Varastetun koneen jäljitys - prey project. Onko turvallista?

[RistoR]

Ubuntulle sovellusvalikoimasta voi ladata ohjelman "prey", jolla voi jäljitää kadonneen läppärin, puhelimen etc. jos sitä käytetään verkossa. Onko tällainen turvallista vai voiko ohjelmantarjoaja käyttää sitä väärin ja "vakoilla" koneeni käyttöä - salasanoja tms.

Kokeilin preytä. Latasin sen läppäriini sovellusvalikoimasta, mutten saanut siihen näkymää ja päivitin sen preyn sivulta
http://preyproject.com/
päivityksen, jolloin sain myös graafisen ikkunan.
Kirjauduin nettipalveluun ja ohjelma kirjasi koneeni nimen omalle käyttäjätunnukselleni. Ohjlema luki koneen täydellisen nimen, MAC-osoitteet, verkon, muistin määrän, näytönohjaimen, prosessorin ja lähes "kaikki".

Toisella koneella kirjauduin palveluun ja merkitsin tuon läppärin kadonneeksi. Jonkin ajan kuluttua palvelin alkoi lähettämään sähköposriin ilmoituksia, että koneeni on havaittu verkossa. Kirjautumissivulle tuli aina hetken väliajoin raportti, missä kone on - sijaintikartta - sekä läppärin kameralla otettu kuva sekä ruutukaappaus. Nämä voi valita halutessaan päälle tai pois kirjautumissivulla. Ohjelmasta saa myös maksullisen pro-verion, jossa on enemmän mahdollisuuksia.

Aika tehokasta, mutta mutta ... Löysin pari vanhaa keskustelusivua, joissa joku kehui turvalliseksi ja että ohjleman koodin voi tarkistaa ettei se tee mitään muuta kuin luvataan, mutta muutama silti kertoi ohjelman sisältävän sellaista koodia jota ei voi tarkistaa.

[qwertyy]

...voiko ohjelmantarjoaja käyttää sitä väärin ja "vakoilla" koneeni käyttöä - salasanoja tms.

Ihan 100% varmuudella voi käyttää väärin.

Aika tehokasta, mutta mutta ... Löysin pari vanhaa keskustelusivua, joissa joku kehui turvalliseksi ja että ohjleman koodin voi tarkistaa ettei se tee mitään muuta kuin luvataan, mutta muutama silti kertoi ohjelman sisältävän sellaista koodia jota ei voi tarkistaa.

Jep, mielestäni hiukan valheellisesti hehkutetaan sivuilla olevan open source ohjelma, mutta wikipedia kertoo hallinta-apletin ja serveripäädyn softan olevan suljettua kooodia. Toisin sanottuna kone tekee mitä serveri käskee. Jos koodi tosiaan on suljettua, niin eipä siinä auta kuin uskoa palveluntarjoajaa.

Itse olen todella skeptinen näiden suhteen. Tosin pakko myöntää, että olen kyllä Androidiini hommannut F-securen maksullisen version, jolla voi etänä pyyhkiä/lukita laitteeni. Luotan kuitenkin enemmän heihin kuin Kiinalaisten lainsäädännön helmoihin juoksevan softanluojaan

Tuo Pollakin vastaus suljettuunkoodiin on minusta aika puolivillainen ja oikeastaan hiukan huolestuttava jos vedotaan siihen, että pystyvät tarjoamaan hädin tuskin tukea PC:lle. Silti palvelu löytyy androidille, mäkille ja iosille. Tulee vain siis mieleen, että kuinka hyvällä tolalla sitten lienee se serverinpäädyn tietoturva, mistä käyttäjät ei sitten tiedä käytännössä mitään?

Lähteet:
http://en.wikipedia.org/wiki/Prey_%28software%29
http://preyprojectissues.tumblr.com/post/8383625163/email-from-tomas-pollak-of-prey-project-admits-using

Nämä on varsin kaksipiippuisia asioita. Veikkaisin että yli 50% täälläkin käyttäjistä tietäisi mitä kannattaisi tehdä jos olisi haluja varastaa laitteita ja osaisi todella helposti väistää nämä ansat, oli kyseessä sitten kännykkä tai tietokone. Itse ainakin tietäisin, enkä todellakaan pidä itseäni minään hirmuisen taitavana tietotekniikkahenkilönä. Toisaalta varkaitten älykkyys nyt monesti on sieltä melko heikosta päästä.. Päädyin kuitenkin varsin arvokkaan älypuhelimeni suojaamaan, koska sen pystyisi epäilemättä monesti pihistämään, niin etten välttämättä huomaisi hetkeen mitään ja henk.kohtaista tietoa näillä liikkuu niin paljon, että haluan mieluusti pitää option etänä pyyhkiä laite tyhjäksi. Pitäisin myös pienempänä harmina sitä, että joku palvelin päässä tahallisesti sen tekisi.

Mitä tulee esim. läppäreihin, niin no tuskin henk.kohtaisesti koskaan tulen roudaamaan jatkuvasti mukana mitään arvokasta kannettavaa ja esim. reissuihin valitsisin jonkin vanhemmista "sotaratsuista". Päästään siihen, että jos raudan hinta ei ole ratkaisevan suuri, niin kääntyisin aivan ehdottomasti esim. TrueCryptin tms. käyttäjäksi. Sinne ne tärkeät tiedot jemmaan, mitä ei muiden tarvitse päästä lukeen.

[RistoR]

Kiitos hyvästä pohdiskelusta. Ohjelma lukee kyllä koneen sen verran hulppeasti että syytä skeptisyyteen on. Poistin ohjelman koneestani. Onko kuinka suuri vaara, että ohjelma olsi jättänyt koneelleni jotain aukkoja, joilla pääsisi tietoja urkkimaan. Millä komennoilla voisin varmistua että kaikki ladatut osat on poistettu?

[qwertyy]

En nyt ihan varma ole, mutta veikkaisin että komennon

Koodia: [Valitse]

sudo netstat -anltp | grep "LISTEN"Tulosteena ei saa näkyä mitään kyseiseen palveluun viittaavaa. En tiedä kovinkaan paljoa aiheesta, eli viisaammat varmaan osaa kertoa lisää.

Olettaisin myös, että komento

Koodia: [Valitse]

sudo netstat -lnp --tcp --udpVarmaankin näyttäisi program name kohdassa jotain palveluun viittaavaa.

Jonkun palvelun tietokoneella kuitenkin on pakko olla aktiivisena odottelemassa komentoa jos sen etänä pystyy pyyhkimään tai ottamaan kuvakaappauksia jne. Huom. en siis ole nyt ihan varma kuitenkaan näkyykö ne noilla yllä olevilla komennoilla. Käsittääkseni pitäisi näkyä.

[RistoR]

Tuossa noiden komentojen vastaukset. Olisiko mitään kummallista?

xxxxxxxxxxxxx-PC:~$ sudo netstat -anltp | grep "LISTEN"
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      1603/dnsmasq   
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      622/cupsd       
tcp        0      0 127.0.0.1:2947          0.0.0.0:*               LISTEN      1019/gpsd       
tcp6       0      0 ::1:2947                :::*                    LISTEN      1019/gpsd       

xxxxxxxxxxxxx-PC:~$ sudo netstat -lnp --tcp --udp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      1603/dnsmasq   
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      622/cupsd       
tcp        0      0 127.0.0.1:2947          0.0.0.0:*               LISTEN      1019/gpsd       
tcp6       0      0 ::1:2947                :::*                    LISTEN      1019/gpsd       
udp        0      0 0.0.0.0:35112           0.0.0.0:*                           606/avahi-daemon: r
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           606/avahi-daemon: r
udp        0      0 127.0.0.1:53            0.0.0.0:*                           1603/dnsmasq   
udp        0      0 0.0.0.0:68              0.0.0.0:*                           1518/dhclient   
udp6       0      0 :::5353                 :::*                                606/avahi-daemon: r
udp6       0      0 :::42971                :::*                                606/avahi-daemon: r

[matsukan]

tämä:

https://en.wikipedia.org/wiki/Gpsd

mutta miksi sitä en tiedä, voihan sinun koneessasi jostain muusta syystä tämä daemon käytössä.

[qwertyy]

Tuo gps palvelu vaikuttaa hiukan oudolta. Kokeilin latailla omalle koneelle nethogs nimisen ohjelman, joka toimii päätteessä. Se näyttää omalla koneellani, kuten oletinkin vähäisiä määriä liikennettä firefoxille, thunderbirdille ja dropboxille.

Tuota voi helposti kokeilla. Asentuu

Koodia: [Valitse]

sudo apt-get install nethogsja joutuu käynnistämään päätteestä näemmä sudo-oikeuksin ja määrittelemään käytettävän yhteyden, jos se ei ole verkkokaapeliyhteys eth0. Esim. omalla koneellani

Koodia: [Valitse]

sudo nethogs wlan0Jolla pääsee näkeen liikenteen langattomalle verkkokortille.

Varmasti paljon fiksumpiakin tapoja tutkailla liikennettä, mutta äkkiseltään tuon löysin ja mielenkiinnosta kokeilin. Tuo ei kyllä ole ns. dataloggaava ohjelma ja näyttää vain sen hetkisen liikenteen. Ei kokonaismääriä.

Toki tuo palvelu voi kuulua asiaan jos konetta on käytetty gps-käytössä muutenkin?

[matsukan]

jos linux installaatiolla ei ole mitään kriittistä säilytettävää niin parasta ja turvallista on jyrätä uusiksi koko asennus. Näin tulisi tehdä aina kun turvallisuus on 'vaarantanut' ja näin tehtiin linux kernel.org tapauksessa.

[RistoR]

Käytän konetta langalltomassa verkossa ika usein Mokian Lumia900 wlan-jaolla. Ja ennen tuota puhelinta käytin aina välillä vanhalla puhelimella usb-johdolla puhelinta modeemina.

[RistoR]

Tällaista näkyy NetHogsilla. Liikennettä oli pikaisella katsauksella noissa muissa paitsi root-käyttäjää, kun selaili verkkoa tms.  Pitäisikö NetHogsilla seurata kauemminkin ja osat tunnistaa jos on jotain  epämäääräistä?

[qwertyy]

Tuo geoip-provider taitaa olla kytköksissä juuri tuohon gpsd palveluun. Jos tuo on näyttänyt liikennettä, niin oletettavasti koneesi yrittää lähetellä jonkinlaista sijaintitietoa jonnekin nettiin.

Tuo on siis käsittääkseni tämä rajapinta tuo geoip
http://www.freedesktop.org/wiki/Software/GeoClue

Tämän perusteella
http://askubuntu.com/questions/142581/is-ubuntu-geoip-geoclue-used-for-tracking

Itse en pidä Ubuntun Unitystä sitten yhtään, eli en itse käytä Ubuntua, mutta Xubuntussa tuota kyseistä palvelua ei ainakaan ole oletuksena päällä. Tosin Ubuntussa on kait nykyään jotain markkinointitauhkaa kait ainakin Amazonin kanssa, eli voi kait tuo perustua johonkin markkinointi/sijaintijuttuun. Joku Ubuntua käyttävä varmasti osaa kyllä vahvistaa nopeasti onko tuo ihan normaaliin asennukseen kuuluva palvelu.

Tuolla ask ubuntun sivulla on joku maininnut, että tuota ei voisi käyttää paikannukseen, mutta olen kyllä itse ihan eri käsityksessä. Minusta tuo on tehty juuri sen mahdollistamiseksi??

[Timo Virtanen]

Gpsd löytyy mm synapticista. Tarkista onko se asennettuna ja poista jos et tarvitse. Ohessa lainaus Synapticin sovelluskuvauksesta:

Gpsd-taustaprosessi voi tarkkailla yhtä tai useampaa isäntäkoneeseen
yhdistettyä GPS-laitetta tehden sensorien paikka- ja liiketiedot
saataville TCP-portin 2947 välityksellä.

Gpsd:n avulla useat GPS-asiakasohjelmat voivat jakaa laitteen käytön ilman
kilpailua tai tietojen menettämistä. Gpsd vastaa kyselyihin muodossa joka
on huomattavasti helpompaa jäsentää kuin eri laitteiden tuottamat
standardit.

terveisin Timo

[matsukan]

wireshark ohjelma on GUI versio tuosta hethogs:sta. Tuottaa varmasti lokia kuin nethogs mutta on sitten ammattilaisten työkalu.

Miksi et vedä sileäksi asennusta?

[RistoR]

"Normaaliin" nettikäyttäjän tapaan en nyt kovinkaan huolissani ole ollut tästä asiasta, mutta - kun se voi olla tietysti tyhmyyttäkin - niin asensin koneeseen ubuntun kokonaan uudelleen. Tulipahan hieman siivottua turhia juttuja poiskin, eikä noita erillisiä ohjelmia ole niin paljoa ettei niitä voisi asentaa viimeistään sitten kun niitä tarvitsee ja useimpiin ohjeet löytyy täältä (yle-dll ja elisa-viihteen tallennusselain).

Kiitos noista neuvoista - tulipa pohdittua nettiturvallisuutta taas uudesta näkökulmasta!