Oko sieci

OKO SIECI

Internet przestał być anonimowy. Nasze ruchy w sieci są podglądane, a wszystko zapisywane. Wchodząc na strony www odsłaniamy się. Pół biedy, gdy świadomie, gorzej, gdy bezwiednie.

Kolejny raz okazało się, że hollywoodzkie filmy potrafią czasami trafnie przewidzieć rzeczywistość. Teoria o matriksie, wszechogarniającej sieci komputerowej, która wie wszystko i wszystkim rządzi, kilka tygodni temu niebezpiecznie zbliżyła się do naszego życia.

Stało się to za sprawą jednego z największych w USA portali internetowych – America OnLine – który opublikował listę haseł wpisywanych przez każdego z losowo wybranej próby 658 tys. abonentów. Takie informacje to nie lada gratka dla statystyków, socjologów, psychologów społecznych. I taki był też cel naukowego eksperymentu – miał on ułatwić poznanie sposobów, jakimi internauci poszukują informacji w sieci. Szefowie AOL chcieli dobrze, wyszło gorzej. Niewinna zabawa zmieniła się nieoczekiwanie w historię o Wielkim Bracie.

Bo choć dane były anonimowe – zamiast imion i nazwisk użytkowników widniały numery – okazało się, że w łatwy sposób można powiązać wyszukiwane informacje z konkretnymi osobami. Niektórzy w przypływie narcyzmu wprost wpisali do wyszukiwarki swoje imię i nazwisko, aby sprawdzić, co też o nich znajdzie się w necie. Inni podawali swój adres zamieszkania, poszukując najbliższej pizzerii, kwiaciarni czy klubu ze striptizem. Użytkownicy przekonani o swej anonimowości zadawali portalowi intymne pytania, nierzadko odkrywając przy tym ciemniejszą stronę ludzkiej natury. Mieszkanka prestiżowej dzielnicy Bostonu poszukiwała leku na depresję, psychoanalityka i detektywa, który wyśledzi podejrzewanego o zdradę męża. Na podstawie wyszukiwanych haseł dziennikarzom udało się ustalić jej tożsamość. Podobnie jak użytkownika nr 710794, który gra w golfa, ma nadwagę, jeździ ośmioletnim Cadillakiem SLS, mieszka w Tennessee oraz namiętnie poszukuje w Internecie zdjęć nagich lolitek. Wyszukiwarce trafiły się pytania o bezbolesne samobójstwo, trucizny, karę za morderstwo.

Sprawa AOL doprowadziła w USA do ogólnonarodowej debaty na temat granic prywatności w Internecie. Ten problem jest aktualny również w Polsce. Według badań CBOS, co trzeci Polak używa Internetu, a co dziesiąty robi w nim zakupy lub korzysta z usług bankowych. Komputery osobiste stają się osobiste coraz bardziej – przechowują o nas mnóstwo prywatnych informacji. Udostępniamy je w sieci, czasem świadomie, zazwyczaj nie. Wchodząc do Internetu zostawiamy po sobie mnóstwo śladów. Pokazujemy siebie jak na dłoni. Pokaż mi twój komputer, a powiem ci, kim jesteś. Niemożliwe?

Po IP do kłębka

Gdy skończę pisać ten tekst, włączę się do Internetu, aby go wysłać do redakcji. W momencie wejścia w globalną sieć do mojego komputera zostanie przypisany unikatowy numer identyfikacyjny, tzw. numer IP, który jest jak internetowy dowód tożsamości. Wygląda on na przykład tak: 207.142.131.236. Serwery w firmie, która świadczy mi usługę dostępu do sieci, odnotują: „użytkownik Piotr Stasiak połączył się z Internetem o danej godzinie i został mu nadany następujący numer IP”.

Wyślę e-mail do redakcji. Komputery w redakcji też mają swoje niepowtarzalne IP. Serwer w firmie telekomunikacyjnej odnotuje: „o danej godzinie Piotr Stasiak wysłał e-mail do następującego adresata”. W międzyczasie kolega prześle mi pozdrowienia przez komunikator Gadu-Gadu. Informacja ta, podobnie jak poprzednie, zostanie zapisana i będzie przechowywana przez co najmniej dwa lata. – Taki wymóg firmom telekomunikacyjnym stawia polskie prawo – mówi Krzysztof Sierota, odpowiedzialny za bezpieczeństwo w firmie o2.pl, która prowadzi portal, komunikator Tlen, Tlenofon, telewizję internetową Lemon TV i kilka serwisów tematycznych. Zapis połączeń pomiędzy numerami IP jest jak billingi w tradycyjnej telefonii. To ślad tego kto, kiedy i z kim się kontaktował. W razie gdyby za pomocą sieci popełnione zostało przestępstwo, na jego podstawie będzie można łatwo ustalić sprawcę – a dokładniej – komputer, którego użyto jako narzędzia. Jeżeli z domowego komputera wyślę komuś list z pogróżkami, to tak, jakbym zadzwonił do niego z domowego telefonu. Firma telekomunikacyjna na prośbę policji ujawni, do kogo należał numer IP, z którego pogróżki wysłano.

Krzysztof Sierota podkreśla, że zachowywane są jedynie informacje o nawiązanym kontakcie. Treść wysyłanych e-maili i rozmów prowadzonych przez komunikatory chroniona jest przez tajemnicę korespondencji. Ich podglądanie możliwe jest dopiero za zgodą sądu lub na wniosek prokuratury. Największe polskie firmy internetowe mają miesięcznie od kilku do kilkuset takich wniosków. Jeden z portali nieoficjalnie przyznaje, że na prośbę policji monitoruje na bieżąco zawartość kilku tysięcy skrzynek pocztowych. A może być ich jeszcze więcej, bo rząd zastanawia się, czy ze względu na bezpieczeństwo państwowe nie przedłużyć okresu przechowywania zapisanych billingów z 2 do 5 lat.

Gorzkie ciasteczko

Gdy już wyślę e-mail do redakcji, zacznę surfować po sieci. Każdy mój ruch będzie rejestrowany. Każda strona, na którą zajrzę, zapamięta, że o danej godzinie połączył się z nią mój komputer (mój numer IP). Polskie wyszukiwarki internetowe, podobnie jak AOL, zapiszą, że z mojego komputera wyszukiwano takie a takie hasła. – Mamy techniczne możliwości, aby przygotować taką listę jak w Ameryce. Ale tego nie robimy. Te dane służą wyłącznie do ulepszania technologii – mówi Robert Sadowski, rzecznik NetSprinta, największej polskiej wyszukiwarki. Teoretycznie system można też ustawić tak, aby wyłapywał słowa kluczowe: bomba, prezydent itp. Ale na razie do polskich wyszukiwarek władze w tej sprawie się nie zgłaszały.

Znacznie więcej danych o ruchu na stronie zbiera Google. Jak twierdzą jego przedstawiciele, wyłącznie dla celów statystycznych oraz poprawienia obsługi klienta. Podglądanie numerów IP użytkowników ma jednak dla amerykańskiego giganta również wymiar finansowy. Jest to jeden ze sposobów, w jaki zwalcza tzw. fałszywe kliknięcia (wielokrotnie ponawiane wejścia z tego samego komputera) na wyświetlane w portalu reklamy.

Niektóre strony www śledzą dokładniej: na jakie podstrony się wchodzi, jakie działy ogląda, z jakich usług i linków korzysta. Większość popularnych stron dodatkowo instaluje na naszym komputerze tzw. cookie (z ang. ciasteczko). To niewielkie pliki, które przechowują informacje o użytkowniku i jego preferencjach. Na przykład gdy wejdę na stronę Merlin.pl, ta największa polska księgarnia internetowa znajdzie na moim komputerze zainstalowany przez nią samą przy poprzedniej wizycie plik cookie. Tak pozna moje nazwisko oraz wyświetli mi od razu nowości książkowe, pomijając płyty z muzyką, których nigdy w Merlinie nie zamawiam. Cookie instalują się automatycznie bez naszej wiedzy. W czasie godziny surfowania może się ich pojawić kilkanaście.

Pliki cookie ułatwiają serwisom komunikację z klientami, bo pozwalają lepiej dopasować treść stron do ich potrzeb. Największa na świecie księgarnia Amazon na bieżąco sprawdza, jakie strony odwiedza ich klient, na co zwraca uwagę, a następnie podsuwa mu odpowiednio dobrane oferty książek. Do wprowadzenia podobnych usług przygotowuje się również nasz Merlin. Cookie są także nieocenionym narzędziem dla reklamodawców. W USA największe portale internetowe na podstawie zebranych informacji wiedzą, jakie reklamy pokazać danemu użytkownikowi. U nas zainteresowanie tą metodą trafiania do klienta (tzw. targetowanie behawioralne) na razie jest znikome. Ale będzie rosło, bo wraz ze wzrostem liczby reklam w sieci będą one bardziej ignorowane przez użytkowników.

Atak pełzacza

Zarówno w przypadku numeru IP jak i plików cookie odkrywamy się niejako na własne życzenie. Świadomie lub nie. Jest to jednak konieczne – bez udostępnienia tych informacji używanie sieci byłoby utrudnione. Bardziej niebezpieczne są te przypadki, gdy ktoś celowo włamuje się do naszego komputera, aby wyciągnąć cenne dane. Robią to tzw. pełzacze, programy wędrujące po sieci, w poszukiwaniu niezabezpieczonych komputerów. Choć o tym nie wiemy, w czasie godziny nasz komputer jest atakowany co najmniej kilka razy. Szpiegowskie programy (tzw. spyware) mogą też wchodzić do naszego komputera w czasie odwiedzania podejrzanych stron www (najczęściej z darmową pornografią). Jeśli atak się uda, pełzacz przeszukuje twardy dysk. Jest tak ustawiony, aby wyciągnąć z niego imiona, nazwiska, adresy e-mail, numery kart kredytowych, kont bankowych, hasła dostępu. Tego rodzaju informacje coraz częściej zapisujemy w plikach, aby je mieć pod ręką. Spyware śledzi każdy nasz ruch – w co klikamy, co wpisujemy z klawiatury. Może też skopiować z dysku informacje o stronach internetowych, które ostatnio odwiedzaliśmy. To może być cenne dla spamerów.

Większość danych wyciągniętych przez szpiegujące automaty jest dla hakera z Chin czy Rosji na szczęście bezużyteczna. Ale już sam fakt wejścia do naszego komputera bywa uciążliwy. Szpiegujące programy mogą nam niespodziewanie otwierać okienka z reklamami albo spowodować przysyłanie do skrzynki pocztowej uciążliwego spamu. Groźnie robi się, gdy spyware zaczyna nas podglądać albo podsłuchiwać – wystarczy, że przejmie kontrolę nad podłączoną do komputera kamerką internetową albo mikrofonem i rozpocznie nadawanie w świat.

Maciej Kołodziej, ekspert do spraw bezpieczeństwa w portalu Onet.pl, zdradza, że najgorsze jest oprogramowanie pisane w konkretnym celu, np. do wyszukania w sieci klientów danego banku i wyciągnięcia z ich komputerów konkretnych danych. Choć w Polsce zdarzało się to dotąd sporadycznie.

Nadmiar chroni?

Cyfrowa informacja, która raz wejdzie do sieci, będzie w niej krążyć bez końca, bo do jej powielenia wystarczą sekundy. Feralna lista abonentów AOL została formalnie, po kilku dniach, zdjęta przez władze portalu, ale wciąż łatwo ją znaleźć. Powinni być tego świadomi wszyscy użytkownicy forów dyskusyjnych czy wypisujący komentarze pod własnym imieniem i nazwiskiem. Wystarczy, że dana wypowiedź trafi do przepastnych archiwów Google, a po kilku latach ktoś może ją odnaleźć. Choć przez niewyparzony język w Polsce jeszcze nie została złamana żadna kariera polityczna, w USA i Wielkiej Brytanii były już takie przypadki.

– Anonimowość w sieci skończyła się jakieś pięć lat temu – mówi Maciej Kołodziej z Onetu. Dziś trzeba być świadomym, że każdy ruch, e-mail, wypowiedź, kontakt zostanie odnotowany. Na naszą niekorzyść działa łatwość magazynowania cyfrowych informacji i ich obróbki. Serwis aukcyjny Allegro zbiera wyniki i przebieg wszystkich odbywających się tam transakcji od swego zarania, chociaż w portalu aukcje historyczne widoczne są jedynie do trzech miesięcy wstecz. Internetowa apteka w ciągu kilku sekund może sprawdzić szczegóły wszystkich naszych zamówień – od leków na astmę, przez viagrę i plastry na odciski.

Paradoksalnie okazuje się jednak, że nadmiar danych może działać na naszą korzyść. – Ich szczegółowe analizowanie jest z punktu widzenia ekonomicznego zupełnie bez sensu – mówi Krzysztof Sierota z o2. Jego portal odwiedza miesięcznie 6 mln osób. Na Onet wchodzi 10 mln. Przemielenie takiej liczby danych wymagałoby zatrudnienia dziesiątek osób i setek komputerów. Dlatego największe serwisy i portale zapisują to, czego od nich wymaga prawo. Inaczej mogłyby znaleźć się w sytuacji enerdowskiej służby bezpieczeństwa, której zabrakło mocy przerobowych do analizowania zbyt wielkiej liczby podsłuchów telefonicznych. Gdy upadał mur berliński, agenci Stasi przesłuchiwali dopiero nagrania z początku lat 80.

Jak się bronić?

* Nie podawaj swoich pełnych prawdziwych danych na forach dyskusyjnych i w komentarzach.

* Używaj pseudonimów. Załóż konto na darmowym serwerze pocztowym – zapewni ci to większą anonimowość.

* Strony takie jak http://behidden.com czy www.the-cloak.com ukrywają twoją tożsamość w trakcie surfowania po stronach.

* Nigdy nie zgadzaj się na instalowanie programów, które pojawiają się w czasie surfowania po nieznanych i podejrzanych stronach internetowych.

* Przydatne informacje znajdziesz na:
www.techinfo.giodo.gov.pl/index.html
www.microsoft.com/poland/athome/security/default.mspx
www.forum.gazeta.pl/forum/71,1.html?f=23618

Piotr Stasiak 

Tekst opublikowany w tygodniku „Polityka” (38/2006)