Jak zniknąć z radarów

Do tej pory prywatność kradły nam globalne korporacje – Facebook, Google, Apple – na zasadzie „dane w zamian za usługi”. A jeśli już była mowa o państwowej inwigilacji, do niedawna mogło chodzić o amerykańską Agencję Bezpieczeństwa Narodowego (NSA) i jej brytyjski odpowiednik GCHQ. Teraz, dzięki przyjętej w lutym zmianie ustawy o policji, nos w cudze sprawy wtykają, właściwie bez ograniczeń, także polskie służby. Bez ograniczeń i bez śladu – to znaczy, że obywatel nigdy się nie dowie, że ktoś go sprawdzał.

– Ta ustawa jest zmarnowaną szansą na „dobrą zmianę” – mówi Wojciech Klicki z Fundacji Panoptykon, działającej na rzecz wolności i ochrony praw człowieka w społeczeństwie nadzorowanym. – Od lat mamy problem z wrażliwymi danymi, po które sięgają służby. Na ich podstawie można ustalić szczegółowy profil osoby, a nawet przewidzieć, gdzie będzie przebywać następnego dnia. Pan nie pamięta, gdzie był osiem miesięcy i trzynaście dni temu, ale służby w każdej chwili mogą do tego sięgnąć.

– W ostatniej chwili z zakresu „danych internetowych” wyłączono treść przekazu, co można uznać za wyjście naprzeciw społecznej krytyce projektu ustawy – mówi prawnik Panoptykonu. – Tyle że metadane, które będą zbierane (kto, z kim, kiedy, gdzie, jak długo), przechowywane są łącznie z treścią, zatem w ręce służb wpadnie wszystko. Nie ma gwarancji, że funkcjonariusz, do którego trafi korespondencja, skasuje jej treść.

Niewiara w dobre intencje służb i sceptycyzm wobec skuteczności obywatelskiego protestu każą zabezpieczyć się na własną rękę. Dlatego spróbuję zniknąć z radarów, na których mogliby mnie śledzić ludzie lubiący zbyt dużo wiedzieć.

Nie ma chmury

Punkt wyjścia – przeglądarka. Firefox to zdaniem ekspertów dobry wybór, bo tzw. otwarte oprogramowanie wyróżnia się tym, że trudno przemycić w nim elementy śledzące użytkowników. Jest przy tym wyposażona w parę dodatków, które temu zapobiegają. Popularny AdBlock Plus blokuje reklamy, Ghoster pokazuje i blokuje skrypty śledzące na danej stronie internetowej, Flashblock kontroluje aktywację dodatków typu flash.

I tu pojawia się pierwszy problem, bo takie dodatki blokują też część aktywnych elementów stanowiących budulec dzisiejszych stron. Mój bezpieczniejszy internet wygląda więc nieco ubożej.

– Coś, co dla jednych jest przydatną funkcjonalnością, dla innych może być elementem śledzącym, np. wymyślne czcionki, często pobierane bezpośrednio z serwerów Google’a. Co oczywiście oznacza, że Google wie, kiedy odwiedziliśmy stronę korzystającą z takiej czcionki – mówi Michał „rysiek” Woźniak z Polskiej Grupy Użytkowników Linuksa, człowiek, którego zadaniem będzie zdalne zajrzenie do mojego komputera i sprawdzenie, czy ogólnie dostępne metody zabezpieczeń są coś warte.

Rozwiązaniem całościowym może być korzystanie z oprogramowania Tor, które ukrywa adres IP (czyli ciąg cyfr będących naszym adresem w sieci), przekazując dane przez szereg anonimowych serwerów-węzłów. Najłatwiejszym sposobem jest instalacja Tor Browser – opartej na Firefoksie przeglądarki zintegrowanej z Torem. Jedynym efektem ubocznym może być nieznaczne spowolnienie ładowania stron.
Warto przy tym zwrócić uwagę na przechowywanie danych „w chmurze”, do czego tak bardzo zachęcają m.in. Microsoft, Apple i Google. – Nie ma czegoś takiego jak chmura – mówi Woźniak. – Są komputery innych ludzi. Dlatego trzeba zdecydować, czy można im ufać, a najlepiej szyfrować tak przechowywane dane – np. za pomocą programu VeraCrypt, którym można zaszyfrować też dysk na swoim komputerze.

Do szyfrowania trzeba dwojga

Korzystam z poczty we własnej domenie, czyli utrzymuję swoją skrzynkę na serwerze polskiego dostawcy takich usług. Używam też jednego z europejskich serwisów pocztowych, który – tu muszę im uwierzyć – nie zbiera ani nie przekazuje moich danych. Oba wyjścia są lepsze z perspektywy prywatności niż darmowe konta w wielkich korporacjach, jednak nie oznacza to, że nie ma sposobu ich prześwietlenia.

– Z punktu widzenia nowej ustawy dobrze utrzymywać pocztę jak najdalej od Polski, tam gdzie współpraca międzypaństwowa działa słabo i do porozumienia potrzebna jest ścieżka biurokratyczna. Dobry jest także mały dostawca w Europie – np. w Islandii – gdzie prywatność użytkownika jest dobrze chroniona. Polski dostawca jest o tyle dobry, że podlega Generalnemu Inspektorowi Ochrony Danych Osobowych i, tym samym, chroni nas przed zakusami Google’a. Ale niekoniecznie przed zakusami służb – wylicza Woźniak.

Dlatego eksperci radzą: szyfrujcie pocztę. Z mechanizmu szyfrowania i podpisywania poczty możemy skorzystać np. instalując wtyczkę Enigmail do popularnego programu pocztowego Thunderbird (który także jest wolnym i otwartym oprogramowaniem). Jest jednak poważne ale: do szyfrowania trzeba dwojga. Jeśli druga strona nie szyfruje poczty, nic z tego nie będzie. A kto na co dzień szyfruje maile?

Facebook na bruk

Dbając o prywatność, musimy zrezygnować ze „scentralizowanych” mediów społecznościowych, z Facebookiem na czele.

– Nigdy w historii ludzkości nie było sytuacji, żeby jedna organizacja kontrolowała komunikację miliarda ludzi. I słowa „kontrolowała” używam tu całkowicie świadomie – mówi Woźniak. – Facebook nadzoruje i cenzuruje komunikację, także prywatną, manipuluje użytkownikami.

Przykłady są i śmieszne, i straszne: ocenzurowanie satyrycznego rysunku w „New Yorkerze”, na którym Adam i Ewa mają – jak to w raju – widoczne sutki, współpraca firmy z rosyjskimi władzami (np. zablokowanie strony wzywającej do udziału w wiecu poparcia dla Aleksieja Nawalnego, jednego z czołowych rosyjskich opozycjonistów) oraz „psychotest”, który Facebook przeprowadził na nieświadomych użytkownikach, manipulując liczbą pozytywnych i negatywnych komunikatów wyświetlających się na ich tablicach.

Także najpopularniejsze komunikatory, jak Skype czy Google Talk, nie są bezpieczne. Skype jest szyfrowany, jednak od czasu, kiedy jego nowy właściciel Microsoft zdecydował o przekazywaniu całej komunikacji przez serwery centralne, można ją przechwycić właśnie w tym punkcie.

Na potrzeby tego tekstu komunikuję się więc z pomocą Toxa – otwartoźródłowego odpowiednika Skype’a. W jego kodzie nie kryją się przykre niespodzianki, a komunikacja między użytkownikami nie przechodzi przez żadne centrum.

Gdzie jest automat?

Niewyczerpanym źródłem informacji na nasz temat jest telefon komórkowy, a wprowadzenie złożonych i dość słabo chronionych smartfonów podniosło zagrożenie na zupełnie nowy poziom. Trzymamy na nich hasła. Zdjęcia. Aplikacje, w których jesteśmy zalogowani do banków, sieci społecznościowych, kont e-mail. Gigabajty prywatnych danych.

Przed dwoma laty badacze z École Polytechnique Fédérale w Lozannie byli w stanie przewidzieć kolejne zachowanie właściciela śledzonego telefonu z 65-procentową dokładnością. Podobny wynik – blisko 70-procentowy – uzyskali naukowcy z Włoch, Hiszpanii i USA, którzy próbowali oszacować groźbę popełnienia przestępstwa przez użytkownika telefonu. Metadane z telefonu były tu kojarzone z profilem demograficznym (stopa bezrobocia, zarobki, ceny nieruchomości, imigracja, pochodzenie etniczne itp.).

Blokowanie lokalizacji i transferu danych we własnym smartfonie nic nie daje: telefon i tak łączy się z siecią. Nie ma pewności, czy nie komunikuje się ze stacją bazową także po wyłączeniu. Być może przestaje dopiero, gdy wyjmie się baterię. Z zasady najlepiej mieć jak najmniej rzeczy na telefonie. Klikamy w aplikacje bez opamiętania i nawet nie zwracamy uwagi na uprawnienia. Po co aplikacji „latarka” dostęp do poczty, kontaktów i internetu?

Co zatem pozostaje? Najbliższy automat telefoniczny mam pół kilometra od domu – dalej niż w czasach późnego PRL-u, gdy mieszkańcy osiedli z wielkiej płyty nie mieli w domach telefonów, jednak aparat znajdował się w przedsionku klatki schodowej.
Za radą specjalistów rozważam raczej powrót do zwykłego telefonu komórkowego i zmianę smartfona na tablet, by rozdzielić swoje dane i zagrożenia między dwa różne urządzenia. Inne rozwiązanie: kupiony za gotówkę stary aparat i korzystanie z kart prepaid. W Polsce nadal można je nabyć bez konieczności legitymowania się i rejestracji.

Kasownik pamięta

Komunikacja elektroniczna to tylko część problemu. Jest jeszcze komunikacja miejska z imiennymi kartami pasażera. To również instrument gromadzenia danych.

– Osoba chcąca wyrobić sobie imienną kartę miejską w Warszawie musi podać imię, nazwisko oraz numer PESEL. Dobrowolne jest podanie: adresu zamieszkania, numeru telefonu, adresu e-mail. Zdjęcia są kasowane po wydaniu karty – wyjaśnia Igor Krajnow, rzecznik stołecznego Zarządu Transportu Miejskiego. – Przechowywane są informacje dotyczące daty i miejsca doładowania, miejsca i czasu kontroli, miejsc i czasów używania karty w bramkach metra (tylko przy aktywacji nowego biletu).

Dane osobowe są usuwane po pięciu latach od momentu wygaśnięcia ostatniego biletu. Problem w tym, że oznacza to, iż w przypadku ciągłego korzystania z komunikacji zbiorowej dane te nie znikają z systemu za życia pasażera.

Kilka lat temu ZTM zakładał konieczność przykładania imiennej karty do czytnika przy wejściu i wyjściu z pojazdu. GIODO zakwestionował takie rozwiązanie zgodnie z zasadą, że można zbierać jedynie dane niezbędne do realizacji określonego celu.
Decyzja dotycząca Warszawy nie musi przekładać się na sytuację w innych miastach.

W 2012 r. władze Białegostoku zobowiązały mieszkańców do „kasowania” karty przy każdym wejściu do autobusu. Tczew poszedł krok dalej – i wymagał przyłożenia karty do czytnika także przy wyjściu z pojazdu. Podobnie dzieje się w Kaliszu. Oficjalnie po to, by zoptymalizować rozkład jazdy, lepiej wykorzystywać tabor itp. Jednak takie dane pozwalają na ustalenie tras podróży konkretnych osób.

Karty miejskie łączą coraz więcej funkcji – mogą być jednocześnie kartami płatniczymi, bibliotecznymi, a nawet służyć do głosowania w budżecie obywatelskim – wmawia się obywatelowi, że będzie mu wygodniej, a zarazem wywiera nacisk ekonomiczny, np. oferując zniżki na bilety autobusowe. Istnieje groźba wycieku danych bądź wykorzystania ich niezgodnie z przeznaczeniem. Taki przypadek miał miejsce we Wrocławiu w 2010 r. Użytkownicy systemu UrbanCard otrzymali przed wyborami samorządowymi maile zachęcające do głosowania na jednego z kandydatów. Winnym okazał się asystent prezydenta miasta. Z kolei w stolicy działa Karta Warszawiaka, dająca zniżki tym, którzy nie tylko tu mieszkają, ale i płacą w mieście podatki. I która, jak zauważa Wojciech Klicki, została wprowadzona z ominięciem prawa, oparto ją bowiem na połączeniu dwóch zbiorów danych: z Ministerstwa Finansów i ZTM.

Właśnie sposób, w jaki poszczególne zbiory danych łączą się i przenikają, pokazuje, w jakim świecie żyjemy. Integracja danych i usług powoduje, że w jednym miejscu gromadzone są informacje na temat zwyczajów, upodobań, wydatków.

O łączenie zbiorów pytam stołeczny Zarząd Dróg Miejskich. Czy zbierane przez nowoczesne parkometry numery tablic rejestracyjnych są kojarzone z bazami danych o właścicielach pojazdów, co pozwala na ustalenie tras podróży i miejsc pobytu tych osób? Jak informuje Karolina Gałecka, rzecznik prasowy ZDM, zbiory nie są łączone. Ale przy okazji dowiaduję się, że informacja o tym, gdzie i kiedy parkowałem, będzie przechowywana minimum pięć lat.

Drobne w garść, kaptur na głowę

Aby uzyskać dostęp do danych objętych tajemnicą bankową lub ubezpieczeniową, policja musi uzyskać zgodę sądu. W ubiegłych latach takich wniosków składano ok. 1-2 tys. rocznie i w ogromnej większości rozpatrywano je pozytywnie.

Osoby, których te sprawdzenia dotyczą, muszą być poinformowane, że były przedmiotem zainteresowania służb. – Można powiedzieć, że te dane są należycie chronione, jeśli chodzi o dostęp państwa – mówi Wojciech Klicki. – Ale co robią same banki?

W lutym 2013 r. Michał Hucał, wiceprezes Alior Banku, zapowiedział w telewizyjnej rozmowie, że jego firma będzie sprawdzać klientów nie tylko na podstawie danych, które uzyskała od nich, czyli ankiet, formularzy, wniosków itp. „Chcemy wykorzystywać dane z portali społecznościowych, dane dotyczące zachowania klientów w internecie, łączyć to z danymi firm telekomunikacyjnych”. I dalej: „Jeśli pokażemy, że potrafimy to wykorzystywać w bankowości, spróbujemy to zaoferować innym sektorom”. Oczywiście za zgodą klientów, co podkreślali później PR-owcy banku.

– Sprawa wywołała burzę, ale mam wrażenie, że ten człowiek powiedział coś, co cała branża chciałaby robić – mówi Wojciech Klicki. – Nie jesteśmy wcale daleko od sytuacji, w której moje zdjęcie z papierosem na portalu społecznościowym wpłynie na wysokość składki ubezpieczeniowej. Informacja, że zapłaciłem kartą w sklepie monopolowym, też raczej mi nie pomoże.

Całkowita rezygnacja z internetowych przelewów, np. comiesięcznych opłat, byłaby trudna. Można natomiast unikać płacenia kartą, uzbroić się w drobne i uodpornić na pytania sprzedawców o to, „czy mogą nam wydać bez grosza”.

Dobra wiadomość: o ile można już przewidywać skłonność użytkownika telefonu do popełnienia przestępstwa – prawie jak w filmie „Raport mniejszości” z 2002 r. – to wszechobecne kamery, które śledziły tam bohaterów skanując ich tęczówki, nie są jeszcze na porządku dziennym.

Na razie potrafią rozpoznać tablice rejestracyjne. Według danych zebranych przez fundację Panoptykon w 2012 r. monitoring finansowany ze środków miejskich działał w 86 proc. miast powiatowych i we wszystkich miastach wojewódzkich.

Roczny budżet zakładu obsługującego system monitoringu miejskiego w Warszawie (410 kamer) sięga 15 mln zł – mniej więcej tyle, ile w całym roku ma do dyspozycji GIODO.

A to tylko ułamek łącznej liczby takich urządzeń. Oswajają nas z nimi od małego, czyli od szkoły. Szkolna telewizja jest efektem prowadzonego w latach 2007-09 programu „Monitoring wizyjny w szkołach i placówkach”. W efekcie pokazowej akcji ministra Romana Giertycha w kamery wyposażono wówczas 7882 placówki, co kosztowało blisko 77 mln zł.

Podrzucone zdjęcia

Na koniec sprawdzam, ile można zdalnie wyciągnąć z mojego komputera. Miejsce akcji: Warszawski Hackerspace, nazywany przez bywalców „klubem majsterkowicza” – jedno z około dziesięciu podobnych miejsc w Polsce. Podłączam się do sieci, obok mnie dobry haker „rysiek”. Każdy stuka w swoją klawiaturę.

– Widzę IP twojego komputera i wiem, że szukasz stron www po polsku. Nie wiem, jaką masz przeglądarkę, bo jeden z zainstalowanych dodatków to utrudnia. Ale widzę, na jaką stronę właśnie wszedłeś. Gdybyś się na niej zalogował, mógłbym skopiować „ciasteczko” i podszyć się tam pod ciebie. Jeśli zaczniesz ściągać nieszyfrowany plik, np. tekstowy, nie tylko będę widział jego treść, ale – jeśli będzie dość czasu – będę mógł podmienić zawartość. Mogę też wrzucić do tymczasowej pamięci twojej przeglądarki np. nielegalne zdjęcia pornograficzne. Jeżeli nie zostaną w porę usunięte, mogą być kłopoty – wylicza.

Moja sytuacja poprawia się dopiero po włączeniu przeglądarki zintegrowanej z Torem. A co z pocztą?

– Nie widzę treści zaszyfrowanych maili, a jedynie, kto jest operatorem poczty. To już ważna informacja, dzięki niej służby wiedzą, od kogo zażądać danych. Jeśli samodzielnie szyfrujemy pocztę, zostanie im w garści tylko data i godzina, nadawca i odbiorca oraz temat wiadomości – podpowiada „rysiek”.

A co z telefonem? Haker znów ustawia się pomiędzy dostawcą internetu a końcowym urządzeniem, w tym przypadku moim telefonem. I tu dobre wieści: kilka sprawdzanych smartfonów nie daje się oszukać. Odrzucają połączenia od pośrednika, który podszywa się pod router wifi. Ale to znaczy tylko tyle, że obronią się przed złośliwym użytkownikiem sieci, jednak nie przed funkcjonariuszem służb.

A może rację mają ci, którzy mówią: „Dajmy sobie spokój z manią tajności, co z tego, że ktoś zobaczy, o czym piszę”? Przecież i tak się do końca nie ukryjemy. Informacje zbierają wszyscy, od pracodawców po operatorów miejskich rowerów. Co więcej: próbując się ukryć, narażamy się na liczne niewygody.

– Bezpieczeństwo i ochrona prywatności nigdy nie będą tak wygodne jak narzędzia, które o to nie dbają – mówi Woźniak. – Ale to tak, jakby pytać: czy samochody powinny mieć pasy bezpieczeństwa? Nie są wygodne, ale je stosujemy. Nie muszę i nie będę się nikomu tłumaczył, czemu nie chcę mieć kamerki internetowej pod prysznicem, ani czemu nie życzę sobie, by ktoś czytał moją korespondencję. Żeby pokazać, o co tu chodzi, proszę ludzi o ich hasła do skrzynki pocztowej i mediów społecznościowych, obiecując, że nie będę z ich kont niczego wysyłał, tylko sobie poczytam. Nikt się do tej pory nie zgodził. ©