Interneti kasutaja anonüümse tuvastuse meetodite kasutamine kaubanduslikel eesmärkidel: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Line 114: Line 114:


Ehkki seiremajanduse kombitsadest pääsemine võib tunduda hirmuäratav, on nutitelefoni jälgimise eesmärgil kasutamise vältimiseks mitmeid samme:
Ehkki seiremajanduse kombitsadest pääsemine võib tunduda hirmuäratav, on nutitelefoni jälgimise eesmärgil kasutamise vältimiseks mitmeid samme:
 
*Rakenduse installimisel / kasutamisel või veebisaidi külastamisel mõistke iga loataotluse privaatsust.
1. Rakenduse installimisel / kasutamisel või veebisaidi külastamisel mõistke iga loataotluse privaatsust.
*Vaadake oma rakenduse seadeid regulaarselt üle ja veenduge, et igale rakendusele antakse ainult vajalikud load.
2. Vaadake oma rakenduse seadeid regulaarselt üle ja veenduge, et igale rakendusele antakse ainult vajalikud load.
*Andurite juurdepääsu piiramiseks kasutage oma mobiilses operatsioonisüsteemis olevaid tööriistu; Android Pie väljaandmine lisas võimaluse piirata andurite kasutamist näiteks tühikäigul olevate rakenduste poolt, samas kui iOS 12.2 beetaversioon lisas võime piirata liikumisandurite juurdepääsu Safari brauseris.
3. Andurite juurdepääsu piiramiseks kasutage oma mobiilses operatsioonisüsteemis olevaid tööriistu; Android Pie väljaandmine lisas võimaluse piirata andurite kasutamist näiteks tühikäigul olevate rakenduste poolt, samas kui iOS 12.2 beetaversioon lisas võime piirata liikumisandurite juurdepääsu Safari brauseris.
*Installige mobiilne reklaame blokeeriv rakendus, et takistada kolmanda osapoole jälgimiskoodi teie seadmele juurdepääsu.
4. Installige mobiilne reklaame blokeeriv rakendus, et takistada kolmanda osapoole jälgimiskoodi teie seadmele juurdepääsu.
*Investeerige jälgimisvastasesse nutikasse juhtumisse, et hoida kaameraid ja mikrofone kasutamast, kui te neid selgesõnaliselt ei luba.
5. Investeerige jälgimisvastasesse nutikasse juhtumisse, et hoida kaameraid ja mikrofone kasutamast, kui te neid selgesõnaliselt ei luba.


==Ülevaade turvalisuse seisukohast==
==Ülevaade turvalisuse seisukohast==

Revision as of 18:00, 13 December 2020

Sissejuhatus

Kasutaja anonüümse tuvastuse meetodite all mõistetakse mingit tehnoloogiat või programmi, mis saab konkreetset kasutajat tuvastada, ilma tema isiklikke andmeid kasutamiseta (sugu, vanus, nimi, aadress jne.). Nende näided on cookie-failid, Browser fingerprints ja teised, millest tuleb detailisem jutt edasi. Kaubanduses nende tehnoloogiate abil ettevõtted legaalselt tegelevad personaaliseeritud reklaamiga, mis kõrgendab kaupa müüke. Näiteks mingil e-poodi veebilehel on ühel inimesel konto, milles ta ostis juhtmeta kõrvaklappi. Tuginedes sellele infole, veebilehel sellel kasutajatel võib ilmuda rohkem reklaame teiste kõrvaklappidega ja nende seotud kaupadega (kaitsekatted, laadijad jne.) ja see on ainult üks näide ühest andmetüübist, mis on palju rohkem, samuti ka nende kasutamisega kaubanduse valdkonnas.

Meetodite liiged

Browser fingerprints

Arvuti ja Interneti kasutamisel inimesed paratamatult kasutavad arvuti programme. Kõige levinum ja populaarsem arvutiprogramm on muidugi brauser. Me kasutame seda peaaegu iga kord, kui oleme arvutis. Selliseid programme kasutades jätame paratamatult digitaalse jalajälje või enda sõrmejälje. Tasub mõista, kuidas Interneti brauser ja saidid suudavad meid tuvastada ja mis on nende eesmärk.

Brauseris olevad identifitseerimismeetodid jagunevad kohalikeks kohalikuks ja rist brauseriks. Kohalikud saab kasutada ainult ühes brauseris aga rist on võimalik kasutada mitmes.[1]

Kohalikud:

  • Kasutaja IP-aadress.
  • Brauseri päised (User-Agent, HTTP, Do not Track).
  • JavaScripti brauseri ekraani parameetrid.
  • Cookies ja "super" cookies.
  • Installitud brauseri laiendused, nende versioonid ja värskendused.

(Huvitav et IP on kohalik sest programmide ja laienduste abil saab seda muuta.)

Rist:

  • Operatsioonisüsteem.
  • Protsessori tuumade arv.
  • Fondid ja installitud keeled.
  • Operatsioonisüsteemi ja riistvarakomponente töökiirus

Web Storage

Web Storage on JavaScripti mehhanism andmete salvestamiseks brauseris. Web Storage on serverile täiesti nähtamatu ja see pakub palju suuremat mälumahtu kui cookie.

Web Storage põhineb kahel mehhanismil:

  • sessionStorage hoiab iga domeeni jaoks kogu seansi vältel saadaval olevat andmed. (kui brauser on avatud, isegi kui leht on uuesti laaditud)
  • localStorage teeb sama, kuid säilitab andmeid ka siis, kui brauseri on uuesti avatud.

Kuidas kasutavad? Näiteks te muudate veebilehe taustavärve ja fondi või lehe suurus. Teie valik rakendatakse koheselt(Tavaliselt tehakse seda JavaScripti abil.) ja brauser mäletab teie valikut ning järgmisel saidile sisenemisel rakendab rakendab seadeid varasema valiku põhjal.

Canvas API ja WebGL

Canvas on HTML5 API, mida kasutatakse graafika ja animatsioonide joonistamiseks veebilehel JavaScripti kaudu. Jälgimine põhineb sellest et üks ja sama canvas võib erinevates arvutites renderdada erinevalt. See sõltub operatsioonisüsteemist, fondi teekidest, graafikakaardist, graafikakaardi draiveritest ja brauserist.[2]

WebGL(Web-based Graphics Library) töötab sarnaselt Canvasile, renderdab brauseris interaktiivseid 3D-objekte ilma brauseri lisandite kasutamisega. Veebisait võib saada kogu info arvuti graafikakaardi mudeli kohta.

WebRTC

WebRTC(web real-time communication) võimaldab teil kasutada videovestlust otse oma brauserist, nii et te ei pea eraldi tarkvara installima ja avama. Näiteks et brauseris rääkima Skypeis või Discordis. Et oleks kiir ja mugav WevRTC kasutab peer-to-peer tehnoloogiat siis mõnikord tal sinu tõene IP. See töötab isegi kui sa kasutab VPNi. See otsene ühendus võimaldab teil brauseris hõlpsasti videovestlust pidada, kuid näitab ka teie tegelikku asukohta.[3]

Cookie files

Need on praegu kõige kuulsamad, kuna need ilmuvad paljudel veebilehtedel tavalises teates nende aktsepteerimisest. Cookies on teksti failid väikeste tükkidega infost, nagu kasutaja login ja salasõna, mida saadab web-server ja mis on säilitud kasutaja seadmel[4]. Kui kasutaja tuleb tagasi veebilehele, brauser laadib neid faile veebilehele ja veebileht kasutab neid oma sisu kujutades. Nendes ka säilitatakse veebilehel valitud eelistused (keel, veebilehe valge või tume teema jne.), IP aadress ja Interneti teenuse pakkuja kohta, arvuti ehk seadme info (browser, operatsioonisüsteem, ajavöönd jne.)[5].

See annab võimalust näida kasutajale personaliseeritud reklaami veebilehel ja ettevõttetel teha uuringuid, et minge kauapa tarbijate rühma määrata ja nendele andmetele tuginedes mingit finantsilist strateegiat ehitada.

Evercookie

Nimest on võimalik taibata, et see on minge cookie failide liige, aga tegelikult see on natuke teine asi. See on Javascript’i API, mis taastab kasutajana sihilikult eemaldatud cookie failid[6]. Teiste sõnadega, see tehnoloogia ei anna kasutajale oma cookie faile eemaldada ja sellega rikkub tema privaatsust. Edward Snowden’i sõnul 2013 evercookie tehnoloogia sai isegi Tor kasutajat identsifitseerida[7]. Lisaks 2009 aastal kasutas sel momendil levinud veebilehtede pool seda tehnoloogiat. Praegu need cookie failid on pigem ebaseaduslikud Euroopas GDPRi tänu, aga see tehnoloogia oli mainimist väärt, kuna see näitab, kuidas ettevõtted said minevikus kasutaja teadmiseta tema identsifiteerida.

Seadme kaliibrimise andmed

Kasutaja tuvastamine erinevate seadmete abil

Kaamera ja mikrofon

Kui rakendusele või veebisaidile antakse juurdepääs seadme kaameratele ja mikrofonidele, saab see potentsiaalselt teha palju muud, sealhulgas:

  • Kasutaja meeldimiste järeldamine vestluse märksõnade kaudu
  • Reklaamide esitamine põhineb kasutaja isiklike objektide tuvastamisel
  • Kasutaja reaktsioonide jälgimine kuvatavale sisule
  • Reklaamide esitamine või muutmine vastavalt kasutaja näoilmetele.

Uurime stsenaariumi mitte liiga kauges tulevikus, et näha, kuidas see anduripõhine jälgimine reaalses maailmas toimib. Oletame, et treenin maratoniks ja otsustan sotsiaalmeedia rakenduse abil teha kiire tegevus-selfie. Olen juba andnud rakendusele juurdepääsu oma nutitelefoni kaameratele ja asukohale. Rakendus saab:

  • Järeldada, et ma jooksen (liikumisandurite kaudu)
  • Jälgige minu väsimustaset (esikaamera ja liikumisandurite kaudu)
  • Tehke kindlaks, kus ma olen ja kuhu suundun (asukohateenuste kaudu)
  • Järeldage, et mulle meeldib smuutisid juua, lähtudes varasematest veebiotsingutest, mis on seotud minu seadme anduri sõrmejäljega.

Järgmine reklaam, mida näen, on smuutibaar, mis asub suunas, kuhu suundun. Reklaam sisaldab õudselt täpset pealkirja: „Sa väärid järeltulemise järeletulemist.”

Klaviatuur

Biomeetrilise identifikaatorina saab kasutada palju inimese omadusi või omadusi. Need omadused jagunevad ühte kahest kategooriast:

  • Füsioloogilised omadused: need on kaasasündinud bioloogilised või keemilised omadused või omadused, milleks inimene on kasvanud. Sellised näited on muu hulgas iiris, DNA, peopesa, kõrv või näo geomeetria.
  • Käitumisjooned: need tunnused on kas koolitatud või omandatud aja jooksul. Näited nendest võivad olla: inimese allkiri, klahvivajutuste dünaamika, see on konkreetne rütm, mis kasutajal klaviatuuril kirjutades on, hääle iseärasused, kasutaja käekiri.

Kirjeldatud tunnused ja nendega seotud tehnikad on samuti klassifitseeritud pehme või kõva biomeetria alla. Pehmed biomeetrilised tunnused on need omadused või tunnused, mis tavaliselt on seotud käitumisomadustega, mis annavad küll teavet indiviidi kohta, kuid millel puudub eristusvõime ja püsivus kahe inimese eristamiseks. Teiselt poolt peetakse kõvasid biomeetrilisi tunnuseid eristusvõime ja püsivuse osas paremaks, nagu sõrmejäljed või näo geomeetria, ning need võivad anda paremaid tulemusi üksikisikute eristamisel. On arutatud, et mis tahes neist omadustest peaks suuremal või vähemal määral vastama järgmistele nõuetele, et neid saaks lugeda kehtivaks biomeetriliseks tunnuseks:

  • Universaalsus: kui sageli leitakse tunnus individuaalselt.
  • Eristatavus: kõik kaks isikut peaksid olema antud tunnuse jaoks piisavalt erinevad.
  • Püsivus: Tunnus peaks olema aja jooksul muutumatu.
  • Kogumisvõime: omadust tuleks hõlpsalt koguda ja mõõta.
  • Toimivus: kõik omadused tuleks ära tunda kiiresti ja täpselt.
  • Vastuvõetavus: määrab, kui head kasutajad aktsepteerivad atribuudi omandamist.
  • Kõrvalehoidmine: süsteemi ei tohiks olla lihtne petta, petta või võltsida.

Igasugune biomeetriline süsteem peab läbima järgmised sammud:

  • Jäädvustamine: süsteem registreerib registreerimise algfaasis füüsilise või käitumusliku valimi.
  • Ekstraheerimine: proovidest eraldatakse unikaalsed funktsioonid ja luuakse mall iga kasutaja jaoks.
  • Võrdlus: hilisemas etapis, kas autentimise, tuvastamise või kontrollimise käigus, kogutakse uued proovid. Seejärel võrreldakse neid salvestatud mallidega, kasutades erinevaid võimalikke metoodikaid, sõltuvalt valitud identifitseerimisprotsessist.
  • Sobivuse / mittevastavuse hindamine: otsustage, kas uuest proovist eraldatud funktsioonid on valitud mallidega võrreldes sobivad või mitte.

Hiire liikumine

Biomeetril põhinev kasutaja kontrollsüsteem on sisuliselt mustrituvastussüsteem, mis hangib üksikisikult biomeetrilisi andmeid, eraldab kasutajate ainulaadse allkirja moodustamiseks vajalike funktsioonide komplekti ja konstrueerib kontrollimudeli, koolitades seda allkirjade komplekti. Kasutaja kontrollimine saavutatakse mudeli rakendamisega kontrollitud kasutaja veebipõhiselt omandatud allkirjadele, mis on loodud mudeli koostamisel kasutatud protsessiga identse protsessiga.

Sellised süsteemid sisaldavad järgmisi komponente:

  • Funktsioonide hankimine - hõivab sündmuste jaoks, mida genereerivad suhtlemiseks kasutatud erinevad sisendseadmed (nt klaviatuur, hiir)
  • Funktsiooni väljavõtmine - koostab allkirja, mis iseloomustab kasutaja käitumisbiomeetriat.
  • Klassifikaator - koosneb indutseerijast (nt tugivektorimasinad, kunstlikud närvivõrgud jne), mida kasutatakse kasutaja kinnitusmudeli loomiseks minevikukäitumise koolitamise kaudu, sageli näidiste abil. Kontrollimisel kasutatakse indutseeritud mudelit kasutajalt saadud uute proovide klassifitseerimiseks.
  • Allkirjade andmebaas - käitumisallkirjade andmebaas, mida kasutati mudeli koolitamiseks. Kasutajanime sisestamisel leitakse kontrollimiseks kasutaja allkiri.

Mobiilse jälgimise eest kaitsmine

Ehkki seiremajanduse kombitsadest pääsemine võib tunduda hirmuäratav, on nutitelefoni jälgimise eesmärgil kasutamise vältimiseks mitmeid samme:

  • Rakenduse installimisel / kasutamisel või veebisaidi külastamisel mõistke iga loataotluse privaatsust.
  • Vaadake oma rakenduse seadeid regulaarselt üle ja veenduge, et igale rakendusele antakse ainult vajalikud load.
  • Andurite juurdepääsu piiramiseks kasutage oma mobiilses operatsioonisüsteemis olevaid tööriistu; Android Pie väljaandmine lisas võimaluse piirata andurite kasutamist näiteks tühikäigul olevate rakenduste poolt, samas kui iOS 12.2 beetaversioon lisas võime piirata liikumisandurite juurdepääsu Safari brauseris.
  • Installige mobiilne reklaame blokeeriv rakendus, et takistada kolmanda osapoole jälgimiskoodi teie seadmele juurdepääsu.
  • Investeerige jälgimisvastasesse nutikasse juhtumisse, et hoida kaameraid ja mikrofone kasutamast, kui te neid selgesõnaliselt ei luba.

Ülevaade turvalisuse seisukohast

Kokkuvõtte

Viited

  1. All You Need to Know About Browser Fingerprints, Gleb Lepeshkin, https://dzone.com/articles/all-you-need-to-know-about-browser-fingerprints, 18.05.20
  2. HTML5 Canvas Fingerprinting, https://browserleaks.com/canvas
  3. A VPN vulnerability: What are WebRTC and WebGL leaks?, https://vpnoverview.com/privacy/anonymous-browsing/webrtc-and-webgl-leaks/, 20.08.20
  4. What are cookies?, kaspersky.com, https://www.kaspersky.com/resource-center/definitions/cookies, 16.07.2020
  5. Cookie notice, aws.amazon.com, https://aws.amazon.com/legal/cookies/, 03.09.2020
  6. What Is Evercookie and Why You Should Avoid It for Privacy’s Sake, Karolina Matuszewska, https://piwik.pro/blog/what-is-evercookie-and-why-you-should-avoid-it-for-privacys-sake/, 19.07.2018
  7. Cookie notice, Anna Kobusińska; Kamil Pawluczuk; Jerzy Brzeziński, https://www.sciencedirect.com/science/article/pii/S0167739X17329965, 2018