„Zainstaluj sobie aplikację. Będzie fajnie, pół internetu już się w to bawi”... Wielu się skusiło, bo atrakcja była darmowa. Naprawdę?
/>
Na pl. Biegańskiego w Częstochowie rozdawano powerbanki. Wystarczyło wypełnić formularz do jednej z tamtejszych szkół dla dorosłych, dostarczyć do sekretariatu komplet dokumentów i urządzenie stawało się naszą własnością. Niektórzy wyczuli okazję. „Zanosisz ostatnie świadectwo, dajesz dowód do wglądu, zgarniasz gadżet, a potem zabierasz papiery. Zero konsekwencji” – zachwalali na sieciowych forach. Inny sposób zdobycia powerbanka opisał internauta specjalizujący się w wyłapywaniu promocji. Rozdawał je sieciowy market budowlany. „W zamian należy tylko wgrać na telefon aplikację sklepu. I tak wydajemy zero monet na urządzenie o pojemności 2200 mAh kosztujące normalnie 29,99 zł” – podkreślał.
Tylko czy na pewno były to darmowe transakcje? W obu przypadkach osoby skuszone ofertą zapłaciły najcenniejszą dziś walutą: swoimi danymi.
W ten sposób przechodzimy do zbiorowego szaleństwa, w którym żyliśmy przez ostatnie tygodnie za sprawą aplikacji FaceApp i wyzwania wymyślonego przez jej marketingowców #AgeChallenge. Najpierw więc masowo postarzaliśmy się na zdjęciach, by potem równie masowo uznać, że wpadliśmy w sidła – pojawiły się informacje, że aplikację stworzyła rosyjska firma, która w ten sposób zbiera informacje. Finalnie zespół ekspertów CERT Polska na wniosek Ministerstwa Cyfryzacji wziął aplikację pod lupę i uznał, że jednak nie mamy do czynienia ze złośliwym oprogramowaniem. Ale niesmak pozostał. Dlaczego?
Winna jest nasza staroświecka wizja cyberbezpieczeństwa, w której mityczny haker dybie na konta bankowe. I aby się przed nim uchronić, musimy mieć skomplikowane hasło i strzec go jak oka w głowie. Jak w westernie, wyraźny podział na dobre i złe charaktery. – Ta wizja zupełnie nie pasuje do tego, co naprawdę nam zagraża w sieci – mówi Katarzyna Szymielewicz, prezes Fundacji Panoptykon. – Naszym głównym problemem nie są wycieki danych. Bardziej powinno nas niepokoić i oburzać to, że w komercyjnym internecie jesteśmy sprowadzani do roli cyfrowej biomasy: bezmyślnej, łatwowiernej i podatnej na wpływ. Tym światem rządzą firmy takie jak Facebook i Google, a źródłem ich władzy jest wiedza, którą zgromadzili na nasz temat. Na tej władzy zarabiają, sprzedając swoim klientom – głównie reklamodawcom – obietnicę wpływu na nasze zachowanie.
Prawda ukryta
I właśnie ten wpływ, jego zasięg i zakres są podstawą dyskusji o cyberbezpieczeństwie. Katarzyna Szymielewicz przekonuje, że jest potężny rozdźwięk między tym, jak nam, klientom, sprzedaje się usługi, a tym, czym one są w istocie. – 20 lat temu, gdy startowało wiele komercyjnych usług w sieci, poszedł w świat komunikat, że ta oferta jest za darmo. Jak to? Przecież żyjemy w systemie, w którym nie ma nic bez pieniędzy. W usługach internetowych oczywiście są pieniądze, tylko schowane. Pionierzy tych usług – Google, Facebook, Amazon – od początku wiedzieli, że kluczem do zarabiania jest obserwacja człowieka. Nie czekanie, aż sami opowiemy o swoich słabościach, pragnieniach, planach, relacjach zawodowych, rodzinnych i intymnych – mówi.
Okruchy wiedzy, pieczołowicie zbierane, przechowywane i analizowane, by stworzyć obraz człowieka, grupy i społeczności oraz poznać zasadę wpływania na te podmioty. Darmowe usługi były wędką, na którą daliśmy się złapać. Na usprawiedliwienie: dwie dekady temu nikt nam o tym nie opowiadał. Dopiero teraz, dzięki dziennikarstwu śledczemu i organizacjom pozarządowym, ujawniane jest prawdziwe zaplecze sieci.
Ktoś powie: szukałam opon na zimę. Co z tego, że media społecznościowe czy Google o tym wiedzą, bo obserwują moje działania? Dzięki temu dostaję reklamy i oferty, którymi jestem zainteresowana. – Z perspektywy konkretnej osoby, która uważa, że nie ma nic do ukrycia, dobrze dobrana reklama wydaje się nieszkodliwa. Ale FB nie tylko trafnie odczytuje nasze potrzeby, ale też angażuje nas emocjonalnie. Po to, żebyśmy dali się złapać na komunikat marketingowy i wygenerowali dla niego zysk. Taki komunikat często nie jest oznaczony jak reklama. To może być sponsorowany post, który wygląda jak coś od znajomych. W zasadzie News Feed (Aktualności) jest tak kształtowany, by zachęcać nas do konsumpcji. Załóżmy, że pada deszcz, pogoda jest depresyjna, a nasz ostatni wpis spotkał się z krytyką lub ma mało polubień. I nagle trafiamy na post dotyczący modnych butów. Jeśli w naszej głowie zakiełkuje myśl, żeby coś takiego kupić i poprawić sobie nastrój, Facebook już wygrywa – opisuje Katarzyna Szymielewicz. – Mało kto zda sobie sprawę, że padł ofiarą manipulacji. Jej podstawą jest trafna analiza naszej osobowości, nad którą przez cały czas pracują algorytmy – tłumaczy.
Gdyby chodziło wyłącznie o reklamę, nie byłoby kłopotu. Ale portale społecznościowe nie są tylko miejscem nawiązywania nowych znajomości. Wiążą nas ze sobą, odbierając autonomię łącznie z decyzją o odłączeniu się. Przesada? No to załóżmy, że ktoś postanowi: koniec, nie chcę dłużej brać udziału w wyścigu o lajki. FB, jeśli poznał dobrze takiego człowieka, będzie wiedział, co zrobić, by przyciągnąć go do siebie z powrotem. Podesłany link z informacją o zdarzeniu, wobec którego nie pozostanie obojętnym. Wiadomość, że znajomy X napisał coś o Y. I diabli wzięli silną wolę. – Tak przejawia się potęga targetowania. To również cyberprzemoc na naszej psychice – mówią eksperci.
Problem jest jednak jeszcze głębszy. Nie chodzi nawet o prywatność jednostki, ale o to, co algorytmy dowiedziały się o nas jako o zbiorowości. W jaki ton uderzyć, by ruszyć ludzi do działania czy zmobilizować do przyjęcia danej postawy społecznej, politycznej, konsumenckiej. Co zrobić, by ludzie zagłosowali na ten projekt, poszli do urn albo do sklepu. Dla socjologów, marketingowców i spindoktorów wiedza na nasz temat, jaką zostawiamy w sieci, jest bezcenna. Dzięki niej można zastawiać pułapki zaangażowania.
Z apki na apkę
I tu znów wracamy do przeciętnych Kowalskich i Nowaków, którzy przeskakują z aplikacji do aplikacji jak, nie przymierzając, z kwiatka na kwiatek. Ma być zabawnie, szybko, bez konsekwencji. Efekt? – Mamy wokół siebie śmietnik danych, porzuconych aplikacji, którymi nikt się nie zajmuje, bo przestały być popularne lub znudziły się autorowi – mówi Marcin Maj z Niebezpiecznika, portalu zajmującego się bezpieczeństwem w sieci. I podaje przykłady: jeszcze niedawno był szał na zabawki, do których dzieci mogły mówić, a pluszaki po jakimś czasie zaczynały odpowiadać. Dorosłym zabrakło świadomości, że skoro urządzenie podłączone jest do sieci i „słucha” tego, co się do niego mówi, to nagrania gdzieś są przechowywane. Rzeczywiście, badacze od bezpieczeństwa trafili potem w internecie na, w żaden sposób niezabezpieczone, bazy danych z tymi nagraniami. Inny przykład: polski serwis generujący CV. Wystarczyło podać imię, nazwisko i resztę, a on tworzył ładnie sformatowany dokument. Z czasem okazało się, że dane osób, które z niego korzystały, niezabezpieczone „wisiały” na serwerze i można było czerpać z nich garściami. Podobnych sytuacji zdarzają się dziesiątki, setki rocznie. Choćby popularna kiedyś aplikacja do przechowywania paragonów. Niektórzy zostawiali tam kwity z danymi adresowymi. Potężny zbiór na jednym serwerze, porzucony, bo twórcy programu nawet nie chciało się go skasować.
– Przyjrzeliśmy się aplikacji do skanowania wizytówek – opowiada z kolei Wojciech Wrzesień, specjalista ds. bezpieczeństwa z NASK SA. – Pozornie świetna sprawa, bo zamiast trzymać tysiące papierków, mam dane w chmurze, która zawsze podąża za mną. Po przeczytaniu regulaminu okazało się, że zakłada ona zgodę na dostęp do zdjęć w naszej prywatnej galerii, a także – potencjalną możliwość dalszego obrotu digitalizowanymi kontaktami. Tu znów wraca pytanie: kto, przed instalacją oprogramowania, czyta informacje drobnym drukiem?
Katarzyna Szymielewicz zwraca uwagę na naszą krótkowzroczność. – W przypadku FaceApp na wyobraźnię ludzi zadziałało to, że impulsywnie przekazali swoje zdjęcia komuś, do kogo wcale nie mają zaufania. A przecież ze zdjęcia można wiele wyczytać o naszym zdrowiu, statusie społecznym, zainteresowaniach. Ale nie tylko o to chodzi. Już dziś zdjęcie biometryczne w paszporcie jest naszą przepustką w świat. W przyszłości twarz może się stać np. biletem wstępu na koncert, pinem do karty kredytowej, probierzem wiarygodności w banku. Jestem przekonana, że jeszcze czeka nas wysyp „innowacji” opartych o biometrię, bo twarz to cecha, której nie ma jak ukryć. To, że dziś lekką ręką przekazujemy różnym start-upom swoje fotografie, może się zemścić w postaci świetnie wytrenowanego algorytmu, który bezbłędnie rozpozna nas w sieci albo na ulicy. A przecież nie zawsze chcemy zostać rozpoznani – mówi.
Dowodów na to, jak wolno rośnie nasza świadomość, dostarcza Marcin Maj z Niebezpiecznika. Przypomina, jak Facebook przejął aplikację WhatsApp i połączył dane z obu źródeł, choć miał tego nie robić. W ten sposób w 2012 r. powstał potężny biometryczny zbiór na podstawie zdjęć, które sami udostępnialiśmy. – Wtedy alarm podniósł hamburski urząd odpowiedzialny za ochronę danych osobowych i pod jego naciskiem Facebook zamknął bazę. Ciekawe, że media pisały wówczas o presji Niemiec i o tym, że Europejczycy tracą świetną możliwość automatycznego oznaczania znajomych, bo unijne prawo tego zabrania – opowiada. – Ale to było w czasach, gdy dopiero uczyliśmy się, czym jest ochrona danych osobowych w sieci.
Jak się chronić w sieci?
– Dlatego, jeśli zamawiam cokolwiek przez sklep internetowy, nie podaję numeru telefonu, pełnego nazwiska, wklepuję spamerski e-mail i, kiedy tylko to możliwe, wybieram odbiór osobisty zamówienia, dzięki czemu nie muszę podawać adresu – mówi Marcin Grabowski, informatyk. Bo załóżmy, że chodzi o mały e-sklep. Ktoś może się do niego włamać, przejrzeć bazę danych. Co dalej? – Jest kilka możliwości. Choćby atak typu phishing (wysyłanie fałszywych e-maili lub przekierowywanie na fałszywe strony internetowe), bo miałbym sporo danych, by przygotować np. fakturę z niedopłatą za jakąś popularną usługę – mówi. I przyznaje, że taka odpowiedź budzi niepokój.
Zaraz podaje też głośny przykład sprzed kilku miesięcy. Sprawa dotyczyła tym razem dużego sklepu internetowego sprzedającego elektronikę użytkową. Został zhakowany, a dane prawie 2 mln osób wykradziono. Firma przez jakiś czas próbowała ukryć skalę problemu, następnie zwlekała z resetowaniem haseł użytkowników. W efekcie atakujący miał dostęp do kont ofiar. Szczególnie tych, które były chronione słabymi hasłami. – Załóżmy, że ktoś w tym sklepie kupił lodówkę. Włamywacz już o tym wie. Wiele osób ma często jedno hasło do komputera, e-maila, nawet do banku. Kreatywny włamywacz uzna: żal nie spróbować – opisuje.
– Wyciek z tak dużej bazy danych może mieć straszliwy efekt – wtóruje mu Wojciech Wrzesień z NASK SA. – Dlatego na szkoleniach, które prowadzę, mówię ludziom, by oddzielali kawałki swojego życia. Inne hasło do skrzynki prywatnej, inne do służbowej i tak dalej… Będziemy bezpieczniejsi.
Informatycy podkreślają, że szpiegowanym można być na wiele sposobów, a kradzież danych jest tylko najbardziej oczywistym, przez co najłatwiejszym do wychwycenia elementem tego procederu. Czy więc, poza powtarzanymi do znudzenia apelami o zmianę haseł, możemy się w sieci zabezpieczać? – Po pierwsze, czysto teoretycznie, może nas szpiegować już dostawca internetu. Znajdujący się w naszym mieszkaniu router jest połączony z jego infrastrukturą. Nie jest problemem sprawdzić, jakie strony odwiedzamy. Formą zabezpieczenia jest tu VPN, który przekazuje ruch internetowy do specjalnie skonfigurowanego serwera np. na drugim końcu świata, szyfrując wysyłane i odbierane dane. Po drugie, w przeglądarce istnieje tryb prywatności. To oznacza, że domyślnie włączone opcje zbierania danych zostają wyłączone – ciasteczka, pamięć podręczna, historia. Takie działanie pozwoli nam zmniejszyć ryzyko profilowania. Po trzecie, istnieją też anonimowe przeglądarki, które prócz permanentnego trybu incognito potrafią zabezpieczyć nas przed skryptami śledzącymi lub wykorzystują sieć TOR (zapewnia wiele warstw szyfrowania, korzystając z trasowania cebulowego), by ukryć naszą prawdziwą lokalizację – wylicza Marcin Grabowski.
A Wojciech Wrzesień uczula, że dzięki włączonej w telefonie transmisji danych i funkcji lokalizacji, a także podpisywanym m.in. przy okazji logowania się do sklepu zgodach marketingowych na przetwarzanie danych Google jest w stanie odtworzyć dokładnie trasy, jakie przemierzaliśmy np. w ostatnim tygodniu. – Dlatego, jeśli nie chcemy być śledzeni, pamiętajmy o podstawach: wyłączmy tryb lokalizacji, jeśli go nie potrzebujemy (wiele osób o tym zapomina). Wyłączmy też transmisję danych w telefonie i Bluetooth (istnieją algorytmy wyłapujące procesy zachodzące podczas parowania się dwóch urządzeń). Gdy korzystamy z darmowego Wi-Fi, miejmy pewność co do źródła, bo być może mamy do czynienia ze złośliwą siecią, dzięki której ktoś chce włamać się do naszego urządzenia. Podobnie jeśli np. routerem staje się komórka, a my chcemy szybko sprawdzić coś w laptopie. To wrażliwy moment, kiedy ktoś może próbować włamać się do naszego komputera – opisuje.
Analiza lajków
Tego typu zabezpieczenia, przydatne podczas zwykłego korzystania z sieci, nie sprawdzą się już w mediach społecznościowych, gdzie na dzień dobry logujemy się jako konkretny użytkownik. A Facebook wita każdego zestawem dobranych aktualności. – Nieprzypadkowo dowiadujemy się, że jeden ze znajomych wypoczywa właśnie w Karpatach, a drugi jest w hotelu na egzotycznej wyspie. Do tego pojawia się reklama ośrodka SPA – mówi Marcin Grabowski. Zwraca uwagę, że jeszcze kilka lat temu FB wyświetlał po prostu informacje naszych znajomych, od najnowszych do najstarszych. Potem pojawiła się kategoria najciekawszych wiadomości, co oznacza, że do gry wkroczył algorytm. Program, który jest jak wielkie drzewo wyboru. Użytkownik jest kobietą czy mężczyzną? Sprzyja tej czy innej partii? Odwiedza strony zwolenników czy przeciwników LGBT? Kupuje w dyskontach czy woli butiki? W ten sposób potrafi precyzyjnie wyprofilować ofertę. – Wiem, że nie uchronię się przed tym, mogę tylko minimalizować skutki. Czyli rzadko coś komentuję, raczej przeglądam, a jeśli lajkuję, to tylko strony hoteli, bo liczę, że dostanę reklamę z ciekawymi ofertami. Wykorzystuję więc to, że jestem wykorzystywany. I, co ważne, nigdy nie używam Facebooka czy Messengera do przekazywania ważnych informacji. Chyba że chcę, by stały się wiedzą powszechną, bo programy wyłapują pojedyncze słowa, ich znaczenia.
Doktor Michał Kosiński z Uniwersytetu w Cambridge zauważył kilka lat temu, że dzięki naszej aktywności w serwisach społecznościowych „odkrywamy się” bardziej niż w rozmowie z psychologiem. Do w miarę precyzyjnego opisu osobowości wystarczy analiza 68 lajków na Facebooku. Przy 300 można przejrzeć człowieka na wylot. – Ten przykład powinien nieustannie dawać do myślenia – mówi Grabowski. – Myślę, że zdrową czynnością jest przejrzenie raz na jakiś czas dziennika aktywności w mediach społecznościowych (na FB jest w górnym pasku narzędzi po prawej stronie). Ta zakładka pokaże, co klikaliśmy, polubiliśmy, jak komentowaliśmy. Samemu ocenimy, co na tej podstawie można o nas powiedzieć.
– Pół biedy, jeśli szukam butów sportowych, wpisuję hasło w wyszukiwarkę, rozpytuję wśród internetowych znajomych, a algorytm po chwili wysyła mi reklamy trampek – mówi Wojciech Wrzesień. – Ale jak wytłumaczyć to, że jedynie mówię o butach, mając telefon koło siebie, a oferta specjalna już mnie atakuje? To mogłoby oznaczać, że urządzenia podłączone do sieci podsłuchują nas. Jeśli tak, do kogo docierają nagrania, kto je analizuje? Taka rzeczywistość przypomina „Rok 1984”. Z jednej strony trochę się na to godzimy, z drugiej – czy to dostateczne usprawiedliwienie?
To pytanie jest też zapowiedzią wyzwania na przyszłość. Być może nie tak odległą, bo Federalna Komisja Handlu nałożyła właśnie na Facebooka karę w wysokości 5 mld dol. za sposób obsługi danych użytkownika. Chwilę po tej decyzji Komisja Papierów Wartościowych i Giełd ukarała firmę Marka Zuckerberga grzywną w wysokości 100 mln dol. za wprowadzanie inwestorów w błąd, a Departament Sprawiedliwości ogłosił dochodzenie antymonopolowe, które ma objąć duże firmy technologiczne. – Również w Unii Europejskiej coraz głośniej mówi się o tym, że czas zacząć traktować największych internetowych graczy jak nowego typu monopole. Nie chodzi o to, by powstało kilka projektów w stylu FB, a raczej o to, by z naszych danych uczynić wspólny zasób. Taka wiedza mogłaby napędzać społecznie użyteczne projekty, np. niekomercyjne badania medyczne. Być może pójdziemy w stronę jakiejś powierniczej konstrukcji: powierzam swoje dane komuś, kto reprezentuje moje interesy wobec portalu społecznościowego i np. pozwala wykorzystać mój profil do tego, by na moim ekranie pojawiły się oferty zimowych opon, ale już nie zgadza się na jego wykorzystanie w ramach kampanii politycznej czy po to, by wcisnąć mi droższe ubezpieczenie albo kontrowersyjny lek – zastanawia się Katarzyna Szymielewicz