Bezpieczeństwo fotografa w Internecie

Dominik Miklaszewski
by Dominik Miklaszewski

Tags

  • internet
  • security

W dzisiejszych ciekawych czasach, ciężko jest nie używać Internetu. W fotografii, wobec różnych korzyści, jest to raczej niemożliwe.

Jakie cele realizuje fotograf z Internecie

  • prezentacja swoich prac,
  • nawiązywanie kontaktów (media społecznościowe),
  • rozgłos, marketing i reklama (np. udział w konkursach),
  • dostęp do informacji (fachowej, związanej z w/w celami),
  • zakupy/sprzedaż (sprzęt, materiały, prace, zlecenia).

Jakimi zasobami dysponuje fotograf

  • własna tożsamość (dane osobowe),
  • własne dobra osobiste (dane wrażliwe i informacje drażliwe),
  • własny portfel,
  • własny komputer i jego zasoby,
  • własne prace,
  • własne domostwo/warsztat pracy,
  • sprzęt i zasoby fotograficzne.

Każda aktywność życiowa niesie za sobą jakieś ryzyko. Konsekwencje materializacji ryzyk mają wpływ na nasze zasoby, czyli: życie i zdrowie nasze i naszej rodziny, jej pomyślność i samopoczucie, a także, jak to się ładnie nazywa: dobrostan. A w przypadkach skrajnych, niekiedy na nasze zdrowie i życie. Ryzyka można łagodzić, omijać lub też przenosić na kogoś innego.

Ryzyko to potencjalna strata. Takie straty są wynikiem oddziaływania różnych zagrożeń właśnie na nas. A my, jak każdy człowiek ma swoje słabości - niewiedzę, nieuwagę, roztargnienie, bałaganiarstwo, nadmierną pewność siebie. Te słabości w określonych warunkach i okolicznościach (sprzyjających temu że dane zagrożenie nas dopadnie) mogą powodować, że będziemy “stratni”.

W artykule tym zamierzam wykazać, że spojrzenie na działalność fotografa w internecie jest taką samą działalnością jak każda inna aktywność biznesowa, aby z tego punktu widzenia móc ocenić ryzyka związane z tą działalnością oraz wpływ na tenże biznes. A także udowodnienie ogromnego błędu fotografów-użytkowników Internetu (chyba innych fotografów już nie ma?), polegającego na przeświadczeniu “że nic mi się stać nie może, przecież ja tylko wrzucam tam swoje gnioty..” lub też „a co ja mogę stracić, przecież ja nic nie mam”. (Otóż okazuje się że „masz” i to całkiem sporo – np. opłaty abonamentowe i billingi telefoniczne. )

Aktywność w internecie jest ściśle związana (wręcz niemożliwa do zrealizowania bez tychże) z technologią i techniką. Aspekt techniczny ma tutaj znaczenie koronne. I tym aspektem się zajmiemy.

Bez wnikliwego wnikania w taksonomię ryzyk, podzielę te “czyhające” na fotografa w internecie na grupy związane z w/w celami:

  • Prezentacja prac – kradzież lub zawłaszczenie prac, nielegalne kopiowanie itp.
  • nawiązywanie kontaktów - niewygodne znajomości, naruszenie dobrego imienia, ostracyzm itp.
  • Rozgłos i reklama - nieuczciwa konkurencja (tzw. flame),
  • Zakupy i sprzedaż - oszustwa wszelkiego rodzaju (kradzież pieniędzy, wadliwy towar itp.)

Ponad to, z całą aktywnością internetową wiążą się następujące ryzyka:

  • kradzież tożsamości (tracimy pieniądze, prywatność, dobre imię, itp.),
  • przejęcie zasobów sprzętu informatycznego - stacjonarnego i mobilnego (tracimy dane, dostęp do nich, czas, nerwy, dostęp do Internetu, pieniądze z konta, itd.),
  • utrata sprzętu fotograficznego, (włamanie i kradzież, sprzedaż sprzętu nieuczciwemu kupującemu posługującemu się fałszywymi dowodami zakupu, kartami kredytowymi itd.)

Zasoby które powinniśmy zabezpieczyć to:

  • nasze informacje prywatne (dane osobowe, dane wrażliwe, informacje o zakupach, sprzedaży),
  • nasz komputer,
  • nasz smartfon,
  • nasze zasoby internetowe - nasza skrzynka e-mailowa, konta i ich zawartość (treści) w serwisach internetowych (galerie fotograficzne, witryny społecznościowe itp.).

Główne zasady

Aktywność internetowa - nie dzieje się sama z siebie, do tego służy nam komputer, laptop, bądź smartfon z wszelkimi niezbędnymi zasobami informacyjnymi do uwierzytelnienia i zalogowania się do usług internetowych (bankowości, społeczności, platform typu Allegro, OLX, eBay), no i oczywiście z bezpiecznym dostępem do internetu.

Musimy mieć pewność, że nasz komputer naprawdę jest nasz i mu ufamy; Że naszym danym możemy ufać i są one spójne w takim stanie jakim sobie życzymy aby były, w dowolnym momencie i dostępne, kiedy są nam potrzebne. W tym celu, musimy być pewni, że wszelka interakcja z zasobami internetowymi jest bezpieczna czyli:

  • Mamy możność weryfikacji tożsamości stron z którymi się komunikujemy, tzn. wiemy, że witryna Ebay to witryna Ebay, że Kowalski, który prosi nas do swojej listy kontaktów jest tym Kowalskim którego znamy i nie mamy nic przeciw temu, by się na takiej liście znaleźć;
  • Zachowana jest poufność transmisji (tzn. o zawartości tej transmisji wiedzą tylko dwie strony: nadawca i odbiorca), ważne szczególnie przy uwierzytelnianiu (logowaniu się do serwisów) - a więc szyfrowanie połączeń,
  • Zachowana jest spójność i jakość przesyłanych danych (nikt niczego nie zmieni w trakcie transmisji), ani też odbiorca nie zmieni niczego bez naszej wiedzy i akceptacji,
  • Mamy gwarantowany dostęp do naszych danych lokalnych, a do internetowych - na zasadach, które zostały nam wyjaśnione i przez nas zaakceptowane.

Poniższe zasady winny znaleźć swoje zastosowanie w każdym aspekcie użytkowania Internetu i gospodarowania własnymi zasobami informatycznymi. Są to zasady, nazwijmy je – technologiczne czy też techniczne.

  1. Podawaj minimum danych o sobie – np. wszelkich serwisom fotograficznym Twoje dane typu data urodzenia, miejsce urodzenia czy zamieszkania nie są DO NICZEGO potrzebne, w tym sensie – że nie oferują w zamian żadnej wartości dodanej dla użytkownika (chyba, że za taką uważać np. email z życzeniami urodzinowymi „od redakcji”),
  2. Nie ma darmowych serwisów w Internecie, jeśli nie zapłacisz środkami pieniężnymi, to zapłacisz swoimi danymi i swoim czasem (np. za niską jakość serwisu i nikłą ochroną użytkownika),
  3. Nigdy nie używaj tego samego hasła dla wielu kont emailowych,
  4. Nigdy nie używaj tego samego hasła dla wielu kont w serwisach internetowych,
  5. Nigdy nie używaj tych samych loginów dla kont w serwisach internetowych,
  6. Nie używaj swojego podstawowego adresu email do weryfikacji różnych kont w serwisach internetowych.
  7. Załóż konto e-mailowe zapasowe,
  8. Nie używaj tej samej nazwy w różnych adresach emailowych, np. janleniwy@gmail.com, janleniwy@o2.pl janleniwy@apple.com itd.),
  9. Hasło dla kont powinno być co najmniej 8 znakowe i zawierać wielkie litery, liczby;
  10. Dla serwisów w których dokonujemy operacji finansowych (zakupy, przelewy, sprzedaż) takich jak paypal, allegro, Ebay, serwisy bankowości elektronicznej, powinniśmy mieć wydzielony i nieużywany gdzie indziej adres email zgodny z zasadami opisanymi powyżej;
  11. Nie loguj się do serwisów internetowych poprzez niezaufane sieci publiczne (które np. nie mają szyfrowania, bądź mają je słabe – WEP, WPA, WPA2);
  12. Nie loguj się do serwisów internetowych z niezaufanych komputerów (kafejki internetowe, „laptop kolegi” itp.);
  13. Wyłącz formatowanie HTML w wiadomościach poczty elektronicznej. Przeciwdziała to ukrytym linkom i podstawionemu kodowi, który może wykorzystać podatności i słabości systemu operacyjnego i oprogramowania klienckiego poczty elektronicznej.
  14. Nie instaluj niesprawdzonego oprogramowania w zaawansowanych telefonach komórkowych (smart fonach). Pamiętaj, że kodu zgłaszanego do popularnych repozytoriów typu AppleStore czy Android Apps nikt specjalnie nie weryfikuje pod kątem bezpieczeństwa.
  15. Jako, że programiści aplikacji na telefony nie nauczyli się jeszcze (chociaż mieli mnóstwo czasu) stosować powszechnie rozwiązań kryptograficznych w aplikacjach urządzeń przenośnych (smartfony i PDA) staraj się stosować praktyki opisane w punktach 11 i 12.

Ochrona komputera

  1. Regularny backup na zewnętrzny nośnik pamięci masowej,
  2. Szyfrowanie WPA2 i hasła w rodzaju: 0!Niest-andar#dow3!0),
  3. Ochrona antywirusowa oraz przed wszelkim oprogramowaniem typu malware regularnie aktualizowana,

Przeglądarka internetowa

Przeglądarka internetowa (podstawowe narzędzie internauty) jest GŁÓWNĄ BRAMĄ dla nieautoryzowanego dostępu do naszych zasobów lokalnych. Dlatego winna posiadać zabezpieczenia przed:

  1. Nieautoryzowanymi skryptami webowymi (javascript, activex, flash),
  2. Wyłączona opcja trackingu przez serwisy internetowe,
  3. Blokowanie wyskakujących okienek i reklam,
  4. Blokowanie nieautoryzowanych ciasteczek, pozostawianych na naszym dysku przez wszelkie witryny internetowe,
  5. Ostrzeżenia przed phishingiem (fałszywymi stronami legalnych serwisów),
  6. Ostrzeżenia przed przekierowaniami na inne strony,
  7. Wymuszanie obsługi HTTPS tam gdzie jest ona dostępna,

UWAGA: Przeglądarka jest często niedoceniana, a przecież to w środowisku przez nią kontrolowanym, często, przechowywane są wszelkie loginy i hasła do serwisów internetowych. Innymi słowy – na dysku naszego komputera. Wypada rozejrzeć się, za bezpiecznymi rozwiązaniami przechowywania loginów i haseł, dzięki którym nie będą one dostępne bezpośrednio w środowisku samej przeglądarki.

Zasady szczegółowe

W poniższych zasadach, zawarłem wskazówki dotyczące wszelkiej interakcji z innymi użytkownikami Internetu i użytkowania serwisów fotograficznych oraz społecznościowych (często granica między nimi jest dość nieostra).

Wskazówki te opisują pewne zachowania, czy też ostrożność, które należy przedsięwziąć wraz z zastosowaniem zasad opisanych powyżej.

Trzeba mieć również na uwadze fakt, zasygnalizowany już powyżej w tekście, że pewna „darmowość” większości serwisów internetowych okupiona jest udostępnieniem wielu danych, wprost nas identyfikujących i profilujących, a także minimalnym stopniem zabezpieczeń interakcji z danym serwisem (ryzyko przejęcia sesji, uwierzytelnianie hasłem „lecącym” w Internecie tekstem jawnym) oraz zabezpieczeń samego serwisu (brak kontroli danych wejściowych, pełna informacja o stronie technologicznej serwisu, brak gwarantowanej dostępności, długi czas reakcji na awarie itp.)

  1. Ograniczone zaufanie – najwięcej kłopotów w Internecie sprawia manipulacja społeczna, podszywanie się, bądź wykorzystywanie naszych danych przeciwko nam – bądź ostrożny w nawiązywaniu kontaktów i przekazywaniu ważnych o sobie informacji;
  2. Nie ufaj linkom i odnośnikom, nawet przesłanych nam przez przyjaciół i znajomych. Nie znamy ich „apetytu na ryzyko” czy poziomu zabezpieczeń (czy raczej nie wiemy, jak bardzo w danym momencie są nieuważni, czy lekkomyślni), np. email wysłany przez przyjaciela do nas po angielsku, powinien „zapalić lampkę alarmową”;
  3. Nie ufaj wszelkim „zaproszeniom” wysyłanym przez portale społecznościowe; zdarza się, że takie zaproszenie jest spreparowane i zamiast skutkować wciągnięciem znajomego/znajomej na listę naszych kontaktów zainstalujemy sobie jakiś przykry kawałek kodu na naszym komputerze albo i telefonie!
  4. Nie mieszaj kontaktów towarzyskich i osobistych z kontaktami zawodowymi. W przypadku fotografii, po prostu konkurencja ma ułatwione zadanie, a nie wszyscy „grają” zgodnie z zasadami;
  5. W przypadku, gdy zajmujemy się fotografią amatorsko – nasze prace (znany przypadek) mogą zostać wykorzystane przeciwko nam w jakichś rozgrywkach wewnątrz organizacji w której pracujemy (na portalu facebook.com istnieje nawet grupa „zwolnieni z powodu Facebooka”);
  6. Ujawniając swoje dane typu imię i nazwisko, miej na uwadze, że od tej pory wszelkie nasze słowa zapisane w serwisach internetowych zostaną szybko zidentyfikowane, skojarzone i być może użyte przeciwko nam (np. w procesie rekrutacyjnym, w działaniach kompromitujących itd.); A więc – zasada umiaru w wyrażaniu poglądów, w dyskusjach jest dość ważna;
  7. Chroń swój wizerunek – jeśli znajdujesz się w towarzystwie, którego nie znasz, bądź nie znasz dobrze – pilnuj by nikt nie robił zdjęć, które mogą gdzieś, kiedyś „wypłynąć” w sposób przez nas niekontrolowany, w kontekście który może być dla nas nieakceptowany. Jeśli już pozwolimy na zdjęcie, poinformujmy tę osobę, że wszelka publikacja MUSI uzyskać naszą zgodę;
  8. Nie chwal się specjalnie swoim sprzętem fotograficznym; Bo jeżeli można w Internecie uzyskać nasze dane osobowe, miejsce zamieszkania to prosimy się o „niezapowiedzianą wizytę” i „zniknięcie” tegoż sprzętu. Czyść dane EXIF z plików graficznych wysyłanych do serwisów fotograficznych i nie umieszczaj całej litanii sprzętowej w stopce.
  9. W ramach stosowania zasady w pkt 1. starajmy się ograniczać „widzialność” naszych profili internetowych tylko do grona osób w jakiś sposób zaufanych, szczególnie tam gdzie podajemy swoje personalia.

Regulaminy portali i konkursów

Czytaj regulaminy wszelkich społeczności internetowych oraz konkursów fotograficznych. Należy zwrócić szczególnie uwagę na następujące aspekty:

  1. Jaką odpowiedzialność bierze na siebie właściciel i organizator;
  2. Czy zgodnie z prawem, organizator i właściciel podał adres i dane kontaktowe, które można zweryfikować (jeśli jest to tzw. osoba prawna?);
  3. Czy w zrozumiały sposób opisana jest procedura odzyskiwania zasobów na wypadek utraty do nich dostępu?
  4. Czy ta procedura jest bezpieczna, czy tylko ja jestem w stanie udzielić serwisowi wymaganych informacji aby odzyskać dostęp?
  5. Czy w zrozumiały sposób opisana jest dostępność zasobów?
  6. Co dzieje się z naszymi danymi, które musimy podać by uczestniczyć w przedsięwzięciu?
  7. Czy wymagane są nasze dane osobowe i opisane jest co się z nimi dzieje zgodnie z ustawą (np. zgoda na ich przetwarzanie NIE MOŻE być inkluzyjna, tzn. że dykteryjka o tym, że „klikając w AKCEPTUJĘ, zgadzam się na przetwarzanie itd..” jest błędna i niewiążaca bo nieważna!)?
  8. Czy właściciel i organizator jasno pisze co dzieje się z naszymi zasobami – pracami, które podlegają prawu autorskiemu?
  9. Czy procedura kasowania naszych danych oraz konta jest precyzyjnie opisana i czy gwarantuje nam „ostateczność” takiej operacji, a więc skasowanie bezpowrotne.
  10. Jeśli jakieś usługi są płatne – czy jasno pisze ZA CO płacimy? Jeśli płacimy, np. za „możliwość” to jak ta możliwość jest gwarantowana?

Podsumowanie

Naturalnie, przedstawione zasady nie gwarantują nam 100% bezpieczeństwa. Nic nie gwarantuje takiego bezpieczeństwa. Zawsze można je, jednak je jakoś podnieść, czyli ograniczyć oddziaływanie zagrożeń w taki sposób, że jednocześnie będziemy się czuć w miarę bezpiecznie, a zastosowane środki nie będą uciążliwe dla naszej działalności internetowej. Zasady te, mogą stać się przyczyną bólu głowy i stresu. Należy je stosować z rozwagą i poszerzać wiedzę na temat używanej technologii; Zarówno bezpieczeństwo jak i ryzyko to nie dogmaty. Ich poziom i ocena zależy i należy do nas. Pewne działania powinny jednak wejść w nawyk – tak jak u kierowcy, przed zmianą pasa, rzut okiem w lusterko boczne i obejrzenie się za siebie czy nic nie jedzie w martwej strefie. Parę sekund, a jak pomaga. Proszę też o jedno, nie mylić beztroski i niefrasobliwości, które nie zostały jeszcze ukarane, z poczuciem bezpieczeństwa.

Sceny z życia

Poniżej przedstawiam przykład, moim zdaniem, pewnej niefrasobliwości i nieostrożności użytkownika Internetu.

Użytkownik znanego serwisu społeczności fotografów amatorów. Podaje swoje imię i nazwisko. W EXIFie jego ostatniej fotki możemy odczytać, że posługuje się sprzętem: Nikon D3, obiektywem 16-35/4.0G ED VR i używa Maca z prawdopodobnie legalną kopią Photoshop CS6!. Szybka kwerenda na ceneo.pl pozwala nam oszacować sprzęt na ok. 7000zł puszka + 3000zł obiektyw + ok. 3500zł MacBook/iMac (na byle czym Fotoszop CS6 nie pójdzie). Razem mamy ok. 13500zł.

W profilu użytkownika znajdujemy adres strony domowej z unikalna nazwą domeny w domenie .pl; Zajrzyjmy do whois.pl – et voila: mamy adres fizycznej osoby, która zarejestrowała domenę. Ostatnia modyfikacja w czerwcu 2012 – więc bardzo świeża, pozwalająca nam domyślać się, że właśnie tam znajduje się wyżej wymieniony sprzęt. Zebranie całego zestawu informacji zabrało ok. 5 minut posługując się przeglądarką internetową.

..temat jest bardzo rozwojowy, może coś jeszcze o nim napiszę. :)