Jak bronić swojej prywatności i danych nie tylko przed Pegasusem. Ucho igielne i szeroka brama
Sprawa Pegasusa jest głośna, ale w rzeczywistości przeciętnemu człowiekowi bardziej niż służby specjalne zagrażają raczej marketerzy i reklamodawcy chciwi wszelkich danych o naszych kontaktach, zachowaniach i nawykach. Duże firmy technologiczne inwestują w pozyskanie danych użytkowników, ponieważ pomagają im one w zdobyciu klienta w ich narożniku.
Poprzez badanie interakcji online dostają dane na temat produktów i usług, którymi interesuje się użytkownik. Kiedy już mają te informacje, mogą tworzyć takie oferty, aby go zdobyć. Przez lata firmy z grupy Big Tech świetnie nauczyły się, jak efektywnie realizować budżety kampanii reklamowych. Dziś już prawie nikt nie narzeka na "przepalanie" pieniędzy na nic niedającą reklamę. Ale odbyło się to kosztem użytkowników, których dane było potrzebne do tak daleko idącego udoskonalenia tych narzędzi.
Śledząc i analizując interakcje online, firmy pokazują w efekcie te produkty, które trafiają w to, czego szuka i potrzebuje użytkownik. To jedna strona medalu, którą zwykły użytkownik, choć to jego dane są pokarmem tych mechanizmów, może oceniać nawet z pełną świadomością całkiem pozytywnie. W końcu dlaczego narzekać, jeśli reklamy nie są nietrafionym spamem. Jednak wiedza o tym, jakie informacje o nas zbierają potentaci Internetu, jest cenna. Dzięki niej stajemy się świadomymi użytkownikami sieci.
Firmy technologiczne zbierają wiele informacji osobistych. To imię i nazwisko, adresy e-mail i adresy zamieszkania. Firmy mogą jednak sięgać głębiej. Na przykład mogą sięgnąć po numery identyfikacji podatkowej, ubezpieczeniowej lub dane z prawa jazdy. Dołączają do zbieranych zasobów także adresy IP oraz identyfikatory typów urządzeń, za pomocą których przeglądamy treści. Do danych tych zaliczają się również: rodzaje przeglądarek, z których korzystamy, daty, godziny i adresy URL odwiedzanych stron, interakcje między aplikacjami i wiele innych.
Zatem oprócz zbierania informacji typowo personalnych, firmy śledzące mogą również dowiedzieć się wiele o zachowaniach danego użytkownika w sieci. Typowe obszary to: historia przeglądania, interakcje z treścią i reklamami, częstotliwość i czas trwania aktywności. Firmy dokładnie wiedzą, jak często korzystasz z Internetu i jak długo tam pozostajesz.
Do tego dochodzą oczywiście dane o lokalizacji użytkownika. Pochodzą one z czujników z urządzenia użytkownika a także z innych urządzeń znajdujących się w pobliżu sprzętu użytkownika. Mogą to być na przykład punkty dostępu do sieci Wi-Fi i urządzenia Bluetooth, pozycjonowanie GPS, czujniki rozmieszczone w sklepach, punkty weryfikacji na różnego rodzaju bramkach wejściowych, płatności mobilne i wiele innych.
Warto przy okazji rozwiać kilka mitów, np. wiarę w to, że każdy kto wyłączy lokalizację urządzenia w ustawieniach i GPS, ma problem z głowy. Urządzenie jest lokalizowane w sieci dostawcy usług telekomunikacyjnych z wystarczającą dokładnością, zarówno dla służb, jak i marketerów.
W aplikacjach mobilnych nie ma plików cookie. Zamiast nich w świecie Google, czyli Androida Ad Manager używa identyfikatorów, które są dostarczane przez system operacyjny urządzenia mobilnego. Typowe identyfikatory wyświetlania reklam to AdID (Android) oraz IDFA (Apple). Na urządzeniach mobilnych pozwalają one deweloperom i specjalistom ds. marketingu śledzić aktywność użytkownika urządzenia w celach reklamowych. Zwiększają też możliwości wyświetlania i kierowania reklam. Użytkownicy iPhone’ów mogą wyłączyć tę funkcję, włączając ustawienia Apple’a, aby ograniczyć możliwość śledzenia użytkownika przez nowe aplikacje. Może to jednak nie obejmować wszystkich aplikacji w telefonie.
Warto pamiętać także o lokalizacji przez media społecznościowe i wyłączyć po kolei wszystkie funkcje oznaczania lokalizacji na wszystkich swoich kontach w mediach społecznościowych, czy to w Instagramie, na TikToku, Twitterze, czy Facebooku. Każda aplikacja ma odrębne ustawienia lokalizacyjne, które mogą być wykorzystane do… lokalizacji użytkownika.
VPN pomaga, ale nie w każdym przypadku
Wskazówek dotyczących zabezpieczania i ochrony prywatności jest znacznie więcej. Niektóre są nieco staroświeckie, jak na przykład zalecenie, by używać kodu PIN do blokowania telefonu, a nie odcisków palców lub rozpoznawania twarzy.
Zabezpieczanie prywatności urządzenia takiego jak smartfon odbywa się na kilku poziomach. Po pierwsze, są to określone ustawienia w systemie operacyjnym zmierzające do tego, aby lepiej zabezpieczały przed żądnymi danych aplikacjami. Następny krok to zarządzanie samymi aplikacjami, w tym usuwanie ich w razie potrzeby, gdy są zbyt łase na nasze dane, wyłączanie lub zmiany w ich ustawieniach prywatności.
Trzeci krok to instalacja aplikacji aktywnie strzegących i broniących prywatności, np. VPN, komunikatora Signal, przeglądarki Brave, wyszukiwarki DuckDuckGo i menedżera haseł takiego np. jak BitWarden. Zainstalowanie tego zestawu aplikacji do szyfrowania i ochrony prywatności zwykle sprawia, że większość danych, które wytwarza nasze urządzenie, jest bezużyteczna dla inwigilatorów wszelkiej maści. Choć na programy takie jak Pegasus to zbyt mało, to jednak, jak pisaliśmy, zwykły użytkownik powinien obawiać się przede wszystkim inwazji marketerów, a nie służb specjalnych.
Stosunkowo rzadko są jeszcze stosowane, nawet przez "uświadomionych" prywatnościowo użytkowników rozwiązania typu Virtual Private Network (2). Jeśli tego nie używamy, to dostawcy usług Internetowych i operatorzy komórkowi, którzy zazwyczaj współpracują z konsumentami naszych danych, mogą rejestrować bez problemu nasze zachowania w sieci.
Policja w wielu krajach regularnie korzysta z takich zestawów danych. Korzystanie z VPN pozwala "schować" te dane przed tymi, których one interesują. Zwykle jednak rozwiązania VPN nie są darmowe, a jeśli są darmowe, to nie należy zakładać, że dobrze wywiązują się ze swoich zadań.
Niestety, nawet jeśli zastosujemy maskę VPN, to wysiłek ten zniweczyć może "dziurawa" przeglądarka, która pomimo stosowania takich programów może wciąż udostępniać dane o naszej sieciowej aktywności. Zatem trzeba pomyśleć o odpowiedniej przeglądarce. Najlepszą opinię ma obecnie Brave. Pomóc może też używanie chroniącej prywatność wyszukiwarki, takiej jak DuckDuckGo (3).
Może zdarzyć się nawet tak, że w określonych okolicznościach ktoś może przejąć nasze urządzenie. Jeśli urządzenie zostało przechwycone i chcemy, aby osoby, które je mają w ręku, nie uzyskały dostępu nawet gdy sami nie mamy już do niego dostępu, to są takie rozwiązania jak aplikacja Dead Man Tracker, która może powiadomić określone osoby w przypadku, gdy zdarzy się najgorsze. Inną opcją jest witryna Dead Man’s Switch. Wysyła ona wiadomość e-mail do wcześniej wybranych odbiorców.
Rozwiązania takie pozwalają teoretycznie na zdalne wymazanie danych z przechwyconego sprzętu. Jednak nie są to zbyt dobrze sprawdzone techniki.
Zatruj lub zabierz
Zatruwanie danych to proces zmiany danych poprzez robienie rzeczy, których normalnie nie robilibyśmy w sieci i stwarzanie wrażenia, że jesteś zainteresowany rzeczami, którymi nie jesteś. Można by to ująć jako pokonywanie szpiegów sieciowych ich własną bronią. Wymaga to jednak determinacji i poświęcenia, np. w klikaniu reklam, które nie są dla nas interesujące. Algorytm serwowania reklam będzie miał wrażenie, że to nas interesuje i będzie nam to podsuwał. Wzbudza to jednak mieszane uczucia, bo choć mamy satysfakcję, że oszukaliśmy trackery, to wciąż dostajemy mnóstwo spamu.
Można też swoje dane z platform usunąć. To teoretycznie możliwe. Każda duża platforma oferuje miejsce, w którym można pobrać swoje dane i zapoznać się z nimi. To ułatwia wybranie tych, które chcielibyśmy usunąć, gdyż usunięcia wszystkich zwykle nie bierzemy pod uwagę. Jednak dotarcie do tych danych zwykle nie jest zbyt łatwe. Nie tak jak pobieranie naszych danych, które odbywa się w sposób łatwy i nieomal na każdym kroku.
Czyli możemy mówić o uchu igielnym, gdy to my chcemy swoich danych i szerokiej bramie, gdy danych domagają się od nas.
Mirosław Usidus