201702.20
Kategoria Publikacje

W Internecie nic nie ginie


Jarosław Hryszko

Specjaliści zalecają ostrożność w korzystaniu z sieci Internet, jeśli chodzi o naszą prywatność. Zalecają oni nie dzielić się ponad konieczność informacjami o życiu osobistym naszych bliskich i nas samych, oraz – w miarę możliwości – radzą szyfrować rozmowy i korespondencję. Artykuły opisujące owe zagadnienia spotkać można zarówno w serwisach on-line jak i periodykach można by rzec klasycznych, czyli papierowych. Jednakowoż równie często spotykanym poglądem jest, że środki ostrożności tam opisywane dotyczą raczej osób publicznych, albo też indywiduów pozostających w konflikcie z prawem. Powszechnie można spotkać się z opinią, że „zwykły” internauta, nie mający nic na sumieniu, nie musi stosować się do powyższych zaleceń. Częstokroć moje zżymanie się na załatwianie prywatnych, osobistych bądź zawodowych spraw przy użyciu mediów pokroju Facebooka jest przyjmowane z niezrozumieniem.

O własną prywatność w cyberprzestrzeni należy dbać, podobnie jak powinniśmy zamykać drzwi wejściowe na klucz, mimo że nie mamy sobie nic do zarzucenia a z sąsiadami żyjemy w nieskazitelnej przyjaźni. Gdyż nie można wykluczyć, że w okolice naszego domu zawędruje nieznana nam osoba, chcąca wyrządzić krzywdę bliźniemu bez względu na jego proweniencję. I tak, zupełnie przypadkowo, możemy stać się ofiarą[1].

Podobnie zupełnie przypadkowo możemy stać się ofiarą naruszenia naszej prywatności w sieci Internet. Jak podaje na swojej stronie amerykańska organizacja Privacy Rights Clearinghouse, od 2005 roku do chwili pisania tych słów zaobserwowano co najmniej 5309 przypadków wycieku danych, w wyniku których ponad 907 milionów rekordów opisujących użytkowników Internetu zostało udostępnionych osobom trzecim[2]. Zainteresowanych odsyłam do serwisu Information is Beautiful, który w przystępnej, interaktywnej formie zgromadził najciekawsze i najbardziej spektakularne przypadki ujawniania danych osobowych Internautów[3]. Wśród instytucji, z jakich wypłynęły dane, są znane i darzone powszechnym zaufaniem serwisy, firmy i instytucje[4] w tym Google (w 2014 roku wyciekło 5 milionów rekordów)[5] i Facebook (w 2013 wyciekło 6 milionów rekordów)[6].

Wracając do tezy postawionej na początku – błędem jest zakładać, że np. szyfrowanie osobistej korespondencji nas nie dotyczy, jeśli sumiennie przestrzegamy prawa i będąc praworządnym obywatelem wręcz pozostajemy wzorem dla innych. Dlaczego? Otóż raz umieszczone przez nas (świadomie bądź nie) informacje w cyberprzestrzeni, już nigdy jej nie opuszczą. Nigdy, nawet jeśli my usuniemy je z pierwotnego miejsca ich umieszczenia.

Source: flickr.com

Bo przyszło nam żyć w czasach, kiedy nie trzeba już usuwać żadnych danych i tego po prostu się nie robi. Rzadko jesteśmy tego świadomi – to, że czasami borykamy się z brakiem wolnej pamięci w telefonie czy komputerze nie oznacza, że instytucje bądź firmy, które w jakikolwiek sposób zyskują na zbieraniu danych, borykają się z podobnymi problemami; otóż nie – w tych środowiskach problem ograniczenia fizycznych zasobów IT nie istnieje. Pamięci masowe (czyli np. komputerowe dyski twarde) obecnie są niebywale tanie i wciąż tanieją – doskonale pokazują to wyniki badań prowadzonych przez prof. Johna C. McCalluma z Uniwersytetu w Singapurze[7]. Można się z nich dowiedzieć, że w ciągu ostatnich 10 lat cena dysków zmalała dziesięciokrotnie, jeśli zaś cofniemy się aż do roku 1956, gdy IBM wyprodukował swój pierwszy dysk twardy – cena spadła o około 317 milionów razy…

Tania (i wciąż taniejąca) pamięć masowa powoduje, że gromadzenie dużych zasobów danych przestało być domeną wybranych, a wręcz „zawędrowało pod strzechy”. Oto przykład – najbardziej znane archiwum stron www i mediów cyfrowych – Internet Archive – wykorzystuje na swoje potrzeby przestrzeń 15 petabajtów[8] (1 petabajt = 1000 terabajtów[9]; obecnie pojemności dysków twardych komputerów osobistych oscylują w okolicach 1 terabajta). Przyjmijmy, że chcielibyśmy mieć – „na wszelki wypadek” – podobne archiwum Internetu. Wykorzystując jedynie detaliczne ceny dysków z serwisu Allegro można obliczyć, że za odpowiednią liczbę dysków twardych koniecznych do uzyskania 15 petabajtów musielibyśmy zapłacić około 2,5 miliona złotych. To mniej, niż dwa samochody Ferrari 488 i około pięć razy mniej niż cena gustownego domu w centrum Warszawy. Oczywiście, koszty te nie uwzględniają innych elementów, takich jak zasilanie, chłodzenie itp. Mimo tego, ta prosta kalkulacja udowadnia, że statystyczny „ekscentryczny milioner” mógłby bez przeszkód trzymać w szafie zarchiwizowane zasoby światowego Internetu na własne potrzeby. Jeśli jeszcze do tego ów milioner zażyczy sobie mieć dane osobowe internautów, to odnajdzie w czeluściach Sieci to, co już wyciekło, poczeka na kolejny spektakularny wyciek lub po prostu takie dane kupi – na czarnym rynku, bądź oficjalnie – gdzie paczka podstawowych danych należących do tysiąca internautów kosztuje jedynie 50 centów[10].

Część z Was być może zdziwi się w tym miejscu, że istnieje oficjalny rynek danych osobowych. Owszem istnieje i ma się bardzo dobrze, bo zbieranie danych, ich analiza i budowanie profili osobowych to bardzo intratny biznes. Lider tej branży, firma Acxiom, o której Kent Lawson, zajmujący się prywatnością w Sieci stwierdził, że „ten Wielki Brat na sterydach wie więcej o tobie niż skarbówka, FBI, Facebook i Google razem wzięci”, w 2012 roku wykazała przychód na poziomie 1,15 miliarda dolarów[11]. Bruce Schneier w swojej książce „Data and Goliath” pisał, że Acxiom swoim klientom-korporacjom oferuje systemy które są w stanie wskazać np. kto otrzyma spadek, czy mieszka z rodzicami mimo dorosłego wieku i czy ma cukrzycę.

Inna firma – Target – szukając potencjalnych klientów na artykuły dla niemowląt, z analizy danych wywnioskowała o ciąży nastolatki, zanim dowiedział się o tym jej ojciec[12].

Nic zatem dziwnego, że setki firm i instytucji na świecie codziennie zbierają petabajty danych, aby wykorzystywać je do własnych celów, bądź nimi handlować. Zachowuje się do późniejszej analizy nie tylko to, co w Internecie piszemy, umieszczamy, szukamy bądź przeglądamy, ale istnieją przesłanki, że może być analizowany nawet ruch wskaźnika komputerowej myszy[13], zapis z mikrofonu[14] czy kamery[15]. Sklepy wielkopowierzchniowe rejestrują nasze zakupowe preferencje nie tylko poprzez karty płatnicze bądź programy lojalnościowe, ale także np. śledząc nasze telefony[16]. Jeśli zastanawiało Was kiedyś, skąd bierze się w Internecie dokładna informacja o natężeniu ruchu na podrzędnej drodze bądź godzinach szczytu w wiejskim sklepie – odpowiedź jest prosta: z danych GPS w naszych smartfonach[17].

Szanowane serwisy nie zbierają danych nielegalnie – wszak sami wyrażamy „zgodę na warunki” jakich nigdy nie czytamy. Aby się o tym przekonać, w 2005 roku firma PC Pitstop w umowie licencyjnej wyświetlanej podczas instalacji stworzonego przez nią programu umieściła zapis o nagrodzie pieniężnej czekającej na osobę, która przeczyta tę umowę. Okazało się, że pierwsza osoba zgłosiła się po nagrodę dopiero po pięciu miesiącach, gdy 3000 programów zostało już sprzedanych[18].

Roztropnie jest zakładać, że nawet jeśli firmy odżegnują się od gromadzenia danych wbrew naszej woli, one i tak to robią. Potwierdzenia słuszności takiego założenia nie trzeba szukać daleko – nie dawniej, jak w styczniu tego roku okazało się, że serwis Dropbox, oferujący internautom usługę przechowywania plików w „chmurze”, w momencie usunięcia plików przez użytkownika ukrywał je jedynie, wciąż je przechowując poza dostępem użytkownika. Sprawa wyszła na jaw, gdy w wyniku błędu pracowników firmy pliki „skasowane” przez użytkowników w latach 2010-2011 nagle na początku bieżącego roku pojawiły się ponownie w folderach zsynchronizowanych z chmurą. Stało to w sprzeczności z oficjalną polityką firmy głoszącą, że pliki skasowane przez użytkownika są nieodwracalnie usuwane po 30 dniach[19].

Zatem żyjemy w czasach, gdzie wszystko co pojawia się w cyberprzestrzeni jest skrzętnie zapisywane, często w wielu kopiach. Wobec umieszczania serwerowni w dawnych bunkrach przeciwatomowych i innych bezpiecznych lokalizacjach prawdopodobnie nawet impuls elektromagnetyczny czy globalna apokalipsa jądrowa nie zniszczą tych danych. Obserwując wciąż spadające ceny nośników można przypuszczać, że owe dane w ilości, której przechowanie teraz kosztuje dwa luksusowe samochody, w niedalekiej przyszłości będą mieściły się na coś, co będzie substytutem dzisiejszego pendrive. I może nastąpić taki punkt w przyszłości, że dane z nami powiązane, dotychczas „bezpieczne”, zmienią właściciela – legalnie, bądź w wyniku wycieku i ktoś – wrogi rząd, terroryści, itd. – będzie chciał je wykorzystać w złym celu.

Historia zna już podobne przypadki; przykładem może być Sonderfahndungsbuch Polen – książka wydana w lipcu 1939 roku w Niemczech, zawierająca alfabetyczną listę 61 tysięcy nazwisk i adresów Polaków przeznaczonych do aresztowania i eksterminacji po wkroczeniu wojsk niemieckich na teren Polski. Lista ta opracowana została przez Niemców m.in. na podstawie analizy artykułów w polskiej prasie[20].

Dziś takie artykuły o sobie piszemy sami – przeszukując Internet, korespondując via e-mail, rozmawiając przez komunikatory… Wszystko to, co robimy w cyberprzestrzeni jest zapisywane i może posłużyć do odpowiedniej analizy. Nawet jeśli dane te nie są ogólnie dostępne, ale jak przekonywałem wcześniej, także i my możemy stać się ofiarą wycieku. „I cóż z tego, skoro jestem uczciwym, praworządnym obywatelem” – może powiedzieć każdy z nas. Ale czy osoby wymienione w Sonderfahndungsbuch Polen nie były uczciwymi obywatelami?

Nie wiemy, co będzie się działo z danymi na nasz temat w przyszłości, tej bliskiej i tej dalekiej. Z zapisanymi rozmowami, korespondencją, nawet tą najbardziej prozaiczną. Zatem jeśli dziś technologia daje nam możliwości uszczuplenia naszej „internetowej teczki” to czemu z nich nie korzystać?

Jarosław Hryszko


Przypisy

[1] Internet, będący bohaterem niniejszego tekstu, dostarcza wielu takich historii. Tu pierwszy przykład, na jaki natrafiłem: https://radio5.com.pl/wtargnal-do-mieszkania-obcej-kobiety/
[2] https://www.privacyrights.org/data-breaches
[3] http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
[4] https://en.wikipedia.org/wiki/List_of_data_breaches
[5] https://thenextweb.com/google/2014/09/10/4-93-million-gmail-usernames-passwords-published-google-says-evidence-systems-compromised/
[6] https://www.facebook.com/notes/facebook-security/important-message-from-facebooks-white-hat-program/10151437074840766
[7] http://www.jcmit.com/diskprice.htm
[8] https://blog.archive.org/2016/10/23/defining-web-pages-web-sites-and-web-captures/
[9] https://pl.wikipedia.org/wiki/Petabajt
[10] http://www.ft.com/cms/s/2/927ca86e-d29b-11e2-88ed-00144feab7de.html
[11] https://en.wikipedia.org/wiki/Acxiom
[12] http://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/#718f484834c6
[13] http://www.theregister.co.uk/2010/07/27/google_patents_mouse_movement_search_tweaks/
[14] http://www.forbes.com/sites/kashmirhill/2014/05/22/facebook-wants-to-listen-in-on-what-youre-doing/
[15] http://www.techlicious.com/blog/is-your-tv-watching-you-latest-models-raise-concerns/
[16] http://www.nytimes.com/2013/07/15/business/attention-shopper-stores-are-tracking-your-cell.html
[17] http://abcnews.go.com/Technology/google-apple-track-users-location-information/story?id=13436330
[18] http://techtalk.pcpitstop.com/2012/06/12/it-pays-to-read-license-agreements-7-years-later/
[19] https://zaufanatrzeciastrona.pl/post/dropbox-latami-trzymal-usuniete-pliki-po-czym-znienacka-je-przywrocil/
[20] https://pl.wikipedia.org/wiki/Sonderfahndungsbuch_Polen