Bezpieczeństwo elektroniczne każdego z nas

Słuchałem dzisiaj trochę na temat bezpieczeństwa firmy z punktu widzenia internetu/technologii. Podsłuchy, węszenie pakietów w sieciach wifi, obawa o to, że ABW słucha i nagrywa rozmowy. Tajemne backdoory dla CIA do komórek czy komputerów. Dużo się o tym mówi, tylko mam wrażenie, że to tylko takie mądrzenie się ekspertów nie znających prawdziwych zagrożeń. Powtarzają oni o konkurencji, która chce wykraść tajne receptury, najlepszych pracowników czy zdobyć kompromitujące materiały. Nic, ale to nic nie mówi się o bezpieczeństwie z punktu widzenia małej 1-2 osobowej firmy. Może dzisiaj trochę na ten temat. Jak technologia zagraża małym firmom.

Moja teza jest taka, że zagrożenie dla małych jest nie z tej strony o której się mówi.  Nie węszącej konkurencji powinniśmy się bać. Że niby co się stanie wielkiego jak Uniwersytet Jagielloński wykradnie listę naszych studentów? Wstydu trochę będziemy mieć, ale tak naprawdę nic wielkiego się nie stanie. Oczywiście jak przystało na kraj dziadów, największym zagrożeniem jest skarbówka.

Jak wiecie dużo działam w temacie przedsiębiorców zniszczonych przez urzędników. W 99% przypadków nie są to działania specjalne. Takie jak np. w przypadku Andrzeja Szyjkowskiego, kiedy to z ministerstwa urząd skarbowy dostał faks złożony z kilku zdań z poleceniem doprowadzenia do upadłości jego firmy. Jak was ta sprawa interesuje to tutaj macie link: www.youtube.com/watch?v=XWxnIu5q23k.

Większość historii ma zupełnie inny kręgosłup. Pozwala się przedsiębiorcom pracować i wykazać ich głupocie czy niewiedzy. Człowiek sobie działa, a po 5 latach robi się kontrolę i spogląda we wszystkie dowody, jakie przedsiębiorcy sami na siebie zgromadzili. Ponieważ prawo nie odzwierciedla życiowej logiki, to dowody zawsze się znajdują. A jakie dowody? Ano takie zbierane pasywnie. Wyciągi bankowe, bilingi telefoniczne, logi internetowe, korespondencja mailowa.

Najwięcej ludzi wykłada się na wyciągach bankowych. Ludzie myślą, że przelewy, to taka gotówka, tylko wygodniejsza. Zupełnie nie myślą o tym, że wszystkie transakcje w banku są rejestrowane i dostępne dla skarbówki. O transakcjach gotówkowych skarbówka nic nie może wiedzieć. O przelewach wie wszystko. Dlatego też gotówka jest wrogiem Państwa. W Polsce firmy powyżej jakiejś kwoty muszą rozliczać się między sobą przelewami. W Norwegii bodajże wszystkie zakupy gotówką, nawet w zwykłym sklepie jak kupujesz lodówkę, powyżej około 800 Euro muszą być zgłoszone przez sprzedawcę do skarbówki. Forsuje się tam obecnie projekt pozbycia się gotówki i zmuszenia ludzi do rozliczania się za wszystko drogą elektroniczną. Dokładnie po to, aby wszystko wiedzieć, potem sprawdzić i nałożyć kary. W Słowenii kasy fiskalne on-line na żywo raportują do fiskusa.

No ale jak w praktyce ludzie wpadają na wyciągach? A proszę. Fragmenty mojej korespondencji.

„Prowadziłem sprzedaż na Allegro elektroniki sprowadzanej z USA. W 2004 roku byłem jednym z pierwszych, którymi zainteresował się Urząd Skarbowy i skończyło się to decyzją o zapłaceniu kwoty, której nie mam, jako, że prowadziłem sprzedaż nieewidencjonowaną.” Skończyło się karami na 400 tys. zł. Człowiek handlował na Allegro bez zgłoszenia działalności. Nie wpadł, bo Allegro dało znać skarbówce o obrotach. Wtedy jeszcze nie współpracowało ze skarbówką tak chętnie jak dzisiaj. Wpadł bo skarbówka spojrzała na wyciąg z banku. Sam zgromadził na siebie dowody.

„Mój ojciec jest przedsiębiorcą i zapowiedziała mu się kontrola z ZUS-u, a jako że nigdy nie miał na nic czasu, to też nie miał się jak zabezpieczyć i m.in. płacił ludziom pod stołem z firmowego konta. Teraz może beknąć za to, że chciał, by jego załoga zarabiała więcej i żyła lepiej.” Tego nie trzeba chyba tłumaczyć. Głupota trochę ze strony ojca. No ale nikt nie mówi, że inni przedsiębiorcy nie wpadają z głupoty.

„Narzeczona prowadziła swoją działalność, ja swoją. Często zdarzało się tak, że jak brakowało jej pieniędzy to płaciłem jej rachunki ze swojego konta, a w innym czasie gdy mi brakowało to ona moje rachunki ze swojego. Ufaliśmy sobie tak bardzo, że już przed ślubem uważaliśmy cały nasz majątek za wspólny. Po 3 latach przyszła kontrola i powiedziała, że są to niezgłoszone darowizny i chcieli nałożyć karny podatek. Razem 142 tys. zł.” Tutaj sprawa zakończyła się pozytywnie. Młodzi poszli do dobrego prawnika, który wmówił skarbówce, że to nie były darowizny tylko wykup weksli i rozmyło się po kościach.

W swoim ebooku Biznes w Kraju Dziadów opisuję inną sytuację. Człowiek prowadził jednoosobową działalność polegającą na spawaniu. Nie rozliczał się książką przychodów tylko ryczałtem. Zainteresował się pożyczkami społecznościowymi ala Kokos. Zrobił ich kilka, może kilkanaście, na kilka tys. zł przez 2 lata, zarobił na tym grosze. Gdy przyszła kontrola i spojrzała na wyciągi to zapytała. A co to? A to Pan spawa i prowadzi działalność finansową to w takim bądź razie nie może się Pan rozliczać ryczałtem. I jak mu zaczęli przeliczać należny podatek według książki przychodów to wyszło z 60 tys. do zapłaty.

Lenistwo ludzi i krótkowzroczność jest przerażająca. Nie chce im się iść do bankomatu, wyciągnąć gotówki i dać nielegalnemu pracownikowi gotówki. Zresztą nie tylko wyciągi bankowe mają taką funkcję pasywnego zbierania dowodów. Wystarczy spojrzeć na bilingi telefoniczne. W 2013 roku różne służby zgłosiły 2 mln 187 tys. zapytań do firm telekomunikacyjnych, przy czym w tej liczbie nie uwzględniono podsłuchów i odczytywania treści SMS-ów. Podobne przepisy dotyczą dostawców internetu. Wyobraźcie sobie, że firmy dostarczające wam internet muszą przechowywać do wglądu kilkudziesięciu organów wszystkie logi, a więc wiedzą na jakie strony wchodzicie, co wyszukujecie, ile czasu spędziliście na stronie internetowej, jakie wiadomości wysyłaliście, maile, jakie formularze wypełnialiście itp. Jeżeli się nie zabezpieczasz, to wszystko tam jest. A nie zabezpieczasz się, bo i po co. Tak się przynajmniej wydaje każdemu. Dokładnie tak samo jak nie chciało się jechać do bankomatu temu człowiekowi z jednej z przytaczanych historii. Z tym, że w normalnych ludziach jego głupota powoduje śmiech. Bo każdy wie, że te płatności przelewem kiedyś wyjdą. Tylko ci co się śmieją teraz, za kilka lat mogą zobaczyć na przesłuchaniu od prokuratora treści swoich własnych emaili jak umawiali się na lewą prace i zapłatę w gotówce :).

Jeżeli więc chodzi o bezpieczeństwo z punktu widzenia małej firmy, to twoim jedynym poważnym wrogiem jest skarbówka i Twoje, naturalne zresztą, dążenie do ukrywania majątku przed złodziejem. Nie obawiaj się tego, że udostępnisz w domu wifi bez hasła i kilka osób na ulicy z niego skorzysta i dokona strasznych przekrętów za które Ciebie wsadzą. Prędzej wygrasz w totolotka niż taka historia ci się przytrafi. To czego masz się bać to wszelkich agregatów danych, które zbierają dane na wszelki wypadek. Przy drobnym Twoim potknięciu jakiś kontroler wyśle kilka poleconych z prośbą o biling telefonu, treści SMSów, logi Internetu i już wszystko o Tobie wie, a już na pewno znajdzie punkt zaczepienia. Dlatego też poniżej kilka prostych rad, które pomogą Ci uniknąć wrzucania danych do tych agregatów.

Jeżeli chodzi o konto bankowe. Unikaj przelewów jak diabeł święconej wody. Bierz przykład z byłego prezydenta i jak nie musisz to nie posiadaj rachunku bankowego. Jeżeli musisz założyć konto, to zrób to w innym kraju niż ten w którym mieszkasz. Nie musi być to od razu Szwajcaria. Proponuję przykładowo Czechy. Założenie konta wygląda tak samo jak w Polsce. Zrobisz to jedną wizytą wchodząc z ulicy. Dobrze by było, aby Bank był w sieci SEPA. To taki system rozliczenia się banków miedzy sobą co powoduje niskie koszty przelewów. Mnie przelew międzynarodowy w sieci SEPA z Czech do Polski kosztuje chyba 5 zł. Niby to więcej niż darmowe krajowe przelewy w Polskich bankach internetowych. Ale jak chcemy zarabiać tysiące to nie żałujmy groszy. Poza tym posiadanie pieniędzy za jakąkolwiek granicą, nawet tą wewnętrzną w Unii powoduje, że pieniądze te są praktycznie nieściągalne.

Oczywiście istnieje coś takiego jak europejski tytuł wykonawczy, ale trochę się obracam w środowisku naprawdę zbankrutowanych ludzi, nie takich cwaniaków jak ja co niepłacenie mandatów traktują trochę jak sport. Nigdy jeszcze w życiu takiego tytułu nie widziałem, może dlatego, że jego otrzymanie też trochę kosztuje i trzeba jakiś tam pewnie dodatkowy wniosek składać. Może w naprawdę grubych sprawach, ktoś się o to postara. Jak wy widzieliście taki dokument to bardzo proszę o kontakt.

Natomiast jak już musimy komuś przelać pieniądze za lewą robotę, nawet z  Czech to nie wpisuje się w tytule przelewu „wynagrodzenie za lewą robotę”. Wpisz „zaliczka na poczet wydatków” lub „dziękuję za dobry seks”. To cię broń boże nie uratuje od konsekwencji, co najwyżej mniejsza kara będzie, a w przypadku seksu to jeszcze masa śmiechu :). Tutaj też politycy mogą służyć za przykład. W głośnej sprawie Colloseum Państwo podżyrowało kredyt dla prywatnej firmy. Pieniądze z tego kredytu trafiły do różnych czerwonych polityków, między innymi do Leszka Millera jako zwykły przelew, ale właśnie z wpisanym tytułem zaliczka, zwrot kosztów itp. Jak widać włos z głowy im nie spadł i nadal brylują w TV.

Bóg jednak stworzył ciekawsze narzędzie do wykonywania natychmiastowych, darmowych, anonimowych przelewów. Rozwiązanie nazywa się Bitcoin. Proste, bezpieczne, łatwe w użyciu i zdobywające kolejnych i kolejnych zwolenników. Mój ebook na początku 20% teraz ok 8% ludi kupuje właśnie za Bitcoiny. Jeden student płaci tak za studia licencjackie. Kilkunastu za Kurs Podstawowy, dwóch chyba za MBA. W zeszłym tygodniu Microsoft ogłosił, że przyjmuje płatności w Bitcoinach. Za ich pomocą można kupić już dosłownie wszystko. Ja kupowałem za nie serwery, piwo w barze, płaciłem za hotel, za jedzenie, a nawet 2 dni temu kupiłem bilet lotniczy w Estońskich tanich liniach lotniczych, a będąc na tegorocznym FreedomFest również zrobię za ich pomocą zakupy w WallMarkcie.

Jeżeli chodzi o telefony i SMSy to przestań ich używać. Skypa również można instalować na telefonach, działa bardzo dobrze. Może wysyłać wiadomości Tekstowe, dzwonić, a nawet przesyłać pliki. Nie kosztuje to nic, a znacznie bezpieczniejsze, bo korzysta z Internetu, a nie z sieci telefonicznej. No ale pisałem, że połączenia internetowe też są logowane. Zgadza się. Jednak ukryć połączenie przed operatorem sieci internetowej jest znacznie prościej niż przed operatorem telefonicznym. Rozwiązaniem na logi operatorów są usługi  VPN. Domyślnie protokoły, które wysyłają maile nie są szyfrowane. Operator bardzo ładnie widzi wszystkie maile i zapisuje z kim się kontaktujesz, jakie frazy do googla wpisujesz, jakie strony odwiedzasz. Usługa VPN działa w ten sposób, że Twój komputer nie wysyła nic do Internetu. Wykorzystuje tylko Internet aby połączyć się, zaszyfrowanym łączem z drugim komputerem zlokalizowanym np. Hong Kongu. Dopiero tamten komputer z Hong-Kongu łączy się z Twoją pocztą i wysyła email. Twój operator widzi tylko z jakim komputerem się łączysz i że wysyłasz mu i odbierasz od niego jakieś zaszyfrowane dane. Nie ma zielonego pojęcia co znajduje się w tych danych. Dokładnie tak samo, jak stoją trzy osoby i dwie zaczynają ze sobą rozmawiać po chińsku. Trzecia chińskiego nie zna. Wie, że o czymś rozmawiają, ale o czym? W przypadku VPN jedynym operatorem jaki zna treści emalii jest operator w Hong Kongu. A niech zna. Mi to nie przeszkadza. On na pewno z Polską skarbówką nie współpracuje. Mimo, że wytłumaczenie usługi VPN jest dość  trudne to w praktyce jest bardzo proste. Wchodzisz np. tam gdzie ja mam usługi VPN www.proxpn.cominstalujesz od nich program na wszystkich komputerach i telefonach, opłacasz ok 140 zł rocznie i wszystkie Twoje komputery i telefony są chronione. U mnie w domu działa to trochę inaczej. Do VPN podłączyłem cały router. Jak ktoś do mnie przychodzi i dam mu zalogować się do wifi i jak włączy Google to otworzy mu się raz strona startowa Google z Singapuru, innym razem z Malezji, a innym razem z Las Vegas. Bo to dokładnie tak działa. Gdziekolwiek bym się nie logował to strony internetowe myślą, że jestem szczęśliwym mieszkańcem Sierrna Leone czy innego miesjce gdzie PROXPN ma serwery. 

Jeżeli o bezpieczeństwie mowa to oprócz skarbówki kolejnym zagrożeniem jest najzwyczajniej to, że zgubisz komputer lub najzwyczajniej zapomnisz go zabrać, chociażby ze zjazdu ASBIRO. Przez te 8 lat działania wiele laptopów musieliśmy odsyłać. Sam raz zostawiłem komputer w samolocie, ze 2 razy zapomniałem zabrać z sali wykładowej gdzieś w świecie. Utrata danych może być w ten sposób bardzo bolesna. Ale jest proste wyjście. Najzwyczajniej nie zabieraj ze sobą danych, tak jak ja to robię. Normalnie w biurze mam na stałe włączony komputer i za pomocą programu TeamViewer (taki zdalny pulpit), łączę się laptopem na wyjazdach z komputerem w biurze i przejmuje nad nim kontrolę. Działa to super i pozwala zaoszczędzić sporo nerwów i pieniędzy. Nerwów, bo jak zgubie laptopa to idę do marketu i za 400 dolarów kupuje nowy komputer, ściągam jeden program z netu i dalej pracuje jak gdyby nigdy nic. A pieniędzy, bo nie muszę płącić za dostęp do internetu na wielu lotniskach gdzie działa SkypeWifi. Na zachodzie to bardziej popularne niż w Polsce, ale ogólnie chodzi o to, że na lotniskach niekiedy chcą 10-20 dolarów za dzień korzystania z Internetu. Ale prawie wszędzie na lotniskach jest SkypeWifi (ponad milion punktów na całym świecie). Chodzi o to, że wtedy skype chodzi nawet jak nie zapłacisz za internet. A jak chcesz wykupić dostęp do netu to możesz zapłacić z konta prepaid Skype. Jakimś cudem tam gdzie jest ten SkypeWifi, mogę bez płacenia korzystać z TeamViever. Mój laptop nie ma dostępu do internetu, ale łączę się zdalnie z komputerem w biurze, a ten już ma i dzięki temu właśnie powstał ten artykuł, podczas nocowania na lotnisku Stansted.

Znacznie ciekawszym rozwiązaniem jest trzymanie tego ciągle włączonego komputera, nie w biurze, tylko np. u babci lub w serwerowni w Sierra Leone. A w biurze pracować na laptopie. Wpada policja, rekwiruje komputery, plombuje biuro, a ty idziesz do marketu po komputer i pracujesz dalej używając Internetu z McDonalda.

To tyle w tym temacie. Zagrożenie jest, ale nie dajcie się zbzikować. Unikajcie tylko takich agregatów danych, do których dostęp ma skarbówka. Zamiast konta bankowego portfel Bitcoin, a zamiast telefonu skype podłączony do internetu zabezpieczonego VPN. W zupełności wystarczy.

20 komentarzy

  1. Roman K

    Ciekawy wpis Kamilu, ale rada z BitCoinem w tym kontekście mocno nie trafiona: https://en.bitcoin.it/wiki/Anonymity
    „The main problem is that every transaction is publicly logged. Anyone can see the flow of Bitcoins from address to address (see first image).”

  2. Damian Stasiak

    Hoho Kamil ten wpis jest genialnym streszczeniem tematu. Krótko, zwięźle i na temat.

  3. Łukasz Kalinowski

    Cześć,

    Kamil, super wpis, dzięki za praktyczne porady.
    Orientujesz się, jak jest z płatnościami kartami kredytowymi/debetowymi?
    Gdyby założyć sobie konto w jakimś np. czeskim kantorze internetowym (odpowiedniku Alior Kantoru, Cinkciarza itd.) i dostać do niego kartę to czy polska skarbówka może śledzić wykonywane nią transakcje?

    PS. Ostatnio jak robiłem przelew korzystając z konta przypisanego do kantoru Aliora do UK na brytyjskie konto to nic nie zapłaciłem. Do Czech najprawdopodobniej też mógłbyś robić przelewy za darmo.

    Łukasz

  4. Szymon

    Cześć Kamil,

    Świetny wpis, daje wiele do myślenia na temat naszej aktywności prywatno-zawodowej w internecie. Mam jednak jedno pytanie. Posiadam konto bankowe wspólnie z żoną (nie posiadamy rozdzielności majątkowej), w styczniu otwieram jednoosobową działalność gospodarczą i chciałbym w tym celu otworzyć osobne konto firmowe w innym banku. Czy przelewy pomiędzy moim kontem „firmowym” a kontem prywatnym mogą nosić znamiona przestępstwa skarbowego? Czy mogę z tego konta „firmowego” opłacić np. rachunek za prąd? Jako jednoosobowa działalność gospodarcza nie mam osobowości prawnej, więc moja firma to ja z imienia i nazwiska. Zatem czy w przypadku opisanym przeze mnie wcześniej nie chodzi o przelewy pomiędzy własnymi kontami bankowymi? Jeśli coś źle zrozumiałem, wyprowadź mnie proszę z błędu 🙂 Dzięki serdeczne!

    Pozdrawiam,
    Szymon

  5. p

    Bardzo ładny wpis.
    >Jeżeli chodzi o telefony i SMSy to przestań ich używać.
    Czasami jednak smsa odebrać trzeba. Pewnym rozwiązaniem jest tu np. http://receive-sms-online.com/, chociaż szukam czegoś co dałoby mi indywidualny „numer telefonu”.

  6. Janusz Pokorski

    Nie wiem jak to robisz, ale mi Skype nie działa jak nie zapłacę SkypeWifi…

  7. Mariusz

    Jako ciekawostkę napisze że połączenia z Google i ich usługami są od dawna szyfrowane. Google jak powód padło m.in. Fakt podsłuchiwanie obywateli przez rząd i wykorzystanie to na ich niekorzyść. Niby jak przykład podali takie kraje jak Chiny. Ale wprowadził wszędzie (ma to tez związek z reklamami).

  8. Michał Żółtowski

    Też korzystałem wielokrotnie z Team viewer’a – świetne narzędzie! Moja jedyna wątpliwość co do niego jest taka, że czasem są problemy z wydajnością – wiadomo – streaming obrazu. Nie masz z tym problemów? Mimo wszystko komfort pracy mocno może ucierpieć.

    Jeżeli chodzi o bezpieczeństwo (przed utratą) danych, korzystam z chmury – m.in. z dropbox’a. W przypadku utraty laptopa, wszystko wróci na swoje miejsce jak tylko połączę się z internetem.

  9. Tarantino

    Super wpis, właśnie szukałem programu typu TeamViewer.
    Jak to jest w przypadku jeśli zlikwidujemy konto w banku, czy Bank ma obowiązek zachować historię konta? Czy Skarbówka ma możliwość sprawdzić historię zlikwidowanego konta?

  10. Mateusz

    O, jak zawsze konkret.
    Dodałbym do spraw IT jeszcze blokadę peerów organizacji ciekawskich.
    Rzecz się nazywa PeerBlock.
    Ten programik zablokuje nam te niechciane połączenia.
    Uniwersytety, milicje, bezpieki i tym podobne będą miały trudniejsze zadanie.

  11. hapi

    W kwestii bezpieczeństwa pieniędzy.
    Ciekawy jestem czy nasze państwowe instytucje mają dostęp do systemów typu Neteller czy Skrill. Bitcoiny mają zalety, ale też i wady, na przykład gdy trzeba szybko za coś zapłacić. Natomiast Skrill daje kartę i można sobie zapłacić za zakupy za granicą i takie informacje nie zostaną zarejestrowane przez „systemy” w Polsce.

  12. Przemek Michalak

    Jeśli chodzi o pieniądze to do przechowywania gotówki warto zainteresować się anonimowymi skrytkami DasSafe w Wiedniu. Substytutem konta bankowego mogą być też karty bankowe prepaid,niestety mają one limit środków na koncie do 10 000 zł i limit operacji do 2000 zł dziennie,mają one rachunek techniczny więc można na nie robić normalne przelewy.

  13. MP

    Do zastosowania asap. Kamil podaj linki do operatorów sprzedających bilety lotnicze za bitcoiny.

  14. piotr

    Świetne informacje. Dodam tylko, że z kodem VPNC62 jest 62% zniżka usługi proxpn. pozdrawiam z afryki;)

  15. piotr

    Świetne informacje. Dodam tylko, że z kodem VPNC62 jest 62% zniżka na usługi proxpn. pozdrawiam z afryki;)

  16. Mariusz Zieliński

    Bardzo ciekawy artykuł, zwłaszcza temat VPN. Ja od siebie dodam, że warto szyfrować dyski w swoich komputerach (np. programem VeraCrypt), w razie kradzieży czy zgubienia laptopa mamy pewność, że nikt nie odczyta naszych danych, zapamiętanych haseł w przeglądarce itd.

  17. torero

    Michał Żółtowski said: Też korzystałem wielokrotnie z Team viewer’a – świetne narzędzie! Moja jedyna wątpliwość co do niego jest taka, że czasem są …

    Dropbox jest – przynajmniej teoretycznie – narażony na włam. Jeśli chować coś po chmurach, to lepiej korzystać z rozwiązań pokroju np. http://wuala.com, gdzie dane szyfrowane są już na Twoim kompie i w formie szyfrowanej przechowywane w chmurze. Więcej serwisów tutaj: http://lifehacker.com/the-best-cloud-storage-services-that-protect-your-priva-729639300

    Co do bezpieczeństwa w necie, warto kierować się jedną prostą zasadą: nie wrzucaj do netu NICZEGO, czego publiczne ujawnienie mogłoby narazić Cię na kłopoty. Dotyczy zarówno danych firmowych, jak i przesyłania gołych zdjęć.

  18. Marcin

    bezpieczeństwo to sprawa kluczowa, trzeba być ostrożnym w każdym przypadku. ja również pracuję zdalnie.

  19. Tomasz

    a co z hostingiem . polecicie jakis zagraniczny – najlepiej z kodem znizkowym jak do tych vpn-ow .

    pzdr

Dodaj komentarz do Roman K Anuluj