Czy wiesz co oznacza liczba 6,44? To przychód Facebooka wyrażony w miliardach dolarów w Q2 2016. Imponujący. Zastanawiałeś się kiedyś, co jest produktem Facebooka?

Uwaga. Nadchodzi chwila prawdy. Wstań, podejdź do lustra i spójrz.

Tak, to ty. Powinieneś w zasadzie zobaczyć też wiszącą kartkę z ceną. To, że jej nie ma, wynika jedynie z tego, że jest zmienna, ale znana algorytmom Facebooka lub Google’a.

Pamiętasz Matrix? Ludzie jako bateryjki, napędzające swoją energia gigantyczny AI? Dokładnie tutaj jesteśmy. Z tym, że nie chodzi o naszą energię (chociaż i tak ją zjadają), ale o nasze dane i informacje o nas. Google nie napędza nimi swoich serwerowni, a swoje AI i mechanizmy targetowania reklamy.

Welcome to the Matrix!

Ustalmy jedno na początku. Google nie jest jedyne. Robi to Facebook, robi to Microsoft, robi to każdy mniejszy lub większy serwis internetowy. Ci wielcy mielą je z większej ilości źródeł, zbierają je przez tych mniejszych, którzy aby uzyskać swoją porcję informacji do “krwioobiegu” – instalują u siebie pluginy, pixele i inne mechanizmy mające jeden cel – zebrać jak najwięcej informacji o tobie i użyć ich do tego, aby zbudować jeszcze lepszy obraz ciebie.Twoich zachowań, upodobań, tego co robisz, lubisz, z kim się spotykasz. Cel jest jeden – przetworzenie tego na wymierny zysk w postaci sprzedanych reklam, danych, produktów.

Zbieranie tych danych nie odbywa się tylko przez strony, które odwiedzasz, treści które czytasz, twoje lajki, tweety, serduszka, cmoki i co tam jeszcze wymyślił mechanizm social media.

Jesteś produktem. Warto to sobie uświadomić. Co gorsza, jesteś z tego zadowolony i uważasz, że w zasadzie to robisz “dobry dil”. Lub w ogóle tego nie zauważasz.

There is no free lunch!

Zdanie – banał, które jednak w tym kontekście dużo znaczy. Wszystkie usługi, które otrzymujesz za darmo, nie są tak naprawdę darmowe. Ja staram się tutaj używać słowa “bezpłatne”. Mała różnica, ale jednak.

Bezpłatne konto e-mail od Google’a? Wszystkie Twoje e-maile przechodzą przez usługę, która używa ich do nauczenia się ciebie. Również do nauczenia się twoich zachowań, podróży, sieci znajomych i relacji pomiędzy wami.

Tak, Google czy Facebook znają wasze relacje. Wiedzą, czy jesteście tylko przyjaciółmi, znacie się z pracy, czy też jesteście sobie bardziej bliscy. Pokazały to chociażby badania Facebooka, który jest w stanie po analizie interakcji między osobami, przewidzieć wcześniej, czy dwie osoby zwiążą się bliżej, a nawet – czy ich związek przetrwa.

Bezpłatna usługa Google Voice ( u nas nie była dostępna ) z możliwością transkrypcji rozmowy na tekst? Kolejne źródło informacji, dodatkowo pozwalające algorytmom Google’a analizować głos, uczyć się go rozpoznawać, analizować i przetwarzać maszynowo. Dzięki temu, potem w telefonie możemy tak łatwo obsługiwać go głosem, wykonywać notatki itp. Ale nie za darmo! Dostarczyliśmy przecież cały pakiet informacji o sobie.

Facebook, Twitter, Microsoft – wszystkie bezpłatne usługi opłacamy swoimi danymi i prywatnością. Co nie oznacza, że jeżeli zaczniemy za nie płacić, to nasza prywatności nagle znajdzie się pod ochroną. Dlaczego? Przecież tak chętnie udostępniamy dane – dlaczego by nie zbierać ich dalej!?

Firmy, które wymieniam to wielkie marki. Wszyscy je kojarzymy. Ale gdzieś pod spodem znajdują się tak naprawdę firmy, których nazwy nikomu nic nie mówią, które zajmują się jedynie gromadzeniem tego typu informacji i ich redystrybucją. Nasze dane, nasze zachowania, nasze upodobania, znajomości i działania w sieci stały się produktem. Tyle, że nie naszym.

Czy wiecie, jaki jest jeden z podstawowych problemów biznesowych Facebooka w chwili obecnej  (a przynajmniej taki, o którym można przeczytać w sieci)? To, że przestaliście się dzielić informacjami osobistymi. Przekazywane przez ciebie linki do innych informacji, artykułów i video nie mają takiej wartości. Facebook musi wymyślić coś, co spowoduje, że będziecie chętniej dzielić się informacjami o sobie. I wymyśli. O wartość produktu trzeba dbać.

OMG! Mój telefon mnie słucha

Niedawno o tym temacie napisał Maciek Aniserowicz – polecam, Maciek ma lekkie “pióro”, a w dodatku pisze z sensem.  W komentarzach pojawił się paranoiczny przykład od czytelnika, który podejrzewa swój telefon o podsłuchiwanie go i przetwarzanie tego na serwowane reklamy.

(…) pierwszy raz przekonałem się, że to naprawdę działa, gdy znajomi zaprosili nas z dziewczyną na piwo – nie znaliśmy oboje lokalu, do którego planowane było wyjście, nawet nazwy nigdy nie słyszałem. Po powrocie do domu powiedziałem dziewczynie o pomyśle wyjścia do “Pubu A”, tylko o nim wspomniałem. Po kilkunastu minutach wszedłem na Fb na laptopie i ujrzałem sponsorowane reklamy “Pubu A” 🙂 Najwyraźniej smartfony nas słuchają. (…) 

Czy tak jest? Czy telefon faktycznie go słucha i raportuje do centrali (BTW – tak robią telewizory Samsung oraz potencjalnie urządzenia takie jak Xbox + Kinect)?

Akurat tu – niekoniecznie. O wiele prostsze wytłumaczenie to:

  1. Kolega Dawid umawia się ze znajomymi w Barze A.
  2. Umawiając się, jeden z nich albo obaj – używają telefonu. Choćby i do tego, aby wymienić się informacjami przez e-mail, komunikator itp. Albo kolega kolegi Dawida używa tegoż telefonu do powiadomienia o tym swojej dziewczyny. Mógł napisać SMSa, wysłać e-mail, przesłać to przez FB itp.
  3. Nawet jeżeli koledzy nie skorzystali z e-maila albo telefonu, komunikują się elektronicznie, więc informacja o tym, że się znają jest już w danych. Co z tego, że używają innych e-maili na telefonach i w serwisach, gdzie się komunikują albo razem coś robią. Dane, które po sobie pozostawiają, pozwalają ich połączyć w oparciu o ich zachowania, interakcje.
  4. Dalej pozostaje już tylko połączyć (A) znajomy kolegi Dawida wybiera się do baru A z (B) – znają się z kolegą Dawidem, i rozmawiali w ostatnich X minutach/dniach i już mamy gotową informację (C ), za którą właściciel baru z chęcią zapłaci (chodzą tam twoi koledzy – możesz chcieć iść i ty – targetuje się podobne grupy).

Bum! Nie potrzebujemy podsłuchiwać twojego telefonu – wystarczą nam informacje, które sam nam udostępniasz.  Uważasz, że to tak nie działa? Że nie zostawiasz w sieci tylu śladów, że nie udostępniasz swoich danych aż tak szeroko?

Ale urządzenia zaczną nas słuchać, w zasadzie robią to już. Poznajcie Amazon Echo i Alexa, cyfrowych asystentów od Amazona. Echo grzecznie stoi w kuchni i nasłuchuje, czy przypadkiem nie chcecie się dowiedzieć, jaka jest pogoda, włączyć muzyki lub innego urządzenia zintegrowanego z Alexem.

“Hej, a może zrobimy dziś lasagnę?” Jakże wygodnie! Składniki na lasagnę znajdują się w ciągu dwóch godzin w ganku. Fantastyka? Nie – realia usług Amazona w Stanach. Do nas może jeszcze nie dotarły, ale do tego to zmierza.

Telefon z Androidem? Przez co przechodzą wszystkie twoje wiadomości e-mail, SMS-y, wyszukiwania na mapie, wyszukiwania na FB, lajk-łapki, yelp, Twitter, dane o zakupach, youtube (tak, nie tylko to, co obejrzałeś, ale też od którego momentu do którego momentu)  … uzupełnij sobie listę.

Lokalizacja is the new king!

Spotkałeś ostatnio nowego znajomego w barze lub na imprezie. Porozmawialiście, może nawet była to interesująca rozmowa. Wstajesz rano, jednym już otwartym okiem zerkasz na FB – a tam czeka podpowiedź nowej znajomości? WTF!?!

Dzięki usługom lokalizacji, które są w naszych telefonach i pozwalają nam tak łatwo poruszać się po nowych miastach i miejscach, udostępniamy także całkiem nowe informacje o sobie. Gdzie bywamy, gdzie spędzamy czas, gdzie biegamy, gdzie jemy i robimy zakupy.

A jak już dwie nieznajome osoby były w tym samym miejscu, w tym samym czasie – może by chciały się spotkać i na FB? Tak właśnie pomyśleli w FB i testowo rozpoczęli sugerowanie nowych znajomych na podstawie wspólnej obecności osób w tej samej lokalizacji.

Nie musieliście wymieniać się e-mailami, nie musieliście wymienić się numerami telefonów, może nawet tego nie planowaliście. Ale FB i tak pomyślał, że skoro spędziliście czas w tym samym klubie, to jest pewna szansa, że może chcecie się poznać. I bum – kolejna cegiełka do układanki. Tym razem twierdzą, że to był tylko test. Czy to cię uspokaja?

keep-calm-it-s-only-a-drill-5

Twój numer telefonu jest ważny. Nawet jeżeli nie podajesz swojego e-maila albo podajesz inny e-mail w jakimś serwisie, nadal można cię połączyć z jednym serwisem czy drugim, używając numeru telefonu. A ten zmieniamy już stosunkowo rzadko i przeważnie dysponujemy jednym lub dwoma numerami.

Jeżeli zastanawiasz się potem, skąd ktoś wie, że to właśnie twój profil na FB – zastanów się, czy nie ma cię w książce adresowej. A jego aplikacja mobilna Facebook pierwsze co zrobi, to pobierze te dane i porówna je z listą kontaktów w swojej sieci.

Niestety, wszystko jest przeciwko tobie. No prawie wszystko.

Dotąd pisałem głównie o śledzeniu i zbieraniu twoich danych poprzez elementy takie jak usługi on-line, social media itp. Możesz oczywiście z nich nie korzystać, blokować i podjąć dodatkowe kroki. Niestety okazuje się, że jeżeli ktoś będzie chciał cię śledzić – może wykorzystać szereg innych elementów.

Przykładem niech będą prace Łukasza Olejnika, w których przeanalizował możliwość śledzenia osoby poprzez charakterystykę pracy baterii, czujnika oświetlenia lub zbliżenia. A przy okazji – wiedzieliście, że przeglądarka może mieć dostęp do tych elementów i że może z nich korzystać w tym celu?

Jeżeli chodzi już o ciekawsze badania w zakresie szerzej pojętego bezpieczeństwa, wpadłem ostatnio na dokument opisujący możliwość analizy wpisywanych znaków z klawiatury, w oparciu o analizę odbicia sygnału WiFi od palców piszącego.

Jeżeli chcielibyście sprawdzić, do jakich aplikacji jesteście zalogowani w waszych przeglądarkach możecie skorzystać z prostego projektu na GitHub. Wynik może was zaskoczyć.

social-logon

Każdy z tych wpisów, oznacza że ten serwis może śledzić was poprzez elementy osadzone na innych stronach.

Privacy is dead!

Zakrzyknął Mark Zuckerberg, a media to ochoczo podchwyciły. O ironio – rzeczony Mark Zuckerberg wykupił w RL wszystkie posiadłości wokoło swoje domu, aby zapewnić sobie … PRYWATNOŚĆ. A wokół swojej posiadłości na Hawajach buduje wysoki mur. Spróbujcie też znaleźć jego prywatne zdjęcia w sieci.

Prawda jest taka, że prywatność nie umarła. W sieci jest jej mało albo inaczej – łatwo udostępnić swoje dane, a trudniej już potem nad tym zapanować. Prywatność umrze całkowicie, jeżeli przestaniemy o nią dbać.

Zawsze gdy rozmawiam na ten temat z kimś po raz pierwszy, pojawia się koronny argument: “Ale ja przecież nie mam nic do ukrycia!”. Tak, a wystawisz na światło sieci swoje wszystkie dokumenty osobiste? A widzisz…

Nawet jeżeli nie mamy nic do ukrycia, to nie oznacza, że musimy się zgadzać na to, żeby posiadacz naszych danych nie informował nas o tym, jakie to dane, jak je przetwarza i co planuje z nimi robić.

Prywatność nie zniknęła i wg mnie nie jest prawdą to, co ogłosił Mark Zuckerberg, że ludzie nie oczekują jej w sieci.

Ludzie dopiero zaczną jej oczekiwać wówczas, gdy przekonają się, że ich dane są naprawdę wykorzystywane. I to w przypadkach, które mogą wpływać na ich rzeczywiste życie. Czy to w postaci decyzji podejmowanych przez innych, czy też czysto finansowych.

Tam gdzie są dane, wcześniej czy później pojawi się biznes

Ślady, które po sobie zostawiamy, nie służą jedynie analizie naszych zachowań pod kątem reklamy i sprzedaży, czy też doskonalenia algorytmów AI. Tam, gdzie pojawia się duża ilość danych o dużej wartości, zawsze pojawi się pomysł na biznes. I takich pomysłów jest wiele.

Najprostszy z nich, to możliwość sprawdzenia, co o danej osobie da się znaleźć w różnych bazach danych. Takie usługi już istnieją i mają się dobrze. Prowadzą zazwyczaj do ciekawych sytuacji – kobieta pozwała taką firmę o odszkodowanie, ponieważ dane ujawniły to, że miała romans i w wyniku tego jej mąż się z nią rozwiódł.

Mnie ciekawsze wydają się jednak przykłady firm, które próbują stworzyć modele biznesowe, pozawalające nam lepiej kontrolować, jakie dane i gdzie udostępniamy, a także osiągnąć z tego udostępniania dodatkowe benefity.

Przykładem takiej firmy, którą śledzę od jakiegoś czasu jest Meeco (Me-Economy). Meeco próbuje stworzyć sytuację, w której możecie otrzymać dodatkowe benefity w zamian za informacje, które udostępniasz i zachować też kontrolę nad tym.

Inny przykład wykorzystania danych, to możliwość uzyskania odpowiednika oceny zdolności kredytowej (credit score) w oparciu o dane, które firma może zebrać o danej osobie. Obejrzyj prezentację z TED poniżej.

Jak widać, dane mogą być zebrane i użyte w pożyteczny dla ciebie sposób. Mogą być też zebrane i użyte w celu mniej ci odpowiadającym – na przykład, gdy chodzi o weryfikację przed kontraktem, przy podpisaniu umowy ubezpieczeniowej, wynajęciu mieszkania, samochodu itp.

Większa otwartość – łatwość weryfikacji! Na pewno? Tracisz przecież kontrolę nad elementami tej weryfikacji. Nie wiesz, co jest o tobie dostępne, kto do czego tego używa.

Dlatego jest ważne, abyś świadomie podejmował decyzje: gdzie i jakie dane udostępnić, czym się dzielić, jaki “ślad” w sieci po sobie zostawić.

Prywatność zniknęła w sieci, a w RL?

To o sieci. A jak w życiu poza siecią (BTW – w pierwszym momencie napisałem “rzeczywistości”, ale potem skreśliłem – sieć w końcu jest częścią naszej rzeczywistości)?

Tutaj jest podobnie. Twoje dane i informacja o twoich zachowaniach są cenne i firmy starają się je zbierać. To, co lubisz, miejsca do których chodzisz, twoje dane adresowe, to co kupujesz śledzone historią kart kredytowych. To wszystko, to cenne dane.

Dodatkowo cennym towarem są twoje dane osobowe i informacje osobiste, które mogą posłużyć do tego, aby w twoim imieniu wykonać jakieś operacje lub nabyć usługi. Dlatego informacje osobiste, dane personalne, numery telefonów, dowodu osobistego, numer PESEL – to informacje, które powinieneś chronić.

Czasami oddajemy je w bardzo prosty sposób. Kto z was nie odbył rozmowy telefonicznej, którą osoba po drugiej stronie rozpoczyna od: “Dzwonię do Pana w imieniu firmy X w sprawie polisy ubezpieczeniowej w firmie X, Y lub Z. Czy posiada Pan taką polisę?”

Prosta odpowiedź: “Tak, ale o co chodzi?” oddaje już pierwszą informację o nas. A założę się, że wiele osób odpowiada w ten sposób. W końcu ten skrypt, nie bez powodu został napisany w ten sposób.

Inny typowy przykład, to pytanie o kod pocztowy przy kasie w sklepie. Tak, potrzebują tego do analizy zasięgu swoich reklam, skąd ludzie do nic docierają itp. Ale to, że sklep tych danych potrzebuje, nie oznacza, że ty musisz mu je oddać!

Swoją drogą żeby było jasne – w sklepach, tych większych przeważnie, mogą działać systemy, które rozpoznają cię jako osobę i śledzą trasę, jaką się poruszasz po powierzchni sklepu. To, że zatrzymasz się dłużej przy stoisku z begoniami, może mieć wpływ na to, co zaproponuje ci sprzedawca na stoisku z doniczkami kilka alejek dalej.

Na takie rzeczy należy zwracać uwagę. To, gdzie i komu oddajcie swoje dane i informacje ma znaczenie. W szczególności nie powinny być to osoby dzwoniące lub piszące do ciebie anonimowo. I to, że przedstawiają się jako osoby z banku nie powoduje, że stają się mniej anonimowe. Pisałem już trochę o tym wcześniej.

Co robić, jak żyć?

To pytanie stało się już kultowym memem w naszym kraju, ale też nadaje się świetnie do tego typu podsumowań.

Pytanie pierwsze – czy jesteśmy w stanie ochronić swoje dane całkowicie i zapewnić sobie pełną prywatność w sieci? Odpowiedź – jeżeli jesteś w stanie przestać korzystać z sieci, to tak, ale i tak nie do końca. Twoje dane będą się tam nadal pojawiały, tylko nie ty będziesz ich źródłem.  Nadal będą robić to twoi znajomi, systemy sprzedaży z których korzystasz, twoja karta kredytowa itp.

Prawda jest taka, że w dużej mierze korzystanie z tych wszystkich usług i udogodnień jest dla nas wygodne. Jednak zapisując się do następnego serwisu lub wypełniając formularz w sieci, powinieneś się zawsze zastanowić, czy dane które oddajesz są warte tego, co otrzymasz w zamian.

Wymaganie podania PESEL w formularzu w księgarni internetowej?

Kod pocztowy?

Gra on-line, która chce dostępu do listy twoich znajomych na FB?

To twój wybór, czy się na to zgodzisz. Zawsze możesz nie użyć tej usługi.  Ja często tak właśnie robię i jeżeli dochodzę do wniosku, że usługa chce za dużo informacji – rezygnuję z niej.

Świadomy wybór to podstawa.

My to jeszcze nie, ale ci co po nas przyjdą…

Pokolenie obecnych 30-, 40-latków wyrosło “w sieci”. Ale mieliśmy przecież okres życia bez sieci albo przynajmniej bez sieci takiej, jaką widzimy teraz – powszechnej, w której dane są gromadzone, analizowane i używane do budowania naszego profilu. Sieci, w której znajduje się tyle informacji o nas, które tak chętnie udostępniamy.

Ci którzy przyjdą po nas, będą w innej sytuacji. W zasadzie od urodzenia są w sieci. Przeważnie pierwsza ich obecność w sieci ma miejsce kilka godzin po urodzeniu, gdy ich rodzice wrzucają zdjęcie, wymiary, wagę, zawartość pieluszki. Od tego momentu informacji o nich będzie jedynie przybywać.

Tymi danymi będą się karmić coraz to lepsze algorytmy AI, potem będą wnioskować i profilować. Gdy będziesz chciał się ubezpieczyć – przeanalizują twoje zachowania związane ze zdrowiem. Zbyt dużo imprez w młodości – wyższa składka. Określone objawy – cóż, niestety “nie” albo składka bardzo wysoka.

Fikcja? Niekoniecznie: badacze z Microsoft byli w stanie z dobrym skutkiem przewidzieć możliwość zachorowania na raka trzustki na podstawie zapytań kierowanych do sieci. To akurat w dobrym celu, ale pokazuje, co jest możliwe, a możliwe będzie więcej. Ilość danych będzie rosła, algorytmy będą robiły się lepsze.

Dzieciaki, które teraz udostępniają zdjęcia i wpisy z imprez nie zakładają jednego – kiedyś ktoś je może wyciągnąć jako element “background check” przy podpisaniu z nimi kontraktu (celowo nie piszę rozmowy o pracy, bo te jako takie pewnie znikną).

Tak by można pesymistycznie zakończyć, ale …

Teraz praktycznie, … oj to będzie długa lista.

Jeżeli jednak chcemy korzystać z usług i aplikacji w sieci? Chcemy udostępniać nasze informacje na profilach i chcemy korzystać z sieci. Trudno cię będzie przekonać, że nie powinieneś tego robić. Ale jest kilka rzeczy, które możesz zrobić, aby lepiej kontrolować to, co o sobie udostępniasz.

  • Każda z usług, z których korzystasz, posiada przeważnie ustawienia prywatności, które w mniejszym lub większym stopniu pozwalają ci kontrolować to, jakie dane o tobie są widoczne i dla kogo. Sprawdź je zawsze i ustaw tak, aby udostępniać jak najmniej.
    Na przykładzie Facebook, ustawienia na WWW znajdziecie w swoim profilu.fb-privacy-settingsW szczególności: zwróćcie uwagę na domyślne ustawienia zasięgu waszych wpisów i pomyślcie, co z tego kontrolujecie:

    • znajomi – tak, tutaj jeszcze coś kontrolujecie;
    • znajomi znajomych – tutaj już nie wiecie, kogo znajomi dodali do profilu i jakie mają ustawienia u siebie;
    • Publiczne… OMG!  Wszyscy mogą to przeczytać!

fb-audience

  • Ustawienia tego, czy można wyszukać twój profil używając numeru telefonu i e-mail. Niekoniecznie chcesz, aby na liście twoich znajomych pojawiali się wszyscy ludzie, którzy wpiszą twój numer telefonu do swojej listy kontaktów…

snip_20160918223250

  • Używasz aplikacji mobilnych Facebooka? Np. Messenger gwarantuje ci, że działa poprawnie bez dostępu do listy twoich kontaktów. To samo z podstawową aplikacją mobilną. Wyłącz to.

fb-mes-ios

 

  • Jeżeli chcesz z kimś porozmawiać prywatnie lub tak, aby nikt nie analizował tych informacji – używaj aplikacji Signal. Nie Telegraph – tak, wygląda ładnie, ma kolorowe emoji i używają jej wszyscy w okolicy. Od strony bezpieczeństwa jednak, eksperci nie zostawiają na niej suchej nitki – to QPA (i jeszcze pisze rzeczy do logu).
  • Facebook dodał właśnie do swojego Messengera opcję Secret conversations. Chcąc rozpocząć z kimś zabezpieczoną rozmowę klikamy Secret

    fb-secret-1

    I wybieramy rozmówcę. Dzięki temu cieszymy się rozmową zabezpieczoną przez technologię Open Whisper Systems, czyli tą samą, która stoi za aplikacją Signal.fb-secret-2Coś za coś – zabezpieczona w ten sposób rozmowa, nie będzie synchronizowana z innymi urządzeniami. Jak dla mnie to nie jest duża wada. 
  • Jeżeli na telefonie nie korzystasz w danym momencie z map lub innej tego typu aplikacji – wyłącz usługę lokalizacji. W iOS robi się to tak: Settings -> Privacy -> Location services

ios-privacy

(jeżeli ktoś podeśle, jak to się robi dokładnie w android to zamieszczę -> nie mam pod ręką żadnego urządzenia z robocikiem)

  • W iOS 10 pojawiła się jeszcze jedna ciekawa opcja. Wybieramy Settings -> privacy i zjeżdzamy na sam dół, a tam w Advertising. Dwie opcje do ustawienia tutaj:
    • Limit add tracking
    • I nowa w iOS 10 – reset advertising identifier, czyli tak jakbyście zostali nowym użytkownikiem dla tych, którzy śledzą was w celu reklamy <link do tego co to jest advertising ID>. Nie oszukujmy się jednak, że to całkowicie wyłącza możliwość śledzenia Was.ios-ads
  • Teraz co do połączeń – wszyscy ci zawsze powtarzają żeby używać SSL. I dobrze. Nie używaj stron, które zawierają formularze logowania lub formularze płatności bez SSL. Jeżeli jakiś sklep albo twoja osiedlowa kotłownia tego nie oferuje – nie korzystaj z nich, a jeżeli musisz, to męcz ich o zabezpieczenia.
  • Sieci publiczne – każde czasami potrzebuje kawałka WiFi do oddychania. Jeżeli podłączasz się do takich sieci, to pamiętaj – każdy w tej sieci może cię słuchać. Korzystaj z połączeń SSL a najlepiej z VPNa.
  • VPN – czyli prywatny kanał w sieci publicznej. Szyfrowane połączenie z twojego komputera do innego punktu, który uważasz za bezpieczny. Ja korzystam z VPN na wszystkich urządzeniach poza swoimi sieciami. Używam Freedome VPN z F-Secure, ale są też bezpłatne odpowiedniki, takie jak TunnelBear czy też VPN wbudowany w przeglądarkę Opera. Tak, wtedy ufasz temu, kto tą usługę dostarcza. Ale w sieci prawie zawsze trzeba na końcu komuś zaufać (ten, jak i inne problemy tego świata rozwiąże Blockchain).
    • Opcją bardziej zaawansowaną jest używanie TOR. Kto będzie chciał – doczyta.
  • Jeżeli chodzi o przeglądarki:
    • In Private view czy też p0rn mode – to nie jest prywatne połączenie. Nawet jeżeli otworzysz to połączenie, nadal można cię śledzić. Na przykład korelując połączenia, które są wykonywane z tego samego komputera (tak, tak – takie rzeczy też się robi drogie misiaczki, warto czasami poczytać co tam Snowden wypuścił w sieć).
    • Blokowanie reklam. Tutaj możesz mnie nazwać złodziejem, oskarżyć o brak szacunku do twórców itp. – używam rozszerzeń blokujących reklamy i planuję ich używać nadal.
      1. Nie używamy AdBlock, AdBlock Plus;
      2. Chrome – używamy uBlock Origin i Ghostery – ta ostatnie tworzone jest i utrzymywane przez komercyjną firmę, która jeżeli przystąpicie do programu GhostRank dzieli się informacjami z Waszego zachowania z dostawcami reklam. To jest operacja opt-in więc kolejna porada, zawsze sprawdzajcie na co się zgadzacie. Alterantywnie dla Ghostery można używać np. DisconnectMe lub jednego z rekomendowanych na prism-break.org narzędzi.
      3. Opera –  ma wbudowane;
      4. Firefox – sprawdzcie na prism-break.org dla Waszej platformy systemu operacyjnego;
      5. W przypadku IE – jak wyżej;
      6. W przypadku Edge – od niedawna dostępny jest klon uBlock Origin.
  • Jeżeli nie musisz, nie podawaj swoich danych osobowych, teleadresowych, numerów telefonów itp. One przeważnie nie są wymagane do tego, aby usługa poprawnie działała, a właśnie po to, abyś stał się bardziej wartościowy dla niej jako rekord danych.
  • Z rzeczy innych:
    • Jeżeli nie chcesz się narazić na podglądanie cię przez kamerę – zawsze możesz ją zakleić,
    • To samo możesz zrobić z mikrofonem w komputerze

Oddzielnym tematem od strony prywatności są wyszukiwarki w sieci. To z czego warto sobie zdać sprawę, to fakt, że wyszukiwania w Google, Google, czy alternatynwej wyszukiwarce (czyli przeważnie Google) nie są anonimowe. Wszystkie są starannie przechowywane i używane do analizy waszych zachowań.

Jeżeli chcecie tego uniknąć alternatywą dla standardowych wyszukiwarek jest DuckDuckGo – silnik wyszukiwania, który nie śledzi waszych zapytań.

Od strony bezpieczeństwa

Z rzeczy praktycznych związanych z bezpieczeństwem i prywatnością:

  • Pisał o tym Maciek, ale powtórzę – używamy różnych haseł do różnych usług. Hasła generujemy losowe i przechowujemy na boku. Przydatny do tego jest KeePass.
  • Jeżeli chodzi o hasła – warto zapisać się do serwisu Have I Been Pwned. Troy Hunt robi tam kawał dobrej roboty. Jeżeli w ramach jakiegoś serwisu wyciekną hasła z twoimi e-mailami – zostaniesz o tym powiadomiony.
  • Gdzie się da używamy wieloskładnikowego uwierzytelnienia. Włącz to, jeżeli tylko usługa to oferuje. Tak, wiem co NIST napisał o OTP przy użyciu SMS, ale nadal w przypadku większości celów i podejść jest to dobre zabezpieczenie, a aplikacje coraz częściej umożliwiają użycie innych aplikacji lub kodów przez nie generowanych.
  • Używaj oddzielnych adresów e-mail dla usług, które są dla ciebie ważne, oraz dla usług takich, jak portale społecznościowe itp. W szczególności, jeżeli podajesz adres e-mail do przypomnienia hasła to używaj innego adresu e-mail dla usług typu bank, czy twój główny adres e-mail niż w pozostałych serwisach. Jednym z głównych problemów jest nadal powiązanie tych informacji w swoisty łańcuszek, a strony i serwisy internetowe często chętnie się tą informacją dzielą (chociaż nie celowo, a raczej przez brak przemyślenia tematu).
  • Nigdy ślepo nie ufaj temu, co piszą do ciebie znajomi w sieciach społecznościowych. Szczególnie, jeżeli są to prośby o twoje dane, informacje osobiste lub bardziej bezpośrednie o pożyczkę finansową lub pomoc w potrzebie. Jeżeli coś takiego otrzymujesz, wykonaj dodatkowo telefon w celu zweryfikowania tego co się dzieje. Nawet, gdy ta osoba twierdzi, że jest twoim wnuczkiem :)!
  • Nie udostępniaj w sieciach społecznościowych takich informacji, które mogą umożliwić poznanie twoich planów. Karta pokładowa przed wylotem wrzucona na FB lub Snapchat – to naprawdę niezbyt dobry pomysł.
  • I teraz lista paranoika:
    • Nie korzystaj z obcych ładowarek do telefonów, ładowarek na lotniskach, w hotelach i innych tego typu miejscach;
    • Nie pozwalaj nikomu ładować swojego telefonu przez swój komputer lub choćby na chwilę podpiąć USB, “bo muszę coś wysłać”;
    • Nie podłączaj swojego telefonu do bluetooth w wynajętym samochodzie, do USB zresztą też nie.
  • Coś co spowoduje, że będziesz mało popularny wśród swoich znajomych – domowe WiFi jest dla domowników. Dlaczego? Dobrze opisał to wspomniany już Troy Hunt, więc nie będę się powtarzał tylko odeślę do źródła.

Ten ostatni punkt, to ogólnie ciekawe zagadnienie w temacie rozwoju tego, co się nazywa “IoT”.

W jaki sposób będziemy ufać urządzeniom wszelkiej maści działającym w naszym domu, jak będziemy zarządzać urządzeniami gościnnymi itp. Tego w zasadzie jeszcze nikt nie wie i nie rozwiązał. Na tą chwilę wielu uważa, że rozwiąże to … tak, Blockchain. Jak? Jeszcze nie do końca wiadomo (chociaż potrafię to sobie jakoś wyobrazić).

Do powyższego – osobiście uważam, że przed branżą czyszczenia domowych sieci z “paskudztw” i ich sprawdzania jest świetlana przyszłość. 

I jeszcze w świecie fizycznym

O tym już trochę wspominałem wcześniej, ale zbiorę to w jednym miejscu:

  • Nie udostępniaj swoich danych osobowych, numeru dowodu, PESEL, paszportu itp. przez internet lub w rozmowach telefonicznych. To  nie są dane, którymi się można dzielić w ten sposób
  • Nie pozwalaj na wykonywanie kopii dokumentów (dowód osobisty, prawo jazdy, paszport, kart kredytowa – tak, w kilku miejscach spotkałem się z tym, że hotel wykonywał ksero karty kredytowej). Nie wiesz, kto i w jakim celu tego będzie mógł potem użyć i tracisz nad tym kompletnie kontrolę.
  • Nie odpowiadaj na żadne pytania osobiste lub dotyczące stanu posiadania: czy to finansów, czy usług przez telefon. Jeżeli ktoś dzwoni z banku lub innej instytucji – powinien tą wiedzę posiadać i móc potwierdzić swoją wiarygodność. Nigdy nie wiesz, kto jest po drugiej stronie.

Puentę napisało samo życie

Mogło tutaj nastąpić podsumowanie. Nie nastąpi. Będzie przykład. Kończąc pracę nad wpisem, trafiłem na artykuł w jednej z popularnych gazet w Polsce. Artykuł dotyczył sposobu działania piramid finansowych w sieci, a jego autorka w pewnym momencie pochyliła się nad problemem prywatności:

dz-priv

Droga Pani Redaktor. Nie potrzeba skryptu. Odpowiedzi udziela ekran z wspomnianego Ghostery ze strony Pani artykułu.

goshtery

I to by było na tyle. Kurtyna!

Główne zdjęcie: Isengardt via Visualhunt.com / CC BY

Change log:

[2016-09-20]

[EDIT #1]  Uaktualniona informacja o Ghostery i podane alternatywy dla tego narzędzia

[EDIT #2] Dodana informacja o wyszukiwarkach i linki do DuckyGoGo

[2016-10-04] [EDIT #3] Dodana informacja o szyfrowaniu w Facebook Messanger.

 

About Author

15 Comments

    • Tomasz Onyszko on

      Tak, ostatnio jak sprawdzałem to w chwili to przynajmniej to co można wyczytać to w przypadku gdy robisz opt-in do GhostRank. Ale dobra uwaga, uaktualnie wpis o to i dam też linki do alternatyw. Dzięki

  1. siekierowy on

    Dlaczego ani słowa o wyszukiwarce DuckDuckGo? To też bardzo przydatne narzędzie dla tych, którzy nie lubią śledzenia i idiotycznych “spersonalizowanych” podpowiedzi.

    • Tomasz Onyszko on

      O widzisz, zapomniałem na śmierć. Ta lista będzie zresztą rosła – kiedyś trzeba było zamknąć post a punktów technicznych jest jeszcze więcej. Wrzuciłem już edit i dzięki za komentarz. Na to właśnie też liczyłem – moze wspólnie zbudoujemy on-stop dla informacji tego typu tutaj.

      To swoją drogą przypomniało mi o osobie, która kiedyś mnie też w stronę tych narzędzi i nie tylko skierowała – https://twitter.com/futureidentity – i organizacja https://www.internetsociety.org/ – warto śledzić, w szczególności Robina. Pamiętam jak o DuckDuckGo rozmawialiśmy z nim kilka lat temu na jakiejś konferencji.

    • Tomasz Onyszko on

      Ooo … fajnie sobie przypomnieć że miałem dobre myśli kilka lat temu :), szkoda że ich nikt nie czyta(ł) :).

        • Tomasz Onyszko on

          Co do w2k.pl – myślałem o tym, żeby przejrzeć artykuły i te, które mają jakąś wartość przenieść tutaj. Ale nie wiem czy to warte wysiłku :). Może jednak w tym roku. Tamten serwer może się zamknąć za jakiś czas.

          Co do tematu biometryki – zbieranie danych przez firmy … hmm, duży temat. Z punktu widzenia prywatności problem nie polega nawet na tym że te dane są zbierane ale
          a/ czy wiemy o tym
          b/ czy mamy wgląda w to jakie dane są o nas zbierane
          c/ czy mamy możliwość wglądu w to do czego są używane i komu są przekazywane.

          Biometryka ma dużo zastosowań a jednocześnie jest problematyczna, z ciekawostek: Windows 10 używa biometryki do Halo, pozwala Ci się logować do systemu w ten sposób. Jednocześnie nie pozwala na przechodzenie tego pomiędzy systemami (na każdym musisz się od nowa rejestrować). To jest tak zwana “design decission”. Technicznie było to do zrobienia ale firma zdecydowała się nie robić tego, włąśnie po to, żeby nie synchronizować przez siebie danych biometrycznych.

          Jest dużo zastosowań biometryki, które nie wymagają gromadzenia danych przez firmy – np. użycie lokalnie na urządzeniu w przypadku rozwiązań zgodnych z FIDO.

          Jeżeli już firmy będą takie dane gromadziły to pytanie będzie właśnie o to czy będą robiły to za zgodą ludzi, pozwalając na dostęp do informacji o tym co jest zgromadzone i jak używane, pozwalajac na łatwe usunięcie swoich danych. Czy będą gromadziły dane wprost czy “fingerrint” czyli coś co pozwala na dobre przybliżenie że my to my.

          Wszystko będzie też zależało od kontekstu – inaczej będziemy podchodzić do gromadzenia tego typu danych przez państwa na granicy (ja skanuję się kilkanaście razy do roku w różnych krajach) a inaczej gdy tego typu dane zebrane w jednym punkcie będą wykorzystywane do tego, żeby reklama rozpoznawała nas w innym punkcie.

          Myślę, że tutaj wypracujemy rozwiązania dopiero w momencie gdy tego typu rozwiązania będą się upowszechniały.

  2. Dwie rzeczy przykuły moją uwagę: µBlock vs uBlock vs uBlock Origin – jakie widzisz różnice względem AdBlocka i która z tych wtyczek jest tą “najwłaściwszą”?

    Druga sprawa to Messenger. Fajnie, że za szyfrowaniem stoi Open Whisper Systems, ale jednak nie ufam Facebookowi do tego stopnia, żeby wierzyć na słowo.
    Może team Pauli Januszkiewicz albo Piotrka Koniecznego pokusiłby się o jakiś solidny pentest dla takich niedowiarków jak ja?

    • Tomasz Onyszko on

      AdBlock został sprzedany przez autora firmie komercyjnej – nie wiem czy już ujawnili komu ale przez długi czas nie chcieli ujawnić komu. Więc korzystając z AdBlock korzystasz z serwisu firmy, o której nic nie wiesz. Firma ta zarabia zapewne na przepuszczaniu do Ciebie reklam tych, którzy za to zapłacili

      ublock vs uBlock Origin – https://www.reddit.com/r/ublock/comments/32mos6/ublock_vs_ublock_origin/ – ogólnie uBlock nie jest już rozwijany, rozeszli się autorzy projektu itp – cała drama na Wiki: https://en.wikipedia.org/wiki/UBlock_Origin

      Jeżeli chodzi o używanie FB Messenger możesz poczytać na sieci, jest już dużo analiz. Chcesz rozmawiać prywatnie – używaj Signal.

  3. Poza duckduckgo jest jeszcze https://www.startpage.com (jeśli się nie mylę korzysta z wyników google’a, zaś sama firma jest w EU, a nie z USA jak duckduck).

    Czy mógłbyś dodać kilka słów w poniższych tematach:
    – gmail – czy sam używasz? czy też możesz polecić jakiś inny serwis?
    – szyfrowanie – jakiego obecnie programu sam używasz/byś polecił?
    – kopie zapasowe – jak rozwiązujesz to prywatnie (poza firmą), NAS/chmura (która i dlaczego)/jaki soft/rozwiązanie polecasz?
    – win 10 – najbardziej szpiegwski system w histori MS? czy sam używasz prywatnie czy też jakiś inny / czy da się go jakoś sensownie “wyczyścić”? 😉
    – czy możesz wskazać jakiś 1 porządny artikl, który jasno wyjaśni czemu iPhone jest dużo lepszy od Androidów od strony privacy?

    Z góry dzięki za odp.

    • To kilka pytań w jednym. Podzielę chyba odpowiedź na kilka części. Na początek te proste lub oczywiste:

      1. Gmail, używam. Zdaję sobie sprawę z tego jak działa, potrzebny jest do kilku rzeczy. Mam dwa konta Gmail – jedno traktowane jako spam box, drugie, którego w zasadzie nie podaję w formularzach itp. Biznesowo używam O365 – tak mamy w firmie. Jeżeli chodzi o bezpieczeństwo to jest proton mail (też mam 😉 ).

      2. Szyfrowanie:
      – Dysk szyfruję bitlockerem (tak, wiem, Microsoft, backdors itp 🙂 )
      – Połaczenia -> VPN, Freedome.
      – IM -> Signal.

      Z ogólnych narzędzi prostych w użyciu i dostępnych to do szyfrowania VeraCrypt, przy poczcie PGP

      3. Kopie zapasowe: Prywatny NAS.

      Do kolejnych dwóch pytań musze odgrzebać kilka linków, podrzucę później.

Leave A Reply

Share This

Share This

Share this post with your friends!