Nie daj się podsłuchać – narzędzia do ochrony prywatności
Dziś niemal każde urządzenie elektroniczne podpięte do internetu próbuje nas śledzić, podsłuchiwać albo z uwagą obserwować. Wiele z nich robi to za naszą jawną zgodą. Mimo bardzo popularnego poglądu, że „uczciwi nie mają się czego obawiać”, w dalszym ciągu wielu rozumie pułapki takiego rozumowania. Powodów do dbania o prywatność może być przecież wiele – pewne rzeczy chcemy trzymać w tajemnicy z całkiem naturalnych powodów, a nie dlatego, że chcemy ukryć przed światem jakieś swoje niecne występki. Jednak z biegiem czasu, powoli acz konsekwentnie, spada liczba metod pozwalających nam na ochronę prywatności. Póki jednak istnieją, przyjrzyjmy się im, podchodząc do zagadnienia zadaniowo, metodą „problem – rozwiązanie”. Nie istnieje jeden uniwersalny przepis na prywatność i bezpieczeństwo. Omówmy najpopularniejsze zagrożenia.
04.10.2018 | aktual.: 08.10.2018 01:07
Rozwiązanie: uBlock Origin
Reklamy na stronach internetowych są dostarczane przez sieci obsługujące silniki ogłoszeniowe, jak AdSense albo DoubleClick. Operator strony „dzierżawi” na niej ramkę, której treść zależy od zewnętrznego dostawcy. Następnie dzieli się częścią zysków. Nieuchronnie, stron internetowych jest więcej, niż operatorów reklam. Ponieważ moduły reklamowe na stronach stosują słynne pliki cookie, dostawca reklam poznaje historię przeglądania wszystkich odwiedzanych stron internetowych, na których wyświetla swoje treści. Można się z tym rozprawić na dwa sposoby: nie przyjmować plików cookie albo nie rysować elementów strony odpowiedzialnych za reklamy.
Aby to osiągnąć, należy skorzystać z rozszerzeń dla przeglądarki internetowej. Najpopularniejsze filtry skryptów, modułów i ciasteczek reklamowych to uBlock Origin oraz AdBlock Plus. Są one dostępne w odpowiednich galeriach rozszerzeń, naszej bazie aplikacji oraz w Sklepie Windows, w przypadku przeglądarki Edge. Poza reklamami, niniejsze wtyczki blokują również komponenty, które nie odpowiadają za samo wyświetlanie reklam, a jedynie śledzą ruch i preferencje sieciowe.
Wadą tego rozwiązania jest, poza stosowaniem zewnętrznego kodu (wtyczki nie pochodzą od twórcy przeglądarki!), pozbawianie twórcy strony źródła dochodów. Tak się bowiem składa, że internet niestety oparł swoje finansowanie właśnie o reklamy, a dostarczanie strony WWW nie jest darmową rozrywką…
Rozwiązanie: NoScript i Disconnect Me
Poza modułami reklamowymi, na stronach internetowych umieszczane są także inne elementy zewnętrzne, na przykład mechanizmy logowania za pomocą kont-paszportów. Wiele portali, zamiast utrzymywania własnej infrastruktury, albo na równi z nią, dostarcza możliwość logowania za pomocą np. kont Google, Microsoft, OpenID. Poza logowaniem do całego serwisu, istnieją też narzędzia pozwalające na logowanie do konkretnych funkcji, na przykład komentarzy. W ten sposób działa np. Disqus. Oczywiście, umieszczenie widgetów logowania samo w sobie jest zaopatrzeniem strony internetowej w mechanizmy śledzące. Działają one nie tylko po zalogowaniu, ale także po załadowaniu, odróżniając użytkownika po plikach cookie albo po unikatowym identyfikatorze. Narzędzia typu AdBlock nie chronią przed nimi, ponieważ nie mogą ich „wyciąć” ze strony. Są one wszak częścią funkcjonalną. Aby uchronić się przed ich de-anonimizującym wpływem na nasze przeglądanie internetu, należy zachować następujące reguły higieny:
Nie logować się do konta Google/Microsoft/itp. za pomocą tej samej przeglądarki, której używamy do „reszty internetu”. Jest szereg powodów dla tego podziału. Po pierwsze, strony z modułem logowania nie otrzymają sugerowanej tożsamości, ponieważ nie będziemy zalogowani. Po drugie, unikniemy ryzyka podpięcia strony-aplikacji do naszego konta. Po trzecie, historia przeglądania w przeglądarce Google Chrome jest przechowywana w chmurze. A więc nie tylko strony wiedzą, kim jesteśmy, ale i Google wie, co przeglądamy. Jeżeli nie chcemy korzystać z wielu przeglądarek, niezbędnym minimum będzie tutaj zastosowanie trybu incognito.
Bardziej inwazyjne rozwiązania do zastosowanie wtyczki NoScript, redukującej funkcjonalność wielu stron i bardziej zaawansowane mechanizmy logowania, oraz wyłączenie obsługi plików cookie dla stron trzecich. W takiej sytuacji niektóre strony mogą w ogóle odmówić wyświetlenia się, ale zwiększa to pewność odsiania mechanizmów ustalania tożsamości. Bardziej ukierunkowane rozwiązania, wyłączające „konektory” logowania, są oferowane przez wtyczkę Disconnect Me, która jest dostępna również w podstawowej wersji za darmo.
Rozwiązanie: Privacy Badger
Im bardziej chcemy być skuteczni, tym bardziej skomplikowane problemy przychodzi nam rozwiązywać. Istnieje na przykład metodyka ustalania tożsamości na podstawie jedynie przeglądarki internetowej. Nie są w tym celu potrzebne żadne pliki cookie, a w szczególnych przypadkach – również żaden JavaScript. Okazuje się bowiem, że sama przeglądarka internetowa przekazuje stronom wystarczająco wiele informacji, by zidentyfikować użytkownika.
Najprostszą, acz najmniej dokładną metodą jest odpytywanie przeglądarki o informacje, które udostępnia jawnie. Dotyczy to wersji systemu i przeglądarki, rozdzielczości ekranu oraz zainstalowanych czcionek. Takie dane są potrzebne stronom, by zaserwować wariant poprawnie rysujący się na odpowiedniej przeglądarce (nie każda strona będzie wyglądać tak samo na Chrome i na Firefoksie) oraz… mieszczący na ekranie! Mowa tu nie tylko o telefonach, ale także o dużych monitorach panoramicznych i telewizorach. Takie dane są powtarzalne dla wielu użytkowników, ale jeżeli chcemy się uchronić nawet przed taką kategoryzacją, konieczne będzie zmodyfikowanie ustawień przeglądarki, które zaciemni lub usunie tzw. User Agent String.
Niestety, istnieje metoda o wiele dokładniejszej identyfikacji przeglądarki, niemal do poziomu gwarantującego unikatowość. Okazuje się, że zmuszenie przeglądarki do samodzielnego narysowania skomplikowanego obrazka na „płótnie” (canvas) HTML5, przebiega w nieco odmienny sposób na każdym komputerze, zależnie od wersji przeglądarki, systemu operacyjnego oraz sterownika do karty graficznej, stosowanej rozdzielczości i zainstalowanego zbioru filtrów graficznych i czcionek. Ta zupełnie niezamierzona, uboczna cecha elementu canvas sprawia, że przeglądarka pozostawia niemal unikatowy „odcisk palca”. Pozostawianie takich odcisków zwróciło uwagę organizacji Electronic Frontier Foundation, skutkiem czego przygotowali oni rozszerzenie Privacy Badger, minimalizujące zbiór zachowań generujących unikatowe ślady. Czy to wszystko? Niestety, nie.
Rozwiązanie: Sieć VPN
Pozostają jeszcze ślady generowane wskutek samego ruchu sieciowego. Każde połączenie ma swojego nadawcę i odbiorcę, nie można zlikwidować tego wymagania, można jedynie zadbać o odpowiednie zaciemnienie miejsca pochodzenia. Można w tym celu zaopatrzyć się w konto VPN. Dzięki niemu, cały ruch sieciowy będzie przechodził przez pośrednika: nasze połączenia, oraz połączenia wszystkich pozostałych klientów usługodawcy VPN, będą swym pochodzeniem wskazywać na bramę VPN, a nie „bezpośrednio” na nasz komputer. Polecanym przez fachowców dostawcą VPN jest np. Nord VPN. Konfiguracja sieci VPN jest dostępna z poziomu przejrzystych ustawień systemowych w Windows i MacOS. Dostępne są również odpowiednie, domyślne nakładki graficzne dla linuksowego NetworkManagera.
Jeżeli anonimizacja na poziomie VPN, skupiającym nas na konkretnym adresie IP usługodawcy to za mało, możliwe jest jeszcze zastosowanie alternatywnego routingu. Takie rozwiązanie, które można porównać do klasycznego szpiegowskiego „gubienia ogona”, dostarcza sieć TOR. Wymaga ona odpowiedniego oprogramowania do zestawienia połączenia i pewnej elementarnej świadomości użycia. Wskazówki konfiguracji są dostarczane przez fundację EFF. Warto jednak pamiętać, że stosowanie TOR-a ma pewien zabawny skutek poboczny: znacząco zwiększa naszą anonimowość w samej sieci, ale odnalezienie oprogramowania TOR na komputerze zazwyczaj gwarantuje awans o sporo oczek w rankingu podejrzanych…
Rozwiązanie: Enigmail
Niecierpliwi powinni ominąć niniejszy akapit! Łatwo się przy nim zniechęcić. Poczta elektroniczna jest mniej wszechstronna funkcjonalnie, niż obecna sieć Web, ale ponieważ jest ona starsza od usługi WWW, jej wiek daje się we znaki o wiele mocniej w kwestii prywatności. Domyślnie, poczta elektroniczna nie szyfruje nie tylko samych wiadomości, ale nawet przesyłanego hasła! Dziś do logowania jest już używany szyfr TLS, ale nie jest to funkcja wbudowana w e-mail od zawsze.
Zacznijmy od kwestii najtrudniejszej, jaką jest zabezpieczenie samej treści wiadomości. Celem do osiągnięcia jest przechowywanie i przesyłanie poczty w postaci zaszyfrowanej. Tak, by dopiero odbiorca, na samym końcu po pobraniu wiadomości na swój komputer, mógł użyć „klucza”, by rozszyfrować wiadomość. Z oczywistych powodów nie może to być funkcja samej skrzynki pocztowej (wtedy klucz znałby dostawca poczty!). Musi się to odbywać po stronie klienta, stąd też potrzebny będzie program pocztowy, zaopatrzony w mechanizm szyfrowania. Do tej roli nada się program Thunderbird oraz dodatek Enigmail. Konfiguracja PGP i Enigmail to proces żmudny, acz bardzo dobrze opisany. Odpowiednie instrukcje dostarcza ponownie fundacja EFF. Przytoczmy jedynie ogólny zarys funkcjonowania PGP: na proces szyfrowania i podpisywania składa się użycie par dwóch kluczy, prywatnego i publicznego. Chcąc zaszyfrować wiadomość do kogoś, musimy użyć jego klucz publicznego. Jest on „publiczny”, a więc jawnie opublikowany. Pozwala on na zaszyfrowanie wiadomości, ale nie na odszyfrowanie jej. Dlatego, jeżeli ktoś przechwyci klucz publiczny i zaszyfrowaną wiadomość, nie dotrze do jej treści, mimo trzymania w ręku narzędzia, którego użyto do zaszyfrowania! Odczytać wiadomość może jedynie posiadacz klucza prywatnego, czyli adresat.
Taka metoda szyfrowania wiadomości jest dość niewygodna i pełna detali matematycznych. Ponadto, przerzuca odpowiedzialność za szyfrowanie i znajomość klucza odbiorcy na nadawcę, który musi się nieźle natrudzić, by wysłać do kogoś szyfrogram. Narzędzie Enigmail stara się rozwiązać wiele tych problemów i dostarczać automatyzację, nie jest to jednak rozwiązanie łatwe, proste i przyjemne. Przekonał się o tym Edward Snowden, usiłujący zmusić swojego dziennikarza kontaktowego do skonfigurowania PGP u siebie. Pozostałe kwestie dotyczące prywatności pocztowej są już łatwiejsze.
Rozwiązanie: Mozilla Thunderbird
W kwestii samych wiadomości, zagrożenie stanowią tzw. piksele śledzące. Jak to działa? Maile reklamowe, na przykład wysyłane przez Empik po założeniu karty stałego klienta, bardzo często trafiają do spamu. Ponieważ zostały dostarczone, a nie odbite, Empik nie ma możliwości wiedzieć, czy ich ulotka reklamowa została przez kogoś przeczytana. Dlatego do treści maila dołączany jest piksel śledzący: obrazek 1x1, inny dla każdej „kampanii reklamowej”, czyli fali e-maili. Jeżeli serwer odnotuje próbę załadowania owego piksela, oznacza to, że ktoś nie tylko dostał, ale i otworzył wiadomość z reklamą. Na tej podstawie tworzony jest profil odbiorcy. W zależności od tego, które reklamy są otwierane, a które nie, kreśli się hipotezę, jakie reklamy wysyłać, by zwiększyć ich szansę na otwarcie.
Dlatego programy pocztowe domyślnie nie ładują obrazków (ani skryptów!) w wiadomościach HTML. Nieco inaczej sprawa będzie wyglądać na klientach webowych, typu GMail, a już na pewno bez szans na kontrolę ładowania obrazków jesteśmy na wielu klientach dla smartfonów. Dlatego chcąc otwierać wiadomości bez informowania świata o tym fakcie, lepiej zaopatrzyć się w program pocztowy. Aplikacja Thunderbird będzie dobrym wyborem.
Rozwiązanie: stosować wiele kont pocztowych
Wreszcie, pozostaje kwestia samej „cyfrowej higieny” i separacji zastosowań, do jakich używamy poczty. Najlepiej nie stosować jednej skrzynki do wszystkiego, np. konta GMail dla pracy, rozrywki, rodziny i spamu jednocześnie. Zwłaszcza, gdy tego samego konta używamy w telefonie i do logowania na strony internetowe. Pozostawiamy bowiem w ten sposób ślad cyfrowy pozwalający na rozpoznanie nas z zastraszająco wysoką dokładnością. Dlatego dobrą praktyką jest stosowanie różnych kont pocztowych do różnych zastosowań. Warto też rozważać stosowanie kont pocztowych u usługodawców niepołączonych z gigantyczną platformą, jak MSN, Google albo Apple. Dobrym przykładem będzie tutaj poczta Wirtualnej Polski – tak długo, jak nie sprzęgniemy jej z GMailem. [img=derpy]Do dziwacznych, chwilowych i wstydliwych inicjatyw można stosować konta jednorazowe, założone tylko dla jednego celu. Istnieją nawet usługi dostarczające kont pocztowych na czas, jak na przykład 10minutemail. Należy jednak pamiętać, że logując się na skrzynkę pocztową zostawiamy ślad w postaci połączenia i jeżeli coś naprawdę przeskrobiemy, odpowiednio uparte służby znajdą nas dość szybko, jeżeli nie zastosujemy połączenia przez VPN lub TOR. Można się pokusić o zahostowanie własnego serwera poczty, wtedy jednak spoczywa na nas cała odpowiedzialność za jego zabezpieczenie i utrzymanie.
Rozwiązanie: Signal
Problem z wiarygodnością komunikatorów w dzisiejszych czasach polega na tym, że w przeważającej większości operują one z użyciem programów o nieznanej budowie. Ponadto, korzystają ze scentralizowanej infrastruktury należącej do którejś z wielkich firm: zazwyczaj jest to Facebook, Microsoft lub Google. W takiej sytuacji możemy jedynie na wiarę przyjmować deklaracje o bezpieczeństwie połączeń. Microsoft informuje, że jego Skype’a nie da się podsłuchiwać. Facebook Messenger rzekomo obsługuje szyfrowanie punkt-punkt. Trudno jednak wierzyć w takie słowa po rewelacjach z roku 2013. Dlatego aby zadbać o odporność na podsłuch, należy brać pod uwagę alternatywy.
Podstawową metodą zwiększenia bezpieczeństwa jest zaufanie narzędziom reklamowanym przez dostawcę. W przypadku Messengera będzie to uruchomienie szyfrowania punkt-punkt. Domyślnie, Messenger korzysta z szyfrowania „za darmo w ramach HTTPS: połączenie, którym wysyłamy wiadomość jest szyfrowane w drodze do Facebooka. W podobny sposób wiadomość dociera do odbiorcy. Nie wiemy jednak, co dzieje się po drodze. Teoretycznie, Facebook Messenger oferuje opcję zestawienia kanału punkt-punkt: wiadomość wędruje w postaci zaszyfrowanej od nadawcy do odbiorcy. Aby je włączyć, należy nacisnąć przycisk „Szczegóły” obok nazwiska naszego rozmówcy, a następnie wybrać opcję Tajna Konwersacja. WhatsApp z kolei chwali się, że takie ustawienie jest domyślne dla całej jego komunikacji. Powstaje pytanie, czy należy wierzyć, że niniejsze rozwiązania są skuteczne, zważywszy na ich źródła finansowania. Oba programy należą do Facebooka, który w kwestii bezpieczeństwa zalicza ostatnio poważne wtopy.
Alternatywą jest nie korzystać z cudzej infrastruktury i wybrać komunikator zaprojektowany od początku z akcentem na bezpieczeństwo. Wadą tej drogi jest konieczność przekonania wszystkich znajomych do migracji na inne narzędzie. To może nie być proste. Istnieją jednak darmowe, otwarte i łatwe w użyciu rozwiązania, zapewniające bezpieczną komunikację. Przede wszystkim mowa tu o programie Signal. Dostępny dla Androida i iOS, komunikator Signal wykorzystuje własny protokół i własną infrastrukturę, finansowaną ze środków fundacji Open Whisper. Szyfrowanie zachodzi metodą punkt-punkt i jest uznawane za bezpieczne. Ale to nie Signal może się okazać słabym punktem.
Rozwiązanie: Hacker's Keyboard
Należy pamiętać, że Signal jest uruchamiany na systemie Android. Nawet, jeżeli nasz telefon nie wysyła danych telemetrycznych może to robić… aplikacja klawiatury. Program GBoard, rysujący klawiaturę na telefonach z Androidem, zachowuje listę wpisywanych wyrazów, uczy się przewidywania tekstu i korekty błędów ortograficznych i wysyła próbki pisma odręcznego w chmurę, celem „optymalizacji”. Nasza wiadomość może być więc bezpiecznie przesłana przez Signal, ale wcześniej zostać odczytana przez silniki Google. Dlatego należy wyłączyć wspomaganie chmurowe w klawiaturze GBoard lub zastąpić ją inną aplikacją, np. wariantem Hacker’s Keyboard, którego źródła są dostępne na GitHubie.
Rozwiązanie: Znikające wiadomości
Obsługa dla znikających (na pewno znikających?) wiadomości jest oczywiście obecna w programie Signal. Jest jednak funkcją na tyle powszechną, że zawitała do innych komunikatorów, jak Facebook Messenger, WhatsApp i Instagram. Aby wysłać znikającą wiadomość w programie Messenger, możemy ustawić datę ważności Tajnej Konwersacji. Instagram pozwala przesyłać fotografie przez komunikator Direct (prawy górny róg, ikonka samolocika) – po zrobieniu zdjęcia, na dole ekranu możliwa jest zmiana ustawienia z „pozwól na otwieranie” na „tylko jedno odtworzenie”. Tak znikające wiadomości nie są zapewnieniem prawdziwej, absolutnej prywatności. Nie uchronią przecież przed zrobieniem zdjęcia całemu telefonowi, który akurat będzie wyświetlał „znikającą” wiadomość. Zapewnienia o ich ulotności mogą brzmieć wręcz zabawnie. Ale chodzi w nich o kwestie praktyczne, czyli brak historii i brak śladów do odkrycia przez kogoś, kto ma fizyczny dostęp do urządzenia. To częstsze, niż się wydaje. Na przykład podczas konsultowania zakupu pierścionka zaręczynowego!
Rozwiązanie: zdrowy rozsądek i edukacja
Warto pamiętać, że usunięcie szans na podsłuch i śledzenie wymaga rezygnacji z technologii. Wyszukiwarka Google, na podstawie naszych zapytań, wie o nas więcej, niż moglibyśmy przypuścić. Może warto pomyśleć o jakimś zastępstwie? Zresztą, są inne problemy. Domyślnie skonfigurowane smartfony z Androidem przechowują naszą historię wyszukiwań, ustawienia aplikacji oraz… najczęściej uczęszczane trasy, piechotą i samochodem. Aby zapoznać się ze zbiorem danych przechowywanych na nasz temat, należy skierować się na portal pobierania danych osobistych. Aby przejrzeć, co nasz telefon wie o naszych wyjazdach, należy przejrzeć witrynę Historii Lokalizacji. Możemy polować na wyłączenie większości tych funkcji, albo zdecydować się na regres techniczny i zaopatrzyć się w telefon bez „mądrego” systemu operacyjnego, np. Nokię 8110 4G. Nie chroni nas to jednak w pełni. O naszej lokalizacji dalej wiedzą operatorzy GSM, a w przypadku niezdrowego zainteresowania naszą osobą, lokalizacja i treść rozmów zostaną zidentyfikowane. Paradoksalnie, w takich sytuacjach lepiej mieć właśnie smartfona, ponieważ aplikacja Signal pozwala wykonywać szyfrowane połączenia telefoniczne.
Aby zupełnie zniknąć z sieci, należy zadbać o wiele więcej kwestii, niż telefon. Przydałoby się np. nie płacić kartą płatniczą. Acz i tak nigdy nie znikniemy w pełni. Los obdarzył nas bowiem niezbywalnym numerem PESEL, a wszędzie wokół aż roi się od kamer… Ale w temacie prywatności da się powiedzieć jeszcze wiele. Do wybranych zagadnień, wraz z nieco bardziej technicznymi detalami, wrócimy już wkrótce. Na czym powinniśmy się skupić? Zapraszamy do dyskusji w komentarzach.