Pakomentavau programinės įrangos saugumo ir privatumo klausimus interneto medijų metodologinei priemonei mokytojams „Interneto žemėlapis“. Šį leidinį rengė žurnalistai ir technologijų ekspertai, bendradarbiaujant Lietuvos žurnalistikos centrui, Švedijos ambasadai bei Švedijos institutui.

„Kai naudojamės puikiomis nemokamomis paslaugomis, tinka klasikinis pasakymas: „Jeigu neperki, vadinasi, prekė esi tu.“ Štai tokie privatumo spąstai“, – teigia Gytis Repečka, sistemų analitikas ir profesionalus programuotojas. Jo teigimu, taip nutinka, kai norėdami sutaupyti žmonės naudojasi nemokamomis, „nulaužtomis“ kompiuterio programomis. Su juo kalbamės apie galimas tokio elgesio pasekmes ir virtualioje erdvėje sklandančius mūsų duomenis, kuriuos naudodamiesi internetine paslauga sutinkame atiduoti aklai.

Neretam vartotojui kyla noras į savo kompiuterį įsidiegti nemokamą tam tikrų programų variantą, juk jos dažniausiai yra laisvai prieinamos, gana populiarios ir padeda sutaupyti pinigų. Bet kodėl „nulaužtos“ programos yra pavojingos?

Pirmiausiai reikia suprasti, kad komercinė programinė įranga turi savo kainą ne be priežasties. Pavyzdžiui, nuotraukų redagavimo programa „Adobe Photoshop“ kainuoja ne vieną šimtą, o tam tikros versijos – ne vieną tūkstantį eurų vienai darbo vietai. Tačiau ne veltui šis prekės ženklas mums asocijuojasi su nuotraukų redagavimu pirmiausiai, nes tai yra, ko gero, geriausia programinė įranga. Ją sukurti reikėjo didelių pastangų ir ilgų programuotojų darbo valandų. Kai turime galimybę gauti daiktą „už dyką“, reikėtų pagalvoti, kam naudinga tuo užsiimti. Aišku, yra entuziastų, kurie savo malonumui laužo įvairias apsaugas.

Bet kodėl jums dykai atiduodama programinė įranga, nors kainuoja daug? Tie nulaužimai, vadinami crackais, yra geras būdas piktavaliams šalia įsiūlyti tam tikrą programinę įrangą. Crackas pakoreguoja originalią programą iš jos išlupdamas arba apgaudamas licencijavimo modulį, užtikrinantį licencijos tikrumą, arba sugeneruoja mums serijinį numerį, kurį paskui reikės įvesti toje programoje. Natūralu, kad galbūt toje programoje, kuri generuoja numerius, yra pridėta ir kažko, kas veiks kaip serveris ir suteiks prieigą prie tam tikrų vartotojo failų.

Jeigu žmonės naudoja crackus taikomosioms, pavyzdžiui, nuotraukų redagavimo, programoms nulaužti, tuos crackus antivirusinės programa dažnai aptinka, ugniasienė gali užblokuoti jiems išėjimą į internetą ir tokiu būdu vartotoją apsaugti nuo galimos žalos. Bet jeigu naudojama piratinė operacinė sistema, joje gali būti įdiegta priemonių, kurių tam tikrais atvejais apsaugos programos gali tiesiog nematyti. Tada kyla klausimas, ar norėsite iš to kompiuterio, kuriame yra nepatikima operacinė sistema, tikrinti savo elektroninį banką, apsipirkinėdami internetu įvesti kreditinės kortelės numerį ir panašiai.

Kuo skiriasi antivirusinės programos ir jūsų paminėtos ugniasienės funkcijos?

Antivirusinė yra programa, kompiuterių failų sistemoje ar operatyvinėje atmintyje, t. y. kompiuteryje veikiančiose programose, ieškanti virusų požymių. Virusus aptinka ir eliminuoja pagal galimybes. Bet reikia suprasti, kad antivirusinė yra tokia post factum, saugo nuo grėsmių, kurios jau yra sistemoje. O ugniasienė siejama su tinklu, tinklo įranga. Kompiuteryje žmonės dažniausiai naudoja programinę ugniasienę, operacinė sistema iš esmės visą į kompiuterį ateinantį tinklo srautą pirmiausia atiduoda ugniasienei, kuri nusprendžia, ar jį leisti toliau, ar atiduoti kokiai nors programai.

Pavyzdžiui, jeigu įdiegiate į kompiuterį naują programą, ugniasienė sakys: „Ši programa kompiuteryje yra nauja. Ar norite leisti jai jungtis prie interneto?“ Paspausite „Yes“ ir programa prisijungs prie interneto. tačiau jūs bent matysite, kad programa nori atlikti kažin kokį veiksmą. Beveik visose šiuolaikinėse operacinėse sistemose yra integruota vienokia ar kitokia ugniasienė ir antivirusinė programa, tik galima ginčytis, kiek daug grėsmių jos aptinka. Bet tokių priemonių reikėtų. Dauguma šiuolaikinių ugniasienių turi išmanų režimą. Jos daugiau ar mažiau sudėlioja taisykles standartinei programinei įrangai, ką paprastai vartotojai naudoja, ir užklausa vartotojui pateikiama tik neaiškiais atvejais, pamačius egzotiškesnę, rečiau naudojamą programinę įrangą. Labai dažnai tokia apsauga yra pakankamai stipri vartotojų privatumui ir saugumui užtikrinti.

Kodėl piktavaliai nori pasiekti kompiuterio resursus?

Potencialiomis aukomis galima tapti nebūtinai dėl savo asmeninių duomenų. Galbūt tie asmenys net nelabai įdomūs įsilaužėliams, bet gali būti labai aktualu užvaldyti jų kompiuterį ir iš jo vykdyti kitas atakas. Įsilaužėliams svarbu maksimaliai paslėpti savo tapatybę, kad apsimetę kažkuo kitu mėtytų pėdsakus. Jeigu jie įvykdys kokią nors ataką per jūsų kompiuterį, policija pirmiausia kreipsis į tarpinę grandį, kurią bus lengviausia nustatyti. Lengviausia bus nustatyti nelaimėlį, per kurio kompiuterį kažkas buvo atlikta, tarkim, tapatybės vagystė. Viena vertus, gali atrodyti, kad neturime ko slėpti, kita vertus, turbūt nenorėtume, kad mūsų vardu kažkas atliktų ataką, paimtų greitąjį kreditą ar paskolą. Aišku, saugiklių, kai ketinama paimti greitąjį kreditą, yra daugiau.

Šioje vietoje turbūt būtų svarbu aptarti vadinamąjį zombių kompiuterių tinklą.

Paprastai zombių tinklą sudaro užvaldyti kompiuteriai, kuriuose įdiegta kenkėjiška programinė įranga. Ji kompiuteryje stengiasi likti nematoma, neveikli, naudoja įvairius būdus antivirusinėms programoms ir tinklo ugniasienėms apkvailinti. Tam tikru momentu ji gauna signalą iš zombių tinklą valdančio piktavalio serverio. Šis visiems užvaldytiems kompiuteriams, kuriuose įdiegta ta kenkėjiška programa, praneša, kad tam tikru metu reikės atakuoti tam tikrą puslapį, turintį tokį IP adresą. Galbūt ta kenkėjiška programinė įranga toliau nebebus aktyvi, bet, atėjus konkrečiam laikui, ji ims ir, pavyzdžiui, kokius dešimt ar šimtą kartų per sekundę bandys pakartotinai jungtis prie nurodyto tinklalapio ar paslaugos. Ką tai reiškia? Prie to paties puslapio ar paslaugos jungiasi didžiulis vartotojų – zombių – kiekis ir serveriai neatlaiko apkrovos. Kadangi tai koordinuota ataka, vartotojai tuo metu prisijungti nebegali, o elektroninė parduotuvė, prie kurios negalima prisijungti net ir dešimt minučių ar valandą, patiria nuostolių.

Kenkėjiška programa, paverčianti kompiuterį zombiu ar atliekanti nepageidaujamus veiksmus, turi kaip nors jį pasiekti. Vienas iš būdų – ateiti su nelegalia programine įranga, pavyzdžiui, su nemokama programėle kokiai nors funkcijai atlikti, kuri prieinama kokiame nors puslapyje, turinčiame naršyklės įskiepį.

Kuo tai susiję su įskiepiais? Jie gali būti ir naudingi, ir kenkėjiški?

Kai į naršyklę įdiegtas įskiepis yra kombinuojamas su papildoma programine įranga, kuri įdiegiama šalia jo, galima vykdyti gana įmantrias atakas. Kaip programos įdiegiamos? Elektroniniu paštu atsiunčiamais kenkėjiškais failais. Tačiau kenkėjiškai programinei įrangai vis tiek reikia kelio patekti į kompiuterį ir jame įsikurti. Kartais tiesiog užtenka skylių, paliktų operacinėje sistemoje ar programinėje įrangoje, todėl nuolat reikėtų naudoti naujausias programinės įrangos versijas, nes klaidos jose nuolat taisomos. Vartotojui reikia turėti antivirusinę programinę įrangą ir ugniasienę, kuri gali užkirsti tokius prisijungimus iš tinklo.

Nors plačiai nekalbama, buvo sukurtas toks kenkėjiškos programinės įrangos rinkinys Lietuvoje veikiančių bankų elektroninės bankininkystės sistemoms. Įskiepis įsidiegdavo į naršyklę vartotojui paspaudus kenkėjišką nuorodą, piktavaliai išnaudojo naršyklės „Internet Explorer“ spragas. Vartotojas gauna elektroniniu paštu nuorodą, neapdairiai ją paspaudžia, ten atsidaro kažkoks PDF failas, turintis įdiegtą macro – instrukcijų rinkinį, kuris, tam tikrose „Adobe Acrobat Reader“ versijose saugiai neinterpretuojamas, išnaudoja tam tikrą spragą. Ta spraga leidžia į naršyklę įdiegti įskiepį ir šis klastoja adreso laukelyje matomą nuorodą. Kai vartotojas surenka internetinės bankininkystės vardą, iš tikrųjų yra nukreipiamas į kenkėjo tinklalapį, padarytą lygiai taip pat, kaip normalaus banko tinklalapis, ir jis ten suveda savo duomenis.

Norėčiau grįžti prie duomenų rinkimo per vartotojų susirašinėjimą. Sakykime, „Google“ šifruoja siunčiamus elektroninius laiškus, tad išorėje jų turinio pasiekti negalima, tačiau pats „Google“ gali prieiti prie šio turinio, tiesa? Kodėl žinutės nėra šifruojamos taip, kad jų turinį galėtų matyti tik konkretūs vartotojai?

Veikia keli modeliai. Paimkime pavyzdį. „Gmail“ yra labai populiari pašto paslauga, „Google“ šiuo atveju yra visapusiškai prieinamas susirašinėjimo turinys ir pagal jį vartotojams pateikiamos reklamos – taip veikia rinkodaros modelis. Kitas pavyzdys – Šveicarijoje įsikūręs „ProtonMail“ paštas. Iš pradžių jis buvo startuolis, juo naudojosi kai kurie žurnalistai, įvairių režimų persekiojami žmonės. Šio pašto politika yra tokia: dar būdami jūsų kompiuteryje laiškai užšifruojami ir tik tada išsiunčiami. Tad jeigu vartotojas naudojasi „ProtonMail“ pašto paslauga per naršyklę, tai žinutė, pasinaudojus tam tikra biblioteka, užkoduojama naršyklėje ir serverį pasiekia jau užkoduota. Paslaugos teikėjas net neturi galimybės pasiekti turinio ir negali taikyti jokios turinio analizės, kadangi matys vien simbolių kratinį. „ProtonMail“ išsilaiko iš vartotojų, kurie sumoka už paslaugas. Iš esmės skiriasi abiejų elektroninių paštų veiklos modeliai.

„ProtonMailo“ modelis visai netiktų „Google“, kuriai svarbu analizuoti turinį. Pagalvokime, kaip veikia „Google“ vertėjas. Jeigu verčiame juo tekstą, gautas rezultatas nebūtinai bus teisingas ir gramatiškai taisyklingas. Bus verčiama taip, kaip žmonės paprastai verčia ir naudoja tekstą, nes vertėjui tobulinti naudojama ir „įvedama“ informacija iš visų „Google“ paslaugų. Pavyzdžiui, jeigu absoliuti dauguma žmonių obuolį vadins kriauše, taip šį vaisių įvardys susirašinėdami, vertėjas obuolį taip pat vadins kriauše. Tarkime, „Facebook“, „Whatsapp“ ar dar kas nors užtikrins vartotojų saugumą iki savo serverių, kad tarpinėje vietoje niekas neįsiterptų, tačiau šie paslaugų teikėjai sprendžia, kaip elgsis su vartotojų duomenimis.

Kas dar šias programas skatina rinkti vartotojų duomenis?

Surinkti duomenys kompanijai yra informacijos šaltinis. Kai „Google“ sėkmingai pateikia reklamą, vartotojai ją sėkmingai spaudžia, tad reklamos užsakovai tikrai norės tokiame tinkle reklamuotis. „Google“ verslo modelis grįstas reklama. Tačiau jie atlieka ir labai daug kitų veiklų, investuoja į dirbtinį intelektą, net ir į technologinius sprendimus. Bet jų tikslas – surinkti duomenis apie žmones ir juos suprasti: kokie žmonės naudojasi paslaugomis, ką jie veikia. „Google“ turi net ir karinių užsakymų, apie kuriuos nelabai kas kalba. Tarkim, turi užsakymą karinėms tarnyboms suteikti vaizdų atpažinimo galimybę, pasinaudodami ja kariniai dronai galėtų atpažinti ir suvokti tam tikrus taikinius – analizuotų aplinkos vaizdą. Juk „Google“ turbūt ne be reikalo turi „Street View“ ir tikrai turėjo ką veikti: paleisti mašinas važinėti, viską filmuoti ir tada susluoksniuoti, sulieti. Jei norima vykdyti didelius, rimtus projektus, reikia daug informacijos.

Neseniai girdėjome, kad autonominis „Uber“ automobilis partrenkė žmogų, rodos, jis tapo pirmąja autonominės transporto priemonės auka. Reikia suprasti, kad skaitmeninė technika yra, jeigu galima taip pasakyti, kvaila. Ji daro tai, kas jai pasakyta. Vadinasi, dirbtinis intelektas – tai galimybė mokytis iš aplinkos, kai, remiantis aplinka, suformuojamos taisyklės. Tačiau jis neturi jausmų, sąžinės ar moralės – neturi nieko. Tad šių duomenis renkančių kompanijų tikslas galbūt yra pirmiausiai susirinkti pakankamą duomenų kiekį ir juo apmokyti savo intelekto sistemas. Finansinės institucijos renka duomenis, norėdamos įvertinti kreditingumą, kokia tikimybė, kad įmonė ar žmogus bankrutuos. Personalo atrankos įmonės nori žinoti, kiek tikėtina, kad žmogus išeis iš darbo, ar ateis į darbą.

Išsiaiškinome, kaip „Google“ susirenka reikiamus duomenis. Kaip juos gauna kitos įmonės?

Kodėl mums įbrukamos lojalumo kortelės? Jos leidžia susieti asmenį su atliktais veiksmais – pervedimais ir panašiai. Jeigu brauki lojalumo kortelę kasoje ir perki tam tikrą pirkinių krepšelį, galima suprasti, kokiems prekės ženklams esi lojalus, kaip dažnai ir ką perki, ar reaguoji į akcijas ir panašiai. Jeigu įmonė tokių duomenų susirinkti negali, jų perka. Na, ir užsako iš tokių, kaip „Cambridge Analytica“ ar tiesiai iš „Facebook“ ir panašiai.

Ar iš tikrųjų galima taip prekiauti?

Taip, prekiaujama. Kokių nors apribojimų galbūt ir yra, bet dažniausiai jie atsimuša į paslaugų teikimo sąlygas. Jeigu naudojamės „Google“ paslaugomis, tose ilgose sąlygose tikrai yra parašyta, kad įmonė arba atlygintinai, arba neatlygintinai gali perduoti duomenis trečiosioms šalims.

Kas konkrečiai yra parduodama? Viskas, ką įkeliame?

Gali būti parduodamas konkretus turinys, jau padarytos įžvalgos arba „žali“ (angl. raw) duomenys, mūsų atlikti veiksmai, kokia nors apibendrinta analitinė informacija. Ta pati bendrovė „Cambridge Analytica“ greičiausiai susirinkdavo iš „Facebook“ neapdorotus duomenis, ką žmonės veikia, juos apibendrindavo, pasitelkdavo dirbtinį intelektą ir nustatydavo, kad, tarkim, toks procentas Amerikoje gyvenančių tam tikrose apylinkėse labiau linkęs balsuoti už Donaldą Trumpą. Keičiamasi įvairių etapų – tiek plikais, neapdorotais, tiek jau ir apibendrintais – duomenimis. Gali būti, kad pats „Google“ ar „Facebook“ parduoda nuasmenintus duomenis, t. y. ne apie konkrečius asmenis, bet apie tam tikras tendencijas. Pavyzdžiui, Vilniuje dirbantys 30–40 metų asmenys, kurių darbo laikas yra standartinis, t. y. nuo 8 val. ryto iki 17 val. vakaro, vidurdienį dažniausiai lankosi „Centrinėje universalinėje parduotuvėje“, „Europos“ prekybcentryje ar kur kitur. Tačiau viskas vykdoma įstatymų ribose ir tai nėra draudžiama. Dažniausiai vartotojas, naudodamasis paslauga, kurioje renkami duomenys, aklai su bet kuo sutinka.

Reikėtų pastebėti, jog, tarkime, prie kokio nors forumo ar sistemos yra rašoma: „Prisijunk su „Facebook“ arba „Google“ paskyra.“ Ką tai reiškia ir kaip veikia? Savo internetiniame puslapyje turiu diskusijų forumą ir žinau, kad žmonės labai nemėgsta jame registruotis, kurti naujų slaptažodžių, tad suteikiu galimybę jiems prisijungti per pagrindinius socialinius tinklus. Vadinasi, iš mano forumo vartotojas nukreipiamas į paslaugos – tarkim, „Google“ ar „Facebook“ – puslapį, ten prisijungia ir sugrįžta į mano forumą. Kitaip sakant, „Google“ arba „Facebook“ atiduoda tam tikrą požymį, informaciją, kad šis vartotojas sėkmingai patvirtinto esantis tas, kuo skelbiasi, jį reikia prijungti. Mano forumas inicijuoja programėlę „Google“ infrastruktūroje, vartotojas prie jos prisijungia ir ta programėlė grąžina tam tikrus duomenis į mano forumą. Forume veikiausiai galėsiu matysiu vietovę, vartotojo gimimo datą, dar šį tą. Pats „Facebook“ po kilusių skandalų, matyt, stengsis kuo išsamiau informuoti vartotoją, kas konkrečiai tampa prieinama.

Kitai kategorijai priskiriami vadinamieji „Like“ mygtukai. Dėl patogumo puslapyje dažnai norima rodyti mygtukus su užrašais „Pamėgti „Facebooke“, „Pamėgti „Google“, „Dalintis per „Twitter“. Paspaudęs šiuos mygtukus vartotojas yra iš karto nukreipiamas į minėtus puslapius. Kai mygtukas rodomas puslapyje, užkraunamos tam tikros funkcijos iš „Facebook“ serverių. Ką tai reiškia? Šis socialinis tinklas žinos, kad lankausi tam tikrame puslapyje, forume ar pan., kiek laiko ten praleidžiu, kaip greitai pereinu prie kito puslapio.

Tačiau tai yra milžiniškas renkamų duomenų kiekis. Ar viskam turima įrankių?

Mokslininkai kuria dirbtinio intelekto algoritmus. Tad iš esmės matematika, statistika, dirbtinis intelektas, mašininis mokymasis ir yra pagrindiniai įrankiai, kuriuos mūsų minėtos kompanijos turi renkamiems duomenims apdoroti.

Kai naudojamės puikiomis nemokamomis paslaugomi, tinka klasikinis pasakymas: „Jeigu neperki, vadinasi, prekė esi tu.“ Štai tokie privatumo spąstai.

 

Daugiau detalių apie savo saugumą ir privatumą internete sužinokite iš „Interneto medijų žemėlapio“ (parsisiųsti). Jį rengė žurnalistai ir technologijų ekspertai, bendradarbiaujant Lietuvos žurnalistikos centrui, Švedijos ambasadai bei Švedijos institutui.

Šis tekstas kovo 30 d. publikuotas LRT portale.