Podczas londyńskich zamieszek okazało się, że młodociani bandyci zwoływali się używając komunikatora w telefonach Blackberry. Warto przy okazji wspomnieć, że do niedawna ekskluzywna marka zeszła pod strzechy, u nas telefony Blackberry są oferowane nawet na kartę przez Play. Komunikator w tym telefonie umożliwia wysłanie wiadomości do wielu użytkowników, co ułatwiło szabrownikom (rzecz jasna tylko posadaczom Blackberry) kontakty.
Problem w tym, że o ile zwykły SMS zostawi ślad u operatora mobilnej sieci telefonicznej, o tyle firma Research In Motion z Kanady używa własnych serwerów i szczyci się wysokim stopniem bezpieczeństwa. Przesyłane dane są szyfrowane i trudne do złamania, a jednak firma oznajmiła, że wspomoże brytyjską policję w identyfikacji działań chuliganów. Nie wiadomo – ponieważ oprogramowanie Blackberry jest zamknięte – jakie dane posiada firma i czy ewentualne dane klientów są zaszyfrowane także przed pracownikami firmy.
Skoro Research In Motion tak ochoczo zadeklarował współpracę z policją, to można zastanawiać się nad faktycznym bezpieczeństwem danych klientów,a przypomnijmy, że należy do nich nasz rząd.
W przeważającej liczbie przypadków bezpieczeństwo aplikacji zamkniętych gwarantowane jest przez prostą zasadę: „Nikt nie wie, jak my to robimy, więc bezpieczeństwo jest zachowane”. Bezpieczeństwo jest złudne, o czym się niedawno przekonała firma RSA Security, producent popularnych tokenów. Oczywiście prawdopodobieństwo, że ktoś przy pomocy skradzionego kodu włamie się na moje konto bankowe jest równe zeru. Po pierwsze w bankach używa się także identyfikatora klienta – potencjalny złodziej musiałby go znać. Po drugie musiałby wiedzieć, kiedy będę logować się do banku. Po trzecie wreszcie musiałby podsłuchać sesję szyfrowanego połączenia z bankiem, a tam już używany jest protokół SSL, którego bezpieczeństwo nie polega na tym, że „kod mamy w sejfie”. Jednak tokeny używane są w wielu poza internetowych zastosowaniach i tam się zrobiło nieciekawie. Firma musi wymienić około 40 milionów urządzeń. Pierwsze spektakularne włamanie miało już miejsce. Ofiarą stał się amerykański koncern zbrojeniowy Lockheed Martin*.
Z kolei wycieki danych stały się już tak powszechne, że przestały być zauważane przez żądnych sensacji dziennikarzy. Najpierw była firma Sony i utrata danych ponad 70 milionów klientów. Anegdotyczne były CV z pewnego polskiego portalu pośredniczącego w poszukiwaniu pracy, które można było znaleźć w wyszukiwarce Google. Podobną wpadką poszczycić się może UNESCO, które przez partactwo udostępniło dane ponad stu tysięcy ludzi. Niektórzy z moich znajomych to fani Dropboxa, czyli dysku prywatnego online. Powinni sprawdzić, czy ich prywatne zdjęcia i inne pliki nie są czasem dostępne powszechnie w internecie. W ten sposób nieudolni programiści udostępnili pliki ponad 25 milionów klientów, więc szanse są spore.
Wiele lat temu Intel chciał zrewolucjonizować internet za pomocą niepowtarzalnego identyfikatora dla każdego procesora. Ogrom i powszechność protestów kazała się firmie wycofać z tego orwellowskiego pomysłu. Okazało się jednak, że pomysł ten jest wiecznie żywy. Urządzenia Tomtom mające połączenie z internetem wysyłały dane lokalizacyjne, które firma przekazywała policji, przypadek ów zdarzył się w Holandii. Apple szpieguje użytkowników iPhone’ów i iPadów. Warto wiedzieć, że Google podobnie – zbiera wszelkie informacje o naszej aktywności internetowej, jakie tylko jest chętny przekazać nasz komputer, podobnie zresztą Facebook.
Rzecz jasna nie należy przesadzać z tą obawą o dostępność danych. Aby ich nie udostępniać nikomu, nie tylko nie wolno mieć konta w banku, ale najlepiej wyprowadzić się do leśnej głuszy, odciąć prąd, telefon i w żadnym razie nie korzystać z internetu, a i tak pozostaną ślady w ewidencji osobowej i podatkowej.
Wiadomo, że Google i Facebook wykorzystują, to co wiedzą, do oferowania nam bardziej spersonalizowanych reklam. Reklamy Google na stronach internetowych są nie tylko treścią dopasowane do profilu witryny, ale bywa, ze również do indywidualnego odbiorcy. Jakiś czas temu jeden ze znajomych, poszukujący na prezent dla syna fajnego „górala”**, ze zdziwieniem zauważył po paru dniach, że wszędzie pojawiają mu się reklamy związane z rowerami. Skoro już musimy oglądać reklamy na stronach, to niech one chociaż będą związane z tym, co nas interesuje (tylko nie wpuszczajcie żony na swój profil).
Jednak naprawdę niepokojące wydają się poczynania takich firm jak Apple, które chętnie zbierają informacje, a niechętnie je ujawniają.
Firma Sony znana jest dziś nie tylko z utraty danych milionów klientów, ale także z tego, że użytkownikom systemu Windows instalowała rootkit szpiegujący, jeśłi CD wydany przez tę firmę włożyli do czytnika w komputerze. Warto przypomnieć, ze wymuszone powszechną krytyką przeprosiny brzmiały mniej więcej tak: „przykro nam, że się wydało”. Blackberry, aby uniknąć negatywnych opinii w Anglii, oferuje pomoc policji. A jakiego nacisku trzeba będzie, by firma ujawniła na przykład poufne dane polskiego rządu i komu? A może już dawno je ujawniła?
Pamiętając o tym, że większość władz, a także większość firm, chciałaby wiedzieć o nas jak najwięcej, a oferowane nam zabezpieczenia często polegają tylko na utajnieniu bardzo prostych do złamania algorytmów, bądźmy ostrożni.
—
* Jak na razie nie wiadomo, kto się włamał, ale jest jak w dowcipie. Nie wiadomo kto, ale ktoś powinien oberwać po tych swoich żółtych łapach.
** Jeśli ktokolwiek ma wątpliwości, chodzi o rower górski.
Możesz również polubić
Ponownie o DRM. Tym razem w aspekcie kontroli permanentnej o jakiej marzył Stalin.
Refleksje autora po dwóch miesiącach prowadzenia strony, zaskakujące informacje z Google Analytics.
Od paru tygodniu używam nowego Kindla Paperwhite i ogólnie jestem zadowolony. Podświetlenie jest dobre, można je regulować w zależności od tego, czy czytamy w ciemniejszym lub bardziej doświetlonym pomieszczeniu…
Taka moja informatyczna i zupełnie apolityczna refleksja o minionej dekadzie.
9 komentarzy “Giełda tajemnic”
/…/
Komentarze nie na temat będą usuwana.
To powinni ocenić czytelnicy. Skoro raedagujesz tego bloga, to chyba dla ludzi, a nie dla siebie samego?
Pod usuniętym komentarzem jest pięć gwiazdek i głosowało tak już pięciu czytających, a nie widzieli twojego komentarza – chyba to im właśnie się spodobało.
Poza tym to ja ustalam zasady.
Może warto czasami popełnić tekst podnoszący podstawową wiedzę na temat higieny i profilaktyki zachowań w internecie 😛
Nie ma tzw. „bata” – prywatność w internecie nie istnieje i istnieć nie będzie. Jeśli tylko dostęp do jakichś danych jest fizycznie możliwy – to znaczy, że dane te mogą zostać wykorzystane bez naszej wiedzy, szczególnie jeśli w grę wchodzi polityka lub pieniądze. I jeśli odpowiedni silnie umocowany decydent zechce – to wykorzystane będą, niezależnie od przepisów prawa, tzw. „dobrych praktyk” oraz – last and least – zwykłej przyzwoitości ludzkiej.
Jak pisze Belfer – jeśli ktoś chce całkowitej anonimowości to jest naiwny, ale pierwszym krokiem ku realizacji tej utopii powinna być całkowita rezygnacja z internetu, począwszy od (i skończywszy na) fizycznym wyciągnięciu kabla z gniazdka.
Inna sprawa na ile szkodliwe są te ujawnienia. Umieściłem swoje zdjęcie z wakacji na dropboxie a cały świat (wbrew moim intencjom) może je oglądać? No to niech sobie ogląda, jak stoję w zadumanej pozie na tle Giewontu. Niespecjalnie mnie to ziębi ani grzeje. Można się włamać do mojej poczty elektronicznej? Z pewnością, ale konieczny do tego wysiłek i umiejętności nie są warte nagrody – bo w mojej korespondencji nie ma nic, co w jakikolwiek sposób nagradzałoby ten wyczyn.
Dobry Bóg dal ludziom rozum rozum i zdrowy rozsądek – a są to najsprawiedliwiej rozdzielone przez Niego przymioty, bo nigdy jeszcze nie słyszałem, żeby ktoś narzekał iż dostał za mało. Warto ich użyć we wszelakich życiowych sprawach, w tym także przy odsłanianiu swojej prywatności.
Pamiętam jedno zdanie z pewnej korporacyjnej instrukcji dotyczącej bezpieczeństwa korzystania z elektronicznych środków firmowej komunikacji: „Nigdy nie pisz w e-mailu czegoś, czego nie chciałbyś zobaczyć następnego dnia na pierwszej stronie gazety.” Proste i jasne. A czy stosowane? „You have been warned”.
@Troll:
Oczywiście, że nie ma tragedii, gdy zdjęcie z wakacji wbrew intencjom użytkownika stanie się dostępne w sieci. Pod warunkiem, że nie jest to pikantne zdjęcie z kochanką, które znajdzie się np. na demotywatorach, a obejrzy je żona. 😉
Mam za to wątpliwości co do końcówki komentarza. Większość użytkowników używa podatnego na wirusy i trojany Windows. A to oznacza, że np. pikantne zdjęcie może opuścić bezpośrednio ich komputer. Znam coraz więcej ludzi, którzy uważają swój komputer za mało bezpieczne miejsce do przechowywania plików. Kiedyś normą przy reinstalacji była prośba o odzyskanie (zachowanie) plików użytkownika, dziś jest to „można skasować wszytko, nic ważnego tam nie mam”.
Poczta elektroniczna powinna być tak samo bezpieczna jak tradycyjna. Oczywiście słyszymy czasem o listonoszach otwierających listy, to jednak jest wyjątkowo rzadkie. Dostawca elektronicznych kont pocztowych powinien być jeszcze bardziej wiarygodny od poczty tradycyjnej. Zresztą akurat w tej mierze nie było ani jednego przypadku jakiejś głośnej spektakularnej wpadki.
Belfer, „powinna” a „jest” to są dwie różne sprawy, o czym wiesz równie dobrze jak ja, o ile nie lepiej 🙂 Można się obrażać na rzeczywistość albo można wziąć pod uwagę jej niedoskonałości i każdorazowo ważyć ryzyko i kaliber ewentualnych poniesionych strat.
W dobie fotografii cyfrowej miażdżąca większość zdjęć pozostaje na wieki w formie pliku komputerowego i nigdy nie zostaje przeniesiona na papier, a nawet jeśli coś drukujemy – to zdjęcie po drodze „przechodzi” przez komputer. A ja znam absolutnie gwarantowany sposób na to, żeby nasze zdjęcia nie „wyciekły” do netu z komputera, czy to obsługiwanego przez dziurawy Windows czy przez (podobno) bezpieczny Linux. Otóż wystarczy do zdjęć mieć osobny komputer – niepodłączony (razem czy osobno?) do sieci. Do nawet zaawansowanej obróbki foto wystarczy bardzo podstawowa konfiguracja, więc koszt takiej „fanaberii” jest bardzo niewielki. I podłączana na sztywno kablem drukarka, o ile sami drukujemy. Proste? Proste. Idę jednak o zakład, że nikt tego nie robi, dopóki nie zaliczy bolesnej lekcji. Wszyscy wiemy, że należy robić okresowe kopie ważnych danych. A kto robi? Ja nie – choć wiem, że to ważne, a ze względu na charakter mojej pracy nagła utrata danych z dysku równałaby się małej katastrofie.
Jak ze wszystkim – lepiej być mądrym przed szkodą (ale mało kto funduje sobie taki luksus) oraz mieć świadomość zagrożeń i świadomie ważyć ryzyko.
Odnośnie „kasowania wszystkiego przy reinstalacji” – pewien brytyjski miesięcznik komputerowy zrobił eksperyment: dali ogłoszenie jako osoba prywatna w popularnym portalu aukcyjnym, że chcą kupić używany komputer, przy czym wśród wymogów było wymienione, że komputer powinien być wcześniej dokładnie wyczyszczony z wszelkich danych. Zrobili 5 takich zakupów i we wszystkich 5 przypadkach „od ręki” odzyskali wszystkie „wyczyszczone” dane, używając do tego najprostszych powszechnie dostępnych softłerów.
Tak, świadomość w narodzie jest mała. Kiedyś oddawałem komuś swój stary komputer; wcześniej wyjąłem z niego twardy dysk, który fizycznie rozwaliłem młotkiem na miazgę i wyrzuciłem do śmietnika, do blaszaka zaś włożyłem inny używany HD, kupiony na giełdzie i sformatowany (bo obiecałem, że prezent będzie w pełni sprawny i gotowy do użytku). Moje dane pozostały bezpieczne 🙂
Troll piszesz: „Można się włamać do mojej poczty elektronicznej? Z pewnością, ale konieczny do tego wysiłek i umiejętności nie są warte nagrody – bo w mojej korespondencji nie ma nic, co w jakikolwiek sposób nagradzałoby ten wyczyn.”
Jednocześnie znasz chyba specyfikę komputerów, nikt nie będzie się włamywał detalicznie na wybrane konta. Po co skoro lepiej włamać się na serwer, wtedy masz dostęp do wszystkich zawartych tam zasobów, w uproszczeniu do poczty wszystkich z podanego adresu. Poszczególni użytkownicy będą nieświadomi takiego włamania. Możesz też pozostawić specjalne niespodzianki ułatwiające ci pracę w przyszłości.
Jest jeszcze jedna rzecz o której się nie chce pamiętać. Logujemy się w różnych miejscach, czasami tworzymy też konta na różnych portalach. Zostawiamy tam trzy informacje o nas, login, hasło i email. Jak często pamiętamy by zmieniać kombinacje w tym podstawowym trójkącie. Jak często stosujemy ten sam login i hasło w podanej przez nas skrzynce pocztowej. Pułapek jest o wiele więcej niż umiemy sobie wyobrazić.
Maćku, mówiąc o bankach, to nie wiem czy słyszałeś o ostatnim (kolejnym tego typu) włamaniu do CA wystawiającego certyfikaty ssl-owe. W obliczu takich faktów niestety typowa 'kłódeczka’ już nie chroni przed atakami 'man in the middle’ i podstawieniem Ci fałszywej witryny gdzie wpiszesz swój login, hasło i cyferki z tokena. Strony, której nie odróżnisz od prawdziwej.
Tamto włamanie jest o tyle znamienne, że został wystawiony m.in. certyfikat *.google.com, gdzie duża część ludzi ma tam swoje konta, nawet jakby ich nie chcieli mieć (mówię tu np. o użytkownikach Androida, który jest mało użyteczny bez takiego konta), dodatkowo ten certyfikat ZOSTAŁ UŻYTY w Iranie i nikt nie wie (może poza tamtejszym rządem) jakie dane zostały wykradzione.