Dziś, za sprawą podpisu prezydenta Andrzeja Dudy, w życie weszła kontrowersyjna nowelizacja ustawy o Policji, zwana ustawą inwigilacyjną. W niniejszym artykule opisujemy w jaki sposób służby mogą nas inwigilować oraz co możemy zrobić, aby zachować prywatność i poufność komunikacji, nie tylko w internecie.

Ustawa inwigilacyjna

Choć pod kątem technicznej ochrony przed inwigilacją, kwestie polityczne nie mają żadnego znaczenia, z kronikarskiego obowiązku przypomnijmy genezę niniejszej ustawy. Jej pierwotną wersję stworzyła koalicja PO-PSL. Ustawa zawierała kontrowersyjne zapisy ale posłowie nie zdążyli jej przegłosować przed wyborami. Kiedy PiS doszedł do władzy, poprawił ustawę poprzedniego rządu, ale wcale nie na lepsze… i bez oglądania się na wiele głosów sprzeciwu (m.in. Rzecznika Praw Obywatelskich, Helsińskiej Fundacji Praw Człowieka, Naczelnej Rady Adwokackiej, Biura Analiz Sejmowych, GIODO i Krajowej Izby Radców Prawnych), ustawę uchwalono. Dopóki rząd (obecny lub przyszły) ustawy nie zmieni, każdy z nas może być inwigilowany w internecie i — na mocy ustawy — nigdy się o tym nie dowie…

Sprawa z ustawą nie jest prosta. Z jednej strony przecież służby muszą mieć możliwość sprawnego stosowania kontroli operacyjnej, także w internecie, aby “łapać przestępców” i dbać o nasze bezpieczeństwo — z drugiej, realizacja powszechnej, masowej inwigilacji i jedynie pozorna (bo następcza) kontrola nad kontrolującymi budzi uzasadnione obawy o możliwe nadużycia.

Nie wątpimy oczywiście, że wśród pracowników polskich służb i policji znajdują się osoby z silnym kręgosłupem moralnym, które nigdy same z siebie świadomie nie naruszyłyby prywatności niewinnych osób — ale wiemy też, że te osoby mają swoich przełożonych, często z politycznego nadania, co może prowadzić do różnych niezdrowych (i małoetycznych) sytuacji. Dlatego też, dmuchając na zimne, przedstawiamy zbiór kilku porad, które mają na celu ochronę Twojej prywatności w sieci.

Oczywiście, wśród naszych czytelników będą zarówno tacy, którzy uważają, że nie ma się czego obawiać, jak i ci do przesady paranoiczni, którzy śpią z czapeczką aluminiową na głowie. Większość zapewne — zgodnie z krzywą Gaussa — trochę się obawia, ale nie całkiem i trochę chciałaby się zabezpieczyć, ale może nie kosztem utraty wygody…

Podkreślmy więc, że zastosowanie się do poniższych rad pozwoli ochronić Twoją prywatność nie tylko i wyłącznie w kontekście polskich służb, ale ogólnie inwigilacji w internecie prowadzonej przez dowolny podmiot (w tym obce służby), a także pomoże w ograniczeniu szkód wynikłych z innych życiowych sytuacji, jak np. kradzieży sprzętu czy działań złośliwego kolegi w pracy lub “hakera”-gimnazjalisty na publicznym hotspocie w restauracji.

Zachęcamy do dzielenia się niniejszym artykułem ze znajomymi i uzupełnianiem porad w komentarzach.

Jak bronić się przed inwigilacją?

Temat inwigilacji poruszany jest na łamach Niebezpiecznika regularnie, ponieważ nie jest tak, że dopiero od dziś, służby mogą Cię inwigilować — teraz po prostu będą mogły działać łatwiej i na szerszą skalę. Poszczególne nasze artykuły otagowane jako “prywatność” i “inwigilacja” lub “służby” to setki materiałów zawierających obszerne opisy zarówno sposobów inwigilacji jak i metod ochrony przed nią. Brakowało nam jednak jednego wpisu, swoistej “ściągawki”. Dlatego poniżej ograniczamy się do listy zaleceń, wzbogaconej o krótkie opisy “dlaczego warto” oraz dodatkową bibliografię. Ten artykuł nie zawiera konkretnych instrukcji (np. konfiguracji Tora, czy zbioru poleceń do przeklejania aby postawić tunel VPN na routerze) dla danego systemu operacyjnego — jeśli nie jesteś w stanie samodzielnie dostosować konfiguracji sugerowanego oprogramowania do swoich potrzeb, to najprawdopodobniej i tak nie masz szans w zetknięciu z służbami…

Zalecenia uporządkowaliśmy od najważniejszych i w takiej kolejności sugerujemy je wdrażać w życie. Dla przejrzystości, używamy słowa “służby”, ale inwigilować może nie tylko Policja, czy 3-literowe agencje. Nie musisz oczywiście stosować się do każdej rady (i zapewne nie każda będzie dla Ciebie odpowiednia), ale nad każdą z nich przynajmniej przez chwilę podumaj.

5 OGÓLNYCH ZASAD

Zanim przejdziemy do zaleceń technicznych, zacznijmy od 5 ogólnych zasad:

1. Zawsze postępuj zgodnie z prawem :)

Chcielibyśmy napisać, że na celowniku służb znajdują się tylko i wyłącznie przestępcy i jeśli nie łamiesz prawa, nie masz się czego obawiać. Niestety, pomimo tego, że w służbach w znakomitej większości pracują wysokiej klasy profesjonaliści i jest bardzo małoprawdopodobne, że jakaś instytucja zacznie Cię inwigilować przez pomyłkę, to takie przypadki się zdarzają… Dlatego na wszelki wypadek, doczytaj ten artykuł do końca. Powyższy akapit nie dotyczy dziennikarzy i prawników , którzy — choć sami nie mają sobie nic do zarzucenia — często utrzymują kontakty z osobami, którymi interesują się służby. Właśnie z powodu swoich znajomości, czyści jak łza prawnicy i dziennikarze będą inwigilowani . To zupełnie normalne, że każdy kto może posiadać informacje pomocne w prowadzonym przez służby postępowaniu, choćby takie jak miejsce przebywania podejrzanego, jest w kręgu zainteresowania służb. Powyższe zdanie należy również rozumieć tak: “ jeśli Ty coś przeskrobałeś, to kontrolą operacyjną (inwigilacją) prawie na pewno objęci będą Twoi bliscy: żona, dzieci a nawet gosposia .” Dlatego aby poniższe rady miały jakikolwiek sens, Twoi bliscy też powinni się do nich zastosować.

Chcielibyśmy napisać, że na celowniku służb znajdują się tylko i wyłącznie przestępcy i jeśli nie łamiesz prawa, nie masz się czego obawiać. Niestety, pomimo tego, że w służbach w znakomitej większości pracują wysokiej klasy profesjonaliści i jest bardzo małoprawdopodobne, że jakaś instytucja zacznie Cię inwigilować przez pomyłkę, to takie przypadki się zdarzają… Dlatego na wszelki wypadek, doczytaj ten artykuł do końca. 2. Zastanów się, czy w ogóle musisz to powiedzieć lub napisać.

W miarę możliwości, ważne, poufne i wrażliwe sprawy poruszaj na spotkaniach w 4 oczy (o tym jak zabezpieczyć takie spotkanie będzie poniżej). Jeśli nie masz wystarczającej wiedzy technicznej co do zabezpieczenia transmisji i sprzętu komputerowego/telefonicznego, nie ryzykuj niepotrzebnie. Nawet w dedykowanym ochronie prywatności oprogramowaniu znajdowane są dziury umożliwiające uzyskanie służbom dostępu do chronionych danych, a przechwycone, zaszyfrowane rozmowy, które dziś nie są możliwe do rozszyfrowania, kiedyś mogą zostać “złamane”. Bo odgadywanie haseł i kluczy to kwestia czasu i (wciąż rosnącej) mocy obliczeniowej. Weź sobie do serca znane z filmów “wszystko co powiesz może być użyte przeciwko tobie”. Zwróć też uwagę na to, że z pozoru niewinne rzeczy, które całkiem świadomie publikujesz w sieci, mogą na Twój temat zdradzić więcej informacji niż myślisz — por. zanim wgrasz do sieci jakiejś zdjęcie…

W miarę możliwości, ważne, poufne i wrażliwe sprawy poruszaj na spotkaniach w 4 oczy (o tym jak zabezpieczyć takie spotkanie będzie poniżej). Jeśli nie masz wystarczającej wiedzy technicznej co do zabezpieczenia transmisji i sprzętu komputerowego/telefonicznego, nie ryzykuj niepotrzebnie. Nawet w dedykowanym ochronie prywatności oprogramowaniu znajdowane są dziury umożliwiające uzyskanie służbom dostępu do chronionych danych, a przechwycone, zaszyfrowane rozmowy, które dziś nie są możliwe do rozszyfrowania, kiedyś mogą zostać “złamane”. Bo odgadywanie haseł i kluczy to kwestia czasu i (wciąż rosnącej) mocy obliczeniowej. Weź sobie do serca znane z filmów “wszystko co powiesz może być użyte przeciwko tobie”. 3. Szyfruj wszystko. Zawsze.

Służby mogą przechwytywać nie tylko ruch internetowy, ale i telefoniczny. Jeśli nie szyfrujesz swoich rozmów i połączenia internetowego, znacznie ułatwiasz inwigilującym Cie osobom zadanie (o tym jak szyfrować będzie poniżej). Pamiętaj, że zgodnie z polskim prawem wciąż możesz bezkarnie odmówić podania hasła lub wydania klucza kryptograficznego do zaszyfrowanych danych przesyłanych przez sieć i znajdujących się na Twoich nośnikach (telefonie, dysku, pendrive). Jeśli już zdecydujesz się na odmowę podania hasła — wiedz, że usłyszysz iż “utrudniasz śledztwo” za co przypisany może Ci zostać dodatkowy paragraf (zignoruj to). Przygotuj się też na kryptoanalizę przy pomocy gumowej pałki:

Służby mogą przechwytywać nie tylko ruch internetowy, ale i telefoniczny. Jeśli nie szyfrujesz swoich rozmów i połączenia internetowego, znacznie ułatwiasz inwigilującym Cie osobom zadanie (o tym jak szyfrować będzie poniżej). Pamiętaj, że zgodnie z polskim prawem wciąż możesz bezkarnie odmówić podania hasła lub wydania klucza kryptograficznego do zaszyfrowanych danych przesyłanych przez sieć i znajdujących się na Twoich nośnikach (telefonie, dysku, pendrive). Jeśli już zdecydujesz się na odmowę podania hasła — wiedz, że usłyszysz iż “utrudniasz śledztwo” za co przypisany może Ci zostać dodatkowy paragraf (zignoruj to). Przygotuj się też na kryptoanalizę przy pomocy gumowej pałki: 4. Edukuj swoich znajomych.

Twoja prywatność i poufność twoich rozmów nie zależy tylko od Ciebie. Nawet jeśli służbom nie uda się odczytać informacji z Twojego świetnie zabezpieczonego i zaszyfrowanego sprzętu, często będą w stanie pozyskać je od osoby z którą rozmawiałeś. Jeśli nie ufasz zdolnościom technicznym w zakresie bezpieczeństwa IT swojego rozmówcy, patrz punkt 1. Jasno zakomunikuj swoim znajomym, że nie życzysz sobie robienia zdjęć i wrzucania ich na FB, tagowania i twojej osoby na ich zdjęciach i checkinach. Znacznie ułatwisz znajomym to zadanie, całkowicie kasując swój profil na Facebooku. No cóż, paranoja wymaga poświęceń — zdjęcia śmiesznych kotków zawsze możesz obejrzeć w innym miejscu sieci ;)

Twoja prywatność i poufność twoich rozmów nie zależy tylko od Ciebie. Nawet jeśli służbom nie uda się odczytać informacji z Twojego świetnie zabezpieczonego i zaszyfrowanego sprzętu, często będą w stanie pozyskać je od osoby z którą rozmawiałeś. Jeśli nie ufasz zdolnościom technicznym w zakresie bezpieczeństwa IT swojego rozmówcy, patrz punkt 1. Jasno zakomunikuj swoim znajomym, że nie życzysz sobie robienia zdjęć i wrzucania ich na FB, tagowania i twojej osoby na ich zdjęciach i checkinach. Znacznie ułatwisz znajomym to zadanie, całkowicie kasując swój profil na Facebooku. No cóż, paranoja wymaga poświęceń — zdjęcia śmiesznych kotków zawsze możesz obejrzeć w innym miejscu sieci ;) 5. NIGDY nie rozmawiaj z policją bez adwokata

Z każdej rozmowy sporządzana jest notatka lub protokół. Jedna wypowiedź “po myśli” osób, które Cię przesłuchują oznaczać będzie kolejne pytania i twoje reakcje, których — choćbyś teraz chciał — to nie przewidzisz. Nie wierz w to, że swoją elokwencją dasz radę wybrnąć w rozmowie z osobą, która zawodowo zajmuje się przesłuchaniami. Milczeć i “nie pamiętać” możesz zawsze (a jako podejrzany, także kłamać). Telefon do adwokata też Ci przysługuje, dlatego zawczasu zapamiętaj jego numer, bo zapisany w telefonie będzie dla Ciebie nieosiągalny (zgadnij co się stanie, jeśli odblokujesz telefon po zatrzymaniu).

Jak ustrzec się przed inwigilacją w internecie?

Brutalna prawda jest taka, że najlepszym zaleceniem technicznym dla osób obawiających się inwigilacji w dzisiejszym świecie będzie całkowite zaprzestanie korzystania z internetu i telefonu, pozostanie w swoim schronie i na wszelki wypadek założenie czapeczki z folii aluminiowej na głowę… Jeśli jednak czytasz ten artykuł, to zapewne tego typu rozwiązanie nie wchodzi w grę. Dlatego poniżej przedstawiamy zbiór kilku porad, które minimalizują (a nie eliminują!) ryzyko inwigilacji.

Jak ustrzec się przed inwigilacją w “realu”?

Odchodzisz od komputera i wybierasz się na spotkanie? Dziś służby nie potrzebują czarnego vana, aby za Tobą podążać. Ich największym przyjacielem jest obecnie Twój smartphone…

Dlatego jeśli chcesz odbyć spotkanie, o którym nikt (poza spotykanym) ma nie wiedzieć, zastosuj się do poniższych rad:

1. Zostaw smartphona w domu, ale NIE WYŁĄCZAJ go.

Pozostawienie telefonu w domu nie zdradzi Twojej pozycji. Co do drugiej części porady — zastanów się, jak często wyłączałeś swój telefon na przestrzeni ostatnich 5 lat. No właśnie… Pamiętaj, że wszelkie anomalie w standardowym zachowaniu budzą podejrzenia. Aha, nie zapomnij zostawić w domu także innych “inteligentnych” gadżetów, które mogą wysyłać fale radiowe w okolicę — fitopasek i smartwatchy.

Pozostawienie telefonu w domu nie zdradzi Twojej pozycji. Co do drugiej części porady — zastanów się, jak często wyłączałeś swój telefon na przestrzeni ostatnich 5 lat. No właśnie… Pamiętaj, że wszelkie anomalie w standardowym zachowaniu budzą podejrzenia. Aha, nie zapomnij zostawić w domu także innych “inteligentnych” gadżetów, które mogą wysyłać fale radiowe w okolicę — fitopasek i smartwatchy. 2. Nie korzystaj ze swojego samochodu (ani taksówki).

Być może tego nie zauważyłeś, ale w dzisiejszych czasach nie da się wyjechać z miasta (czy też poruszać się po nim) nie mijając przydrożnych kamer które potrafią odczytywać numery rejestracyjne samochodów (część robi taże zdjęcia kierowców). Na miejsce spotkania najlepiej dotrzeć pieszo (i po zmroku).

Być może tego nie zauważyłeś, ale w dzisiejszych czasach nie da się wyjechać z miasta (czy też poruszać się po nim) nie mijając przydrożnych kamer które potrafią odczytywać numery rejestracyjne samochodów (część robi taże zdjęcia kierowców). Na miejsce spotkania najlepiej dotrzeć pieszo (i po zmroku). 3. Odgrzeb stare ubrania.

Mężczyzno, nie musisz się od razu przebierać za kobietę (kobieto — za mężczyznę), ale warto zmienić wygląd — kamery miejskiego monitoringu i te zamontowane na jeżdżących po mieście autobusach pozwalają całkiem nieźle odtworzyć każdy Twój krok. Pamiętasz sprawę zaginionej w Poznaniu Ewy Tylman? Mieszkańcy Krakowa mają najłatwiej — nikogo nie dziwi, że chodzą po mieście w maskach (antysmogowych).

Mężczyzno, nie musisz się od razu przebierać za kobietę (kobieto — za mężczyznę), ale warto zmienić wygląd — kamery miejskiego monitoringu i te zamontowane na jeżdżących po mieście autobusach pozwalają całkiem nieźle odtworzyć każdy Twój krok. Pamiętasz sprawę zaginionej w Poznaniu Ewy Tylman? Mieszkańcy Krakowa mają najłatwiej — nikogo nie dziwi, że chodzą po mieście w maskach (antysmogowych). 4. Nie korzystaj z karty płatniczej .

Ale zanim wybierzesz gotówkę z bankomatu, pamiętaj, że bankomaty mają kamery, a numery banknotów znajdujących się w bankomacie mogły zostać zinwentaryzowane, a więc wypłacona gotówka może być bezpośrednio powiązana z kartą płatniczą, która dokonała transakcji. Gotówkę z bankomatu na wszelki wypadek wymienić w przydrożnym kiosku, kupując dropsy.

. Ale zanim wybierzesz gotówkę z bankomatu, pamiętaj, że bankomaty mają kamery, a numery banknotów znajdujących się w bankomacie mogły zostać zinwentaryzowane, a więc wypłacona gotówka może być bezpośrednio powiązana z kartą płatniczą, która dokonała transakcji. Gotówkę z bankomatu na wszelki wypadek wymienić w przydrożnym kiosku, kupując dropsy. 5. Prepaid? Tak, ale z głową.

Jeśli już potrzebujesz “anonimowego” telefonu, kartę prepaidową i aparat kup na giełdzie za gotówkę i traktuj jako skażone, czyli NIGDY nie wkładaj do anonimowego telefonu jakiejkolwiek karty, którą wykorzystywałeś w innym swoim telefonie. NIGDY też nie przekładaj “prepaidowej” karty SIM do swojego prawdziwego telefonu — traktuj ją jako skażoną. Telefony identyfikowane są poprzez unikatowe numery IMEI a karty SIM poprzez unikatowe numery IMSI. Pary identyfikatorów IMSI i IMEI są przechowywane przez operatorów i pozwalają “powiązać” urządzenia ze sobą. Korzystając z “anonimowego telefonu” pamiętaj, że: — noszenie go włączonego przy sobie, kiedy masz ze sobą także swój prawdziwy telefon spowoduje, że oba numery będą widziane na tych samych BTS-ach w tym samym czasie. To może pomóc służbom w powiązaniu Twojego alter-ego z Twoją prawdziwą tożsamością. BTS-y mają logi, a do ich analizy służby wykorzystują specjalne oprogramowanie. — trzymanie telefonu jako wyłączonego i włączanie tylko w celu kontaktów z jedną osobą, też nie jest najlepszym pomysłem. Prawie nikt normalny tak nie używa telefonu (aktywność raz na jakiś czas i kontakt tylko z jednym numerem). Taka anomalia też jest wychwytywana przez odpowiednie oprogramowanie w którego posiadaniu są służby i od razu wzbudza podejrzenie. Jeśli chcesz poczytać o tym z jak można podsłuchać i przejąć kontrolę nad smartphonem, polecamy artykuł pt. 3 sposoby na podsłuch telefonu

Na koniec prosimy, abyś zdał sobie sprawę, że artykuł nie wyczerpuje wszystkich możliwości inwigilacji w internecie (i świecie rzeczywistym), a zgodnie ze sztuką, każde wdrażane zabezpieczenie należy odpowiednio dostosować do posiadanej infrastruktury i otoczenia oraz wiedzy użytkownika.

Jeśli jesteś managerem lub członkiem zarządu i chcesz się upewnić, że poufne spotkania firmowe oraz negocjacje z kontrahentami, które odbywasz są rzeczywiście zabezpieczone przed podsłuchaniem przez innych — i chcesz się upewnić, że poufne spotkania firmowe oraz negocjacje z kontrahentami, które odbywasz są rzeczywiście zabezpieczone przed podsłuchaniem przez innych — zapraszamy do kontaktu . Sprawdzimy, czy do Twojej firmy nie da się włamać z zewnątrz oraz jak na ataki komputerowe odporni są Twoi pracownicy. Doradzimy też jak bezpiecznie komunikować się wewnątrz firmy i z kontrahentami, nie tracąc na sprawności działania. W większości przypadków, znaczne podniesienie bezpieczeństwa firmowej sieci można osiągnąć bez inwestycji dodatkowych pieniędzy w infrastrukturę, a jedynie poprzez odpowiednią rekonfigurację już wykorzystywanych urządzeń i oprogramowania.

PS. Dowiedziałeś się z tego artykułu czegoś nowego? To zachęcamy do dzielenia się niniejszym artykułem ze znajomymi i uzupełnianiem porad w komentarzach. Pamiętaj, że ich niewiedza może być gwoździem do Twojej prywatności w sieci :)

Przeczytaj także: