Igen, van rejtenivalód

Hiába van jogod a magánélet védelméhez,1 a gyakorlatban neked kell tenni érte, ha igénybe veszel bármilyen internetes szolgáltatást. Hiába van GDPR,2 az adataidat mégis több helyen tárolják és használják, mint kéne. Ráadásul sokakat nem is érdekel mindez, mert

  • vagy nincs elképzelésük az online magánélet mibenlétéről, illetve arról, hogy elveszítették az irányítást fölötte;
  • vagy tudomásul veszik, hogy végleg elveszítették az irányítást, és reménytelennek tartják tenni ellene;
  • vagy felesleges aggodalomnak, túlzott paranoiának tartják az ezzel kapcsolatos fejtegetéseket.

Aki kicsit is járatos az információtechnológiában, tisztában van a gyakran elhangzó „semmi rosszat nem teszek, mi bajom lehet” kijelentés naivitásával. Az adatok tömeges tárolása és feldolgozása egyre olcsóbbá válik, az értékük viszont egyre növekszik. Mégis mik ezek az adatok, kik és mire használják őket? A válasz az, hogy gyakran nem is tudhatod, és épp ez a lényeg. Rég túl vagyunk azon, hogy valaki rákeres egy névre a Google-ben, és esetleg talál néhány apróságot vele kapcsolatban, de már azon is, hogy egy – tetszőleges részletességű – Facebook-profilt nézeget. A szóban forgó adatok nem nyilvánosak és nem ilyen jellegű információt hordoznak.3 Egy profil kitöltése vagy egy hozzászólás megírása a felhasználó által kezdeményezett, viszonylag átlátható műveletek voltak; ám a mobil szenzorai (GPS, gyorsulásmérő, giroszkóp, magnetométer, mikrofon, kamera stb.) által gyűjtött adatok tárolása és felhasználása kicsúszott az emberek kezéből.

A megfigyelés az internet üzleti modellje. Mindenki állandó megfigyelés alatt áll, amelyet különféle vállalatok végeznek, például a Facebook vagy a mobilszolgáltatók. Az adatokat gyűjtik, rendszerezik, elemzik, és arra használják, hogy megpróbáljanak mindenféle dolgot eladni nekünk. (www.isc.org)

Ez például egyike az egyre növekvő számú figyelmeztetéseknek. A ‘megfigyelés’ aktív, célzatos cselekedetre utal, ezért kissé félreérthető, de egyelőre nincs jobb szavunk. A tömeges megfigyelés során keletkező rengeteg adat később új értelmet nyerhet, olyan célokra is használhatják a big datát, melyek ma még ötletként sem léteznek. Már a 10-es években feljövőben voltak az USA-ban az adatbróker cégek (pl. Acxiom), elsősorban kereskedelmi és politikai marketing orientációval, amelyek folyamatosan gyűjtik az adatokat az állampolgárokról. Fontos megérteni, hogy a rólunk begyűjtött adatok nem fognak eltűnni, ezért csak reménykedni lehet benne, hogy nem kerülnek rossz kezekbe, illetve hogy nem használhatók rossz célokra.

Többen4 kimutatták5 már6 azt is, hogy minél több nem személyes, de összetartozó adat, adatsor áll rendelkezésre, annál nagyobb az esélye, hogy azok valós személyhez rendelhetők. NB: az, hogy a big data anonimnak tűnik, kizárólag az adatgyűjtőket segíti, akik előszeretettel papolnak a működésük etikusságáról és felelősségteljességéről. Feltehetően már napjainkban is (de ha még nem, a közeljövőben biztosan) vásárolhatók e cégektől olyan személyi adatprofilok, amelyekről a múlt században nem is álmodhattak a személyi akták összeállításával foglalkozó állami szakszolgálatok. Ezért is indokolt lehet az – akár túlzó – aggodalom vagy óvatosság: ez az egész egy visszafordíthatatlan folyamat. Ha egy titok kitudódott, azt nem lehet visszacsinálni. A terület törvényi szabályozása pedig távolinak tűnik.

A jó kérdés ez: adok-e lehetőséget rá, hogy tárolják és felhasználják a mindenféle adataimat, vagy nem adok. Mert ha adtam, akkor kiesett a kezemből az irányítás. Számos esetben megtehetem, hogy nem adok, vagy legalább odafigyelek rá, hogy kik és mit tudhatnak meg rólam, ám ez tájékozottságot és erőfeszítéseket is igényelhet, továbbá lemondásokkal járhat. A többség szemében a láthatatlan, bizonytalan, kétes értékű nyereségek pedig nem ellensúlyozzák a vélt vagy valós vesződségeket, kényelmetlenségeket, többletköltségeket. Ezen igazából nincs mit csodálkozni, és napjaink 100 milliárd dolláros bizniszei épp arra épülnek, hogy az emberek egy kis ingyenes kényelemért cserébe simán lemondanak kézzel nem fogható dolgokról.

Tudomásul kellene venni azt is, hogy a munkahelyi infrastruktúra üzemeltetői számára sem a dolgozók magánéletének védelme az elsődleges szempont. Szóval a saját érdekedben ne használd a munkáltató laptopját, emailjét stb. privát célra, mert adott esetben a magánéleted is olyan súlyos csapást szenvedhet, amit jogi úton sem fogsz tudni orvosolni. Hogy ez milyen gyakran vagy ritkán következik be a világban, lényegtelen: akkor is elveszítetted az irányítást, ha erről mit sem tudsz, illetve ha (még) következménye sem lett.

Természetesen nincs rá garancia, hogy ha valaki figyelmes és tájékozott (miben? mennyire? stb.), akkor ő bármilyen tekintetben jobban járhat másoknál, bár a csapdákat, csalásokat alkalmasint jobb eséllyel el fogja tudni kerülni. Hangsúlyozzuk, hogy az alábbi tanácsok és információk elsősorban a tömeges megfigyelés elkerülésére irányulnak, ha valaki célszeméllyé válik (magánnyomozó, kiberbűnöző, állami szerv stb.), az egy másik történet.

Platform, oprendszer, applikációk

Csak az áttekintés kedvéért ejtünk néhány szót a különféle platformokról és szoftverekről. Talán e területen a legnehezebb változást elérni.

Kezdjük ott, hogy bármilyen telefonod van, a mobilszolgáltató tárolja a cellainformációkat, a hívások metaadatait (szám, időpont, időtartam), az üzeneteket, továbbá minden metaadatot, amit az alábbiakban az internetszolgáltatóval (a továbbiakban ISZ) kapcsolatban említünk. Technikailag adott a lehetősége, hogy a hívások tartalmát is tárolja, elemezze. A mobilhálózat nem számít biztonságosnak sem, megfelelő szakértelem és felszerelés birtokában lehallgatható – ami persze illegális, de a lényeg, hogy lehetséges.

Amikor csak lehet, kikapcsolva kell tartani az okostelefon vezetéknélküli kapcsolatait és GPS-vevőjét. A mobilszolgáltató és a Google a cellainformációk alapján is rögzíteni fogja a helyadataidat.7 Továbbá a Google feltérképezi a wifi hozzáférési pontok pozícióját a bekapcsolt GPS-vevőjű Android-mobilok segítségével, így képesek meghatározni az Androidot vagy ChromeOS-t futtató készülékek (mobil, laptop, tablet, IoT-kütyü stb.) pozícióját az általuk elérhető wifi-hálózatok alapján is.8 Tehát hiába használ valaki VPN-szolgáltatást a tartózkodási helyének elfedésére: ha van működő wifi az eszközében, a Google tudhatja, hol van.

A szoftverek tekintetében az iOS talán jobb platform az Androidnál (?), de meg kell fizetned az árát, és az Apple még így is gyűjt adatokat rólad. Az Android ingyenes, de annak is meg kell fizetned az árát: a Google óriási globális adatgyűjtő hálózatának a legfontosabb része, és még a telefongyártók (Samsung, Huawei stb.) is megspékelik a rendszert a saját adatgyűjtő szoftverükkel.

Igazából ha valaki komolyan veszi a magánélet védelmét, akkor nem használ mobilt. A hírek szerint a nagyon gazdag vagy fontos emberek közül sokan így tesznek, de az átlagemberek túlnyomó többsége ezt nem teheti meg, persze nem is akarja.

A következő szint: butatelefon vagy Google-mentesített Android egyedi ROM-mal (pl. GrapheneOS, LineageOS). Politikai vezetőknek – pl. a magyar miniszterelnöknek is – nemzetbiztonsági okokból szokott butatelefonjuk lenni.

A következő szint: elkerülni az Androidot, mert van alternatíva, az iPhone (a Windows- és Linux-telefonokat most hagyjuk). Az Apple termékei kiváló minőségűek és egyértelműen túlárazottak. Teljesen zárt rendszerük viszont elvileg sem fogadható el a szabad szoftverek kedvelőinek.

Végül: Androidot használsz, de körültekintően; pl. az applikációk gondos megválasztásával, a gyártói módosítások kihagyásával (tiszta Android, tehát Google Pixel, paradox módon). Nehéz feladvány, néhány infómorzsa ezzel kapcsolatban:

  • A Facebook appjai messze a legproblematikusabbak (a Googléi mellett). Itt nincsenek tippek és trükkök, érdemes végleg megszabadulni tőlük (ettől még lehet valaki FB-felhasználó, ha nagyon akar).
  • Kényelmi okokból szinte mindenki „okos” appot használ gépelésre, és szinte senki nem gondolná, hogy ezek többsége bármit, amit begépelsz, eljuttat(hat) a fejlesztő szerverére. Tökéletes eszköz profilozásra, titkok megismerésére. Teljes mértékben és mindig megbízhatunk benne?9
  • Ne feledd, hogy a mikrofon vagy a kamera súlyos szivárgások forrása lehet, legyen szó akár egy hibás vagy rosszindulatú appról,10 amit önként telepítettél, akár célzott megfigyelésről. Aki azt gondolja, hogy ilyesmi vele nem történhet meg (még ha hallott is az NSO-féle kivédhetetlen sérülékenységek11 létezéséről), annak ajánlom figyelmébe a gyermekek vagy a hűtlen házastársak nyomon követésére fejlesztett kémalkalmazásokat, sok ilyen van, a telepítésükhöz elég pár perc hozzáférés a telefonhoz, és nem is kell hackernek lenni hozzá.
  • A Google Play használata mellett vagy helyett telepíts szabad szoftvereket F-Droidról.

Az eltérő egyéni preferenciák és a rengeteg különféle buktató miatt nehéz konkrét tanácsokat adni, de tényleg érdemes minden egyes appról átgondolni, hogy van-e létjogosultsága, valamint hogy megbízhatunk-e benne. Az általános benyomásom az, hogy az emberek indokolatlanul megbíznak minden appban, és a kényelem az egyetlen szempont, amely felmerülhet.

Egyre kevesebben használnak PC-t – laptopot vagy asztali gépet – a munkahelyen kívül, úgyhogy ezt is rövidre fogom: otthon telepíts Linuxot. A Microsoft ugyanazt csinálja Windows 10-en (Home és Pro), mint a Google Androidon, azzal a jelentős különbséggel, hogy ők fizetős termékben helyeznek el reklámokat, valamint ismeretlen mennyiségű és minőségű adatot gyűjtenek rólad a tudtodon kívül, amit meg sem lehet akadályozni.12 A Windows konfigurációs lehetőségei eltűnhetnek, átneveződhetnek vagy átállítódhatnak bármely rendszerfrissítéskor, tehát látszólag vannak felhasználói beállítások, mégis az történik, amit a Microsoft akar. Továbbá Windowson sokkal elterjedtebb az a szerencsétlen gyakorlat, hogy a felhasználó keres valami programot az interneten, azt letölti és telepíti, persze menet közben semmit nem olvas el, és mindent leokézik. (Nem említettem az Apple-gépeket, amelyeket munkaeszközként elterjedten használnak, a kifejezetten privát felhasználás mifelénk elég ritka lehet.)

Itt és most nem térünk ki bővebben a szabad szoftverek előnyeire, a warezelésre és a vírusokra, zsarolóprogramokra. A vírusirtókkal kapcsolatban csak annyit jegyeznék meg, hogy azok elsősorban (de nem kizárólag!) a megelőzhető és súlyos felhasználói ballépések (pl. a kismilliószor elhangzott figyelmeztetés ellenére letölti és megnyitja az ismeretlen címzettől kapott csatolmányt) következményeinek orvoslására szolgálnak. A megelőzés hatékonyabb és olcsóbb.

Böngészés

Használj Firefoxot PC-n és mobilon, mert szabad szoftver, jól működik, és az alapbeállításai is felhasználóbarátok. A jelenleg legnépszerűbb böngésző, a Chrome a világ legnagyobb reklámértékesítőjének portfóliójába tartozik, célja a felhasználók nyomon követésének és profilozásának megkönnyítése a Google számára, ezért nem lehet ajánlani. Máskülönben jó szoftver, és ha végképp nem tudsz lemondani róla, akkor használj Chromiumot vagy Bromite-ot megfelelő beállításokkal és kiegészítőkkel.

HTTPS

A kommunikációs csatorna titkosítását jelzi egy webcímben a https. A hálózaton a címzett és közted mások – pl. a router üzemeltetője vagy az ISZ – nem láthatják a kommunikáció titkosított tartalmát, de a meglátogatott domainneveket igen. Biztonsági szempontból ez (helyesebben a mögöttes TLS) a legfontosabb technológia a weben.

Kódolatlan http (tehát nem https) csatornán soha ne küldj információkat, mert azt a köztes szereplők a legkisebb erőfeszítés nélkül el tudják olvasni. Ma már nem is nagyon tudsz küldeni, mert a böngészők tiltják, vagy legalább figyelmeztetnek rá, ha netán előfordul. Egyébként ha 2020-ban egy honlap/szolgáltatás csak http-vel érhető el, akkor jobb is elfeledkezni róla, mert kontárok üzemeltetik.

Erről az egészről nem árt tudni, de tenned szerencsére semmit nem kell – legfeljebb annyit, hogy használod a HTTPS Everywhere kiterjesztést, illetve hallgatsz a böngésződre, ha tilt valamit.

Privát ablak (inkognitó mód)

Ha meglátogatsz egy webhelyet, akkor az nyomkövetésre is alkalmas fájlokat helyezhet el az eszközödön. Ha bejelentkezel a webhelyen, akkor pedig mindig létrejön egy ilyen kis adatfájl. Ez az a bizonyos süti/cookie, amelyről mindenki hallott már, de a szerencsétlen EU-s szabályozás – a GDPR előtti EPD, a sütitörvény – miatt mindenki az idegesítő figyelmeztetéseket szidta, a lényeg pedig elsikkadt.

A Google és a Facebook gyűjti és elemzi a különféle weboldalak által hagyott sütiket, és tudni fognak az általad meglátogatott webhelyek többségéről. Privát ablak használatakor nem férnek hozzá a létező sütikhez (ezért nem leszel bejelentkezve sehol, így a Google-be és Facebookba sem), az újonnan keletkezők pedig elvesznek az ablak bezárásakor. Ja és a meglátogatott címek nem kerülnek be a helyi böngészési előzményekbe, ezért nevezi ezt a népnyelv pornó módnak.

A kétségtelen előnyök mellett nem árt észben tartani, hogy a meglátogatott címeknek csak a böngésződben nem marad nyoma, a köztes szervereken nagyon is marad, tehát pl. a munkahelyed vagy az ISZ pontosan tudni fogja, mit látogattál meg. A hirdetésértékesítők pedig nem kizárólag a sütikre támaszkodnak, és jó eséllyel azonosíthatnak téged inkognitó módban is (browser fingerprinting). A Chrome böngésző egyedi installációs azonosítóval rendelkezik, amelynek segítségével a Google inkognitó módban is egyértelműen felismer.

Kiterjesztések

Igazából kevéske kötelező böngésző-kiterjesztés van. Ha extrém óvatos vagy, és tisztában vagy vele, mi az a Javascript, akkor nézz utána a NoScript vagy az uMatrix kiterjesztéseknek. (Az említett browser fingerprinting is kiküszöbölhető a Javascript tiltásával.)

  • uBlock Origin: számomra ma már elképzelhetetlen a böngészés tartalomszűrő (fő funkcióját tekintve: reklámblokkoló) nélkül, a választottam pedig évek óta az uBlock Origin. Nem igényel semmilyen beállítást, de finomhangolható és domainenként kikapcsolható, ha kell.
  • Bitwarden: szükség van külön jelszókezelőre, lásd lentebb. A böngészők beépített jelszókezelésére csak kisegítő lehetőségként érdemes tekinteni, még ha a szinkronizációs képességeket figyelembe vesszük is. (Ha nincs szinkronizáció, akkor pedig a böngésződdel együtt elszállnak a jelszavaid, például ha tönkremegy a géped vagy elveszted a mobilod.)
  • HTTPS Everywhere: ha egy link http oldalra mutat, és az nincs automatikusan átirányítva https-re, akkor ez átirányítja, ha tudja, különben figyelmeztet a problémára, mielőtt letöltené az oldalt. Kiemelten fontos. (NB: a Firefox 76.0 verziójában megjelent a dom.security.https_only_mode opció, amely kiváltja ezt a kiterjesztést.)
  • Privacy Badger: áttekinthetővé teszi és tiltja a trackereket. A Firefoxban egyre inkább az alapfunkcionalitás részévé válik mindaz, amit a PB nyújt, de ártani nem árthat.
  • Cookie AutoDelete: webhelyenként szabályozhatod a sütiket. A betanítása menet közben igényel némi törődést. Ehelyett vagy emellett megnyithatod privát ablakban azt a webhelyet, amelynek nem kérsz a sütijéből.
  • Multi-Account Containers: ezt jobban kedvelem az előzőnél, a füleket konténerekbe lehet helyezni, a sütikezelés pedig konténerenként történik. Egyszerű és nagyszerű.
  • Decentraleyes: a weboldalaknak lehetnek olyan szoftverkomponensei (JS, CSS, font), amelyek nem a meglátogatott szerverről töltődnek le, hanem központi tárolókból, pl. Google CDN-ről. Ez kiiktatja ezeket a harmadik feleket.
  • ClearURLs: ha rendszeresen másolsz linkeket, akkor jól jöhet.

Keresés

A Google keresője általában jobb a többinél, ezért a felhasználók többsége nehezen tud leszokni róla. A Google-fiókodban mindenképp érdemes kikapcsolni a keresési tevékenység és a helyelőzmények tárolását (bár valójában nem lehet tudni, hogy az ilyen kapcsolóknak van-e hatásuk), mert különben ijesztően sok adatod landolhat náluk, még PC-ről is. Lehetőleg privát ablakban, VPN-nel használd a keresőjüket.

Firefoxban könnyű hozzáadni keresőt a címsorhoz, így könnyebb váltani másra:

  • DuckDuckGo: Természetesen a keresési eredményekre is hatással van, hogy a kereső nem tud rólad mindent. A DDG a magánélet védelmét tűzte a zászlajára, és mára hírnevet szerzett magának vele. Nemrég az első helyre került a választható keresők között Androidon, miután az EU megvágta a Google-t. Jól használható.
  • Startpage: Holland cég. A háttérben a Google API-ját használja, de a kliens oldal mentes az adatgyűjtési és követési technikáktól. Jól használható.
  • Qwant: Francia keresőmotor. Jól használható.

Fiókok, jelszavak, azonosítás

Az alábbiakban inkább az adatbiztonság témakörébe sorolható tanácsok következnek, de e területek természetesen összefüggésbe hozhatók a magánélet védelmével is.

Használj minél hosszabb jelszavakat, és használj mindenhol mást. Ezt sokan betarthatatlannak gondolják, és marad a „Bodri11” mindenhol. Nos, elég egyetlenegy erős jelszót megjegyezned, mégpedig a jelszókezelődét. Minden további jelszó generálható és tárolható, ebben segítenek az alábbi szoftverek.

Lehetőleg soha ne jelentkezz be másvalaki eszközén fontosnak ítélt fiókba, főleg ha nem védi 2FA (lásd lentebb). Ha valamilyen okból mégis sor kerül rá, utána mielőbb változtasd meg a jelszavad. Jól gondold meg, kinek és milyen körülmények között engeded meg, hogy a PC-det, mobilodat használja. Idegenek kérésére soha ne telepíts szoftvereket, továbbá ne menj bele általuk javasolt megoldásokba, ha nem vagy tisztában a lehetséges következményekkel. Álljon itt egy tanulságos és valós történet, hogy miért ne:

„Bár Erika azt kérte, hogy egy nagy méretű fájlok küldésére alkalmas szolgáltatáson keresztül kaphassa meg a képeket, a hirdető mást ajánlott. Azt mondta, informatikus a szakmája, és az AnyDesk nevű ingyenes szoftver segítségével gyorsan át tud küldeni mindent. Egy hivatalos honlapról Erika le is töltötte azt az útmutatásával, mert legálisnak látszott [ugyanis az], és a vírusirtó sem jelzett problémát [ugyanis nem vírus]. Az AnyDesk távoli hozzáférést létesített a számítógépéhez, így a bűnözők bármit telepíthettek rá, és nem volt más dolguk, mint megvárni, hogy a nő belépjen az internetbank-fiókjába. Erika számlájáról később 30 millió forintot zsákmányoltak.”13 (24.hu, szerkesztett átvétel.)

Az ilyen célzott és jól tervezett műveletet nevezik social engineeringnek, erre tudtommal még nincs jó magyar kifejezés. Itt két módszert vetettek be: először a jelszó megszerzéséhez a fentiekben részletezett tech support átverést, majd a netbankos 2FA megkerüléséhez a SIM-cserés csalást. (Hangsúlyozzuk, hogy az AnyDesk programmal semmi gond nincs, ha jó célra használják, és maga a fejlesztő is figyelmeztet rá, hogy vissza lehet élni a szoftverével. Akárcsak más távoli asztal szoftverekkel, pl. LogMeIn, TeamViewer.)

Használj eltérő emailcímet a fontos és a lényegtelen dolgokhoz, ideális esetben minden fiókhoz mást (aliasokkal). Marketing célokra megadhatsz eldobható emailcímet is. Ahol nincs akadálya és jelentősége, beírhatsz kamu személyes adatokat. Légy vele tisztában, hogy a GDPR értelmében csak olyan adatokat kérhetnek tőled, amelyeknek világos a felhasználási célja, tehát ha szerinted nincs szükségük a telefonszámodra vagy a nevedre, akkor ne a valódit add meg – vagy tekints el a vásárlástól. Különben is jól gondold meg, hogy milyen adatokat adsz meg egy ismeretlen oldalon, amelynek esetleg már a jó ajánlata is gyanúsan jó.

Ha nem „titkosítottad” a telefonszámodat a szolgáltatónál, akkor a szám alapján lekérdezhető a neved és a lakcímed, vagy utóbbi két adat alapján a számod. Ezek, valamint a születési hely és dátum bizonyos esetekben elégségesek lehetnek ahhoz, hogy egy telefonos ügyintéző azonosítson (ami egyébként elég szomorú). Telefonos ügyintézőnek csak akkor mondunk bármilyen személyes adatot, ha mi hívtunk egy számot, amelyről tudjuk, hogy kié. Sajnos, azért létezik a mai napig a telemarketing, mert még mindig találnak elég madarat, aki bediktálja az adatait egy ismeretlen hívónak.

Jelszókezelők

A felhasználónak úgy kell tekintenie a jelszóra, hogy az kiszivároghat a szolgáltatótól,14 ezért minden szolgáltatáshoz más jelszót kell használnia. Nos, a többségünknek ez már csak program segítségével fog menni, így jön képbe a jelszókezelő. A program viszont bármit meg tud jegyezni, a 20 vagy több karakteres véletlenszerű jelszavakat pedig nem lehetséges tippelős (brute force) módszerrel kitalálni, ami további biztonságot is ad.

Annak a lehetősége továbbra is fennáll, hogy feltörik egy szolgáltató rendszerét, és a te fiókod is kompromittálódik, ettől semmilyen jelszó nem fog megvédeni. De legalább afelől nyugodt lehetsz, hogy a többi fiókodat nem fogja veszélyeztetni egy ilyen betörés.

Rossz ötlet egyszerű szövegfájlban tárolni a jelszavaidat, különösen akkor, ha nem titkosított az eszközöd adattárolója. Az emailszolgáltatód jelszava kiemelt figyelmet érdemel, és azt nem árthat megjegyezni. Emlékeztetnénk rá, hogy a legtöbb szolgáltatás jelszava átírható általuk küldött email segítségével.

  • KeepassXC: ha a saját PC-den akarod tartani a jelszavaid, akkor kiváló választás a minden oprendszeren elérhető KeepassXC szabad program. Az adatbázisa(i) titkosított tartalmú fájl(ok), meg kell oldanod az időnkénti biztonsági mentést, hogy semmiképp ne vesszenek el a jelszavaid. Ezt a fájlt persze szinkronizálhatod is több gép közt, továbbá könnyen átadhatod másnak, ami pl. munkahelyi jelszavaknál lehet hasznos.
  • Bitwarden: ez egy adatszéf szolgáltatás. Vagy regisztrálsz egy ingyenes/fizetős fiókot a bitwarden.com webhelyen, vagy magadnak hosztolod a szabad szervert. Majd pedig telepíted a böngészőidben az említett Bitwarden-kiterjesztést, amellyel hozzáférsz a széfedhez. A széf elérhető ezen kívül PC-s programmal, mobilos alkalmazással, weboldalról és a parancssorból is. Ha aggódsz az adatbiztonságodért, természetes, hogy bizalmatlan vagy egy ingyenes (vagy bármilyen!) szolgáltatással szemben. Nézz utána, jól dokumentált és sokak által ellenőrzött, nyílt forrású technológia.

Ha még mindig nem programmal kezeled a jelszavaid (amire nem nagyon van mentség), akkor is legalább néhány tanácsot érdemes megfogadni a jelszavakkal kapcsolatban:

  • Legalább az emailfiókod jelszavát soha ne használd máshol, és legalább az legyen erős. Ugyanis például ha egy zavaros hátterű webhelyen regisztrálsz az emailcímeddel és a szokásos jelszavaddal, akkor feltörnie sem kell senkinek semmit ahhoz, hogy elbukd az emailfiókodat, azzal együtt pedig bármi mást.
  • A „kutyám neve Bodri” és a hasonló kifejezések hosszabb, ezért sokkal jobb jelszavak, mint a „Bodri11” és társai. A jó jelszóban nincs szükség fura karakterekre és számokra, valamint lehetnek benne szóközök és magyar betűk, pl. 4-5 véletlenszerűen választott szó könnyen megjegyezhető, erős jelszó. Természetesen előfordulhat, hogy egy webhely vagy szolgáltatás megköveteli bizonyos karakterek használatát, limitálja a jelszó hosszát vagy elvárja a jelszó rendszeres cseréjét. Ezek mind rossz gyakorlatok, és egyre ritkábbak.
  • Találkozhatsz „biztonsági” vagy „emlékeztető” kérdésekkel is elfelejtett jelszavakhoz. Ezek a „kényelmi” funkciók a legdurvább biztonsági rések, soha ne adj meg valós adatokat válasznak. Ha kötelező kitölteni, adj meg egy erős jelszót, mert a látszat ellenére ez is az: jelszó.

Tulajdonképp még folytatható lenne a tanácsok sora, pedig csak egyet kéne megfogadni: használj jelszókezelőt.

Kétlépéses bejelentkezés: a 2FA

A pénzügyeiddel kapcsolatos fiókjaidat ma már szinte mindig 2FA védi, jó emailszolgáltatónál választható. A kétlépéses bejelentkezéshez szükség van valamire, amit csak te tudsz (jelszó, PIN) és valamire, amit birtokolsz (telefonszám, emailcím, Nitrokey/YubiKey stb.), a legelterjedtebb megoldás, hogy minden belépéskor kapsz egy kódot (OTP) emailben vagy SMS-ben. A 2FA (főleg az U2F) erős védelmet biztosít, érdemes élni vele.

A lehetőségek közül az SMS OTP messze a leggyengébb (lásd SIM-cserés csalás15), de még az is biztonságosabb a bankok korábbi módszerénél, a háromhavonta cserélődő jelszónál, amelyet a user gondosan felírt egy cetlire, vagy elmentette az asztalra egy bank.txt fájlba (ami soha nem jó megoldás, de ráadásul sokan munkahelyi gépet használnak, amelyet távoli eléréssel tartanak karban az IT-s kollégák, lásd pl. AnyDesk).

A hardverkulcsos autentikációhoz (U2F) felkészültnek és elszántnak kell lennie a felhasználónak. Utána kell járnia, mikor érdemes és hol lehetséges alkalmazni; át kell gondolnia, milyen következményei lehetnek, ha nem szokásos körülmények közt nem tud bejelentkezni a kulccsal, vagy ha elveszítette a kulcsot. A hardverkulcs célja ugyebár az lenne, hogy nélküle soha senki ne tudjon bejelentkezni, nincsenek beépített kerülőutak és mentőövek.

Biometrikus azonosítás

Az ujjlenyomat- és az arcfelismerés első ránézésre a legprivátabb tulajdonságainkat használó, biztonságos módszereknek tűnhetnek. Először is: a biometrikus jellemzők felhasználói azonosítók – mint máshol a felhasználónév vagy az email –, nem pedig jelszavak. Másodszor: valójában nem privát, nem biztonságos és gyakran nem is megbízható ezek használata, ezért legfeljebb kisegítő kényelmi funkcióként lehet rájuk tekinteni. Vagy még úgy sem. Az online identitásodat tetszés szerint tudod alakítani, a jelszavadat könnyen meg tudod változtatni – az önként átadott, ellopott, kiszivárgott stb. ujjlenyomatoddal viszont te már semmit sem tudsz kezdeni, mások annál inkább.

Védett hálózati kapcsolat

Alapesetben ha meglátogatsz egy webcímet, arról tudni fognak a hálózat köztes szereplői, tehát pl. a LAN üzemeltetője (kávéház, munkahely stb.) vagy az ISZ. A webhely, amelyet meglátogattál, tudni fog a helyi hálózatodat azonosító IP-címről, és az alapján te is azonosíthatóvá válsz. Az IP-cím gyakran elárulja a tartózkodási helyedet is (település szinten). Mindez kiküszöbölhető Tor vagy VPN segítségével (illetve a DNS megváltoztatásával).

Tor

A „The Onion Router” pályafutása az amerikai haditengerészetnél kezdődött, de aztán önálló közösségi projektté vált. Több ezer közvetítő állomás közül véletlenszerűen választ néhányat, és azokon keresztül irányítja a hálózati forgalmat. A láncban következő állomások nem tudnak az előzőről, így a Tor elfedi a felhasználó eredeti címét.

  • Szabad szoftveres technológia, és ingyen is van.
  • Valódi anonimitást biztosít, kiküszöböli, hogy valakiben meg kelljen bízni.
  • A Tor Browser vagy az Orbot révén könnyen hozzáférhető, csak telepítesz egy külön böngészőt, és kész. A web böngészésén túl a teljes hálózati forgalom Torra terelésének megoldása viszont nehézkes.
  • A Tor kilépő címei listázhatók, és egyes szolgáltatók dönthetnek úgy, hogy nem engedik az onnan érkező forgalmat, ezért a gyakorlatban nem érhető el minden weboldal rajta keresztül. Ugyanakkor léteznek kizárólag Torral elérhető oldalak is, és köztük szép számmal fordulnak elő illegális tevékenységet folytatók (szerencsejáték, fegyver, drog stb.), ezért sokan magát a Tort is illegálisnak gondolják.
  • Mivel a közvetítők bárhol lehetnek a világban, így a sávszélesség csökken, a késleltetés nő, méghozzá látványosan. A sebesség általános böngészésre alkalmas, de letöltésre, streamingre nem.

A szabad internethozzáférésű országokon belül főleg a Five Eyes kormányainak kommunikációjára jellemző, hogy a titkosítást,16 a VPN-t, a Tort összekapcsolják a sötét erőkkel, hogy a járatlan többségben kialakuljon az érzés: ilyesmit csak drogkereskedők, pedofilok, terroristák vagy – a legjobb esetben – kapucnis hülyegyerekek használnak.17 Szerintük a rend és biztonság érdekében mindenkinek le kell mondania a magánélete védelméről, „rendes” embereknek nem lehetnek titkaik. Ez akkor sem jó irány, ha elismerjük: igen, e technológiák is megkönnyíthetik a bűnözők dolgát.

VPN

A VPN oprendszer szinten állítja át a hálózati kapcsolatot, és általában egy szép színes app jár hozzá, amelyen legfeljebb egy gombot kell megnyomni – szóval ezt is könnyű használni, akárcsak a Tort. A köztes szereplők ezután csak annyit látnak, hogy titkosított kommunikáció történik közted és a VPN-szerver közt, tehát csak a VPN-szerver – valamint a DNS (lásd lentebb) – üzemeltetője tudhat arról, milyen címet látogattál meg, de a https csatornán küldött tartalmat ő sem láthatja. A felkeresett webhely pedig egy olyan VPN-szerver IP-címét naplózza, amelyet sokan mások is használnak, és még az sem biztos, hogy abban az országban van, ahonnan internetezel.

Bizonyos államok – pl. Belarusz, Kína, Oroszország, Törökország – korlátozzák az internetelérést, és jogilag vagy technikailag akadályozzák a korlátozások megkerülésére alkalmas VPN használatát is. Az USA-ban az ISZ eladhatja a felhasználók metaadatait, továbbá úgy tűnik, az NSA széles körűen és nyakló nélkül gyűjtögeti az adatokat. Magyarország egyelőre az élmezőnybe tartozik az online magánélet védelme szempontjából, de újra emlékeztetnénk rá, hogy a törvények – vagy a VPN – sem védenek meg saját magunktól, tehát például ha olvasatlanul elfogadjuk valakinek az etikátlan felhasználási feltételeit, vagy felelőtlenül közzé tesszük a személyes adatainkat.

A VPN nem csodaszer, nem nyújt valódi anonimitást, mert teljes mértékben nem bízhatsz meg a szolgáltatóban. Ennek ellenére is hasznos eszköz lehet, ha tisztában vagy a lehetőségeivel és a korlátaival. Az elmondottakat értékelve levonhatod azt a következtetést is, hogy számodra semmi értelme nincs VPN-t használni.

Elég sok a VPN-szolgáltató, és ha elkezdesz keresgélni, gyorsan szembesülsz a támogatott cikkek és videók, valamint a VPN-re szakosodott reklámoldalak tömkelegével. Az összkép kaotikus és nem túl bizalomgerjesztő. Ingyenes VPN-t soha nem használunk, ám könnyen lehet, hogy a fizetős szolgáltatók egy része is ún. honeypot, és a céljuk épp azok monitorozása, akik tenni akarnak valamit a biztonságukért.

A fontos paraméterek: hírnév, megbízhatóság, átláthatóság; sebesség, sávszélesség; ár, fizetési módszerek. Számomra a Linux- és a WireGuard-támogatás is lényeges. A szolgáltatók, amelyeket eddigi információim alapján említeni merek: Mullvad, ProtonVPN, IVPN.

A VPN-szolgáltatók mellett említsük meg a vállalati infrastruktúra részét képező VPN-t is, mert bár ugyanaz a technológia, némileg más a cél és az eredmény. Célja elsősorban a belső háló erőforrásainak elérése, magyarán a távmunka technikai feltételeinek megteremtése. Velejárója a dolgozók monitorozhatósága, ezért megismételjük a fentebbi figyelmeztetést: ne használd privát célra a munkahelyi infrastruktúrát.

DNS

Böngészéskor domainneveket adunk meg, illetve azokra kattintunk linkekben, a hálózaton lévő gépeket viszont IP-cím azonosítja. A domainneveket ún. DNS fordítja le IP-címmé, ahhoz, hogy egy webhelyet meg tudjunk látogatni, le kell kérdezni egy DNS-től, mi az IP-címe.

példa domainnév: duckduckgo.com
példa IP-cím:    40.114.177.156

Alapbeállítás szerint az ISZ DNS-ét használod, és a meglátogatott domainneveket itt is naplózzák a neved mellé. Egy másik probléma lehet, bár talán egyre ritkább, hogy az ISZ DNS-e nem mindig tud lépést tartani a megnövekedett forgalommal, és gyakran ez volt az oka, hogy „lassú az internet”.

Ha VPN-t használasz, akkor általában automatikusan a VPN-szolgáltató DNS-ét fogod használni, de ez nem törvényszerű. A VPN-szolgáltatók biztosítanak eszközt a kapcsolatod ellenőrzésére, tehát elég akkor lépned ez ügyben, ha gond van. VPN-felhasználóként kiemelten fontos odafigyelned a DNS-re, mert a „DNS-szivárgás” akár értelmetlenné is teheti a VPN alkalmazását.

Léteznek viszont külön DNS-szolgáltatók is, amelyek gyors és biztonságos netezést tesznek lehetővé azáltal, hogy kiszűrhetik a

  • hirdetésekkel és felhasználói nyomkövetéssel kapcsolatos IP-ket (ezek pl. egy honlap meglátogatásakor a háttérben hívódnak meg),
  • nem gyermekbarát oldalakat,
  • biztonsági kockázatként azonosított IP-ket (pl. adathalászat).

Fizetős szolgáltatásnál egyénileg szerkeszthetők a szűrési feltételek. De pl. a CloudFlare ingyen van, nincsenek hátulütői, és könnyen beállítható: Android 9+ a Beállítások / Vez. nélk. és egyéb hálózatok / Személyes DNS menüpontban válaszd a Személyes DNS-t, és írd be ezt: 1dot1dot1dot.cloudflare-dns.com

Email

A tudatos felhasználó alapvető elvárása, hogy kizárólag a kommunikáló felek ismerjék meg az átadott információkat. A fentiekben a felkeresett webhely üzemeltetőjét értettük másik fél alatt, az üzenetküldő szolgáltatások esetén azonban egy másik felhasználóról van szó. Elvárásunk szerint tehát az üzenetküldő szolgáltatás sem ismerheti az üzeneteink tartalmát, ráadásul ilyen szolgáltatásból egyetlen üzenetnél is lehet több: a tiéd és a címzetteké.

Ezt a koncepciót emlegetjük E2EE-ként. Hiába tesz meg minden tőle telhető intézkedést a felhasználó, ha a szolgáltató oldalán emberi vagy technikai hiba, bűncselekmény stb. miatt adatszivárgás történik. Tehát ha nem a felhasználó fiókját törik fel, hanem a szolgáltató rendszerét, akkor a felhasználót csak az védi, ha a szolgáltatónál tárolt adatai általa titkosítottak. A tényleges E2EE-implementációt nem ismerhetjük, ezért ez is bizalmi kérdés, még akkor is, ha a szolgáltató szabad szoftvert üzemeltet (mármint ezt állítja). Szabad szoftvert viszont hosztolhatsz magadnak, bár az email esetében ez túlzott erőfeszítéseket kíván még azon kevesektől is, akik számára adott a lehetőség.

Régóta létezik a PGP/GPG üzenetek titkosítására, ilyet bárki beállíthat magának megfelelő kliensprogramban (pl. Thunderbird) bármilyen IMAP-os szolgáltatáshoz. Ennek helyes használata azonban nehézkes volt és maradt, mind az elmélete, mind a gyakorlata túl bonyolult az átlagfelhasználónak, így nem is terjedt el.

Az ingyenes Gmail egy óriási önkéntes adatszolgáltató a Google-nek, de a kiváló szoftver és a 15 GB tárhely nagyon csábítóvá teszik. No és ne feledkezzünk meg az Androidhoz kapcsolt Google-fiókokról. A Gmail és a rossz szokásaink miatt kevésnek tűnik 5-10 GB tárhely, amiért még fizetni is kell, de céljainknak a legolcsóbb 1-2 GB-os alapcsomagok is megfelelhetnek.

Az ajánlott emailszolgáltatók listáját lásd itt.

Hang- és videóhívás, RTC, IM

Emailt persze már nem mindenki használ, de az adatvédelmi kérdések szempontjából a beszélgető/üzenetküldő programok hasonlóak az emailhez. Az alábbiak az E2EE miatt mind jobbak a telefonhívásnál és az SMS-nél, létezik kliensük Androidra, iOS-re, Windowsra, Linuxra, MacOS-re:

  • Linphone: Nyílt forrású SIP, VoIP és IM platform. Appimage Linux-kliens.
  • Jitsi Meet: Szabad szoftver, böngészőből használható, de WebRTC kell hozzá (ami IP-szivárgáshoz vezet VPN használata esetén). Appimage Linux-kliens is létezik.
  • Element kliens (régebben Riot) és Matrix hálózat.
  • Signal: Szabad szoftver, de központosított és telefonszám kell hozzá. Létezik Linux-kliens.

A Whatsapp és a Viber a legnépszerűbbek. Ők ugyan azt állítják, hogy E2EE-t használnak, de mivel zárt forrásúak, ezt nem kell elhinni nekik (és hát összeszámolni is nehéz lenne az eseteket, amikor a Facebook tettenérés után bejelentette, hogy „hibáztak”). Másrészt meg is lepődnénk, ha nem gyűjtenék és elemeznék legalább a metaadatokat, ezt feltehetően nem is titkolják.

Az emailszolgáltatások kompatibilisek egymással, de az RTC esetén minden félnek ugyanolyan kliensre van szüksége (kivéve a föderatív protokolloknál, mint amilyen az IRC vagy a Matrix). A gyakorlatban tehát az is lényeges kérdés, hogy a kommunikáló felek milyen platform használatában tudnak megegyezni, és ne csodálkozzunk rajta, ha valaki idegenkedve fogad egy számára ismeretlen megoldást (mint fentebb említettük más témában: ez amúgy jó hozzáállás).

Fájlok, dokumentumok, felhő

Megkülönböztethetünk szinkronizációs és archiválási célú távoli fájltároló szolgáltatást, bár a gyakorlatban az utóbbi gyakran az előbbi extra funkcionalitása szokott lenni (akár verziózás, akár backup néven). A szinkronizálás önmagában nem mindig véd meg az adatvesztéstől: az akaratlan felhasználói módosítás/törlés, a zsarolóvírus általi titkosítás vagy a hardverhibából származó adathiba is szinkronizálódni fog a felhőbe. Inkább kényelmi funkciónak tarthatjuk, míg az archiválást inkább biztonságinak.

Milyen technológiák garantálják, hogy illetéktelenek ne olvashassák a dokumentumainkat? Menet közben (in transfer), tehát az internetre kerülve a legkiszolgáltatottabbak az adatok, ezért az említett TLS-t ma már kötelező jelleggel használják, a felhasználónak nincs külön teendője. Nyugvó állapotban (at rest) kétféle titkosítást különböztetünk meg:

  • A full disk encryption (FDE) az adattárolót védi. Akár a te PC-dből, akár a szerverparkból ellopják a lemezt, egyáltalán nem fogják tudni olvasni a rajta lévő fájlokat, metaadatokat, semmit. Egy munkára használt laptop esetén fontosnak mondható. Természetesen nem tudhatod, hogy egy szolgáltató távoli gépén alkalmaznak-e FDE-t, továbbá a szolgáltató munkatársai így is, úgy is hozzáférhetnek az ottani adatokhoz.
  • A fájltitkosítással csak egyes fájlokat vagy mappákat védünk, és erre épp a felhőben tárolás és az E2EE miatt lehet szükség: függetleníthetjük magunkat egy szolgáltató gyakorlatától, ha rajtunk kívül más nem tudja dekódolni a fájljainkat. (Lásd: Cryptomator, Tomb.)

Az ajánlott felhőszolgáltatók listáját lásd itt.

Közösségi média

Sokféle közösségi média van, most csak a magasan legnépszerűbbre térünk ki. A Facebook technológiai megoldásai és sorozatos durva kihágásai szinte senkit sem érdekelnek, úgyhogy részletezés nélkül az online magánélet védelmével kapcsolatos egyetlen lehetséges tanácsra szorítkozunk: ne használd a Facebookot.

Fotók, metaadatok

Ha képeket töltesz fel a telefonodról, azok időbélyeget és GPS koordinátákat is tartalmazhatnak. Régebben a képpel együtt ezek is nyilvánossá váltak, manapság a FB, Instagram és hasonlók eltávolítják a képek ilyen jellegű metaadatait. A szolgáltatók persze tárolják ezeket az adatokat, de akinek bekapcsolt GPS mellett fut a FB appja a telefonján, annak a FB amúgy is tudni fog minden lépéséről. Ezt szó szerint kell érteni.

Árnyékprofilok

A poén nem is ez, hanem az, ami Öntudatos Jenővel történhet, aki nem használ FB-ot, és nem akar fotókat vagy információkat megosztani magáról. Ismerősei között lesznek, akik fotókat osztanak meg a FB-on, némelyiken ő is szerepelni fog. Az arcfelismerő algoritmus egy külön rejtett profilhoz is társítani fogja az ilyen fotókat, időbélyegekkel, GPS koordinátákkal, hozzászólásokkal együtt. Továbbá számos ismerőse gondolkozás nélkül megosztja a kapcsolati listáit is a FB-kal, ezáltal pedig az ő email címe, telszáma, kontaktlistája is meglesz nekik.

Ha Jenő tartalomszűrő nélkül böngészi a webet, akkor egy csomó meglátogatott oldalon le fog futni a FB kódja (kb. bárhol, ahol megjelenik a lájk/megosztás gomb, amelyet nem is kell megnyomni, annak nem az a lényege), és a sütik felhasználásával felépül Jenőről egy másik árnyékprofil a részletes böngészési szokásaival. Csak idő kérdése, hogy a FB szofisztikált algoritmusai olyan infómorzsához jussanak, amely lehetővé teszi a két árnyékprofil összekapcsolását, esetleg végül az egyesítését.

Utánakeresve számos cikket lehet találni18 a témában,19 nem újdonság és nem szóbeszéd.20 A végeredmény: a FB jókora mennyiségű információt gyűjt össze olyanokról is, akik ehhez nem járultak hozzá, mit sem sejtenek az egészről, sőt esetleg tudatosan döntöttek úgy, hogy nem kívánnak részt venni ebben a buliban.

És akkor még nem beszéltünk a különféle zavaros adatszivárgásokról, adatlopásokról; a sosem létezett objektivitás álcája mögött végzett manipulációkról; az egykor szabad internet kisajátításáról és “monetizálásáról”. Feltalálták a tökéletes hirdetési platformot, aminek mindenki örül, és mindenki szereti, hirdető és fogyasztó egyaránt.

Ellenlépések

A FB adatgyűjtéséből tehát nemhogy nincs kiszállás (opt-out), hanem még a nem felhasználóknak is aktívan tenniük kéne ellene. A böngészőbeli tartalomszűrés nem elég, DNS sinkhole (/etc/hosts, pi-hole) vagy IP-alapú szűrés (tűzfal) kell.

IoT, „okos” eszközök

Bizonyára nagyon kényelmes pl. a hangvezérelt okostévé, amelynek a felhasználói útmutatójában is figyelmeztetnek rá, hogy a mikrofon minden hangot felvesz és hazaküld a gyártónak.21 Lehet, hogy téged ez nem érdekel, de ne utólag lepődj meg rajta. Sokakat nem érdekelhet az ilyesmi, mivel az Amazon Echo, Google Home és hasonló termékek is jól fogynak. Egyébként hangvezérléssel trükkös támadásokat is el lehet követni,22 továbbá az IoT eszközöket fel is lehet törni,23 valamelyiket könnyebben, valamelyiket nehezebben. Ajánlatos körültekintően választani, mielőtt önként lehallgatórendszert telepítesz az otthonodba.

Munkaeszközök

A fentiekben többször is említettem a munkahelyi infrastruktúrát, de nem árt még egyszer visszatérni rá, mert fontos témakör. Sokaknál előfordul, hogy értelmetlennek, feleslegesnek, kényelmetlennek tűnik pl. saját PC-t tartani, hiszen ad a munkahely egyet. Egyesek a privát SIM-ről, emailcímről is lemondanak, mert egész nap a cégest használják, minek bonyolítani a dolgokat, jó lesz az magáncélra is. Természetesen nem minden esetben életszerű pl. két laptoptáskával vagy két mobillal járkálni, de nem is minden helyzet ennyire kisarkított. A lényeg: érdemes átgondolni, minek milyen következményei lehetnek hosszú és rövid távon; mit hogyan és miért csinálunk, tudunk-e, akarunk-e változtatni a szokásainkon. Olvassuk el és értelmezzük a cég IT-szabályzatát a saját érdekünkben.

Szinte biztosan nem jó, ha valaki mindig mindent a munkahely által biztosított eszközökön csinál, a távolról menedzselt eszközöknek ugyanis az a lényegük, hogy az üzemeltető magához veszi a kontrollt, szeretné minél inkább kézben tartani a saját infrastruktúráját. A felhasználó szempontjából ugye fordított a helyzet: ő elveszítette a kontrollt. Bele sem mennék, milyen módszerekkel és mennyi mindent tudhat meg a munkaadó (illetve annak bizonyos alkalmazottai) a munkavállalóról, néhány vonatkozásra kitértünk fentebb.

Gyakori ellenvetés, hogy számít-e ez bármit, mert a) évek óta ezt csinálod, és még nem volt ebből gond; b) nem hallottál olyanról, hogy mások bajba kerültek volna emiatt; c) különben sem csinálsz semmi rosszat. Röviden és összefoglalóan: nem tudhatod, nem uralod a helyzetet. Sürgősen el kéne felejteni azt a klisét mint lehetséges következményt, hogy valakit nagy felhajtás közepette kirúgnak a munkahelyéről, mert “felnőtt tartalmakat” nézegetett, vagy rendszeresen közösségi média oldalakat látogatott. Szaftos/vicces/botrányos sztorinak tűnik, de nem lesz ilyen, és nem tapint a lényegre, csak banalizálja a problémát.

Ajánlott tájékoztató oldalak

  1. 2018. évi LIII. törvény a magánélet védelméről. ↩︎

  2. Az EP és ET általános adatvédelmi rendelete (GDPR). ↩︎

  3. Behind the One-Way Mirror: A Deep Dive Into the Technology of Corporate Surveillance. EFF, 2019-12-02. ↩︎

  4. Researchers spotlight the lie of ‘anonymous’ data. Techcrunch, 2019-07-24. ↩︎

  5. When Is Anonymous Not Really Anonymous? The Markup, 2020-03-24. ↩︎

  6. Big Data May Not Know Your Name. But It Knows Everything Else. Wired, 2021-12-19. ↩︎

  7. Your Apps Know Where You Were Last Night, and They’re Not Keeping It Secret. The New York Times, 2018-12-10. ↩︎

  8. How Does Google Know Where Your WiFi Router Is? Make Tech Easier, 2016-04-08. ↩︎

  9. A popular virtual keyboard app leaks 31 million users’ personal data. ZDNet, 2017-12-05. ↩︎

  10. WhatsApp reveals major security flaw that could let hackers access phones. CNN Business, 2019-05-14. ↩︎

  11. Apple sues NSO Group for attacking iPhones with Pegasus spyware. The Verge, 2021-11-23. ↩︎

  12. Is Windows 10 still telling Microsoft what you’re doing even if you don’t want it to? ZDNet, 2018-12-12. ↩︎

  13. Krimibe illő csalással nullázták le egy magyar család bankszámláját. 24.hu, 2020-09-22. ↩︎

  14. Facebook Stored Hundreds of Millions of User Passwords in Plain Text for Years. KrebsOnSecurity, 2019-03-21. ↩︎

  15. Évek alatt spórolt pénzek lophatók el ezzel a csalási formával. 24.hu, 2020-05-06. ↩︎

  16. The Lawful Access to Encrypted Data Act wants to ban strong encryption. ProtonMail Blog, 2020-07-22. ↩︎

  17. Do You Like Online Privacy? You May Be a Terrorist. Public Intelligence, 2012-02-01. ↩︎

  18. Facebook Shadow Profiles: What You Need to Know. Mashable, 2013-06-26. ↩︎

  19. This is how Facebook collects data on you even if you don’t have an account. Vox, 2018-04-20. ↩︎

  20. What Data Does Facebook Collect When I’m Not Using Facebook, and Why? Facebook (Meta), 2018-04-16. ↩︎

  21. If You Have A Smart TV, Take A Closer Look At Your Privacy Settings. BuzzFeed News, 2017-03-07. ↩︎

  22. Hackers Can Talk To Voice Assistants Like Siri And Alexa By Speaking With A Voice You Can’t Hear. Forbes, 2017-09-11. ↩︎

  23. Top 10 IoT vulnerabilities. Network World, 2019-01-14. ↩︎