nyílt forráskódú programot telepítenénk helyette, mert ki tudja, mit tesz-vesz a Skype-kliens az ember számítógépén. Sajnos azért nem tudunk egyértelmű alternatívát kínálni, mert a különböző riválisok egyikének sincsen hasonlóan nagy felhasználótábora. De ha csak az online csevegés a fontos számunkra, és a telefonbeszélgetés funkció nem érdekel minket, akkor olvassunk tovább!

Régi, de legalább rossz?

Minél régebbi egy rendszer, annál kevésbé valószínű, hogy használ valamilyen titkosítást, tehát érdemes modern csevegőprogramokra váltani. Egyáltalán nem titkosított például a régen egyeduralkodó, de mára a divatból kiment IRC adatforgalma, habár vannak olyan IRC-kiszolgálók, amelyek támogatják az SSL titkosítást. Ha ezekhez szeretnénk csatlakozni, akkor SSL-kompatibilis IRC-kliensprogramot kell telepítenünk – Windows alatt ilyen a mIRC, Linux alatt pedig az Xchat.

Így néz ki az Xchat
Így néz ki az Xchat
(Forrás: Wikimedia Commons / MaGIc2laNTern / GNU GPL 3.0)

Szintén nem titkosítja a beszélgetéseket a Windows Live Messenger (korábbi, közismertebb nevén MSN Messenger) és a Yahoo Messenger. Az AOL Instant Messenger (AIM) elméletileg támogat egyfajta titkosítást, de a gyakorlatban mi azt tapasztaltuk, hogy hajlamos volt figyelmeztetés nélkül visszaállni nem titkosított üzemmódra, ha valamelyik beszélgetőpartner régebbi verziójú AIM klienst használt.

OTR, a megváltó?

Mindegyik eddig bemutatott rendszerrel volt valamilyen probléma. Ráadásul ha átállunk az egyikről a másikra, elveszíthetjük a hosszú évek alatt összegyűjtögetett ismerőslistánkat. Akkor mégis mit tehetünk, ha biztonságban szeretnénk tudni magunkat beszélgetés közben? Ne essünk kétségbe, mert van megoldás! Ma már több olyan ingyenes szoftver is létezik, amivel be tudunk lépni a különböző csevegőrendszerekre, és egyben meg is védhetjük a beszélgetéseinket. Ilyenkor a biztonságért nem a meglévő csevegőhálózat a felelős, amire csatlakozunk, hanem a szoftver, amivel csatlakozunk rá. Tehát nem kell aggódnunk amiatt, hogy például az MSN nem titkosítja a beszélgetésünket, mert a program, amivel beléptünk az MSN hálózatára, képes erre.

A Google Talk adatforgalma ugyan titkosított, de a belső hálózaton különösebb nehézség nélkül lehallgatható, csakúgy, mint az AIM. Szülők és tanárok elől ne ezzel bújkáljunk! 

A modern csevegőprogramok az OTR titkosítást használják, a betűszó az angol off the record ’nem hivatalos, nem rögzített beszélgetés’ rövidítése. Vigyázzunk, mert egyes szoftverek egyszerűen a köznapi jelentésében használják ezt a kifejezést! Például ilyen a Google Talk, amiben nem a titkosításra vonatkozik az off the record, hanem egyszerűen arra, hogy a beszélgetést nem archiválja a program.

Windows és Linux alatt a Pidgin, Macintoshon az Adium beszélgetőprogramok támogatnak sokféle hálózatot – az MSN és az AIM mellett használhatjuk velük például a Yahoo, a Livejournal, vagy éppen a Google csevegőszolgáltatását. Pidgin alatt a Pidgin-OTR kiegészítőt is telepíteni kell, de ha ez megvan, akkor egyszerűen létesíthetünk biztonságos kapcsolatot. Úgy is működik a dolog, ha az egyikünk Pidgint használ, a másikunk Adiumot! Csak az a lényeg, hogy ugyanahhoz a hálózathoz csatlakozzunk mind a ketten, és kapcsoljuk be az OTR-t. Ha csak az egyikünk kapcsolja be, akkor egyáltalán nem fog létrejönni a párbeszéd, mert a másik fél csak krikszkrakszokat, illetve hibaüzeneteket lát.

Pidgin Linux alatt. A piros "Not private" felirat figyelmeztet arra, hogy nincs bekapcsolva az OTR.
Pidgin Linux alatt. A piros "Not private" felirat figyelmeztet arra, hogy nincs bekapcsolva az OTR.
(Forrás: Takács Boglárka)

Ez a titkosítás rendkívül biztonságos és kimondottan internetes csevegésre tervezték. Talán csak annyi az OTR hátulütője, hogy mindkét beszélgetőpartnernek olyan programot kell telepítenie, ami támogatja – de ezen kívül nem kell például hálózatot változtatni. Így maradhatunk a kedvenc MSN-ünknél vagy Gtalkunknál. Persze ha nem azért használunk például MSN-t, mert az ismerőseink is azt használják, hanem azért, mert tetszik nekünk az MSN hivatalos kliensprogramja, akkor kevésbé fogunk örülni a váltásnak. De a mi tapasztalatunk az, hogy az emberek jobban ragaszkodnak a barátaikhoz, mint a szoftvereikhez...

Természetesen emellett továbbra is figyelnünk kell a hagyományos kockázati tényezőkre! Ha például valaki szabadon hozzáférhet a számítógépünkön rögzített adatokhoz, vagy akár mihozzánk, akkor hiába az OTR. Ahogy a mondás tartja, gumislaggal bármilyen titkosítás törhető, ha valaki egyszerűen kiveri belőlünk az általunk féltve őrzött
információt, akkor hiába minden rafinált számítástechnikai módszer.

További olvasnivalók és letöltések

OTR az angol Wikipédián

Pidgin (Windows, Linux)

Adium (Mac)

Kapcsolódó tartalmak:

Hasonló tartalmak:

Hozzászólások:

Követem a cikkhozzászólásokat (RSS)
Még nincs hozzászólás, legyen Ön az első!