OM CallBook a bezpečnosť

Väčšina z nás pamätá doby, keď osobné údaje človeka bolo niečo, čomu sa neprikladala žiadna dôležitosť (ak si u žien odmyslíme rok ich narodenia). Bolo možné sa k nim dostať kedykoľvek, všetky teraz tak prehnane utajované údaje, akým je napr. dátum narodenia, rodné číslo, rodinný stav, presná adresa a čo ja viem, čo všetko ešte, viseli pred voľbami na nástenkách činžiakov, úradov, škôl… Zato bolo prísne, pod hrozbou vysokej pokuty, zakázané napríklad odfotiť vagóny na železničnej stanici!Doba sa zmenila a teraz sme často nešťastní z toho, keď sa nejakým spôsobom ocitne naše telefónne číslo na nejakom verejne dostupnom mieste. Alebo skúste ísť do nejakého paneláku – koľko dverí bytov má menovku? Premýšľam, či časom nedospejeme k tomu, že ani na poštové schránky nebudeme ochotní dať svoje meno, lebo…

A tu sa chvíľku zamyslime, prečo. Okrem pocitu, že sme obyvateľmi Európskej únie a preto právom na seba dôležití, možno v tom hrajú svoju rolu aj zlé skúsenosti iných, popísané v tlači, na internete, odvysielané v Kriminovinách.

Aké teda hrozia riziká?

Rodné číslo. Niektoré riziká spojené s našimi osobnými údajmu môžu byť ozaj vysoké. Ak bezhlavo zverejňujete svoje rodné číslo, skôr či neskôr sa nájde podvodník, ktorý nejakým spôsobom dokáže vaše rodné číslo zneužiť. Možno výrobou falošného dokladu, objednávkou tovaru, tí, čo sa v tomto spôsobe podvodov vyznajú, majú iste veľa možností. O to viac udivuje, že sa nájdu naivní jedinci, ktorí sa bez mihnutia oka zaregistrujú na rôznych podvodných internetových stránkach a s detskou dôverčivosťou tam vyplnia všetky svoje osobné údaje. Samozrejme, na okolitý svet potom zapôsobí, keď TV JOJ v Kriminovinách odvysiela hrôzy v súvislosti napríklad so 60-eurovými webmi.

Emailová adresa. Aj tá je časťou našich osobných údajov. Jej zneužitie už nemá také zdrvujúce následky, sú skôr nepríjemné. Ale keď hľadáme na internete nejaký, podľa možnosti „vyliečený“ program, v ošiali nádeje na jeho získanie bezhlavo napíšeme svoju emailovú adresu, na ktorú nám sľubujú poslať „penicilín“. A potom nevychádzame z údivu nad množstvom spamu v našej schránke.
V tejto súvislosti spomeniem jeden obrovský hriech, ktorí rádioamatéri (a nie len oni) denne páchajú. Robia tak hlavne internetoví začiatočníci, ale je to bežné aj u starých netových harcovníkov. Dostanú email, ktorého obsah je či už ozaj seriózny, alebo nejaká „sranda“. V záhlaví emailu je možno tridsať emailových adries, na ktoré to okrem nás odosielateľ poslal. My sa nerozpakujeme a pošleme to ďalším tridsiatim kamarátom, pričom všetkých tridsať emailových adries, na ktoré to posielame, uvedieme do riadku „Príjemca“. Takže každý z nich dostane email, v ktorom uvidí už 60 emailových adries. A takto sa to šíri a šíri. A na konci, možno u jediného z tých 2000 príjemcov, bude v počítači čakať jednoduchý skript, ktorý všetky emailové adresy pekne z tela správy vytiahne a odošle ich autorovi skriptu. Tento ich potom po desaťtisícoch predáva spoločnosti, zaoberajúcej sa rozosielaním nevyžiadanej reklamy – spamu.
A pritom stačí tak málo – ak dostaneme email, ktorý chceme rozoslať aj našim priateľom, treba po kliknutí na „Poslať ďalej“ vymazať všetky emailové adresy v tele správy, do príjemcu správy uviesť seba a všetkých tridsať adries, na ktoré chceme email preposlať, zadať do riadku „Skrytá kópia“ (označovaná aj ako BCC). A je po probléme (ak už nie je neskoro).

Telefónne číslo – tiež citlivý údaj, bez jeho zverejnenia sa ale občas ozaj nezaobídeme. Tu hrozí riziko, že nám budú vyvolávať firmy a firmičky a nútiť nás do kúpy toho najkvalitnejšieho tovaru, aký si len vieme predstaviť za ceny, ktoré sú akciové iba a iba práve pre nás, šťastlivcov, ktorých oslovili. Keď som sa volajúcej slečny spýtal, odkiaľ má moje číslo, zvyčajne odpovie, že „nám ho vygeneroval automat“. Ale ako ten automat pridelil k tomu číslu aj moje meno, to už nevedela. Po čase ma to vyvolávanie začalo otravovať, tak som vždy na začiatku rozhovoru slušnou formou slečne oznámil, že o nič nemám záujem a zásadne sa žiadnych prieskumov nezúčastňujem. Volania (cca 2-3 mesačne) ale neprestávali, tak som skúsil jednu techniku, ktorá možno z mojej strany nie je úplne férová, ale na 99% pomohla. Keď sa mi volajúca/ci predstaví a je z tejto skupiny otravníkov, poprosím ich, aby chvíľočku počkali na telefóne, že musím ešte niečo vybaviť. Odložím telefón nabok a nechám ich čakať. Po 10 minútach zvyčajne sami zložia a viac nevolajú. A kupodivu výrazne poklesol počet týchto „nevyžiadaných“ volaní, až mám podozrenie, že si tieto firmy medzi sebou databázy čísiel a skúsenosti so „zákazníkmi“ vymieňajú.

Takže toľko k tým najpravdepodobnejším rizikám. Samozrejme, dá sa aj inak. Zavrieme sa doma, zaplatíme si nezverejnenie telefónneho čísla, na mobile si aktivujeme CLIR, strháme všetky menovky – a budeme v bezpečí. Nepodáme žiaden inzerát, nepošleme žiaden email, nepridáme sa do žiadnej komunity, s nikým nebudeme komunikovať. Dá sa aj tak…

Aké teda hrozia nebezpečenstvá pri zverejnení svojich údajov v OM CallBooku?
Poviem priamo: skoro všetky vyššie popísané (pravdaže, okrem rodného čísla). Potenciálny „zločinec“ si môže vyberať po jednom obete a posielať im SPAM alebo ručne vypísať všetky telefónne čísla a predať ich otravnej firme. Má to ale jednu zásadnú nevýhodu: je to úžasne prácne, takže efekt by bol nulový, skôr záporný. A môžete mi veriť, viem, čo také prepisovanie obnáša. Ak by takýto lump ozaj chcel zbierať mená, adresy a čísla, oveľa jednoduchšie by to bolo napr. v nejakom inzertnom časopise, kde sa z textu inzerátu dajú vypozorovať okrem iného aj finančné možnosti inzerenta ako potenciálnej obete.

Pri spustení callbooku som zverejňoval na stránke aj excelovskú verziu. Upustil som od toho práve kvôli možnosti hromadného zberu a predaja dát. Predpoklad, že budú dáta zbierané po jednom „ručne“ je ozaj minimálny.

Bezpečnosť OM CallBooku

Bezpečnosť OM CallBooku možno v zásade rozdeliť na dve oblasti:
1. technickú, teda integritu a dostupnosť údajov
2. obsahovú, teda dôvernosť uložených údajov

Integrita a dostupnosť údajov
Všetky dáta OMCB sú uložené na serveroch firmy WebSupport. U tejto firmy mám svoje dáta od r. 2004 a okrem jedného asi 2-dňového výpadku som nezaznamenal žiadne problémy. Firma dôkladne a pravidelne zálohuje nie len databázové priestory, ale aj webové a poštové servery. Dostupnosť stránok nebola nižšia ako 99,6%, čo je vynikajúci údaj.
Samotná MySQL databáza callbooku na serveri je sekundárna. To značí, že hlavnú databázu mám vo svojom PC (zálohovanú na 4 ďalších médiách, zálohuje sa automaticky, tak nemôžem zabudnúť) a po hoci akej zmene v tabuľkách ju jednoducho vyexportujem na webový server. Teda aj v prípade útoku na databázu sa v podstate nič zvláštne nestane. Navyše je priamo na serveroch WebSupportu posledných 14 verzií databázy. Tak isto sú zálohované aj samotné skripty.
Aby bolo zabezpečené čo najnižšie riziko útoku, použil som viacero ochranných postupov, ktoré sú zamerané ako na ochranu pre internetovými robotmi, tak pred „ručnými“ útokmi. Samozrejme, žiadna ochrana nie je dokonalá, vždy sa nájde borec, ktorý nájde niečo neošetrené a dokáže útok previesť. Preto také prehnané zálohovanie. Spolieham tiež na to, že callbook nepatrí do skupiny cieľov, na ktoré by sa útočníci zamerali, sme pre nich nezaujímaví.

Dôvernosť uložených údajov
Ako som spomenul vyššie, upustil som od zverejňovania callbooku vo forme excelovského súboru, alebo zverejňovania celej tabuľky callbooku na jednej stránke. V tejto forme zverejnené dáta sú totiž veľmi ľahko naimportovateľné kamkoľvek a pre útočníka majú podstatne vyššiu hodnotu.
Vykradnúť databázu je predsa len o niečo ťažšie a aj keď to pre skúseného borca nie je až taký problém, predpokladám, že kvôli nízkej obchodnej hodnote uložených údajov o to bude mať záujem iba zvrhlý zlomyseľník. Aj tu je použité niekoľko metód, ktoré by mali zabrániť deštrukcii databázy, ale – nič nie je nemožné. Nemôžem teda povedať že callbook je bezpečný na 100% , ale to nemôže povedať o svojej databáze žiaden správca.

Záver

Čo poradiť na záver – je OM CallBook bezpečný? Registrovať či neregistrovať sa do OM CallBooku?

Ja radím ÁNO, registrovať. Údaje, ktoré sú potrebné k registrácií, sú tak všeobecné, že ak by nám chcel robiť ozaj niekto zle, má na to podstatne viac iných možností. (pamätáte na to CD, kde boli zverejnené mená, tituly, adresy, čísla OP, tuším aj rodné čísla a hlavne telefónne čísla? Toto CD uniklo ktovie odkiaľ, boli tam všetky telefóny a ich majitelia T-Mobile a Orangeu…). Stručne povedané, ak bude chcieť niekto niekomu robiť zle, nepotrebuje k tomu callbook.

Nakoniec, ak chcete byť registrovaní a ozaj nikomu nič o sebe nepovedať, stačí uviesť iba meno, priezvisko, rádioamatérsku triedu a obec. Nič viac. Nezískate tak síce forwardovaciu emailovú adresu, ktorá sama o sebe predstavuje istý ochranný prvok tým, že nie je zverejnená skutočná emailová adresa, ale budete aj registrovaný v OMCB aj nič o sebe nepoviete. Hoci vašu adresu, telefónne číslo, emailovú adresu atď vlastní kopa reklamných firiem, vaši kamaráti vám nebudú môcť zavolať alebo poslať email… A ak im to vaše číslo či emailovú adresu „prezradíte“, už nikdy nebudete mať záruku, že tieto údaje nedajú aj niekomu inému.

Ja sa pamätám na moje rádioamatérske začiatky v r. 1972, kedy som prvý krát počul o niečom takom, ako je callbook. A pamätám aj na to, že vtedajší koncesovaní rádioamatéri považovali za vec cti byť v callbooku uvedení.

Ale doba sa skutočne mení.