Jak walczyć o prywatność w sieci: nie daj się szpiegować

Jak walczyć o prywatność w sieci: nie daj się szpiegować

Michał Mynarczyk, menadżer IT, po godzinach dziennikarz technologiczny. Walczy o pokój między informatykami a internautami

W sieci śledzą cię nie tylko służby specjalne, ale i tysiące firm prywatnych. Cała masa smutnych gości wie, ile zarabiasz, kiedy urodzi ci się dziecko i jakie masz poglądy polityczne. Są skuteczniejsi niż Stasi, na szczęście nie jest tak, że nie możesz się bronić. Pamiętaj, że Dawid wygrał z Goliatem.

Służby specjalne USA, we współpracy ze swoimi odpowiednikami z innych krajów, podsłuchują, kogo popadnie. Nie tylko Angelę Merkel czy premiera Izraela, ale i zwykłych użytkowników internetu grających w "World of Warcraft" albo korzystających z Facebooka. Dzięki technologii nie muszą się ograniczać.

Bazując na dokumentach wyniesionych przez Edwarda Snowdena, "Washington Post" oszacował, że 90 proc. podsłuchiwanych to obywatele, którzy nie są o nic podejrzani. Dane zbiera się "na wszelki wypadek".

PERMANENTNE MOŻLIWOŚCI

PRL-owskie służby specjalne musiały się napocić, żeby poznać siatkę kontaktów interesujących osób. Dzisiaj wystarczy zajrzeć na Facebooka. Obywatela tam nie ma? Podejrzane! Tym bardziej warto mu się przyjrzeć, przekopując przepastne archiwa jego poczty elektronicznej (której już nie kasuje, bo ta przecież może wisieć latami i gigabajtami na serwerze).

Podobnie łatwo jest z ustaleniem, gdzie obiekt najczęściej przebywa. Nie trzeba stawiać wywiadowców na każdym rogu. Wystarczy zapukać do operatora komórkowego. Lub producenta systemu operacyjnego smartfonu.

Śledzą i podsłuchują nie tylko panowie ze służb specjalnych. Heca z Googlem i sposobami wykorzystania jego wszechwiedzy (do pozycjonowania preferowanych stron oraz wybierania reklam) stała się globalną sprawą polityczną i zagraża przyjaźni europejsko-amerykańskiej. Podobnie jak multifunkcyjny gigant postępują zwykłe sklepy internetowe. Jeśli twoja córka spodziewa się dziecka, istnieje ryzyko, że marketingowiec z supermarketu będzie wiedział to przed tobą. Sieć Target przyznała, że dzięki analizie historii zakupów setek tysięcy przyszłych matek jest w stanie określić ze sporą dokładnością datę narodzin potomka klientki. Ten fakt wprawił w przerażenie nie tylko obrońców prywatności, ale i niczego się nie spodziewającego ojca pewnej licealistki z Minnesoty, który ni stąd, ni zowąd zaczął dostawać kupony zniżkowe na ubrania dla niemowląt.

"Nasi" nie są gorsi od Amerykanów. Polska firma marketingowa chwali się, że dysponuje 8 mln profili internautów, utworzonymi na podstawie analizy odwiedzanych przez nich stron. Nie znają wprawdzie imienia i nazwiska, lecz poza tym wiedzą wszystko o twoich zainteresowaniach i poglądach.

Wystarczy połączyć te informacje z danymi finansowymi posiadanymi przez bank, by uzyskać inwigilację doskonałą. Wiceprezes Aliora z dumą oświadczył mediom, że instytucja dysponuje największą w Polsce bazą danych klientów i będzie ją uzupełniać o informacje pobrane z facebookowych profili tychże. MBank też wie o tobie wiele z Fejsika, jeśli korzystasz z mOkazji.

BIG DATA, WIELKI KŁOPOT

Każdy, kto brał udział w negocjacjach, rozumie, co oznacza asymetria informacji. Możliwe, że negocjując swoją przyszłą pensję, usiądziesz przy stole z człowiekiem, który SMS-em premium wykupił kompletny raport na temat twojej sytuacji finansowej, opracowany nie przez bank (ten obowiązuje wszak tajemnica), lecz przez anonimową spółkę z Antyli Holenderskich - na podstawie historii twych zakupów i wyszukiwań.

Służby tłumaczą taki wywiad bezpieczeństwem, a biznes tłumaczy się tzw. optymalizacją. Dzięki śledzeniu i analizie dużych zbiorów danych (ang. big data) cywilizacja ma wygrać z terroryzmem i oszczędzać na zakupach.

Nawet jeśli jest w tym trochę prawdy, problem leży w etyce instytucji mających dostęp do informacji. Koledzy Snowdena pokazywali sobie pikantne zdjęcia obserwowanych osób. Agenci federalni śledzili w sieci swoje obecne, byłe i potencjalne dziewczyny. Microsoft przyłapano na zaglądaniu do e-maili (nie chodzi o automatyczną analizę w celu dobrania reklam, tylko o stare, dobre, ręczne przeglądanie listów). Itp.

Ludzie są tylko ludźmi. Zebranie dużej ilości cennych danych w jednym miejscu tworzy pokusę nie do odparcia. Również dla hakerów - stąd wycieki, które wstrząsają internetowym światkiem. Korzystając z dziur w zabezpieczeniach i lekkomyślnego podejścia użytkowników do kwestii bezpieczeństwa, przestępcy dostają się do informacji umieszczonych w chmurze. Ich łupem padły np. prywatne zdjęcia celebrytek, zapisane w będącej przedłużeniem iPhone’a usłudze iCloud.

W WALCE Z GOLIATEM...

NSA i inne amerykańskie agencje płaciły - zresztą pewnie ciągle tak robią - prywatnym firmom miliardy dolarów za dostęp do danych ich użytkowników. Przeglądały pliki przesyłane w sieci usług Google’a. Instalowały pluskwy w fabrycznie nowych urządzeniach sieciowych podczas transportu towaru z magazynu sklepu internetowego do klienta. W swej zachłanności tworzyły nawet fałszywe serwery Facebooka, bez wiedzy władz serwisu.

A ten też święty nie jest, żyje wszak ze świetnie sprofilowanych reklam. Profilowanie jest zaś możliwe dzięki danym, którymi go karmisz. I nie licz na to, że cokolwiek zmieni jednostronne oświadczenie opublikowane na "ścianie" serwisu, z którym zawarłeś wszak umowę, akceptując regulamin. Do komercyjnego wykorzystania umieszczonych tam wrzut i danych nie jest wymagana każdorazowa pisemna zgoda użytkownika. Co więcej, dzięki przyciskom, rozrzuconym po całym internecie (przyjrzyj się swoim ulubionym stronom) serwis doskonale wie, czym się interesujesz, nawet wtedy, gdy nie jesteś zalogowany. Aby Facebook zebrał informacje o tobie, wcale nie musisz być jego użytkownikiem!

...DAWID NIE JEST BEZ SZANS

Z biznesem i rządami grasz na ich zasadach. Im bardziej będziesz próbował się ukryć, tym mocniej będą się tobą interesować. Możesz jednak zasłaniać części intymne. Listkiem figowym jest np. aplikacja blokująca szpiegowskie guziki Facebooka.

Zdecydowanie więcej da się zrobić w kwestii ochrony danych przed hakerami lub kolegą z pracy, który zazdrości ci awansu. Tutaj często wystarczy wysilić się tylko trochę ponad przeciętną. Prosty przykład: mimo kolejnych afer z wyciekami danych zadziwiająco dużo osób nadal używa jako hasła daty swoich urodzin albo imienia żony. Bądź mądrzejszy.
Stosując się do porad z naszego poradnika, nie zapobiegniesz zbieraniu informacji na swój temat. Lecz podwyższysz koszty szpiegowania. A wysokie koszty to coś, czego nikt nie lubi!

1. WSZYSTKO, CO UMIEŚCISZ NA FACEBOOKU, MOŻE BYĆ UŻYTE PRZECIWKO TOBIE

Serwisy społecznościowe na każdym kroku zapewniają, że bardzo poważnie traktują prywatność. W ich interesie leży jednak, byś publikował jak najwięcej - dzięki temu zyskują atrakcyjną treść, która pozwala sprzedać więcej reklam. Polityki i ustawienia prywatności wirują jak kolory w kalejdoskopie. Licz się z tym, że nie nadążysz za kolejnymi zmianami i że to, co dotąd udostępniałeś tylko znajomym, stanie się nagle widoczne dla całego świata. I nie myśl, że opublikowanie na fejsbukowej ścianie oświadczenia-łańcuszka ("W odpowiedzi na nową politykę FB informuję, że wszystkie moje dane personalne, ilustracje, rysunki...") cokolwiek zmieni. To nie jest w żaden sposób wiążące dla Facebooka, liczy się regulamin, który zaakceptowałeś, tworząc konto. Dlatego nie umieszczaj w serwisach społecznościowych niczego, czego nie chciałbyś zobaczyć pod swoim nazwiskiem na pierwszej stronie wyszukiwania Google’a!

2. BĄDŹ KLIENTEM, A NIE TOWAREM

Nie ma darmowych obiadów. Jeśli ktoś daje ci bezpłatne konto e-mail albo kilka gigabajtów przestrzeni na pliki, zarabia na tym w inny sposób. Obecnie dominują dwa modele. Jedni żyją z przeglądania twoich danych (również e-maili czy prywatnych wiadomości) i wyświetlania sprofilowanych na tej podstawie reklam. Drudzy dają usługę na zachętę i liczą, że zapłacisz za coś innego.

Mistrzami w pierwszej kategorii są Facebook i Google. Dla nich jesteś raczej towarem niż klientem - w końcu nie ty płacisz za usługi, tylko reklamodawcy (jeśli nie wierzysz, spróbuj znaleźć numer telefonu do działu wsparcia którejś z tych firm). W drugiej występują m.in. Apple (iCloud to bezpłatny dodatek do niezbyt taniego sprzętu) i Dropbox (tutaj płacisz ekstra za dodatkową przestrzeń ponad gratisowy standard). Są też usługi w pełni płatne. Co do zasady, większego bezpieczeństwa możesz oczekiwać po tych, za które uiszczasz abonament. Ale tak naprawdę nie masz żadnej gwarancji.

3. STWÓRZ SWOJĄ WŁASNĄ CHMURĘ

Żeby mieć dostęp do swoich plików z każdego miejsca na świecie, nie musisz korzystać z usług w chmurze. Możesz postawić w domu serwer plików, co tylko brzmi strasznie, bo sprowadza się obecnie do zakupu odpowiedniego dysku sieciowego (NAS) i podpięcia go do internetu. Resztę załatwiają aplikacje zainstalowane na smartfonie i komputerze. W ten sposób uzyskasz pewność, że żaden marketingowiec nie grzebie w twoich danych.

4. WYBIERAJ DOSTAWCÓW USŁUG Z EUROPY

Regulacje dotyczące ochrony danych osobowych są znacznie bardziej rygorystyczne w Europie niż w USA czy niektórych krajach azjatyckich. Dlatego mając do wyboru dwie podobne usługi, warto wybrać tę dostarczaną przez firmę z Unii i utrzymywaną na europejskich serwerach. Jest też inny aspekt praktyczny. Znacznie łatwiej dochodzić odszkodowania za naruszenie mające miejsce na terenie Europy, niż występować z pozwem przed sądem w Kalifornii. Amerykańskie firmy na unijnym rynku korzystają z furtki - wystarczy, że zadeklarują zgodność z lokalnymi przepisami dotyczącymi ochrony danych osobowych. Nikt tego nie sprawdza.

5. NIE POZWALAJ APLIKACJOM NA WSZYSTKO

Aplikacjom, których używasz w smartfonie, możesz ograniczać uprawnienia. Nie musisz pozwalać każdej na dostęp do książki adresowej, FB czy lokalizacji. Instalując, warto przyjrzeć się dokładnie temu, o co apka prosi. Latarka nie powinna wiedzieć, gdzie się znajdujesz, a klient serwisu społecznościowego - kogo masz w kontaktach na karcie SIM. Oczywiście, część programów odmówi współpracy na twoich zasadach. Nikt nie powiedział, że będzie łatwo i przyjemnie.

6. ZAINSTALUJ ANTYSZPIEGA

O twojej wizycie na stronie WWW wie nie tylko jej właściciel, ale i cała masa firm-szpiegów, śledzących ruch w internecie. Do pewnego stopnia możesz pozbyć się tego podsłuchu, instalując odpowiednią wtyczkę do przeglądarki. Dwie najpopularniejsze to DoNotTrackMe i Ghostery. To stosunkowo bezbolesna metoda. Z twoich ulubionych witryn znikną tylko przyciski Facebooka i Google+. Dodatkowy plus - strony będą ładować się trochę szybciej.

7. JEDŹ PO TORZE - OSTROŻNIE

Twój operator internetowy wie, jakie strony odwiedzasz niezależnie od tego, czy używasz trybu prywatnego w przeglądarce i czy zainstalowałeś antyszpiegowskie wtyczki. Jeśli masz bardzo dobry powód, by to ukrywać, skorzystaj z sieci Tor. W założeniu ma ona zapewniać całkowitą anonimowość poprzez wielokrotne szyfrowanie ruchu i rozproszenie go pomiędzy różne komputery w sieci. Twoje dane krążą po całym świecie między komputerami innych użytkowników Tora. Z zewnątrz wygląda to tak, jakbyś łączył się np. z Niemiec, tyle że twój niemiecki "pomocnik" też nie wie, gdzie się znajdujesz, bo komunikuje się z nim w twoim imieniu np. maszyna z USA. Najprostszy sposób na korzystanie z Tora to pobranie pakietu Tor Browser, który zawiera klienta sieci oraz odpowiednio skonfigurowaną przeglądarkę. Tyle teorii. W praktyce, jeśli robisz coś naprawdę nielegalnego, i tak cię mogą znaleźć. Tak jak administratora działającej wewnątrz sieci Tor giełdy Silk Road, na której można było kupić m.in. broń, materiały wybuchowe i narkotyki.

8. JEDNO HASŁO TO ZA MAŁO

Jedno hasła do wielu kont to bardzo kiepski pomysł. Wystarczy, że któryś z operatorów nie podchodzi na serio do kwestii bezpieczeństwa i dostęp do twoich wszystkich internetowych zasobów staje otworem przed każdym średnio rozgarniętym włamywaczem. No dobrze, ale jak zapamiętać te wszystkie hasła? Jest kilka sposobów.

Pierwszy to… używanie haseł prostych do zapamiętania, ale trudnych do złamania (czyli długich). Zamiast męczyć się ze znakami specjalnymi, wymyśl jakąś historyjkę i używaj jej jako hasła, np. mamZielonegoWrogaWabiSieStoik. Im głupsza i bardziej absurdalna, tym lepiej. Rób błędy ortograficzne. Unikaj cytatów z literatury i filmu. "LitwoOjczyznoMoja" to hasło stosunkowo łatwe do złamania. A przede wszystkim zapomnij o: wulgaryzmach, imionach członków rodziny, nazwach drużyn sportowych i datach urodzin.

Druga metoda zakłada korzystanie z jednakowego hasła dla stron o podobnym poziomie bezpieczeństwa. To nieco ryzykowne, ale lepsze niż jedno hasło do wszystkiego. Czyli możesz przyjąć, że banki internetowe raczej dobrze radzą sobie z zabezpieczeniem danych - i używać do wszystkich jednego kodu. Drugiego, zupełnie innego - do kont e-mail. Trzeciego - do sklepów internetowych. Możesz też stosować np. hasła o wspólnym rdzeniu, ale różniące się końcówką.

Trzeci sposób wymaga oprogramowania służącego do przechowywania haseł. Popularne aplikacje tego rodzaju to 1Password, LastPass i KeePass (ostatnia bezpłatna). Do narzędzi zapisujących hasła w przeglądarce podchodź bardzo ostrożnie. Możesz używać ich do sklepów internetowych (o ile nie masz w nich zapisanych danych karty kredytowej!) i mniej ważnych kont e-mail.

9. KORZYSTAJ Z DWUETAPOWEJ WERYFIKACJI

Część usług w necie da się skonfigurować tak, by do zalogowania nie wystarczyły login i hasło. Są jeszcze hasła SMS, tokeny, klucze USB albo aplikacje smartfonowe. Aby dostać się do systemu, włamywacz musiałby jeszcze ukraść ci komórkę.

10. UWAŻAJ, O CO SIEBIE PYTASZ

Na jakiej ulicy mieszkałeś w dzieciństwie? Jakiej marki był twój pierwszy samochód? Jaka jest twoja ulubiona drużyna piłkarska? To przykłady wyjątkowo źle dobranych pytań służących do odzyskiwania hasła. Tak działa popularny mechanizm - zakładając konto, ustanawiasz przy okazji pytanie, na które w założeniu tylko ty znasz odpowiedź. Jeśli zapomnisz hasła, do konta dostaniesz się po prawidłowym wypełnieniu pola pod tą osobistą zagadką. Odgadywanie odpowiedzi to jedna z bardziej skutecznych i częściej używanych metod włamu! Tej tajemnicy nie mogą znać osoby z szerokiego grona twoich znajomych, a klucz nie może znajdować się na twoim Facebooku. Bądź sprytniejszy.

11. SZYFRUJ DYSK LAPTOPA I PAMIĘĆ SMARTFONA

Hasło na komputer to za mało. Może chronić twoje dane przed twoimi dziećmi, ale nie przed złodziejem, który ukradnie laptopa. Aby się w pełni zabezpieczyć, skorzystaj z szyfrowania. W niektórych wersjach Windowsa oraz Mac OS taka funkcja jest dostępna standardowo (nazywa się odpowiednio BitLocker i File Vault). Jeśli twój system jej nie ma, możesz użyć bezpłatnego narzędzia DiskCryptor. Koniecznie zrób backup - danych z zaszyfrowanego dysku nie da się odzyskać!

Jeszcze bardziej istotne jest włączenie szyfrowania w smartfonie. Zacznij od ustanowienia PIN-u, bez którego nie można odblokować ekranu. W iPhonie pamięć zostanie zaszyfrowana automatycznie, w urządzeniach z Androidem i Windows Phone będziesz to musiał włączyć ręcznie. Na koniec aktywuj funkcję kasowania pamięci po kilkukrotnym wprowadzeniu złego PIN i zdalne czyszczenie urządzenia. Jeśli ktoś ukradnie twoją komórkę, za pomocą dowolnego komputera podłączonego do internetu zresetujesz jej pamięć - jak na filmach.

12. NIE KORZYSTAJ Z OTWARTYCH SIECI

Zapomnij, że istnieje coś takiego jak publiczne hotspoty. Każdy może odczytać to, co przesyłasz w otwartej sieci Wi-Fi - w tym hasła i treść e-maili. Nawet jeśli sieć jest zamknięta (zahasłowana), nie masz żadnego wpływu i żadnej kontroli nad tym, jak zostały skonfigurowane ustawienia bezpieczeństwa. I czy na drugim końcu nie siedzi ktoś, kto ustawił hotspota tylko po to, żeby przechwytywać dane. Twój telefon prawdopodobnie potrafi udostępniać połączenie internetowe, a nawet jeśli nie - modem USB z pakietem danych kosztuje stosunkowo niewiele. Jeśli koniecznie musisz skorzystać z hotelowej sieci Wi-Fi, upewnij się, że twój klient pocztowy ma włączone szyfrowanie, otwieraj tylko strony z adresem zaczynającym się od "https". Możesz skorzystać z wtyczki HTTPS Everywhere, która sprawi, że twoja przeglądarka za każdym razem automatycznie przejdzie w tryb zaszyfrowanej strony.

13. UWAŻAJ, KOMU PODAJESZ E-MAIL

Podaj nam swój adres e-mail, a my znajdziemy osoby, które możesz znać - takie propozycje składają najpopularniejsze portale społecznościowe. Powinieneś odmówić, zarówno w interesie własnej, jak i cudzej prywatności. Osoby, z którymi korespondujesz, wcale nie muszą życzyć sobie, aby o waszej znajomości wiedział jakiś internetowy biznes z drugiego końca świata.

14. KŁAM, ILE WLEZIE

Dostawca konta e-mail albo innej wirtualnej usługi naprawdę nie musi wiedzieć, gdzie mieszkasz i ile masz lat. Do niczego nie jest mu potrzebne twoje prawdziwe nazwisko (ale jeśli przedstawisz się przy rejestracji jako Nursułtan Nazarbajew, pamiętaj, żeby później zmienić w ustawieniach nazwę, która pojawia jako nadawca). Jeśli skasują ci konto (bardzo mało prawdopodobnie), najwyżej założysz nowe. Weź przy tym pod uwagę, że jeśli za coś w ramach serwisu płacisz kartą albo przelewem, twoje dane i tak trafią do dostawcy usługi.

Z RZĄDAMI I FIRMAMI NIE WYGRASZ. E-SZPIEGOM MOŻESZ JEDNAK UTRUDNIĆ ZADANIE.

Na kontach sklepów i do aplikacji można logować się za pomocą konta Google albo Facebooka. To oczywiście wygodniejsze niż zakładanie kolejnego loginu, ale... Czy warto tym firmom mówić o sobie wszystko?

Kliknij aby rozwinąć...