通过

Prywatność – jest czy jej nie ma?

  • 项目

Czytałem ostatnio na kilku różnych blogach i serwisach ciekawe informacje o naszej konkurencji, które były bezpośrednio lub pośrednio związane z prywatnością.

A że w ostatni weekend przy okazji spotkania z ciekawą grupą osób też pojawiły się kwestie prywatności, ale tym razem ze strony Microsoft – to postanowiłem że napiszę kilka słów na ten temat.

Prywatność to chyba słowo, które ostatnio (pewnie ostatnie 3-5 lat) straciło na wartości. My sami coraz więcej informacji publikujemy o sobie w sieci, czasami udostępniamy je dużej grupie ludzi. Z drugiej strony każdy z nas chciałby jednak mieć prawo do prywatności.

Google i prywatność w ich oczach

Tu tak naprawdę zaciekawiły mnie trzy informacje:

  • o tym jak Mozilla zachęca do korzystania z Binga zamiast Google (właśnie ze względu na ochronę prywatności)
  • o tym, że Google uruchomił publiczne DNSy
  • o ciekawym narzędziu do odzyskiwania haseł z Google

1. Mozilla mówi: wybierz Binga zamiast Google

Pierwsza informacja mówiła o tym, jak to Asa Dotzler (community coordinator for Mozilla projects), zachęcał na swoim blogu do wybrania wyszukiwarki Bing zamiast Google.

Chodziło głównie o wypowiedź Erica Schmidta (Google CEO), który powiedział, że jeśli ktoś ma coś do ukrycia to po prostu nie powinien tego robić .

If you have something that you do not want anyone to know, maybe you shouldn’t be doing it in the first place?

To chyba pokazuje, że Google prywatność traktuje jako coś przestarzałego co chyba nie ma już racji bytu.

2. Publiczne DNSy Google’a

Po tym jak Google ogłosił, że uruchamia publiczne DNSy, z których skorzystać może każdy za darmo już zaświeciło mi się światełko w głowie.

Owszem jest to wygodne jak czasem nie pamiętamy adresów DNSów podać wtedy banalne do zapamiętania 8.8.8.8 i 8.8.4.4. I może do szybkich testów to jest OK, ale używanie ich jako swoich głównych DNSów na stałe to już chyba nie do końca dobry pomysł.

Bardzo dobrze opisali to chłopaki z Niebezpiecznik.pl, bardzo polecam przeczytać. A w dużym skrócie, jeśli skorzystacie z tych DNSów to Google dostaje od Was informacje:

  • na jakie strony wchodzisz z pominięciem wyszukiwarki
  • jak wyglądają odwiedziny stron bez Google Analytics
  • z jakiego oprogramowania korzystasz
  • czy jesteś zainfekowany malware’m

Już pomijam kwestię tego, że Google pisze o tym, że te DNSy “przyspieszą nam internet”. I o ile może ma to rację bytu w USA to w Polsce to już kiepski argument, bo te DNSy prawie na pewno będą dużo wolniejsze niż dowolne z Polski. Wiecie dlaczego tak myślę?

3. Narzędzia do odzyskiwania haseł Google

Jakiś czas temu pojawiło się nieoficjalne narzędzie do odzyskiwania haseł do usług Google o nazwie GooglePasswordDecryptor.

Program generalnie korzysta z tego, że różne programy od Google przechowują zapamiętane hasła lokalnie na komputerze zaszyfrowane w dosyć prosty sposób. Program ten pozwala odszyfrować te hasła dla zalogowanego użytkownika.

Oczywiście użytkownik musi uruchomić ten program, ale pewnie można się spodziewać, że taki soft trafi w końcu do trojanów, które w prosty sposób mogą wyciągnąć informacje o kontach w aplikacjach Google.

To jeden z komentarzy jakie wyłapałem w sieci na ten temat:

Rany, tego się nie spodziewałem, że Google używa PStore do przechowywania haseł. Przecież to jest zamach na bezpieczeństwo użytkowników. Większość obecnie krążących trojanów w internecie ma moduł odczytywania haseł zapisanych w PStore.

A co u nas w tym zakresie?

Powiem Wam, że u nas chyba trochę w drugą stronę przesadzamy. Choć to wszystko oczywiście dla dobra Klienta (mimo, że nam pracownikom MS nie zawsze jest wygodniej).

Po pierwsze niedawny audyt wykazał na przykład, że mam na dysku m.in. pliki Excela z danymi o prelegentach MTS 2009. Były tam informacje oczywiście o prelegencie (imię i nazwisko, firma) plus informacje kontaktowe do niego (mail + telefon). Wszystkie te dane dostałem bezpośrednio od prelegentów i to moja baza, z którą musiałem mieć do czynienia żeby przygotować MTS. Teraz po audycie plik mam skasować i nie używać więcej tego typu rzeczy w przyszłości.

Po drugie już od jakiegoś czasu nie mogę, korzystając z konta mailowego Microsoft, wysyłać maili do dużej grupy osób umieszczając te osoby w polu BCC. Powinienem wysyłać maile bezpośrednio do każdej osoby.

Po trzecie nie mogliśmy też z powodów ochrony prywatności przeprowadzić pewnego mini-konkursu na WSS.pl – taka była opinia prawników i nie mogliśmy jej przeskoczyć, mimo, że na pierwszy rzut oka nic strasznego byśmy nie ujawnili.

Po czwarte od pewnego czasu dyski naszych laptopów oraz wszystkie pamięci przenośne muszą być zaszyfrowane BitLockerem. Ma to w pełni chronić nawet te podstawowe informacje o naszych Klientach na naszych nośnikach. Ostatnio kilka osób pewnie to widziało jak odszyfrowywałem mojego pendrive’a na ich komputerach.

Jest jak widzicie ileś konkretnych przykładów gdzie ja osobiście widzę BARDZO duże przykładanie wagi do prywatności naszych Klientów i użytkowników naszego oprogramowania. Czasami jest to nawet aż “za bardzo”.

Ale też dzięki temu mniej boję się o moje dane przechowywane na serwerach Microsoft (nawet gdybym kiedyś przestał pracować w Microsoft) niż na serwerach Google. Swoją drogą może między świętami znajdę wreszcie chwilę czasu na migracje prywatnej skrzynki z GMaila na Exchange Online.

Comments

  • Anonymous
    January 01, 2003
    @Zygmunt: Aż rzucę okiem do naszych polis, bo 2 osoby mi o tym wspomniały ostatnio, ale nie wiem dlaczego nie powinno się tego robić. @Adam: Z Bingiem niestety mam podobne odczucia jak Ty. Produkt jest naprawdę super, ale póki co jeszcze nie na nasz region. W USA sprawdza się rewelacyjnie (+ jak przeszukujesz po angielsku światowe zasoby), ale dla Polski wyniki bywają różne - od naprawdę dobrych do tych kiepskich. Dlatego też PÓKI CO używam obu wyszukiwarek. Z DNSami to nie tyle kwestia tego co jest w policy a tego co faktycznie przechodzi przez serwery DNS, czyli te wszystkie informacje które były wymienione. O ile Microsoft też kiedyś był podejrzewany (i nadal jest przez mniej świadomych użytkowników), że na pewno czyta i skanuje to wszystko co Windows robi i wysyła te informacje do Redmond - to można sobie sprawdzić co faktycznie jest wysyłane przy okazji zgłaszania błędów czy innych tego typu rzeczy.

  • Anonymous
    December 17, 2009
    @wysyłać maili do dużej grupy osób umieszczając te osoby w polu BCC. A to ciekawe, dlaczego? Czy to łamie prywatność? Mnie zadziwia, jak czasem potrafię jeszcze dostać maila od kogoś, gdzie wszyscy są na liście To: Ale, żeby bcc? Co do ochrony danych osob., to "śmieszne" jest, gdy ktoś krzyczy np. że nie może być listy lokatorów na klatce w bloku (jak to drzewniej bywało), a równocześnie umieszcze np. w naszej klasie, zdjęcia, nr telefonów itp. :)

  • Anonymous
    December 17, 2009
    Dziwnym zbiegiem okolicznosci udostepnienie publicznego DNSa przez googla mnie tez porazilo, a wypowiedz Erica Schmidta byla przyslowiowa kropla, ktora przelala czare i przelaczylem sie na binga. Niestety bing czestokroc nie produkuje dla mnie tak trafnych rezultatow jak google i czasami wciaz jeszcze sie przelaczam na google jezeli nie potrafie odnalezc odopowiedzi wsrod kilku pierwszych rezulatatow. Natomiast jezeli chodzi o implikacje uzywania DNSu google, ktore przytoczyles, to chyba sa dosc monco przesadzone. W privacy policy odnosnie tej uslugi nic nie wskazuje na to, zeby te informacje byly gromadzone. Przynajmniej ja takie odnioslem wrazenie.

  • Anonymous
    December 22, 2009
    Co do czytania wszystkiego co robi Windows... Niewyobrażalne. Pamiętam, jak była mowa o przetwarzaniu wyników zbieranych (świadomie od użytkowników, którzy wyrazili na to zgodę) od ludzi wykorzystujących Office'a, by móc w efekcie między innymi stworzyć wstążkę. A to tylko jednak działka!!! I tak z większości trzeba było zrezygnować, bo nie dałoby się w rozsądnym czasie tego przetworzyć i przeanalizować... :)

  • Anonymous
    December 24, 2009
    Mariusz, też nie jestem jakimś wielkim fanem Google i to co zaczynają robić z swojimi usługami powoli przestaje mi się podobać. Jednak twoje porównanie jest IMHO mocno nie trafione. W pierwszej części postu opisujesz publiczne usługi Google a potem opisujesz jak działają wewnętrzne mechanizmy u was w firmie. Wszystko byłoby fajnie gdybyś pracował w Google a potem w Microsoft i wtedy powiedział:

  • a bo w Google wszystkie dane klientów konferencji mamy w xls a w MS wszystko ma być przetrzymywane w specjalnym systemie
  • w Google wszystko przetrzymywaliśmy na niezabezpieczonych pendrive i notebookach a w MS mamy wdrożonego Bitlockera. Jeśli masz zamiar z prywatną skrzynką migrować na Exchange Online i jeśli jest to ta sam usługa co ExchangeLabs to polecam się porządnie zastanowić :/