Prywatność i bezpieczeństwo danych dla aktywistów na trudne czasy

Zachowanie obecnej partii rządzącej w Polsce, która poprzez próby umniejszenia roli władzy sądowniczej wydaje się zmierzać wszelkimi dostępnymi środkami w stronę rządów autorytarnych, naturalnie nie nastraja pozytywnie co do poszanowania wolności obywatelskich w tej kadencji. Bardzo niepokoi również podejście rządu do służb specjalnych – nagłe i radykalne zmiany kadrowe, a także doświadczenia w funkcjonowaniu służb z okresu 2005-2007 sugerują, że władza może traktować je instrumentalnie. Również do celów związanych z inwigilacją aktywistów i grup nieprzychylnych władzy.

Celem tego postu nie jest jednak gdybanie o tym jak może być, a oraz przedstawienie podstawowych środków które mogą być pomocne w ograniczeniu możliwości.

Najpierw dobre wiadomości – Polska na pewno nie ma infrastruktury wywiadu elektronicznego porównywalnej z tą jakiej używa NSA. Wykluczyć więc można tak masowe gromadzenie metadanych lub wpinanie się do głównych światłowodów łączących polskich operatorów ze światem. Również nie należy zbytnio przejmować się potencjalną wymianą danych pomiędzy służbami amerykańskimi i polskimi. Pomimo, że Polska korzystała ze zbiorów NSA, to znajduje się w tzw trzeciej grupie – wśród Francji, Niemiec czy Belgii. Ponieważ kraje te same były podsłuchiwane przez amerykanów, to można przypuszczać że wymiana informacji ogranicza się do najpoważniejszych zagrożeń. Należy również wspomnieć, że pierwsze decyzje nowych władz nie są najszczęśliwsze z punktu widzenia współpracy międzynarodowej.

Niestety jednak służby, w tym CBA, same w sobie dysponują środkami wystarczającymi do uzyskania dostępu do komputerów i telefonów aktywistów. W końcu to CBA było klientem Hacking Team i zakupywało zintegrowane platformy służące do umieszczania i kontrolowania koni trojańskich. Trzeba również pamiętać, że polskie prawo przyznaje bardzo szerokie uprawnienia w zakresie podsłuchu elektronicznego. Uzyskanie nakazu umożliwia bowiem “stosowanie środków technicznych umożliwiających uzyskiwanie w sposób niejawny informacji i dowodów oraz ich utrwalanie, a w szczególności treści rozmów telefonicznych i innych informacji przekazywanych za pomocą sieci telekomunikacyjnych.” czyli w praktyce wszystko co leży w zasięgu możliwości technicznych. Nie wiadomo z kolei jak zostanie przeprowadzona reforma uprawnień w zakresie retencji danych. Zgodnie z wyrokiem Trybunału Konstytucyjnego, uchylone zostało uprawnienie funkcjonariuszy do żądania billingów od operatorów telekomunikacyjnych bez nadzoru sądowego. Przepisy muszą zostać zmienione do końca lutego, wtedy też można będzie oceniać na ile przepisy zostały dostosowane do standardów konstytucyjnych. W międzyczasie uchylona została również dyrektywa retencyjna, jednak ze względu na tendencję do rozszerzania uprawnień służb będące następstwem zamachów terrorystycznych, nie należy oczekiwać aby wpłynęło to na reformę regulacji krajowych.

Jak więc najlepiej zabezpieczyć się przed niechcianą inwigilacją? Na szczęście od 2005 roku wiele zmieniło się w kwestii dostępności szyfrowania. Programy umożliwiające stosowanie mocnej kryptografii są właściwie dostępne od ręki – co trzeba wykorzystywać na każdym kroku. Należy przede wszystkim zapewnić poufność w dwóch dziedzinach – plików przechowywanych lokalnie oraz komunikacji.

Jeżeli chodzi o szyfrowanie lokalne to obowiązuje prosta zasada – zawsze stosujemy szyfrowanie całego dysku (z ang. FDE – full disc encryption). Najpopularniejszymi i najprostszymi narzędziami będzie tutaj TrueCrypt, który pomimo że nie jest już uaktualniany ciągle jest bezpieczny, jego rozwinięta wersja VeraCrypt, oraz podobny w działaniu DiskCryptor. Osobiście polecałbym VeraCrytpt, ponieważ opiera się na solidnej bazie TrueCrypta, a kolejne uaktualnienia coraz bardziej udoskonalają jego model bezpieczeństwa. FDE ma szereg zalet: nie musimy martwić się rozdzielaniem plików na jawne i tajne, konfiskata sprzętu nie prowadzi do ujawnienia żadnych informacji, w sądzie całkiem zaszyfrowany dysk nie będzie miał żadnej wartości dowodowej. Ostatni punkt jest istotny zwłaszcza, jeśli obawiamy się że na nasz dysk podrzucone zostaną nielegalne materiały jak np.: dziecięca pornografia. Nawet jeżeli tak się stanie, to fakt ich posiadania będzie niemożliwy do udowodnienia. Należy przy tym pamiętać, że należy dbać o fizyczne bezpieczeństwo takiego urządzenia – bezpośredni dostęp umożliwia zainstalowanie złośliwego oprogramowania które przejmie wprowadzane hasło.

Następnym elementem jest zapewnienie anonimowości dostępu do internetu. Ze względu na regulacje retencji danych w Polsce, operatorzy telekomunikacyjni przechowują przez 12 miesięcy dane dotyczące aktywności ich klientów w internecie. Dlatego też ukrycie swojego zachowania w internecie jest konieczne aby uniknąć “inwigilacji wstecz” i potencjalnego wykorzystania historii przeglądania przeciwko nam. W celu anonimizacji obecności w sieci możemy wykorzystać Tora lub usługę VPN (virtual private network):

  • Tor jest bardzo skutecznym sposobem zachowania anonimowości, skutecznym na tyle że praktycznie niemożliwe jest ustalenie prawdziwego adresu IP konkretnego użytkownika bez pomocy np.: złośliwego oprogramowania. Wadą tego rozwiązania jest to, że jest dość uciążliwe w codziennej pracy – pakiet zawierający przeglądarkę skonfigurowaną do korzystania z Tora domyślnie korzysta z szeregu modyfikacji ustawień  które zwiększają bezpieczeństwo, ale wyłączają część funkcjonalności.
  • VPN zapewnia z kolei bardzo transparentne rozwiązanie – zazwyczaj wystarczy uruchomić program dostarczany przez usługodawce i normalnie korzystać z sieci. Należy jednak pamiętać o rozważnym doborze usługodawcy gdyż to niego trafia najpierw nasz ruch sieciowy i jest on w stanie podglądać lub zapisywać nasze działania. Niestety VPN, w przeciwieństwie do Tora, jest co do zasady płatny. Jedynym rozwiązaniem dla tych którzy nie chcą płacić może być skorzystanie z darmowej wersji CyberGhost – w tej wersji jednak liczba serwerów jest ograniczona, nie można korzystać z serwisów peer2peer, a co trzy godziny wymagane jest ponowne połączenie.

W przypadki i Tora i VPN napotkamy zapewne również problemy z logowaniem do poczty czy portali społecznościowych – z perspektywy tych usług będziemy się logować z nieznanej dotąd lokalizacji, często bardzo odległej od naszego miejsca zamieszkania.

Jeżeli chodzi natomiast o bezpieczeństwo komunikacji to sprawa jest stosunkowo prosta: przy korzystaniu z telefonu komórkowego należy korzystać z aplikacji Signal, a e-maile należy szyfrować przy użyciu PGP.

  • Signal, opracowany przez Open Whispers Systems, jest wręcz aplikacją obowiązkową. Banalny w obsłudze – wystarczy rejestracja, a wysyłanie/odbieranie SMSów i wykonywanie rozmów wygląda dokładnie tak samo jak w przypadku fabrycznych aplikacji. Signal jest darmowy i zapewnia wysokie bezpieczeństwo poprzez protokół OTR (Off The Record). Jedyną wadą jest konieczność ciągłego dostępu do internetu, ale biorąc pod uwagę cały czas malejące ceny pakietów danych, nie jest to znacząca przeszkoda.
  • PGP to system szyfrowania wiadomości przy użyciu klucza publicznego – użytkownik generuje dwa klucze, publiczny (służy do szyfrowania wiadomości, należy go rozpowszechnić wśród wszystkich z którymi chcemy korespondować) i prywatny (służy do doczytywania wiadomości, należy zachować go w tajemnicy). Najprostszą dla nowych użytkowników implementacją tego systemu jest dodatek Enigmail do klienta poczty Thunderbird. Enigmail pomaga w przygotowaniu zestawu kluczy i automatyzuje proces szyfrowania/deszyfrowania wiadomości.

Powyższe wyliczenie narzędzi ma oczywiście charakter skrótowy, jednak stanowi w moim odczuciu wystarczającą bazę do zapewnienia elementarnej ochrony przed inwigilacją. Wybierając narzędzia kierowałbym się przede wszystkim, co może dziwić, nie absolutnym poziomem bezpieczeństwa jaki oferują, a tym jak wygodne są w codziennym użyciu. Dlaczego? Nawet najlepsze narzędzia nie zapewnią bowiem żadnej ochrony jeżeli nie będziemy ich stosować. Zdecydowanie lepiej korzystać przez cały z jakichkolwiek narzędzi, szczególnie że nawet te najwygodniejsze są bardzo skuteczne, i kształtować dobre nawyki niż już na początku zrazić się do skomplikowanych procedur.

Advertisements

Tags: , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: