Ahhoz, hogy teljesen megértsük pillananatnyi helyzetünket (és jelen cikkünk témáját) egy szomorú konklúziót kell megértenünk. A világ pillanatnyilag „háborúban” áll - az egyik oldalon a szélsőségesek/terroristák a másikon pedig az áltagemberek és a demokratikus országok. Ebben a háborúban a legnagyobb szerepet a hírszerzés kapja, hiszen a fejlett nyugati-típusú országoknak tulajdonképpen ez az egyetlen fegyvere a szélsőségesek ellen. Az átlagember pedig választhat: vagy a megfigyelt és ellenőrzött biztonság, vagy szabad és diszkrét élet, tele bizonytalansággal és félelemmel. Nos kormányaink már választottak helyettünk – ők bizony a biztonságra törekednek. Éppen ezért figyelnek – mivel azonban nem tudják kit kellene figyelniük – mindenkit figyelnek…

Lépten nyomon…

Kisvártatva rákanyarodunk fő témánkra, a cégen belüli adatforgalom és internetezés ellenőrzésére, megfigyelésére… előbb azonban meg kell ismerkednünk az általános módszerekkel, hiszen a céges tartalom-kontroll szoftverek és protokollok is a nagybetűs életből kerültek át munáltatóink eszköztárába.  A legnyilvánvalóbb dolog telefonbeszélgetéseink rögzítése – ezzel a jelenséggel már mindannyian találkozhattunk – néha be is mondja a géphang, hogy „figyelem ! a beszélgetést rögzítjük !”. - néha persze nem mondja be, csak rögzítik- de ez most nem érdekes.  Otthoni beszélgetéseinket (néhány nagyon speciális esettől eltekintve) persze még mindig nem hallgathatják le „csak úgy”, viszont a céges telefonhálózaton belüli üzenetváltásokat már igen – bár magyarországon jogilag ez a terület még eléggé rendezetlen. Külföldön a helyzet még jobb (rosszabb) - az Európai Parlament Polgári Szabadságok Bizottsága már 1994-ben jelentést készített egy elektronikus üzeneteket lehallgatni képes, globális elektronikus kémhálózatról. A jelentés szerint az összes európai telefon, e-mail és fax üzenetváltást lehallgatja az amerikai Nemzetbiztonsági Ügynökség (NSA). A begyűjtött kommunikációs adatokat azután számítógépes programokkal automatikusan kielemzik, rákeresve bizonyos „kulcsszavakra". Ez a világ leghatalmasabb és „leghomályosabb" hírszerző szolgálata, amely egész Nagy Britanniára kiterjedő felderítőállomás-hálózatot épített ki az északi féltekén történő kommunikáció lehallgatására. (The McAlvany Intelligence Advisor, 1994. augusztus) Elvileg tehát minden beszélgetést el lehet „csípni” akár vezetékes- akér mobiltelefonon történik.  Node ezt eddig is tudtuk, legtöbbünk nem is használja a céges telefont magánbeszélgetésekre, de mi a helyzet az e-mailekkel és a böngészéssel?

Figyelem ! Ez az e-mail rögzítésre kerül…

Valaki mindig figyel...

Beszélgetéseink rögzítésekor, a „géphang” figyelmeztetés egy korrekt dolog, elektronikus leveleink rögzítése előtt azonban semmilyen jelet nem kapunk. Az először angliában, azútán az EU-ban szinte mindenütt (kisebb-nagyobb módosításokkal) elfogadott törvény lehetővé teszi munkáltatóink számára, hogy bármikor, bármelyik e-mail üzenetünkbe belenézhessen, illetve azokat eltárolja, vagy ellenünk felhasználja, ha a levél tartalma alapján kiderülne, hogy valamiben „sántikálunk”  Van is mit figyelni, hiszen csak amerikában jelenleg 130 millió felhasználó küldözget több mint 2.8 millió e-mailt naponta, kizárólag a munkahelyéről ! A cégek által leggyakrabban használt szoftver a Spector (http://www.spectorsoft.com/) szinte csuklóból képes ellenőrizni és tárolni akár egy többezer fős cég levelézését is, de persze rengeteg egyéb ún. e-mail monitoring alkalmazás található a szoftverpiacon. 

De hogyan is működik ez a dolog valójában? Semmi esetre sem úgy, hogy főnökünk ül az irodában és egész nap a dolgozók leveleit olvasgatja, árgus szemmel kutakodva a „buta főnök”, „szerető” esetleg „öngyilkos merénylő” kifejezések után… A monitoring rendszerek automatikusak: telepítés után egyszerűen megadják a kulcsszavakat (ezekhez prioritási, vagy „veszélyességi” fokot is lehet rendelni), majd ezeket a kulcsszavakat egy adatbázisba rendezik.Mindenki olyan kulcsszavakat ad meg, amilyet akar – egy nagy mobilszolgáltató pl, értelemszerűen a konkurrens szolgálató nevét vagy termékeinek nevét figyeli, hiszen valóban ad némi gyanúra okot, ha pl. egy T-Mobile dolgozó a Vodafonnal levelezget nap mint nap De nem ritka, hogy szabadidős tevékenységekkel kapcsolatos kulcsszavakat adnak meg, mint pl. síelés, úszás, étterem, randevú, tengerpart, stb. elvileg ugyanis ilyen jellegű levelezéseinket nme bonyolíthatjuk céges hálózatról – persze minden a munkáltató jó- avagy rosszindulatától függ. És persze ott vannak a szokásos kulcsszvavak: ezeket be sem kell írni, a legtöbb monitoring szoftver automatikusan tartalmazza őket – ezek mindenféle terrorista és egyéb csúnya dolgokkal összefüggő kifejezések (még a „virágnyelven” leírtak is). Ha megvannak a kulcsszavak, nincs is más hátra mint magára hagyni a szoftvert – ha valami olyat talál a dolgozók leveleiben ami „gyanús” akkor a főnök vagy a rendszergazda kap egy riasztást, és tetszés (illetve riasztási prioritás) szerint azonnal, vagy a nap végi összegzéskor megtekintheti a gyanús állományokat… és másnap már jöhet is az elbeszélgetés a „főnökúr” irodájában.  Ilyen egyszerű…

De mi a helyzet a böngszéssel?

Nos e-mail üzeneteinket tehát figyelik, ebbe jobb ha beletörődunk, főleg hogy törvényileg is szabályozott a kérdés. (mellesleg az e-email üzenetek 2001-től bizonyítékként is felhasználhatóak a bíróságon). Valamilyen szinten érthető is a dolog, hiszen munkáltatónk adja a számítógépet, a szoftvert, az internet összeköttetést, az áramot sőt még a széket is amiben ülünk – had legyen hát joga megnézni mit művelünk az ő cuccait használva… Sajnos böngészéseink során még rosszabb a helyzet. Míg leveleinket csak a munkáltatónak van joga/lehetősége figyelni (a hackerek nem igazán foglalkoznak azzal hogy e-maileket csípjenek el a hálón…a titkosszolgálatok pedig nem bírják a mennyiséget, szóval ők csak szúrópróbáznak vagy célzott személyek leveleit figyelik), webes szokásainkat már jóval többen és alaposabban nyomon követik.

Az első és legegyeszerúbb dolog, az ún „referer”-ek figyelése: ezt akár otthon is meg tudjuk csinálni, csak egy egyszerű kódsorra van szükség weboldalunk forrásába. Ezek után, ha valaki megnézi az mi oldalainkat, mi tudni fogjuk a „referer”-t azaz hogy az illető melyik weboldalról jött. Ilyen referer-láncok illetve a gépünkön eltárolt cookie-k segítségével a célszoftverek pontosan képesek megmondani, hogy milyen weboldalakat néztünk böngészésünk alatt. Ezért van az, hogy ha pl. megnéznük egy potencianövelő-szert vagy jó befektetési lehetőséget reklámozó weboldalt, akkor ők viszont megnézik, hogy honnan (milyen oldalakról) jöttünk, illetve mit néztünk meg az említett oldal előtt. És ha azt látják, hogy egy másik potencianövelőt reklámozó oldalról jöttünk, sőt előtte is egy ilyet néztünk, sőt előtte is… akkor máris bekerül emailcímünk az adatbázisba mint „target costumer” azaz lehetséges vásárló. És már jönnek is a potencianövelős reklámlevelek – így működik a spam. Az email címet pedig hála a Windowsnak egyszerűen ki lehet olvasni gépünkből, teljesen automatikusan (nem kell tehát megadnunk…) Cégen vagy otthoni hálózaton belül még egyszerűbb – egyrészt a céges szerver (router, proxy vagy akármi) logolja, hogy a dolgozók merre böngésznek – rendszergazdánk tetszés szerint tilthat le oldalakat vagy teljes webterületeket cégen belülről ha úgy itélik, hogy erre van szükség. Az eltárolt logfájlokat pedig bármikor kérheti a főnök, kinyomtatva jó kis esti olvasmány… nézzük csak melyik dolgozó nézegetett pornóoldalakat munkaidőben?:) Kényelmesebb rendszergazdák telepíthetnek ún „filter” szoftvereket cégen belül, ekkor mág a szervert és a logfájlokat sem kell babrálni, minden automatikus és kezelhető lesz – cégünknek erre is törvényi joga van. A legnépszerűbb céges- és otthoni „webfigyelő” szoftverek a Contentkeeper (www.contentkeeper.com) és a Contentwatch (www.contentwatch.com). 

A céges szintű webfilterek mellett ráadásul még ott vannak azok a szoftverek is, amiket direkt azért telepítenek, hogy megtudjék internetezési/vásárlási szokásainkat – ilyen szoftver pl. a PEEPO (http://www.peepo.net/) ami kifejezetten arra való, hogy a kereskedelmi weboldalakat üzemeltetők képek kapjanak webes látogatóik szokásairól, érdeklődési köréről. Hogy ez menyire jogos vagy etikus az már més kérdés, technikailag mindenesetre már évek óta megoldott, és igen jól működő dolog (sajnos). Mi marad hát titokban böngészésünk közben? Nos egészen pontosan semmi… láthatóak a kulcsszavak amiket a Google-ba írunk, visszakövethetőek az oldalak amiket megnáztünk, és még azt is meg tudják nézni, hogy milyen sorrendben látogattuk eme odalakat.

Néhány megdöbbentő tény:

• Mindannyiunkat szerverek figyelnek böngészés közben, majd eltárolják, hogy mikor és mit is néztünk pontosan.
• Hollétünk nyilvántartásba kerül, valahányszor bankkártyánkat készpénzkiadó automatákba helyezzük, vagy az autópályák elektronikus fizetőkapuin hajtunk keresztül...
•  A pénzkiadó automaták szoftvere minden egyes használatakor a feljegyzi a tranzakció helyét, dátumát és időpontját majd elküldi azt bankunknak.
• A mindenki által ismert térfigyelő kamerák naponta lefényképeznek bennünket — egy átlagos budapesti járókelőt naponta minimum legalább háromszor.
• Ezek a kamerák (at utcákon kívül) ott vannak a bankokban, állami irodaépületekben, gyorsétkezdékben, sőt még a bevásárlóközpontokban és üzletekben is.
• Érdeklődési körünket és vásárlási szokásainkat közzétesszük valahányszor elektronikus úton rendelünk meg valamit vagy egy kereskedelmi weblapot nézegetünk. 
• Alkalmazottakat azonosító leolvasók. Az irodába való belépéshez mágneskártyát használó személy holléte automatikusan feljegyzésre kerül -  a legtöbb cégnél használnak ilyen mágneskártyát.
• Ún. rádiószkennerekkel felszerelve a rendőrség lehallgathatja mobiltelefonunkat, sőt ügyészi belegyezéssel helyzetünket (tartózkodási helyünket) is meghatározhatják a mobiltelefon jeleit követve (elég ha be van kapcsolva a mobil, nem muszáj hívás közben lenni).
• Minden hitelkártyával fizetett vásárlás egy olyan adatbázisba kerül feljegyzésre, amelybe többek között a rendőrség is belenézhet.
• A munkahelyi e-mailt a munka részének tekintik, amelyet a munkáltatónak joga van elolvasni — és sok főnök azt is teszi.

Forrás: Joshua Quittner – Invasion of piracy – Time

Tippek a  túléléshez

Persze nem kell beletörődnünk mindenbe – igaz, munkáltatónk jogosan nézi munkahelyi adatforgalmunkat, de otthoni internetezés közben bizony jogunk van saját privát szféránkhoz (alkotmányos jogunk, bizony…) Ha tehát azt akarjuk, hogy netezésünk rejtve maradjon, akkor használjunk tűzfal szoftvereket – ezzel máris kivédtük az ún. adware-eket és spyware-eket, ráadásul email-címünket sem tudják „kiolvasni” mindenféle kiváncsi weboldalak. Ha tehetjük használjunk Firefox-ot vagy Operát az IE helyett – ezzel jóval megnehezítjük a cookie-kat és a referer adatokat vizsgálgató szerverek dolgát. Ha valami olyat akarunk megnézni, amit nagyon-nagyon „titkos” (pajkos kacsintás), akkor használjunk proxy-szervereket, persze ezekből is csak az anonym változatokat (pl. http://www.samair.ru/proxy/), vagy a népszerű webes anonymizert (http://www.anonymizer.com/). 

Ha esetleg nagyon sokszor akarunk titkos oldalakat nézegetni, akkor egyszerűbb ha valamilyen alkalmazást telepítünk ere a célra (fárasztó mindig az anonymizerbe irkálni a címeket), a legnépszerűbbek a GhostSurf (http://www.ghostsurf-pro.com/) és a JAP – ezek olyan szoftverek, melyek teljesen elrejtenek minket böngészés közben a neten. Senki nem fogja tudni később, hogy merre is jártunk, és honnan is jöttünk. Persze mindezek csak az átlagfelhasználók számára érdekesek, nem legyünk tévedésben: a rendőrség vagy a titkosszolgálatok a Ghossurf-öt vagy az Anonymizer-t is röhögve megkerülik. Nagy Testvér tehát mindent lát, de ne legyünk rá morcosak: amíg a mi vagy cégünk biztonsága érdekében teszi ezt, és nem sérti különösebben privát szféránkat, addig rendben van. Vagy mégsem?