Facebook zrobił sobie model biznesowy z zamknięcia użytkowników w grodzonym ogródku. Utworzył swój własny monopol. To niesamowite, że nasi prawodawcy oraz instytucje typu UOKiK nie postrzegają sieci społecznościowych jako monopoli - mówi w wywiadzie Michał "rysiek" Woźniak, haker i ekspert ds. bezpieczeństwa sieci, prywatności, edukacji medialnej.
ikona lupy />
Michał "rysiek" Woźniak, haker, ekspert ds. bezpieczeństwa sieci, prywatności i edukacji medialnej / Media / Vanja Cerimagic

Masz konto na Facebooku?

Nie. Nigdy nie miałem.

Dlaczego?

Reklama

Facebook jest pewnym sensie pułapką. Serwis ten oferuje usługę pozostawania w kontakcie ze znajomymi, widzenia ich statusów, itp. Oczywiście gdyby nie było takiej potrzeby, to usługa ta nie byłaby oferowana. Problem natomiast polega na tym, że Facebook zrobił sobie model biznesowy z zamknięcia użytkowników w grodzonym ogródku. Utworzył swój własny monopol.

Jak to się przejawia?

Zauważmy, że jeśli mamy konta pocztowe na różnych serwerach, to możemy mimo to wysyłać do siebie maile. Z mediami społecznościowymi nie ma takiej możliwości. Załóżmy hipotetycznie, że masz konto na Facebooku, a ja mam konto na Twitterze, to nie jesteśmy w stanie się porozumiewać. Idzie to wbrew wszystkim intuicjom, które mieliśmy do tej pory - serwery mailowe „rozmawiały ze sobą”. To samo z telekomunikacją – jeśli mamy telefony u różnych operatorów, też ze sobą porozmawiamy. W stosunku do różnych skomplikowanych technologii znaleźliśmy metody, żeby te technologie się ze sobą komunikowały, niezależnie od dostawcy usługi. W przypadku Facebooka, Twittera czy Google Plus tej możliwości nie ma. Nazywam to monopolami społecznościowymi.

Zawsze można zamknąć konto.

I przez to nagle stracić wszystkie kontakty ze znajomymi, rodziną, rozmowy, etc. To jest bardzo ważna decyzja. Trudno tu „zagłosować nogami”. Doszło do tego, że na uniwersytetach oficjalnie zakłada się grupy na Facebooku, aby umawiać się na egzaminy, kolokwia. Gdybym teraz zechciał zamknąć konto, to staję się wykluczony z możliwości korzystania z mojego konstytucyjnego prawa do edukacji.

Jaki zatem mamy wybór, jeśli to konto już tam posiadamy?

Przede wszystkim warto wiedzieć, że są sieci społecznościowe, które nie zamykają użytkowników. Są one oczywiście dużo mniejsze np. sieć społecznościowa Fediverse, zaś najbardziej znane oprogramowanie, które ją realizuje, nazywa się Mastodon. Serwerów Mastodona są tysiące. Można zatem założyć sobie tam konto i korzystać z tego, że nie jest się przywiązanym do konkretnego administratora, który ma takie a nie inne polityki prywatności.

A jednak użytkownicy internetu masowo tego nie robią.

Tym, co trzyma nas na Facebooku, jest tzw. efekt sieciowy, czyli sytuacja, w której nie mogę zmienić dostawcy, ponieważ stracę kontakt z wszystkimi innymi użytkownikami.

Czyli de facto powstaje klasyczny monopol.

Tak, i niesamowite jest to, że nasi prawodawcy oraz instytucje typu UOKiK nie postrzegają sieci społecznościowych jako monopoli. Tymczasem jeśli spojrzymy na literę i ducha prawa, to są klasyczne monopole. Nie jestem bowiem w stanie uzyskać takiej samej usługi jak na Facebooku gdzie indziej, np. na Twitterze - nie dlatego, że nie da się napisać oprogramowania mającego identyczną funkcjonalność, ale dlatego, że ta usługa polega na kontakcie z użytkownikami konkretnej, zamkniętej sieci. Innymi słowy są to wertykalnie zintegrowane silosy, czyli żeby korzystać z sieci Facebook, trzeba mieć konto u dostawcy Facebooka, korzystać z aplikacji stworzonej przez Facebooka na serwerach Facebooka. Nie ma innej możliwości.

Monopole technologiczne z zamykania użytkowników zrobiły model biznesowy do tego stopnia, że jeśli ktoś ma problem z Facebookiem, to protestuje przeciw temu… założeniem grupy na Facebooku. To nic innego jak syndrom sztokholmski.

Wyobraźmy sobie, że UOKiK zauważa sieci społecznościowe. Co może zrobić?

Instytucja ta ma narzędzia do walki z monopolami. Jeśli miałbym coś zaproponować, to najprostszą rzeczą byłoby ustalenie dolnego limitu użytkowników (np. odsetek danej populacji albo konkretna liczba), po którego przekroczeniu sieć społecznościowa musiałaby otworzyć i udostępnić protokół. W efekcie powstałoby wielu dostawców i wtedy to ja bym decydował, co chcę mieć na serwerze Facebooka, a co nie.

Ten najprostszy ruch błyskawicznie zniszczyłby cały efekt sieciowy, na którym opiera się Facebook. Nagle okazałoby się, że nie jest ważne, u którego dostawcy ma się konto. Wówczas zaobserwowalibyśmy wybuch innowacji.

Przedstawiciele Facebooka próbują się przed tym bronić, tłumacząc, że regulacja tego typu zniszczy innowacje etc. Tymczasem to Facebook w tej chwili niszczy innowacje, gdyż nie można stworzyć innej sieci społecznościowej.

Pojawiają się dziś różne pomysły na temat tego, jak rozwiązać problem Facebooka. Mówi się np. o podziale, może nawet o nacjonalizacji.

Facebooka nie trzeba dzielić, nie trzeba bawić się w jakieś nacjonalizacje. Po pierwsze, wystarczy otworzyć protokół; a po drugie dać użytkownikom możliwość eksportu i importu danych w standardowym formacie. Dzięki takiej standaryzacji będę mógł przenieść swoje posty, lajki, rozmowy na inną platformę. Tymczasem dziś dostajemy wydruk z Facebooka i za bardzo nie wiadomo, co z tym zrobić.

Takich systemowych rozwiązań jak dotąd nie ma. Co w takim razie możemy zrobić na poziomie pewnej strategii osobistej? Ustaliliśmy już, że zamknięcie konta na FB nie jest rozwiązaniem.

Oczywiście cieszę się, że taka akcja #deletefacebook istnieje i że ludzie zamykają konta, odbierając Facebookowi kilka GB danych rocznie. Jeśli jednak mowa o jakiejś masowej zmianie, to lepszą strategią jestrównoległe założenie konta na otwartej sieci społecznościowej.

Niszczymy w ten sposób efekt sieciowy, który trzyma innych użytkowników na Facebooku. Na Mastodonie są już dziennikarze oraz bardzo dużo ekspertów od ochrony informacji. Stało się to mniej więcej rok temu, gdy nastąpiła pierwsza fala zakładania kont. Dzięki temu ja sam mam możliwość rozmawiania z tymi ludźmi, wcześniej na FB nie było to możliwe. Mogę też dziś powiedzieć: „nie musicie mieć konta na FB”.

Załóżmy jednak, że wciąż mam to konto na FB. Co jeszcze mogę zrobić w ramach osobistej strategii?

Kolejną strategią byłoby blokowanie wszystkiego, czego używa Facebook, aby nas śledzić w sieci. Zachęcam przy tej okazji do instalacji rozszerzeń typu Privacy Badger czy disconnect.me, które blokują guziki Facebooka. Trzeba bowiem wiedzieć, że te guziki są pobierane bezpośrednio z Facebooka, wiec ich serwer wie, kto, kiedy i gdzie wszedł. Jeśli jestem zalogowany, to jest to podłączone do mojego konta, a jeśli nie, to jak tylko się zaloguję, to te historyczne dane też zostaną podpięte do mojego konta. Zablokowanie tych guzików odbiera Facebookowi bardzo dużo danych, na których im zależy.

Mozilla też wypuściła już rozszerzenie do Firefoxa o nazwie Facebook Container, które tworzy specjalną zakładkę w przeglądarce tylko do obsługi Facebooka. Zakładka ta jest zupełnie oddzielona od wszystkiego, co robimy w naszej przeglądarce. W efekcie Facebookowi dużo trudniej jest nas śledzić na jakichkolwiek innych stronach.

Problemy z prywatnością na FB to jednak wierzchołek góry lodowej. Weźmy choćby popularną dziś bankowość internetową, z której tak chętnie korzystamy.

W światku osób zajmujących się bezpieczeństwem informacji jest takie powiedzenie, że jedyny bezpieczny system to taki, który jest odłączony od Internetu, od prądu i dodatkowo zakopany 20 m pod ziemią, a do tego ma zaszyfrowany i dysk, zaś hasło zostało zniszczone i wtedy być może te dane nie wyciekną.

Chcę przez to powiedzieć, że z bezpieczeństwem informacji jest trochę jak ze zdrowiem – nie możemy mówić tu o systemie zerojedynkowym, czyli że albo ono jest, albo go nie ma. To nie jest stan, ale proces. Codziennie myjemy ręce przed jedzeniem, myjemy zęby, niektórzy wykonują ćwiczenia fizyczne, aby zachować formę. Wszystkie te działania nie spowodują, że zawsze będziemy zdrowi, ale zmniejszają ryzyko.

Zapytam wobec tego inaczej: czy jako ekspert od bezpieczeństwa informacji korzystasz z bankowości elektronicznej?

Tak, ale np. na wszystkich kontach, zarówno tych bankowych, ale też w mediach społecznościowych, mailowych, upewniam się, że mam włączone uwierzytelnianie dwustopniowe. Czyli wpisuję hasło, a później dostaję smsa, żeby potwierdzić, że ja to ja. Jest to niezmiernie istotne. To jedna z najprostszych i najlepszych rzeczy, jakie możemy zrobić.

Akurat banki wymuszają dziś to rozwiązanie na tym czy innym poziomie, ale taka możliwość istnieje też na Twitterze, na Facebooku, na Gmailu. Właściwie każda sensowna usługa w internecie dziś już obsługuje uwierzytelnianie dwustopniowe, a jeśli nie, to trzeba się tego głośno domagać.

Porozmawiajmy przez moment o tym, co bezpośrednio kojarzy się bezpieczeństwem, czyli o hasłach.

To jeden z największych problemów w kontekście bezpieczeństwa informacji. Przez całe dekady środowisko zajmujące się bezpieczeństwem miało kiepskie podejście do haseł. Wynikało to z tego, że nie robiono badań, często nie było na to pieniędzy. Poza tym specjaliści od bezpieczeństwa patrzyli na to z punktu widzenia informatyki – czyli musimy mieć skomplikowane hasła, bo dzięki temu trudno będzie je odgadnąć. I oczywiście nie możemy ich zapisywać na karteczkach, bo ktoś nam ukradnie lub zobaczy.

A nie jest to prawda?

Owszem, ale ludzki mózg nie działa w ten sposób. Po prostu nie jesteśmy w stanie zapamiętać kilkudziesięciu haseł, więc musimy się jakoś zmierzyć z tym, że będziemy je zapisywać lub powtarzać czy używać podobnych haseł na wielu portalach. I właśnie dlatego duże wycieki danych - np. z Yahoo - są takim problemem. Hasła użyte w Yahoo często działały dla tego samego użytkownika w innej usłudze.

Co zatem proponujesz?

Zamiast używać tego samego hasła w wielu miejscach, dużo lepiej jest mieć menedżera haseł i pamiętać tylko jedno hasło: do menedżera haseł. Narzędzie to wygeneruje nam wspaniałe, bardzo mocne hasła, które są nie do złamania.

Tutaj rodzi się kolejna wątpliwość - czy możemy mieć zaufanie do samego menedżera haseł?

To zależy do jakiego. Jeżeli słyszę o jakimkolwiek rozwiązaniu, które trzyma cokolwiek w chmurze, zaczynam być bardzo podejrzliwy. Nie wiem wówczas, czy te hasła są już zaszyfrowane, gdy trafiają do chmury lub czy ten menedżer haseł zarządza nimi poprawnie. Ja używam narzędzia, które trzyma hasła w pliku u mnie na komputerze. Wtedy oczywiście to ja jestem odpowiedzialny za to, żeby mieć backupy tego pliku i jedyne co muszę, to pamiętać hasło do menedżera, gdzie znajdują się wszystkie moje hasła.

Dotykamy tym samym kolejnego ważnego problemu, czyli backupów.

Szanowni Państwo – róbmy backupy! Nie ma lepszego sposobu na poradzenie sobie z atakiem typu ransomware. Chodzi tu o sytuację, w której oprogramowanie szyfruje nam wszystko, co mamy na komputerze i każe nam zapłacić w bitcoinach za to, żeby to odblokować. Jeśli mamy backupy, to kasujemy wszystko i przywracamy z backupów.

Zmieńmy nieco temat. Zajmujesz się m.in. zbieraniem absurdów związanych z prawami autorskimi. Co jest dziś z nimi nie tak?

Sama nazwa „prawa autorskie” jest pewnym oszustwem, ponieważ większość tych praw służy wydawcom, a nie bezpośrednio autorom. Nawet jeśli spojrzymy na to historycznie, to jednym z pierwszych aktów w obszarze praw autorskich był Statut Królowej Anny w Wielkiej Brytanii z 1710 roku. Było to prawo stricte dla wydawców. Chodziło wówczas o to, aby zabezpieczyć prawa wydających jakąś książkę tak, aby inni nie mogli już tej książki wydawać przez jakiś okres czasu. Statut Królowej Anny określał, że prawo autorskie obowiązuje przez 20 lat od daty publikacji. Dziś jest to 70 lat i już nie od daty publikacji, ale od… daty śmierci autora.

Radykalna różnica.

Tak, dlatego jeśli w XIX wieku ktoś wychował się na jakimś tekście i potem dorastał, to mógł ten tekst wprowadzić w nowe realia, w nowy język. Dziś jest to niemożliwe. Poczciwa Myszka Miki będzie już prawie zawsze tą samą Myszką Miki. To ogromny problem, który dławi kulturę.

A przy okazji opłaca się wielkim.

Tak, interesy dużych konglomeratów medialnych, wydawców jak Disney, są stawiane nie tylko ponad interesami autorów, którzy chcą z kulturą coś robić, ale też ponad kwestiami bezpieczeństwa informacji.

Jakieś przykłady?

Amerykańskie prawo DMCA uniemożliwia inżynierię wsteczną urządzeń, które służą do wprowadzania zabezpieczeń zapisu. Oznacza to, że w USA nie mogę legalnie spojrzeć na jakiś program, który daje dostęp np. do filmów i stwierdzić, że otwiera on dziesięć dziur w systemie. To jest nielegalne, gdyż narusza prawa autorskie.

Klucze szyfrujące, w tym używane w systemach ochrony przed kopiowaniem, to po prostu bardzo duże liczby - a na mocy DMCA, stają się wyłączną własnością koncernów, które ich użyły do zaszyfrowania danego utworu. Zupełny absurd.

Uważasz też, że prawo autorskie potrafi być narzędziem odbierania własności.

Tak, sprawa dotyczy np. amerykańskich ciągników John Deere. Firma ta umieszcza w traktorach oprogramowanie zarządzające silnikiem, urządzeniami, etc. Wydawałoby się, że jeśli kupuję ten ciągnik, to jest on mój, mogę go rozebrać, naprawiać, łączyć – słowem: robić z nim co chcę. Tymczasem producenci urządzeń umieszczają w nim oprogramowanie, które jest chronione prawem autorskim. W efekcie kupuję coś, co jest licencjonowane, czyli nie w pełni moje. Nagle okazuje się, że nie mogę tego urządzenia naprawić, rekonfigurować. To jest wielki problem dla rolników, ale też dla większości z nas, bowiem zwykłe samochody lada moment będą miały to samo.

BMW zostało złapane w USA na manipulacji normami emisji spalin na poziomie oprogramowania. Dziś koncern ten może się bronić, że nie można zaglądać do kodów i określić, gdzie są dziury, bo chronią je prawa autorskie. A co będzie z samochodami autonomicznymi? Czy będę mógł spojrzeć na oprogramowanie, od którego będzie zależało, czy w razie trudnej sytuacji auto skręci w prawo i zabije pięć osób czy może wjedzie w drzewo i zabije kierowcę?

Czy jest jakieś sensowne wyjście z tej sytuacji?

Przede wszystkim zastanowiłbym się, czy oprogramowanie tak mocno związane z konkretnym sprzętem powinno być chronione prawem autorskim.

Druga rzecz – naprawdę nie rozumiem, dlaczego firma John Deere nie może wypuścić tego oprogramowania na wolnej licencji. Rozwiązaniem absolutnie minimalnym powinno być pozwolenie na modyfikację i ingerencję w oprogramowanie na własny użytek.

Innymi słowy, jeśli kupujesz sprzęt, którego istotną częścią jest oprogramowanie, to masz prawo modyfikować, naprawiać je jak ci się żywnie podoba, na własny użytek.

Na koniec wyjaśnij jedną rzecz: dlaczego jako haker apelujesz, że zamiast informatyki w szkołach powinniśmy prowadzić edukację medialną?

Podstawowe pytanie, które musimy sobie zadać, brzmi: jaki jest główny cel wprowadzania informatyki do szkół? Zupełnie nie rozumiem, dlaczego uczymy dzieci jednego konkretnego pakietu Office przez lata najpierw w szkole podstawowej, a potem średniej. Jeżeli są to narzędzia do pisania wypracowań, to powinno to być na języku polskim, jeśli zaś są to narzędzia do obróbki danych, to powinno to być na fizyce lub matematyce.

Natomiast na tym, co się dziś nazywa „informatyką”, można by robić edukację medialną.

Czyli co?

Uczyć, jak weryfikować fakty w internecie, jak sprawdzać źródła. Krótko mówiąc, powinno się nauczyć wszystkich korzystających z Internetu, że nie wszystko jest prawdą. Dodatkowo powinno się uczyć, jak być bezpiecznym w sieci, jak przechowywać hasła, etc. To są ogromne tematy.

A co z modnym dziś programowaniem?

Nie można sprawić, że każdy zostanie programistą, to się nie uda. Oczywiście programowanie powinno być, ale tylko na tyle, żeby dać dzieciakom poczucie, że komputer to nie jest czarne pudełko, ale ich narzędzie. Dzięki temu ci, którzy nie pójdą na studia informatyczne, nie będą się bali używać tego sprzętu, który daje nieprawdopodobne możliwości. Natomiast ci, którzy się tym zafascynują, zostaną fantastycznymi programistami.

BIO: Michał „rysiek” Woźniak. Ekspert w dziedzinie bezpieczeństwa sieci, prywatności, edukacji medialnej. Działacz społeczny, propagator wolnego oprogramowania. Członek-założyciel Warszawskiego Hackerspace, aktywny członek społeczności hakerskiej w Polsce i poza jej granicami. Obecnie dyrektor ds. bezpieczeństwa informacji w Organized Crime and Corruption Reporting Project.

Wywiad przeprowadzono w czasie Personal Democracy Forum CEE 2018 w Gdańsku, organizowanego przez Fundację ePaństwo i sieć Transparencee.