Az USA, a "Nagy Testvér" mindig élen járt a "személyiségi jogok
védelmében" és az utóbbi időben a spamek elleni küzdelemben. A védelem
azonban nem mindig tökéletes, akadnak hibák. Jogosan kérdezhetik: Hol
lehet olyan hibát elkövetni, ahol e miatt egyrészt a személyiségi jogok
sérülnek, másrészt ezzel párhuzamosan a spam-veszély is nő? A válasz
igen egyszerű - egy olyan szerveren, mely levelező szerver is, de ezzel
párhuzamosan más funkciói is vannak. Ilyen pl. a NASA központi ftp
szervere - amelyiken tárolják a levelezők nevét, nicknevét, de ezen
kívül sok más teljesen személyes adatot is.
Mivel e szerver regisztrálja a telefonhívásokat - így azt is megtudhatjuk, hogy ki, honnan, és kit hívott. Ezen túl természetesen itt helyezik el a régebbi publikációkat, fényképfelvételeket, stb. Olyan "friss" adat, mely "államtitoknak" minősülhetne" a szerveren feltehetően nincs - ha csak az nem számít titkosnak, hogy megtalálhatóak rajta azon indoklások is, melyekben leírják, hogy egy adott közleményt milyen módosításokkal tehetnek nyilvánossá. (Az ilyen levelek tartalmazzák azokat az url-eket, melyeken e cikkek elérhetők.)
Természetesen (fenntartással) elfogadom azt a feltételezést, hogy egy főként katonai célokat szolgáló intézmény dolgozóinak névsora nem titkos és, hogy ez a "hiba nem is hiba", csak elérhetővé teszi a dolgozók névsorát. Azt, azonban nem tartom elfogadhatónak, hogy szándékosan tették nyilvánossá a nick néven, a valódi néven, mail címen túl a beosztást, az épület- és irodaszámot - és amennyiben "csak mintákat végez valaki a NASA-nak" a valódi munkahelyet is. Különösen a "zárolt cikkek" elérhetőségét nem tartom szándékosnak, de nem tartom annak a telefon, és egyéb más jellegű kapcsolattartásról készült listákat - az elérhető passwordről nem is beszélek.
Mi is történt?Ma kaptam egy levelet, mely a következőket tartalmazta:
A NASA szervere nyitott:
Az ftp://....................../nickname/ - címen látható lista tartalmazza a "nick" néven kívül a teljes nevet, elektronikus levél címet, telefon-, fax számot, pozíciót (beosztást), az épület és irodaszámot, és a munkáltatót.
Mikor fogják megtanulni...????Pl:
alias Anderson_Alma aanderso@hq.nasa.gov
Anderson_Alma Alma Anderson-1, Org: C, Employer: NASA, Bldg: HQ, Room: 6P34, Phone: +1 202 358-0835, Fax: +1 202 358-2891
Hasonlóképpen megtalálhatóak azon munkatársak adatai, akik nem a NASA alkalmazásában állnak, csak munkákat végeznek a "cégnek".
pl:
alias Allen_James jallen@hq.nasa.gov
note Allen_James James R Allen-1, Supply Specialist, Org: CFS, Employer: NCI Info Systems, Bldg: HQ, Room: CO51, Phone: +1 202 358-0149, Fax: +1 202 358-3002
Egy kicsit szétnéztem a szerveren. Teljes meglepetésemre minden gyökérkönyvtárat megtaláltam, azok közül csaknem mindegyik megnyitható, tartalma letölthető - többek között a legfontosabb is, a szerver, és a szerver root jelszava, amivel gyakorlatilag minden elérhető lehet, átírható stb:
passwd
ftp:*:9000:90:Anonymous FTP Account:/usr/local/...........e
root:*:0:0:Super-User.............../csh
******************************************************
******************************************************
Azért nem hiszem, hogy ebből minden publikus....
E miatt nem tudom elfogadni azt a feltevést sem, hogy a fenti információkhoz nem véletlenül, egy "nyitva hagyott" szerver miatt, hanem szándékos "adatközlés" miatt lehet hozzáférni.
Mi mindennek a veszélye? A kérdés két részre osztható.
A személyes adatok ismeretében lehetőség nyílik zaklatásokra, személyre szóló levelek küldésére, vagy zsarolásokra egyaránt - de ebből a körből nem maradhatnak ki az esetleges fanatikusok általi támadások sem.
A másik - talán komolyabb veszély az, hogy ezzel az információval agyament spammerek új, valós címek százait kapták meg, ahova levéláradatukat zúdíthatják. A levelekkel küldhető károkozókról, vírusokról nem is beszélek. A címek névsora nem más, mint a "spammerek paradicsoma" - és az is marad, mert a szerver zárása után sem tűnnek el a kéretlen levelek íróinak merevlemezéről ezek a címek. (ezzel változtathatnak az AOL májusi mérföldkövén...)
Vannak, lehetnek véletlenek mindenhol, de azt hiszem, hogy egy ilyen - stratégiai fontosságú szerv - mint a NASA egyike azoknak, amik nem engedhetnek meg ily véletlent sem maguknak.
Ui: Mindent megtettünk, hogy az általunk security hole -nak (biztonsági résnek) tartott "jelenségre" felhívjuk az illetékesek figyelmét - és esetleg tisztázzuk azt, hogy valós biztonsági résről van szó, vagy mindez "szándékos". A publikus NASA e-mail címek részben megkapták, de nem válaszoltak levelünkre, vagy, mint nem "létező címek" dobták vissza a levelet. Az Amerikai Nagykövetség webmesterének címe fogadta a levelet. Választ igaz nem kaptunk, de reméljük a szolgálati úton továbbítja azt.