keskiviikko 20. kesäkuuta 2012

Varo läppärin web-kameraa!

Olen pitkään varoittanut ihmisiä läppäreihin upotetuista videokameroista. Koneelle murtautunut hakkeri tai haittaohjelma pystyy kytkemään kameran huomaamattomasti päälle ja vakoilemaan kaikkea, mitä koneen lähellä tehdään.

Pienessä kodissa -- kuten opiskelijoilla -- kone on usein seinän vieressä olevan kirjoituspöydän tai työtason päällä, mistä sillä on esteetön näkyvyys koko huoneeseen. Sieltä on isoveljen (tai vähän pienemmän sellaisen) hyvä tarkkailla koko kotia.

Useimmissa läppäreissä kameran vieressä on merkkivalo, joka palaa vihreänä tai punaisena kun kamera on auki, mutta harva kiinnittää siihen huomiota. Ja häpeä niille valmistajille, joiden laitteista valo puuttuu! Silloin koneen käyttäjä ei voi mitenkään tietää, seuraako joku hänen puuhiaan.

Web-kamera on tarkoitettu videopuheluihin, mutta usein niitä todella soitetaan? Ja vaikka puheluille  olisikin satunnaisesti käyttöä, kamera kannattaa pimentää kun sitä ei tarvita. Parasta olisi, jos kameran vieressä olisi sen eteen liu'utettava mekaaninen suojakansi. Tällaisen olen nähnyt vain yhdessä HP:n monitorissa. Muissa yksityisyyttä joudutaan suojaamaan kikkakonstein.

Otin Arjen tietoturva -kirjaa varten kuvan yhdestä tällaisesta merkkivalottomasta läppäristä:

Web-kamerassa ei välttämättä ole käytöstä kertovaa merkkivaloa, mikä on petollista.

Kuvassa näkyy myös ratkaisuehdotukseni: musta teippi tai paremman puutteessa pätkä laastaria:

Ei mikään elegantti ratkaisu, mutta toimii.

Äskettäin paljastunut Yhdysvaltojen ja Israelin Flame-vakoiluohjelma käytti web-kameraa uhriensa vakoiluun. Mutta osataan siitä Suomessakin: tuore uutinen kertoo miehestä, joka vakoili haittaohjelmalla nuoria naisia.

Tapauksia on ollut aiemminkin. Viime keväänä Habbo-hotellin virtuaalihuijari tarkkaili uhrejaan web-kameralla (katso myös aiheeseen liittyvä aiempi uutinen). Ja Yhdysvalloissa oli jokin aika sitten tapaus, jossa Mac-huollossa työskennellyt nuori mies asensi naisasiakkaiden koneisiin vakoiluohjelman. Hän paljastui, koska oli lähettänyt koneisiin virheilmoituksen, joka neuvoi viemään koneen suihkuun linssin puhdistamiseksi. Niin käyttäjäystävällinen ei edes Macintosh-kone ole!

Web-kamera on osoitus siitä, miten uutta tekniikkaa tuodaan kuluttajille hyvässä tarkoituksessa, mutta väärinkäytön riskit unohtaen.

Ellet todella käytä kameraa -- pimennä se. 
Jk: kuten moni on jo huomauttanutkin, vastaava riski on mikrofonissa. Niin onkin, joskin salakuuntelu on vähemmän kiinnostavaa kuin salakatselu. Todellinen ongelma on siinä, ettei tarpeetonta mikrofonia ole helppo mykistää. Ohjauspaneelista voi napsauttaa mute, mutta haittaohjelma voi vastaavasti kytkeä sen takaisin päälle. Onko jollain hyviä ideoita mikrofonin takuuvarmaksi hiljentämiseksi?

18 kommenttia:

Anonyymi kirjoitti...

Itse olen vielä varmuuden vuoksi konfiguroinut Windowsin palomuurin blockaamaan kaikki ulospäin menevät yhteydet, ellei käyttäjä tapauskohtaisesti toisin määrittele. Binisoftin "Windows Firewall Control" (http://www.binisoft.org/) on näppärä väline tämän hallitsemiseen, tosin cripplewarea ja täysversio maksaa 8 euroa.

Eli jos malware pääsee varotoimista huolimatta mellastamaan koneelle, niin onpahan pienempi todennäköisyys sille, että se pystyy lähettämään webcam-kuvaa, keyloggerin tallenteita tai varastettuja tiedostoja tekijälleen.

Anonyymi kirjoitti...

Tuo kameran valo varmaan auttaa, jos ihmiset tietäisivät mitä se merkitsee, mutta niinkuin niin usein tietotekniikassa, ovat insinöörit piilottaneet merkityksen tarpeettomasti tavallisten tavisten ulottamattomuuksiin. Ehkä ajattelemattomuuttaan.

Yksi asia joka minua rassaa jatkuvasti tietotekniikassa on ettei asioita sanota suoraan, vaan niiden merkitys piilotetaan. Tehdään siis yksinkertaisistakin asioista tarpeettomasti monimutkaisia ja vaikeita.

Mitä tämä siis tarkoittaisi tässä tapauksessa? No pelkän merkkivalon sijasta voisi siinä kameran vieressä olla vilkkuva ja valaistu teksti "Kamera päällä". Tämähän olisi teoriassa yhtä edullista valmistaa kuin se merkkivalokin. Miksi tietokoneissa ja laitteissa ei ilmaista asiaa lainkaan sanallisesti, vaan tarpeettomilla lyhennyksillä ja kaikenmaailman käsittämättömillä ikoneilla, joiden tarkoitusta voi vain arvata.

Olemme ikäänkuin tietokoneiden myötä palanneet alkeellisiin hieroglyfeihin, jossa jokaista sanaa edusti oma merkkinsä, sen sijaan kuin että aakkosilla voidaan ilmaista hyvin pienellä merkkimäärällä kaikki puhekielen sanat.

Insinööri kun olen, niin ikävä kyllä tiedän että me insinöörit olemme monesti putkinäköisiä: ratkaisemme annetun ongelman, mutta ratkaisu ei välttämättä (siis useimmiten) ole kaikkein parhain, vaan sellainen joka täyttää speksit.

Vilkkuva valo myös kiinnittäisi huomion eri tavalla kuin pelkkä valo.

Itseäni myös ärsyttää omassa läppärissäni, että lepotilassa läppärissä on päällä kirkas valkoinen valo, joka vilkkuu. Miksi?! Näkyy pimeässä huoneessa komeasti. Sama vika on näytössäni, jostakin syystä valmistajan mielestä lepotilaa pitää ilmoittaa kirkkaalla vilkkuvalla sinisellä valolla. Koko työpöytä vilkkuu kuin jokin h***tin joulukuusi pimeässä huoneessa! Eikö vähempikin riittäsi?

Anonyymi kirjoitti...

Entäs läppärin mikrofoni? Ei ole välttämättä yhtään sen mukavampaa, jos läppäri salakuuntelee kotona. Pitäisikö tähänkin olla jokin (vilkku)valo...?

Osmo kirjoitti...

Koneita tuskin tehdään Suomea varten omilla teksteillään. Jos taas se teksti on ohjelmallisesti hoidettu, voi se haittaohjelma estää sen. Lisäksi tuollainen tekstinäyttö lisäisi hintaa liikaa.

Mikrofonin voi blokata panemalla tyhjän liittimen mikrofonireikään. Parasta olisi, jos näille olisi oma mekaaninen kytkimensä.

Anonyymi kirjoitti...

"Koneita tuskin tehdään Suomea varten omilla teksteillään. Jos taas se teksti on ohjelmallisesti hoidettu, voi se haittaohjelma estää sen. Lisäksi tuollainen tekstinäyttö lisäisi hintaa liikaa."

Englaninninkielinenkin selitys olisi parempi kuin pelkkä led valo päällä tai pois.

Tässäkin voisi olla vain valon päälle liimattu muovikalvo jota tämä ledi valaisee. Kalvolle voidaan laittaa lukemaan mitä halutaan, millä kielellä halutaan.

Vastauksesi on tyypillisen insinöörimäinen, et halua lainkaan ratkaista käytännön ongelmaa, vaan keksit tekosyitä siitä miksi nykyisin tehty ratkaisu on mukamas täydellinen ja koskematon.

Pelkkä valo ilmaisemassa kameran päällä oloa on mielestäsi riittävä ratkaisu putkinäköisille aivoillesi. Et ajattele lainkaan, että se yksi led valo on käyttäjien kannalta yksi lukemattomien joukosta.

Et edes halua edes ratkaista tätä jollakin järkevämmällä tavalla. Käyttää mielikuvitustasi, jossa esimerkiksi se sama led-valo valaisee läpi edessä olevaa muovia johon on tavalla tai toisella painettu selkeämpi selite mitä tämä led-valo tarkoittaa (tämä on 100% varmasti jotenkin valmistusteknisesti ratkaistavissa oleva asia).

Sen sijaan kaltaisesi ihmiset menevät sieltä mistä aita on matalin, sen sijaan että palvelisitte tuotteen loppukäyttäjää.

Osmo kirjoitti...

Asioista voidaan keskustella ilman tuollaisia solvauksia.

Anonyymi kirjoitti...

"Ellet todella käytä kameraa -- pimennä se."

Voiko "ellet todella käytä" -argumenttia käyttää kaikkeen? Jos et juuri nyt käytä arkaluontoisia tiedostoja, poista ne koneelta… Ellet nyt käytä nettiä, kytke kone pois verkosta…

Anonyymi kirjoitti...

Huh, melkoinen mäkkihuolto! Yleensä moinen haittaohjelma pitää todella asentaa koneelle, ihan tyhjästä sellainen ei ilmesty, järjestelmästä riippumatta.

Kertovatko lähteesi, mikä ohjelma on ollut kyseessä ja voiko esim. virusskanneri paljastaa moisen olemassaolon? Luulisi kameran käytön aloittamisen olevan sen verran merkittävä asia järjestelmälle, että sitä kysytään käyttäjältä erikseen.

Hannu Tanskanen kirjoitti...

Soitan viikottain pitkähkön Skype-videopuhelun Italiaan läppärilläni. Viime aikoina kuvayhteys on käyttäytynyt kummasti, se toimii noin joka kolmas viikko, muulloin kuvayhteyttä ei tule (kameran valo palaa ja nuoli pyörii kuin yhteyttä etsien) ja teksti kertoo, että joku toinen ohjelma käyttää kameraani (hakkeri?),vaikka mitään muuta ohjelmaa ei ole auki.

Viis minä siitä sinänsä,jos joku katselelee vanhaa naamaani,pian tuohon kyllästynee,mutta kun en saa videopuhelua toimimaan,se keljuttaa. Voinko mitenkään tarkistaa,onko koneellani kameraa käyttävä hakkeriohjelma? (tuskin).

Anonyymi kirjoitti...

Olen diplomi-insinööri Nokialla. Mikä on käyttäjä?

Hannu Tanskanen kirjoitti...

???

Anonyymi kirjoitti...

Tuntuu tää nörttikin siirtyneen netin ulottumattomiin?

Anonyymi kirjoitti...

Ainakin joissakin Asusin miniläppäreissä (itselläni 1215B) on läppä kameran edessä.

Petteri Järvinen kirjoitti...

"Like on the 1215N, the webcam sliding cover is located above the webcam to ensure privacy."

-- Tässä esimerkki muillekin valmistajille! Toivottavasti mykistää myös mikrofonin, siitä ei spekseissä mainittu mitään.

Anonyymi kirjoitti...

kameran linssin voi hyvin peittää myös palalla sähkömiehen teippiä tai maaalarin teipppiä.

Anonyymi kirjoitti...

Voiko siis normaalin virustentorjuntaohjelman avulla saada tietää, onko joku hakkeroinut läppärini kameran? Läppärissäni ei ole mitään valoa, mikä ilmoittaisi kameran päällä olosta.

Anonyymi kirjoitti...

Näistä asioista olisi pitänyt puhua ja varoitella jo vuosikausia sitten mutta ei täällä takapajulassa ja silloin näitä asioita tapahtuu. Kameran päälle voi laittaa laastarin mutta tunkeutuva saattaa silti tunkeutua. Estää toimimasta, estää tulostinta, laittaa kameraa päälle ja salakuunnella, estää laturia toimimasta ja hajoittaa koko koneen, tunkeutua näyttöön ja viedä sormenjälkiä, kuvien ottamista ja laittamista joihinkin kostopornosivustoille, sama asia koskee kännykkään tunkeutumista ja salakuuntelua. Pitäisi myös uskoa jos on tapahtunut että on tunkeuduttu tai salakuvattu. Vastaamojutussakaan ei uskottu että on tapahtunut vaan viety johonkin psykiatriselle osastolle joka on jo ihan väärin ja aiheuttaa vielä enemmän taakkaa. Se on muutenkin kuin luvan kanssa tehtäisiin. Sitten jos on salakuvattu ja laitettu johonkin niin syytetään kohdetta ja väitetään jo mielisairaaksi. Sitten on myös kuvien ottamiset ja valeprofiilit eikä välttämättä nimeäkään tiedä. Ja tätäkin tehdään vielä alaikäisille.

Anonyymi kirjoitti...

Kisu16 ii2 on ahdistelijan tekemä feikkiprofiili ja kuvamuunnellut alaikäisen kuvaa ja ottanut kuvan missä kuvaaminen kielletty ja jotain kostaa ja uhkailee ja ahdistelija laittanut oman valkoisen kissansa eikä tiedä edes mikä kohde on nimeltään ja jotkut narskut väittäneet poliittisissa fobioissaan Venäjältä tulleeksi kun eivät edes tunne eikä nimeä tiedä ja kannattaisi sellasta välittävän mennä itse geenitestiin ja muuhunkin testiin eihän tuossa minkäänlaista järkeä! Sellaista väittävät vielä tehneet jotain Porvoossa kun josta väitetään ei koskaan siellä käynyt. Puheluihin tunkeuduttu ja väitetty valheita ja tehty Voice kloonauksia ja podcastjuttuja ja tunkeuduttu koneelle ja laitettu kamera päälle ja väitetty ihan eri nimeäkin ja eri henkilöitä ja väitetään olevan oman itsensä sisko ja oman itsensä tyttären tytär kun on oma nimi jolla syntynyt jossa ei yhtään a eikä ä kirjainta ja sitten väitetään että ei muka kuule tai että olisi muka jossain paikassa joka on kunnianloukkaus! Eikä mitään kysytä henkilöltä itseltänsä kun kerran jotkut kakarat niin väittävät!