Jeśli jesteś choć trochę podobny do mnie, rano po wstaniu z łóżka sprawdzasz pocztę e-mailową. I być może tak jak ja zadajesz sobie pytanie, kto jeszcze oprócz ciebie mógł przeczytać twoją korespondencję. Wierz mi, to nie ma nic wspólnego z paranoją. Jeśli korzystasz z bezpłatnych kont pocztowych jak Gmail czy Outlook 365, odpowiedź jest oczywista i alarmująca. Nawet jeśli skasujesz wiadomość po jej przeczytaniu w komputerze czy telefonie, bynajmniej nie pozbywasz się jej trwale, jej kopia pozostaje gdzieś zapisana. Ponieważ poczta elektroniczna działa na bazie chmury, dostęp do niej w każdej chwili i z dowolnego urządzenia zapewniają kopie zapasowe. Jeśli korzystasz, dajmy na to, z serwisu Gmail, kopia każdej wysłanej lub otrzymanej wiadomości zapisywana jest na serwerach Google rozsianych po całym świecie. Na takiej samej zasadzie działają inni dostawcy poczty: Yahoo, Apple, AT&T, Comcast czy Microsoft.
Każdy wysłany przez ciebie e-mail może zostać skontrolowany przez firmę hostingową. Oficjalnie monitoring poczty służy rzekomo do ochrony przed wirusami, ale w rzeczywistości jest inaczej: osoby z zewnątrz mogą i faktycznie miewają dostęp do naszej korespondencji z zupełnie innych, całkiem niealtruistycznych pobudek. Przekonał się o tym na własnej skórze mieszkaniec Karoliny Północnej Stuart Diamond. Korzystając z poczty w serwisie Yahoo, w pewnym momencie zorientował się, że reklamy wyświetlane w prawym górnym rogu jego skrzynki nie są przypadkowe, lecz mają związek z treścią wysyłanych i otrzymywanych przez niego wiadomości.
Załóżmy, że wspomnisz w jednym ze swoich e-maili o czekającej cię podróży do Dubaju, a w skrzynce zaczynają się pojawiać reklamy linii lotniczych, hoteli oraz atrakcji turystycznych Zjednoczonych Emiratów Arabskich. Tego typu praktyki zwykle są opisane w regulaminie konta, ale większość z nas akceptuje jego warunki, nie zadając sobie trudu, by go przeczytać. Poza tym, po co oglądać reklamy niedopasowane do naszych indywidualnych upodobań, prawda? Jednak Diamond i niezależnie od niego inny mieszkaniec tego samego stanu David Sutton, zauważyli coś więcej – pojawiające się w poczcie Yahoo reklamy miały też związek z informacjami otrzymywanymi od użytkowników innych serwisów. Byłby to dowód, że firma ta przechwytuje i ma wgląd we wszystkie e-maile, nie tylko te wysyłane za pośrednictwem własnych serwerów. Na podstawie swoich obserwacji obaj mężczyźni w 2012 r., w imieniu 275 milionów użytkowników poczty Yahoo, wystąpili z pozwem zbiorowym przeciwko tej firmie, oskarżając ją o naruszenie prywatności, równie naganne jak nielegalny podsłuch. Czy przerwało to proceder skanowania poczty elektronicznej w celach reklamowych? Niestety nie. Sprawa sądowa nadal się toczy.
Skoro już wiesz, że nie ma ucieczki przed inwigilacją naszej poczty elektronicznej przez agencje rządowe oraz korporacje, warto im to przynajmniej utrudnić.
UŻYWAJ KLUCZY DO ZABEZPIECZANIA E-MAILI
Większość dostawców usług pocztowych szyfruje wiadomości krążące pomiędzy serwerami pocztowymi (MTA). Jednak nie jest to standard. Może się więc zdarzyć, że twój e-mail przesyłany jest w formie niezaszyfrowanej, dostępnej dla każdego. Coś takiego występuje między innymi w przypadku poczty służbowej, by mieli w nią wgląd przełożeni. Dlatego jeśli nie chcesz, żeby ktoś inny prócz odbiorcy monitorował twoją korespondencję, musisz szyfrować swoje wiadomości. Na czym polega szyfrowanie? W tej operacji forma jawna wiadomości zostaje przekształcona w formę niejawną – ukrytą. Jedną z najprostszych technik szyfrowania jest szyfr Cezara: każda litera pierwotnego tekstu zastępowana jest inną, oddaloną od niej o stałą liczbę pozycji w alfabecie. Załóżmy, że ta liczba to dwa, wówczas w miejsce litery a wpisuje się c, w miejsce c – e, w miejsce z – b i tak dalej. Zaszyfrowane tą metodą imię i nazwisko Kevin Mitnick przybierze formę: Mgxkp Okvpkem.
Oczywiście współcześnie używa się znacznie bardziej złożonych i bezpieczniejszych systemów niż szyfr Cezara. Szyfrowanie wiadomości e-mailowych opiera się na tzw. kryptografii asymetrycznej. Przewiduje ona wygenerowanie dwóch kluczy: prywatnego, przechowywanego na danym urządzeniu, znanego tylko właścicielowi, oraz publicznego, publikowanego i powszechnie dostępnego w sieci. Klucze te różnią się od siebie, ale są powiązane wspólną konstrukcją matematyczną. Aby lepiej wytłumaczyć mechanizm tego typu szyfrowania, posłużę się przykładem. Załóżmy, że Bob chce wysłać Alice zaszyfrowany, a więc bezpieczny e-mail. W tym celu wyszukuje w sieci jej klucz publiczny (może też dostać go bezpośrednio od niej) i z jego użyciem szyfruje przeznaczoną dla niej wiadomość. Pozostanie ona zaszyfrowana do momentu, gdy Alice (i nikt poza nią) użyje hasła i odblokuje klucz prywatny, dzięki któremu będzie mogła ją odczytać. W jaki sposób szyfruje się treść wiadomości e-mailowych? Najbardziej popularnym narzędziem do szyfrowania jest protokół PGP (Pretty Good Privacy). To komercyjny produkt firmy Symantec Corporation, ale jego twórca Phil Zimmermann opracował również wersję open source o nazwie OpenPGP.
Dostępna jest również trzecia opcja — również bezpłatne narzędzie GPG (GNU Privacy Guard) autorstwa Wernera Kocha. Dobrze wiedzieć, że są one kompatybilne — niezależnie, z jakiej wersji PGP korzystasz, podstawowe funkcje są takie same.
WYKORZYSTUJ PEŁNE SZYFROWANIE
Jak już wspomniałem, celem szyfrowania jest utajnienie treści wiadomości, tak by była dostępna tylko dla osoby dysponującej prawidłowym kluczem do jej odczytania. O jego skuteczności – czyli o tym, jak łatwo bez niego złamać dany szyfr – decyduje jego złożoność obliczeniowa oraz długość. Wykorzystywane obecnie algorytmy szyfrowania są jawne i tylko takich powinno się używać. Odradzam korzystanie z zastrzeżonych i niejawnych. Przewaga tych powszechnie
dostępnych polega na tym, że zostały poddane szczegółowej weryfikacji pod kątem słabych punktów. Mówiąc prościej, próbowano celowo je złamać. Za każdym razem, gdy któryś z jawnych algorytmów okazuje się słaby lub zostaje złamany, wycofuje się go i wprowadza silniejszy. Starsze standardy pozostają dostępne, ale nie są zalecane.
W odróżnieniu od algorytmów klucze do szyfrowania znajdują się, w większym lub mniejszym stopniu, pod naszą kontrolą. Dlatego, co nietrudno przewidzieć, trzeba się z nimi odpowiednio obchodzić. Jeśli sam generujesz klucz, jest on zapisywany i przechowywany na twoim urządzeniu i tylko ty masz do niego dostęp. W przypadku szyfrowania wiadomości realizowanego przez dostawcę poczty, na przykład w chmurze, ma on dostęp do wygenerowanego dla ciebie klucza szyfrowania. Problem w tym, że może on zostać wezwany decyzją sądu do udostępnienia klucza organom ścigania albo agencji rządowej, również bez nakazu. Dlatego zawsze należy zapoznać się z polityką prywatności dla usługi, z jakiej korzystasz do szyfrowania poczty, i wiedzieć, kto jest właścicielem kluczy.
Szyfrując swoje wiadomości – e-maile, SMS-y czy rozmowy telefoniczne – powinieneś wykorzystywać tzw. pełne szyfrowanie (end-to-end). Pozwala ono zaszyfrowanej wiadomości w trakcie przesyłania pozostać nieczytelną, deszyfrowaną dopiero po dotarciu do odbiorcy na jego urządzeniu. W tym trybie tylko ty oraz jej adresat dysponujecie kluczami do jej odkodowania – nie operator, nie dostawca usług ani właściciel aplikacji, czyli strony trzecie, od których organy ścigania czy władze mogą żądać ich udostępnienia. Skąd wiadomo, że dana usługa szyfrowania działa w trybie end-to-end? Informację tę można znaleźć w Google. Jeśli okaże się, że nie działa w takim trybie, poszukaj czegoś innego. Przyznaję, że to może się wydawać skomplikowane. Na szczęście istnieją wtyczki do przeglądarek Chrome i Firefox ułatwiające proces szyfrowania. Jedna z nich to Mail velope. Wystarczy wprowadzić do niej własne hasło, służące do generowania publicznych i prywatnych kluczy PGP. Następnie wybiera się danego odbiorcę i jeśli jego klucz publiczny jest powszechnie dostępny, można mu wysłać zaszyfrowaną wiadomość.
UKRYJ METADANE
Ale nawet jeśli zaszyfrujesz swój e-mail za pomocą PGP, jego element zawierający istotne informacje pozostaje czytelny praktycznie dla każdego. To metadane e-maila. Rząd amerykański, broniąc się przed zarzutami po wybuchu afery Snowdena, wielokrotnie podkreślał, że nie inwigiluje zawartości szyfrowanych, a więc nieczytelnych wiadomości, a jedynie gromadzi tzw. metadane. Czyli co? Adresy nadawcy i odbiorcy, adresy IP serwerów, przez które przechodzi wysłana wiadomość, nim dotrze do adresata, a także jej temat, czasami zawierający ważne informacje odnoszące się do zaszyfrowanej treści. Metadane to pozostałość z czasów, gdy internet stawiał pierwsze kroki, wciąż jeszcze obecne w większości e-maili.
Narzędzia PGP, bez względu na używaną wersję, nie szyfrują metadanych e-maila, czyli pól: Do, Od, Temat oraz Data. Pozostają one w formie jawnej (nawet jeśli są niewidoczne) i mogą być dostępne dla innych. Dowiedzą się z nich na przykład, że w danym dniu wysłałeś wiadomość do określonego adresata, a dwa dni później korespondowałeś z nim ponownie.
Na pierwszy rzut oka gromadzenie metadanych może się wydawać nieszkodliwe – ostatecznie treść wiadomości nadal pozostaje niedostępna. Pewnie mało też interesują cię daty czy techniczne informacje na temat drogi, jaką pokonują w sieci twoje e-maile (adresy IP serwerów). Wierz mi, będziesz niemile zaskoczony, kiedy się dowiesz, jak wiele można wywnioskować z samych tylko ich ścieżek i częstotliwości używania tej drogi.
Wśród metadanych są adresy IP serwerów z różnych zakątków świata, przez które e-maile muszą przejść, nim dotrą do adresata. Każdy z nich, podobnie jak każda osoba łącząca się z internetem, ma swój unikatowy adres IP, czyli numer ustalany na podstawie lokalizacji oraz dostawcy internetu. Składa się z ciągów cyfr określających poszczególne kraje, dostawców oraz rodzaje usług: połączenie modemowe, dostęp przewodowy lub bezprzewodowy. Wykupiony stały adres IP jest przypisany do konta abonenckiego oraz adresu domowego. W przeciwnym wypadku zewnętrzny adres IP generowany jest z puli adresów przydzielonych dostawcy internetu. Jeśli np. nadawca e-maila ma adres IP 27.126.148.104, wiesz, że pisze do ciebie ze stanu Wiktoria w Australii. Załóżmy jednak, że otrzymałeś wiadomość od użytkownika o adresie IP 175.45.176 – będącym jednym z przypisanych Korei Północnej. W takim przypadku twoje konto pocztowe może zostać wytypowane do sprawdzenia przez służby bezpieczeństwa. Kogoś na górze może zainteresować, w jakim celu korespondujesz z kimś z tego kraju, nawet jeśli w temacie wiadomości widnieje: „Wszystkiego najlepszego z okazji urodzin”.
Podczas gdy informacja na temat adresu serwera rzeczywiście może wydawać się mało znacząca, to częstotliwość kontaktów zdradza już znacznie więcej. Na dodatek zidentyfikowanie nadawcy i odbiorcy oraz ich lokalizacji pozwala wyciągać wnioski na temat łączącej ich relacji. Weźmy na przykład metadane telefoniczne: czas trwania połączeń, porę dnia, kiedy są wykonywane, oraz inne tego typu informacje. Nietrudno będzie określić stan psychiczny osoby, która dzwoni o dziesiątej wieczorem na „niebieską linię” (telefon dla ofiar przemocy w rodzinie) i prowadzi dziesięciominutową rozmowę albo o północy wydzwania na telefon zaufania dla samobójców, stojąc na Moście Brooklińskim.
Ekipa z Dartmouth College stworzyła nawet specjalną aplikację, która na podstawie danych zarejestrowanych przez czujniki pozwala na wykrycie u studentów stresu, depresji, poczucia osamotnienia oraz potrafi powiązać je z ich wynikami w nauce.
NIE UJAWNIAJ SWOJEGO ADRESU IP
Jak już wiesz, za każdym razem, gdy łączysz się z internetem, zdradza cię adres IP przydzielony do tego połączenia. To duży problem dla kogoś, kto próbuje być niewidoczny w sieci. Nawet jeśli podajesz fikcyjne nazwisko i inne dane, dzięki adresowi IP łatwo można rozpoznać twoją lokalizację oraz dostawcę internetu, a co za tym idzie, zidentyfikować osobę, która płaci za połączenie internetowe (ty albo ktoś z tobą związany). Oczywiście adresy IP w e-mailach można sfałszować. Jedna z metod to skorzystanie z tzw. serwera proxy, czyli pośredniczącego. Pozwala on wykorzystywać obcy adres IP, więc twój e-mail sprawia wrażenie wysłanego z innego miejsca niż w rzeczywistości go wysłałeś. Taki serwer do złudzenia przypomina narzędzie do tłumaczenia – otrzymujesz obcojęzyczną kalkę tekstu, ale sens jest ten sam.
W ten sposób ktoś, kto wysyła e-mail z Korei Północnej, może zamaskować swoją tożsamość, posługując się serwerem proxy z Chin czy z Niemiec. Inny sposób na ukrycie adresu IP to użycie tzw. anonimowego remailera. Nazwa ta skrywa serwer, na który wysyłasz swoją wiadomość z instrukcją, gdzie ma być przesłana dalej. W ten sposób odbiorca nie widzi twojego prawdziwego adresu, ale może ci odpowiedzieć – również za pośrednictwem anonimowego remailera. Usługa ta ma kilka wersji. Remailery przeznaczone do jednostronnej korespondencji typu 1 i 2 nie dają możliwości odpowiedzi. Typ 3 – usługa o nazwie Mixminion – pozwala wysyłać i odbierać pocztę anonimowo i dodatkowo ją szyfruje. Zanim skorzystasz z tej metody korespondencji, najpierw ustal, jakie usługi oferuje dana wersja remailera.
KORZYSTAJ Z SIECI TOR
Kolejnym sposobem na ukrycie własnego adresu IP jest skorzystanie z wirtualnej sieci komputerowej Tor. Jak działa Tor? Jego charakterystyczną cechą jest nietypowe łączenie się z internetem. Zwykle po zalogowaniu się do sieci otwierasz przeglądarkę internetową i wpisujesz w niej adres witryny, którą chcesz odwiedzić. Przeglądarka wysyła zapytanie do operatora tej strony, a ułamki sekund później otrzymujesz odpowiedź w postaci jej kodu. Na podstawie adresu IP oprogramowanie strony otrzymuje również inne informacje: z jakiego dostawcy usług korzystasz i gdzie fizycznie przebywasz (na podstawie lokalizacji dostawcy lub wartości opóźnień przy ładowaniu strony).
Korzystając z Tora, zanim trafisz na docelową stronę, twoje połączenie przechodzi przez wiele rozproszonych węzłów (serwerów pośredniczących). Na dodatek co dziesięć sekund wybierana jest dla danego połączenia, bez jego zrywania, nowa przypadkowa ścieżka węzłów. Węzły te nakładają się na siebie jak warstwy cebuli (nazwa Tor pochodzi od angielskiego terminu The Onion Router – router cebulowy). Innymi słowy, użytkownika Tora nie da się namierzyć i zidentyfikować z docelowej strony internetowej, ponieważ ścieżka jego połączenia nieustannie się zmienia. Pod warunkiem, że jego węzeł wyjściowy oraz węzeł wejściowy nie zostaną ze sobą powiązane, może on się poruszać w sieci całkowicie anonimowo.
Jak to wygląda od strony technicznej? Jeśli korzystasz z Tora, twoje zapytanie wysłane do serwera danej strony internetowej – na przykład mitnicksecurity.com – nie dociera do niego bezpośrednio, ale trafia do któregoś z węzłów sieci. Żeby jeszcze bardziej zagmatwać jego ścieżkę, węzeł ten przesyła zapytanie do kolejnego serwera i dopiero ten łączy cię z witryną mitnicksecurity.com. Jak widać, mamy tutaj do czynienia z węzłami wejściowym, pośredniczącym i wyjściowym. Gdybym chciał się dowiedzieć, kto odwiedza stronę mojej firmy, w omawianym przypadku miałbym dostęp jedynie do adresu IP oraz informacji z węzła wyjściowego, czyli tylko do ostatniego elementu ścieżki.
Program Tor da się tak skonfigurować, by używał węzłów wyjściowych w określonym kraju, a nawet mieście. Korzystanie z Tora wymaga posiadania zmodyfikowanej wersji przeglądarki Firefox. Można ją pobrać ze strony torproject.org. Korzystaj wyłącznie z oryginalnych przeglądarek przeznaczonych dla danego systemu operacyjnego, umieszczonych na stronie Tor Project. Jej mobilna wersja dla urządzeń z systemem Android to Orbot (darmowa, do pobrania z Google Play) – zarówno wysyła zaszyfrowane zapytania, jak i ukrywa adres IP użytkownika. W przypadku urządzeń z systemem iOS (iPad, iPhone) należy pobrać z iTunes przeglądarkę Onion Browser.
Podsumowując, trzeba pamiętać, że korzystanie z Tora ma następujące wady: jego użytkownicy nie mają wpływu na wybór węzłów wyjściowych, istnieje więc ryzyko, że trafią na znajdujący się pod kontrolą agencji rządowych lub organów ścigania; istnieje ryzyko, że ktoś pozna twój profil i ustali twoją tożsamość;
Tor działa bardzo wolno.
Jeśli mimo tych niedogodności nadal masz zamiar używać Tora, nie uruchamiaj go na sprzęcie, którym posługujesz się na co dzień do przeglądania internetu. Innymi słowy, oprócz zwyczajnego laptopa, spraw sobie oddzielne urządzenie wyłącznie na jego potrzeby (np. minikomputer Raspberry Pi). nazwiska i danych adresowych. Mógłbyś wykupić w Skypie numer internetowy, jeśli dana usługa umożliwia weryfikację przez telefon, zamiast SMS-em, co i tak wymagałoby od ciebie podania używanego dotychczas adresu pocztowego i skorzystania z karty płatniczej. Telefon komórkowy na kartę również nie wystarczy, by chronić twoją prywatność, bo z pewnością wykonywałeś z niego wcześniej połączenia, na podstawie których łatwo dojść do tego, kim jesteś. Dlatego najlepszym rozwiązaniem jest komórka jednorazowego użytku. Większość z nas kojarzy ją głównie z terrorystami, sutenerami i dilerami narkotyków, ale kto powiedział, że nie może posłużyć do załatwiania legalnych spraw?
Trzeba tylko pamiętać, że zakup jednorazowej komórki kryje w sobie pewne ryzyko. Czynności, jakie podejmujesz w realnym świecie, mogą posłużyć do zdemaskowania cię w sieci. Z pozoru wydaje się to łatwe – oto prosto z ulicy wchodzisz do Walmartu i kupujesz za gotówkę jednorazowy telefon z limitem 100 minut na rozmowy. Kto mógłby się o tym dowiedzieć i jakim cudem? Wierz mi – mnóstwo ludzi. Po pierwsze ważne jest to, jak dotarłeś do Walmartu. Jeśli
samochodem Ubera lub taksówką, zostawiasz ślad w rejestrach tego typu usług, którego można użyć jako dowodu w sądzie. Ale nawet jeśli pojedziesz po telefon własnym samochodem, nie zapominaj, że organy ścigania mają do dyspozycji system automatycznego rozpoznawania tablic rejestracyjnych samochodów (ARTR) wjeżdżających na duże parkingi publiczne.
Rozpoznaje on podejrzane numery, na przykład skradzionych pojazdów lub aut należących do osób poszukiwanych przez policję. Zapisy z tych kamer mogą również posłużyć do twojej identyfikacji. Po wejściu do supermarketu twoją twarz co najmniej kilka
razy zarejestrują kamery monitoringu. Co z tego? Ich zapisy zarekwirowane przez policję będą niekorzystnym świadectwem przeciwko tobie. Aby tego uniknąć, najrozsądniej byłoby wysłać po jednorazowy telefon kogoś nieznajomego, na przykład napotkanego w okolicy bezdomnego. Twój pośrednik za otrzymaną gotówkę kupi ją dla ciebie wraz z kartami z doładowaniem. Najlepiej jeśli umówisz się na odbiór telefonu nie bezpośrednio pod sklepem, tylko gdzieś dalej.
Dzięki temu trudniejszy będzie do udowodnienia związek między tobą a transakcją w sklepie. W takiej sytuacji najsłabszym ogniwem jest osoba pośrednika. Oceń, w jakiej mierze możesz mu zaufać. Zaproponuj, że zapłacisz więcej niż wynosi faktyczna cena telefonu, by mieć pewność, że wywiąże się z zadania i dostarczy ci go zgodnie z umową. Tego typu telefony wymagają aktywacji poprzez kontakt telefoniczny z biurem obsługi operatora lub za pośrednictwem jego strony internetowej. Aby uniknąć nagrania rozmowy „w celu zapewnienia najwyższej jakości usług”, lepiej skorzystać z tej drugiej możliwości. Znajdź hotspot, zmień adres MAC w laptopie i użyj Tora – to absolutne minimum gwarantujące anonimowość. Po wejściu na stronę operatora komórkowego podaj fikcyjne dane osobowe, a jako miejsce zamieszkania – wyszukany w Google adres któregoś z większych hoteli w mieście. Utwórz i zapamiętaj PIN, który może ci się później przydać w przypadku kontaktu z biurem obsługi.
BĄDŹ ZAWSZE OSTROŻNY
Oczywiście istnieją serwisy anonimowej poczty niewymagające uwierzytelnienia. Poza tym, jeśli nie masz nic na sumieniu i nie obawiasz się organów ścigania, możesz założyć konto w Google czy innym popularnym serwisie i wykorzystać do weryfikacji numer Skype’a. Załóżmy jednak, że zastosowałeś wszystkie dostępne środki ostrożności: użyłeś Tora, by ukryć swój numer IP, i założyłeś konto w Gmailu w żaden sposób niepowiązane z numerem komórki używanej przez ciebie na co dzień (weryfikacja telefoniczna lub poprzez SMS za pośrednictwem kupionej w dyskretny sposób jednorazowej komórki). Dzięki temu masz do dyspozycji adres e-mail, którego praktycznie w żaden sposób nie da się skojarzyć z twoją osobą.
Reasumując – z anonimowego konta pocztowego korzystaj wyłącznie przy użyciu Tora, który ukrywa adres IP. Nigdy nie odwiedzaj stron internetowych, gdy jesteś zalogowany do poczty, bo nieświadomie możesz zostawiać ślady pozwalające na łatwą identyfikację – nawet przeglądanie serwisu pogodowego zdradza miejsce twojego pobytu. Zapewnienie sobie i utrzymanie anonimowości w sieci wymaga od nas ogromnej dyscypliny i nieustannej uwagi, ale warto się postarać, jeśli chcemy pozostać w niej niewidzialni.
Staraj się zapamiętać: podejmując opisane powyżej środki bezpieczeństwa wybiórczo, ryzykujesz zdemaskowanie. Ale nawet gdy zastosujesz je absolutnie wszystkie, za każdym razem korzystając z anonimowego e-maila, powinieneś być czujny. Zawsze, bez wyjątku.
Kevin Mitnick – jeden z najbardziej znanych hakerów na świecie. Aresztowany przez FBI, spędził pięć lat w areszcie. Obecnie prowadzi własną firmę konsultacyjną zajmującą się bezpieczeństwem w sieci. Twierdzi, że potrafi ukraść tożsamość każdego internauty w trzy minuty.