RegioJet – vražda (bezpečnosti) v salónním kupé

Tímto krátkým článkem bych chtěl sdělit dvě věci. Za prvé pochválit perfektní služby společnosti Student Agency, jízda jejich vlakem mi byla opravdovým potěšením. Za druhé bych rád ukázal, jak lehce člověk může získat informace potřebné k tzv. krádeži identity (Identity Theft Attack) v prostředcích hromadné dopravy.

Datová mobilita je příjemnou featurou, kterou využívá mnoho lidí. S nástupem zájmových produktů typu sociálních sítí narostl i požadavek na konektivitu kdekoliv a v jakoukoliv dobu. V současné době obecně platí, že mobilní datové přenosy ve vlacích na území České republiky, nejsou dobře zvládnuté pouze pomocí služeb mobilních operátorů. Z tohoto důvodu tak společnost Student Agency instaluje do své soupravy přístupové body wi-fi sítě.

Cestující tedy může používat laptop nebo jiné mobilní datové zařízení, k němuž má také podporu napájení. U každé řady sedadel je k dispozici nejméně jedna zásuvka 230V. Není problém být celou dobu trvání cesty připojen k Síti. A právě během takové cesty může docházet a často také dochází, k chybám v osobní bezpečnosti, které mohou vést k nepříjemným důsledkům v podobě podvržení identity, krádeže osobních dat nebo k dalším věcem.

Na co je tedy dobré si dát pozor a jaké jednoduše realizovatelné útoky hrozí při cestě vlakem?

1. Shoulder Surfing

Jde o přímé pozorovací metody, kdy jsou odezírána např. vkládání hesel do webových formulářů nebo přihlašovací hesla do počítače. Expozice je dostupná pro spolucestujícího, sedícího po boku oběti, a lépe ještě pro útočníka, sedícího na sedadlech za obětí (v případě tzv. letadlové úpravy sedadel nebo v klasických, bezkupéčkových vozech 2. třídy ČD).

Pokud tedy budete pracovat s hesly, hlídejte si výhled na váš displej a klávesnici. Někdo se může dívat.

2. Identity Theft

Krádež identity může proběhnout několika způsoby. Za prvé přímo souvisí se shoulder surfingem, tj. útočník z obrazovky může přímo odečíst např. nejen heslo do Facebooku, ale i jméno a příjmení. Útok na identitu pak může proběhnout z libovolného bodu v síti, klidně na druhém konci světa. Pro otrlejší útočníky pak není problémem odcizit celé zařízení, pokud se oběť vzdálí např. na toaletu.

Před zanecháním mobilního zařízení bez dozoru (pokud není možné jej nosit při sobě) tedy dbejte odhlášení od aplikací, odhlášení od zařízení a jeho případného uzavření (svítící obrazovka láká). Vzdalujte se zásadně po rozjezdu vlaku, případný otrlejší zloděj (který si vezme celé zařízení k sobě) nebude mít snadnou cestu z vlaku v krátkém čase a vy budete mít čas pátrat. Nenechávejte k zařízení připojené zbytečně další komponenty, jako jsou paměťové karty, flash disky, telefony(!) apod. Oddělte zapínání wi-fi od aktivace Bluetooth. Snížíte útočníkovy šance připojení k vašemu zařízení. Nepoužívejte hlasité reproduktory, zbytečně na sebe upozorníte.

3. Social Engineering

Cestujete sám (pánové) a přisedne si atraktivní žena, lehce naivní a milá. Všimne si, že používáte notebook a po krátké motivační konverzaci (kdy zjistí co děláte, jak se jmenujete, jaké máte telefonní číslo atd.) vás požádá o pohlídání věcí, protože si potřebuje odskočit. Zanedlouho se vrátí a potřeba přijde na vás. Mezitím jste ovšem pustil film a nabídl okouzlující spolucestující, zda se nechce dívat také. Odejdete na toaletu a požádáte spolucestující o protislužbu pohlídání věcí. Film běží, notebook je přihlášen, nedejbože máte na liště prohlížeč s přihlášenými službami (snad ne bankovními)… ale vy u toho nejste. V době, kdy právě obdivujete nezvyklou kulturu toalety ve vozech RegioJet kdosi mazaný obhospodařuje vaše data.

Pokud máte skutečně nutkání podlehnout setkání s krásnou neznámou, věnujte jí svou vizitku. Odhlašujte noťas, protože ten film, na který chcete koukat, nejspíš stejně nebude koupený legálně, že? Kdoví, pro koho neznámá pracuje. Vaše digitální identita a data, stejně jako veřejný obraz bezúhonného občana, jsou důležitější, než vidina kvalitního sexu.

Obecně k bezpečnosti na cestě

  • Kontrolujte po návratu z toalety k zařízení porty (USB, RS232 apod.) a vstupy na paměťové karty, zda v nich není něco, co tam být nemá
  • Kontrolujte po návratu z toalety aktivitu Bluetooth
  • Všímejte si lidí okolo, jak sedí, jak se mění jejich místa apod.
  • Uvědomte si kdo jste, pro koho pracujete, čím jste pro okolí zajímavý (a vymýšlejte, jaká rizika to přínáší)
  • a hlavně… nikdy nikomu nevěřte