W ostatnich latach możemy zaobserwować bardzo dynamiczny rozwój Internetu i oferowanych w nim usług. Duża konkurencja i ciągła presja ze strony użytkowników wymuszają na firmach uciekanie się do najróżniejszych sposobów, by ulepszyć swój produkt lub usługę. Jednym z nich jest zbieranie danych (między innymi o tym, w jaki sposób i przez kogo używany jest program), a następnie wykorzystywanie ich do personalizacji.
Oczywistym problemem jest tutaj ilość oraz dokładność zbieranych danych. Nadmierne gromadzenie informacji bardzo często prowadzi do pogwałcenia prywatności użytkownika. Oczywiście jednym to przeszkadza, innym nie. Ja, jako ktoś, kto bardzo ceni sobie swoją prywatność, postaram się za pomocą tego artykułu przekazać wiedzę, jak zwiększyć swoją prywatność w sieci, ograniczając firmom trzecim dostęp do informacji.
Słowem wstępu
Zanim zaczniemy, chciałbym zwrócić uwagę na kilka kwestii. Po pierwsze: kluczowe jest tu słowo „ograniczyć”. Ze względu na sam sposób funkcjonowania dzisiejszego cyfrowego świata musimy pogodzić się z pewnymi ustępstwami. Oczywiście nie każdy sposób zbierania danych jest szkodliwy. Problemem są firmy, które nadużywają zaufania, poprzez zbieranie nadmiernej ilości danych oraz handel nimi – i takim właśnie firmom powinniśmy powiedzieć głośne „nie”.
Innym problemem są firmy słabo zabezpieczające zebrane dane – w ciągu ostatnich lat miało miejsce wiele wycieków, stanowiących poważne zagrożenie zarówno w kwestii bezpieczeństwa, jak i prywatności. W Internecie możemy natknąć się na miejsca, które zawierają informacje o ogłoszonych i odkrytych wyciekach i dzięki temu lepiej zrozumieć skalę problemu, Według haveibeenpwned.com w latach 2013-2020 częściowo lub w całości wyciekły dane aż 9,490,577,236 kont – to niebotyczna liczba, która powinna sprawić, że poważniej spojrzymy na problem.
Chciałbym zaznaczyć też, iż dobór oprogramowania zaprezentowany w tym artykule, jest oparty o moje doświadczenia i przedstawia moją opinię w kwestii korzystania z Internetu, urządzeń oraz aplikacji. Jako iż w życiu codziennym operuję głównie na komputerach z systemami Linux/Windows oraz telefonach z Androidem, większość porad będzie ukierunkowana typowo na nie.
Tyle słowem wstępu. Teraz przejdźmy do porad.
Prywatność w sieci: porady ogólne
W tej części wymienię rzeczy, które odnoszą się do ogólnego korzystania ze sprzętu oraz oprogramowania w życiu codziennym.
1. Myśl nad tym, co robisz
Brzmi banalnie, jednak jest to najważniejsza i jednocześnie najbardziej kompleksowa porada, ze względu na ilość rzeczy, które obejmuje. Większość kradzieży danych spowodowana jest błędem ludzkim, np. złą konfiguracją zabezpieczeń (lub ich brakiem), nieprzemyślanym pobraniem pliku z Internetu, wpięciem do komputera podejrzanego pendrive’a, którego dostaliśmy za darmo, rejestracją na podejrzanej stronie itp.
Pułapek jest wiele i nie zawsze są oczywiste. Jedynym sposobem na uratowanie się przed nimi jest zachowanie czujności, aby w porę zdać sobie sprawę, że coś jest nie tak.
2. Trzymaj dane w bezpiecznych miejscach.
Dane najlepiej jest trzymać na swoim komputerze (zakładając, że jest on zabezpieczony). Jeśli musisz trzymać je poza swoimi urządzeniami, polecam uprzednio je zaszyfrować. Najprościej zrobić to za pomocą programów do tworzenia archiwów, gdzie ustawia się hasło uprawniające do wypakowania.
3. Kontroluj swoje konta
Łatwo stracić rachubę wszystkich stron, na których mamy konta, dlatego polecam dobrze zastanowić się przed założeniem kolejnego. Co więcej, różne serwisy mają też różne regulaminy i sposoby usunięcia konta: na jednych usunięcie konta nie pociągnie za sobą usunięcia danych, pozostaną one do dyspozycji firmy na zawsze, inne całkowicie uniemożliwiają usunięcie. W tym przypadku możemy wspomóc się stroną https://backgroundchecks.org/justdeleteme/#, która zawiera informacje odnośnie trudności usunięcia konta oraz instrukcje pomagające w przeprowadzeniu tej operacji.
Najlepiej regularnie usuwać konta, które nie są już nam potrzebne. Spis kont założonych przy użyciu konta Google, lub mających do niego dostęp, można odszukać w https://myaccount.google.com/security
4. Twórz osobne konta mailowe do różnych typów działań
Warto mieć osobne konto do zakupów, komunikatorów, mediów społecznościowych, gier itp. Dzięki temu złamanie jednego konta nie da hakerowi dostępu do wszystkiego.
5. Zainstaluj bezpiecznego klienta poczty
Oszustwa mailowe są dość popularną formą infekowania komputerów. Warto pomyśleć o instalacji klienta poczty takiego jak Mozilla Thunderbird. Nie tylko zwiększa on bezpieczeństwo za pomocą wykrywania phishingu i blokowania zdalnej zawartości, ale też poprawi wygodę użytkowania przy korzystaniu z wielu kont, o których była mowa w poprzednim podpunkcie.
6. Zachowaj ostrożność przy korzystaniu z chińskiego sprzętu i oprogramowania
Mowa tutaj zwłaszcza o tanich, mało znanych markach – nigdy nie wiadomo co może zawierać sprzęt lub oprogramowanie ich autorstwa. Warto też wiedzieć, że według chińskiego prawa, marki nie mogą sprzeciwić się rządowi, gdy ten nakaże im ujawnić zebrane dane.
7. Instaluj tylko oprogramowanie, co do którego masz pewność, że jest bezpieczne
Jeśli chodzi o nieznane oprogramowanie, sprawa wygląda identycznie jak w punkcie powyżej – nigdy nie wiadomo co dodatkowo może ono zrobić. Warto mieć też pewność co do plików instalacyjnych oprogramowania i zawsze instalować je prosto od producenta z pominięciem stron trzecich. Blokowanie stron pośredniczących jest czymś całkowicie normalnym w wielu większych firmach właśnie ze względów bezpieczeństwa.
8. Zawsze aktualizuj oprogramowanie
Głównym powodem regularnych aktualizacji oprogramowania są błędy oraz dziury w zabezpieczeniach, które mogą być wykorzystane przez innych w celu kradzieży danych. Tyczy się to zarówno systemów operacyjnych, jak i całego znajdującego się na nich oprogramowania. Oczywiście mowa tutaj tylko o sprawdzonych aktualizacjach, a nie tych testowych, które mogą mieć jeszcze więcej błędów.
9. Czytaj wszystkie zgody, regulaminy i umowy
Aby wiedzieć, z czym masz do czynienia, musisz przez to przebrnąć. Wiele zgód jest dobrowolnych (choć trzeba dodatkowego wysiłku by wyrazić ich brak) a regulaminy i umowy mogą zawierać potencjalnie krzywdzące dla Ciebie punkty.
Firmy dobrze wiedzą, że mało kto czyta regulaminy i niektóre z nich wykorzystują ten fakt. Przykład? Swego czasu 7500 nieświadomych niczego graczy, korzystających z brytyjskiego serwisu Gamestation zostało poinformowanych, że akceptując regulamin sprzedali swoje dusze. Tym sposobem firma chciała jedynie zwrócić uwagę na problem nie czytania regulaminów, jednak z prawnego punktu widzenia faktycznie stała się ich posiadaczem.
10. Uważaj co publikujesz w Internecie (a zwłaszcza w social media)
Znacie powiedzenie “Co raz pojawi się w Internecie, zostaje w Internecie”? Oczywiście nie odnosi się ono do każdego miejsca w sieci – jak wspominałem, różne serwisy stosują różną politykę zarządzania danymi. Czasem nawet usunięcie konta nie pomoże pozbyć się z sieci niechcianych treści, dlatego zalecam ograniczenia publikowania prywatnych informacji w Internecie. Kwestia tego, co możemy uznać za informacje wrażliwe, a co nie, jest dla niektórych dosyć niejasna i w moim odczuciu mocno zależna od danej osoby. Z mojej strony zachęcam do zapoznania się z artykułem “OPSEC, czyli sztuka ochrony danych według armii USA”, gdzie poruszany jest między innymi temat doboru udostępnianych informacji tak, aby inne podmioty nie wiedziały o nas za dużo.
11. Nie ufaj Google
To chyba najbardziej kontrowersyjny punkt tego artykułu. Google jest wielką firmą zapewniającą wysokiej jakości oprogramowanie oraz (często darmowe) usługi. Dodatkowo, w porównaniu do konkurencji, są one stosunkowo bezpieczne. Jednak dobrej jakości usługi nigdy nie są udostępniane za darmo. Google zbiera o nas dane na naprawdę wielu polach i wykorzystuje je zarówno do ulepszania produktów, jak i targetowania reklam, które są głównym sposobem przychodu dla wielu aplikacji. Przykład ten pokazuje, że bezpieczeństwo i prywatność nie zawsze idą w parze.
Oczywiście możemy ograniczyć dane, które zbiera Google (do czego zachęcam) lub znaleźć inne bezpieczne oprogramowanie, które szanuje naszą prywatność – w tym przypadku problemem jednak może być wygoda. Osobiście niemalże kompletnie zrezygnowałem z korzystania z usług Google w życiu prywatnym, pozwolę więc sobie przytoczyć kilka przykładów aplikacji, których używam. Wam pozostawiam ostateczny rozrachunek oraz decyzję co do tego, czy chcecie dokonać tak zwanego de-googlingu.
Alternatywy dla Google:
- Chrome (o ile sama przeglądarka nie kradnie tak mocno, to jednocześnie nie posiada aż tak dobrych funkcji zapewniających prywatność jak alternatywy) -> Brave/TOR Browser
- Gmail -> Protonmail/Tutanota/Disroot
- Google Drive -> MEGA/Tresorit/Nextcloud
- wyszukiwarka Google -> DuckDuckgo/Qwant/Mojeek
- Google Docs/Sheets/Slides -> CryptPad
- Google Pay -> Aplikacja Twojego banku (im mniej firm na dostęp do Twoich wydatków, tym lepiej)
12. Rozważ zakup dobrego VPN
VPN, czyli Wirtualna Sieć Prywatna, to bardzo znany i skuteczny sposób na zwiększenie prywatności. O jej popularności świadczy fakt, że ilość firm oferujących tego typu usługi znacząco wzrosła w ostatnich latach. Problemem w przypadku VPN jest za to wybór dostawcy, który zapewni dobrej jakości usługę oraz odpowiednio zabezpieczy dane. Z rekomendowanych usług tego typu polecam Proton VPN oraz Private VPN.
Więcej o VPN przeczytasz w artykule “VPN do użytku prywatnego – czy warto?”.
Telefony
Najpopularniejszy typ elektroniki: miniaturowe komputerki pełne technologii, która pomaga w codziennym życiu, ale może też zbierać informacje o nas. Zapewnieniu prywatności nie sprzyja też mały rozmiar urządzenia, który ułatwia jego kradzież. Te porady pomogą zabezpieczyć się przed tego typu ewentualnościami.
1. Korzystaj z hasła jako głównej metody odblokowania telefonu
Ilość alternatywnych metod do odblokowania jest naprawdę duża: rozpoznawanie twarzy, czytnik linii papilarnych, skaner tęczówki, PIN itp. Problemem jest to, że o ile zwiększają one wygodę odblokowania, to niekoniecznie zwiększają bezpieczeństwo. Porządne hasła są o wiele bezpieczniejsze i nie wymagają pobierania Twoich danych biometrycznych.
2. Nie korzystaj z darmowych hotspotów, o których nic nie wiesz.
Przez hotspot przepływa wszystko, co robisz w internecie. Jeśli ktoś odpowiednio go skonfiguruje, może wyłapać Twoje dane i wykorzystać je w niecny sposób. Najlepiej korzystaj głównie z prywatnego WiFi zaufanych osób oraz sieci komórkowej.
3. Kiedy tylko możesz, płać gotówką
Płatności zbliżeniowe pozwalają łatwo śledzić wydawanie pieniędzy nie tylko Tobie, ale i bankom. Tego typu transakcje udostępniają też część Twoich informacji temu, kto dostaje Twoje pieniądze. Alternatywą jest tutaj BLIK, który pomaga ograniczyć informacje otrzymywane przez firmy trzecie zachowując jednocześnie wygodę płatności cyfrowej.
4. Używaj kart wirtualnych
Gdy jesteś zmuszony do podpięcia/użycia karty w celu opłacenia subskrypcji itp., stwórz kartę wirtualną, nie podpinaj bezpośrednio swojej. Część banków posiada opcję stworzenia tego typu karty. Jako alternatywę można tutaj wymienić karty wirtualne w usłudze Revolut.
5. Weryfikuj uprawnienia aplikacji
Im mniej o Tobie wiedzą, tym lepiej – nigdy nie wiesz, jak mogą tą wiedzę potem wykorzystać. Systemy Android oraz iOS nie przyznają uprawnień domyślnie, ale pytają użytkownika o zgodę, gdy aplikacje chce uzyskać dostęp. Warto nie przyznawać zgody automatycznie, ale zastanowić się czemu np. aplikacja kalkulatora chce czytać Twoje SMS-y.
6. Nie używaj deweloperskich opcji w Androidzie.
Nieznane źródła, tryb debugowania i odblokowany tryb roota to dla hakera potencjalne drogi, jakie można wykorzystać do włamania i kradzieży danych. Zalecam nie korzystanie z nich, zwłaszcza w przypadku mało zaawansowanych użytkowników.
Komputer
Komputery może nie są tak popularne jak kiedyś, jednak nadal stanowią ważną część życia wielu osób oraz podstawę wielu środowisk pracy. Posiadają one sporo systemów operacyjnych oraz niemalże nieskończone ilości oprogramowania co stawia przed nami dodatkowe wyzwania, ale i możliwości w kwestii prywatności.
1. Używaj oprogramowania szyfrującego
Szyfrowanie znajdujących się na dyskach danych jest w mojej ocenie naprawdę ważne – dlatego umieściłem je na początku. Do danych, które nie są zaszyfrowane jest wyjątkowo łatwo się dostać, nawet jeśli system zabezpieczony jest hasłem. W starych wersjach Windowsa, mając odpowiedniego pendrive, z łatwo dostępnym oprogramowaniem, którego przygotowanie zajmowało 10 minut, usunięcie hasła systemu zajmowało poniżej minuty.
Niestety w dzisiejszych czasach zabezpieczenia Microsoftu wcale nie są lepsze – pendrive przygotowywany 10 minut z oprogramowaniem (notabene) Microsoftu, pozwala na usunięcie hasła w 2-3 minuty. Można również odczytać pliki bootowalnym Linuxem. Nie będę przybliżał tych sposobów, chcę jednak uświadomić jak bardzo łatwo uzyskać dostęp do niezaszyfrowanych plików. Ze znanych programów do szyfrowania polecam GNU Privacy Guard oraz Bitlocker.
2. Wylogowuj się
Zawsze, gdy odchodzisz od komputera dokonaj wylogowania lub zablokuj dostęp tak, aby trzeba było wpisać hasło. Zostawianie swojej maszyny w pełni odblokowanej z pełnym dostępem dla każdego, to proszenie się o kłopoty.
3. Sprzątaj po sobie
Regularnie czyść kosz oraz historię użytkowania/przeglądania lub po prostu wyłącz ich zapisywanie. Nigdy nie wiadomo kto, kiedy i jak może wykorzystać zawarte w nich informacje. Dodatkowo, czyszcząc kosz i historię, zyskujesz więcej miejsca na urządzeniu.
4. Odpinaj/zasłaniaj/blokuj wszelkie kamery i mikrofony
Kamera i mikrofon to bardzo przydatne urządzenia znajdujące się w praktycznie każdym laptopie. Nie będę zachęcał do ich wyrywania lub psucia. Jednak biorąc pod uwagę, jak duże ryzyko tworzą, uważam, że warto pozbawić ich możliwości zbierania informacji na czas, gdy nie są nam potrzebne.
5. Nie używaj Roota/Konta Admina, gdy nie jest to potrzebne
“Z wielką mocą wiąże się wielka odpowiedzialność” a administrator dzierży bardzo dużo mocy i praw, w tym prawo do edycji rzeczy na komputerze, co może skończyć się kradzieżą danych. Im mniej z tego korzystamy, tym lepiej.
6. Dziel dane między osobno zaszyfrowane dyski
O szyfrowaniu już wspominałem, warto jednak pójść o krok dalej i osobno szyfrować różne dyski. Dlaczego? Podobnie jak w przypadku podziału kont pomiędzy różne maile, w razie złamania szyfrowania jednego nie tracimy wszystkiego, a jedynie część.
7. Nie wyłączaj zapory systemowej!
Tutaj nie muszę pisać dużo więcej. Zapora ma określony cel, jakim jest zapewnienie bezpieczeństwa. Wbrew pozorom zapora wbudowana w Windows 10 nie jest na pokaz, ale faktycznie pomaga, a jej wyłączenie dodatkowo naraża użytkownika.
8. Kontroluj wtyczki rozszerzeń w przeglądarce
Wtyczki dają wiele dodatkowych opcji. Niektóre, np. PrivacyBadger czy HTTPS Everywhere poprawiają Twoją prywatność i bezpieczeństwo. Inne mogą stanowić potencjalne zagrożenie dla tych wartości. Zawsze najlepiej upewnić się 10 razy czy to, co dodajemy do swojej przeglądarki jest nam potrzebne i bezpieczne.
Hasła i logowanie
Ostatni, dość krótki akapit, porusza kwestię haseł. Samo ustanowienie hasła nie wystarczy. Z hasłami trzeba się jeszcze odpowiednio obchodzić, aby uniknąć ich przejęcia. Poniższe porady pomogą o to zadbać.
1. Używaj uwierzytelnienia dwuetapowego
Zwiększając zabezpieczenie o druga metodę uwierzytelnienia, dodatkowo zwiększamy trudność włamania i potencjalnej kradzieży. Najlepszą opcją takiego uwierzytelnienia byłoby posiadanie fizycznego klucza (takie wykonuje np. firma Yubico), jednak wiąże się to z opłatami i nie jest wspierane przez wszystkie programy. Inną, darmową i popularną opcją jest wysyłanie wiadomości SMS z kodem, które znamy, chociażby z obsługi kont bankowych.
2. Używaj różnych haseł
Gwarantuje że jeśli złodziej zna jedno z waszych haseł, to spróbuje użyć go też na innym koncie. Stosowanie jednego hasła do wszystkiego to bardzo popularna i niebezpieczna praktyka. Choć łatwiej zapamiętać pojedyncze hasło, jest to ryzykowne rozwiązanie. Aby uniknąć zapomnienia/zagubienia haseł polecam używać programu KeePass, który służy do generowania haseł oraz zarządzania nimi. W KeePass cała baza haseł jest zabezpieczona jednym hasłem i nie ma możliwości dostania się do niej bez jego podania. Trzeba więc zapamiętać tylko jedno długie i mocne hasło.
Dodatkowo polecam trzymać samą bazę w bezpiecznym miejscu, na przykład na pendrive który zawsze mamy przy sobie, albo na zaszyfrowanym dysku w komputerze.
3. Zasady tworzenia dobrego hasła:
- Hasła powinny mieć minimum 12 znaków (ale im więcej, tym lepiej);
- Zawierać duże litery;
- Zawierać małe litery;
- Zawierać cyfry;
- Zawierać znaki specjalne;
- Nie być wyrażeniami słownikowymi;
- Nie stanowić oczywistych rozwiązań, jak Pa$$w0rd1234 (bo bardzo łatwo je złamać).
Kilka słów na koniec
Obszerność przedstawionej tutaj listy porad otwiera oczy na to, na jak wielu polach czyhają na nas potencjalne zagrożenia czy też pułapki wyciągające dane personalne. Uważni czytelnicy na pewno zauważyli, że wiele porad pokrywa się ze sobą. Prawdą jest, iż zostały one dość mocno rozbite na mniejsze części w celu uświadomienia skali problemu. Powodem jest to, że za najważniejszy czynnik uważam samoświadomość. Kiedy człowiek zdaje sobie sprawę z powagi zagrożenia, to dość łatwo przychodzi mu wypatrzeć pewne rzeczy, bo jest po prostu uważniejszy.
Osobiście traktowałbym ten artykuł jako wstęp do tematu i gorąco zachęcam wszystkich do dalszego zgłębiania go we własnym zakresie. Pod artykułem można znaleźć linki do wymienionego przeze mnie oprogramowania oraz odnośniki do paru stron, dodatkowo poszerzających wiedzę o tematyce prywatności. Polecam też przeczytać wymieniony wcześniej artykuł poruszający tematykę OPSEC, czyli między innymi ochrony danych w sektorze biznesowym oraz wojskowym.
Przydatne linki
Poniższa lista zawiera linki do oprogramowania, o którym wspominam w tekście. Na poszczególnych stronach znajdziesz więcej informacji o każdym z nich.
https://www.thunderbird.net/pl/