keskiviikko 20. kesäkuuta 2012

Varo läppärin web-kameraa!

Olen pitkään varoittanut ihmisiä läppäreihin upotetuista videokameroista. Koneelle murtautunut hakkeri tai haittaohjelma pystyy kytkemään kameran huomaamattomasti päälle ja vakoilemaan kaikkea, mitä koneen lähellä tehdään.

Pienessä kodissa -- kuten opiskelijoilla -- kone on usein seinän vieressä olevan kirjoituspöydän tai työtason päällä, mistä sillä on esteetön näkyvyys koko huoneeseen. Sieltä on isoveljen (tai vähän pienemmän sellaisen) hyvä tarkkailla koko kotia.

Useimmissa läppäreissä kameran vieressä on merkkivalo, joka palaa vihreänä tai punaisena kun kamera on auki, mutta harva kiinnittää siihen huomiota. Ja häpeä niille valmistajille, joiden laitteista valo puuttuu! Silloin koneen käyttäjä ei voi mitenkään tietää, seuraako joku hänen puuhiaan.

Web-kamera on tarkoitettu videopuheluihin, mutta usein niitä todella soitetaan? Ja vaikka puheluille  olisikin satunnaisesti käyttöä, kamera kannattaa pimentää kun sitä ei tarvita. Parasta olisi, jos kameran vieressä olisi sen eteen liu'utettava mekaaninen suojakansi. Tällaisen olen nähnyt vain yhdessä HP:n monitorissa. Muissa yksityisyyttä joudutaan suojaamaan kikkakonstein.

Otin Arjen tietoturva -kirjaa varten kuvan yhdestä tällaisesta merkkivalottomasta läppäristä:

Web-kamerassa ei välttämättä ole käytöstä kertovaa merkkivaloa, mikä on petollista.

Kuvassa näkyy myös ratkaisuehdotukseni: musta teippi tai paremman puutteessa pätkä laastaria:

Ei mikään elegantti ratkaisu, mutta toimii.

Äskettäin paljastunut Yhdysvaltojen ja Israelin Flame-vakoiluohjelma käytti web-kameraa uhriensa vakoiluun. Mutta osataan siitä Suomessakin: tuore uutinen kertoo miehestä, joka vakoili haittaohjelmalla nuoria naisia.

Tapauksia on ollut aiemminkin. Viime keväänä Habbo-hotellin virtuaalihuijari tarkkaili uhrejaan web-kameralla (katso myös aiheeseen liittyvä aiempi uutinen). Ja Yhdysvalloissa oli jokin aika sitten tapaus, jossa Mac-huollossa työskennellyt nuori mies asensi naisasiakkaiden koneisiin vakoiluohjelman. Hän paljastui, koska oli lähettänyt koneisiin virheilmoituksen, joka neuvoi viemään koneen suihkuun linssin puhdistamiseksi. Niin käyttäjäystävällinen ei edes Macintosh-kone ole!

Web-kamera on osoitus siitä, miten uutta tekniikkaa tuodaan kuluttajille hyvässä tarkoituksessa, mutta väärinkäytön riskit unohtaen.

Ellet todella käytä kameraa -- pimennä se. 
Jk: kuten moni on jo huomauttanutkin, vastaava riski on mikrofonissa. Niin onkin, joskin salakuuntelu on vähemmän kiinnostavaa kuin salakatselu. Todellinen ongelma on siinä, ettei tarpeetonta mikrofonia ole helppo mykistää. Ohjauspaneelista voi napsauttaa mute, mutta haittaohjelma voi vastaavasti kytkeä sen takaisin päälle. Onko jollain hyviä ideoita mikrofonin takuuvarmaksi hiljentämiseksi?

16 kommenttia:

Anonyymi kirjoitti...

Itse olen vielä varmuuden vuoksi konfiguroinut Windowsin palomuurin blockaamaan kaikki ulospäin menevät yhteydet, ellei käyttäjä tapauskohtaisesti toisin määrittele. Binisoftin "Windows Firewall Control" (http://www.binisoft.org/) on näppärä väline tämän hallitsemiseen, tosin cripplewarea ja täysversio maksaa 8 euroa.

Eli jos malware pääsee varotoimista huolimatta mellastamaan koneelle, niin onpahan pienempi todennäköisyys sille, että se pystyy lähettämään webcam-kuvaa, keyloggerin tallenteita tai varastettuja tiedostoja tekijälleen.

Anonyymi kirjoitti...

Tuo kameran valo varmaan auttaa, jos ihmiset tietäisivät mitä se merkitsee, mutta niinkuin niin usein tietotekniikassa, ovat insinöörit piilottaneet merkityksen tarpeettomasti tavallisten tavisten ulottamattomuuksiin. Ehkä ajattelemattomuuttaan.

Yksi asia joka minua rassaa jatkuvasti tietotekniikassa on ettei asioita sanota suoraan, vaan niiden merkitys piilotetaan. Tehdään siis yksinkertaisistakin asioista tarpeettomasti monimutkaisia ja vaikeita.

Mitä tämä siis tarkoittaisi tässä tapauksessa? No pelkän merkkivalon sijasta voisi siinä kameran vieressä olla vilkkuva ja valaistu teksti "Kamera päällä". Tämähän olisi teoriassa yhtä edullista valmistaa kuin se merkkivalokin. Miksi tietokoneissa ja laitteissa ei ilmaista asiaa lainkaan sanallisesti, vaan tarpeettomilla lyhennyksillä ja kaikenmaailman käsittämättömillä ikoneilla, joiden tarkoitusta voi vain arvata.

Olemme ikäänkuin tietokoneiden myötä palanneet alkeellisiin hieroglyfeihin, jossa jokaista sanaa edusti oma merkkinsä, sen sijaan kuin että aakkosilla voidaan ilmaista hyvin pienellä merkkimäärällä kaikki puhekielen sanat.

Insinööri kun olen, niin ikävä kyllä tiedän että me insinöörit olemme monesti putkinäköisiä: ratkaisemme annetun ongelman, mutta ratkaisu ei välttämättä (siis useimmiten) ole kaikkein parhain, vaan sellainen joka täyttää speksit.

Vilkkuva valo myös kiinnittäisi huomion eri tavalla kuin pelkkä valo.

Itseäni myös ärsyttää omassa läppärissäni, että lepotilassa läppärissä on päällä kirkas valkoinen valo, joka vilkkuu. Miksi?! Näkyy pimeässä huoneessa komeasti. Sama vika on näytössäni, jostakin syystä valmistajan mielestä lepotilaa pitää ilmoittaa kirkkaalla vilkkuvalla sinisellä valolla. Koko työpöytä vilkkuu kuin jokin h***tin joulukuusi pimeässä huoneessa! Eikö vähempikin riittäsi?

Anonyymi kirjoitti...

Entäs läppärin mikrofoni? Ei ole välttämättä yhtään sen mukavampaa, jos läppäri salakuuntelee kotona. Pitäisikö tähänkin olla jokin (vilkku)valo...?

Osmo kirjoitti...

Koneita tuskin tehdään Suomea varten omilla teksteillään. Jos taas se teksti on ohjelmallisesti hoidettu, voi se haittaohjelma estää sen. Lisäksi tuollainen tekstinäyttö lisäisi hintaa liikaa.

Mikrofonin voi blokata panemalla tyhjän liittimen mikrofonireikään. Parasta olisi, jos näille olisi oma mekaaninen kytkimensä.

Anonyymi kirjoitti...

"Koneita tuskin tehdään Suomea varten omilla teksteillään. Jos taas se teksti on ohjelmallisesti hoidettu, voi se haittaohjelma estää sen. Lisäksi tuollainen tekstinäyttö lisäisi hintaa liikaa."

Englaninninkielinenkin selitys olisi parempi kuin pelkkä led valo päällä tai pois.

Tässäkin voisi olla vain valon päälle liimattu muovikalvo jota tämä ledi valaisee. Kalvolle voidaan laittaa lukemaan mitä halutaan, millä kielellä halutaan.

Vastauksesi on tyypillisen insinöörimäinen, et halua lainkaan ratkaista käytännön ongelmaa, vaan keksit tekosyitä siitä miksi nykyisin tehty ratkaisu on mukamas täydellinen ja koskematon.

Pelkkä valo ilmaisemassa kameran päällä oloa on mielestäsi riittävä ratkaisu putkinäköisille aivoillesi. Et ajattele lainkaan, että se yksi led valo on käyttäjien kannalta yksi lukemattomien joukosta.

Et edes halua edes ratkaista tätä jollakin järkevämmällä tavalla. Käyttää mielikuvitustasi, jossa esimerkiksi se sama led-valo valaisee läpi edessä olevaa muovia johon on tavalla tai toisella painettu selkeämpi selite mitä tämä led-valo tarkoittaa (tämä on 100% varmasti jotenkin valmistusteknisesti ratkaistavissa oleva asia).

Sen sijaan kaltaisesi ihmiset menevät sieltä mistä aita on matalin, sen sijaan että palvelisitte tuotteen loppukäyttäjää.

Osmo kirjoitti...

Asioista voidaan keskustella ilman tuollaisia solvauksia.

Anonyymi kirjoitti...

"Ellet todella käytä kameraa -- pimennä se."

Voiko "ellet todella käytä" -argumenttia käyttää kaikkeen? Jos et juuri nyt käytä arkaluontoisia tiedostoja, poista ne koneelta… Ellet nyt käytä nettiä, kytke kone pois verkosta…

Anonyymi kirjoitti...

Huh, melkoinen mäkkihuolto! Yleensä moinen haittaohjelma pitää todella asentaa koneelle, ihan tyhjästä sellainen ei ilmesty, järjestelmästä riippumatta.

Kertovatko lähteesi, mikä ohjelma on ollut kyseessä ja voiko esim. virusskanneri paljastaa moisen olemassaolon? Luulisi kameran käytön aloittamisen olevan sen verran merkittävä asia järjestelmälle, että sitä kysytään käyttäjältä erikseen.

Hannu Tanskanen kirjoitti...

Soitan viikottain pitkähkön Skype-videopuhelun Italiaan läppärilläni. Viime aikoina kuvayhteys on käyttäytynyt kummasti, se toimii noin joka kolmas viikko, muulloin kuvayhteyttä ei tule (kameran valo palaa ja nuoli pyörii kuin yhteyttä etsien) ja teksti kertoo, että joku toinen ohjelma käyttää kameraani (hakkeri?),vaikka mitään muuta ohjelmaa ei ole auki.

Viis minä siitä sinänsä,jos joku katselelee vanhaa naamaani,pian tuohon kyllästynee,mutta kun en saa videopuhelua toimimaan,se keljuttaa. Voinko mitenkään tarkistaa,onko koneellani kameraa käyttävä hakkeriohjelma? (tuskin).

Anonyymi kirjoitti...

Olen diplomi-insinööri Nokialla. Mikä on käyttäjä?

Hannu Tanskanen kirjoitti...

???

Anonyymi kirjoitti...

Tuntuu tää nörttikin siirtyneen netin ulottumattomiin?

Anonyymi kirjoitti...

Ainakin joissakin Asusin miniläppäreissä (itselläni 1215B) on läppä kameran edessä.

Petteri Järvinen kirjoitti...

"Like on the 1215N, the webcam sliding cover is located above the webcam to ensure privacy."

-- Tässä esimerkki muillekin valmistajille! Toivottavasti mykistää myös mikrofonin, siitä ei spekseissä mainittu mitään.

Anonyymi kirjoitti...

kameran linssin voi hyvin peittää myös palalla sähkömiehen teippiä tai maaalarin teipppiä.

Anonyymi kirjoitti...

Voiko siis normaalin virustentorjuntaohjelman avulla saada tietää, onko joku hakkeroinut läppärini kameran? Läppärissäni ei ole mitään valoa, mikä ilmoittaisi kameran päällä olosta.

Website Security Test