Prawa i przepisy regulujące bezpieczeństwo cybernetyczne

Zagrożenia te, a raczej ryzyka, bardzo często dotyczą pozostawiania śladów cyfrowych w cyberprzestrzeni. Ślady cyfrowe, w zależności od tego, czy użytkownik może na nie wpływać, czy nie, można ogólnie podzielić na ślady, na które można wpływać, i ślady, na które nie można wpływać.

Dzielenie ścieżek cyfrowych: 

·       Ślad cyfrowy pozostaje nienaruszony

-       informacje z systemu komputerowego;

-       połączenie z sieciami komputerowymi, zwłaszcza z Internetem;

-       wykorzystanie świadczonych usług itp.

·       Cyfrowy ślad ma wpływ na

-       świadome korzystanie z usług;

-       dobrowolne ujawnianie informacji

·      blogi, fora

·      sieci społecznościowe,

·      e-mail,

·      magazyny danych,

·      usługi w chmurze itp.

W dalszej części artykułu omówię niektóre aspekty poszczególnych śladów cyfrowych i zawartych w nich informacji. Celem jest zwrócenie uwagi użytkownika na to, że jego działania w środowisku TIK nie są tak anonimowe, jak mogłoby się wydawać.

W świecie technologii informacyjno-komunikacyjnych obowiązuje jedna zasada: gdy cokolwiek przesyłasz, transmitujesz, pośredniczysz, umieszczasz w cyberprzestrzeni, pozostaje tam "na zawsze". Zawsze będzie istniała kopia (utworzona dzięki funkcjonalności systemu komputerowego lub przechowywana przez innego użytkownika) danych użytkownika. Nawet jeśli użytkownik usunie te dane, nie dojdzie do ich faktycznego, trwałego i nieodwracalnego usunięcia. Dlatego warto zwracać uwagę na swój cyfrowy ślad oraz informacje i dane, które pozostawiamy w cyberprzestrzeni.

8.1.1 Ślad cyfrowy pozostaje nienaruszony

Ślady nieinfluencyjne są najczęściej tworzone przez interakcję jednego systemu komputerowego z innym systemem komputerowym lub przez funkcjonalność systemu komputerowego (i związanego z nim oprogramowania). Przykłady takich śladów obejmują informacje z systemu operacyjnego (np. komunikaty o błędach systemu Windows lub informacje systemowe) lub inne informacje i dane, które są przechowywane w oparciu o funkcjonalność systemu bez konieczności ich przesyłania (np. system komputerowy nigdy nie był podłączony do żadnej sieci lub innego systemu komputerowego).[1] Nie do końca słuszne byłoby bezkompromisowe stwierdzenie, że na te ślady nie można wpływać. Jeżeli użytkownik posiada wystarczające umiejętności, może zmodyfikować, zamaskować lub zlikwidować wiele "nieinfiltrowanych" śladów cyfrowych (np. po prostu używając trybu anonimowego w przeglądarce internetowej w celu wyłączenia plików cookie). Jednak ruch użytkownika w Internecie może być śledzony na różne sposoby.

Adres IP

Podłączenie systemu komputerowego do Internetu jest typowym przykładem stosunkowo nieuciążliwego śladu. Adres IP lub adres MAC, który jest przekazywany wraz z innymi informacjami do dostawcy usług internetowych. Adres IP nie jest domyślnie anonimowy i jest używany przez system komputerowy jako jeden z jego identyfikatorów podczas komunikacji z innymi systemami komputerowymi. Adresy IP są przydzielane hierarchicznie, przy czym dominującą rolę odgrywa ICANN, która podzieliła świat rzeczywisty na regiony zarządzane przez Regionalne Rejestry Internetowe (RIR). Rejestratorzy ci otrzymali od ICANN zakres adresów IP, które przydzielają adresom LIR w swoim regionie. Rejestratorzy regionalni są podzieleni na pięć następujących jednostek terytorialnych

1.     Obszar "euroazjatycki" - RIPE NCC: https://www.ripe.net/

2.     Region "Azja i Pacyfik" - APNIC: https://www.apnic.net/

3.     Region "Ameryka Północna" - ARIN: https://www.arin.net/

4.     Region "Ameryka Południowa" - LACNIC: http://www.lacnic.net/

5.     Region "afrykański" - AFRINIC: http://www.afrinic.net/

Rysunek - Światowy podział między RIR

Regionalni rejestratorzy witryny[2] prowadzą na swoich stronach internetowych usługę Whois, która jest nazwą bazy danych zawierającej informacje o posiadaczach adresów IP. Te bazy danych zawierają szereg informacji, które można wykorzystać do zidentyfikowania np. zakresu używanych publicznych adresów IP, danych kontaktowych, kontaktu w sprawie nadużyć[3] , hierarchicznego macierzystego dostawcy usług internetowych itp. Często możliwe jest wykorzystanie tych ogólnodostępnych baz danych w celu zidentyfikowania "właściciela" (operatora, dostawcy) danego adresu IP. [4]

Rejestratorzy regionalni następnie rozdzielają przydzielone zakresy IP między lokalnych rejestratorów internetowych (LIR). Lokalnym rejestratorem jest zazwyczaj dostawca usług internetowych (w Republice Czeskiej jest to dostawca usług społeczeństwa informacyjnego, a konkretnie dostawca łącza, publiczny lub niepubliczny). Rejestrator ten może następnie udostępnić swój zakres adresów IP na przykład części swojej organizacji lub innym podmiotom.

Rysunek - Wyodrębnianie informacji z bazy danych RIR

Skrócony wybór z bazy danych RIR wskazuje LIR (w tym przypadku stowarzyszenie CESNET, z. s. p. o., korzystające z zakresu adresów IP: 195.113.0.0/16) oraz organizację, której CESNET przydzielił część adresów publicznych [Akademia Policyjna Republiki Czeskiej z zakresem adresów IP 195.113.149.160 - 195.113.149.175. Akademia Policyjna może następnie ponownie rozdzielić te adresy między inne części organizacji (np. wydziały, laboratoria lub inne zarządzane przez nią podsieci)]. Na podstawie adresu IP i dokładnego czasu można zidentyfikować konkretny system komputerowy w oparciu o hierarchiczny przydział adresów. Informacje o połączeniu końcowego systemu komputerowego (źródłowego) z docelowym systemem komputerowym (np. podłączenie komputera do Internetu i wyświetlenie żądanej strony WWW) są przechowywane przez każdego dostawcę usług internetowych na całej trasie między źródłem a miejscem docelowym.

Dzięki ścisłym zasadom określającym zarządzanie adresami IP oraz publicznie dostępnym bazom danych RIR zawierającym informacje o posiadaczach poszczególnych bloków adresowych można szybko ustalić, do jakiej sieci należy dany adres IP i kto jest jego operatorem. Operator danej sieci może ustalić, kto (lub jaki system komputerowy) korzystał z danego adresu IP w określonym czasie, rejestrując informacje o ruchu sieciowym. Identyfikacja ta stanowi bardzo ważne źródło informacji podczas postępowania z incydentami bezpieczeństwa (cyberatakami) oraz podczas poszukiwania ich źródła (inicjatora).

e-mail

Poczta elektroniczna jako jedna z najczęściej używanych usług w środowisku internetowym, z pewnością nie jest usługą anonimową. Wiadomość wysyłana ze źródła do miejsca docelowego (odbiorcy) zazwyczaj zawiera różne informacje, które pozwalają zidentyfikować zarówno dostawcę usługi (poczty elektronicznej), jak i dostawcę połączenia z urządzeniem, z którego wysłano wiadomość. Informacje te nie są wyświetlane w treści wiadomości (tj. w tekście wysyłanym do konkretnej osoby), lecz w kodzie źródłowym (nagłówku) wiadomości. Z tego kodu źródłowego można dowiedzieć się na przykład o ścieżce przez serwery, faktycznym nadawcy, nazwie komputera źródłowego, nazwie komputera, czasie wysłania wiadomości (wraz ze strefą czasową), używanym systemie operacyjnym, kliencie poczty itp. Poniżej znajduje się przykład nagłówka przesłanej dalej wiadomości[5] z potencjalnie interesującymi informacjami, które zostały wyróżnione.

Obraz - wyświetlanie informacji z nagłówka wiadomości e-mail

Przeglądarka internetowa

Przeglądarka internetowa to kolejna aplikacja, która domyślnie przekazuje informacje o użytkowniku i jego systemie komputerowym do systemu komputerowego (serwera) odwiedzanej witryny. Serwer ten następnie, w ramach zapytania od klienta, ustala np. referrer (czyli stronę, z której przyszedł użytkownik), używaną przeglądarkę internetową i system operacyjny (w tym dokładną wersję), pliki cookie, pliki flash cookie, historię, pamięć podręczną itp.

Oprócz adresu IP, to właśnie między innymi pliki cookie[6] pomagają stworzyć "odcisk palca" systemu komputerowego użytkownika (komputera, smartfona itp.). Ten odcisk palca umożliwia identyfikację konkretnego systemu komputerowego[7] , nawet jeśli użytkownik korzysta z innej przeglądarki internetowej, usuwa pliki cookie, loguje się z innego adresu IP itp.

Jedną z wielu obecnie stosowanych metod "fingerprintingu" jest canvas fingerprinting.[8] Canvas fingerprinting działa poprzez instruowanie przeglądarki internetowej użytkownika, aby "narysowała ukryty obraz", gdy odwiedzany jest serwer WWW. Ten obraz jest unikatowy dla danej przeglądarki internetowej i systemu komputerowego.  Narysowany obraz jest następnie przekształcany w kod identyfikacyjny, który jest przechowywany na serwerze internetowym na wypadek, gdyby użytkownik odwiedził go ponownie. [9]

Obraz - demonstracja odcisków palców

Oprócz fingerprintingu interesujące jest również śledzenie przekazywania informacji stronom trzecim (zarówno podmiotom, jak i usługom, które mogą wykorzystywać informacje o użytkowniku). Przekazywanie danych odbywa się zazwyczaj na podstawie warunków umowy z dostawcą usług internetowych. Na przykład każdy użytkownik końcowy może korzystać z aplikacji Light Beam[10] , która wyświetla wszystkie strony, z którymi użytkownik (często nieświadomie) wchodzi w interakcje w sieci (przekazywanie danych osobom trzecim). Przekazywanie informacji o użytkownikach osobom trzecim z pewnością nie jest czymś wyjątkowym; wręcz przeciwnie, w świecie cyfrowym jest to zjawisko powszechne i stanowi "warunek konieczny" funkcjonowania wielu dostawców usług internetowych.

1.     Na pierwszym slajdzie przedstawiono działalność Firefoksa od 30 lipca 2016 r. do 4 sierpnia 2016 r. W tym czasie odwiedzono 154 strony i nawiązano połączenia z 390 witrynami osób trzecich.

2.     Drugi printscreen przedstawia tę samą mapę, ale odfiltrowuje witryny innych firm, które są przedstawione w postaci trójkątów.

3.     Ostatni printscreen przedstawia aplikację LightBeam po oczyszczeniu i wyświetleniu następujących stron: www.seznam.cz; www.google.com;

Inne zastosowania

W dalszej części tekstu skupię się częściowo na urządzeniach inteligentnych (smartfonach, tabletach itp.) oraz aplikacjach związanych z faktyczną działalnością "urządzeń inteligentnych". Celowo wybrałem te urządzenia, ponieważ są to systemy komputerowe, na których użytkownicy instalują prawdopodobnie największą liczbę programów (bardzo często niezweryfikowanych, jedynie polecanych przez "znajomego"). To właśnie te urządzenia, które - między innymi ze względu na warunki umowne - mogą nie znajdować się pod pełną kontrolą użytkownika, administratora itp. stanowią zagrożenie bezpieczeństwa zarówno dla użytkownika końcowego, jak i dla firmy (organizacji).

Według wspomnianego wcześniej badania statystycznego[11] , w Internecie spędzamy średnio: 4,4 godziny. (dostęp przez komputer stacjonarny lub laptop itp.) oraz 2,7 godziny (dostęp przez urządzenie mobilne) dziennie. W przypadku komputera bezpieczeństwo urządzenia jest na ogół zapewnione, ale urządzenia przenośne (smartfon, tablet itp.) nie mają zazwyczaj ustalonych zasad dotyczących ewentualnej instalacji oprogramowania (z zaufanych lub niezaufanych źródeł) i często nie mają nawet podstawowej ochrony w postaci oprogramowania antywirusowego.[12]

To przede wszystkim użytkownik końcowy ma możliwość zainstalowania na urządzeniu z systemem Android oprogramowania, które będzie przesyłało (do innych podmiotów) i przechowywało informacje o jego działaniach, w tym przechowywało i przesyłało treść przesyłanych informacji. Usługa Sklep Play udostępniana przez firmę Google w ramach systemu operacyjnego Android pozwala każdemu programiście ustalić zasady dotyczące na przykład tego, co aplikacja ma zbierać i gdzie wysyłać dane.

Osobiście uważam, że nie jest błędem umożliwienie programistom i twórcom aplikacji uzyskania wystarczających informacji o ich aplikacjach, ich funkcjonalności itp. Jeśli uregulujemy gromadzenie tych informacji, to niewątpliwie uregulujemy i utrudnimy ewentualny postęp i dalszy rozwój tych i innych aplikacji. Z drugiej jednak strony istnieją atakujący, którzy - ponieważ Sklep Play nie uwierzytelnia i nie weryfikuje aplikacji - mogą oferować aplikacje zainfekowane złośliwym oprogramowaniem, które po zainstalowaniu w systemie komputerowym użytkownika końcowego mogą na przykład przejąć kontrolę nad jego smartfonem.

Określanie systemu komputerowego na podstawie informacji o jego składnikach

Jednym z unikalnych, ale zmiennych w pewnych okolicznościach, identyfikatorów systemu komputerowego jest adres MAC, który jest ściśle związany z kartą sieciową systemu komputerowego. Karta sieciowa nie jest jednak jedynym elementem sprzętowym, który jest w stanie przesłać niepowtarzalny identyfikator systemu komputerowego do innego systemu komputerowego.

Naukowcy z Uniwersytetu Princeton odkryli, że system komputerowy można zidentyfikować na przykład na podstawie informacji o jego baterii, a przeglądarki internetowe są istotnym elementem przekazywania tych informacji. [13]

W praktyce stosuje się proces, który wykorzystuje możliwości języka HTML5. Standard ten obejmuje funkcję, która pozwala stronie internetowej (lub serwerowi WWW) określić stan baterii systemu komputerowego uzyskującego do niej dostęp (przekazywane są informacje o tym, ile baterii pozostało, jak długo potrwa rozładowanie lub naładowanie). W założeniu właścicieli serwerów WWW użytkownik, którego bateria jest na wyczerpaniu, będzie miał możliwość obejrzenia strony w wersji oszczędzającej energię. Dwa skrypty opisane przez badaczy z Uniwersytetu Princeton wykorzystują już dane dotyczące baterii, zbierając jednocześnie inne informacje - takie jak adres IP czy odciski palców. Takie kombinacje mogą już zapewnić bardzo dokładną identyfikację systemu komputerowego.[14]

8.1.2 Ślad cyfrowy, na który można wpływać

Ślad cyfrowy influencera to wszelkie informacje, które użytkownik dobrowolnie przekazuje innej osobie (fizycznej lub prawnej, a nawet np. dostawcy usług internetowych). Pod pojęciem przekazania należy rozumieć szereg czynności, które mogą polegać np. na wysłaniu wiadomości e-mail, umieszczeniu wpisu w dyskusji, na forum, opublikowaniu dowolnego materiału (zdjęcia, wideo, audio itp.) w sieciach społecznościowych itp. Obejmuje również rejestrację i korzystanie ze wszystkich możliwych usług w cyberprzestrzeni [np. systemów operacyjnych, poczty elektronicznej (w tym bezpłatnej), serwisów społecznościowych, serwisów randkowych, sieci P2P, czatów, blogów, BBS-ów, stron internetowych, usług w chmurze, przechowywania danych itp.]

Ślady cyfrowe, na które można wpływać, to ślady, nad którymi użytkownik może mieć względną kontrolę i to od niego zależy, jakie informacje o sobie zechce udostępnić innym. Należy jednak pamiętać o przedstawionej już przesłance: wszelkie dane lub informacje wprowadzone do cyberprzestrzeni pozostaną w niej.

Teoretycznie można by zdefiniować kategorię śladów hipotetycznie wpływalnych, co jest w pewnym sensie oksymoronem, jednak kategoria ta obejmuje pewne fakty, na które użytkownik teoretycznie może wpływać, tzn. jest w stanie wpływać, ale zazwyczaj tego nie robi, gdyż de facto znacznie ograniczyłoby to możliwości jego funkcjonowania w świecie cyfrowym. Ślady te mogą obejmować np. korzystanie z usług największych dostawców usług internetowych (Microsoft, Apple, Google, Facebook itp.), w przypadku których korzystanie z usług jest uzależnione od uzgodnienia warunków umownych (EULA), które pozwalają tym dostawcom uzyskać znaczną ilość informacji. Ponadto ślady te mogą obejmować ślady utworzone na przykład w wyniku korelacji śladów nieinfluencyjnych i wpływowych; informacje publikowane na nasz temat przez innych użytkowników; dane, które są odzwierciedlane; dane EXIF[15]