GDPR az információszabadság ellen: hogyan könnyíti a bűnözők dolgát és nehezíti a nyomozókét és kutatókét?

Kezdjünk egy beugrószintű OSINT-kérdéssel: miért lehetetlen titokban tartani ma egy mobilszámot?

imagesMég sok-sok évvel ezelőtt a személyes mobilszám, ha úgy tetszik, kimondottan érzékeny adat volt, amit igen kevesen tettek ki akár az életrajzi oldalukra, vagy adtak meg olyannak, akit nem ismertek valamennyire személyesen. Mi több, egy személyhez tartozó privát mobilszámot akár kimondottan nehéz is lehetett megtudni.

Emlékezetes az az eset, amikor egy válófélben lévő fiatal hölgy a büntetett előéletű férjétől szabályosan menekült, megpróbálta titokban tartani a hollétét és az elérhetőségét, de ahányszor lecserélte a mobilszámát, a férj annyiszor néhány napon belül megszerezte az új számot anélkül, hogy egyáltalán számítógép elé kellett volna ülnie. Pedig a hívószám nem szerepelt tudakozóban, telefonkönyvben, nem volt felregisztrálva semmilyen VoIP-alkalmazáshoz és közösségi webes felületen sem.

Ilyenkor a laikusok rendszerint valamilyen bennfentes szolgáltatói kapcsolatra gondolnak, ám már réges régen, ha egy mobilszolgáltató alkalmazottja vagy annak valamelyik partnere, például egy viszonteladói pont alkalmazottja lekérdezi egy ügyfél adatait (már ha egyáltalán tudja csak személyes adatok alapján), egyrészt naplózásra kerül, másrészt ha kiderült, az alkalmazottat jó eséllyel ki is rúgják.

Röviden szólva régen sem volt, és most sem életszerű egy olyan scenario, hogy “le tudom kérdezni bárkinek a mobilszámát, mert van ismerősöm a szolgáltatónál”. Viszont ekkor az előbb emlegetett büntetett előéletű, igencsak ragaszkodó férj, aki böngészőt is alig látott, hogyan jutott hozzá mégis a mobilszámhoz néhány nappal az után, hogy használatba vette a feleség?

Megfelelő mindsettel nem volt annyira nehéz rájönni: a pasas valamilyen kamu ürüggyel felhívta a feleség válóperes ügyvédjét, esetleg a saját ügyvédje hívta fel a feleség ügyvédjét, majd egyszerűen elkérte a mobilszámot, mint a kapcsolattartáshoz elengedhetetlenül szükséges információt (természetesen nem elengedhetetlenül szükséges). Az ügyvéd pedig szépen mindig kiadta az új számot.

A módszert igazából nem nevezhetjük social engineeringnek, ahogy utaltunk rá, az elkövető alighanem böngészőt sem nagyon látott életében. Nem mennénk el olyan irányba, hogy az ilyen típusú trükközés amellett, hogy ijesztően hatékony, annak ellenére, hogy bűncselekmény, utána lehet nézni, hogy milyen nevetségesen kis súllyal bünteti a törvény.

És akkor a jelen…

Annak a valós életben való kockázata, hogy egy eltökélt, gátlástalan bűnöző a lehetséges következményekkel egyáltalán nem foglalkozva vagy azokat nem is ismerve szerezze meg más számát ilyen módon, meglehetősen kicsi, de ez csak azért van így, mert tényleg gátlástalan bűnözőből kevés van.

Természetesen nem akarunk tippeket adni, de ha valaki nagyon szeretné megszerezni más új mobilszámát, ezért például valamilyen alibivel, felkészülten rátelefonál egy közös ismerősükre vagy az érintett kollégájára és a social engineeringben jól ismert pszichológiai triggerekre rájátszva elkéri a mobilszámot, akit kérdez, szinte biztos, hogy ki is fogja adni a számot. Viszont ekkor alighanem a Tiltott adatszerzés és az információs rendszer elleni bűncselekmények valamelyike megvalósul. Azt korábban már fejtegettük, hogy miért ne nagyon játsszon senki nyomozósdit, mert ha tényleges jogkövetkezménye nem is lesz, morálisan nyilván elfogadhatatlan, már eleve azért is, mert valakit súlyosan meg kell téveszteni.

Most mi nem stalkerekkel foglalkozunk, hanem a továbbiakban szorítkozzunk a felvezetésben említett témára, olyan módon pontosítva, hogy hogyan szerezhető meg egy mobilszám bármiféle manipuláció nélkül, azaz teljes egészében a passive reconnaissance módszereire támaszkodva. Itt fontos megjegyezni, hogy nyílt forrású információszerzésen keresztül más mobilszámához eljutni vagy épp egy mobilszámon keresztül azonosítani annak használóját, nem sért törvényt, viszont azt felhasználni már nagyon könnyen az lehet.

Némi magyarázó értelmezéssel: attól, hogy van egy mobilszámod, ami nincs kint valamilyen nyilvános, triviálisan kereshető felületen, még nem hívhatod fel például üzleti céllal, egyszerűen mert nem a tulajdonosa adta meg.

A NetAcademia beugró szintű nyílt forrású információszerzés kurzusán be szoktunk mutatni néhány ún. reverse lookup szolgáltatás, azaz olyat, ami a számhoz tartozó nevet adja vissza. Ezek közül mindössze kettőnél, amit ki szoktunk emelni, ha magyar mobilszámra keresünk, durván 10 keresésből 8 esetben ad vissza valid találatot, olyan számokra, amik nem szerepelnek a tudakozóban, sem a weben, sem máshol. Ráadásul ingyenes keresőeszközökről van szó. Könnyen belátható, hogy ha mindössze kettő mögött ennyi adat van, akkor több forrást használva gyakorlatilag az összes mobilszám kereshető (esetleg nehezebben).

Mégis hogyan fordulhat elő ilyesmi olyan személyek esetén is, akik esetleg kimondottan szemérmesek a mobilszámukkal kapcsolatban? El is érkeztünk a lényeghez, hogy miért nem lehet, és nem is érdemes senkinek törnie rajta magát, hogy megtalálhatatlan legyen, de előtte szükségszerű egy rövid magyarázat.

Az USA-ban a telefonos spam már évek óta olyan komoly problémát jelentett, hogy egymással vetélkedtek a különböző szolgáltatók, hogyan járjanak az előfizetők kedvében az ilyen hívások számának leszorításában. Mobilalkalmazásokat adtak ki, amivel a felhasználó beállíthatta, hogy az automatizált hívásokat és a telemarketing megkereséseket szűrje ki az alkalmazás, emellett természetesen ne nagyon fordulhasson elő olyan, hogy egy legitim hívást is megfogjon az alkalmazás.

Mi kell ahhoz, hogy egy ilyen szolgáltatás megfelelő módon működjön, azaz jó spamfilterhez illő módon, ami kéretlen hívás, hatékonyan ismerje fel és szűrje ki, és ne fordulhasson elő falspozitív találat? Sok-sok adat, aminek az adattárházát valahogy költséghatékonyan fel kell építeni. Ez pedig a gyakorlatban mindnél szinte ugyanúgy működik.

Amikor a felhasználó telepít egy hívásszűrő alkalmazást, az alkalmazás ingyenes ugyan, de amikor a felhasználó elkezdi használni azt, az applikáció (jobban vagy kevésbé) felhívja a figyelmet, hogy a pontosság növeléséhez szükség van az alkalmazást telepítő felhasználó nevére és telefonszámára, ezen kívül a mobil telefonkönyvében lévő összes (!!) név és szám kiolvasására. Amit persze az app feltölt a szolgáltatás saját adattárházába. A felhasználó pedig miért ne kattintana, máshogy nem is tudná használni a szolgáltatást.

Aztán a júzer dönthet úgy, hogy fehérlistás megoldást választ és csak olyanok hívásait fogadja, akiknek a száma a telefonkönyvében el van mentve. Esetleg megengedőbb, ez már részletkérdés. Mindenesetre a hívásblokkolónak nyilván tudnia kell, hogy mik a biztosan fehérlistás és feketelistás számok annyi adatból, amennyi rendelkezésére áll. A szolgáltatás saját címtára pedig folyamatosan szinkronizál a telefon címtárával.

Vegyünk észre néhány igencsak fanyar sajátosságot!

Az egyik, hogy ha például én titokban akarom tartani a telefonszámomat, tehetetlen vagyok, mert nyilván vannak közelebbi és távolabbi ismerőseim, ügyfeleim, kollégáim,  akik közül mondjuk, hogy mindössze kettőszázan mentették el a számom. Közülük ha csak egyvalaki telepített valamilyen alkalmazást, ami ilyen hívásszűrő feladatot lát el, a felhasználó többi kontaktja mellett már repült is fel a nevem és a számom az adott szolgáltatás adatbázisába anélkül, hogy tudnék róla. Az átlagfelhasználónak ráadásul a kézileg beírt bejegyzésekből is jóval több, mint kettőszáz van.

Itt pedig jön az, ami a saját mobilszámukra szemérmes felhasználók rémálma: alapértelmezés szerint a Facebook, a sokkal személytelenebb LinkedIN és még sok-sok szolgáltatás felajánlja, hogy kedvesen szinkronizálja az ottani kontaktjainkat a telefonkönyv bejegyzéseivel, amit szinte mindenki meg is tesz. Olyan részletekbe pedig most ne is vesszünk bele, hogy a Facebookról máig akkor is kikerült az exportált adatok közé a hívószám, ha az nincs is láthatóra állítva, de az exportálhatósága nincs letiltva (ami ugyancsak alapértelmezés).

A másik fanyar sajátosság, amire a felhasználó nem gondol, hogy az alkalmazás miért lehet mégis ingyenes? Igen, éppen azért. Mert az általuk megszerzett adatokat bizarr módon pont ők elvben át is adhatják harmadik – például telemarketing tevékenységet végző – félnek. Ami a felhasználót akkor sem érdekelné, ha tudna róla, neki az a lényeg, hogy az alkalmazás működjön és kész. A bejegyzések persze maradnak az adattárházban azt követően is, ha a felhasználó egyébként az alkalmazást törölte.

Eddig világos, de hol szivárog ki az adat?

Az ilyen szolgáltatónak nincs is jobb reklám, mintha közvetlenül bizonyíthatja a hatékonyságát a felhasználó előtt. Aminek nyilván a legkézenfekvőbb módja, ha webes felületen megadva a számot szépen vissza is tudja adni, hogy az addig feltöltött adatai szerint a szám kihez tartozik. Valahogy így:

telefonszam-kereses-1

telefonszam-kereses-2

Külön parádés az egészben, hogy ezek a szolgáltatások a találatok pontosságának növelése érdekében kiolvassák a lekérdezést végző felhasználó Google- és Facebook-címtárát is azok API-jain keresztül (igaz, már rákérdeznek előtte), de miért ne kattintana a felhasználó ismét az engedélyezésre?

A fenti két példában csak keresztnevet adott vissza, egyszerűen mert ezen a néven voltam elmentve egy vagy több ismerősöm telefonkönyvében, aki használ ilyen appot. Természetesen mindegy, hogy valaki fehérlistán vagy tiltólistán van számon tartva, ugyanúgy tárolódik, lekérdezhető. A fenti módszerek pár hete még működtek, de ha az olvasó most rákeres a saját számára vagy a fenti mobilszámra, alighanem nem kap majd találatot.

Egész egyszerűen arról van szó, hogy ezeknek GDPR-compliant-eknek kell lenniük egy-két hete, ami a gyakorlatban annyit jelent, hogy ezek az adatbázisok hirtelen megcsappantak, és világos, hogy valamennyi időnek el kell telnie ahhoz, hogy újra felhízlalják őket maguk a felhasználók. Igaz, ebben az esetben én nem rendelkeztem róla, hogy a nevemhez tartozó szám valahova felkerülhet-e, ezt bármiféle tudtom – na meg a saját tudta nélkül – megtette helyettem egy ismerős, akinek benne vagyok a telefonkönyvében.

De ha még nem is működnének ilyen szolgáltatások, akkor is számos módja van annak, hogy egy számhoz megtaláljuk a hozzá tartozó személyt, legalább egy keresztnév szintjén. Szinte mindenki használ Vibert, Whatsappot, Signalt, Telegramot vagy Facebook Messengert. Ezeknél az egyszerű keresési lehetőségek szempontjából némi eltérés van ugyan, de a lényegen nem változtat: kereshetünk bennük telefonszám, email cím, nicknév vagy név szerint is, GDPR ide vagy oda. A keresési-kényelmi lehetőségek nélkül ezek a szolgáltatások konkrétan használhatatlanok lennének.

Az összes üzenetküldő átfésüli a telefonkönyvünket és ha valamilyen azonosító alapján egy bejegyzéshez tartozik az üzenetküldő rendszerben is létező felhasználó (bármelyik azonosításra alkalmas adat szerint), gyakran már meg is jelenik az adott üzenetküldő címjegyzékében.

Remek kérdés, hogy az összes felhasználó hány ezrelékének, esetleg tízezrelékének jut eszébe, hogy az instant üzenetküldő szolgáltatásokhoz sokszor néhány perc alatt létrehozható VoIP-számot hozzon létre és rendeljen hozzá, amivel nehezebben lesz megtalálható ugyan, csak kicsivel lesz nehezebb helyzetben az, aki tudja, hogy hogyan keressen. Ráadásul az okosmobilok IM-appjainak mindegyikében lehetőség van avatar-kép beállítására is, ami alapértelmezés szerint Facebook-profilkép, de lehet olyan profilkép is, ami még a keresőmotorok képkeresőivel is kereshető.

A GDPR nagyon csúnyán odaszúrt a reverese lookup szolgáltatásoknak, aminek ideig-óráig vesztesei a nyomozó hatóságok, amiknek a munkáját már jóideje hatalmas mértékben segíti a nyílt forrású információszerzés. A GDPR vesztesei a magánynyomozó-irodák és vesztese mindenki, aki OSINT-eszközöket használ. Márpedig például a fent bemutatott két szolgáltató annyira komolyan veszi a GDPR-t, hogy például ezen cikk szerzőjének +12024700790, azaz Egyesült Államok-beli számát sem adja már ki találatként, mert a hívószám amerikai ugyan, viszont a hozzá tartozó személy, konkrétan bardóczi ákos, csupa kisbetűvel, EU-s állampolgár, amit ugye ezeknek a szolgáltatóknak tudnia kellett.

Alighanem azok a szolgáltatók, amik nem kis üzletet építettek a hívószámok osztályozására, megtalálják a módját, hogy megmaradjanak, mint GDPR-megfelelőségnek eleget tevő szolgáltatók. Egyelőre nem tudható, hogy a GDPR mennyire csorbította a különböző OSINT-források használhatóságát.

A telefonszámokhoz tartozó nevek megtalálása egy igencsak szerteágazó téma, gyakran kaptuk azt a kérdést, hogy egy személyhez tartozó mobilszám hogyan szerezhető meg. Ennek ugyancsak számos módja van, viszont ha valaki nem elég felkészültséggel végzi, könnyen megsértheti a törvényt. Bizonyos esetekben passzív felderítési módszerrel nem is lehetséges célt érni. (Most technikai lehetőségeket tárgyalunk, és nem jogászkodunk, mivel ahhoz nem értünk.)

A GDPR más területen is olyan változásokt (károkat?) okozott, amiknek még nem látjuk a méretét. Ha eddig valaki bármilyen okból kíváncsi volt rá, hogy egy domain név kihez tartozik, bármikor végezhetett egy WHOIS-lekérdezést, ami olyan kulcsfontosságú adatokat tartalmazott, hogy kivel lehet felvenni a kapcsolatot, ha a domain alatt valamilyen szolgáltatás elérhetetlen, esetleg a domain neve már-már védjegybitorlás vagy súlyosan megtévesztő. Igaz, mióta létezik WHOIS, azóta létezik WHOIS masking is, azaz amikor a domaintulajdonos kérésének megfelelően a tulajdonos adatai helyett egy erre szakosodott szolgáltató adatait mutatta a WHOIS-rekord, viszont az, hogy valaki WHOIS-masking mögé bújt, itt nem részletezett módon ugyanúgy hasznos információ volt, illetve a WHOIS maskinget ki is lehetett játszani sokszor.

A .eu legfelső szintű domain neveket regisztrációja sokáig csak EU-s állampolgárok és szervezetek számára volt elérhető, ahogy egy időben még a regisztrátornak, azaz a regisztrációt végző cégnek is európainak kellett lennie. Ennek ellenére követhetetlen mennyiségű .eu-s domaint regisztráltak be a világ legkülönbözőbb részeiről, és éppen szabályos EU-s regisztrációból van a legkevesebb.

Korábban példának okáért, ha valaki olyan webhelybe botlott, ami nagyon durván törvénysértő tartalmat hordozott, a domainekhez tartozó WHOIS-adatokat az EUrID-ből lekérdezve el lehetett indulni, hogy kié lehet. Ha pedig maszkolva volt, akkor lehetett jelezni a domaint maszkoló szolgáltatónak, hogy baj van. Az persze nem várta meg, hogy elverjék rajta a port a hatóságok, hanem seperc alatt szerződést bontott a problémás ügyféllel, azaz rögtön látható váltak a kimaszkolt adatok.

Mára az .eu-s domainekkel kapcsolatban az EUrID csak annyit mond, hogy foglalt vagy sem és melyik cég a regisztrátor. Ezen kívül van egy hihetetlenül kretén protokoll arra az esetre, ha baj van. Ezen elvileg végig lehetett menni, ha például egy cégnek a nevéhez fűződő jogát megtévesztő módon sérteti egy domain név, hogy durvábbat ne is mondjunk.

Lehetne írni, hogy az Európai Unió domain-ügyben a Kókusz-szigetek (.cc) vagy éppen Palau (.pw) szintjére züllött le, a helyzet talán még annál is rosszabb. (A .cc és a .pw alá tartozó domainek a nehézkes visszakövethetősége miatt annyira a bűnözés, főként spam- és malware-ek terjesztésének melegágyai voltak, hogy a Google tízmilliószámra takarította ki a .cc és .pw végződésű domainekre mutató találatokat az indexéből.) Sajnos a GDPR a szervezett bűnözésnek kedvez azzal, hogy gyakorlatilag ellehetetlenítette egy-egy .eu alá tartozó domain tulajdonosával kapcsolatos információk korábbi rutinszerű elérését.

A végére hagytunk valamit, amit talán helyesebb lett volna az elején értelmezni. Mégpedig, hogy amikor haladó keresésről vagy OSINT-ről van szó, akkor a keresés alanyai a példáinkban miért éppen személyek, nem pedig helyek, események vagy folyamatok.

Egy didaktikai-nyelvtudományi megközelítésű válasz: miért láthatjuk nyelvtől függetlenül, hogy az összes kezdő nyelvkönyv már a legelején olyan példamondatokat tartalmaz, aminek van egy konkrét alanya, akinek a neve például Móricka, Alejandro, Maximilian, Anastasia és így tovább? De még ha nem is nem nyelvkönyvről, hanem kőkeményen nyelvészettudományi könyvről van szó, ott is megjelenik nagyon hasonló. Alberti Gábor és Medve Anna amolyan középhaladó Generatív grammatikai gyakorlókönyvében 640 oldalon keresztül Péterről és Mariról van szó.

A másik ok végül is ugyancsak didaktikai megközelítésű. A történelmi eseményeket emberek alakították, a politikában, az üzleti világban vagy éppen egy bűnügyben, de a mindennapokban is az egyik alapkérdés, ami nélkül egy-egy tény gyakran értelmezhetetlen, hogy kinek a személyéhez köthető.

Azaz nyugodtan kijelenthető, hogy minden olyan intézkedés, ami a személyhez kötődő adatok hozzáférhetőségét ésszerűtlenül korlátozza, a teljes információszabadságot korlátozza, amiben mi, magyarok, eddig is eléggé erősek voltunk: a NAIH egy nem is olyan régi állásfoglalása szerint a levéltárakba eleve anonimizáltan (!!!!!) kellene eljutniuk a dokumentumoknak, aminek az eszementségét nem kommentálnám, de azért képzeljünk el egy olyan történelemkönyvet, ahol az összes személynév fekete filccel van kihúzva.