Odbicie w oku, fragment szyldu za plecami, włączona lokalizacja w telefonie. Nawet najnowocześniejsze oprogramowania szpiegowskie nie ujawnią o nas tylu danych, co my sami.
Magazyn DGP 17.01.20 / Dziennik Gazeta Prawna
Pegasus to trojan stworzony przez izraelską firmę NSO Group. Padają poważne podejrzenia, że posiada go już także nasze CBA. Opozycja grzmi, że to działanie nielegalne, politycy PiS ripostują, że uczciwi obywatele nie mają się czego obawiać, zaś służby unikają odpowiedzi. Program zbiera informacje o lokalizacji celu, historię połączeń, hasła, podgląda pliki. Potrafi podsłuchać połączenia telefoniczne i przechwycić w czasie rzeczywistym rozmowy prowadzone przez Skype’a, WhatsAppa, facebookowego Messengera. Nie wymaga współpracy z operatorem telefonii komórkowej.
Czy to jedyne zagrożenie dla naszej prywatności, którego powinniśmy się obawiać? Nie, bo o wiele większych powodów do zmartwień przysparzamy sobie sami. – Część polityków przedstawia Pegasusa jako zło wcielone – mówi Marcin Maj, ekspert Niebezpiecznika.pl, internetowego serwisu zajmującego się bezpieczeństwem teleinformatycznym. – Ale znacznie gorzej byłoby, gdyby nasze służby jako jedyne nie posiadały tego narzędzia. Pegasus jest elementem kontroli operacyjnej, ale obarczonym wadami. Pierwsza z nich to cena: służby mają możliwość wykupienia licencji na określoną liczbę osób śledzonych. Koszt licencji na 10 osób to ok. 25 mln zł. To już ogranicza możliwość użycia Pegasusa. Tak, można go podrzucić celowi bez jego wiedzy i interakcji, czyli bez klikania w podejrzane linki. Jednak im dłużej takie narzędzie jest na rynku, tym większe prawdopodobieństwo, że producenci systemów mobilnych znajdą sposób, by się przed nim zabezpieczyć – dodaje.
DGP

Dane i towar

Dlaczego tak się dzieje? Bo nawet najlepsze narzędzia do inwigilacji są towarem. Nie jest tajemnicą, że ich producenci dbają o bliskie relacje z przedstawicielami służb, przedstawiając im regularnie katalogi najnowszych produktów. – To biznes nastawiony na zysk – mówi Maj. I pokazuje przykład, jak on działa. Kilka lat temu narzędzie do rozpoznawania twarzy było drogie. Dziś kamery z detekcją twarzy kosztują już ok. 400–600 zł i na stałe weszły do systemów monitoringu zakładanych na grodzonych osiedlach. Podobnie stało się z systemem rozpoznawania tablic rejestracyjnych. W obu przypadkach były to rozwiązania przeznaczone dla służb specjalnych. Czy źle się stało, że trafiły do powszechnego użytku? – Jeśli doczekamy chwili, kiedy wszystkie wspólnoty w Polsce będą z nich korzystać, to rodzi się pytanie, kto i jak będzie administrował gromadzonymi na nasz temat danymi? A przede wszystkim, kto będzie chronił je przed niekontrolowanym wyciekiem – pyta ekspert Niebezpiecznika. I to, jego zdaniem, jest clue zagadnienia: zafascynowani nową technologią rzucamy się na jej możliwości. Jednak do tego, by być jej świadomym użytkownikiem, brakuje nam wiedzy. Popełniamy błędy, którymi karmi się biały wywiad.
Marcin Maj prowadzi m.in. szkolenia z OSINT (Open-Source Intelligence), czyli białego wywiadu. Chodzi o gromadzenie informacji z powszechnie dostępnych źródeł. – Których nigdy nie było tyle, ile dziś – dopowiada. – Prawdę mówiąc jeszcze 10 lat temu byłem przekonany, że ta forma zbierania informacji straci rację bytu. Ludzie z branży bezpieczeństwa sądzili, że internauci szybko nauczą się zasad bezpieczeństwa, przynajmniej tych podstawowych. I co? Wszyscy byliśmy w błędzie – podkreśla.

Złap trop

Dziś na podstawie danych, które sami zamieszczamy w sieci, bez problemu można ustalić nasz adres zamieszkania, numer telefonu, wizerunek, listę bliskich znajomych i ulubionych, najczęściej odwiedzanych miejsc oraz zasoby internetowe, jak konta w serwisach, adresy e-mail, adresy IP. – I dużo więcej. Mogę się dowiedzieć, jakie hasła stosowała pani w przeszłości. Istnieją płatne bazy, które je archiwizują. A hasło wiele mówi o człowieku. Zdradza np. nazwę ulicy, przy której mieszka, hobby, imię dziecka. Jeśli jest charakterystyczne, to podążając jego tropem, można trafić do kolejnej bazy danych z inną ciekawą zawartością – opisuje Maj.
Ogromną akcję edukacyjną zafundowała Polakom „Nasza klasa”. Najpierw niemal wszyscy zakładali na tym portalu konta i wrzucali wszystko: fotografie nowe i stare, numery telefonów, adresy. I nagle okazało się, że taka wylewność przysparza potężnych problemów. Odnajdywali nas ludzie, z którymi nie mieliśmy ochoty się spotkać w realu, nasze wizerunki krążyły w sieci, odbieraliśmy połączenia z dziwnych instytucji. – Zaczęliśmy więc masowo kasować konta na NK, co jednak nie spowodowało usunięcia danych z baz tego serwisu. To był moment otrzeźwienia, który jednak nie potrwał długo – ocenia Maj. Bo pojawił się Facebook. Sprawiał wrażenie profesjonalnego, miał dawać więcej kontroli nad prywatnością. Okazało się jednak, że zbiera nasze dane biometryczne. I choć wycofał się z tego procederu, znów poczuliśmy się jak owce pędzone w stadzie.
Naiwność nas nie opuszcza. I jest zjawiskiem uniwersalnym. Co pokazuje przykład 60-letniego Janusza M. Był poszukiwany, wydano europejski nakaz aresztowania m.in. za „narażenie Skarbu Państwa na uszczuplenie podatku VAT w kwocie nie mniejszej niż 50 mln zł”, zarzuca mu się także kierowanie grupą przestępczą oraz pranie pieniędzy. Taki człowiek powinien więc być ze wszech miar ostrożny. Nie był. Zatrzymano go w San Dona di Piave niedaleko Wenecji. ABW przyznała, że w namierzeniu pomogła jego 25-letnia partnerka. Należy założyć, że działała nieświadomie. Była aktywna w mediach społecznościowych, publikując m.in. zdjęcia. I to one pomogły policji zlokalizować M.
– Czasem ważny szczegół można odnaleźć w odbiciach szyb, okularów, nawet w oku – wylicza Marcin Maj. Dlatego, przed upublicznieniem jakiegokolwiek zdjęcia, radzi przeprowadzić prosty test. – Powiększ fotografię wielokrotnie i analizuj kawałek po kawałku. Jest nawet taka zabawa w sieci. Ludzie wysyłają sobie sfotografowany fragment drogi czy osiedla i próbują ustalić, z jakiego miasta pochodzi – opowiada. Czy to się udaje? Najczęściej tak. Wspomina też głośny przypadek psychofana, który zaatakował swoją idolkę. Namierzył ją, bo w jej oku odbił się charakterystyczny budynek dworca. Wymagało to od niego przejrzenia dziesiątek lub setek zdjęć, ale determinacja przyniosła efekty.

Zbieracze okruchów

Istnieją setki publicznych i niepublicznych źródeł na nasz temat. FB to tylko jedno z nich. – Weźmy ustalenie numeru księgi wieczystej. Przy odrobinie szczęścia i bez wychodzenia z domu zajmie nam to pół dnia i nie pochłonie złotówki – zdradza ekspert Niebezpiecznika.pl. Podkreśla, że księga wieczysta to kopalnia danych. Kto jest właścicielem nieruchomości, jaki ma PESEL, czy brał kredyt, w jakiej wysokości, od kogo kupił mieszkanie. Przypomina, że łódzki urząd miasta nie zabezpieczył się przed wyciekiem danych z deklaracji śmieciowych. W papierowych deklaracjach, jakie składali mieszkańcy, była rubryka dotycząca e-maili. Wiele osób wpisało adresy firmowe. I nagle okazało się, że kilka dokumentów zawisło w sieci bez zabezpieczenia. Urzędnicy nie widzieli w tym problemu. Ale czy rzeczywiście nic się nie stało?
– Jest takie dosadne powiedzenie w mojej branży, które opisuje sytuację: jedna dana, druga dana i prywatność wyj…a – ironizuje Marcin Maj. – Dane z jednego źródła prowadzą do wygenerowania informacji z drugiego. Te z kolei są kluczem do dalszych. Tak właśnie działa biały wywiad. Nie tylko wyłapuje rozrzucane przez nas okruchy, ale też umiejętnie łączy je ze sobą – opisuje.
Czy można utrudnić to zadanie? Tak, a najprostsza rada brzmi: myśl. – W marketach, kiedy przychodzi do płacenia, kasjerka często pyta nas o kod pocztowy. Oficjalnie chodzi o to, by badać zasięg oddziaływania poszczególnych sklepów. Zestawienie kodu z numerem karty, co nie jest trudne, staje się już cennym uzupełnieniem naszego profilu osobistego. Nie wiemy, jak potem tego rodzaju dane się rozchodzą. Najprościej jest więc podać inny kod, może z naszej okolicy, ale niekoniecznie nasz – radzi Marcin Maj. Podkreśla, że myślenie musi dotyczyć wszystkich. Opowiada, jak znajomy przed wysłaniem e-PIT zadzwonił do urzędu skarbowego. Zgubił dokumenty, a potrzebował upewnić się co do kwoty przychodu za ubiegły rok. Uprzejma pani po wysłuchaniu prośby podała mu informacje.
Fakt, błędy zdarzają się każdemu. Chodzi o to, by uczyć się na nich, często jak najszybciej. Maj przekonuje, że sam też przerabiał tę lekcję. Niebezpiecznik.pl pisał kiedyś o e-usłudze zgłaszania dowodu osobistego. Wziął ją na tapetę, posługując się własnymi danymi, na podstawie których e-usługa wygenerowała szacowany obraz dokumentu. Ten obraz trafił do artykułu jako przykład. Owszem, redaktor zamazał dane, ale dopiero po chwili zorientował się, że nie zrobił tego wystarczająco mocnym rozmyciem. Po pewnym czasie się poprawił.
– Zacząłem się zastanawiać, ile osób zauważyło mój błąd. Były ich dwie, nie omieszkały napisać o tym w listach do nas. Na szczęście potraktowaliśmy to zdarzenie szkoleniowo – wspomina. A przy okazji ostrzega, że używane np. często przez grafików rozmazanie obrazu za pomocą rozmycia Gaussa lub rozmycia kafelkowego jest procesem odwracalnym. Tymczasem to najpopularniejsza metoda stosowana w mediach, tradycyjnych i społecznościowych. Twarze mogą odzyskać oczy, dokumenty – cyfry…

Nic się nie stało?

Nie chodzi tylko o to, co wrzucamy do sieci. Idziesz na demonstrację lub mszę – zostaw smartfona w domu. Dlaczego? Jeśli mamy regularnie włączoną lokalizację i transmisję danych, to różne profilujące nas firmy są w stanie prześledzić, jakie miejsca odwiedzaliśmy w ostatnich tygodniach, z jakich usług korzystaliśmy, gdzie się zatrzymywaliśmy. To cenne dane marketingowe, które można potem po prostu kupić.
Czy na pewno chcemy je ujawniać? – I dalej: uwielbiamy, gdy aplikacja nas wyręcza, zwalnia z myślenia, przyspiesza działania. Coś za coś. Jeśli zainstalowałeś sobie aplikację służącą np. uprawianiu sportu czy stosowania wegańskiej diety, to na podstawie modeli statystycznych można dojść do różnych wniosków, nawet do tego, jakiej orientacji seksualnej jesteś – mówi Maj. Radzi, by zajrzeć do ustawień konta Google’a, by przekonać się, jak zostaliśmy sprofilowani przez jego algorytmy. – Ja dowiedziałem się, że jestem fanem anime i bejsbolu, co akurat nie jest prawdą. Jednak pozostałych 30 cech było trafione w punkt.
Skoro całkowita izolacja cyfrowa nie jest możliwa, dobrym rozwiązaniem jest krytyczne spojrzenie na to, co chcemy zamieścić w sieci. – Najgorszy jest automatyzm. Pamiętam, jak spotkaliśmy się ze znajomym w pewnym mieście. Zrobił zdjęcie punktu handlowego, który wydawał mu się zabawny. Po chwili zauważył, że w szybie wystawowej odbija się sylwetka bliskiej mu osoby, która chciałaby pozostać anonimowa. Zrobił zdjęcie raz jeszcze pod innym kątem i dopiero wtedy je opublikował – opowiada. Ale bywa, że górę biorą emocje, a tempo reakcji niebezpiecznie przyspiesza. Opisywaliśmy kiedyś przypadek, gdy ktoś opublikował na FB zdjęcia kobiety, która wyrzuciła psa z samochodu. Obejrzeli je m.in. pracownicy firmy ubezpieczeniowej X. Tak ich poruszył los zwierzęcia, że ujawnili dane właścicielki auta. Rozlał się hejt i dopiero po pewnym czasie okazało się, że cała sytuacja została źle zinterpretowana. O czym to świadczy? – O tym, że ciągle do ochrony danych osobowych podchodzimy jak do piłki nożnej. Wszyscy się na tym znamy, a gdy okaże się, że zawaliliśmy, to gremialnie śpiewamy: Polacy, nic się nie stało!
Dane z jednego źródła prowadzą do drugiego. Te z kolei są kluczem do dalszych. Tak właśnie działa biały wywiad. Nie tylko wyłapuje rozrzucane przez nas okruchy, ale też umiejętnie łączy je ze sobą