Fotografia

Tempus Fugit

Fotografia i internet

W dzisiejszych ciekawych czasach, ciężko jest nieużywać internetu. W fotografii, wobec różnych korzyści, jest to raczej niemożliwe.


1. Wybrane aspekty bezpieczeństwa fotografa w internecie.

1.1 Jakie cele realizuje fotograf z Internecie

  • prezentacja swoich prac,
  • nawiązywanie kontaktów (social networking),
  • rozgłos i reklama (udział w konkursach),
  • dostęp do informacji (fachowej, związanej z w/w celami),
  • zakupy/sprzedaż (sprzęt, fotografia).

1.2 Jakimi zasobami dysponuje fotograf

  • Własna tożsamość (dane osobowe),
  • własne dobra osobiste (dane wrażliwe i informacje drażliwe),
  • własny portfel,
  • własny komputer i jego zasoby,
  • własne prace,
  • własne domostwo/warsztat pracy,
  • sprzęt i zasoby fotograficzne.

Każda aktywność życiowa niesie za sobą jakieś ryzyko. Konsekwencje materializacji ryzyk mają wpływ na nasze życie, życie naszej rodziny, jej pomyślność i samopoczucie. A w przypadkach skrajnych, niekiedy na nasze zdrowie i życie. Ryzyka można łagodzić, omijać lub też przenosić na kogoś innego.

W artykule tym zamierzam wykazać, że spojrzenie na działalność fotografa w internecie jest taką samą działalnością jak każda inna aktywność biznesowa, aby z tego punktu widzenia móc ocenić ryzyka związane z tą działalnością oraz wpływ na tenże biznes. A także udowodnienie ogromnego błędu fotografów-użytkowników internetu (chyba innych fotografów już nie ma?), polegającego na przeświadczeniu “że nic mi się stać nie może, przecież ja tylko wrzucam tam swoje gnioty..” lub też „a co ja mogę stracić, przecież ja nic nie mam”. (Otóż okazuje się że „masz” i to całkiem sporo – np. opłaty abonamentowe i billingi telefoniczne. )

Aktywność w internecie jest ściśle związana (wręcz niemożliwa do zrealizowania bez tychże) z technologią i techniką. Aspekt techniczny ma tutaj znaczenie koronne. I tym aspektem się zajmiemy.

Bez wnikliwego wnikania w taksonomię ryzyk, podzielę te “czyhające” na fotografa w internecie na grupy związane z w/w celami:
  • Prezentacja prac – kradzież lub zawłaszczenie prac, nielegalne kopiowanie itp.
  • nawiązywanie kontaktów - niewygodne znajomości, naruszenie dobrego imienia, ostracyzm itp.
  • Rozgłos i reklama - nieuczciwa konkurencja (tzw. flame),
  • Zakupy i sprzedaż - oszustwa wszelkiego rodzaju (kradzież pieniędzy, wadliwy towar itp.)

Ponad to, z całą aktywnością internetową wiążą się następujące ryzyka:
  • kradzież tożsamości (tracimy pieniądze, prywatność, dobre imię, itp.)
  • przejęcie zasobów sprzętu informatycznego - stacjonarnego i mobilnego (tracimy dane, dostęp do nich, czas, nerwy, dostęp do Internetu itd.);

Zasoby które powinniśmy zabezpieczyć to:
  • nasz komputer (laptop)
  • nasz telefon
  • nasze zasoby internetowe - nasza skrzynka emailowa, konta w serwisach internetowych (galerie fotograficzne, witryny społecznościowe itp.).

2. Zasady główne

2.1 Aktywność internetowa

Aktywność ta, składa się ogólnie rzecz ujmując z następujących elementów:
  • Nasz komputer,
  • Transmisja do/z naszego komputera,
  • Zasoby lokalne (dane na naszym komputerze),
  • Zasoby internetowe (zdalne);

Musimy mieć pewność, że nasz komputer naprawdę jest nasz i mu ufamy; Że naszym danym możemy ufać i są one spójne w takim stanie jakim sobie życzymy aby były.

W tym celu musimy być pewni, że wszelka interakcja z zasobami internetowymi jest bezpieczna czyli:
  • Mamy możność weryfikacji tożsamości stron z którymi się komunikujemy, tzn. wiemy, że witryna Ebay to witryna Ebay, że Kowalski, który prosi nas do swojej listy kontaktów jest tym kowalskim którego znamy i nie mamy nic przeciw temu, by się na takiej liście znaleźć;
  • Zachowana jest poufność transmisji (tzn. o zawartości tej transmisji wiedzą tylko dwie strony: nadawca i odbiorca),
  • Zachowana jest spójność i jakość przesyłanych danych (nikt niczego nie zmieni w trakcie transmisji), ani też odbiorca nie zmieni niczego bez naszej wiedzy i akceptacji,
  • Mamy gwarantowany dostęp do naszych danych lokalnych, a do internetowych - na zasadach, które zostały nam wyjaśnione i przez nas zaakceptowane.

Poniższe zasady winny znaleźć swoje zastosowanie w każdym aspekcie użytkowania Internetu i gospodarowania własnymi zasobami informatycznymi. Są to zasady, nazwijmy je – technologiczne czy też techniczne.

  1. Podawaj minimum danych o sobie – np. wszelkich serwisom fotograficznym Twoje dane typu data urodzenia, miejsce urodzenia czy zamieszkania nie są DO NICZEGO potrzebne, w tym sensie – że nie oferują w zamian żadnej wartości dodanej dla użytkownika (chyba, że za taką uważać np. email z życzeniami urodzi nowymi „od redakcji&rdquoWinking,
  2. Nie ma darmowych serwisów w Internecie, jeśli nie zapłacisz środkami pieniężnymi, to zapłacisz swoimi danymi i swoim czasem (np. za niską jakość serwisu i nikłą ochroną użytkownika),
  3. Nigdy nie używaj tego samego hasła dla wielu kont emailowych,
  4. Nigdy nie używaj tego samego hasła dla wielu kont w serwisach internetowych,
  5. Nigdy nie używaj tych samych loginów dla kont w serwisach internetowych,
  6. Nie używaj swojego podstawowego adresu email do weryfikacji różnych kont w serwisach internetowych.
  7. Załóż konto emailowo zapasowe,
  8. Nie używaj tej samej nazwy w różnych adresach emailowych, np. janleniwy@gmail.com, janleniwy@o2.pl janleniwy@apple.com itd.),
  9. Hasło dla kont powinno być co najmniej 8 znakowe i zawierać wielkie litery, liczby;
  10. Dla serwisów w których dokonujemy operacji finansowych (zakupy, przelewy, sprzedaż) takich jak paypal, allegro, Ebay, serwisy bankowości elektronicznej, powinniśmy mieć wydzielony i nieużywany gdzie indziej adres email zgodny z zasadami opisanymi powyżej;
  11. Nie loguj się do serwisów internetowych poprzez niezaufane sieci publiczne (które np. nie mają szyfrowania, bądź mają je słabe – WEP, WPA);
  12. Nie loguj się do serwisów internetowych z niezaufanych komputerów (kafejki internetowe, „laptop kolegi” itp.);
  13. Wyłącz formatowanie HTML w wiadomościach poczty elektronicznej. Przeciwdziała to ukrytym linkom i podstawionemu kodowi, który może wykorzystać podatności i słabości systemu operacyjnego i oprogramowania klienckiego poczty elektronicznej.
  14. Nie instaluj niesprawdzonego oprogramowania w zaawansowanych telefonach komórkowych (smart fonach). Pamiętaj, że kodu zgłaszanego do popularnych repozytoriów typu AppleStore czy Android Apps nikt specjalnie nie weryfikuje pod kątem bezpieczeństwa.
  15. Jako, że programiści aplikacji na telefony nie nauczyli się jeszcze (chociaż mieli mnóstwo czasu) stosować powszechnie rozwiązań kryptograficznych w aplikacjach urządzeń przenośnych (smartfony i PDA) staraj się stosować praktyki opisane w punktach 11 i 12.

2.2 Ochrona komputera

  1. Regularny backup na zewnętrzny nośnik pamięci masowej,
  2. szyfrowanie WPA2 i hasła w rodzaju: 0!Niestandardow3!0),
  3. Ochrona antywirusowa oraz przed wszelkim oprogramowaniem typu malware regularnie aktualizowana,

2.3 Przeglądarka internetowa

Przeglądarka internetowa (podstawowe narzędzie internauty) jest GŁÓWNĄ BRAMĄ dla nieautoryzowanego dostępu do naszych zasobów lokalnych. Dlatego winna posiadać zabezpieczenia przed:
  1. Nieautoryzowanymi skryptami webowymi (javascript, activex, flash),
  2. Wyłączona opcja trackingu przez serwisy internetowe,
  3. Blokowanie wyskakujących okienek i reklam,
  4. Blokowanie nieautoryzowanych ciasteczek, pozostawianych na naszym dysku przez wszelkie witryny internetowe,
  5. Ostrzeżenia przed phishingiem (fałszywymi stronami legalnych serwisów),
  6. Ostrzeżenia przed przekierowaniami na inne strony,
  7. Wymuszanie obsługi HTTPS tam gdzie jest ona dostępna,

Jeśli pracujemy na laptopie, należy wyłączyć wszelkie zbędne usługi i zainstalować oprogramowanie typu firewall z domyślną polityką „wszystko jest domyślnie zabronione”, a dozwolone tylko to co sami ustawiliśmy;

UWAGA: Przeglądarka jest często niedoceniana, a przecież to w środowisku przez nią kontrolowanym, przechowywane są wszelkie loginy i hasła do serwisów internetowych. Innymi słowy – na dysku naszego komputera.

3. Zasady szczegółowe

W poniższych zasadach, zawarłem wskazówki dotyczące wszelkiej interakcji z innymi użytkownikami Internetu i użytkowania serwisów fotograficznych oraz społecznościowych (często granica między nimi jest dość nieostra).

Wskazówki te opisują pewne zachowania, czy też ostrożność, które należy przedsięwziąć wraz z zastosowaniem zasad opisanych powyżej.

Trzeba mieć również na uwadze fakt, zasygnalizowany już powyżej w tekście, że pewna „darmowość” większości serwisów internetowych okupiona jest udostępnieniem wielu danych, wprost nas identyfikujących i profilujących, a także minimalnym stopniem zabezpieczeń interakcji z danym serwisem (ryzyko przejęcia sesji, uwierzytelnianie hasłem „lecącym” w Internecie tekstem jawnym) oraz zabezpieczeń samego serwisu (brak kontroli danych wejściowych, pełna informacja o stronie technologicznej serwisu, brak gwarantowanej dostępności, długi czas reakcji na awarie itp.)

  1. Ograniczone zaufanie – najwięcej kłopotów w Internecie sprawia manipulacja społeczna, podszywanie się, bądź wykorzystywanie naszych danych przeciwko nam – bądź ostrożny w nawiązywaniu kontaktów i przekazywaniu ważnych o sobie informacji;
  2. Nie ufaj linkom i odnośnikom, nawet przesłanych nam przez przyjaciół i znajomych. Nie znamy ich „apetytu na ryzyko” czy poziomu zabezpieczeń, np. email wysłany przez przyjaciela do nas po angielsku, powinien „zapalić lampkę alarmową”;
  3. Nie ufaj wszelkim „zaproszeniom” wysyłanym przez portale społecznościowe; zdarza się, że takie zaproszenie jest spreparowane i zamiast skutkować wciągnięciem znajomego/znajomej na listę naszych kontaktów zainstalujemy sobie jakiś przykry kawałek kodu na naszym komputerze albo i telefonie!
  4. Nie mieszaj kontaktów towarzyskich i osobistych z kontaktami zawodowymi. W przypadku fotografii, po prostu konkurencja ma ułatwione zadanie, a nie wszyscy „grają” zgodnie z zasadami;
  5. W przypadku, gdy zajmujemy się fotografią amatorsko – nasze prace (znany przypadek) mogą zostać wykorzystane przeciwko nam w jakichś rozgrywkach wewnątrz organizacji w której pracujemy (na portalu facebook.com istnieje nawet grupa „zwolnieni z powodu Facebooka&rdquoWinking;
  6. Ujawniając swoje dane typu imię i nazwisko, miej na uwadze, że od tej pory wszelkie nasze słowa zapisane w serwisach internetowych zostaną szybko zidentyfikowane, skojarzone i być może użyte przeciwko nam (np. w procesie rekrutacyjnym, w działaniach kompromitujących itd.); A więc – zasada umiaru w wyrażaniu poglądów, w dyskusjach jest dość ważna;
  7. Chroń swój wizerunek – jeśli znajdujesz się w towarzystwie, którego nie znasz, bądź nie znasz dobrze – pilnuj by nikt nie robił zdjęć, które mogą gdzieś, kiedyś „wypłynąć” w sposób przez nas niekontrolowany, w kontekście który może być dla nas nieakceptowany. Jeśli już pozwolimy na zdjęcie, poinformujmy tę osobę, że wszelka publikacja MUSI uzyskać naszą zgodę;
  8. Nie chwal się specjalnie swoim sprzętem fotograficznym; Bo jeżeli można w Internecie uzyskać nasze dane osobowe, miejsce zamieszkania to prosimy się o „niezapowiedzianą wizytę” i „zniknięcie” tegoż sprzętu. Czyść dane EXIF z plików graficznych wysyłanych do serwisów fotograficznych i nie umieszczaj całej litanii sprzętowej w stopce.
  9. W ramach stosowania zasady w pkt 1. starajmy się ograniczać „widzialność” naszych profili internetowych tylko do grona osób w jakiś sposób zaufanych, szczególnie tam gdzie podajemy swoje personalia.

3.1 Regulaminy portali i konkursów

Czytaj regulaminy wszelkich społeczności internetowych oraz konkursów fotograficznych. Należy zwrócić szczególnie uwagę na następujące aspekty:
  1. Jaką odpowiedzialność bierze na siebie właściciel i organizator;
  2. Czy zgodnie z prawem, organizator i właściciel podał adres i dane kontaktowe, które można zweryfikować (jeśli jest to tzw. osoba prawna?);
  3. Czy w zrozumiały sposób opisana jest procedura odzyskiwania zasobów na wypadek utraty do nich dostępu?
  4. Czy ta procedura jest bezpieczna, czy tylko ja jestem w stanie udzielić serwisowi wymaganych informacji aby odzyskać dostęp?
  5. Czy w zrozumiały sposób opisana jest dostępność zasobów?
  6. Co dzieje się z naszymi danymi, które musimy podać by uczestniczyć w przedsięwzięciu?
  7. Czy wymagane są nasze dane osobowe i opisane jest co się z nimi dzieje zgodnie z ustawą (np. zgoda na ich przetwarzanie NIE MOŻE być inkluzyjna, tzn. że dykteryjka o tym, że „klikając w AKCEPTUJĘ, zgadzam się na przetwarzanie itd..” jest błędna i niewiążaca bo nieważna!)?
  8. Czy właściciel i organizator jasno pisze co dzieje się z naszymi zasobami – pracami, które podlegają prawu autorskiemu?
  9. Czy procedura kasowania naszych danych oraz konta jest precyzyjnie opisana i czy gwarantuje nam „ostateczność” takiej operacji, a więc skasowanie bezpowrotne.
  10. Jeśli jakieś usługi są płatne – czy jasno pisze ZA CO płacimy? Jeśli płacimy, np. za „możliwość” to jak ta możliwość jest gwarantowana?


4. Podsumowanie

Naturalnie, przedstawione zasady nie gwarantują nam 100% bezpieczeństwa. Nic nie gwarantuje takiego bezpieczeństwa. Zawsze można je, jednak złagodzić do akceptowalnego poziomu. Zasady te, mogą stać się przyczyną bólu głowy i stresu. Należy je stosować z rozwagą i poszerzać wiedzę na temat używanej technologii; Zarówno bezpieczeństwo jak i ryzyko to nie dogmaty. Ich poziom i ocena zależy i należy do nas. Pewne działania powinny jednak wejść w nawyk – tak jak u kierowcy, przed zmianą pasa, rzut okiem w lusterko boczne i obejrzenie się za siebie czy nic nie jedzie w martwej strefie. Parę sekund, a jak pomaga.
Proszę też o jedno, nie mylić beztroski i niefrasobliwości, które nie zostały jeszcze ukarane, z poczuciem bezpieczeństwa.


5. Sceny z życia

Poniżej przedstawiono trzy przypadki moim zdaniem, pewnej niefrasobliwości i nieostrożności użytkownika Internetu.

5.1 Przypadek #1 – za dużo.

Użytkownik znanego serwisu społeczności fotografów amatorów. Podaje swoje imię i nazwisko. W EXIFie jego ostatniej fotki możemy odczytać, że posługuje się sprzętem: Nikon D3, obiektywem 16-35/4.0G ED VR i używa Maca z prawdopodobnie legalną kopią Photoshop CS6!. Szybka kwerenda na ceneo.pl pozwala nam oszacować sprzęt na ok. 7000zł puszka + 3000zł obiektyw + ok. 3500zł MacBook/iMac (na byle czym Fotoszop CS6 nie pójdzie). Razem mamy ok. 13500zł.

W profilu użytkownika znajdujemy adres strony domowej z unikalna nazwą domeny w domenie .pl; Zajrzyjmy do whois.pl – et voila: mamy adres fizycznej osoby, która zarejestrowała domenę. Ostatnia modyfikacja w czerwcu 2012 – więc bardzo świeża, pozwalająca nam domyślać się, że właśnie tam znajduje się wyżej wymieniony sprzęt. Zebranie całego zestawu informacji zabrało ok. 5 minut posługując się przeglądarką internetową.

5.2 Przypadek #2 – utrata cennych danych.

Świeża historia, opisana przez poszkodowanego w magazynie wired.com - (http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/);
Facet w ciągu 15 minut stracił: wszystkie dane z iPhone-a, wyczyszczony iPad, wyczyszczony MacBook i zlikwidowane konto Gmail z 8 letnią historią korespondencji.

Spodobała im się nazwa użytkownika na Twitterze (tzw. Twitter handle) i chcieli ją przejąć. Zrobili małe badanie internetu, na okoliczność możliwie pełnej informacji o tym użytkowniku. Nie było to trudne, bo ten miał w profilu Twitterowym link do swojej witryny. Na witrynie znaleźli adres emailowy Gmail. Ponieważ, dwuetapowe uwietrzytelnianie Gmaila nie było włączone (nie dziwię się w sumie, sam nie podaję Googlowi mojego numeru telefonu!). Kiedy haker na stronie „Email Recovery” wpisał tenże adres emailowy, mógł zobaczyć alternatywny/awaryjny adres emailowy do odtworzenia dostępu do konta na Gmailu. Google częściowo maskuje adres, ale to co zostało wystarczyło do identyfikacji alternatywnego konta emailowego – m****n@me.com. Bingo!

Konto które już mieli to mhonan@gmail.com. Jeśli kontem alternatywnym byłoby jakiekolwiek inne konto o innym prefixie i dłuższej domenie – haker by w tym punkcie poległ. Niestety, applowskie konto @me.com dało hakerowi asumpt, że delikwent jest ciekawym przypadkiem – bo pewno ma fajne applowskie zabawki i konto AppleID.

To czego (czerwiec 2012) potrzebuje techniczny personel wsparcia użytkownika do resetu konta Apple ID to: adres email, adres billingowy, ostatnie cztery cyfry karty kredytowej.

Drugi element układanki – adres billingowy. Nic prostrzego – kwerenda whois na domenę którą przedstawiała się osobista witryna delikwenta.
Otrzymanie informacji o numerze mojej karty kredytowej jest nieco trudniejsze, a wykorzystuje słabość systemów firmy. Po pierwsze – dzwonisz do Amazonu I mówisz im że jesteś posiadaczem konta w ich systemie. Podajesz im – imię, nazwisko, adres billingowy, adres email. Amazon pozwala Ci wtedy złożyć zlecenie dopisania nowego numeru karty kredytowej. Odkładasz słuchawkę.

Dzwonisz ponownie. I mówisz Amazonowi, że straciłeś dostęp do swojego konta. Po tym jak podasz imię, nazwisko, adres, adres email oraz nowy numer karty kredytowej, pozwolą Ci dodać nowy adres emailowy do swojego konta. Odkłądasz słuchawkę I zgodnie z procedurą odzyskiwania dostępu do konta, podajesz nowy adres email na ktory wysyłane jest hasło. W tym momencie, po zalogowaniu się widoczne są dokłądnie te cztery cyfry numeru karty kredytowej, ktore są Ci potrzebne do uwierzytelnienia dostępu do konta Apple'a i usługi iCloud.

5.3 Przypadek #3 – zwolnienie z pracy

Jak to? Dlaczego? Polskie prawo nie jest zbyt liberalne w tej kwestii. Nawet po pracy jesteśmy zobowiązani dbać o dobry wizerunek firmy w której pracujemy. Okrągłe to dość stwierdzenie. Tak, i ma dwa końce. Przypadek opisany przez „Gazetę Wyborczą”, udział biorą: poszkodowana, jej szefowa, ktoś „życzliwy” i znajomi z facebooka - http://warszawa.gazeta.pl/warszawa/1,34889,10882832,Co_wolno_na_Facebooku__Pracodawcy_szpieguja_nas_w.html


Czytelnikom pozostawiam do zastanowienia się, zastosowanie których zasad zostało poniechane w powyższych przykładach.
Internet jest pełen wskazówek, filmów demonstracyjnych na YT, opisów i schematów oraz oprogramowania do ochrony własnych zasobów. Naprawdę wystarczy zapytać google-a. Happy