Kategorie
Epidemia Publicystyka

Nie dawaj nikomu historii lokalizacji, nawet z powodu koronawirusa

To jest felieton interwencyjny. Takich spontanicznych akcji, jak opisana poniżej, będzie w nadchodzących tygodniach wiele. Niektóre będą rezultatem dobrych intencji, inne okażą się ordynarnym oszustwem. Niestety – nie odróżnimy jednych od drugich.

W dużym skrócie: nie wysyłaj żadnych osobistych informacji obcym osobom – nawet, jeśli utrzymują, że dzięki tym informacjom będą skutecznie walczyć z koronawirusem.

Wszystko zaczęło się od tego, że w jednym z okołofirmowych kanałów komunikacji pojawiła się copypasta:

#StopThePandemic #Coronavirus #Koronawirus #covid19
Chcesz pomóc zwalczyć Koronawirusa w praktyce? Podziel się z nami swoimi danymi!
Z grupą entuzjastów znajdowania technicznych rozwiązań dla codziennych problemów pracujemy nad aplikacją, pozwoli sprawdzić czy byłaś/byłeś narażony na zarażenie. Do testów rozwiązania potrzebne są dane z plików JSON, które są zapisane w Twoim telefonie. Wystarczy je pobrać i wgrać tu

Inne teksty związane z epidemią koronawirusa

[13.03.2020] o projekcie „Stop the pandemic” i tym, że jego autorzy prosili o znacznie więcej danych niż powinni
[20.03.2020] w którym zaglądam do środka aplikacji „Kwarantanna Domowa” i opisuję, co znalazłem w środku
[29.03.2020] w którym opisuję dlaczego smartfony nie bardzo nadają się do śledzenia interakcji między ludźmi
[03.04.2020] w którym piszę o zapowiadanej przez Ministerstwo Cyfryzacji apce „ProteGO” i o tym, że nie zadziała ona zgodnie z oczekiwaniami
[21.04.2020] w którym piszę o protokole Contact Tracing autorstwa Apple+Google i projekcie OpenTrace
[26.04.2020] w którym opowiadam, jak można sprawdzić, co robi aplikacja mobilna i dlaczego otwarte źródła to nie wszystko
[29.04.2020] w którym mając umowę szacuję koszty napisania od zera aplikacji Kwarantanna Domowa
[09.05.2020] w którym pokazuję, jak sprawdzić zawartość komunikatów wysyłanych w eter przez ProteGO Safe
[04.06.2020] w którym opisuję kontrowersyjną architekturę aplikacji ProteGO Safe 4.1.0-rc.1

Dalej był link do formularza serwowanego przez domenę script.google.com a następnie:

Pod linkiem znajdziesz instrukcję jak to zrobić. Dane nie są przypisane do osoby, zawierają jedynie informacje dotyczące lokalizacji w czasie.
Potrzebujemy nie mniej niż 100 próbek, a im więcej tym lepiej. To jak, damy radę w 2 dni zdetronizować wirusa?

Do tego instrukcja eksportu danych z konta Google, kilka linków do Facebooka i dopisek: “Znajomy ręczy za ludzi więc przesyłam dalej

Mamy więc bardzo silną zachętę do działania (detronizacja wirusa w dwa dni!), poczucie przynależności do grupy która coś robi oraz korzyść osobistą – sprawdzenie ryzyka zarażenia. Wystarczy wysłać jeden plik. Na dodatek ktoś poręcza za rzetelność tych wolontariuszy. Nic tylko brać i wysyłać, instrukcja wideo trwa minutę, więc dobry uczynek będzie zrobiony raz-dwa.

KOMUNIKAT

Zatrzymajmy się na minutę i przyjrzyjmy bliżej komunikatowi kopiowanemu po komunikatorach. Nadawcę, kolegę z pracy, od lat znam i szanuję, ma u mnie kredyt zaufania. Jednak “grupa entuzjastów” to nie jego znajomi, tylko osoby znane komuś z jego znajomych. Czyli zamiast relacji bezpośredniej “znam entuzjastę” mamy relację “znam człowieka, który zna człowieka, który zna entuzjastę”. Trzy stopnie oddalenia, potencjalnie setki tysięcy ludzi. Nie mogę wierzyć w dobre intencje ich wszystkich, tym samym hasło “znajomy ręczy za ludzi więc przesyłam dalej” w żaden sposób nie podnosi wiarygodności projektu.

Dalej: “z grupą entuzjastów […] pracujemy nad aplikacją”. Kim jesteśmy “my”? Tego się nie dowiemy.

Pracujemy nad aplikacją, [która] pozwoli sprawdzić czy byłaś/byłeś narażony na zarażenie”. Gdyby taka aplikacja mogła istnieć, to byłaby już obowiązkowa w Chinach, gdzie poszanowanie dla prywatności i wolności osobistej jest bez porównania niższe od standardów europejskich a możliwości wpływania na obywatela znacznie większe.

Do testów rozwiązania potrzebne są dane z plików JSON, które są zapisane w Twoim telefonie”. Po którym to stwierdzeniu mamy instrukcję, jak pobrać dane z… konta Google.

Dane nie są przypisane do osoby, zawierają jedynie informacje dotyczące lokalizacji w czasie” – to prawda, lokalizacja urządzenia to niekoniecznie lokalizacja właściciela. Jeśli jednak twórcy projektu uspokajają nas tym argumentem, to jakim cudem w wykrywaniu infekcji właściciela ma pomóc lokalizacja urządzenia?

Potrzebujemy nie mniej niż 100 próbek, a im więcej tym lepiej. To jak, damy radę w 2 dni zdetronizować wirusa?” – ani słowa o tym, jak autorzy użyją rzeczonych “próbek”.

Z tym komunikatem wiążą się dwa główne problemy:

  1. anonimowa “grupa entuzjastów”, których kompetencji ani wiarygodności nie jesteśmy w stanie zweryfikować, prosi nas o przysłanie “plików JSON” aby w dwa dni zwalczyć koronawirusa
  2. ta sama grupa nie informuje nas, że w “plikach JSON” znajdzie się wieloletnia historia naszego przemieszczania; stara się też pomniejszyć znaczenie tych plików no i nie widzimy ani słowa o potencjalnych ryzykach

Tekst w formularzu do wysyłania plików był bardziej wyważony, ale nadal nie tłumaczył zbyt wiele: “Pracujemy nad aplikacją, dzięki której dowiesz się czy miałaś/miałeś kontakt z wirusem. Potrzebujemy sprawdzić nasz model oparty na historii Twojej lokalizacji z historią lokalizacji osób zarażonych. Potrzebujemy min. 100 chętnych osób, które dobrowolnie i anonimowo podzielą się z nami swoją historią lokalizacji. Dzięki temu uda nam się przygotować symulację i sprawdzić działanie modelu. Efektami eksperymentu podzielimy się publicznie. Dane zostaną użyte tylko do opisanego celu.

Co może pójść źle, gdy “grupa entuzjastów” ma złe zamiary lub – mimo dobrych intencji – doprowadzi do wycieku danych? Rozważmy, jakie zagrożenia dla bezpieczeństwa i prywatności wiążą się z ujawnieniem historii naszej lokalizacji.

PRYWATNOŚĆ

Od jak dawna korzystasz ze smartfonów z Androidem? Rok? Pięć? Dziesięć? Jest spora szansa, że w wyeksportowanych plikach znajdzie się historia twojego lokalizacji z całego tego okresu, niezależnie od tego, ile razy wymieniałeś/aś telefon. Minuta za minutą, godzina za godziną, dzień za dniem.

Bezpieczeństwo osobiste

Osoba dysponująca historią twojej lokalizacji będzie w stanie zidentyfikować twoje nawyki i określić miejsca, w których nie wezwiesz skutecznie pomocy. Przykłady:

  • w każdą środę o 21 jedziesz do centrum i parkujesz na podziemnym parkingu bez sprawnego monitoringu
  • w weekendy zostajesz w ogródku działkowym po zachodzie słońca
  • co sobotę jeździsz konno po lesie

Bezpieczeństwo majątku

Włamanie do domu? Kradzież samochodu?

  • co drugi weekend wyjeżdżasz na 3 dni poza miasto
  • codziennie o 22 wychodzisz z psem na półgodzinny spacer
  • zawsze parkujesz cały weekend na tym samym miejscu parkingowym

Osoba dysponująca historią twojej lokalizacji odpowie sobie także na wiele innych pytań, na przykład takich:

Liczba i wiek dzieci

  • jak często pojawiasz się pod szkołą?
  • w ilu wywiadówkach uczestniczysz w jednym tygodniu?
  • czy pojawiasz się w tym samym semestrze pod przedszkolem i podstawówką?
  • w którym roku skończyły się wizyty pod przedszkolem?

Co z karalnością twoją i bliskich

  • czy znalazłeś/aś się pod Zakładem Karnym chwilę przed tym, gdy historia lokalizacji urwała się na kilka miesięcy?
  • a może regularnie pojawiasz się na godzinę w ZK, choć nie jesteś adwokatem?
  • czy twój telefon spędził noc w budynku aresztu policyjnego?
  • a może w izbie wytrzeźwień?

Stan zdrowia

  • ile razy byłeś/aś pacjentem szpitala?
  • na którym oddziale leżałeś/aś?
  • a może byłaś kilka razy u ginekologa w krótkim okresie czasu, potem byłaś hospitalizowana no i nie masz dzieci?
  • czy bywasz regularnie w gabinecie psychoanalityka lub psychiatry?
  • albo u seksuologa, urologa, proktologa czy w poradni wenerycznej?

Stan majątku

  • jak często bywasz za granicą?
  • czy zatrzymujesz się w drogich hotelach?
  • jak często odwiedzasz ośrodek Pomocy Społecznej?
  • czy bywasz w punktach Caritasu albo jadłodajniach dla ubogich?

Nałogi

  • czy bywasz regularnie w kasynie?
  • a może w sex-shopie?
  • czy w podczas pracy co godzinę pojawiasz się na fajeczce?
  • czy wychodzisz nocą do całodobowych sklepów monopolowych?

Religia

  • czy odwiedzasz świątynie?
  • jeśli tak, jakiego wyznania?
  • czy regularnie?
  • a może jakieś specyficzne nawyki, np. po wyjściu z meczetu zawsze wolno kilkukrotnie okrążasz dworzec PKP?

Orientacja seksualna i światopogląd

  • czy bywasz na paradach równości?
  • a może na marszach narodowców?
  • czy bywasz w salonach masażu erotycznego?

Przynależność etniczna

  • czy regularnie wyjeżdżasz za granicę? dokąd?
  • czy bywasz w miejscach wydawania wiz?
  • czy uczęszczasz do szkoły językowej

Taką wyliczankę można prowadzić długo. W historii lokalizacji odnajdziemy hobby, nawyki, dowody hipokryzji, złego gustu, dwulicowości i wielu innych cech, z których nie jesteśmy dumni. Skala inwigilacji rośnie, gdy mamy do dyspozycji historię pobytu kilku osób połączonych towarzysko – zaś automatyzacja takich analiz jest naprawdę prosta i szybka.

To jak, nadal wysyłasz swoje dane do grupy entuzjastów, którzy w dwa dni zdetronizują koronawirusa?

A może będzie to dobry moment by wyłączyć zapisywanie lokalizacji w koncie Google?

ALE JA JUŻ WYPEŁNIŁEM/AM TEN FORMULARZ

Na ekranie eksportu danych Google ostrzegało, by tego nie robić.

Mam dwie wiadomości, dobrą i złą.

Dobra wiadomość jest taka, że nawiązałem kontakt z “grupą entuzjastów” i chyba są to ludzie, którzy rozpoczęli eksperyment z dobrymi intencjami lecz na zbyt dużym spontanie – a od Ciebie otrzymali dane daleko wykraczające poza ich potrzeby. Następnym razem możesz nie mieć tyle szczęścia.

Zła wiadomość jest taka, że nigdy nie będziesz mieć pewności, co się stało z twoimi danymi. Może zostały przycięte do ostatniego miesiąca, może zostały skasowane, a może już zawsze będą zalegać na czyimś Google Drive, czekając na kradzież laptopa albo shackowanie konta.

Aha, jeszcze jedna zła wiadomość jest taka, że jeśli w formularzu wrzuciłeś/aś plik ZIP a nie JSON, to w środku jest twój adres e-mail. Tyle w temacie anonimowości.

JA TEŻ MAM REWOLUCYJNY POMYSŁ, DAWAJCIE MI DANE

Gratulacje. Najpierw zastanów się, czy Twój pomysł może dać mierzalne korzyści przy wdrożeniu pilotowym, czy też zacznie działać dopiero nakarmiony danymi dwudziestu milionów rodaków? Jeśli to ten drugi przypadek, zaniechaj realizacji.

Jeśli nadal chcesz eksperymentować, stosuj się do… RODO, czyli działaj z poszanowaniem zasad legalizmu, przejrzystości, celowości, adekwatności, retencji, rozliczalności i tak dalej. W szczególności więc:

  • napisz, kim jesteś i wskaż, jak tę informację zweryfikować
  • wyjaśnij, co chcesz zrobić i jak ma to działać
  • napisz, jakich danych potrzebujesz i zadbaj, by nie otrzymywać ani nie przetwarzać więcej
  • wskaż metody, jakimi zabezpieczysz dane
  • skasuj dane, gdy przestaną być potrzebne

To nie jest lista kompletna i wystarczająca, ale przynajmniej zaczniesz lepiej, niż “grupa entuzjastów”.

CHCĘ ZROBIĆ DOBRY UCZYNEK

To ekstra. Czasy przyszły takie, że jest to bardzo łatwe. Zrób zakupy starszym sąsiadom, kup posiłek ratownikom medycznym, zużyj nieco prądu na modelowanie białek koronawirusa w aplikacji Folding@Home, zadzwoń do bliskich.

Ale nie wysyłaj swoich informacji osobistych obcym osobom – nawet, jeśli utrzymują, że dzięki tym informacjom będą skutecznie walczyć z koronawirusem.

Inne teksty związane z epidemią koronawirusa

[13.03.2020] o projekcie „Stop the pandemic” i tym, że jego autorzy prosili o znacznie więcej danych niż powinni
[20.03.2020] w którym zaglądam do środka aplikacji „Kwarantanna Domowa” i opisuję, co znalazłem w środku
[29.03.2020] w którym opisuję dlaczego smartfony nie bardzo nadają się do śledzenia interakcji między ludźmi
[03.04.2020] w którym piszę o zapowiadanej przez Ministerstwo Cyfryzacji apce „ProteGO” i o tym, że nie zadziała ona zgodnie z oczekiwaniami
[21.04.2020] w którym piszę o protokole Contact Tracing autorstwa Apple+Google i projekcie OpenTrace
[26.04.2020] w którym opowiadam, jak można sprawdzić, co robi aplikacja mobilna i dlaczego otwarte źródła to nie wszystko
[29.04.2020] w którym mając umowę szacuję koszty napisania od zera aplikacji Kwarantanna Domowa
[09.05.2020] w którym pokazuję, jak sprawdzić zawartość komunikatów wysyłanych w eter przez ProteGO Safe
[04.06.2020] w którym opisuję kontrowersyjną architekturę aplikacji ProteGO Safe 4.1.0-rc.1



O autorze: zawodowy programista od 2003 roku, pasjonat bezpieczeństwa informatycznego. Rozwijał systemy finansowe dla NBP, tworzył i weryfikował zabezpieczenia bankowych aplikacji mobilnych, brał udział w pracach nad grą Angry Birds i wyszukiwarką internetową Microsoft Bing.

8 odpowiedzi na “Nie dawaj nikomu historii lokalizacji, nawet z powodu koronawirusa”

Wiem, co masz na myśli, ale chińskie Androidy działają tak samo, jak nasze, europejskie – to oznacza usypianie komórki na długie minuty. CPU wówczas gaśnie, lokalizacja nie jest rejestrowana, nie sposób odnotować, że przebywałeś w pobliżu zarażonego. Z wake-lockiem i ciągle aktywnym GPS-em bateria zeszłaby to zera w 2-3 godziny.

Tylko, że lokalizacje można ustalić mniej lub bardziej dokładnie wykorzystując Bluetooth, WIFi oraz inne telefony okolicy, które są w stanie pobrać np. mac adres naszego telefonu.

No ale w tym przypadku chodziło o to, żeby *samemu* i *dobrowolnie* wyeksportować i wysłać obcym osobom to wszystko, o czym napisałem.

Nie mam smartfona, więc problem udostępniania danych o lokalizacji w ogóle mnie nie dotyczy, ale zastanawiam się, po co ktos w niektórych z sytuacji opisanych w artykule miałby zabierać w ogóle ze sobą telefon – na przykład wychodząc z pracy „na fajeczkę” albo w nocy do monopolowego. Ja akurat wychodząc z pracy czy z domu na chwilę i na niedużą odległość telefonu ze sobą nie zabieram, bo nie jest mi do niczego potrzebny – leży sobie spokojnie na biurku w pracy czy na stole w domu. „Wyskakując na chwilę” miałbym sobie zawracać głowę pamiętaniem o zabraniu telefonu i zastanawianiem się, gdzie go schować??? Po co???
Nie wiem też, jak na podstawie lokalizacji smartfona możnaby zidentyfikować, czy ktos był „u seksuologa, urologa, proktologa czy w poradni wenerycznej”, jeżeli lekarze wszystkich tych specjalności przyjmują zazwyczaj w budynku jednej dużej przychodni, w której są także lekarze większości innych specjalności – mozna zidentyfikować, że ktos był w danej przychodni, ale nie, do którego gabinetu wszedł! Zwłaszcza, że gabinety nie są przypisane do lekarzy na stałe i ten sam lekarz dziś przyjmuje w jednym gabinecie, a jutro w innym.
Podobnie wątpię w możliwośc zlokalizowania konkretnego oddziału szpitala, na którym przebywał pacjent (zwłaszcza że GPS w budynkach działa raczej srednio) – wiadomo będzie tylko, ze był w budynku szpitala.
Oczywiście to nie znaczy, że inne wymienione w artykule przykłady nie są wystarczająco groźne 🙂 i z ogólnym przesłaniem artykułu się w 100% zgadzam – dlatego nie należy straszyć nadmiernie, rzeczami (w mojej opinii) mało realnymi.

Folding@home czyli poświęć swoje pieniądze na szukanie lekarstw a potem gdy je wynajdą to zapłać drugi raz za ich zakup.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *