Bezpečnost | Sociální sítě | Hacking

Chcete chránit svá data? Nedávejte na sociální sítě fotografie letenek

Chcete chránit svá data? Nedávejte na sociální sítě fotografie letenek

S postupem let se z toho stal kolorit cestování letadlem. Před nástupem do stroje mnozí uživatelé sociálních sítí zveřejní fotografii palubní vstupenky zároveň s popiskem, který oznamuje, kam a na jak dlouho dotyčný letí. Podle německé bezpečnostní společnosti SR Labs však tento krok není příliš moudrý. Z údajů dostupných na letence se totiž dají vyčíst mnohá osobní data cestujících.

Obecným problémem letecké dopravy jsou neaktualizované a zastaralé systémy, především ty rezervační. To platí také pro takzvaný Globální distribuční systém (GDS), který se zabývá koordinací rezervací a letenek mezi jednotlivými aerolinkami. Jeho původ se totiž datuje až do šedesátých let, a to včetně jeho pravděpodobně nejznámější funkce, takzvaného záznamu jména pasažéra (PNR – passenger name record).

Toto číslo sestává z šesti znaků a je přiřazené ke jménu jednotlivých pasažérů tak, aby usnadnilo práci v rezervačních systémech. Jejich slabinami ze zabývala dvojice inženýrů Karsten Nohl a Nemanja Nikodijevic, právě ze společnosti SR Labs. Svůj výzkum představili na hackerském kongresu v Hamburku, ačkoliv jak sami přiznávají, k získání dat nebylo potřeba příliš „hackování“.

Problémem je podle nich samotná podstata kódu PNR. Ten se k přístupu k autorizačním údajům používá pouze v kombinaci s příjmením pasažéra. Pokud k oběma těmto údajům má přístup třetí strana, může dojít k jejich zneužití. Mnohé aerolinky sice hesla PNR vkládají do čárových kódů, nicméně při současném rozmachu chytrých telefonů je jejich rozluštění otázkou několika vteřin. „PNR by mělo být zabezpečeným heslem, bohužel ho nikdo v tajnosti nedrží. A nepomáhá tomu ani jejich přepis do čárových kódů,“ uvádí Karsten Nohl.

Podle výzkumu však nejde pouze o to, že mnozí uživatelé sami heslo zveřejní na internetu. Pokud víte, jak se pasažér jmenuje a jakou společností letí, jste zase o krok blíže k získání jeho údajů. Společnosti spravující rezervační systémy totiž při vytváření kódů postupují systematicky, každá používá rozdílný princip jejich tvorby. Zároveň se od sebe neliší začátky kódů utvořené v určitý den, šance uhodnout PNR se tak značně zmenšují.

Nepomáhají tomu ale ani samotné aerolinky. Jejich rezervační systémy totiž podle studie mnohdy dovolují hackerským programům hádat tisíce hesel za minutu bez toho, aby se systém tomuto narušení nějak bránil. To se také potvrdilo expertům společnosti SR Labs. Za několik chvil, během kterých vyprodukovali tisíce náhodných PNR kódů, systém pětkrát kladně reagoval a shodoval se s příjmením Smith, jedním z nejpoužívanějších na světě.

Se získanými údaji se pak dá dělat mnohé. Hacker dokáže přebookovat let, operovat s nalétanými mílemi nebo pouze získat citlivá data, která použije při dalším útoku, například pomocí e-mailu.

Sami autoři studie však doufají, že se situace brzy změní. Pokud nedojde k nějakému závažnému hackerskému útoku, který by donutil aerolinky změnit rezervační systémy, postará se o nápravu samotný trh. Jak totiž dokazuje příklad se jménem Smith, kapacita kódů PNR se se vzrůstající leteckou dopravou pohybuje na hranici své použitelnosti.

Článek původně vyšel na E15.cz. Úvodní obrázek: Hirotomo, Flickr, CC BY-SA 2.0.

Diskuze (20) Další článek: Nejčtenější články roku 2016 a čísla ze zákulisí

Témata článku: Bezpečnost, Sociální sítě, Hacking, Heslo, Únik dat, Mnohý výzkum, Obecný problém, Získané údaje, Určitý den, Fotografie, SoC, Náhodný znak, Podstata, Rezervační systém, Fotograf, Slabina, Smith, Bezpečnostní společnost, Úvodní obrázek, Pasažéři, Passenger, Karsten Nohl, Let, Palubní systém, Hamburk


Určitě si přečtěte

Co zabírá nejvíce místa na disku? Těchto 10 nástrojů odhalí největší žrouty dat

Co zabírá nejvíce místa na disku? Těchto 10 nástrojů odhalí největší žrouty dat

** Je vhodné jednou za čas zanalyzovat, co vám leží na disku ** Poradíme vám nástroje, kterými zjistíte, jaká data uchováváte ** Podle výsledků můžete optimalizovat svá data či úložiště

Karel Kilián | 49

10 novinek Androidu 10, které vás budou bavit

10 novinek Androidu 10, které vás budou bavit

Jan Láska, Vladislav Kluska | 26

Windows 10 podle našich čtenářů: Poslali jste nám skoro 300 nápadů, jak je vylepšit

Windows 10 podle našich čtenářů: Poslali jste nám skoro 300 nápadů, jak je vylepšit

** Microsoft aktualizuje Windows 10 dvakrát ročně ** Jenže praktických novinek už není tolik jako dříve ** Poslali jste nám skoro 300 tipů, co by se měly Desítky ještě naučit

Jakub Čížek | 138

Je ta fotka černobílá, nebo barevná? Náš mozek realitu pouze odhaduje a vymýšlí si

Je ta fotka černobílá, nebo barevná? Náš mozek realitu pouze odhaduje a vymýšlí si

** Klasický počítač bezchybně zpracuje bit po bitu dat ** Mozek si realitu naopak spíše představuje a chybuje ** Teď se tím baví internet u další optické iluze

Jakub Čížek | 33



Aktuální číslo časopisu Computer

Speciál o přechodu na DVB-T2

Velký test herních myší

Super fotky i z levného mobilu

Jak snadno upravit PDF