O tym, że anonimowość w sieci nie istnieje, słyszymy często. Tylko niektórzy uświadamiają sobie jednak, co to oznacza w praktyce i jakie są granice naszej anonimowości. Dla tych, którzy do tej pory nie przejmowali się tą kwestią, mamy dwie wiadomości. Pierwsza: jeśli wyobrazić sobie naszą prywatną strefę jako wyspę, to z każdym rokiem wszechobecny ocean informacji zabiera kilka centymetrów naszego lądu. Druga: istnieją sposoby, by utrudnić inwigilację.
ABC anonimowości
Podstawowe metody identyfikacji użytkownika w sieci są niezmienne od lat. Można ustalić naszą tożsamość znając numer IP. To, kim jesteśmy, pozwalają też ustalić np. ciasteczka. Tego typu dane mogą być z łatwością stosowane do inwigilacji, ale umówmy się: wchodząc do internetu rezygnujemy z pewnych jej aspektów. Strony muszą w jakiś sposób nas identyfikować, a użytkowników raczej to nie zraża.
Zdradzi cię szerokość czcionki
Prawdziwy problem związany z anonimowością zaczyna się wtedy, gdy można śledzić nasze zachowanie nie tylko w obrębie jednego serwisu, ale całej sieci. Istnieje wiele metod, które pozwalają powiązać naszą aktywność. Jedną z najgroźniejszych jest "canvas fingerprinting". Za pomocą przeglądarki można wygenerować niewidoczny dla użytkownika obrazek i napis. Każda maszyna wyświetli go w nieco inny sposób. Można to zmierzyć, i to z dokładnością do siedmiu miejsc po przecinku.
Nawet jeśli sama szerokość czcionki nie jest unikatowa - internautów są przecież miliardy, to odcisk cyfrowy zawiera szereg innych informacji. Nazwę przeglądarki, zainstalowane dodatki, język, system operacyjny, strefa czasowa, a nawet rozdzielczość monitora. A zatem łącząc wszystkie dane zebrane w cyfrowym odcisku, można uzyskać bardzo precyzyjny identyfikator danej osoby. O wiele dokładniejszy niż stare dobre ciasteczko.
Dlaczego ta metoda jest groźna? Bo pozwala identyfikować użytkownika, nawet jeśli schroni się za dwiema podstawowymi tarczami jakimi jest serwis VPN czy sieć TOR (jeśli nie wyłączą skryptów). Canvas Defender pozwala też łączyć dane z sesji w trybie normalnym i incognito. Ilu użytkowników zdaje sobie sprawę, że odwiedzając np. witrynę z firmami erotycznymi w prywatnym trybie, a potem logując się do serwisu społecznościowego z tego samego komputera, może zdradzić swoją tożsamość?
Canvas Fingerprinting umożliwia identyfikację użytkownika Fot. za multiloginapp.com
Jak utrudnić taką identyfikację? Metody są dwie. Pierwsza to wyłączenie wszelkich skryptów. To możliwe, ale niezwykle niewygodne. Sprawia, że większość serwisów internetowych nie jest w stanie normalnie działać, większość stron nie wyświetli całej zawartości. Użytkownik broniący swej prywatności musi więc nieustannie przeglądać, jakie skrypty chce uruchomić dana witryna i ręcznie je zablokować.
Druga metoda to odpowiednia przeglądarka lub w ostateczności dodatek. Canvas Defender obiecuje, że wygeneruje fałszywy odciska palca. Ostrzeże nas też, gdy dana witryna pobierze dane z Canvas Fingerprint. Twórca dodatku stworzył też przeglądarkę i obiecuje, że ma ona "wojskowy poziom zabezpieczeń".
Identyfikacja poza siecią
Technologia rozwinęła się na tyle, że pozwala dziś identyfikować użytkownika w świecie rzeczywistym. W USA na przykład służby mają dostęp do specjalnej bazy, w której znajdują się dane 117 mln osób, czyli połowy dorosłych Amerykanów. Utworzono ją na podstawie informacji z 26 wydziałów wydających prawa jazdy.
FBI za pomocą rozpoznawania twarzy wytypowało mężczyznę i oskarżyło go o napad na bank. Pomimo dużej zbieżności mężczyzna okazał się niewinny. Fot. FBI
Efekt? Na powyższym zdjęciu widać mężczyznę, którego oskarżono o napad na bank. Zidentyfikowano go wykorzystując system do automatycznego rozpoznawania twarzy na podstawie zdjęcia z prawa jazdy i porównując je z monitoringiem. Okazało się ostatecznie, że mężczyzna jest niewinny. Czy można jednak wykluczyć, że ktoś tworzy inną bazę danych pozwalającą nas zidentyfikować - chociażby na podstawie ogólnodostępnych, podpisanych imieniem i nazwiskiem zdjęć z Facebooka?
Sztuczna inteligencja została śledczym. Można zadawać jej pytania
Powyższy przykład dla jednych jest dowodem na to, że władza przekracza swoje uprawnienia i wkracza w naszą prywatność. Dla drugich jest potwierdzeniem skuteczności organów ścigania, które przecież interesują się konkretnym obywatelem tylko wtedy, jeśli ten łamie prawo.
O tym, jak ważna jest tego typu technologia, miałem okazję przekonać się uczestnicząc w konferencji Asseco w Izraelu. Prelekcja wygłoszona przez eksperta z firmy TSG, specjalizującej się w cyberbezpieczeństwie, uświadomiła mi, jak łatwo można dziś dotrzeć do konkretnej osoby. Wystarczy "nakarmić" algorytmy jak największą ilością danych.
Izrael dysponuje systemem, który jest w stanie analizować dane z kilku źródeł. Pierwszym są dokumenty tożsamości, informacje z przejść granicznych, zdjęcia z oficjalnych dokumentów. Drugim źródłem są dane z bilingów telefonicznych, przynależności danej osoby do organizacji, jej aktywności w świecie rzeczywistym.
Najbardziej przełomowy jest jednak sposób przeszukiwania zbioru takich gigantycznych informacji. Systemowi można bowiem zadać pytanie stosując zwykły język. Polecenie może brzmieć następująco: "Znajdź osobę o nazwisku Adelina używająca pseudonimu Adina, która ma związek z przemytnikami narkotyków, którzy mają związek z lekarzem o nazwisku Paolo, który jeździ zieloną Alfą Romeo".
W odpowiedzi na takie zapytanie system wygeneruje graf taki jak poniżej. Pozwoli on przeanalizować powiązania pomiędzy poszczególnymi osobami. Gdzie się spotkały, czy ze sobą rozmawiały, czy mają wspólnych znajomych. Stosując tę technikę izraelskie służby są w stanie sprawdzić na przykład, czy osoba, która stawia się na przejściu granicznym, w jakikolwiek sposób im zagraża.
Istnieje system, który bada powiązania pomiędzy osobami na podstawie danych z wielu różnych źródeł Fot. TSG
Sztuczna inteligencja zyskała więc rangę śledczego, bo algorytm jest w stanie szukać przestępcy. Istotne jest to, że przyjmuje i wyświetla komunikaty oparte na zrozumiałym języku. Sposób przedstawiania danych jest przecież nie mniej istotny niż same dane. Poprawia bowiem efektywność i usprawnia cały proces.
Inwigilacja totalna po chińsku
Powyższe systemy mają swoje ograniczenia. Nie zawierają przecież wszystkich danych o wszystkich obywatelach. A same władze deklarują, że nie inwigilują obywateli - z wymienionych powyżej technik korzystają wyłącznie w celu ścigania przestępców i terrorystów.
Chiny chcą jednak stworzyć system, w którym zawarte będą wszelkie możliwe informacje o każdym obywatelu. Social Credit System powstaje od roku 2014 i do 2020 ma być w pełni gotowy. Nie jest żadnym tajnym systemem - władze wprowadzają go zupełnie otwarcie, a nawet chwalą się nim Zachodowi.
Dlaczego jednak Chińczyk miałby się przejmować tym, że ktoś gromadzi o nim dane? Równie dobrze polskiemu internaucie mogłoby być wszystko jedno kto sprawdza odwiedzane przez niego strony i kupowane w sieci przedmioty. W przypadku Chin system jest tworzony w konkretnym celu. Dane z Social Credit System posłużą bowiem do indywidualnej oceny każdej osoby.
Rozpatrywanych będzie pięć aspektów. Wiarogodność kredytowa ma pozwolić ocenić rzetelność danej osoby w terminowym spłacaniu rachunków i rat kredytów. Zdolność kredytowa ma określić potencjał do zaciągania nowych zobowiązań. To nie brzmi jeszcze tak groźne. W systemie znajdzie się jednak również identyfikator osobisty użytkownika, zawierający komplet jego danych osobowych. Oprócz tego SCS będzie zawierał indeks zachowań i powiązań osobowych. Te dwie kategorie pozwolą na śledzenie w zasadzie dowolnej aktywności danej osoby.
Dziś wiadomo już, że dane do olbrzymiego zbioru Big Data trafią między innymi z dwóch źródeł. Pierwszym jest Sesame Credit, firma finansowa powiązana z największym sklepem internetowym Aliexpress. Drugim jest twórca największego w Azji komunikatora WeChat. "Chiński Messenger" przekaże do systemu wszystkie dane o użytkownikach.
Chińczycy chętnie zgadzają się na inwigilację
Miliony mieszkańców Państwa Środka zgodziły się na przystąpienie do programu SCS. Dlaczego? Jeśli zostaną uznani za pokornych i przydatnych, mogą liczyć na bardzo konkretne benefity: zwiększenie limitu kredytowego w banku, uzyskać pozwolenie na podróże etc. - wyjaśnia agencja Reutera. Uzyskanie podwyższonej punktacji będzie wymagało określonych zachowań. Obywatel będzie musiał być rzetelny w spłacie swoich zobowiązań i całkowicie posłuszny władzy.
Czy Chiny wprowadzają w życie najbardziej upiorną wersję inwigilacji? A może i my pozwalamy, by ktoś budował wokół nas świat pozwalający analizować i oceniać nasze zachowanie?
