Tag: #privacy

Czy kierowcy Bolta nas podsłuchują?

3 minuty

Kilka dni temu wracałem do mieszkania, jako że trasa była dłuższa niż moje normalne spacery postanowiłem, że wrócę samochodem. Wybór padł na Bolt’a. Zamówiłem przejazd, kierowca podjechał i ruszyliśmy. W pewnym momencie, gdy otworzyłem aplikację, wyświetlił mi się komunikat, że Bolt ma nową funkcję bezpieczeństwa, a mianowicie… nagrywanie. I bynajmniej, nie chodziło o nagrywanie rozmów z konsultantami, gdy dzwonimy na infolinię z problemem czy z reklamacją.

Nie.

Chodzi o nagrywanie przejazdu z wykorzystaniem mikrofonu wbudowanego w nasz szmartfon. Z punktu widzenia bezpieczeństwa? Bardzo ciekawa funkcja i bardzo przydatna, szczególnie biorąc pod uwagę przypadki naprawdę podłego zachowania.

Możliwość nagrywania przejazdu ma zarówno kierowca jak i pasażer.

Jak to ma działać?

Otóż, gdy włączymy tę funkcję, dajemy aplikacji dostęp do naszego mikrofonu i rozpoczyna się nagrywanie (nie znalazłem jednak informacji kiedy nagranie się kończy, czy jest to z momentem zakończenia przejazdu, czy możliwe jest zatrzymanie go wcześniej). Nagranie jest zapisywane lokalnie, na urządzeniu tego, kto nagrywa, a następnie przechowywane przez 24 godziny, chyba że udostępnimy je Boltowi. Nie znalazłem informacji czy jest to przechowywane w aplikacji i jak nagranie jest zabezpieczone.

Jeśli udostępnimy nagranie Boltowi, to przeprowadzą wewnętrzne dochodzenie i usuną je po 7 dniach automatycznie, chyba że „okres retencji zostanie wydłużony ręcznie w celach dochodzenia / ze względów prawnych”. Znów, informacja nie do końca precyzyjna.

W jakich celach i na jakiej podstawie Bolt przetwarza te dane?

„We may also review audio recordings submitted to us using our safety toolkit trip audio recording feature (where such feature is available). If necessary, we use these recordings for investigations, proof and protection against claims and/or for quality assurance;”

„Możemy również przeglądać nagrania audio przesłane do nas za pomocą funkcji nagrywania dźwięku w podróży zestawu narzędzi bezpieczeństwa (jeśli taka funkcja jest dostępna). W razie potrzeby wykorzystujemy te nagrania do celów dochodzeniowych, dowodowych i ochrony przed roszczeniami i/lub w celu zapewnienia jakości;”

Czyli innymi słowy, są to ich tzw. „prawnie uzasadnione interesy” (używając terminologii z RODO). Co to oznacza? Ponownie. Są to zwroty niedookreślone. Znaczy inaczej, rozumiem ich wykorzystanie, bo sam, gdy pracowałem nad klauzulami informacyjnymi tworząc dokumentację dla klientów starałem się opisywać coś w zwięzły sposób, bez ujawniania wszystkich szczegółów. I dlatego rozumiem cele „dochodzeniowe, dowodowe, ochrony przed roszczeniami”, ale już „zapewnienie jakości” jest w mojej ocenie zbyt szerokim pojęciem.

Fun fact – ta opcja bezpieczeństwa nie jest dostępna we wszystkich krajach, ale m.in. w Polsce czy w Nigerii. I drugi fun fact, w polskiej polityce prywatności nie ma wzmianki na temat przetwarzania danych z nagrań audio w ramach tego procesu. 😀

I właśnie dlatego… napisałem do Inspektora Ochrony Danych Bolta i poprosiłem m.in. o to żeby:

  1. wyjaśnili mi jak dokładnie działa proces przetwarzania w tym konkretnym przypadku, ze szczególnym uwzględnieniem nagrywania przejazdów przez kierowców;
  2. wyjaśnili jakie są podstawy przetwarzania, a jeśli są nimi prawnie uzasadnione interesy, to czy mogą podzielić się testem równowagi o którym mowa w art. 6 ust. 1 lit. f) RODO (to taki test, w którym administrator danych sprawdza, czy jego interesy rzeczywiście są ważniejsze niż nasze prawo do prywatności, i czy w konsekwencji może przetwarzać nasze dane)
  3. czy podróżni są informowani o tym, że przejazd jest nagrywany;
  4. jak zabezpieczają nagranie przed możliwością kopiowania go lokalnie.

Jak tylko dostanę odpowiedź, to zaktualizuję ten wpis!

Cena uwagi

9 minut

Jakiś czas temu opublikowałem artykuł o wpływie social mediów na naszą prywatność. Tym samym, jest to pierwszy artykuł z nieformalnego cyklu właśnie o mediach społecznościowych i reklamach. Dzisiaj, czas na kolejny.

Tym razem na tapet bierzemy… targetowanie i reklamy.

Disclaimer: ten artykuł NIE będzie dotyczył:

  • reklam na Facebooku, Instagramie i innych tzw. platformach społecznościowych. Tam kwestia reklam wygląda inaczej i poświęcę im osobne odcinki;
  • targetowania w celach politycznych. Temu też będzie poświęcony inny odcinek.

Kiedy to TY jesteś „przedmiotem” aukcji

Otwierasz przeglądarkę. Wpisujesz w pasku adres strony internetowej na którą chcesz wejść, może to być ulubiona strona z memami, może to być strona z wiadomościami ze świata, a może to być też ulubiony blog (btw. ktoś dziś jeszcze czyta blogi?), cokolwiek. Chwilę później, w mgnieniu oka, załadowała Ci się ta strona, więc ją przeglądasz.

A czy wiesz co wydarzyło się w tym mgnieniu oka, kiedy spoglądając w ekran czekał_ś aż się otworzy? Czy wiesz, że w tle odbyła się właśnie aukcja, której przedmiotem była… Twoja uwaga?

Rozłóżmy to na czynniki pierwsze i przyjrzyjmy się marketingowi internetowemu razem!

W momencie, gdy otwierasz jakąś stronę, to ta strona wysyła sygnał, że dostępne jest na niej miejsce reklamowe i, że ktoś (Ty) chce na nią wejść. Razem z tą informacją mogą być, i w większości przypadków są, wysłane inne dane, takie jak:

  • kto wszedł na daną stronę (adres IP, przybliżone dane lokalizacyjne, identyfikator użytkownika itd.);
  • skąd przyszedł (np. z wyszukiwarki typu Google, Bing itd. lub został przekierowany z Facebooka, Xa / Twittera lub jeszcze innej strony)
  • data i godzina wejścia;
  • co ta strona oferuje (np. jest to blog o szopach, albo strona z przepisami kulinarnymi, albo artykuł o leczeniu depresji)

i wiele, wiele innych danych. Sky is the limit, powiedziałbym. To w zasadzie zależy od właściciela strony i tego, co na niej się znajduje (w tym ciasteczka, pluginy, narzędzia firm trzecich jak logowanie przez Facebooka, pixele śledzące itd.) i z kim współpracuje.

Gdzie te dane są wysyłane? Na serwer reklam wydawcy, który następnie gromadzi to i przesyła do Platformy Sprzedażowej (Ad Platform, Supply-side Platform; SSP). Taką platformą jest na przykład należący do Microsoftu – Xandr (o nim będzie za chwilę, bo jakiś czas temu był w centrum, nomen omen, uwagi). Tam, na giełdzie reklam rozpoczyna się aukcja, której przedmiotem jest miejsce reklamowe na stronie internetowej, którą odwiedzasz. Różne podmioty uczestniczące w tej aukcji – Reklamodawcy – błyskawicznie korelują te wszystkie dane ze swoimi bazami danych sprawdzając, czy Twoja uwaga warta jest ich pieniędzy.

Ten, kto wygra otrzymuje prawo żeby wyświetlić na tej konkretnej stronie wybraną przez siebie reklamę. Może to być reklama samochodu, cukierków, leków, czegokolwiek.

Ważne zastrzeżenie – w większości przypadków w imieniu Reklamodawców działają agencje marketingowe, reklamowe, mediowe (jak zwał, tak zwał).

Jest, mamy to! Reklamodawca nr 1 zaoferował najwyższą cenę, aukcja zakończona! Teraz następuje przybicie, czyli wyświetla się strona, NA KTÓREJ znajduje się reklama ich produktu.

Wizualna wersja tego procesu jest o tutaj, na tej infografice stworzonej przez Panoptykon.

Jak widzą Cię Reklamodawcy?

Reklamodawcy zarabiają na naszej uwadze i na naszym zainteresowaniu. To jest fakt, tak było od zawsze i tak najprawdopodobniej będzie. Przecież na tym opiera się cały koncept reklamowy. Bez względu na to czy mówimy o papierowej gazecie, kimś dorabiającym na roznoszeniu ulotek, spotach reklamowych w telewizji między programami czy w końcu – reklamie w Internecie.

I z tym nie mam problemu, bo przecież o to chodzi w sprzedaży produktu – chcesz po prostu na tym zarobić.

To gdzie pojawia się problem, to kwestia JAK to robisz, JAK zabiegasz o czyjąś uwagę, SKĄD wiesz, że jakiegoś mieszkańca wojewódzkiego miasta w zachodniej Polsce zainteresuje produkt A (pierwotnie zamiast „A” było tutaj „X”, ale przez ruch pewnego multimiliardera od „tłitów” musiałem zmodyfikować ten przykład :v), ale już w przypadku kogoś mieszkającego we wschodniej Polsce, produkt B.

I tutaj w grę wchodzi właśnie ustalenie przez sprzedawcę produktu czy usługi – kto będzie potencjalnym klientem, kogo może ten produkt czy usługa zainteresować.

Opiera się to na ustalaniu kategorii potencjalnych odbiorców. Logiczne prawda? Jeśli jesteś 30 letnim mężczyzną zainteresowanym samochodami, to najprawdopodobniej będziesz też zainteresowany kupnem ubezpieczenia OC / AC lub personalizowanych felg (wink wink). Jeśli jesteś 30 letnią kobietą zainteresowaną jogą to możesz być zainteresowana kupnem maty do jogi lub akupresury.

I w takiej sytuacji ubezpieczyciel nie będzie zabiegał o uwagę tej 30 letniej kobiety, a sprzedawca maty do akupresury nie będzie zabiegał o uwagę tego 30 letniego mężczyzny. Znaczy, i tak będzie, ale you get the point.

Dobra, tyle o logice, a jak to się ma do reklam w Internecie? W poprzedniej sekcji opisałem Tobie jak mniej więcej działa obecnie Internet z punktu widzenia reklamowego. A co jeśli Ci powiem, że Reklamodawcy (lub ci, którzy działają w ich imieniu) nie tylko korzystają z danych, które przesyła Twoje urządzenie, gdy wchodzisz na jakąś stronę, ale jeszcze do tego nadają Ci określone plakietki (inaczej, także – tagi)? 😵

Krótkie zadanko!

Brzmi enigmatycznie i podejrzanie, wiem. Już śpieszę z wyjaśnieniem, ale najpierw małe zadanie dla Ciebie – opisz siebie w kilku słowach. Tak jak np. opisujesz siebie na social mediach w zakładce „O mnie”.

Dla przykładu, ja zacznę. Na Mastodonie – do którego serdecznie zachęcam! – opisałem siebie tak:

Formerly lawyer. Currently working in cybersec. After hours privacy enthusiast. Raccoons fan. (Były prawnik. Obecnie pracujący w cyberbezpieczeństwie. Po godzinach entuzjasta prywatności. Fan szopów.)

Proste prawda? Teraz Ty.

No dobra, ale czemu właściwie służy to ćwiczenie, możesz zapytać. Odpowiem: w ten sam sposób Reklamodawcy opisują Ciebie w Internecie np. w oparciu:

  • o to na jaką stronę trafił_ś i jak często ją odwiedzasz;
  • o to z jakiej strony tutaj trafił_ś;
  • o to skąd pochodzisz;
  • na jakie inne strony odwiedzasz;
  • w jakich godzinach przeglądasz Internet;
  • co ostatnio kupił_ś w Internecie.

Tych czynników, dzięki którym mogą Cię opisać jest (tak, powiem to) nieskończona ilość. Wszystko zależy od tego w jaki profil reklamowy akurat w tym momencie musisz zostać wpisan_.

To są takie „twarde” dane, czyli te które można bez problemów zauważyć. Niemniej, trochę przerażające, prawda? W takim razie lepiej usiądź i się czegoś złap, bo robi się jeszcze gorzej… Reklamodawcy korzystają z narzędzi (algorytmów) do przewidywania jakie dodatkowe tagi mogą być przypisać do Ciebie, aby móc zaoferować Ci jeszcze bardziej dopasowane reklamy, na które zwrócisz uwagę. Wykorzystują do tego m.in. dane zebrane o Tobie z innych stron na których też oferują swoje reklamy, ale także od innych podmiotów na rynku, którzy zajmują się „handlowaniem informacjami”. To tzw. marketing behawioralny. Daje im to możliwość coraz lepszego odtworzenia profilu potencjalnego konsumenta. Twojego profilu. Chodzi o nie tylko tak ogólne kwestie, jak wspomniana wcześniej płeć czy przybliżona lokalizacja, ale możliwe jest też oznaczenie w ten sposób bardzo specyficznych grup potencjalnych konsumentów:

  • uzależnienia od alkoholu;
  • uzależnienia od leków (w tym konkretnych, pojedynczych leków);
  • uzależnienia od zakupów;
  • czy jesteś pro-life, czy może pro-choice;
  • czy jesteś w ciąży, a jeśli tak, to na którym jej etapie;
  • czy masz depresję lub jakiekolwiek inne schorzenie;
  • czy masz problemy z finansami, czy może raczej Ci się „powodzi”;
  • jakiego jesteś wyznania;
  • jakiego jesteś stanu cywilnego, w tym kiedy mógł Ci się on zmienić;
  • jakie jest Twoje pochodzenie etniczne.

Sporo tego, prawda? A wymieniłem „tylko” dziesięć. Na samym początku wspomniałem o Xandr. Jest to taka platforma reklamowa należąca do Microsoftu. Jakiś czas temu „okazało się”, że miała ona co najmniej 650.000 (słownie: sześćset pięćdziesiąt tysięcy) tagów przydatnych Reklamodawcom do określania w Internecie potencjalnych kupujących! Następnie, dzięki tym tagom mogli bardziej precyzyjnie określać potencjalnych kupujących (każdego, kto korzystał z Internetu) i oferowania im bardziej adekwatnych produktów czy usług.

Lista była dostępna w Internecie i choć zniknęła z platformy dość szybko, to jednak jak głosi stare internetowe powiedzenie:

To, co raz trafi do Internetu, zostanie tam na zawsze.

Możesz ją znaleźć o tutaj i „pobawić się” szukając tagów, którymi mogł_ś zostać oznaczon_ podczas przeglądania Internetów.

A to tylko czubek góry lodowej, o którym wiemy. To, co znajduje się pod powierzchnią stanowi tylko pole do domysłów.

Oczywiście, te wszystkie platformy reklamowe, czy Reklamodawcy, nie będą najprawdopodobniej (chociaż o wyjątkach, w innym odcinku) w stanie stwierdzić, że ktoś, którego lokalizacja wskazuje, że mieszka w Polsce, kto przegląda stronę z samochodami, to jest Jan Kowalski mieszkający przy ulicy Kremówkowej 21 m. 37 w Krakowie (z góry przepraszam, jeśli przy ul. Kremówkowej 21 m. 37 mieszka Jan Kowalski, jesteś tylko przykładem 🙈). Niemniej, taki zestaw danych oraz inne tagi może z dużym prawdopodobieństwem doprowadzić do identyfikacji kogoś. A to już jest co? No właśnie. To już są dane osobowe, których ochrona jest ściśle regulowana przez nasze kochane RODO (i nie tylko).

Jak się przed tym chronić?

To proste. Nie przeglądać Internetu.

Joke! ………… (?)

A tak na serio. Możliwości jest wiele. Zacznijmy od najprostszych:

  1. 🍪 możesz przestać zgadzać się na ciasteczka kiedy buszujesz po Internecie;
  2. 🛑 możesz zainstalować wtyczkę do przeglądarki, która blokuje reklamy – ja np. korzystam z uBlock Origin;
  3. 🦡 możesz zainstalować wtyczkę do przeglądarki, która nie tylko blokuje reklamy, ale też narzędzia, które służą do śledzenia Ciebie i nadawania Ci właśnie tych tagów – ja np. korzystam z Privacy Badger.

Te trzy kroki to, moim zdaniem, absolutne minimum, które nie wymagają prawie żadnego wysiłku, a naprawdę mocno ograniczają możliwości wszystkowidzących Reklamodawców i ich popleczników w postaci agencji marketingowych.

Są też dodatkowe rozwiązania, możesz również:

  1. 🦆 przestać korzystać z wyszukiwarek internetowych (Google czy Bing), które opierają się właśnie na treściach reklamowych, bo to ich główne źródło przychodów. Zamiast tego możesz korzystać z takich wyszukiwarek, które nie gromadzą Twojej historii wyszukiwania (chyba że im na to pozwolisz) jak np. DuckDuckGo, BraveSearch czy SearXNG;
  2. 🔐 korzystać z VPN’u, który „ukrywa” część danych o Tobie;
  3. 📧 zgłosić się do administratorów danych (m.in. właścicieli stron internetowych, brokerów danych, agencji reklamowych, platform reklamowych) z żądaniem realizacji praw określonych w RODO. Przede wszystkim z:

prawem dostępu do danych (art. 15 RODO) – aby dowiedzieć się jakimi rzeczywiście danymi na Twój temat dysponuje administrator;

🗑 prawem usunięcia Twoich danych (art. 17 RODO, tzw. prawo do bycia zapomnianym) – aby administrator usunął wszystkie Twoje dane, które nie są mu już potrzebne, lub co do których nie ma już podstawy prawnej do przetwarzania;

prawem sprzeciwu (art. 21 RODO) – aby sprzeciwić się dalszemu przetwarzaniu przez administratora Twoich danych w oparciu o jego uzasadnione interesy (takim uzasadnionym interesem, np. może być właśnie targetowanie, czy marketing).

Na zakończenie – nie zrozumcie mnie źle, nie jestem przeciwny platformom reklamowym, ba! Nie jestem przeciwny gromadzeniu danych na mój temat. Czemu jednak się sprzeciwiam to nieograniczonemu gromadzeniu i przetwarzaniu moich danych bez żadnej kontroli, a tym bardziej bez mojej wiedzy na temat takiego gromadzenia i przetwarzania. Tak samo jak bardzo wysublimowanym reklamom podprogowym, które bazują na przewidywaniu naszych zachowań.

Ile jest wart tryb in cognito według Google?

2 minuty

Google oświadczyło, że zawrze ugodę w pozwie, który dotyczył trybu in cognito. Pozew opiewa na kwotę, bagatela, co najmniej 5.000.000.000 $ (słownie: pięć miliardów dolarów). Dlaczego taka kwota? Otóż po 5.000$ (słownie: pięć tysięcy dolarów) za każdego użytkownika, który został tym dotknięty od 1 lipca 2016 r. do momentu wniesienia pozwu. Na chwilę obecną nie jest znana treść ugody, ale wiemy, że sąd przed którym rozpatrywana jest sprawa, 26 grudnia 2023 r. zawiesił rozprawę i dał stronom czas na ustalenie treści ugody i przedstawienie jej sądowi do zaakceptowania (bądź odrzucenia).

O co jednak chodzi w sprawie? O naruszenie prywatności, inwigilację i targetowanie. Powodowie (in. skarżący) twierdzą, że Google, pomimo swoich zapewnień, że tryb in cognito w przeglądarkach zapewnia prywatność, nadal śledził ich ruchy i dopasowywał do nich zindywidualizowane reklamy. Innymi słowy działał tak, jak w „normalnym” trybie przeglądarki. Dotyczyć ma to nie tylko przeglądarki Chrome, ale także wszystkich innych przeglądarek, bowiem sprawa obejmuje również narzędzia takie jak Google Analytics, Ad Manager i inne. Google oczywiście się broni tym, że to przecież od użytkownika zależy jakimi danymi się podzieli z Google. Poza tym, gigant twierdzi, że sprawy o naruszenie prywatności nie są konkretne, gdy zbierane są zanonimizowane dane.

To tryb in cognito jednak nie zapewnia prywatności ani anonimowości?!

SZOK I NIEDOWIERZANIE!

Źródło: https://viralscape.com/wp-content/uploads/2014/09/Shocked-Raccoon.jpg

Sąd w trakcie rozprawy nie podzielił tego stanowiska i powołał się na podobną sprawę, nomen omen, przeciwko Facebook’owi (Campbell v. Facebook). Pośrednio podzielił tym samym zdanie, że samo zbieranie danych bez podstawy już jest konkretnym naruszeniem prywatności („concrete privacy interests”).

Jak sprawa się zakończy? Zobaczymy. Czy poznamy właściwą treść ugody? To się jeszcze okaże.

Jedno jest jednak pewne (i wiadome od dawna) tryb in cognito nigdy nie oznaczał, że można być anonimowym w sieci. Jedyne czym się różni od „zwykłego” przeglądania stron w Internecie, to to, że nie zapisuje historii przeglądania LOKALNIE, czyli na Twoim urządzeniu. A to, że Google, Facebook, dostawca Internetu, pracodawca i wszyscy święci mają do tego dostęp tak czy siak, to już było wiadome od dawna. Ta sprawa to dopiero oficjalne potwierdzenie tego stanu rzeczy i że giganci technologiczni, jak Google, wiedzieli to od dawna, a co więcej, korzystali z tego.

Tymczasem to na tyle w dzisiejszym odcinku.

Źródła:

1) News od the Reuters – https://www.reuters.com/legal/google-settles-5-billion-consumer-privacy-lawsuit-2023-12-28/

2) News od Cyberdefence24.pl – https://cyberdefence24.pl/polityka-i-prawo/tryb-incognito-to-fikcja-google-idzie-na-ugode

3) Campbell v. Facebook – https://casetext.com/case/campbell-v-facebook-inc-9

4) Postanowienie kalifornijskiego sądu o zawieszeniu rozprawy – https://storage.courtlistener.com/recap/gov.uscourts.cand.360374/gov.uscourts.cand.360374.1089.0.pdf

5) Postanowienie kalifornijskiego sądu o oddaleniu wniosku Google – https://storage.courtlistener.com/recap/gov.uscourts.cand.360374/gov.uscourts.cand.360374.969.0.pdf

Trudnych relacji RODO z USA ciąg dalszy

3 minuty

Kiedyś zdarzyło mi się popełnić pierwszy wpis o tym dlaczego przesyłanie danych z Unii Europejskiej do Stanów Zjednoczonych jest problematyczny na gruncie RODO. Ten artykuł jest jego uzupełnieniem. Nie jest kolejną „oficjalną” częścią, którą tam zapowiadałem, ale bezpośrednio do niego nawiązuje.

No i stało się. Mamy to.

Komisja Europejska wydała nową decyzję o adekwatności (inaczej: decyzję stwierdzającą odpowiedni poziom ochrony danych osobowych), to taki instrument z RODO, dzięki któremu KE może stwierdzić, że państwo X zapewnia podobny poziom ochrony danych, jaki wynika z RODO. I teraz, po 3 latach od uchylenia Tarczy Prywatności taka decyzja (znowu) została wydana wobec USA. Nazywa się to mniej lub bardziej oficjalnie – Ramy ochrony danych UE-USA, po ang. EU-USA Data Privacy Framework (DPF). Co to oznacza? A to, że transfer danych do USA z UE jest już PODOBNO możliwy, ale tylko po spełnieniu określonych przesłanek. Jakie to przesłanki?

✅ Pierwsze primo: pozwolenie na transfer nie jest dla każdego administratora, a tylko dla tych, którzy zostaną wpisani na odpowiednią listę przez Departament Handlu USA (DoC).

✅ Drugie primo: aby dostać pozwolenie konieczne jest spełnienie określonych przesłanek wynikających z RODO, jak np. dysponowanie podstawą do przetwarzania danych, retencja danych, minimalizacja danych, zabezpieczenie danych.

✅ Trzecie primo: „na straży” danych mają stać:

  • po stronie USA tzw. urzędnik ds. ochrony swobód obywatelskich (CLPO) i „sąd” (który sądem jest tylko z nazwy),
  • po stronie UE organy nadzorcze państw członkowskich.

Jak to ma działać w praktyce?

Federalna Komisja Handlu (FTC) oraz Departament Handlu mają okresowo monitorować podmioty wpisane na listę DPF. Jeżeli ktoś z Europy będzie miał wątpliwości czy przypdakiem nie jest inwigilowany lub jego dane nie są przetwarzane przez organy USA (np. Agencję Bezpieczeństwa Narodowego – NSA, czy Agencję Wywiadu – CIA), będzie mógł napisać skargę do organu nadzorczego – czyli w Polsce PUODO (xD ← tak to skomentuję) – a ten będzie w jego imieniu kontaktował się z odpowiednimi organami w stanach (FTC, DoC, CLPO), a na samym końcu „sąd” będzie badał sprawę i wyda wyrok (xDD ← tak to skomentuję ponownie). Innymi słowy, taki ktoś z Europy NIGDY nie będzie miał do czynienia z tymi organami, a co za tym idzie, nie będzie mógł dochodzić swoich praw bezpośrednio.

Dlaczego mój komentarz jest cyniczny? Dlatego, że każdy wyrok ma brzmieć w ten sposób:

Nie potwierdzając ani nie zaprzeczając, że skarżący podlegał działaniom wywiadu sygnałowego Stanów Zjednoczonych, przegląd albo nie zidentyfikował żadnych objętych nim naruszeń, albo Sąd Kontroli Ochrony Danych wydał orzeczenie wymagające odpowiednich środków zaradczych.

I cyk, sprawa załatwiona (można wracać do CS’a).

Ehhh… Czy coś się zatem zmieniło w prawodawstwie USA?

Nie.

A może ten akt jest inny niż Tarcza Prywatności?

Też nie, ale na czerwono.

Może zatem FISA 702 już nie będzie obowiązywać?!

Otóż – również nie. FISA jest i ma się dobrze.

Noyb i Max Schrems już stwierdzili, że miło będzie się spotkać z Komisją Europejską po raz trzeci w Trybunale Sprawiedliwości Unii Europejskiej żeby uchylić, tym razem DPF.

Innymi słowy, pomimo tego porozumienia pomiędzy KE a USA, przepisy Stanów Zjednoczonych (takie jak wspomniana FISA, czy Dekret Wykonawczy 14086) nadal stoją nad zasadami ochrony danych osobowych Europejczyków i Europejek.

Na zakończenie tego wszystkiego, zrobiłem mema – it ain’t much, but it’s an honest work:

Ruskij Mir… TFU! Ruski Internet 2.0 (i trochę o chińskiej cenzurze)

2 minuty

Dzisiaj będzie o Rosji. Nie, nie o tym co się dzieje pomiędzy Jewgienijem Prigożynem a Kremlem (chociaż to też turbo ciekawe i śledzę z wypiekami), ale o ru-necie, czyli ruskim Internecie 2.0.

Najpierw trochę kontekstu.

Dostęp do Internetu w Rosji nie jest tak „nieograniczony”, jak na zachodzie. Rosja już od dawna planuje „odłączyć” się od globalnej sieci i stworzyć „swój własny, prywatny Internet”. Na czym to ma polegać? Przede wszystkim na tym co rosyjski użytkownik może znaleźć w Sieci, a czego nie może znaleźć. Innymi słowy, jest to pomysł podobny do tego, który śmiga sobie w Chinach już od dawna (ciekawostka: Chiny mają nie tylko „Wielki Mur hiński”, ale stworzyły też coś, co się nazywa „Wielkim Firewallem Chińskim„) i ma przede wszystkim służyć kontroli użytkowników i treści (zarówno publikowanej przez użytkowników jak i dla nich samych). I w zasadzie kontrola treści w ruskim Internecie już jest, chociaż nie tak dopracowana jak u chińskiego sąsiada.

Ciekawostka nr 2: jeśli spróbujecie wyszukać w chińskiej wyszukiwarce (Baidu) informacji na temat masakry na placu Tiananmen, to Wam się nie uda. Te słowa są zablokowane, to oczywiste. Co jednak mniej oczywiste, to zablokowane (lub ocenzurowane) zostały m.in.:

  • 五月三十五: 35 Maja, aka 4 Czerwca (wtedy miała miejsce masakra)
  • IIXVIIIIX: Rzymskie cyfry 1-9-8-9 (rok masakry).

Nie dotyczy to jednak tylko placu Tiananmen, ale także takich kwestii jak ludobójstwo Ujgurów, balon szpiegowski (ten który latał sobie po USA) czy… Kubuś Puchatek.

Runet 2.0 ma to usprawnić i jedną z kluczowych zmian ma być to, że… jeśli Rosjanin lub Rosjanka będą chcieli wejść do Internetu (tego rosyjskiego), to będzie to wymagało podania przez nich danych ze swojego paszportu.

Żegnaj prywatności!

🤫 Żegnaj anonimowości! 🥸

Witaj inwigilacjo! ❤️🔎

(nie żeby prywatność czy anonimowość była w Rosji powszechna i możliwa dotychczas)

Pomysłodawcy tego rozwiązania mówią, że przede wszystkim ma to służyć bezpieczeństwu użytkowników, bo to pozwoli na ograniczenie ataków phishing’owych czy oszustw, bo każdy użytkownik będzie z góry znany i łatwo identyfikowalny, czy wreszcie ma to służyć „ochronie własności intelektualnej” i rozwojowi rodzimych technologii.

Pozwolę to sobie skomentować w wyszukany sposób:

xD

O czym jednak nie wspominają, to to, że takie rozwiązanie pozwoli m.in.:

  • zidentyfikować każdego
  • weryfikować co, kto, kiedy i gdzie wyszukiwał (iiiii następnie przysłać do niego smutnych panów w garniturach jeśli to były jakieś „shady” tematy)
  • kontrolować kto, co, gdzie i kiedy widzi.

Wniosek?

Rosja „uczy się” od Chin i chce wprowadzić totalną, permanentną inwigilację.

Co prawda władze twierdzą, że dostęp do „zwykłego” Internetu nadal będzie możliwy, ale tylko „na własną odpowiedzialność”. Cokolwiek to znaczy.

Spotify z karą za nierealizowanie prawa dostępu (€5.000.000)

1 minuta

Jednym z podstawowych praw wskazanych w RODO jest prawo dostępu do danych. Co się za nim kryje? Przede wszystkim możemy zażądać od tego, kto zarządza naszymi danymi (czyli administratora) kopii informacji jakie przetwarza na nasz temat.

W 2019 r. noyb (pisałem o nich już kilkukrotnie tutaj, to ci ludzie, którzy zajmują się sprawdzaniem, jak administratorzy i organy nadzorcze dają sobie radę z RODO) złożyło do szwedzkiego organu nadzorczego. Skarga dotyczyła tego, że Spotify nie chciało umożliwić zrealizowania prawa dostępu.

Po niezłych przebojach (szwedzki organ trochę leciał w kulki nie informując noyb o postępowaniu), w końcu, po 4 latach szwedzki organ wydał decyzję i nałożył na Spotify karę w wysokości € 5 milionów. Co istotne, organ podkreślił też, że realizacja prawa dostępu to nie tylko wydanie kopii danych, ale także informacji o źródłach skąd dane na nasz temat Spotify ma czy komu je przesyła (w tym czy wysyła je poza Unię Europejską).

Pełna treść decyzji, przetłumaczona na język angielski znajduje się o tutaj.

Microsoft z karą za gromadzenie danych dzieci przez Xbox’a ($20.000.000)

1 minuta

Xbox to jeden z produktów Microsoft’u, którego głównym założeniem jest… granie w gry, bo to konsola. :v 

Federalna Komisja Handlu* (Federal Trade Commission; FTC) przeprowadziła postępowanie w sprawie wykorzystywania przez Microsoft, w ramach Xbox’a danych osobowych dzieci. I tak się jakoś okazało, że Wielki Brat przetwarzał dane dzieci niezgodnie z przepisami Children Online Privacy Protection Act (COPPA; to taka stanowa ustawa, której założeniem jest ochrona danych osobowych dzieci w Internecie). W szczególności chodziło o to, że pozyskiwali dane (w tym wizerunek i dane biometryczne) bez zgody rodziców, a następnie bezprawnie przetwarzali.

Szok i niedowierzanie!😲

Skutkiem tego postępowania jest:

    • 20 milionów dolarów kary za naruszenie;
    • obowiązek poinformowania rodziców, którzy nie utworzyli dodatkowego konta obok konta swojego dziecka, że takie działanie polepszy ochronę ich dzieci;
    • uzyskanie zgody na przetwarzanie danych osobowych zebranych przed 2021 r.;
    • usunięcie danych niezwłocznie, jednak nie później niż w ciągu dwóch tygodni, jeśli zgoda nie zostanie uzyskana (w tym w odniesieniu do danych zbieranych w przyszłości);
    • powiadomienie wydawców gier, że w sytuacji, gdy udostępniają dane dzieci, to musi się to odbywać w zgodzie z COPPA.

I za to➕ dla FTC, ale… $20.000.000 kary to niezbyt wysoka stawka w porównaniu do ponad $50.000.000.000 (tak, to jest 50 MILIARDÓW) przychodu, czyli ponad $16.000.000.000 dochodu za Q4. It’s something but… you know… 🤷‍♂️

Aczkolwiek na horyzoncie Microsoft ma kolejną karę, tym razem już trochę większą, bo około €400.000.000 za naruszenie RODO w ramach innego z ich produktów – LinkedIn.

Oryginalna notka prasowa jest o tu 👉 FTC Will Require Microsoft to Pay(…)

*FTC to taki organ (agencja) w Stanach Zjednoczonych, która zajmuje się m.in. prawem antymonopolowym, a także niektórymi aspektami dotyczącymi ochrony danych osobowych.

Dlaczego antywirus nie jest lekiem na całe komputerowe zło?

9 minut

Mam Avasta / Nortona / Eseta / Pandę / Bitdefendera / [tu wstaw nazwę dowolnego antywirusa], a więc mój komputer jest bezpieczny i nie mam się czego obawiać. Nic więcej nie jest mi potrzebne.

Czy aby na pewno?🤔

A co jeśli Twój program antywirusowy nie będzie wiedział czy dany plik jest szkodliwy dla Twojego komputera?

Tym razem postaram się Ci przedstawić dwa zasadnicze problemy jakie są związane z wirusami i antywirusami.

Dobra, to na początek dwa pytania, na które spróbujemy sobie odpowiedzieć w tym wpisie:

  • Jakie działają antywirusy?
  • Czy antywirusy chronią przed wszystkimi zagrożeniami?

Wzorem innych wpisów, będą dwa rodzaje odpowiedzi:

  • krótkie i bezpośrednie
  • dłuższe dla nerd-… *ekhem* bardziej zainteresowanych. Te standardowo będą oznaczone symbolem 🤓 

Baza wirusów programu Avast została zaktualizowana…

Pamiętasz ten tekst, który można było słyszeć, gdy korzysta się właśnie z programu Avast? Zastanawiałeś się kiedyś czym jest baza wirusów i dlaczego została zaktualizowana? To jest właśnie jeden z dwóch sposobów działania programów antywirusowych, który opiera się na korzystaniu z bazy sygnatur stworzonych dla wirusów, które krążą sobie po internetach. 

Wtedy, antywirus skanuje pliki na Twoim komputerze i porównuje je ze swoją bazą. Dzięki temu sprawdza, czy plik jest wirusem i trzeba go zablokować, czy jest tylko zwykłym, niegroźnym plikiem, który można zignorować.

Co jakiś czas antywirus łączy się ze swoim serwerem i sprawdza, czy baza wirusów, którą posiada, jest taka sama, jak baza wirusów znajdująca się na serwerze. Innymi słowy, jeśli pomiędzy ostatnim takim zapytaniem pojawiły się nowe sygnatury wirusów, to żeby antywirus mógł je wykryć na Twoim komputerze, musi się o nich w jakiś sposób dowiedzieć – zaktualizować swoję bazę wirusów.

PS To, że antywirus aktualizuje bazę wirusów, nie oznacza, że przechowuje te wszystkie wirusy na Twoim komputerze. 😉

## 🤓Ok, dobra, ale co to jest ta cała baza wirusów? Czym są sygnatury? Jak to działa? ##

Twórcy programów antywirusowych zajmują się wykrywaniem wirusów jakie krążą w sieci (lub jakie mogą krążyć, ale o tym więcej kiedy indziej), a następnie korzystają z funkcji skrótu aby utworzyć hash takiego pliku, który jest wirusem. Pamiętasz czym jest hash? Jeśli nie, to szerszą definicję znajdziesz w Cybersłowniku, o tu → Hash / funkcja skrótu

W skrócie (he he, widzisz to? w skrócie o funkcji skrótu he he), jeśli jakiś plik jest złośliwym oprogramowaniem, to twórcy antywirusa tworzą skrót takiego pliku i dodają go do bazy wirusów. To właśnie sygnatura wirusa.

Jaki to ma związek ze skanowaniem przez antywirusa Twojego komputera? Otóż taki, że w trakcie skanowania, program antywirusowy porównuje hash każdego z plików znajdujących się na Twoim komputerze, z wbudowaną listą hash’y wirusów. Dzięki temu, może bardzo szybko wykryć jakiekolwiek zagrożenie, jakie znajduje się na Twoim komputerze. W trakcie skanowania antywirus nie musi zatem otwierać i zamykać każdego pliku na Twoim komputerze, bo jeśli by tak zrobił, to prawdopodobnie nie mógłbyś używać swojego komputera ze względu na zużycie zasobów (chociaż nie do końca, bo o tym za chwilę).

## Koniec części technicznej🤓 ##

W ten sposób działa większość współczesnych programów antywirusowych, a w szczególności tych bezpłatnych. Z jednej strony, mamy szybkość działania, a z drugiej strony pewien poziom ochrony.

Pamiętasz pewnie (a jeśli nie, to ponownie odsyłam do Cybersłownika i sekcji o funkcji skrótu), że podstawową cechą funkcji skrótu jest to, że dla TAKICH samych danych wejściowych, kreuje indywidualny ciąg znaków. Co oznacza, że najdorobniejsza zmiana w danych wejściowych, spowoduje zmianę hash’a. Ok, ale jaki to ma związek z wirusami? Odpowiedzi są logiczne, spójrz:

  • jeśli jako twórca wirusa minimalnie zmienię to, w jaki on działa, to wtedy antywirus opierający się na bazie wirusów go nie wychwyci podczas skanu, bo będzie miał inną sygnaturę
  • jeśli wirus nie będzie plikiem, to antywirus nie będzie w stanie porównać jego skrótu.

Dlatego, jeśli masz zainstalowanego antywirusa, który korzysta z bazy sygnatur, to super-ekstra istotne jest żeby ta baza była cały czas aktualizowana. Najlepiej jak najczęściej, dlatego że twórcy wirusów nie śpią.

I tutaj przechodzimy do drugiego typu antywirusów, czyli…

Powiedz mi co robisz, a powiem Ci jakie masz intencje…

Drugi rodzaj antywirusów opiera się na bieżącej analizie jak działa jakiś program i ocenie, czy jest on złośliwy czy nie. As simple as that. Innymi słowy, tego rodzaju antywirusy “uruchamiają” każdy z plików / programów na Twoim komputerze w odseparowanym środowisku i sprawdzają jak on działa. Następnie korzystając ze sztucznej inteligencji – a ściślej, z uczenia maszynowego – oceniają czy jest to zagrożenie dla komputera. 

W ten sposób, antywirus jest w stanie nie tylko ustalić czy jakiś program ma złośliwy charakter, ale także będzie “pamiętał”, że to, co robi ten program jest niebezpieczne. Jeśli zatem w przyszłości pojawi się inny program, który częściowo chociażby będzie podobnie zbudowany, to antywirus go wykryje i zablokuje. Sprytnie prawda? 

Taki sposób ochrony komputera przed wirusami jest niestety wolniejszy ze względu na to, że analizuje każdy z plików i sprawdza jego działanie. Mamy zatem większy poziom ochrony, ale mniejszą przepustowość.

Jakie jest zatem idealne rozwiązanie? Nie ma. Serio, nie ma idealnego rozwiązania na walkę z wirusami. Są po prostu mniej lub bardziej efektywne, mniej lub bardziej zasobożerne. Jednak powiem tak – jeśli masz możliwość żeby Twój program antywirusowy działał w obu trybach, które tutaj opisałem to… JUST DO IT. Wtedy ochrona będzie o wiele wydajniejsza i pełniejsza niż tylko, gdy będziesz korzystał z jednego trybu.

Jest jeszcze jedna, drobna, mała, tyci-tyci rzecz, która jednak powoduje, że ANTYWIRUSY SĄ BEZUŻYTECZNE……. Wspomniałem to dyskretnie trochę wcześniej. A mianowicie jeśli wirus nie jest wirusem. 

Złap mnie jeśli potrafisz!

Otóż to, a co jeśli zagrożenie dla komputera nie jest wirusem? Co jeśli zagrożenie podszywa się pod istniejący program? Co jeśli niebezpieczny plik, nie jest plikiem?

I tooooo jest temat rzeka, któremu będę chciał poświęcić inny artykuł (albo pewnie nawet więcej niż jeden), ale tutaj spróbuję chociaż zarysować problem.

Wirusy komputerowe, są trochę jak wirusy w ciele człowieka (czy innego organizmu). Są pewnym tworem, który ma określone zadanie – przeżyć. Wirus komputerowy też ma przeżyć, ale przede wszystkim ma zrobić coś jeszcze. Czasami będzie to kradzież danych, czasami zaszyfrowanie danych, czasami ich usunięcie, a jeszcze innym razem wyświetlanie Tobie większej ilości reklam żeby ich twórca mógł na tym zarabiać.

Jaka jest jeszcze cecha podobna pomiędzy wirusem komputerowym a wirusem w organizmie? Jedno i drugie mutuje, adaptuje się z czasem do środowiska w którym żyje. Co prawda “klasyczny” wirus komputerowy tego nie robi sam z siebie, bo robi to twórca tego wirusa ulepszając go co jakiś czas.

Dobrze, ale czym w takim razie jest “klasyczny” wirus? 

Jest niczym innym jak programem (kodem, instrukcją dla komputera co zrobić) tak jak program do pisania czy odczytywania dokumentów, tak jak program do słuchania muzyki, tak jak program do przeglądania internetów. To oznacza, że jest on względnie “stały” dopóki go się nie zaktualizuje, tak jak każdego innego programu.

I tutaj właśnie wchodzi ta kwestia, którą zarysowałem na początku tej sekcji – co jeśli wirus nie będzie “klasycznym” wirusem? Co jeśli będzie sam “mutował”? Co jeśli zagrożeniem nie jest w ogóle wirus?

Są bowiem takie wirusy, które nazywają się wirusami polimorficznymi, które posiadają zdolność samoczynnego “przepisywania” swojego kodu.

🦝 Ciekawostka od Szopa! 🦝

ChatGPT był w stanie ostatnio napisać wirusa polimorficznego. Sztuczna Inteligencja pisze swoje własne wirusy!*

*Oczywiście nie napisał tego “sam” z siebie, tylko nakłonili go do tego programiści.

Innymi słowy, nadal będzie robił “to samo”, czyli infekował Twój komputer, ale będzie robił to za każdym razem inaczej. I tutaj pojawia się problem antywirusów bazujących na sygnaturach – jeśli bowiem wirus zmienia swój kod, to zmienia swoją sygnaturę, a więc… Antywirus go nie wykryje.

Dodatkową cechą wirusów polimorficznych jest to, że często ich kod jest zaciemniony lub nawet zaszyfrowany. Uuu, zaciemniony. 💀💀💀 Brzmi tajemniczo, prawda? 

Zaciemniony, to nic innego jak zmiana semantyki kodu, przy jednoczesnym pozostawieniu jego sensu. Nie jest to potrzebne do zrozumienia jego sposobu działania, ale jeśli Cię to interesuje, odsyłam do tego artykułu na Wikipedii.

Wirusy, te żywe, też mutują. Wszyscy jeszcze pamiętamy mutację SARS-CoV-2, który każdego miesiąca miał nowe odmiany. Te komputerowe też tak robią, nie są wyjątkiem.

Poza tym, mamy też zagrożenia, które nie są ściśle związane z wirusami, tylko z innymi formami zainfekowania naszego urządzenia, np. konie trojańskie (czyli programy, które “podłączają” się pod prawdziwy program i kradną dane. Patrzę na Ciebie RemoteAccess Troian). Chociaż z tymi akurat wszystkie antywirusy sobie radzą nawet-nawet.

Mamy też rootkit’y, czyli programy, które zagnieżdżają się głęboko w naszym komputerze i są praktycznie niewykrywalne przez antywirusy, bo ich zakres działania tam nie sięga. 

Mamy też takie zagrożenia jak… phishing. Większość antywirusów nie wykryje maila, który spróbuje wyłudzić od Ciebie dane. 

Jak widzisz, tych zagrożeń jest wiele. Ale właśnie od tego jest ten blog, żebyś mógł znaleźć podstawowe informacje na ich temat i dowiedzieć się na co zwracać uwagę.

Jakie leki zatem powinniśmy brać żeby chronić się przed tymi innymi zagrożeniami? Tymi innymi wirusami? 

Odpowiedzi jest wiele i będziesz je stopniowo znajdować na tym blogu, ale w tym miejscu, skoro jest to wpis o antywirusach to na pewno lekiem jest:

korzystanie z antywirusa

Ale jakiego? – zapytasz

Adekwatnego. – odpowiem.

A tak na serio, już jakikolwiek antywirus jest wartością dodaną. Najlepiej jednak korzystać z takiego, który jest kombinacją klasycznego antywirusa bazującego na sygnaturach, ale także potrafiącego analizować kod w czasie rzeczywistym. Takie antywirusy o wielu funkcjach najczęściej nazywane są “antywirusami następnej generacji” (z ang. next-gen antivirus).

Czy czegoś jeszcze powinniśmy zatem używać? – ponownie zapytasz.

Tak. – ponownie odpowiem.

Dla bezpieczeństwa warto korzystać z wtyczek do przeglądarek blokujących reklamy (bo one mogą prowadzić do stron pobierających wirusy). Przy czym – z punktu widzenia prywatności tego typu wtyczki są wątpliwe, dlatego że gdy z niej korzystasz, to dajesz jej (a właściwie jej twórcy) dostęp do odczytywania stron (WSZYSTKICH STRON) na które wchodzisz. I to jest miejsce w którym trzeba sobie zadać pytanie: prywatność, czy bezpieczeństwo? (Psst, będzie osobny wpis o wtyczkach. Kiedyś…Jeszcze nie wiem kiedy… Ale będzie!).

Do tego, żeby być bezpieczniejszym można dodać pewne strony do zablokowanych z poziomu protokołu DNS (o tym, czym jest DNS, możesz przeczytać w moim Cybersłowniku o TUUUU).

Dodatkowo, powinniśmy instalować programy TYLKO z legalnych i pewnych źródeł, najlepiej prosto od producenta. Aczkolwiek z tym jest ostatnio problem i pojawia się masa ataków podszywających się pod twórców różnych programów i np. jeśli chcesz znaleźć konkretny program w wyszukiwarce to… najpierw mogą wyświetlić Ci się podstawione reklamy, a nie te prawdziwe. Przerażające, prawda? Możesz o tym poczytać na Sekurak’u tutaj i tutaj.

To tylko część sposobów na to, jak zachować kontrolę nad swoimi danymi i chronić się przed zagrożeniami. W miarę rozwoju tej strony, będziesz mógł znaleźć dużo więcej porad i sugestii. Postaram się też żeby w każdym przypadku poinformować Cię jaki wpływ na Twoją prywatność ma korzystanie z danego narzędzia.

PS Pamiętaj, że smartfon / tablet to taki mniejszy komputer, wiesz co to oznacza, prawda? Tak, to oznacza, że warto na nim również mieć antywirusa.

Hasło do telefonu, do banku, do Fejsbuka, do Instagrama, do poczty – ile tego?! Czyli jak je wszystkie spamiętać

7 minut

Pamiętasz jak w poprzednim artykule dotyczącym haseł pisałem o tym, że do każdego z serwisów, absolutnie wszędzie, trzeba mieć różne hasła? Pisałem też, że wyjaśnię dlaczego potrzebne są te wszystkie hasła (i to w dodatku różne!) oraz jak je wszystkie spamiętać. No więc (nie zaczyna się zdania od “no więc”)… 

Myślę, że warto rozpocząć od dwóch pytań, na które postaram się odpowiedzieć w tym artykule:

❓Czy muszę mieć różne hasła do różnych serwisów? 

❓Jak zapamiętać te wszystkie hasła?

Wzorem poprzedniego wpisu z serii, będą dwa rodzaje odpowiedzi:

  • krótkie i bezpośrednie
  • dłuższe dla nerdów *ekhem* bardziej zainteresowanych. ← te standardowo będą oznaczone symbolem 🤓

Tysiąc haseł? A na co to komu…

Otóż to, po co różne hasła do każdego serwisu? I to jeszcze w dodatku, każde musi być skomplikowane (o tym, jak sobie ułatwić życie i tworzyć proste do zapamiętania hasła odsyłam do poprzedniego artykułu). Po co mi inne hasło do Facebook’a, inne do banku, inne do jednego e-maila, jeszcze inne do drugiego, inne do Instagrama, inne do YouTube’a itd…?

Odpowiedź na to pytanie jest bardzo prosta – jeżeli będziesz posiadał/a jedno to samo (lub takie samo) hasło wszędzie, to wystarczy, że wycieknie ono raz i tym samym utracisz dostęp do wszystkich swoich serwisów.

To trochę tak, jakby do domu, samochodu, garażu czy sejfu mieć jeden i ten sam zamek, który można otworzyć jednym kluczem. O fizycznych zabezpieczeniach naszego domu myślimy automatycznie, prawda? Dlaczego więc nie potraktować naszych kont w portalach społecznościowych, w banku, czy na poczcie tak samo? 

Pamiętaj, że możesz mieć najbardziej skomplikowane hasło na świecie, ale dojdzie do sytuacji, w której dobrowolnie je komuś przekażesz (o tym, jak można od każdego wyciągnąć dane – przeczytasz w innym artykule na temat inżynierii społecznej, jak już ten artykuł powstanie) albo co gorsza, nie przechowujesz swojego hasła w odpowiedni, bezpieczny sposób. Niestety do wycieków czy ataków na dane do logowania (w żargonie security/privacy mówimy na nie “kredki”, od ang. credentials) dochodzi coraz częściej, co więcej, ich liczba będzie tylko rosnąć. Dlatego właśnie, nawet jedno super-ekstra-skomplikowane hasło nie wystarczy żeby chronić swoje dane i utrzymać je w poufności, w prywatności. Twoje dane mają ogromną wartość, nie tylko dla przestępców, ale też (a może i przede wszystkim?) dla reklamodawców, czy wreszcie – państw.

## Ok, a jak to wygląda z technicznego punktu widzenia?🤓 ##

Tutaj sprawa nie jest jakoś wielce skomplikowana. Jeżeli Twoje hasło wycieknie, to zostanie ono dodane do jednej z wielu baz w Internecie, które można kupić lub po prostu znaleźć. W zależności od tego, kto skorzysta z tej bazy, działania mogą być różne. Jednak pewne jest to, że przestępcy, korzystając z programów komputerowych mogą próbować logować się do różnych serwisów używając Twoich danych do logowania. I to, w zależności od tego, gdzie próbują się zalogować i jakie mają intencje, może mieć różny wymiar. Może to być wysyłanie spamu z Twojej poczty, może to być rozprzestrzenianie złośliwego oprogramowania (z ang. malware), ale wreszcie, może to być również kradzież tożsamości prowadząca do narobienia Tobie ogromnej ilości problemów (np. wyłudzenia pożyczek czy uczestnictwo w przestępstwach).

## Koniec części technicznej 🤓 ##

Potraktuj każde ze swoich kont, gdzie wpisujesz login i hasło, jako taką niezłą patodeweloperkę. W każdym z tych mikroapartamentów spędzasz trochę czasu, a jak go wyłączysz lub minimalizujesz, to go zamykaj na klucz – czyli korzystaj z różnych haseł.

Ale jak to wszystko spamiętać?!

I to jest bardzo dobre pytanie. Pewnie zauważyłeś/aś, że lubię obrazować niektóre kwestie memami, o tu jest kolejny:

Tak. Menadżer haseł (z ang. password manager). Pewnie słyszałeś/aś to już ode mnie nie raz, nie dwa, jak namawiałem Cię do tego żeby z niego skorzystać. Dlaczego?

Wersja krótka:

👉Nie musisz znać wszystkich swoich haseł.

👉Menadżer haseł przechowuje Twoje hasła w bezpiecznym “skarbcu”, który jest zaszyfrowany.

👉Wystarczy, że pamiętasz “tylko” o haśle do skarbca.

👉Menadżer haseł może generować skomplikowane, trudne do złamania hasła.

👉Współczesne menedżery haseł są proste i intuicyjne w użytku.

## Ok, a jak to wygląda z technicznego punktu widzenia?🤓 ##

Menadżer haseł to program, który:

🔐służy do przechowywania określonych danych (najczęściej danych do logowania) w bezpiecznej, zaszyfrowanej formie;

🔐 służy do generowania losowych, skomplikowanych haseł.

Menadżer haseł przechowuje Twoje dane w tzw. sejfie, który korzysta z silnego szyfrowania takiego jak Blowfish, AES lub przechowuje hasła w formie skrótu / hasha (funkcja haszująca / funkcja skrótu = matematyczna, jednostronna funkcja mająca na celu przekształcenie jednego ciągu znaków w inny; każdy ciąg znaków ma swój unikatowy skrót. Więcej na temat funkcji skrótu znajdziesz tutaj ). Obecnie, uważanym za najbezpieczniejszy do przechowywania haseł jest algorytm Argon2id.

Aby dostać się do takiego sejfu, najpierw konieczne jest utworzenie tzw. “master-password”, czyli nadrzędnego hasła, które będzie nie tylko umożliwiało Tobie dostęp do bazy haseł, ale także utrudni hakerom wykradzenie Twoich danych.

Taki sposób przechowywania oznacza, że hasła nie są dostępne od razu i są chronione przez silne środki zabezpieczeń, które zasadniczo raczej nie są obecnie możliwe do złamania. Oczywiście nie dotyczy to jednak sytuacji, kiedy menadżer haseł jest źle skonfigurowany i korzysta ze zbyt słabej kryptografii. Wtedy dochodzi do takich sytuacji, jak w przypadku tego menadżera – LastPass. Pod tym linkiem znajdziesz artykuł na Sekurak’u gdzie opisana jest właśnie sytuacja, gdy menadżer haseł był źle skonfigurowany, co finalnie doprowadziło do uzyskania przez hakerów dostępu do baz haseł użytkowników.

Większość menedżerów haseł posiada również funkcję tworzenia skomplikowanych, losowych haseł, więc wtedy nie musisz się już martwić wymyślaniem ich. Program robi to za Ciebie.

## Ok, a jak to wygląda z technicznego punktu widzenia?🤓 ##

Zatem korzystanie z menedżera haseł ogranicza konieczność pamiętania miliona haseł do wszystkich portali, stron, kont itd. Wystarczy, że utworzymy jedno, super-ekstra silne hasło do sejfu, a reszta jest tworzona i przechowywana za nas. 

Plusy dodatnie i plusy ujemne korzystania z menadżerów haseł

Brzmi ekstra prawda? Można się pozbyć całego problemu z tworzeniem i zapamiętywaniem haseł, bo program będzie to robił za nas!… Jednak nie do końca jest to takie super, bo takie rozwiązanie ma kilka wad:

  1. jeśli jest to menedżer haseł w chmurze (taki jak np. Norton Password Manager, LastPass, 1Pass, Bitwarden itd.), to oznacza to, że “dajesz” właścicielom tych programów potencjalny dostęp do wszystkich Twoich danych. Niezbyt to prywatne, prawda?
  2. jeśli zapomnisz nadrzędnego hasła, to może się okazać, że nie masz dostępu do żadnego ze swoich serwisów, kont itd.
  3. ze względu na swój charakter, bazy danych i bazy haseł są łakomym kąskiem dla tych złych hakerów, więc takie ataki na menedżery haseł będą coraz częstsze (patrzę na Ciebie Nortonie i LastPassie).

Czy to oznacza, że nie powinniśmy z nich korzystać? 

Współczesne rozwiązania technologiczne w dużej mierze opierają się na “zaufaniu”, że ten, kto zapewnia jakieś rozwiązanie, mówi prawdę i nie wykorzysta tego w innym celu niż zadeklarował. Odpowiedź na to pytanie pozostawiam więc każdemu z Was. Ja osobiście uważam, że jest to taki kompromis, na który warto pójść. Przykładowo pierwszą z trzech wątpliwości można wyeliminować korzystając z menedżerów haseł offline (jak np. KeePassXC). Zatem, ja bardzo serdecznie zachęcam do eksperymentowania z różnymi rozwiązaniami. Nie musisz od razu wpisywać wszystkich swoich haseł do jednego menedżera, wypróbuj różne rozwiązania.

🍏 🍏🍏 Dla wielbicieli urządzeń z jabłuszkiem np. mogę zdecydowanie polecić korzystanie z wbudowanego Pęku Kluczy, który dodatkowo jest zsynchronizowany z naszym kontem Apple, więc możemy z haseł korzystać na Mac’u, iPadzie, iPhonie itd. Dodatkowo, Apple nie przechowuje naszego klucza prywatnego (czegoś jak master-password o którym pisałem wcześniej, ale wyjaśnię w innym wpisie o co chodzi z kluczami publicznymi i prywatnymi) na swoich serwerach, a tylko lokalnie, na urządzeniach użytkowników. 🍏🍏🍏

Jak widzisz, menedżer haseł daje bardzo dużo możliwości i możemy na niego przenieść dużą część zmartwień dotyczących bezpieczeństwa i prywatności naszych danych. Niestety jest to okupione różnymi minusami jak m.in. przekazanie wszystkich swoich dostępów jednemu podmiotowi (no chyba, że jesteś paranoikiem, wtedy możesz korzystać z 3 różnych menedżerów, jak ja 🙃). 

Pamiętajmy jednak, że całą bazę szlag trafi, jeśli nasze master-password będzie brzmiało np. tak: MenadzerHasel2023! Tutaj już trzeba skorzystać z jakiegoś rozwiązania do stworzenia skomplikowanego hasła, o których wspominałem w poprzednim wpisie. Można do tego wykorzystać np. techniki mnemoniczne. Zatem, bądźcie prywatni i bezpieczni! Cheers! ✌️


(Dla wytrwałych) bardzo przydatna lista menadżerów haseł z opisem i odnośnikami jest np. tutaj 👉 https://www.privacyguides.org/passwords/

Duże, małe litery, cyfry, korzeń mandragory i szczypta soli, czyli przepis na silne hasło!

7 minut

Pewnie każdy z nas pomyślał kiedyś:

    • nikt nie odgadnie mojego hasła, bo stworzyłem je w oparciu o bardzo osobistą dla mnie informację!
    • moje hasło jest krótkie, ale za to jest bardzo skomplikowane!
    • moje dane nie mają wartości, nikomu nie jest potrzebny dostęp do mojego konta na Facebook’u.
    • To prawda, używam jednego hasła wszędzie, ale jest ono takie, że nikt go nie odgadnie!

❓ Dlaczego akurat każda z tych czterech myśli jest błędna lub niewłaściwa? 

❓ Czy rzeczywiście Twoje hasło musi mieć 8 znaków, dużą, małą literę, cyfrę i znak specjalny? 

❓ Czy musisz je zmieniać co miesiąc? 

❓ Czy musisz mieć inne hasło do różnych serwisów? ← Akurat na to pytanie odpowiem od razu – TAK, a dlaczego tak jest dowiesz się we wpisie Hasło do telefonu, do banku, do Fejsbuka, do Instagrama, do poczty – ile tego?! Czyli jak je wszystkie spamiętać

Na pozostałe pytania, udzielę Ci odpowiedzi w tym artykule. Będzie zarówno prosto, jak i trochę technicznie. Techniczna sekcja będzie oznaczona takim symbolem 🤓.

Kiedy długość (hasła) ma znaczenie

Dobra, ale zacznijmy od tego, czym jest hasło?

Hasło to przede wszystkim:

    • pierwsza linia obrony przed dostępem osób trzecich do Twoich danych
    • ciąg znaków będący sposobem na umożliwienie Tobie dostępu do danych zapisanych w jakimś systemie, czyli inaczej uwierzytelnienia.

Bardzo upraszczając na przykładzie logowania do poczty e-mail, kiedy wpisujesz swój adres e-mail oraz hasło komunikacja wygląda tak:

Twój komputer >> hej, chcę uzyskać dostęp do tej poczty imienazwisko@twojapoczta.pl

Serwer poczty >> Ok, podaj najpierw hasło

Twój komputer >> tutaj jest hasło dostępu: BardzoTrudneHaslo1!

Serwer poczty >> Ok, to co wpisałeś zgadza się z moją bazą haseł, udzielam Ci dostępu.

Dzieje się magia i Twój komputer uzyskuje dostęp do skrzynki odbiorczej.

Widzisz już zatem, że jeśli nie byłoby hasła, to każdy mógłby mieć dostęp do wszystkiego (ahhh czasy starego internetu…), a tak przynajmniej na tym etapie mamy już pierwszego “ochroniarza”, który mówi “dowodzik poproszę”. 

Ok, po krótkim wstępie przejdźmy do istoty problemu, czyli dlaczego długość (hasła) ma znaczenie. Odpowiedź na to pytanie jest prosta i logiczna, bo… matematyczna. 

Wersja krótka:

Im więcej symboli ma dany ciąg znaków, tym trudniej odgadnąć jest jego rzeczywistą treść, bo musimy wypróbować wszystkie możliwe kombinacje. Innymi słowy, żeby dojść do słowa Haslo123! musimy wypróbować wszystkie możliwe kombinacje zaczynając od a, aa, aaa, aaaa, aaaaa, aaaaaa… i tak dalej. A każda taka operacja wymaga zasobów komputera atakującego.

## Wersja trochę bardziej techniczna (dla nerdów) 🤓 ##

Na pewno słyszałeś/aś kiedyś o rachunku prawdopodobieństwa i algebrze, prawda? No właśnie, to na tym między innymi polega określanie siły hasła. Okay, sprawdźmy to na przykładzie:

Załóżmy, że to jest nasze hasło: Haslo123! Atakujący oczywiście nie widzi naszego hasła, ani nawet jak długie ono jest, musi więc odgadnąć każdy znak.

I teraz spójrz:

    • w łacińskim alfabecie mamy 26 liter, 

co oznacza, że mamy 1 na 26 szans aby odgadnąć co kryje się pod każdym ze znaków. Ale! To prawdopodobieństwo nie widzi różnicy między wielką a małą literą. Zatem, jeśli weźmiemy pod uwagę dużą i małą literę, to prawdopodobieństwo zmienia się i atakujący ma 1 na 52 szans aby odgadnąć co kryje się pod każdym ze znaków

    • mamy 10 cyfr

co oznacza, że atakujący ma 1 na 10 szan aby odgadnąć co kryje się pod każdym z tych znaków

    • znaków specjalnych mamy 33 (w zależności od konfiguracji administratora, ale załóżmy wersję 33)

co oznacza, że atakujący ma 1 na 33 szans aby odgadnąć co kryje się pod każdym z tych znaków.

Te rachunki prawdopodobieństwa oczywiście się sumują, co oznacza, że w powyższym scenariuszu atakujący ma 1 na 95 szans, że odgadnie każdy ze znaków. I tutaj dzieje się właśnie magia, bo:

      • jeśli hasło ma 2 znaki, to atakujący ma 1 na 9025 szans (95×95) aby je odgadnąć
      • jeśli hasło ma 3 znaki, to atakujący ma 1 na 857 375 (95x95x95) szans aby je odgadnąć
      • a jeśli hasło ma 9 znaków (jak w naszym przypadku), to atakujący ma 1 na… 630 249 409 724 609 375 szans! Dużo prawda?

Niestety nie jest to dużo dla współczesnych komputerów, które mogą tyle kombinacji sprawdzić niemal natychmiast. 

## Koniec części technicznej 🤓 ##

I teraz zdradzę Ci tajemnicę, ale musimy być bałdzo, bałdzo cicho…… Atakujący nie odgadują Twoich haseł wpisując każdą kombinację ręcznie!!! 😲😲 Korzystają z komputerów i programów, które robią to w sposób zautomatyzowany. To właśnie te programy sprawdzają miliony milionów haseł niemal natychmiast próbując wszystkich możliwych kombinacji liter i znaków. I to nazywa się atakiem siłowym (z ang. brute force). Więcej o tym (jak mi się napisze) przeczytasz tutaj.
Bardzo ciekawą grafikę, na której widać mniej-więcej ile czasu potrzeba na złamanie hasła metodą brute force jest ta tabela od HiveSystems:

Hasło kociołkiem Panoramixa

Ok, skoro zatem wiesz już, że im dłuższe hasło, tym lepiej, to co powinno ono zawierać? Czy musi posiadać duże i małe litery, znaki specjalne i cyfry?

Odpowiedzią na to jest TAK… ale też nie… [Tu wstaw mem – Well yes, but actually no.]

Pozwól, że wyjaśnię. 

Jak już wiesz, im dłuższe hasło, tym prawdopodobieństwo jego odgadnięcia jest mniejsze. Oznacza to, że jeśli użyjesz hasła zbudowanego wyłącznie z liter, ale będzie ono miało np. 14 znaków, to będzie o wiele trudniejsze do złamania aniżeli 8 znakowe, ale bardzo skomplikowane.

Pewnie zatem zachodzisz w głowę jak stworzyć tak długie hasła?!🤔

I tutaj wchodzę ja, cały na biało 👨‍⚕️,  z odpowiedzią – fraza zabezpieczająca (po angielsku brzmi to fajniej passphrase). Czyli coś jak hasło, ale oparte na całych zdaniach lub wielu losowych słowach, a nie pojedynczych wyrazach. Brzmi zagadkowo? 

Spójrz: 84rd20Trvdn3H45l0& ← to jest potencjalnie trudne, skomplikowane hasło zbudowane z cyfr, liter i znaków specjalnych. Ok, jest trudne do “odgadnięcia”, ale jest też trudne do zapamiętania.

Łatwiejsze do zapamiętania jest na przykład to: HejPieskuPieskuWracajJuzDoLasuHejPieskuPieskuSzkodaTwegoCzasu

Chodzi o to aby zamiast jednego słowa lub przypadkowej zbitki znaków skorzystać z całego zdania, które nam będzie łatwo zapamiętać. Zamiast zdania, możesz też skorzystać z innych metod wykorzystujących różne słowa, jak np. 2., 1., 3. i 7. wyraz kolejnych wierszy piosenki, która siedzi Ci ostatnio w głowie. 

Chodzi zatem o to aby stworzyć swój własny algorytm doboru słów do hasła. Wtedy nie tylko będzie ono bezpieczniejsze w przypadku ataku siłowego, ale także w przypadku ataku słownikowego! Twoje hasło nie zawsze musi być zatem złożone z różnych rzeczy, jak napój studenta – kociołek Panoramixa.

🚫🚫🚫

Nie korzystaj jednak WPROST z tekstów piosenek czy cytatów z filmów, gier, książek. Dlaczego? Dlatego że są one popularne i łatwo wyszukiwalne. Możesz wziąć wers swojej ulubionej piosenki i zmienić w nim kilka słów tak aby dla Ciebie nadal było ono łatwe do zapamiętania, ale nie będzie łatwe do znalezienia czy powiązania w Internetach.

Atak słownikowy to taka próba odgadnięcia haseł, która polega na skorzystaniu z jakiejś bazy haseł lub słów zamiast podstawiania wszystkich możliwych kombinacji liter. Może to być np baza 100.000 najpopularniejszych haseł lub baza haseł które ostatnio wyciekły do sieci. Więcej o tym ataku (jak już się napisze) przeczytasz tutaj.

Jak często je zmieniać?

Przejdźmy zatem do odpowiedzi na ostatnie pytanie – czy muszę zmieniać hasło co 30/60/90/120/x dni?

Wersja krótsza

Odpowiedź: NIE, jeśli masz długie hasło (14+ znaków)

## Wersja trochę bardziej techniczna (dla nerdów) 🤓 ##

Odpowiedź: To zależy. I to zależy od wielu czynników:

1) Czy jest to super skomplikowane hasło;

Im dłuższe hasło, tym rzadziej musisz je zmieniać, bo jak już przeczytałeś/aś w poprzednim rozdziale, niemal nieskończoność zajmie odgadnięcie 14 znakowego hasła metodą siłową.

2) Jak ważny jest dostęp do tego systemu

Do bardziej krytycznych systemów (jak konta bankowe, czy tzw. master-hasło do menedżera haseł, lub inne ważne systemy w pracy) warto regularnie zmieniać hasła aby zmniejszyć atakującym szansę i skrócić czas w trakcie którego mogą przełamać lub odgadnąć Twoje hasło.

3) Czy jesteś paranoikiem (jak ja) i wolisz dmuchać na zimne;

Tego chyba nie muszę tłumaczyć. :v

## Koniec części technicznej 🤓 ##

The end…?

Na zakończenie, podsumowanie najważniejszych zasad:

❗️ stosuj długie hasła – min. 14 znaków;

❗️nie używaj jako haseł słów, które można z Tobą powiązać;

❗️nie używaj jako haseł nazw serwisów;

❗️nie używaj jako haseł słów powszechnie znanych;

❗️nie używaj takich samych ani podobnych haseł (nawet w ramach jednego serwisu);

❗️nie podawaj nigdy, nikomu swojego hasła do jakiegokolwiek serwisu;

❗️korzystaj z generatorów losowych haseł lub jeszcze lepiej, fraz zabezpieczających;

❗️nie idź na łatwiznę w tworzeniu haseł!

Posłowie

Siłę haseł jednak szlag trafi, gdy na szerszą skalę będą wykorzystywane komputery kwantowe. 🙃🙃🙃🙃🙃 Ale o tym w innym odcinku…