KORMÁNYABLAK, ÜGYFÉLKAPU - A ZÁRT AJTÓK MÖGÖTT... (nem hivatalos e-kormányzati témájú oldal)
BEMUTATKOZÁS
E-KÖZIGAZGATÁS
IT BIZTONSÁG
		Mottó: Férfiúról szólj nékem, Múzsa, ki sokfele bolygott... /Homérosz: Odüsszeia/ 2011. június 1.       Tudom, hol jártál tavaly nyáron         A GPS (Global Positioning System) rendszer adatait sokféleképpen fel lehet használni. A GPS e-közigazgatási vetülete kapcsán a GIS (Geographic Information System) rövidítés által takart térinformatikai megoldásokról (különböző térkép-adatbázisokról, kábel-nyomvonalakról, telekrajzokról) szoktak szót ejteni, érdemes tehát megvizsgálni, hogy milyen IT-biztonsági kérdések merülhetnek ezeknél fel. Manapság már sokak zsebében ott lapul egy GPS-vevő, érdemes olvasgatni, hogy mikre kell figyelni, ha fejlesztőként kezd el valaki foglalkozni a témával, milyen érdekes történeteket lehet hallani a médiában. Emlékszik valaki a BlackHat (Las Vegas) 2007 konferencia egyik leglátványosabb előadására? Andrea Barisani és Daniele Bianco bemutatták, hogy lehet egy házi barkácsolású rádiófrekvenciás jeladóval a TMC (Traffic Message Channel) csatornába üzeneteket beküldve megbolondítani a környező autókban működő navigációs rendszereket. Ilyen helyzetekben az áldozatok autóiban valószínűleg folyamatosan ismétli Andrea vagy Moha bá, hogy "Újratervezés" van, a fedélzeti GPS-kijelzőn pedig az alábbiakhoz (pl. bikaviadal, tüntetés, repülőgép-szerencsétlenség) hasonló képeket lehet látni: A kérdés: mikor és mennyire bízhat meg a GPS-végberendezés a számára küldött adatokban? Az utazás szerelmesei valószínűleg már belebotlottak a Panoramio szolgáltatásba, amelynek lényege, hogy olyan képeket lehet feltölteni az adatbázisába, amelyeknek a fejlécében (EXIF - Exchangeable Image File Format) szerepelnek a GPS-adatok, így azokat a Panoramio el tudja helyezni a Google Maps térképen (mások számára is kereshető, látható módon). Az okostelefonokkal készített fényképek többsége már megfelel ezen követelményeknek, így ezeket feltöltve akár virtuálisan be is lehet barangolni egy adott területet az online térképen. A képek metaadatait utólag is lehet módosítani. Ehhez elég egy egyszerűbb EXIF-szerkesztő alkalmazás, amellyel máris csodálatos helyekre utaztathatjuk asztráltestünket. Az igaz ugyan, hogy a Panoramio moderátorai a képeket először alaposan megvizsgálják, és csak utána teszik elérhetővé az éles Google Maps adatbázis számára, de vélhetőleg nem 0% hibával dolgoznak az emberi erőforrások, úgyhogy próbálkozni lehet... A kérdés: mikor és mennyire bízhat meg a Panoramio a számára küldött adatokban? Nemrég kapta fel a hírt a média, hogy az iPhone-ok és az Android-os okostelefonok a háttérben szépen gyűjtögetik az adatokat és aztán ezeket feltöltik a központba. Azt, hogy mik gyűltek össze az okostelefonon, házilag is lehet ellenőrizni. A következő képek egy Android v2.2.1 rendszert futtató Samsung Galaxy Mini mobilhoz kapcsolódóan készültek. Először is root jogosultságot kell szerezni a készüléken, amihez z4root helyett érdemesebb a SuperOneClick alkalmazást használni. Ha ez megvan, akkor az egyszerűbb könyvtár-böngészés érdekében jó ötlet lehet beüzemelni egy SSH daemon-t a mobilon (pl. SSHDroid). Innentől kezdve akár laptopról, az otthoni Wi-Fi hálózaton keresztül is be lehet lépni SSH-n a mobiltelefonra pl. WinSCP segítségével. Az Android esetében a /data/data/com.google.android.location/files könyvtárban kell keresni a két érdekes állományt. A "cache.cell" a GPS koordináták mellett az adótornyok azonosítóit, a "cache.wifi" pedig a Wi-Fi access point-ok, router-ek MAC címeit tárolja. Az adatokat egy egyszerű script segítségével lehet elemezni, kinyerni, kiíratni a képernyőre, állományba. A script paramétereként megadható, hogy az adatokat GPX (GPS eXchange Format) struktúraként is kimentse-e. A GPX állományok XML struktúráját több alkalmazás is fel tudja dolgozni. Az egyik ilyen az OpenStreetMap, amelyre fel lehet tölteni az adathalmazt, ami aztán kirajzolja a térképre, hogy merre járt a mobiltelefon, illetve annak tulajdonosa. A "cache.cell" és "cache.wifi" állományok tartalma szerkeszthető, a rendszer számára akár módosított adatok is továbbküldhetők. A kérdés: mikor és mennyire bízhat meg a központ a számára küldött adatokban? A felsorolt eseteknél lehet látni, hogy egészen addig, amíg csak vicces kiegészítésként használják fel a GPS-t, addig működhet a rendszer, azonban amint értékké válik az információ, fizetős szolgáltatás épül a GPS-re, máris sokan elgondolkodnak az "alternatív" kihasználási lehetőségeken. Ebben azonban nincs semmi újdonság, általánosságban el lehet mondani, hogy amikor valamilyen adat nagy értéket jelentő információvá válik, akkor az előbb-utóbb a figyelem középpontjába kerül. A kérdés, hogy még ekkor is megbízhatónak számít-e a rendszer, lehet-e hitelesnek tekinteni a benne tárolt adatokat... Ahol számít a forrástól származó adatok hitelessége, ott többnyire kriptográfiával oldják meg a védelmet. Elég csak arra gondolni, hogy a webshop oldalakba integrált netbanki rendszerek is a banktól kapott ("házi" készítésű) kulcsokat használják a paraméterlista (pl. GET-es, paraméterezett URL) digitális aláírására. Ha használnának a fenti rendszereknél is kriptográfiát, akkor nem lehetne hamis TMC adatokat megjeleníteni, könnyebben ki lehetne szűrni a hamis adatokat szolgáltató felhasználókat a Panoramio rendszeréből, illetve az Android-os állományokban is nehezebben lehetne túrkálni, ha legalább rejtjelezve lennének... Kapcsolódó anyagok: EXIF tag: GPS (exif_GPS_editor.zip) sample image (At_the_shores_of_Atlantis_beyond_the_Pillars_of_Hercules.jpg) SuperOneClick (SuperOneClick_v1_5_5.zip) cell IDs, GPS (cache.cell) Wi-Fi MAC addresses, GPS (cache.wifi) cell IDs, GPX (cache.cell.gpx.xml) Wi-Fi MAC addresses, GPX (cache.wifi.gpx.xml) cache.cell/cache.wifi parser script (parse.py)   vissza
			info@kormanyablak.org info@ugyfelkapu.info