Brak prywatności w sieci
?istnieją metody, przy użyciu których informacje o nas mogą trafić do innych osób bez naszej wiedzy. Załóżmy, że użytkownik korzysta ze swojego ulubionego portalu społecznościowego, na przykład z Facebooka. Nawet po wylogowaniu się przeglądarka przechowuje pewne ciasteczka, które identyfikują konkretną osobę na Facebooku. Następnie użytkownik odwiedza dowolną inną stronę (np. www.dowolnastrona.pl) zawierającą przyciski ?Lubię to?, które w rzeczywistości są zewnętrznymi odnośnikami do Facebooka, a on ma dostęp do własnych ciasteczek. Za pośrednictwem strony www.dowolnastrona.pl oraz ciasteczka jednoznacznie identyfikuje użytkownika. Rezultat: Facebook wie, jakie strony odwiedził użytkownik, jeżeli tylko posiadają one odnośniki do tego serwisu społecznościowego.
Każdy z nas zdaje sobie sprawę, że odpowiada za to, co publikuje o sobie w Internecie. Vicente Diaz, ekspert z Kaspersky Lab, porusza temat śledzenia użytkowników przez Facebooka i inne globalne korporacje.
Za każdym razem, gdy użytkownik odwiedza stronę internetową, wysyłane jest żądanie kodu HTML, który jest następnie przetwarzany w przeglądarce zainstalowanej na komputerze. Kod ten może zawierać zewnętrzne odnośniki, które również zostaną objęte tym samym żądaniem. Jest to standardowa procedura i sama w sobie nie jest w żadnym stopniu podejrzana.
Podczas otwierania strony WWW może ? bez wiedzy użytkownika ? dojść do wywołania innych adresów z przekazaniem informacji.
A gdyby takie zewnętrzne żądania były wykorzystywane do śledzenia użytkownika? Czy coś takiego jest możliwe?
Wydawałoby się, że wspomniany na wstępnie problem da się łatwo rozwiązać: wystarczy usunąć ciasteczka. Zła wiadomość jest taka, że istnieje wiele innych technik stosowanych do identyfikacji użytkownika poprzez ślad zostawiony w przeglądarce. Według badania przeprowadzonego przez Petera Eckersleya z Electronic Frontier Foundation (http://panopticlick.eff.org/browser-uniqueness.pdf), w przypadku 83% użytkowników ich przeglądarka, zainstalowane wtyczki oraz podstawowe informacje o komputerze tworzą w połączeniu unikatowy ślad. I nawet jeżeli nie ma w tym nic agresywnego, warto wiedzieć, że zewnętrzne odnośniki często zawierają kod Javascript, który uzyskuje wiele informacji z komputerów użytkowników. Informacji, które niejednokrotnie pozwalają na zidentyfikowanie konkretnych osób.
Czy to się rzeczywiście dzieje?
Pora na przykłady wzięte z życia. Aby zaobserwować skalę problemu śledzenia, Vicente Diaz, ekspert z Kaspersky Lab, wykonał trzy eksperymenty. Pierwszy polegał na otwarciu popularnego hiszpańskiego portalu. Przejrzenie ruchu powstającego podczas przeglądania wykazało, że błyskawicznie wygenerowanych zostało 30 żądań, z których 15 służy do śledzenia lub wyświetlania reklam. Dodatkowo, w przeglądarce powstało aż 10 nowych ciasteczek.
Drugi eksperyment polegał na otwarciu 250 najpopularniejszych stron w Hiszpanii (według serwisu Alexa.com). Analiza wykazała, że 20% ruchu przypada na strony śledzące użytkowników lub wyświetlające reklamy. Średnio daje to ponad 11 żądań śledzenia na jedną stronę. Interesujące jest to, że aż 93% otwartych stron posiadało zewnętrzne odnośniki do serwisów śledzących użytkowników ? najczęściej były to Google i Facebook.
Ostatni eksperyment polegał na odwiedzeniu 100 najpopularniejszych hiszpańskich stron (według serwisu Alexa.com) przy użyciu dwóch przeglądarek ? Chrome oraz Safari ? z ustawieniami domyślnymi. Analiza ruchu wykazała, że nie ma istotnej różnicy pod względem zarówno liczby żądań, jak i liczby domen śledzących, wywoływanych przez każdą z wyszukiwarek. O znaczącej różnicy można jednak mówić w przypadku ciasteczek: Chrome ? 1029 ciasteczek, Safari ? 269 ciasteczek. Po okrojeniu domen żądanych przez obydwie przeglądarki do 100 występujących najczęściej (co stanowi 75% całkowitej liczby żądań) okazuje się, że lista Chrome?a zawiera pięć domen śledzących, które nie są wywoływane przez Safari. Zatem Chrome jest nieco bardziej agresywny pod względem śledzenia użytkowników niż Safari. Nie oznacza to oczywiście, że lista Safari nie zawiera stron śledzących.
?Powstaje pytanie: po co aż tyle śledzenia? Odpowiedź jest prosta: dla pieniędzy?, wyjaśnia Vicente Diaz, ekspert z Kaspersky Lab. ?Nie chodzi tu jednak o wyświetlanie reklam, ale o profilowanie użytkowników. Wyobraź sobie, że prosisz o pożyczkę w swoim banku. System informatyczny tego banku może mieć dostęp do Twojego profilu online i nie jest ważne, co powiesz ? dostaniesz pożyczkę tylko wtedy, gdy komputer stwierdzi, że Twój profil odpowiada kryteriom. W niedalekiej przyszłości wszystkie firmy mogą mieć dostęp do superprofili, w których dostępne będą wszystkie dane o każdym z nas, a decyzję podejmie komputer...?
Vicente Diaz będzie w dalszym ciągu prowadził badania nad profilowaniem użytkowników Internetu. Efektem tych badań będzie obszerny artykuł.
źródło: Kaspersky Lab.