Prošli put pisao sam o neugodnom pravnom izrađaju Samsungovih televizora koji su pobudili sumnju da isti, lijepo opremljeni kamerama i mikrofonima, zapravo mogu (ili će u nekom trenutku moći) prisluškivati svoje vlasnike.

U međuvremenu se štogod zanimljivog izdogađalo… ispostavilo se da Samsung nije jedini proizvođač sa figom u džepu, već da popriličan broj pametnih uređaja u svojim licenčnim ugovorima krije slična upozorenja: “pazite što pričate, jer bi to moglo završiti kod nekog od naših partnera”.

Nije, dakle, Samsung oličenje zla, mrska tvrtka koja nas prisluškuje… praktički svaki uređaj koji može snimati korisnika otvoren je za namjerno ili (zasad) slučajno ugrožavanje korisnikove privatnosti. Jednostavno, tehnologija je takva: poput Čehovljeve proverbijalne puške na sceni koja u sljedećem činu mora opaliti, u nekom trenutku posve sigurno dogodit će se puno ozbiljniji skandal vezan uz privatnost korisnika sve pametnijih kućnih uređaja.

Ne mora to uopće biti ciljana, maliciozna akcija proizvođača uređaja ili kakve velike nacionalne špijunske agencije: nažalost, malo detaljnija analiza Samsungovih uređaja otkrila je fenomenalno sfušanu zaštitu podataka: uređaji prilikom slanja snimke korisnikovog glasa ne čine ništa da bi te podatke zaštitili, i dapače čine spektakularnu pogrešku: podaci se šalju preko porta 443, koji se inače koristi za SSL promet, ali se šalju nekriptirani.

Jednostavnim riječnikom rečeno, SSL je standard za slanje kriptiranih, zaštićenih podataka i obični korisnici najčešće ga primjećuju kad pristupaju zaštićenim web stranicama poput elektroničke pošte, telebankinga i sličnih stranica koje koriste HTTPS protokol, pa im pretraživač pokaže onaj mali lokot uz adresu stranice kao indikaciju da je komunikacija zaštićena. Ti se servisi najčešće nalaze na portu 443, što korisnici uglavnom ne primjećuju jer je taj dio priče za njih transparentan.

Poanta priče je da je port 443, kao i svi drugi TCP/IP portovi, tek univerzalna “cijev”: kroz nju može teći pitka voda, otpadna voda, plin ili u njoj može biti vakuum. Što će se nalaziti u cijevi ovisno je o tome što će računalo u tu cijev poslati, a ne o rednom broju cijevi. Drugim riječima, što prolazi kroz portove ovisno je o servisu, portovima je sasvim svejedno.

Netko pametan u Samsungu odlučio je iskoristiti port 443, koji se uobičajeno koristi za kriptiranu komunikaciju sa serverom, ali je pritom zaboravio (jer zbilja mislim da je riječ o teškoj šlampavosti) da nije dovoljno promet usmjeriti u tu “cijev” da bi ga ta cijev nekom magijom kriptirala i zaštitila, već da u “cijev” iz televizora treba pustiti već kriptirane, zaštićene podatke.

Rezultat toga su paketi koji su itekako čitljivi bilo kome tko ih se uspije dočepati. U praksi postoji barem jedan ozbiljan problem s tim: imate li otvorenu WiFi mrežu, svatko na nju spojen moći će “uloviti” pakete koje šalje vaš pametni televizor i veselo proučavati što unutra ima.

Pomislite li kako danas više nitko nema otvorenu mrežu, razočarat ću vas. Ima ih, nažalost, još uvijek. Pa imam tako i jednog poznanika čija je WiFi mreža bila otvorena da ne bi morao gostima namještati pristup, a jedina zaštita bila je neobična ideja da svoju mrežu (tj. SSID) nazove “MUP” – jer tko bi se usudio prčkati po MUP-ovoj wireless mreži?

I ponovo, u toj su priči najmanji problem ljudi, jer njih je moguće educirati. Daleko, daleko veći problem je što nadolazeći “Internet of things” proizvođači ne shvaćaju dovoljno ozbiljno, uključujući i neke koji bi po definiciji morali biti vrlo ozbiljni glede on-line i off-line sigurnosti.

Dolazeći Internet svih stvari, kako te stvari sada stoje, bit će kanta prepuna rupa: proizvođači koji ne mare za sigurnost proizvodit će uređaje koji će biti inherentno nesigurni i bit će ih lako “preuzeti” ili, što je daleko opasnije, bit će ih lako pretvoriti u prislušne uređaje čak i kad mislite da su isključeni.

Dodajmo tome činjenicu da proizvođači “neračunalnog” hardvera ne vole raditi sigurnosne zakrpe za svoje proizvode (pametni telefoni su najbolji tužan primjer koliko želja za profitom može prevagnuti nad brigom za korisnika) i da će mnogi od tih uređaja, nakon što izađu na tržište ostati nepokrpani, sa svim sigurnosnim rupama otkrivenim nakon izlaska uređaja na tržište – i dobivamo neugodnu sliku budućnosti: domovi u kojima su možda i desetine “opamećenih” komada elektronike: rasvjeta, bijela tehnika, grijanje, hlađenje, automatizirano ovo i ono… gomile uređaja koji su svi potencijalno osjetljivi na napad i kojima napadač može uzrokovati barem financijsku ako ne i materijalnu štetu (veseljak koji vam uključi grijanje u sred ljeta ili isključi hladnjak dok ste na godišnjem, ili pak psihopat koji vam uključi strujna kuhala u nadi izazivanja požara).

U biti, u vlastitom domu imat ćete situaciju kakvu ima i iz kakve se tek sad mukotrpno izvlači širine problema sigurnosti sve svjesnija industrija: nezaštićen sustav osjetljiv na napad i zlouporabu. Samsungov nevjerojatan programerski šlamperaj samo ukazuje koliko je pitanje sigurnosti i zaštite korisnikovih podataka nebitno proizvođačima uređaja.

Dok jednog dana nekom ne izgori kuća.

Autor je jedan od vodećih domaćih informatičara i ekspert za slobodni softver, informatički novinar, bivši stručni savjetnik za informatiku u poglavarstvu Grada Zagreba i vlasnik tvrtke Operacijski sustavi. Jedan je od 25 najboljih IT konzultanata u Hrvatskoj, prema izboru korisnika tih usluga. Autor je i SF knjige ‘Umišljena inteligencija’, koju u obliku e-booka možete besplatno skinuti na svoj Android uređaj s Google Play.