Kolejny rok dobiega końca! Z tej okazji czas na moje tradycyjne, krótkie podsumowanie tego, co przyniósł w kwestii cyfrowej prywatności i wojny ludzi z megakorporacjami.

O niektórych wspomnianych tu rzeczach stworzyłem pełne wpisy. O niektórych nie zdążyłem. Ale wszystkie uważam za istotne.

Spis treści

Zakusy korporacji

Afera wokół firmy Newag

Na koniec roku wybuchła prawdziwa bomba – Polska doczekała się własnej afery związanej z cyfrowymi blokadami. Zrobiło się o tym głośno również za granicą.

Polscy spece od analizy kodu, Dragon Sector (będę pisał skrótowo DS), dostali nietypowe zadanie od firmy serwisującej pociągi.
Firma mimo wszelkich starań nie była w stanie naprawić pociągów firmy Newag. Mieli podejrzenie, że ktoś nałożył ukryte blokady na poziomie cyfrowym. Żeby wyszli na niekompetentnych i musieli stracić kontrakt na rzecz Newagu.

Ludzi z DS-a poproszono o włączenie pociągów i znalezienie przyczyn dziwnych usterek. Zaglądając do oprogramowania sterującego, znaleźli trochę kodu o niepokojącym działaniu:

  1. Kod blokujący tabory naprawiane poza oficjalnymi zakładami firmy.
    Pociąg był wyposażony w odbiornik GPS. Jeśli przez 10 dni stał w którejś z określonych lokalizacji, odpowiadających warsztatom konkurencji, to miał się wyłączyć „na amen” i nie dawać się uruchomić.

  2. Kod wyświetlający błąd po określonej listopadowej dacie.
    Nawet jeśli wszystko było sprawne, program przestawał obsługiwać podzespoły, wymuszając naprawę.

Heheszki

Kod zawierał błąd – działał tylko wówczas, gdy jednocześnie dzień miesiąca był równy co najmniej 21, a miesiąc 11 (czyli był listopadem albo grudniem).
W związku z tym, zamiast stawać na amen po 21.11, pociągi zawieszały się na ostatnie 9-10 dni listopada i grudnia. A wraz z nadejściem Nowego Roku następował cud i się włączały.

Newag, obwiniony o nieuczciwe działania, zareagował publicznym oburzeniem. Obwiniali atak hakerski, grozili pozwami ekipie DS. W social mediach pojawiły się również konta broniące ich działań, wyglądające jak typowe trolle internetowe.

Ogólnie: czyste aferkowe złoto :smile: Koniecznie muszę dodać tę sprawę do swojej serii „Cyfrowy feudalizm”, bo doskonale tam pasuje. Ale to już w przyszłym roku. Do tego czasu polecam garść innych źródeł:

Źródła opisujące aferę (kliknij, żeby rozwinąć)

  • Artykuły Zaufanej Trzeciej Strony spod tagu newag.
    Przystępne i obszerne opisy całej afery. Nagłośnili ją jako jedni z pierwszych.

  • Film Mateusza Chroboka.
    Jeśli ktoś woli formę filmową, to tu znajdzie fajne omówienia. W komentarzach ekipa z DS odpowiada na parę pytań użytkowników.

  • Prezentacja grupy Dragon Sector na konferencji Chaos Computer Club.

  • Artykuł Gynvaela Coldwinda.
    Opisuje, na ile wiarygodne są tłumaczenia firmy, jakoby to obcy hakerzy dodali złośliwy kod.

  • Tweety Zaufanej Trzeciej Strony.
    Tutaj z kolei przybliżenie wątku dziwnych kont, które pojawiły się po prasowych doniesieniach.

  • Dyskusje na forum Hacker News.
    Tu z kolei można poznać opinie międzynarodowej społeczności. Linkuję najnowszą dyskusję, w jednym z komentarzy są linki do wcześniejszych.

  • Artykuł Onetu z 21 grudnia.
    Wiedząc o złośliwym kodzie, zainteresowani czekali na dzień 21 grudnia, kiedy to miała się włączyć blokada zależna od daty. I faktycznie tak się stało.

Pomijając dystopijne aspekty tej afery – nawet podstawowa infrastruktura może być na łasce chciwych osób z palcami na pstryczkach – widzę w niej również jasne strony.

Bo teraz przeciwnicy centralizacji zyskali coś, co można nazwać argumentum ad Newagum.

Sprawa nasza, polska. Głośna, ale przyziemna i dość zrozumiała. „Psuli pociągi, żeby naprawiać tylko u nich”. „Ludzie nie mogli dojechać do pracy, bo producent wyłączył sprzęt”.
To już nie jakieś egzotyczne drukarki czy smartfony Apple’a, których mało kto używa. To coś namacalnego, nieuczciwego, osłabiającego niejako cały kraj.

To sprawa, do której często można się od teraz odwoływać w internetowych dyskusjach. Uświadamiając ludzi, że wprowadzanie wszędzie komputerów, czujników i łączności z siecią nie zawsze jest postępem. Że w kwestii trwałości i niezależności bywa wręcz regresem.

Google kontra blokery śledzenia

Google gości na tym blogu często; ma nawet osobną serię poświęconą swoim przewinieniom. Stale rosnącą (a byłaby kilka razy dłuższa, gdybym nie był leniwy – mam stosik napoczętych wpisów).

Wujek G zarabia na reklamach, więc to im podporządkowuje swoje produkty, szczególnie przeglądarkę Chrome. To żadna nowość. Ale w tym roku przeszli samych siebie pod względem zmian i propozycji uderzających w blokery reklam śledzących.

Wcześniej planowali wprowadzić w tym roku Manifest v3.

Byłaby to zmiana sposobu, w jaki dodatki do przeglądarek mogą wchodzić w interakcje z Chrome’em, przeglądarką od Google’a.
Ale że wiele przeglądarek korzysta z tego samego kodu, to zmiana mogłaby sięgnąć dużo dalej. Taki np. Edge od Microsoftu również planował przyjąć cały kod bez zmian.

Sam fakt, że mogą zajść zmiany, to pół biedy. Gorzej, że byłyby to zmiany na gorsze, odbierające wiele zdolności dodatkom blokującym śledzenie. Zmniejszeniu uległaby m.in. liczba złożonych regułek, dzięki którym mogą neutralizować skrypty od firm reklamowych, profilujące użytkowników i gromadzące ich dane.

Po intensywnych protestach Google odstąpił od pomysłu. Ale latem tego roku przedstawili nowy, znacznie gorszy. Web Environment Integrity, w skrócie WEI.

Właściciele stron internetowych mogliby wysyłać, poprzez przeglądarkę, zapytania „w głąb systemu”. A konkretniej: do odizolowanych chipów, które lubię nazywać enklawami. Wiele urządzeń obecnie zawiera takie coś.

Treść pytania: „czy ten system to system fabryczny, bez żadnych modyfikacji?”.
Enklawa zawsze odpowie prawdę. Ani użytkownik, ani żaden program nie jest w stanie jej zmodyfikować. Odpowiedzi się nie sfałszuje, bo enklawa podpisuje ją cyfrowo. Narzędzie do podpisów ukrywa w sobie, niedostępne dla użytkowników.
A właściciele stron proszący o taką weryfikację będą wiedzieli, jak powinien wyglądać podpis. I nie przyjmą innego.

Jednym zdaniem – koniec gry dla hobbystów modyfikujących swój system, jeśli jakaś firma zechce wpuszczać tylko „normalsów”. A wiele z nich mogłoby to zrobić, bo WEI umożliwia wprowadzenie takiej selekcji w sposób prosty, w kilku linijkach kodu. Pojawiło się ryzyko, że otwarty internet zostanie pocięty licznymi ogrodzeniami.

Wybuchły jeszcze intensywniejsze protesty niż przy Mv3. Google ogłosił publicznie, że wycofuje się z pomysłu. Ale krótko potem odkurzyli pomysł Manifestu v3.

…Co więcej, ostro uderzyli w blokowanie reklam na swojej platformie YouTube. Zaczęli każdego dnia zmieniać po kilka razy strukturę strony. Nawet najskuteczniejsze dodatki blokujące nie są w stanie nadążyć.
W dodatku ludziom korzystającym z blokerów zaczęli wyświetlać komunikat ostrzegawczy mówiący, że po kilku wykryciach dodatku blokującego nastąpi ban konta.

Końca nie widać, ofensywa trwa.

Google kontra Departament Sprawiedliwości

W tym roku odbyły się przesłuchania w sprawie, w której Google jest oskarżany o działania monopolistyczne i nieuczciwą konkurencję.

Takie procesy, niezależnie od werdyktów, bywają cennym źródłem informacji. Na widok publiczny trafiają różne korporacyjne maile i dokumenty, czasem zawierające mocno obciążające dowody.

Powiązane wpisy

Google nie jest pierwszą korporacją na tym blogu, której machlojki zostały ujawnione podczas rozprawy sądowej.
Opisywałem już wcześniej brudy, jakie wypłynęły w przypadku potentatów rolniczych: Syngenty oraz Monsanto. Na jaw wyszło nękanie badaczy i publiczne ośmieszanie ich na rzekomo niezależnych stronkach, nakłanianie „swojej” dziennikarki do promowania firmowej wizji i nasyłanie trolli na „obcą”.

A wracając do sprawy Google’a – na ich temat również wypłynęły ciekawe fakty:

  • Ich status domyślnej wyszukiwarki na wszelakich telefonach (Samsungach, iPhone’ach…) nie wynikał wyłącznie z jakości.
    Po prostu zapłacili za ten przywilej dziesiątki miliardów dolarów, budując nieprzekraczalną fosę między sobą a konkurencją.

  • Ekipa tworząca przeglądarkę Chrome czasem celowo ją pogarszała na życzenie działu reklam internetowych.

    Rozważali na przykład usunięcie szybkich podpowiedzi z górnego paska, żeby zagonić ludzi do wyszukiwarki. Poza tym przesunęli na samą górę te podpowiedzi z historii, które odsyłały do google.com, a nie prosto do stron źródłowych.
    Dlaczego? Bo dział reklam prosił. Odwiedziny na google.com nabijają im statystyk, komfort użytkownika drugorzędny.

Przesłuchania już się skończyły, teraz sąd zaczął analizować dowody. W przyszłym roku ogłosi werdykt. Istnieje możliwość, że firma Google zostanie uznana za monopolistę ubijającego całe firmowe ekosystemy w zarodku. I rozbita na mniejsze, niezwiązane ze sobą działy.

Zablokowanie przejęcia Figmy przez Adobe

Rok temu wspomniałem w podsumowaniu o tym, że Adobe – gigant od programów do tworzenia treści wszelakich – nabył za 20 miliardów dolarów Figmę. Młodszą, dynamiczną konkurencję.

Wiele osób widziało w Figmie właśnie odskocznię od monopolisty, szansę na alternatywę. Pokładali w niej nadzieję. Ale kiedy Adobe sięgnęło do swoich głębokich kieszeni, to skończyło się konkurowanie.

…Albo i nie? Niedawno antyfani monopoli i centralizacji dostali prezent na Mikołaja. Firmy jednak porzuciły pomysł połączenia, czując że nijak nie obejdą przepisów antymonopolowych. Adobe pożarło świat, ale jednak ostała się jakaś wysepka konkurencji.

despite thousands of hours spent with regulators (…), we no longer see a path toward regulatory approval of the deal.

Choć Figma wraca do gry, podtrzymuję swoje zdanie z poprzedniego wpisu. Dla zwykłych użytkowników sposobem na niezależność od gigantów nie jest stawianie na mniejsze, drapieżne startupy pompowane przez venture capital. Na dłuższą metę one same chcą zostać gigantami. Albo chociaż im się oddać.

Pewniejszą alternatywą są programy open source. Że co, że gorsze i „nieprofesjonalne”? To można podzielić się na różnych forach rzetelnymi uwagami. Może autorzy poprawią niedoskonałości.
Poza tym takie programy, choć czasem toporne, nie usunęły użytkownikom tysięcy zdjęć. Chmura Adobe – ponoć appropriateprofessional na sto pro – usunęła :roll_eyes:

Zakusy rządzących

W tym roku nie tylko korporacje uderzały w ludzką wolność i prywatność. Wypłynęło również parę dziwnych inicjatyw ze strony instytucji unijnych.

Nim je przybliżę, nieco kontekstu – osobiście jestem przychylny Unii Europejskiej i uważam, że robią sporo dobrego, nieraz stawiając opór gigantom. Nigdy tej przychylności nie ukrywałem i jest częstym motywem w moich wpisach.

Przykład tego oporu? Ich DMA (Digital Markets Act) wreszcie nazywa rzeczy po imieniu – „big tech to osobna kategoria. Są bardziej wrośnięci w życie ludzi niż zwykłe firmy. Dlatego będą traktowani inaczej”.
Jak dla mnie – powiew świeżości po bezsensownym wtłaczaniu mikrobiznesów i megakorpo w jedne i te same ramy!

Ale…

Mimo całej swojej sympatii nie mogę być ślepy na działania niektórych instytucji. Czy to przez naciski lobbystów, czy to przez czyjeś niezrozumienie cyfrowych spraw – czasem próbują przepchnąć rzeczy, które byłyby zwyczajnie szkodliwe dla prywatności i swobód obywatelskich.

Kontrola czatów

Ten pomysł przybył od amerykańskiej organizacji Thorn. W Europie promowała go Ylva Johansson z Komisji Europejskiej, rzekomo w celu ochrony dzieci przed wykorzystaniem.

Według proponowanych przepisów na każdy komunikator (jak Signal, WhatsApp…) oraz apkę od e-maili nałożony zostałby obowiązek analizowania treści – przez algorytmy, nie ludzi. Gdyby algorytm wykrył próby wykorzystania nieletnich, to powinien zawiadomić odpowiednie osoby.

Brzmi szlachetnie? Również pod kątem prywatności ciut lepiej niż dawniejsze sugestie – bo te postulowały wprowadzenie furtek specjalnie dla rządów, wgląd do całości komunikacji.
Ale lepszy zły pomysł nadal jest zły. Streszczając mój wpis o kontroli czatów:

  • Automaty są zawodne.

    Nawet przy zwykłym rozpoznawaniu obrazu zdarzają się wpadki. Przy sprawach subtelniejszych, jak wykrywanie w tekście prób groomingu – tym bardziej. A stawką pomyłki jest tutaj wezwanie na komendę. Nawet jeśli sprawa szybko się wyjaśni, plotki mogą pójść w świat.

  • Kto chce, ten łatwo obejdzie ograniczenia.

    Nic nie stoi na przeszkodzi, żeby szybko i łatwo szyfrować pliki w innym programie. A do komunikatorów wrzucać tylko wersję wcześniej zaszyfrowaną. I już, cały system nieskuteczny.

  • W przyszłości może dojść do nadużycia systemu.

    „Hej, a może dodamy też skrypty wykrywające treści terrorystyczne?”. „Hej, a może antyrządowe?”. „Hej, w sumie ci dziennikarze piszący o przekrętach władzy to też tacy terroryści. Może jeszcze jakiś filtr na nich?”.

Wisienką na torcie był fakt, że Komisja Europejska wykupiła w internecie reklamy ocieplające pomysł w oczach opinii publicznej. Ale jednocześnie ustawili, żeby reklamy te nie wyświetlały się grupom skłonnym do sprzeciwu. Osobom obserwującym określone konta i hasztagi.
Wśród wykluczonych grup byli nie tylko sympatycy antyunijnych polityków. Najbardziej zszokowało mnie to, że umieszczono tam obserwatorów hasztagu #Qatargate. Dotyczącego całkiem realnej, niespiskowej afery korupcyjnej.

Streszczając: Komisja promowała w Europie pomysł z USA, raczej nieskuteczny przeciw przestępcom, ale uderzający w swobodną komunikację. Robiła to chyłkiem, wykluczając tę część społeczeństwa, która mogłaby protestować. Mamy autorytarne bingo? :roll_eyes:

W swoim wpisie wyraziłem nadzieję, że Parlament Europejski postawi się Komisji. I choć sam nie jest wolny od skandali (przykładem wspomniana aferka z Katarem), jest spora szansa na to, że proponowane prawo nie przejdzie.

Artykuł 45 i zaufanie regulowane ustawą

Poza kontrolą czatów promowano też wersję drugą eIDAS, przepisów regulujących kwestię cyfrowych dokumentów (pozwalających załatwiać więcej spraw elektronicznie).
Proponowana wersja druga – zasugerowana tym razem nie przez Komisję, lecz przez Radę Unii Europejskiej – zawierała niepokojący artykuł 45. Żeby zrozumieć zagrożenie, przyda się nieco kontekstu.

Współczesny internet opiera się na szyfrowaniu. Gdy odwiedzamy dowolną stronę zaczynającą się od https://, to nikt nie odczyta danych wymienianych między nami a stroną.

Można powiedzieć, że wymieniamy się otwartymi kłódkami z serwerem, na którym jest strona. A potem wysyłamy sobie różne rzeczy w pancernych pudłach zamkniętych na te kłódki. Tylko my mamy klucz do swojej, a serwer do swojej.

Ale cały ten system byłby nieszczelny, gdyby wszystkie kłódki były sobie równe.
Ktoś mógłby stanąć na drodze, między internautami a stronami, i przechwytywać wysyłane kłódki, po czym je podmieniać na takie, do których ma klucz. Po cichu, nie budząc niczyjego niepokoju – bo nie zmieniałby niczego w samych danych.

Z tego względu każda przeglądarka zawiera w sobie listę „zaufanych producentów kłódek”.
Mogą się na niej znaleźć tylko wybrane, wyspecjalizowane organizacje. Kiedy ktoś wysyła kłódkę, chcąc szyfrowanej wymiany, to oznacza ją certyfikatem od takiego zaufanego producenta, uzupełniając własnym.
Przeglądarka drobiazgowo analizuje łańcuszek certyfikatów i porównuje ze swoją listą. Jeśli coś jest nie tak, to wyświetla ostrzeżenie.

I tu właśnie wchodzi artykuł 45 nowych przepisów – nakładałby na twórców przeglądarek obowiązek ufania certyfikatom od określonych organizacji.
Gdyby nowe przepisy weszły w niezmienionym kształcie, a przeglądarki by posłuchały, to instytucje „dodane ustawą” – jeśli tylko by zechciały i zyskały wsparcie firm telekomunikacyjnych – mogłyby zacząć przechwytywać wysyłane dane, odszyfrowywać je i odczytywać na wielką skalę.

Bubel prawny czy próba celowego nadużycia? Niezależnie od przyczyny, to niepokojąca sprawa. Nagłaśniana przez całkiem znane organizacje, nie tylko niszowe Ciemne Strony. Między innymi przez podlinkowane wyżej EFF i Mozillę od Firefoksa, na stronce Last Chance for eIDAS.

Porada

Gdyby ktoś chciał zapamiętać, jak odróżnić eIDAS od kontroli czatów – to pierwsze dotyczy przeglądarek ogólnego przeznaczenia. To drugie – komunikatorów, czyli konkretnej kategorii aplikacji.

Co w 2024 roku?

W przyszłym roku szczególnie ciekawi mnie werdykt w sprawie przeciw Google’owi. Czy zostanie rozbity na zbiór mniejszych firm, robiąc wreszcie miejsce dla zdrowszej konkurencji?
Że tak zacytuję Forever Young, słowa z początku piosenki:

hoping for the best, but expecting the worst…

W każdym razie walka na pewno będzie trwała. Lobbyści, PR-owcy i politycy, czasem ramię w ramię, nie przestaną napierać, jojczeć że ich firmom jest źle, manipulować, szeleścić banknotami.

„Europko, zdejmij mnie te ograniczenia”.
„Europko, wprowadź ostrzejsze przepisy (żebym tylko ja je spełniał)”.
„Pani Polsko, nie chce pani kupić tego doskonałego garnka? Za jedyne kilkanaście miliardów!”.
„Obywatele! Chodźcie pod lupę dla własnego bezpieczeństwa”.

Ze swojej strony planuję przede wszystkim przebić barierę 100 wpisów, jest już całkiem blisko! Poza tym planuję nagłośnić parę kwestii wokół takiej propagandy jak ta wyżej. Ale nic więcej nie powiem.

Póki co – życzę owocnego przywitania nowego roku! :smile: Oby lepsze strony tego mijającego przeniosły się na kolejny, a gorsze zostały w przeszłości.

Kadr z filmu World War Z, pokazujący armię zombie próbującą przeskoczyć z autobusu na helikopter. Autobus jest podpisany 2023, zombie to 'Problemy roku 2023', a helikopter to 2024.

Źródło: kadr z filmu World War Z, znaleziony w internecie.