Facebook se stal svého času, dle mého zhruba před dvěma lety, novým fenoménem. Dnes jej vnímáme jako součást nejen internetu, ale i komunikace obecně. Dokonce se dostal i na weby věnované výuce – jako např. sem. Z většiny článků (a to nejen zde) mám pocit, že pouze opakují jakési vžité schéma o chatu pro puberťáky a obecné fráze o bezpečnosti. Avšak nějaké konkrétní zkušenosti s Facebookem nebo návrhy na využití ve vzdělávání dle mého chybí. Nechci zde vystupovat jako znalec ani se nad nikoho povyšovat, spíše jen chci, i ve světle zájmu o Facebook a nedostačujících informací o něm, sdělit své zkušenosti.
V tomto článku bych se rád věnoval bezpečnostním rizikům spojeným s užíváním Facebooku. Myslím, že je zbytečné opakovat obecně známá klišé, proto se pokusím vše vysvětlit na konkrétním příkladu, který jsem realizoval před rokem a půl na svém bývalém působišti – gymnáziu se zkratkou GON. Tu zde uvádím jen proto, že se v celém příběhu často vyskytuje. Stejný příklad by byl realizovatelný na jakékoliv jiné škole.
Protože jsem věděl, že téměř všichni studenti GON mají Facebook a pravidelně si přidávají bez rozmyslu další a další přátele, upozorňoval jsem je na nebezpečí spojená s umožněním přístupu k jejich osobním informacím téměř komukoliv. Při výkladu jsem používal již výše zmíněná klišé a žáci odcházeli sice s vědomím, že Facebook může být nebezpečný, ale mysleli si, že oni přece nejsou tak hloupí, aby se nechali napálit.
S tím jsem samozřejmě nebyl spokojený, navíc jsem přemýšlel nad tím, jak jsou mladí přes Facebook opravdu zranitelní. Proto jsem se rozhodl udělat menší „pokus“, při kterém jsem chtěl hlavně zjistit, jak snadno lze pomocí Facebooku získat přístupové údaje.
Obr. 1 Facebooková skupina |
Založil jsem si falešný e-mail a pak i uživatelský profil (Anti Gon). Protože jsem nechtěl být vlezlý (reklamním žargonem agresivní), vybral jsem si náhodně profily 15 studentů školy a požádal je o přátelství. Vytvořil jsem skupinu ANTI GON, do které jsem pozval vybrané studenty. Abych citlivé údaje získal, musel jsem vytvořit www stránky mimo Facebook. Na stránkách jsem slíbil, že registrovaní získají přístup k informacím o učitelích, písemkách apod. Nikomu jsem se nevnucoval, pouze jsem nabídnul přátelství a vyčkával.
Založení falešného e-mailu a profilu mohlo zabrat kolem jedné hodiny, více práce jsem měl s www stránkami. Aby vypadaly věrohodně a také abych neměl moc práce s programováním omezení přístupu a registračním formulářem, využil jsem redakční systém Joomla. Data vložená do formuláře jsem ukládal do MySQL databáze. S www stránkami jsem strávil cca 3 hodiny. Během 4 hodin jsem tedy vytvořil jednoduchý systém, který mi pomohl nejdřív studenty najít, pak nalákat na „odměny“ a nakonec od nich získat jejich přístupové údaje.
Obr. 2 WWW stránky s registračním formulářem |
Po přípravě a oslovení 15 žáků jsem mohl jen čekat – už během 1. dne si mě 10 žáků přidalo za přítele. Bez toho, aby se informovali o tom, kdo vlastně jsem. Také se registroval první uživatel na stránkách.
Po 2 dnech aktivita polevila, proto jsem oslovil dalších 10 studentů. Opět si mě část z nich přidala. Ze všech žáků, kteří si mě přidali jako přítele, se pouze 1 (!) zeptal, kdo jsem. I když jsem se ani nepřiznal ani nevydával za někoho jiného, i tento student si mě přidal. Jediné, co jsem udělal, tedy bylo oslovení celkem 25 žáků. Až na 1 žáka se nikdo nezajímal o to, kdo vlastně jsem. Tato fáze trvala pouhý týden, nechtěl jsem celou záležitost zbytečně protahovat, pro mé hodnocení to stačilo.
Obr. 3 Každý odkaz na stránkách vyžadoval registraci |
Během této fáze jsem na Facebooku „získal“ 40 přátel a zaregistrovalo se mi 22 žáků. Součástí registrace bylo zadání:
Po týdnu jsem žákům při výuce přiznal, že profil je můj, a pak jsem věnoval celou hodinu tomu, co jsem zjistil, a také souvislostem. Přiznání a debata probíhaly průběžně v rámci hodin informatiky, takže ne všichni žáci měli tuto informaci ve stejný čas. Proto jsem byl překvapen tím, že dále probíhala registrace do stránek (celkem je zaregistrováno 45 uživatelů) a že ani za další týden nevěděli všichni žáci, jak to s Antigonem vlastně bylo doopravdy.
Žáci mé přiznání dle mého přijali, navíc na základě konkrétních zjištění byla pro ně diskuze o Facebooku přínosnější. Po celou výuku jsem kladl důraz na praktické údaje, nepůsobil nijak mravokárně a nikdy neshazoval jednání kohokoliv na Facebooku. Také jsem nikdy nikoho konkrétně nejmenoval. Celý pokus mi měl jen pomoci ukázat žákům opravdová nebezpečí, která se týkají právě jich, a ne k jejich sledování.
Jaká jsou tedy nebezpečí spojená s Facebookem? Popíšu ta, která jsem s žáky probíral.
Příklad: Hned 2. den pokusu se jeden z žáků po písemce vyjádřil o učiteli, že je „…“. Jeho výrok samozřejmě vyvolal mnoho „lajků“ a také zajímavou diskuzi.
Komentář: Žáci jsou každý rok informováni o školním řádu i o školském zákoně a všichni by měli vědět, že urážky všech zaměstnanců školy mohou být velmi přísně trestány. Kdybych za dotyčným žákem přišel a řekl mu, ať mi přijde „nabonzovat“ svoje spolužáky, nebo já půjdu „nabonzovat“ jeho, jistě si vybere menší zlo. A pokud mi „nabonzuje“ jednou, můžu jej vydírat ne tím, co by mu řekl ředitel školy, ale tím, jak by se k němu asi chovali spolužáci, na které mi donášel. A z počáteční hlouposti se teď dotyčný žák dostal do mých rukou a záleží jen na mně, co s ním budu dělat. Stejně tak jej může vydírat i spolužák.
Tento problém není tak malicherný, jak se zdá. Podobný trik používají devianti k vyhledávání a získání obětí. Stačí jen malá chyba na začátku a kolotoč vydírání začne nabírat děsivé obrátky. Navíc pro většinu dospívajících je velmi důležitý jejich obraz na sociální síti, potažmo to, jak je vnímají ostatní. Proto se nechají snadno vydírat a proto by měli být ještě více opatrní.
I když si to studenti neuvědomují, tak se sami připravují o soukromí. Osobně jsem rád, že (snad) ještě nikdo ve školství nezačal Facebook zneužívat ke šmírování žáků, i když by to bylo tak jednoduché a efektivní.
Příklad 1: Stejný jako v minulém bodu.
Komentář: Domnívám se, že každý si o svých učitelích myslel své a někdy se svými názory vybraným přátelům i svěřil (alespoň já jsem to dělal). Dle mého je to prostě realita, se kterou by měli pedagogové počítat. Ale tím, že svůj názor prokazatelně zveřejním na volně dostupném místě, riskuji velké problémy.
Příklad 2: Byl jsem kolegy tázán, zdali nevím, jak se žáci chovali na školní akci.
Komentář: Nebylo nic jednoduššího, než se přihlásit a podívat se na profil „přítele“. Tam bylo samozřejmě velké množství fotek i z inkriminované akce. Z nich bylo vidět, že akce byla „vydařená“ a všichni se dobře bavili. Tomu odpovídalo i množství prázdných lahví na stole. Nebylo by nic jednoduššího, než fotku vytisknout a předat. I když jsem asi nepostupoval přesně podle pravidel, toto jsem neudělal. Domnívám se, že i učitelé by se měli chovat jako obyčejní lidé a nedonášet na ostatní. Stejně tak se žáci sami připravují o soukromí tím, že se veřejně přiznávají, že „se hodili marod, …“, opsali písemku, …
To, že někteří uživatelé obecně nedbají na vhodné zabezpečení svého účtu, pak ještě více usnadňuje získávání informací – i v tomto příkladu to tak bylo. Žák, na kterého jsem byl dotázán, měl sice soukromí částečně zabezpečené, ale soukromí neomezil jen na přátele, ale i na přátele přátel. I když si myslím, že kdybych jej jako Antigon nebo i jako učitel požádal o přátelství, přijal by ho.
Asi nejzásadnější, ale nejméně překvapující zjištění, byla naivita žáků. Troufám si však tvrdit, že stejně naivní jsou uživatelé obecně.
Příklad 1: Většina žáků si přidá za přítele kohokoliv, stejně tak se přidají k jakékoliv skupině či se jim líbí jakákoliv stránka. Tím však jejich zájem končí a další vývoj nesledují.
Komentář: I když se celá škola dozvěděla, že Antigon je podvod, téměř nikdo si jej neodebral z přátel ani neopustil stejnou skupinu. Tito uživatelé nepřemýšlí nad důsledky svého jednání, vysvětlení je možná v jejich důvěře v to, že celá akce skončila a já „přátelství“ nezneužiji. Na to se však nemohou spoléhat.
Problematický může být podobný přístup k různým stránkám na Facebooku, uživatelé je většinou „lajkují“ a často se nezajímají o jejich další vývoj. Mohou se tak stát oběťmi podvodu (Kauza Voda pro Haiti nebo Telefon za Paroubka) nebo usnadní práci spammerům. Zajímavé je, že i když se případný podvod mediálně provalí, podvodné stránky opouští jen málo napálených.
Uživatelé jsou tak podvedeni (v lepším případě), v horším případě jsou prodáni – někteří „obchodníci“ vytvářejí a následně prodávají hotové facebookové stránky i s uživateli.
Navíc při špatném nastavení zabezpečení má vlastník stránek přístup k osobním údajům.
Příklad 2: Jaká hesla žáci používají při registraci.
Komentář: Hlavním cílem celé akce bylo zjistit, jak opatrní jsou žáci na internetu. Proto jsem zjišťoval na externích stránkách jejich e-mail a heslo. Původně jsem si chtěl ověřit, kolik z registrovaných zadá při registraci na neznámých stránkách stejné heslo, jaké má do svého e-mailu, ale nakonec jsem to neověřoval, bylo by to hodně neetické. Ale při diskuzi s žáky jsem zjistil, že minimálně 1/3 by do registračního formuláře zadala svůj hlavní (a často jediný) e-mail a heslo, které slouží i k přístupu do jejich e-mailové schránky. Pokud bychom tyto výsledky zobecnili, tak 1/3 uživatelů používá pouze jedno heslo a nezajímají se o možná rizika. Pokud by tedy někdo vytvořil stránky, na kterých nabídne cokoliv zadarmo a bude požadovat registraci, tak zhruba k 1/3 e-mailů, které získá, bude mít přístup.
Obr. 4 Výpis získaný při registraci nového uživatele |
To že je to možné, jasně dokazuje příklad kancléře ministra školství Bátory – člověk, který neumí zacházet s vlastními osobními údaji, je vysoce postaveným státním zaměstnancem.
Příklad 3: Ukládání hesel
Komentář: Při diskuzi jsme došli k tomu, že většina žáků si vůbec neuvědomuje, že heslo zadávané při registraci může provozovatel služby snadno zneužít. Záleží jen na něm, jestli heslo uloží zahashované a při přihlášení porovná uložený hash z databáze s hashem vkládaného hesla, nebo prostě porovná řetězec (nekódovaný) z databáze s řetězce, vloženým při přihlášení. Proto bychom měli být s hesly moc opatrní a určitě nikdy nezadávat takové heslo, které lze propojit s e-mailem. Pokud chceme zjistit, jak je naše heslo na stránkách uloženo, necháme si jej zaslat znovu (odkaz typu „Zapoměli jste heslo?“). Pokud nám přijde staré heslo, není v databázi kódováno, takový provozovatel není důvěryhodný. Správně by nám měl přijít pouze odkaz na změnu hesla, protože provozovatel heslo nezná a ani jej nemůže jakkoliv z kódu rekonstruovat.
Příklad 4: Bezpečnostní otázka k e-mailu a Facebook.
Komentář: S trochou šikovnosti se lze dostat do e-mailové schránky i bez hesla. Stačí jen správně odpovědět na bezpečnostní otázku při vstupu do e-mailu. Velké množství má odpověď na tuto otázku na svém profilu (oblíbený film, herec, …) nebo bezelstně odpoví, pokud budou dotázáni.
Čím více bude Facebook i další sociální sítě pronikat do života lidí, tím více budeme muset být opatrní. Otázkou je, zdali facebookový účet bude univerzálním účtem k různým službám (např. Aktuálně.cz umožní vkládat komentáře jen přes Facebook), a tím větší rizika s ním budou spojena, nebo se po čase objeví nová služba, která Facebook pošle do zapomnění.
S Facebookem je spojeno spousta dalších rizik (zejména sledování uživatelů, ztráta dat, nemožnost získat vlastní data zpět, …), o kterých bychom měli se svými žáky hovořit. Zejména je důležité je upozornit na to, že právě sociální sítě jsou zatím útočníky zřídka využívané, ale je jen otázkou času, kdy se zaměří právě na ně.
I na tomto příkladu je vidět, že za 4 hodiny práce jsem získal přístupové údaje 45 žáků. Sice je to málo, ale to je kvůli tomu, že jsem se omezil jen na malou část populace a také jsem se žákům nijak nepodbízel – vlastně jsem s nimi vůbec nekomunikoval. Z cca 250 žáků školy jde o 18 % (!), z cca 2 miliónů by šlo o 400 000 účtů, pokud by ¼ zadala údaje ke svému e-mailu, získal bych 100 000 přístupů. Stačí jen vymyslet něco, co vzbudí zájem… že by něco zadarmo? Získané údaje jsou základem pro realizaci phishingu – mohl bych je buď prodat, nebo dále zneužít.
Z výše uvedeného je zřejmé, že Facebook může být potenciálně nebezpečný, avšak toto nebezpečí je (ostatně jako v jakémkoliv jiném případě) spojeno s aktivitou jeho uživatelů.
Tímto článkem jsem se snažil poukázat na konkrétní nebezpečí, vyplývající z využívání Facebooku. Tato nebezpečí mi přijdou důležitější než často omílané změny v sociální komunikaci mladých a s tím související trávení volného času či debaty o učitelích na Facebooku. Také jsem se pokusil alespoň trochu Facebook využit k výuce, i když hodně nepřímo.
Na závěr si neodpustím drobné rýpnutí do vlastních řad: i když víme, že Facebook je prostředí našich žáků, tak i po nejméně dvou letech jsme nenašli způsob, jak toho využít pro zkvalitnění výuky. Sám se považuji za učitele, který na to také nepřišel.
Doufám, že sdělení v článku budou brána pouze pro informaci a nikdo se nebude snažit je zneužít. Stejně tak doufám, že nebude spojováno zmiňované gymnázium s celým článkem – jak jsem výše uvedl, myslím, že ke stejnému zjištění bych došel na jakékoliv škole.
Všechny články jsou publikovány pod licencí Creative Commons BY-NC-ND.
Pro vložení komentáře je nutné se nejprve přihlásit.
Článek není zařazen do žádného seriálu.