Komu ufać w świecie aplikacji?

Element dekoracyjny

Dzień po tym kiedy Facebook zakupił w 2013 rok komunikator WhatsApp, 500.000 osób założyło konta w alternatywnej aplikacji Telegram, która reklamowała się szyfrowaniem i nie czytaniem przesyłanych nią wiadomości. Podobny efekt w Korei Południowej wywołała informacja, że rząd planuje zaglądać do SMS-ów przesyłanych sobie przez obywateli w poszukiwaniu antyrządowych „plotek”. Skąd ta panika? Przecież Facebook jest świetnie notowaną, powszechnie szanowaną korporacją, a Korea Południowa demokratycznym państwem prawa? Niestety, rosnące zaufanie inwestorów liczących na zysk Facebooka jest odwrotnie proporcjonalne do zaufania jakim darzą go jego użytkownicy poddawani eksperymentom i kolejnym formom reklamy. W Korei zaś przepisy retencyjne są tak wygodne dla władz, że te mogą szybko i sprawnie wymuszać na operatorach dostęp do naszej komunikacji. Nic dziwnego, że chcemy uciekać od tych technologii, które nie bronią nas przed takimi zagrożeniami.

Czy jednak każda alternatywa, która obiecuje bezpieczeństwo, prywatność i szyfrowanie naszych danych albo nieugiętą postawę wobec władz jest godna zaufania? Niestety nie. Aby chronić swoje dane musimy potrafić nimi świadomie zarządzać, odróżniać sytuacje prywatne od publicznych, a co za tym idzie, dobierać do tych sytuacji odpowiednie rozwiązania techniczne. W większości przypadków, decydując się na założenie konta w nowym serwisie społecznościowym czy komunikatorze, zwracamy uwagę na to czy jest darmowy, ładny i czy są w nim nasi znajomi? To nie wystarczy, zwłaszcza, jeśli chcemy ustrzec się przed ujawnieniem naszej korespondencji podczas wycieku danych z jakiejś firmy lub gdy o zajrzeniu do nich pomyśli państwo. Nasza komunikacja i dane powinny być zabezpieczone przed oboma sytuacjami, co oznacza połączenie rozwiązań technicznych z prawnymi, które mogą zastosować dostawcy usługi.

Jak zatem oceniać i wybierać spośród rosnącej liczby aplikacji obiecujących nam prywatność i bezpieczeństwo (a czasem nawet całkowitą anonimowość)? Electronic Frontier Foundation ze Stanów Zjednoczonych przygotowało analizę pod kątem bezpieczeństwa popularnych na rynku komunikatorów. Z taką ściągą i kilkom prostymi zasadami będziemy mogli ocenić każdą aplikację, nie tylko komunikator.

Jakie dane są zbierane?

Choć to wydaje się oczywiste, powinniśmy czytać ze zrozumieniem każdy komunikat o instalowanej lub aktualizowanej aplikacji. To w nich znajdują się informacje o tym do jakich danych dana aplikacja będzie mieć dostęp. W tym momencie powinniśmy zastanowić się czy na pewno bezpiecznie jest zainstalować aplikację, która ma służyć jako latarka ale prosi o dostęp do historii z naszej przeglądarki? W przypadku komunikatorów, tych uprawnień może być sporo, a niejasny język używany do ich opisu nie pomaga. Warto jednak zwracać uwagę na to czy na pewno będziemy mieć kontrolę np. nad tym czy aplikacja zbiera dane o naszej lokalizacji lub czy nie przesyła przypadkiem nawet szkicy wiadomości na swoje serwery.
 

Kto może wykorzystać dane?

Jeśli decydujemy się na pośrednictwo jakiejś aplikacji w komunikacji między nami a naszymi bliskimi i znajomymi, ostatnią rzeczą jakiej byśmy chcieli to to by nasze i zdjęcia i treści, które do siebie wysyłamy mogły zostać wykorzystane bez naszej zgody. Taki scenariusz możliwy jest dla większości aplikacji związanych z serwisami społecznościowymi (np. Facebook i należący do niego Instagram). Jeśli chcemy zachować pełną kontrolę nad treścią wiadomości czy zdjęciami musimy zwracać również uwagę na regulaminy i warunki korzystania z serwisów, do których będziemy się łączyć za pomocą wybranych aplikacji. To na co im pozwolimy, jakiej licencji na nasze treści udzielamy może oznaczać całkowitą utratę kontroli nad tymi danymi w przyszłości. To jak działają i zmieniają się takie regulaminy i polityki prywatności można śledzić za pomocą serwisu TOS DR.

Czy dane są szyfrowane?

Bezpieczeństwo komunikacji na wypadek inwigilacji lub wycieku danych czy to po drodze (np. w wyniku ataku na źle zabezpieczoną sieć WiFi z której korzystamy) lub z serwerów usługodawcy, może zapewnić wyłącznie jej szyfrowanie. Oferujących je komunikatorów jest co raz więcej, ale tylko część robi to naprawdę poprawnie. Wybierając aplikację, która ma służyć do przesyłania nie tylko codziennych wiadomości, ale również ważnych i osobistych informacji, powinniśmy oczekiwać, że będzie ona zabezpieczać treść komunikacji zarówno po drodze jak i u dostawcy. To oznacza, że szyfrowanie powinno odbywać się już u nas na urządzeniu, a nie na serwerze. Skuteczna kryptografia powinna również umożliwiać nam weryfikację osób, z którymi się komunikujemy.

Kto testuje rozwiązania techniczne?

To najwyższy poziom zaawansowania, w którym musimy zaufać specjalistom (chyba, że sami nimi jesteśmy), którzy potrafią np. ocenić kod danej aplikacji. By to się stało, musi on być udostępniony jako otwarte oprogramowanie (tak by oceną mogła zająć się społeczność programistyczna) lub przynajmniej poddawany audytowi. Otwartość oprogramowania oraz użytych w aplikacjach protokołów oraz technik szyfrowania jest najlepszą gwarancją na to, że twórcy nie próbują nas oszukać. Podwyższa to znacznie (choć nie gwarantuje) bezpieczeństwo całego rozwiązania.

Czy tej firmie można zaufać?

Jednym z najtrudniejszych aspektów do oceny aplikacji są tworzące je firmy. Ich reklamy, publiczny wizerunek i popularność wcale nie musi przekładać się na ich dbałość o nasze bezpieczeństwo. Wręcz przeciwnie, co świetnie pokazuje przykład aplikacji Secret i Snapchat, obiecujących, pierwsza anonimowość, druga tymczasowość informacji i zdjęć za jej pomocą przesyłanych. Obie nie tylko nie są w stanie zagwarantować tego technicznie (określenie kto wysyła wiadomość przez Secret jest łatwe, o ile nie korzysta z niego ogromna ilość użytkowników będących fizycznie w pobliżu siebie, a zdjęcia w Snapchacie można zapisać na wiele sposobów, których aplikacja nie blokuje). Poza niespełnianymi obietnicami technicznymi firmy przyzwyczaiły nas również do stawiania wyżej swojego interesu finansowego od bezpieczeństwa i prywatności danych swoich użytkowników.

Co się stanie kiedy pojawią się problemy?

Choć nikt z nas nie chce prowokować katastrof to lepiej być na nie przygotowanym i mieć plan zarządzania kryzysowego. W przypadku firm, które przechowują nasze dane lub treść komunikacji taki plan powinien obejmować reakcję na wycieki, awarię lub próby interwencji władz. Czy jesteście pewni, że każda firma przyzna się Wam do błędu? Podniesie alarm gdy znajdzie u siebie lukę bezpieczeństwa? Czy da Wam znać lub przynajmniej będzie  oponować gdy służby poproszą o Wasze dane bez nakazu sądowego? Niestety prawo, nawet jeśli brzmi jakby stało po naszej stronie, może być zupełnie nieskuteczne wobec firm mieszczących się za graniczą (najczęściej w USA).

Kamil Śliwowski

Współpraca: Małgorzata Szumańska

Polecamy:

Szpieg w wersji smart: co wie o Tobie Twój telefon

Electronic Frontier Foundation, porównanie bezpieczeństwa popularnych komunikatorów internetowych i aplikacji mobilnych

Electronic Frontier Foundation, raport Who has your back 2014

Tekst powstał w ramach projektu „Cyfrowa Wyprawka dla dorosłych 2” współfinansowanego przez Ministerstwo Administracji i Cyfryzacji oraz indywidualnych darczyńców Fundacji Panoptykon.