"Lehetséges az, hogy én kém vagyok?
Minden lehetséges..."

Nagy-Britanniában hetek óta áll a bál, mióta kiderült, hogy a külső hírszerzés (a Secret Intelligence Service - hivatalosan már réges-rég nem MI6) vezetését idén novemberben átvevő diplomata (Sir John  Sawers) felesége Facebook oldalán (száz)milliók számára tette szabadon elérhetővé a család legkülönfélébb adatait, munka- és lakóhelyüktől vidám nyaralások képein át a legfelsőbb körök tagjaihoz fűződő kapcsolataik bemutatásáig. Amellet, hogy aligha emeli tekintélyét, ha az államhatalom gatyára vetkezve mutatkozik alattvalói előtt, az eset egy sokkal aggasztóbb problémára is rávilágít, nevezetesen az internetes közösségi oldalak jelentette (nemzet)biztonsági kockázatokra.

Nemzetbiztonsági szempontból az informatikai rendszerekre a legnagyobb veszélyt a humánerőforrás jelenti: a felhasználó, aki pénzért, vélt vagy valós sérelmei miatt, esetleg ideológiai alapon szenzitív adatokat szerez meg és szolgáltat ki ellenérdekelt hírszerzőknek, (szervezett) bűnözői csoportoknak, egyéb érdekköröknek.

/NBH Évkönyv 2008 (idézet belőle innen) - ha még nem említettük volna: kötelező olvasmány minden biztpol iránt érdeklődőnek/

És akkor a hülyeséget, mint "motivációs tényezőt" még nem is említettük. Ugyanis a közösségi oldalak jelentette kockázatok alatt sem a hagyományos értelemben vett informatikai, technikai jellegű sebezhetőségekre kell elsősorban gondolnunk. E rendszerek leggyengébb láncszeme - ahogy szinte mindig - ezúttal is maga az ember, és ez így is marad mindaddig, amíg egy rendszergazdát piszkosul leitatni könnyebb lesz, mint az általa felügyelt hálózatot feltörni.

De még a britek közt kerekedett botrány nyomán egymásnak esett kormánypárti és ellenzéki politikusok is csupán a jéghegy csúcsát kapirgálják, amikor azon vitatkoznak, hogy a nyilvánosságra került adatok mennyiben növelték Sir John és családja veszélyeztetettségét. Amint arra David Miliband külügyminiszter is kiváló érzékkel rátapintott, egy valamire való ellenség anélkül is tudja, ki a brit hírszerzés feje, hogy azt öles betűkkel kitacepaóznák az internet kellős közepére. Utóbbi inkább csak a relatíve ártalmatlan hülyék számára jelenthet igazán értékes új információt, akik - bár akad belőlük bőséggel - rendszerint viszonylag könnyen kiszúrhatóak.

Jóval komolyabb kockázatot jelentenek a két bevetés közt blogoló, e-mailező, képeket és videókat feltöltő katonák, akik akarva-akaratlanul is fontos információkkal láthatják el az ellenséget, miközben szándékaik szerint csupán családtagjaikat nyugtatják meg, vagy éppen egymás közt dicsekednek a legutóbbi bevetés szaftosabb részleteivel. A kanadai vezérkari főnök egy stratégiai tanácsadója egyenesen úgy fogalmazott: az afganisztáni felkelők felderítő tevékenysége során szerzett információinak akár 80%-a is ilyen forrásokból származhat.

Ami nem meglepő, hiszen a hagyományos "felmegyünk a dombra oszt körülnézünk" típusú eszközök, vagy a helyi lakosság gyakran erősen RUMINT kategóriába eső értesülései mellett nem számíthatnak számos olyan - elsősorban költséges, technikai jellegű - eszközre, mely ellenfeleik rendelkezésére áll. Ilyen helyzetben az internethozzáférés, esetleg még egy Google Earth előfizetéssel is megtámogatva pótolhatatlan - ráadásul aszimmetrikus: gondoljunk csak pl. az afgán és a nyugati társadalmak eltérő internetezési szokásaira - információforrás lehet. Ám ez még mindig csak egy apró szelete az internetes közösségi alkalmazások jelentette biztonsági kockázatok széles skálájának.

Ami talán az eddig említett kockázati tényezőknél is kevésbé nyilvánvaló: hogy az effajta közösségi oldalak rengeteg olyan információval is szolgálnak, melyekről a dörzsöltebb felhasználó sem feltétlenül sejti, hogy látszólagos jelentéktelenségük ellenére valójában a valamivel szofisztikáltabb módszerekkel dolgozó ellenérdekelt szolgálatok (vagy egyéb csoportok) számára a hasznos információk valóságos aranybányái. Ez pedig már korántsem csak távoli földrészeken harcoló csapatokat érint, a legváltozatosabb állami szervek és jelentősebb gazdasági szereplők válhatnak kiszolgáltatottá ellenérdekelt titkosszolgálatok, gátlástalan versenytársak, vagy éppen (szervezett) bűnözői körök előtt pusztán szerencsétlenül megválogatott nyilvános információmorzsák miatt.

E töretlen népszerűségnek örvendő közösségi oldalakon az ember ismerőseihez fűződő kapcsolati hálója felvázolása mellett a legkülönfélébb adatait rögzítheti elérhetőségeitől tanulmányain és munkahelyein keresztül érdeklődési körének legapróbb részleteiig, képekkel és hasonlókkal bőségesen illusztrálva. Mindez ártalmatlan lehetőségnek tűnhet, csakhogy a felhasználók túlnyomó többsége egyáltalán nem képes felmérni sem az adataihoz potenciálisan hozzáférő tömegek nagyságát, sem a látszólag jelentéktelen információk közzétételében rejlő kockázatokat. S míg az átlagos internetező  legfeljebb néhány kínos szituáció, esetleg egy kiadós átverés bekövetkeztét kockáztatja, ugyanez a könnyelműség köztisztviselők, fontosabb állami és gazdasági vezetők  részéről  könnyen nemzetbiztonsági kérdéssé emelheti a problémát.

Közösségi oldalakon tárolt adataik birtokában ugyanis némi kutatómunkával szinte pillanatok alatt feltérképezhető egy-egy állami hivatal, fontosabb vállalat munkatársainak kapcsolati hálója, a vezetők, fontosabb információkhoz hozzáférő munkatársak ismeretségi körei. A bőségesen rendelkezésre álló személyes adatok, információk alapján aztán némi rutinnal egy-egy többé-kevésbé részletes profil is felvázolható a főbb szereplőkről.

Az így szerzett értesülések (természetesen némi terepmunkával kiegészítve) nagyban megkönnyítik a kitűzött cél -  pl. bizalmas információk megszerzése, egy adott szervezet vagy döntéshozó befolyásolása - eléréséhez vezető legmegfelelőbb út kiválasztását. A kapcsolati háló, a személyes információk elemzése alapján megtalálható a "leggyengébb láncszem", aki kellően közel áll a célponthoz - vagy épp ő maga bír ráhatással a döntésekre, fér hozzá a kívánt adatokhoz - mégis könnyen, különösebb feltűnés és kockázat nélkül megkörnyékezhető.

Ha a kiszemelt ráadásul kellően könnyelmű, tálcán kínálhatja a beszervezés lehetőségét, hisz érdeklődési köre, múltja (pl. iskolái), kapcsolatai ismeretében némi rutinnal kitalálható, mivel lehet a legkönnyebben megfogni. Minden második képen kaszinókban vigyorog? Jó eséllyel pénzzavarba kerül (pláne ha rásegítünk). Vörös csillaggal és sarló-kalapáccsal tapétázta ki a szobáját? Talán hajlandó tenni is a "forradalomért". Ha igazán hülye, különféle kínos, terhelő információkat is elhullajt magáról az interneten, aminek birtokában aztán nem nehéz kellő nyomást gyakorolni rá. (Élelmesebb emberek az elvileg titkolni vágyott összefüggések feltárására alkalmas eszközök, pl. különféle arc- és térfelismerő szoftverek, egyéb alkalmazások kifejlesztésén is régóta - mondhatnám gőzerővel, de SchA kollegánál ez biztosan kicsapná a biztosítékot - dolgoznak, melyekkel pl. felfedhető egy felhasználó "hivatalos" és álnéven létrehozott profiljai közti kapcsolat, csak mert volt olyan hülye, hogy a nagyi születésnapján készült fotókat ugyanúgy a cserépkályha előtt lőtte, mint a machetés-símaszkos-terroristás youtube videót.)

Persze a kedves olvasónak nem kell rögtön  pánikba esnie. Egyrészt aki akarta, az effajta információkat eddig is megszerezhette - ha valamivel több munkával is. Másrészt az emberiség 90%-ának adatai spammereket, nigériai levelek kiötlőit, esetleg az antiszociális szomszédot leszámítva a világon senkit nem érdekelnek. De azért ha valamilyen furcsa véletlen folytán fontos állami vagy vállalati pozíciót betöltő, bizalmas információkkal dolgozó személyek is betévednek olvasóink táborába, vessenek most egy pillantást online közösségi profiljukra és gondolják át még egyszer, mi az amit okvetlenül a nagyvilág orrára szeretnének kötni.

 *

Ráadás - Az European Network and Information Security Agency tanulmánya a közösségi oldalak kockázatairól (nem csak biztpol szemszögből): Security Issues and Recommendations for Online Social Networks