Czy w Polsce biurowe kopiarki również gromadzą dane na dyskach?
Ciekawe, czy tak jest również w Polsce. CBS Evning News dostrzegło, że niemal wszystkie cyfrowe kopiarki, które wyprodukowano po roku 2002, są wyposażone w twarde dyski, na których gromadzą się cyfrowe kopie wszystkich skopiowanych, skanowanych lub wysłanych (emailed) przez maszynę dokumentów. Dziennikarze zaczęli przyglądać się obrotowi używanymi maszynami tego typu. Sytuację nazywają bombą zegarową. Z tymi maszynami do kopiowania są same problemy. Niedawno były naloty w Rzeszowie. Tam również zabezpieczono "elektroniczne kopie"...
Odnośnie dysków twardych w kopiarkach - materiał na ten temat opublikowano pod tytułem Digital Photocopiers Loaded With Secrets. Opisano tam m.in. aktywność spółki Digital Copier Security, która rozwija oprogramowanie do wydobywania zachowanych na twardych dyskach maszyn informacji. Przy opisie eksperymentu polegającego na zakupie używanej maszyny do kopiowania, a to w celu sprawdzenia, czy łatwo będzie z niej wydobyć zachowane tam cyfrowo dane, podano przykład używanej maszyny pochodzącej z Police Sex Crimes Division (Buffalo, N.Y.). Autorzy piszą, że aby uzyskać pierwszy dokument nie musieli nawet uruchamiać maszyny, gdyż sprzedano im egzemplarz, w którym ktoś pozostawił dokument na podajniku (the copiers had documents still on the copier glass).
Jestem uczulony na tego typu doniesienia, gdyż pamiętam wciąż kampanię marketingową producenta niszczarek do papieru, który przekonuje socjologów by sprawdzali, co można znaleźć na polskich wysypiskach śmieci (por. Socjologowie po grzebaniu w śmieciach alarmują). Niezależnie od tego, czy ktoś usiłuje sprzedać właśnie oprogramowanie do czyszczenia zawartości dysków twardych biurowych maszyn do kopiowania - to interesujące, że taka maszyna może gromadzić (bez wiedzy użytkownika?) w sobie pewne informacje.
Poza oczywistym kontekstem ochrony tajemnic prawnie chronionych (państwowych, służbowych, każdych innych, wraz z kwestiami ochrony prywatności) istnieje jeszcze kwestia praw autorskich. Jeśli ktoś sprzedaje używaną maszynę wraz z zawartością, to - być może - wprowadza do obrotu nośnik z utworami chronionymi prawem autorskim?
Mogę przecież dla własnego użytku skopiować sobie książkę. Całą książkę. Ale nie mogę taką kopią handlować (wprowadzać do obrotu egzemplarzy). Jeśli bym tak zrobił, to mogę narazić się na nalot policji. Niedawno polska Policja zrobiła naloty na punkty kopiowania w Rzeszowie i - jak czytam w tekście Zwykłe kserowanie, poważne przestępstwo - "zarekwirowała setki skopiowanych skryptów i książek naukowych". Ważniejsze jest chyba nawet to, co powiedział Zbigniew Kocój z rzeszowskiej policji:
W kontrolowanych pomieszczeniach znaleźliśmy skany książek i podręczników oraz ich elektroniczne kopie. Do badań biegłego z zakresu informatyki zabezpieczyliśmy cztery kserokopiarki i dwa komputery wykorzystywane do nielegalnego powielania.
Nielegalnego powielania!
Strach pomyśleć, co to może znaczyć, zwłaszcza wobec brzmienia art. 201 ust. 1 ustawy o prawie autorskim i prawach pokrewnych:
Posiadacze urządzeń reprograficznych, którzy prowadzą działalność gospodarczą w zakresie zwielokrotniania utworów dla własnego użytku osobistego osób trzecich, są obowiązani do uiszczania, za pośrednictwem organizacji zbiorowego zarządzania prawami autorskimi lub prawami pokrewnymi, opłat w wysokości do 3 % wpływów z tego tytułu na rzecz twórców oraz wydawców, chyba że zwielokrotnienie odbywa się na podstawie umowy z uprawnionym. Opłaty te przypadają twórcom i wydawcom w częściach równych.
Jeśli ustawa mówi o pewnej działalności w ten właśnie sposób, to chyba trudno uznać, że przy użyciu takich urządzeń reprograficznych dochodzi do "nielegalnego powielania". Gorzej, jeśli punkty reprograficzne chciały wprowadzić efekt kopiowania do obrotu. Z drugiej jednak strony...
...Jeśli Kopipol, która to organizacja była sprawcą nalotów w Rzeszowie, a która spierała się niedawno z organizacją założona przez wydawców prasy (por. Jak to było z tą decyzją dot. statusu OZZ dla Repropolu, czyli o konkurencji w zbiorowym zarządzie), zechce poprosić policję, by ta sprawdziła dyski twarde spółki ReproPol (por. Na jakiej podstawie ReproPol będzie korzystać z utworów ze 100 tys stron internetowych?), to czy również potem policja da się sfotografować na tle tych dysków i będzie komunikat o zabezpieczeniu setek tysięcy "nielegalnych kopii" utworów pochodzących z Sieci? Ciekawe.
Ciekawe również, czy na zabezpieczonych w Rzeszowie kopiarkach ktoś skopiował chociaż jeden artykuł z VaGla.pl. Być może Kopipol wówczas zechciałby mi odprowadzić jakiś grosz lub dwa. Przecież jestem twórcą (por. Otrzymałem odpowiedź z KOPIPOL'u)...
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Otóż
1) w kserokopiarkach raczej nie ma kopii "wszystkich" dokumentów - natomiast na pewno są kopie dokumentów a) skanowanych do tzw. skrzynek zdefiniowanych w pamięci kserokopiarki, b) skanowanych i przekształcanych/kompresowanych do formatu jpg, c) skanowanych i emailowanych, d) przesyłanych do kserokopiarki wykorzystywanej jako drukarka etc. Pewnie po "wykorzystaniu" niektóre z tych kopii te są kasowane - ale wiadomo, jak "kasowane" są pliki na dyskach. Zapewne sporo takich "skasowanych" plików można odzyskać. To jest dokładnie ten sam problem, co z twardymi dyskami z komputerów czy serwerów - z tym, że użytkownik nie ma dostępu do funkcji umożliwiającej "wyczyszczenie"pamięci (a powinien mieć). Oczywiście w pamięci takich urządzeń są książki adresowe firm, w których były zainstalowane, ustawienia sieciowe, często hasła do skrzynek pocztowych etc.
2) Mogę sobie wyobrazić, że właściciel kserokopiarni zamiast męczyć się z kserowaniem tego samego podręcznika xx razy dla kolejnych klientów, zeskanował go raz i klientów obsługuje drukując im kopię książki. To ułatwienie jednak może go drogo kosztować.
Oprogramowanie wie lepiej od użytkownika,
co zrobić z przetwarzanymi danymi czy identyfikatorami sprzętu. Kilka lat temu głośno było o modelach drukarek zostawiających ledwo widoczne punkty, za pomocą których dało się zidentyfikować numer seryjny urządzenia.
Archiwalne znaleziska zaprowadziły mnie na stronę http://www.eff.org/issues/printers
Warto wspierać urządzenia dające się kontrolować w pełni za pomocą otwartoźródłowego oprogramowania albo w razie jego braku wiedzieć, do czego dane ustrojstwo jest zdolne.
O drukarkach
Odnotowałem tamte ślady zostawiane przez drukarki w tekście Służby: przygarnij kropkę.
--
[VaGla] Vigilant Android Generated for Logical Assassination
warto
Taaak, tak, na początku popieram komórki nie wysyłające IMEI do stacji bazowych. Albo stacje bazowe nie rejestrujące na dwa lata, gdzie rybki sobie pływają w akwarium terytorium RP. Być może komórki domyślnie nawiązujące połączenia poprzez kanały danowe, gdzie dałoby się Tora włączyć. Być może chociaż szyfrowane skutecznie przed podsłuchem służb. Wiem, że na pewne aparaty można dociągnąć oprogramowanie. Otwarty rynek na częstotliwości komórkowe. Możliwość skutecznego wyłączenia GPS-a z nowszych modeli. Usunięcie z ustawodawstw pewnych krajów europejskich możliwości wpuszczania policyjnych trojanów w urządzenia. Warto się dowiedzieć, czy po przeczyszczeniu logów rozmów i ich czasów w telefonie nie logujemy gdzieś bokiem na niby swoim telefonie faktu czyszczenia logów. Ja osobiście dostałem kiedyś używany telefon od koleżanki wyglądałoby, że mądrej i sprytnej, a po wyczyszczeniu telefonu w folderze a'la "Usunięte" zostało jej dwuznaczne zdjęcie. Dużo innych danych osobowych udało jej się skutecznie usunąć. Szczęśliwie ze względu na specyfikę relacji wstydu wiele się nie najadła. Jakby znów poargumentować bardziej abstrakcyjnie to ciężko jeszcze shredować taką pamięć wbudowaną w telefon. Z drugiej strony nie widziałem jeszcze usług odzyskiwania danych z komórki.
Półżartem - dla pokazania drugiej strony medalu - warto zadbać o otwarte oprogramowanie/mechanizm w kasownikach w przedsiębiorstwach komunikacji zbiorowej należących do Skarbu Państwa, żeby dało się przewidywać nadruki. ;) Oczywiście poprawnym rozwiązaniem na miarę czasów wydaje się kryptografia.
Warto nie podawać swojej godności Windowsowi czy Office'owi, czy każdej innej maszynie tylko dlatego że pokazuje pola tekstowe do tego celu. Wcale nie będzie od skrawków identyfikacji ludzkiej tożsamości lepiej służyła, ani nie dostaniesz upgrade'u oprogramowania za darmo, za to że utożsamiasz się ze środowiskiem roboczym w niej. Z drugiej strony w programach przeznaczonych do komunikacji międzyludzkiej przedstawienie się jak najbardziej ma sens.
Warto nosić okulary z diodami emitującymi podczerwień, żeby swojej mordki nie zapisywać w systemie monitoringu miejskiego.
Warto, warto wspierać. Warto uzmysławiać sobie, gdzie maszyny nas rejestrują i warto się dzielić choćby nawet spekulacjami na temat tych kopiarek w Polsce na podstawie doniesień zagranicznych.
Bilety
W Poznaniu nadruk zawiera datę, godzinę, numer pojazdu i w zależności od modelu kasownika logo przewoźnika. Kolejnośc powyższych danych również zależy od modelu kasownika. To są za proste urządzenia, żeby nie wiedzieć co się dzieje w środku.
Wiele firm kopiarki takie
Wiele firm kopiarki takie wypożycza bądź lizinguje, po pewnym czasie wracają one do firmy wypożyczającej. Pytanie czy firma taka ma jakakolwiek umowę o poufności??? Czy też może z tymi danymi zrobić co zechce???? Czy obowiązkiem takiej firmy przed puszczeniem sprzętu dalej jest wyczyszczenie dysków???
Z kopiarkami zawsze był kłopot ...
1. Większość nowoczesnych kopiarek niepowtarzalnie oznacza każdą "wyplutą" kartkę papieru (drukarki zresztą też).
2. Jeśli jest dysk w kopiarce, należy przyjąć, ze każdy skanowany dokument może na niego trafić.
3. Ponieważ w większości nowoczesnych kopiarek tonery wymienia serwisant, często bez ścisłego nadzoru, ma możliwość skopiowania danych z dysku.
4. W czasach pierwszych ksero, firmy Xerox, po zakupie egzemplarza dla ambasady ZSRR, służby USA tak przekonstruowały bęben urządzenia (nie było jeszcze dysków w kopiarkach), że z zużytego, wymienianego przez serwisanta - odczytywały treść wszystkich powielanych dokumentów.
Więc nie liczcie na prywatność :-)
1. Większość nowoczesnych
Tylko kolorowe i nie wszystkie. Lista jest na stronie EFF
Serwisant do wymiany tonerów? Bez przesady, nie przypominam sobie takiej sytuacji w żadnej firmie. No chyba że w budżetówce...
Żeby być precyzyjnym: podobno zamontowano w nich kamery 8mm (źródło: Popular Science, styczeń 1997). Podobno, bo nigdy nie zostało to potwierdzone, nikt też nigdy nie widział tak przerobionego Xeroxa 914, trudno też przypuszczać, aby w środku zimnej wojny GRU wpuszczało do ambasady byle serwisanta, do tego do sprzętu, na którym kopiowano tajne dokumenty ;-)