Transcription

Cześć! Za każdym razem, kiedy poruszam jakiś temat związany z potrzebą dbania o swoją prywatność w sieci, to znajdzie się ktoś, kto w komentarzach mówi, że jego to nie dotyczy, no bo przecież nie ma nic do ukrycia. Albo informacje o nim na pewno nie są przecież wiele warte, więc wcale nie warto o nie dbać. Ale czy na pewno? A może da się je jednak tak zwyczajnie wycenić w przeliczeniu na dolary? Czy sukcesy czynionych przez Facebooka inwestycji są po prostu połączeniem szczęścia oraz doskonałego nosa do biznesu, czy może jednak stoi za nimi coś więcej? I co w ogóle z tym wszystkim mają wspólnego bakłażany i bloskwinie wysyłane przez Snapchata? Zapraszam! W połowie zeszłego, 2023 roku złożono przeciwkomecie pozew zbiorowy. Jego treść była jednak owiana tajemnicą. Na szczęście tajemnice mają to do siebie, że wraz z upływem czasu często przestają być tajemnicami. No, przynajmniej jest tak w przypadku wielu pozwów, a to nam na dziś wystarczy. Okazuje się, że w okolicach 2016 roku Facebook stanął przed poważnym problemem. Wyrastała im poważna konkurencja pod postacią zyskującego popularność w niebywałym tempie Snapchata, nad którym nie mieli żadnej kontroli. Dlaczego? Snap szyfrował całą komunikację pomiędzy aplikacją na telefonie użytkownika a jej serwerami, więc narzędzia analityczne mogły co najwyżej sprawdzać intensywność korzystania przez użytkowników sapki, a to nie było w stanie zaspokoić apetytu Facebooka na dane analityczne. Mark Zuckerberg więc osobiście w mailu do swoich współpracowników nakazał im znalezienie sposobu, aby jednak dowiedzieć się o zachowaniach użytkowników Snapa więcej. Znacznie więcej. Tylko jak dobrać się do szyfrowanego przecież ruchu? A no są na to sposoby. Jednym z nich jest atak kategorii Man in the Middle z wykorzystaniem podstawionego certyfikatu TLS. Zaglądanie w szyfrowany ruch sieciowy jest, delikatnie mówiąc, dość skomplikowane. Same metody kryptograficzne są oparte na metodach matematycznych sprawdzanych od wielu, wielu lat i nie da się ich przecież tak łatwo złamać. I najlepiej gdyby tak zostało, bo na tej zasadzie opiera się praktycznie całe nasze bezpieczeństwo w internecie. Trzeba więc znaleźć jakiś inny sposób, aby ich łamanie wcale nie było konieczne. W tym właśnie miejscu na scenę wchodzi Onavo. To izraelska firma, która swego czasu tworzyła oprogramowanie na telefony jak choćby licznik zużycia danych z podziałem na aplikacje czy też bezpłatny VPN. No i Facebook postanowił ją po prostu kupić w 2013 roku za niebegatelną kwotę 120 milionów dolarów, co było jedną z najbardziej imponujących historii jednorożców z Izraela. Zdziwi więc pewnie fakt, że szybko zaczęło się reklamowanie bezpłatnego VPNa Onavo w usługach mety, w tym głównie na Facebooku. Pojawiać zaczęły się też gdzieniegdzie nieśmiało różne ostrzeżenia, że to po prostu złośliwe oprogramowanie szpiegujące, ale to nie przeszkodziło wcale aplikacji w osiągnięciu pułapu 10 milionów instalacji. Mając więc na uwadze ich doświadczenia, to właśnie do zespołu odpowiedzialnego pierwotnie za usługi Onavo trafiło zadanie rozwiązania problemu dobrania się do danych użytkowników Snapchata. Wprost kazano im myśleć tej kwestii nieszablonowo. Tak właśnie wystartował projekt o wewnętrznej nazwie Ghostbusters i to na pewno po prostu miłość do klasyki kina, a nie nawiązanie do loga Snapa. Co więc wykombinowali? Ano jedną z propozycji było po prostu zapłacenie użytkownikom za ich dane. Po co jednak płacić za coś, co można mieć za darmo, dobierając się do tego bez czyjejś wiedzy? Rozwiązaniem miał być SSL bumping. Co do takiego? To specyficzna forma ataku kategorii man in the middle. Aby dostać się do szyfrowanych danych, proces szyfrowania przeprowadza się dwukrotnie, niejako na raty. Kiedy nawiązywane jest połączenie użytkownika aplikacji do jej serwera, to tak naprawdę powstaje nie jedno, a dwa osobne połączenia. Pierwsze od użytkownika do złośliwego, podstawionego serwera szyfrowane specjalnie z preparowanym certyfikatem. Na rzeczonym, złośliwym serwerze ruch jest odszyfrowywany, analizowany, ba, może być nawet zmieniany. Atakujący ma w tej kwestii naprawdę spore możliwości. Gdy zrobi już co miał zrobić, to szyfruje ruch na tym podstawionym serwerze prawidłowym certyfikatem pierwotnego serwera aplikacji i przesyła go w docelowe miejsce. Na pierwszy rzut ucha może i brzmi to banalnie, jednak po drodze napotyka się na pewien bardzo poważny problem. Trzeba w jakiś sprytny sposób na urządzeniu ofiary zainstalować taki spreparowany certyfikat, którym szyfrowany jest ten pierwszy etap komunikacji. Sprawę dodatkowo komplikuje jeszcze fakt, że aby nie budzić podejrzeń użytkownika choćby jakimiś komunikatami błędów, konieczne jest zainstalowanie tzw. certyfikatu nadrzędnego, czyli CA albo inaczej Root Certificate. Tylko jak namówić użytkownika ofiarę, aby to zrobił? Znamy przypadki, kiedy próbuje się to po prostu zrobić prawnie, jak choćby w Rosji, Kazachstanie czy innych przykładach światłych demokracji. Facebook na szczęście sam z siebie nie jest w stanie nikogo do tego zmusić, może jedynie zastosować swojego rodzaju fortel. Na przykład zachęcić użytkowników swojej platformy, aby zainstalowali na telefonach bezpłatnego VPNa ich autorstwa. Ale to nie jedyny sposób. Specjaliści od Onavo mieli też nawiązać współpracę z firmami prowadzącymi badania analityczne rynków, aby to pod szyldem ich znanych marek oprogramowanie mety trafiało na telefony użytkowników. No, przynajmniej nie wykorzystywali do tego reklam wyświetlanych u wszystkich influencerów tego świata, małych i dużych, więc to zawsze jakiś mały plus. Tylko po co to wszystko? Być może ktoś z Was w tym miejscu zadaje sobie bardzo słuszne pytanie. Po co tyle zachodu? Czy warto w ogóle tak kombinować oraz inwestować miliony dolarów, żeby dowiedzieć się, co robią dzieciaki korzystające ze Snapchata? Odpowiedź jest pewnie zdecydowanie prostsza niż niektórym się wydaje. No bo gdyby się nie opłacało, to by tego przecież nie robili. Celem było przecież uzyskanie przewagi nad konkurencją za wszelką cenę. Zbierając generowane przez Snapchata dane analityczne, meta wiedziała przed wszystkimi, być może nawet przed pracownikami Snapa, jak wielką popularnością cieszą się dodawane przez użytkowników platformy relacje. I dziwnym trafem niedługo później bardzo podobną funkcję wprowadził Instagram, bez której dzisiaj w sumie sobie go nie wyobrażamy. Czy to przypadek? Nie wiem, ale się domyślam. A popularność Snapchata z roku na rok tylko spada, co zresztą niekoniecznie nie odwinął mety, ale tak szybkie wejście konkurencji na zdominowany początkowo przez nich rynek, w dodatku bazując na rzetelnych danych, mogło temu trochę pomóc. Zresztą Snapchat, co pewnie nikogo nie dziwi, nie był jedynym celem. Z czasem do grona podsłuchiwanych aplikacji dołączył Amazon wraz z YouTubem. Analizując na bieżąco trendy, można nie tylko łatwiej wybierać kierunek rozwoju swoich produktów, ale też zwalczać wyrastającą szybko konkurencję, choćby po prostu kupując ją. A raz zebrane i wykorzystane dane i konsekwencje tego zostają z firmą już na zawsze. Dobrym przykładem jest tu na przykład zakup WhatsAppa przez metę za astronomiczną na ten czas kwotę 19 miliardów dolarów. Czy to właśnie dane analityczne dostarczone z wykorzystaniem Onavo pomogły podjąć ostateczną decyzję, że był to perspektywiczny zakup? Efekty tego odczuwamy do dzisiaj, bo to właśnie z usług do komunikacji od mety, czyli Messengera i WhatsAppa, korzysta dziś większość ludzi na świecie idąca w miliardy, dając im de facto monopol na kontrolę nad naszymi rozmowami. Jeżeli zastanawiacie się nad aspektami prawnymi takich działań, to nie jesteście osamotnieni. No bo amerykańskie prawo wprost zabrania takich praktyk, co chyba nikogo nie dziwi. Meta zadawała sobie najwidoczniej to samo pytanie, bo projekt od początku rozwijany był w ścisłej kooperatywie z licznym działem prawnym idącym w dziesiątki osób. Nie mogło się więc tłumaczyć, że nie wiedzieli, że przypadek i że to nie tak jak myślisz, kotku. Zwyczajnie próbowali się maksymalnie zabezpieczać na każdym etapie, żeby ewentualne konsekwencje wypłynięcia tych informacji były dla nich jak najmniej dotkliwe. O łamaniu polityki prywatności Snapchata nawet nie ma co wspominać, bo przecież żaden jego użytkownik na żadnym etapie korzystania z aplikacji nie zgadzał się na przekazywanie swoich danych mecie. W 2019 roku Facebook zrezygnował z dalszego rozwoju Onavo po oferce, której efektem było usunięcie aplikacji z Apple App Store. No bo Onavo Protect, które reklamowane było jako darmowy i bezpieczny VPN z ochroną swoich użytkowników nie miało zbyt wiele wspólnego, a było po prostu narzędziem do zbierania danych analitycznych o korzystających za jego pośrednictwem z internetu. Ale to nie był jedyny taki projekt. Facebook wrócił też do pierwotnego pomysłu na zdobywanie danych. Płacili oni użytkownikom, w tym nieletnim, aby zainstalowali na swoich urządzeniach narzędzie o nazwie Facebook Research. Było ono po prostu odmianą Onavo Protect podsłuchującą w taki sam sposób swoich użytkowników, po prostu pod przykrywką prowadzonych badań, a nie VPNa. Za udział w nich dostać można było nawet 20 dolarów miesięcznie. Jak myślicie, czy to uczciwa cena za odarcie człowieka z jakichkolwiek resztek prywatności? Dajcie znać w komentarzach, a tymczasem do brzegu. Wspomniane narzędzie występowało pod różnymi nazwami, aby nie być kojarzone z Facebookiem, a reklamowano je bardzo szeroko, celując działania marketingowe szczególnie w młodzież. W sumie nic dziwnego. Dzieciaki nie tylko wyznaczają trendy, ale też szansa, że nie pogardzą dodatkowym kieszonkowym jest większa. To jednak miejsce, w którym meta przesadziła. Wykorzystali oni mechanizmy dystrybucji oprogramowania przeznaczone dla programistów w czasie prowadzenia testów. Dlaczego? Bo tylko w ten sposób według polityki App Store można instalować własne nadrzędne certyfikaty. Nie wolno ich wykorzystywać do instalacji certyfikatów na urządzeniach końcowych użytkowników. Łamało to więc w bardzo jaskrawy sposób zasady dystrybucji oprogramowania poprzez App Store. W konsekwencji Apple wycofało certyfikacje mety w swoich usługach, tym samym efektywnie banując wszystkie ich aplikacje będące w fazie testów. Nie trwało to jednak długo, bo już następnego dnia wszystko wróciło do normy. Więc to tylko takie pogrążenie palcem. Jak to mówią, the more things change, the more they stay the same. Zresztą jeżeli sądzicie, że takie cuda to tylko w Facebooku, to mam dla Was interesującą wiadomość. Google również miało podobną aplikację o nazwie Screenwise Meter, służącą do tego samego i wykorzystującą ten sam mechanizm testów aplikacji do instalacji certyfikatów ruta na urządzeniach końcowych. Choć uczciwie przyznać trzeba, że oni przynajmniej jasno informowali użytkowników co, jak i dlaczego. Nie zmienia to jednak faktu, że AppCata też wyleciała z App Store na podstawie tych samych zasad. Skoro już o Google mowa, to czy zachowanie mety miało jakiś wpływ na Androida? Jeszcze jaki. Certyfikatów nadrzędnych od jakiegoś czasu nie da się już wgrywać wcale. No chyba, że zrutujemy swój telefon, a inne certyfikaty wgrane przez użytkownika nie są domyślnie zaufane. W dodatku metoda, którą meta wykorzystywała do instalacji, została całkowicie usunięta z systemu. Czy to bezpośrednia odpowiedź na zuchwałe działania Facebooka? Tego pewnie nigdy się nie dowiemy. Z jednej strony podnosi to bezpieczeństwo użytkowników, z drugiej jednak coraz bardziej zamyka ekosystem. Ciężko jest zjeść ciastko i mieć ciastko. Czy jednak można przeciwdziałać takim zachowaniom jak to mety z poziomu dewelopera jakiejś aplikacji? A i owszem, można stosując choćby tzw. Certificate Pinning. Co do takiego? W dużym skrócie i uproszczeniu to mechanizm zaszywania w gotowej aplikacji certyfikatów serwerów, do których będzie się ona łączyć, w przeciwieństwie do pobierania ich z serwera przy pierwszym połączeniu. Dzięki temu aplikacja z góry wie, czego ma się spodziewać, zestawiając pierwsze połączenie. Jeżeli dostanie w odpowiedzi certyfikat inny niż ma zapisany, to oznaczać może, że ktoś próbuje kontrolować przesyłany ruch sieciowy. No i zanim zapytacie, dlaczego Snapchat z tego nie skorzystał, to odpowiem – korzystał. Jednak popełnili w konfiguracji tego rozwiązania pewien drobny błąd, bo nie zastosowali pinningu w stosunku do domeny, do której przesyłali dane analityczne. A więc pinning działał w przypadku danych przesyłanych bezpośrednio pomiędzy użytkownikami, ale już nie dla metadanych wykorzystywanych do analityki. A to właśnie ich podgląd mecie w zupełności wystarczał, aby sukcesywnie przejmować władzę nad światem. Więc w sumie spokojna Wasza rozczochrana, Marek Cukierberg nie oglądał, jakie foteczki wysyłacie sobie na Snapie. Co robić i jak żyć? Setny już raz słyszysz, że ktoś daje Ci w prezencie darmowego VPNa? No, nie wiem jak Ty, ale ja bym podziękował. Nie korzystaj z darmowych VPNów. W sumie to nie korzystaj z żadnych, póki nie rozwiązują jakiegoś Twojego konkretnego problemu. Wbrew reklamom na każdym kroku, nie są one złotym środkiem na całe złotego świata i wcale nie bronią przed wszystkimi zagrożeniami. Jeżeli naprawdę potrzebujesz VPNa, to doskonale wiesz dlaczego go potrzebujesz i żadna reklama tego nie zmieni. Zresztą popełniłem o VPNach kilka materiałów, więc jeżeli jeszcze ich nie widziałeś, to zachęcam do nadrobienia. Zadajesz sobie czasem pytanie, czy w dzisiejszym świecie jakakolwiek walka o prywatność ma w ogóle sens? No bo przecież wszyscy szpiegują i wszystko o nas wiedzą. Zastanów się jednak, jak cenne muszą być te dane dla wielkich korporacji, skoro są one w stanie tak wiele za nie płacić oraz tak wiele ryzykować. To dla niektórych wystarczający powód, aby walczyć o odzyskanie kontroli nad naszymi danymi i nie oddawać ich za bezcen i bez walki. Bo meta, jak widzisz, nie cofnie się przed niczym, żeby cię szpiegować. Po prostu kiedy jeden sposób przestanie działać, to znajdzie inny. Jeżeli jesteś inżynierem, nie zgadzaj się na takie działania. W mecie pojawiły się takie głosy, gdzie pracownicy nie czuli się komfortowo wdrażając takie rozwiązania, nawet jeżeli użytkownicy ich usług byliby jasno i czytelnie o tym informowani. Niestety ich głos nie został, jak widać, wzięty pod uwagę, ale czym więcej osób odmówi udziału w takich projektach, tym ciężej będzie je wdrażać. A jeżeli jesteś metą, to serdecznie się pier... I to już wszystko na dziś. Tymczasem dziękuję za Waszą uwagę i do zobaczenia! Napisy stworzone przez społeczność Amara.org