Interneti kasutaja anonüümse tuvastuse meetodite kasutamine kaubanduslikel eesmärkidel: Difference between revisions
Line 34: | Line 34: | ||
Kuidas seda kasutatakse? | Kuidas seda kasutatakse? | ||
Näiteks | Näiteks kasutaja muudab veebilehe taustavärvi ja fondi või lehe suurust. Valiku rakendatakse koheselt (Tavaliselt tehakse seda JavaScripti abil) ja brauser mäletab valikut ning järgmisel saidile sisenemisel rakendab seadeid varasema valiku põhjal. | ||
====Web Audio Api==== | ====Web Audio Api==== |
Revision as of 20:21, 13 December 2020
Sissejuhatus
Kasutaja anonüümse tuvastuse meetodite all mõistetakse mingit tehnoloogiat või programmi, mis saab konkreetset kasutajat tuvastada, ilma tema isiklikke andmeid kasutamiseta (sugu, vanus, nimi, aadress jne.). Nende näided on cookie-failid, Browser fingerprints ja teised, millest tuleb detailisem jutt edasi. Kaubanduses nende tehnoloogiate abil ettevõtted legaalselt tegelevad personaaliseeritud reklaamiga, mis kõrgendab kaupa müüke. Näiteks mingil e-poodi veebilehel on ühel inimesel konto, milles ta ostis juhtmeta kõrvaklappi. Tuginedes sellele infole, veebilehel sellel kasutajatel võib ilmuda rohkem reklaame teiste kõrvaklappidega ja nende seotud kaupadega (kaitsekatted, laadijad jne.) ja see on ainult üks näide ühest andmetüübist, mis on palju rohkem, samuti ka nende kasutamisega kaubanduse valdkonnas.
Meetodite liiged
Browser fingerprints
Arvuti ja Interneti kasutamisel inimesed paratamatult kasutavad arvuti programme. Kõige levinum ja populaarsem arvutiprogramm on muidugi brauser. Me kasutame seda peaaegu iga kord, kui oleme arvutis. Selliseid programme kasutades jätame paratamatult digitaalse jälje. Tasub mõista, kuidas Interneti brauser ja veebilehed suudavad meid tuvastada ja mis on nende eesmärk.
Brauseris olevad identifitseerimismeetodid jagunevad kohalikuks ja cross-brauseriks. Kohalikke saab kasutada ainult ühes brauseris aga cross on võimalik kasutada mitmes.[1]
Kohalikud:
- Kasutaja IP-aadress.
- Brauseri päised (User-Agent, HTTP, Do not Track).
- JavaScripti brauseri ekraani parameetrid.
- Cookies ja "super" cookies.
- Installitud brauseri laiendused, nende versioonid ja värskendused.
(Huvitav et IP on kohalik sest programmide ja laienduste abil saab seda muuta.)
Cross-brauser:
- Operatsioonisüsteem.
- Protsessori tuumade arv.
- Fondid ja installitud keeled.
- Operatsioonisüsteemi ja riistvarakomponente töökiirus
Web Storage
Web Storage on JavaScripti mehhanism andmete salvestamiseks brauseris. Web Storage on serverile täiesti nähtamatu ja see pakub palju suurema mälumahtu kui cookies.
Web Storage põhineb kahel mehhanismil:[2]
- sessionStorage hoiab saadaval kogu seansist olevaid andmeid. (kuna brauser on avatud ja isegi kui leht on uuesti laaditud)
- localStorage teeb sama, kuid säilitab andmeid ka siis, kui brauser on uuesti avatud.
Kuidas seda kasutatakse?
Näiteks kasutaja muudab veebilehe taustavärvi ja fondi või lehe suurust. Valiku rakendatakse koheselt (Tavaliselt tehakse seda JavaScripti abil) ja brauser mäletab valikut ning järgmisel saidile sisenemisel rakendab seadeid varasema valiku põhjal.
Web Audio Api
Web Audio API suudab ohvri arvutist edastada helisignaale, mida inimene ei tunne ära. Vahepeal saab neid helisignaale kasutada seadme digitaalseks sõrmejäljeks.
Mitu aastat tagasi hakkasid digitaal reklaami ettevõtted ultraheli signaale kasutama inimeste huvide jälgimiseks seadmete kaudu. Kui näiteks telereklaam väljastab varjatud kuuldamatut signaali, teleri kõrval asuv nutitelefon saab selle vastu võtta ja edastada rakendusse, mis värskendab sihitud seadme omaniku teavet tema vaadetega. See võimaldas meil kindlaks teha, mis konkreetset kasutajat huvitada võib, ja seejärel näidata kasutajale suunatud reklaami. See protsess oli kasutajale täiesti nähtamatu, sest ultraheli edastati sagedustel, mida inimene lihtsalt ei kuule.
Ameerika kaubandusinspektsioon hoiatas 2016. aastal sellise jälgimise eest. Hiljem avaldati uuring, mis kinnitas, et 234 Androidi rakendust kuulas salaja ultraheli majakaid. Selline varjatud jälgimine oli keelatud.
Kuid ka tänapäeval leiavad arvutiturbe uurijad jätkuvalt uusi võimalusi ultraheli kasutamiseks andmete välja filtreerimiseks. Seda kasutatakse ka seaduslikeks tehinguteks - näiteks kasutab Google Casti rakendus ultraheli märki lähedalasuva Chromecastiga sidumisel. [3]
Canvas API ja WebGL
Canvas on HTML5 API, mida kasutatakse graafika ja animatsioonide joonistamiseks veebilehel JavaScripti kaudu. Jälgimine põhineb sellest, et üks ja sama canvas võib erinevates arvutites renderdada erinevalt. See sõltub operatsioonisüsteemist, fondi teekidest, graafikakaardist, graafikakaardi draiveritest ja brauserist.[4]
WebGL(Web-based Graphics Library) töötab sarnaselt Canvasile, kuid rakendab kuid renderdab brauseris interaktiivseid 3D-objekte ilma brauseri lisandite kasutamisega. Veebisait võib saada kogu info arvuti graafikakaardi mudeli kohta.
WebRTC
WebRTC(web real-time communication) võimaldab teil kasutada videovestlust otse oma brauserist, nii et te ei pea eraldi tarkvara installima ja avama. Näiteks et brauseris rääkima Skypeis või Discordis. Et oleks kiir ja mugav WevRTC kasutab peer-to-peer tehnoloogiat siis mõnikord tal sinu tõene IP. See töötab isegi kui sa kasutab VPNi. See otsene ühendus võimaldab teil brauseris hõlpsasti videovestlust pidada, kuid näitab ka teie tegelikku asukohta.[5]
Cookie files
Need on praegu kõige kuulsamad, kuna need ilmuvad paljudel veebilehtedel tavalises teates nende aktsepteerimisest. Cookies on teksti failid väikeste tükkidega infost, nagu kasutaja login ja salasõna, mida saadab web-server ja mis on säilitud kasutaja seadmel[6]. Kui kasutaja tuleb tagasi veebilehele, brauser laadib neid faile veebilehele ja veebileht kasutab neid oma sisu kujutades. Nendes ka säilitatakse veebilehel valitud eelistused (keel, veebilehe valge või tume teema jne.), IP aadress ja Interneti teenuse pakkuja kohta, arvuti ehk seadme info (browser, operatsioonisüsteem, ajavöönd jne.)[7].
See annab võimalust näida kasutajale personaliseeritud reklaami veebilehel ja ettevõttetel teha uuringuid, et minge kauapa tarbijate rühma määrata ja nendele andmetele tuginedes mingit finantsilist strateegiat ehitada.
Evercookie
Nimest on võimalik taibata, et see on minge cookie failide liige, aga tegelikult see on natuke teine asi. See on Javascript’i API, mis taastab kasutajana sihilikult eemaldatud cookie failid[8]. Teiste sõnadega, see tehnoloogia ei anna kasutajale oma cookie faile eemaldada ja sellega rikkub tema privaatsust. Edward Snowden’i sõnul 2013 evercookie tehnoloogia sai isegi Tor kasutajat identsifitseerida[9]. Lisaks 2009 aastal kasutas sel momendil levinud veebilehtede pool seda tehnoloogiat. Praegu need cookie failid on pigem ebaseaduslikud Euroopas GDPRi tänu, aga see tehnoloogia oli mainimist väärt, kuna see näitab, kuidas ettevõtted said minevikus kasutaja teadmiseta tema identsifiteerida.
Seadme kaliibrimise andmed
Kalibreerimise Andmed
Kalibreerimise Andmed võivad hõlmata järgmist: güroskoop, kiirendusmõõtur ja asukoht.
Mida seda kõike saab kasutada, et millegi jaoks teie kohta vajalikku teavet saada Ja enamasti on see teie asukoht. Täna on väga lihtne telefoni kasutamise ajal teie asukoha saada, mida teilt küsitakse asukohale juurdepääsu kohta, samas kui arvuti kasutamisel on peaaegu võimatu asukohta varjata, välja arvatud juhul, kui olete muidugi väga valmis sellele probleemile lähenema. Ja selleks, mida nad saavad teie asukohta kasutada, on muidugi esimene asi, mis meelde tuleb, reklaam ja meie tegelikkuses see nii on. Reklaam asukoha järgi on väga oluline, sest müüa inimesele seda, mida ta soovib, on üks tase, kuid müüa talle seda, mida ta tahab, ja seda, mis lähedal on, on juba teine tase.
Kuid kõiki kalibreerimise andmetega juhtumeid kasutati reklaamimiseks ja ma tahan teile rääkida ühest huvitavast juhtumist.
22. mail 2019 teatasid Cambridge'i ülikooli eksperdid uut tüüpi küberrünnakust, mida saab rakendada enamiku Apple'i mobiilseadmete ja mõnede Google'i nutitelefonide mudelite puhul. Haavatavus seisneb selles, et süsteem edastab andmed liikumisandurite lt veebisaitidele ja rakendustele automaatselt. Sellest teabekogusest piisab unikaalse seadme identifikaatori loomiseks ja selle omaniku tegevuse jälgimiseks veebis.
Nagu ma ütlesin, on digitaalne sõrmejälgede võtmine tavapraktika, mida kasutavad nii veebianalüütikud klientide kui ka petturite paremaks sihtimiseks. Suurim oht peitub nendes meetodites, mis võimaldavad teil seadme stabiilse jõudluse kohta andmeid koguda, ilma et kasutaja seda märkaks. SensorID-rünnak, mille teadlased on katse raames edukalt läbi viinud, kasutab teavet telefoni andurite tehases kalibreerimise kohta. IOS-i seadmetes kogutakse andmeid güroskoobi ja magnetomeetri, Android-seadmetes güroskoobi, magnetomeetri ja kiirendusmõõturi abil. Selle teabe kombinatsioon moodustab ainulaadse seadme sõrmejälje, mille abil saavad ründajad teavet kasutaja edasiste liikumiste kohta veebikeskkonnas ja rakenduste teegis.
Kasutaja ei saa end rünnaku eest kuidagi kaitsta: veebisait ei pea kalibreerimise kohta teavet saatma ja päringuid on võimatu muuta ka seadete lähtestamise teel. Ka kaitstud brauserite (Brave, Firefox Focus) kasutamine sõrmejälgede vastasele kaitsele üleminekuga ei andnud soovitud efekti.
Teadlased edastasid teavet Apple'i haavatavuse kohta ammu enne uurimistulemuste avaldamist, seega on püsivara SensorID rünnaku eest pikka aega kaitstud. [10]
Kasutaja tuvastamine erinevate seadmete abil
Kaamera ja mikrofon
Kui rakendusele või veebisaidile antakse juurdepääs seadme kaameratele ja mikrofonidele, saab see potentsiaalselt teha palju muud, sealhulgas[11]:
- Kasutaja meeldimiste järeldamine vestluse märksõnade kaudu
- Reklaamide esitamine põhineb kasutaja isiklike objektide tuvastamisel
- Kasutaja reaktsioonide jälgimine kuvatavale sisule
- Reklaamide esitamine või muutmine vastavalt kasutaja näoilmetele.
Uurime stsenaariumi mitte liiga kauges tulevikus, et näha, kuidas see anduripõhine jälgimine reaalses maailmas toimib. Oletame, et treenin maratoniks ja otsustan sotsiaalmeedia rakenduse abil teha kiire tegevus-selfie. Olen juba andnud rakendusele juurdepääsu oma nutitelefoni kaameratele ja asukohale. Rakendus saab:
- Järeldada, et ma jooksen (liikumisandurite kaudu)
- Jälgige minu väsimustaset (esikaamera ja liikumisandurite kaudu)
- Tehke kindlaks, kus ma olen ja kuhu suundun (asukohateenuste kaudu)
- Järeldage, et mulle meeldib smuutisid juua, lähtudes varasematest veebiotsingutest, mis on seotud minu seadme anduri sõrmejäljega.
Järgmine reklaam, mida näen, on smuutibaar, mis asub suunas, kuhu suundun. Reklaam sisaldab õudselt täpset pealkirja: „Sa väärid järeltulemise järeletulemist.”
Klaviatuur
Biomeetrilise identifikaatorina saab kasutada palju inimese omadusi või omadusi. Need omadused jagunevad ühte kahest kategooriast:
- Füsioloogilised omadused: need on kaasasündinud bioloogilised või keemilised omadused või omadused, milleks inimene on kasvanud. Sellised näited on muu hulgas iiris, DNA, peopesa, kõrv või näo geomeetria.
- Käitumisjooned: need tunnused on kas koolitatud või omandatud aja jooksul. Näited nendest võivad olla: inimese allkiri, klahvivajutuste dünaamika, see on konkreetne rütm, mis kasutajal klaviatuuril kirjutades on, hääle iseärasused, kasutaja käekiri.[12]
Kirjeldatud tunnused ja nendega seotud tehnikad on samuti klassifitseeritud pehme või kõva biomeetria alla. Pehmed biomeetrilised tunnused on need omadused või tunnused, mis tavaliselt on seotud käitumisomadustega, mis annavad küll teavet indiviidi kohta, kuid millel puudub eristusvõime ja püsivus kahe inimese eristamiseks. Teiselt poolt peetakse kõvasid biomeetrilisi tunnuseid eristusvõime ja püsivuse osas paremaks, nagu sõrmejäljed või näo geomeetria, ning need võivad anda paremaid tulemusi üksikisikute eristamisel. On arutatud, et mis tahes neist omadustest peaks suuremal või vähemal määral vastama järgmistele nõuetele, et neid saaks lugeda kehtivaks biomeetriliseks tunnuseks:
- Universaalsus: kui sageli leitakse tunnus individuaalselt.
- Eristatavus: kõik kaks isikut peaksid olema antud tunnuse jaoks piisavalt erinevad.
- Püsivus: Tunnus peaks olema aja jooksul muutumatu.
- Kogumisvõime: omadust tuleks hõlpsalt koguda ja mõõta.
- Toimivus: kõik omadused tuleks ära tunda kiiresti ja täpselt.
- Vastuvõetavus: määrab, kui head kasutajad aktsepteerivad atribuudi omandamist.
- Kõrvalehoidmine: süsteemi ei tohiks olla lihtne petta, petta või võltsida.
Igasugune biomeetriline süsteem peab läbima järgmised sammud:
- Jäädvustamine: süsteem registreerib registreerimise algfaasis füüsilise või käitumusliku valimi.
- Ekstraheerimine: proovidest eraldatakse unikaalsed funktsioonid ja luuakse mall iga kasutaja jaoks.
- Võrdlus: hilisemas etapis, kas autentimise, tuvastamise või kontrollimise käigus, kogutakse uued proovid. Seejärel võrreldakse neid salvestatud mallidega, kasutades erinevaid võimalikke metoodikaid, sõltuvalt valitud identifitseerimisprotsessist.
- Sobivuse / mittevastavuse hindamine: otsustage, kas uuest proovist eraldatud funktsioonid on valitud mallidega võrreldes sobivad või mitte.
Hiire liikumine
Biomeetril põhinev kasutaja kontrollsüsteem on sisuliselt mustrituvastussüsteem, mis hangib üksikisikult biomeetrilisi andmeid, eraldab kasutajate ainulaadse allkirja moodustamiseks vajalike funktsioonide komplekti ja konstrueerib kontrollimudeli, koolitades seda allkirjade komplekti. Kasutaja kontrollimine saavutatakse mudeli rakendamisega kontrollitud kasutaja veebipõhiselt omandatud allkirjadele, mis on loodud mudeli koostamisel kasutatud protsessiga identse protsessiga.[13]
Sellised süsteemid sisaldavad järgmisi komponente:
- Funktsioonide hankimine - hõivab sündmuste jaoks, mida genereerivad suhtlemiseks kasutatud erinevad sisendseadmed (nt klaviatuur, hiir)
- Funktsiooni väljavõtmine - koostab allkirja, mis iseloomustab kasutaja käitumisbiomeetriat.
- Klassifikaator - koosneb indutseerijast (nt tugivektorimasinad, kunstlikud närvivõrgud jne), mida kasutatakse kasutaja kinnitusmudeli loomiseks minevikukäitumise koolitamise kaudu, sageli näidiste abil. Kontrollimisel kasutatakse indutseeritud mudelit kasutajalt saadud uute proovide klassifitseerimiseks.
- Allkirjade andmebaas - käitumisallkirjade andmebaas, mida kasutati mudeli koolitamiseks. Kasutajanime sisestamisel leitakse kontrollimiseks kasutaja allkiri.
Mobiilse jälgimise eest kaitsmine
Ehkki seiremajanduse kombitsadest pääsemine võib tunduda hirmuäratav, on nutitelefoni jälgimise eesmärgil kasutamise vältimiseks mitmeid samme:
- Rakenduse installimisel / kasutamisel või veebisaidi külastamisel mõistke iga loataotluse privaatsust.
- Vaadake oma rakenduse seadeid regulaarselt üle ja veenduge, et igale rakendusele antakse ainult vajalikud load.
- Andurite juurdepääsu piiramiseks kasutage oma mobiilses operatsioonisüsteemis olevaid tööriistu; Android Pie väljaandmine lisas võimaluse piirata andurite kasutamist näiteks tühikäigul olevate rakenduste poolt, samas kui iOS 12.2 beetaversioon lisas võime piirata liikumisandurite juurdepääsu Safari brauseris.
- Installige mobiilne reklaame blokeeriv rakendus, et takistada kolmanda osapoole jälgimiskoodi teie seadmele juurdepääsu.
- Investeerige jälgimisvastasesse nutikasse juhtumisse, et hoida kaameraid ja mikrofone kasutamast, kui te neid selgesõnaliselt ei luba.
Ülevaade turvalisuse seisukohast
Kokkuvõtte
Viited
- ↑ All You Need to Know About Browser Fingerprints, Gleb Lepeshkin, https://dzone.com/articles/all-you-need-to-know-about-browser-fingerprints, 18.05.20
- ↑ https://developer.mozilla.org/ru/docs/Web/API/Web_Storage_API
- ↑ FYI: Your browser can pick up ultrasonic signals you can't hear, and that sounds like a privacy nightmare to some, Thomas Claburn, https://www.theregister.com/2020/05/07/web_audio_api_ultrasonic_leaks/, 07.05.20
- ↑ HTML5 Canvas Fingerprinting, https://browserleaks.com/canvas
- ↑ A VPN vulnerability: What are WebRTC and WebGL leaks?, https://vpnoverview.com/privacy/anonymous-browsing/webrtc-and-webgl-leaks/, 20.08.20
- ↑ What are cookies?, kaspersky.com, https://www.kaspersky.com/resource-center/definitions/cookies, 16.07.2020
- ↑ Cookie notice, aws.amazon.com, https://aws.amazon.com/legal/cookies/, 03.09.2020
- ↑ What Is Evercookie and Why You Should Avoid It for Privacy’s Sake, Karolina Matuszewska, https://piwik.pro/blog/what-is-evercookie-and-why-you-should-avoid-it-for-privacys-sake/, 19.07.2018
- ↑ Cookie notice, Anna Kobusińska; Kamil Pawluczuk; Jerzy Brzeziński, https://www.sciencedirect.com/science/article/pii/S0167739X17329965, 2018
- ↑ Sensor Calibration Fingerprinting for Smartphones, https://sensorid.cl.cam.ac.uk/, 21.05.19
- ↑ The surveillance economy has set its sights on smartphone sensors, Mike Fong, CEO, Privoro, https://www.helpnetsecurity.com/2019/04/12/smartphone-sensors-surveillance/, 12.04.2019
- ↑ Identifying users using Keystroke Dynamics and contextual information, Aleix Dorca Josa, https://www.tesisenred.net/bitstream/handle/10803/461468/DorcaJosaAleix-Thesis.pdf?sequence=1&isAllowed=y
- ↑ User Identity Verification via Mouse Dynamics, Clint Feher, https://www.ise.bgu.ac.il/faculty/liorr/Clint1.pdf