Janusze bezpieczeństwa i prywatności

Do stworzenia tego wpisu skłoniła mnie nagonka na Windows 10 za „problemy z prywatnością” oraz nagonka na korporacyjne rozwiązania chmurowe, jako „niebezpieczne i narażone na handel danymi”.

Microsoft jak zwykle ma problemy z komunikacją. Windows 10 nie robi praktycznie nic więcej niż Windows 7 czy 8 pod względem gromadzenia „telemetrii” (lub wg internetowych speców: „szpiegowania”). „Windows 10 ma keyloggera!”. Nie chcę roztrząsać zasadności zbierania informacji o zachowaniu użytkowników, ale warto zrozumieć kilka kwestii:

  • telemetria (czyli informacje o sposobie korzystania z systemu) zbierana przez Windowsa jest ANONIMOWA i SZYFROWANA,
  • wersje Enterprise (dla firm) mogą całkowicie ją wyłączyć. Wersje Pro mogą wyłączyć ją w znacznej większości,
  • Windows nie używa telemetrii do celowania w nas reklamami ani nie skanuje maili w tym celu,
  • jeśli keyloggerem nazwiesz uczenie się autopodpowiedzi wprowadzanych na klawiaturze – nie mam pytań – pozostaniemy przy swoich zdaniach. Tak samo robi Twoja klawiatura na Androidzie czy iOS.

Na koniec odrobina perspektywy – zauważyłem, że bezpieczeństwo i prywatność Windowsa 10 najgłośniej krytykują użytkownicy Androida, który nie załatał zdalnie dużej luki bezpieczeństwa dla ponad miliarda urządzeń i żyje ze sprzedawania danych o nas do rzucania w nas reklamami.

Druga kwestia jest dużo poważniejsza, a dyskusje często bardziej wyważone. Dyskusja o przewadze infrastruktury chmurowej nad lokalną (i odwrotnie) dla przedsiębiorstw. Najwięksi przeciwnicy rozwiązań chmurowych podnoszą kilka zasadniczych argumentów:

  • dane w chmurze nie są bezpieczne,
  • dane w chmurze przestają być Twoje,
  • dane w chmurze mogą być wykorzystywane, przeglądane, a nawet sprzedawane na zewnątrz.

Posłużę się starym cytatem… siebie w tej kwestii.

https://www.facebook.com/PiotrGoreckiJr/posts/10203851013709291

Odpowiadając szerzej na powyższe trzy kwestie.

  • Po pierwsze, dane składowane lokalnie, we własnych serwerowniach, są jeszcze mniej bezpieczne. Zarówno pod względem ich utraty, jak i podejrzenia. I nie wynika to tylko z ryzyka (moim zdaniem dość łatwego) przekupienia administratorów sieci, ale też z ryzyka związanego z przekazywaniem danych na zewnątrz, co jest konieczne przy tworzeniu backupów. Nieraz spotkałem się z tym, że auto-backup był transmitowany na zdalny serwer… nieszyfrowanym łączem przy pomocy transmisji radiowej (?!).
  • Nie, dane w komercyjnych chmurach dalej są Twoje, tak jak trzymanie danych na dyskach kupionych od Western Digital, nie czyni WD ich właścicielem. I to jest wyraźnie zapisane w postanowieniach i umowach.
  • Po pierwsze, szansa, że dostarczyciel chmury będzie ryzykował reputację i ogromne odszkodowania, żeby przeglądać Twoje dane jest… znikoma. Ale nawet jeśli nie przekonuje Cię uczciwość i intencje tych firm, pomyśl o BYOK („bring your own key”, czyli przynieś własny klucz). W największym skrócie – jest to szyfrowanie nie transmisji danych, a samych danych w miejscach ich przechowywania. Szyfrowanie kluczem prywatnym, którego jedynym dyspozytorem jest klient. Szyfrowanie tym kluczem odbywa się lokalnie na urządzeniach (tak jak i deszyfrowanie), a do Microsoftu czy Amazona trafiają jedynie całkowicie „nieodszyfrowywalne” dane, które można zdekryptować jedynie posiadając klucz prywatny szyfrującego algorytmu niesymetrycznego. Zaraz usłyszę – „ale Microsoft pewnie zaszył backdoora w algorytmie i tym mechanizmie”. Nie, rozwiązanie to jest Open Source i każdy może podejrzeć jego kod źródłowy na Git Hubie. To daje pełną (nie lubię tego słowa) gwarancję prywatności, ale wiąże się z koniecznością dobrego zarządzania tymi kluczami. Często jest to sprawa na tyle złożona, że lepiej pozostawić ją profesjonalistom. Takim jak Amazon czy Microsoft. Jak zawsze – coś za coś.

Na koniec – dla fanów Apple’a, którzy będą podkreślać, że ich system operacyjny nie ma takich „kłopotów” z prywatnością czy reklamami jak konkurencja. Po części to prawda, ale trzeba pamiętać, że wiele usług, z których Apple korzysta (choćby do Siri) właśnie rośnie w siłę dzięki zbieraniu danych o użytkowniku oraz utrzymuje się z wyświetlania spersonalizowanych reklam.