Bezpieczeństwo

"Mamy twoje dane i nie zawahamy się ich użyć". Czyli podatek od wygody

JS
Jakub Szczęsny
8

Lata temu byli tacy publikujący w mediach, którzy przestrzegali przed prymatem internetu, zasadniczo tworu zwanego przeze mnie"internetem wszystkiego" (bo już nie tylko rzeczy). Mieliśmy w ich opinii płacić danymi (często za bezcen), a i wystawiać się na ataki cybernetyczne dotyczące newralgicznych sfer naszych istnień. Pomylili się? Nie.

Eeeeee, sprzedaliście się.

Zaraz znajdzie się gdzieś nie tak całkiem stara francuska gilotyna, żeby mnie ściąć za ten tekst w stronę Czytelników. Tak, to do Was przytyk i w sumie do mnie. Bo poza tym, że piszę sobie na Antywebie, to jestem taki sam jak Wy. Sprzedaliśmy się za przysłowiowy psi grosz. W głowach niektórych Czytelników pohukiwało zapewne przekleństwo i w sumie - nic złego. Pytanie tylko, czy mieliśmy wyjście?

Na potrzeby uspokojenia nastrojów ustalmy sobie wspólnie, że wszyscy się sprzedaliśmy. Oczywiście, że zaraz w komentarzach znajdą się tacy, co się nie sprzedali. Gratuluję, serio. Ktoś, kto tego potrzebuje i tak wie o Was wystarczająco dużo. Wystarczy, że legalnie pracujecie.

Sprawdź również: Spotify uruchamia własną podróbkę Clubhouse

Nawet nie zauważysz jak Cię okradają

Nie będzie ckliwych historyjek na temat książąt z Zimbabwe, którzy muszą zrealizować pewną sumę i proszą Cię o pomoc oraz obiecują Ci sporą nagrodę. Żeby dać się złapać w pułapkę gatunku tego samego, jakim są lub były afrykańskie filmy akcji (popularne obecnie głównie jako GIF-y) trzeba być kimś w rodzaju Petera Griffina. I jego teścia.

Dla wyobraźni, jakiś czas temu Niebezpiecznik poinformował o bardzo istotnym błędzie bezpieczeństwa - w Internetowym Koncie Pacjenta (tak, to usługa Ministerstwa Zdrowia), Czytelnikowi wyżej wspomnianego serwisu (ja również jestem gorącym czytelnikiem, dziękuję za wszystko, Ekipo Niebezpiecznika!) pojawiło się w serwisie "nowe dziecko". To rzecz jasna błąd prostego kalibru polegający na tym, że ktoś machnął się przy wprowadzaniu PESEL-u swojego szkraba i tym samym, Czytelnik zanotował w IKP "dziecko nadmiarowe". Sprawa została popchnięta dalej w zdroworozsądkowy sposób - zgłoszono ją tu i tam i generalnie: każdy rączki umył, nikt nie czuje się odpowiedzialny. Jak sprawa potoczyła się dalej - sprawdźcie we wpisie na Niebezpieczniku. Warto.

Błąd czeskiego kalibru, ale jednak błąd - bo ktoś poznał czyjeś prywatne dane. Dane dziecka, ale parafrazując Korczaka: nie dziecka, a człowieka. Obywatela. Nie dziwi mnie w żaden sposób postawa polskich urzędów odnośnie tego błędu. Ja już dawno przestałem być słusznie roszczeniowy (bo Ty i ja mamy prawo wymagać, by coś działało choćby średnio), ale nie oczekujmy salonowych standardów w chlewiku.

Wyobraźmy sobie sytuację taką: nastąpił jakiś tam wyciek danych z usługi medycznej. Załóżmy, że dane dotyczące hasła są zaszyfrowane, ale reszta niestety jest w plaintekście. Generalnie są tam dane na temat Twojego ubezpieczenia zdrowotnego, gdzie pracujesz, jak się nazywasz i tak dalej. Sporo informacji. Po nitce do kłębka, cyberprzestępca namierza kolejne usługi z których korzystasz. Obserwuje Cię i wie już nawet gdzie mniej więcej mieszkasz. Może nawet oszacować, czy masz jakieś oszczędności, jakiej wysokości. Uznaje Ciebie za człowieka zarabiającego sporo powyżej średniej - może nie zamożnego, ale jednak dobrze zarabiającego. Scenariusze w tym momencie (bardzo szerokie) są dwa - albo zdecyduje się zaatakować coś, z czego może wyciągnąć jakieś profity (phishing?), albo postanowi zrobić Ci najazd na chatę. Bo przecież same fanty w zaufanych lombardach i procent od takiego skoku to całkiem niezły interes.

Z wygody (tak, sprzedałem się) korzystam z Internetowego Konta Pacjenta. Czy wierzę tej usłudze? Gdzie tam, nawet "na słowo". Już pomijam czysto UX-owe wpadki takie jak brak wysyłki recept na maila (bo nie, szukaj sobie sam w IKP). Biorąc pod uwagę to, jak wygląda jakość wielu rządowych tworów w cyberprzestrzeni, stawiam że pod płaszczykiem całkiem znośnie wyglądającej usługi, w środku można znaleźć jakość "zaraz Polska". No, niech ktoś stamtąd coś zwinie. Będzie bigos.

Ale korzystamy i z innych usług. Jak bankowość to internetowa, jak zamawianie jedzenia to aplikacje, jak wynajem samochodu to appka, jak poczta to elektroniczna. Już wiecie do czego dążę? Sprzedaliśmy się, bo niejako musieliśmy. Możemy zawsze nie mieć konta bankowego, brać wypłatę do ręki i trzymać ją w Encyklopedii PWN-owskiej. Możemy też kupować wszystko stacjonarnie i broń Bozonie Higgsa nie pokazywać nikomu danych karty płatniczej (o ile będziemy ją mieć). Na widok bankowości internetowej będziemy trzy razy pluć za siebie i rzucać solą pod nogi.

Nieco bezrefleksyjnie (bo nam atak się nie zdarzy) logujemy się w kolejnych usługach, które mają nasze dane. I to często wrażliwe. Boję się myśleć o tym, co wie o mnie Google skoro w reklamach na YouTube pokazuje mi takie rzeczy do kupienia jak wydania Talmudu z komentarzem. To chyba efekt tych wszystkich dealów pod stołem z Microsoftem, Apple, Google, Sorosem i samym diabłem. Możliwości przeprowadzenia udanego ataku na nas jest naprawdę mnóstwo. Wystarczy, że padnie choć jeden bastion - a mało kto "aktywny technologicznie" korzysta z li jednej tylko usługi - możemy być leciutko ugotowany, jeżeli ktoś stojący po drugiej stronie jest odpowiednio uparty.

I w sumie, to nawet nie zdajemy sobie sprawy z tego, że nawet auroresponder ustawiony w pracy (czyli "hej, jestem na urlopie...") może być sygnałem dla przestępców, by zaatakować chałupę i wyciągnąć z niej nawet futryny. Może to i wizja ekstremalna, ale jednak. Przecież to tylko tekst, możemy sobie pohipotetyzować.

Jak się jeszcze nie sprzedaliście, to zawsze mogą Was sprzedać

Zrobiliście sobie już samospis powszechny? To bardzo ciekawe badanie, w którym odrobinę donosimy na samych siebie - wszystko w imię analiz statystycznych. Zastanawiam się, czy takie badanie będzie mieć jakieś istotne przełożenie na na przykład jakość usług rządowych i kierunek ich rozwoju. Ale to nie tekst o tym, liczy się to, w jaki sposób możemy się uwierzytelnić.

Do samospisu powszechnego można zalogować się na dwa sposoby. Albo Profil Zaufany, który jest fajny, o ile go masz. Możesz równie zalogować się kombinacją PESEL / nazwisko panieńskie matki. Załóżmy, że nie lubicie kogoś w rodzinie, znacie jego PESEL. To się czasami zdarza - znam PESEL kilku osób w najbliższej rodzinie, bo był potrzebny przy okazji. Nazwiska panieńskie matek znam. Mógłbym im nawpisywać głupot w formularzu i narazić ich na grzywnę lub nawet więzienie. Brzmi jak dobry plan, prawda? Ale wiecie - nazwiska panieńskie matek to nie są dane, do których szczególnie trudno dotrzeć, jeżeli chcesz. PESEL możesz znaleźć na przykład w KRS, gdy ktoś jest związany z przedsiębiorstwami. Wykorzystanie tak idiotycznej kombinacji do logowania to coś, co lubię.

Zapłaciliśmy wysoki podatek. Od wygody

Dziś będzie odrobinę krócej, bo w jednym z ostatnich tekstów na temat bezpieczeństwa (serwerowni - razem z OVH sfajczyło się mnóstwo danych biznesów) otrzymałem komentarz "tl;dr". Ale, wiecie o co chodzi. Jakiś czas temu mówiło się o tym, że rosnące znaczenie internetu w naszych życiach będzie prowadziło do patologii - właśnie takich jak te, o których napisałem powyżej. To dzieje się już teraz. Może nie jest to tak częste jak obecnie COVID (którego po raz enty nie polecam), ale jednak. Czym bardziej siedzimy w technologicznym, cieplutkim kręgu - tym większe jest ryzyko. Nawet jeżeli robimy mnóstwo ku temu, byśmy byli bezpieczni.

Bezpieczeństwo to rzecz względna. Stawiane przez nas zasieki to coś, co może głównie spowalniać przeciwnika lub doprowadzić do tego, że zrezygnuje. Zawsze jest jakaś metoda złamania nas.

Trzymajcie się zdrowo. I bezpiecznie.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu