Ropogós

Nincsenek friss tartalmak.

» A teljes listához

Új hozzászólások

» 2017.02.16. 15:38:22, Noel @ Nem minden privacy tipp "tuti"

» 2016.11.13. 13:14:07, Illés bence jános @ Hogyan válasszunk erős jelszót?

» 2016.09.24. 07:22:07, Bola Online @ Alkalmazott kriptográfia – TrueCrypt

» 2015.12.25. 21:18:36, MobilKém @ Lehallgatható kikapcsolt állapotban a mobiltelefon?

» 2015.11.26. 21:38:36, [anonymous] @ Titokban összesúg a tévé és az okostelefon

Digitális ujjlenyomat a weben – beszámoló a nyilvános bemutató és sajtótájékoztató eseményről és háttéranyag a kutatásról

| | 2012.04.05. 21:50:32  Gulyás Gábor  

Vissza

A webezőket számítógépük ujjlenyomata könnyedén azonosítja – legalábbis erre a következtetésre jutottak a BME Híradástechnikai Tanszékének fiatal kutatói.

Sajtóeseményen mutatták be az új ujjlenyomat technikát

A BME szakemberei 2012. április 4-én nyilvános bemutatón és sajtóeseményen mutattak be egy új technikát, ami a hirdetők és a webes profilírozók új – vitatható legalitású – eszköze lehet a felhasználók tevékenységének nyomon követésére. A hallgatók előtt is nyitott, majdnem teltházas rendezvény a BME lágymányosi kampuszán, az Informatika épület dísztermében került megtartásra. A program első részében Székely Iván, az Elektronikai Technológia Tanszék docense ismertette a jelenség mögött álló folyamatokat, illetve a nemzetközi helyzet aktualitásairól is beszélt, majd Gulyás Gábor, a Híradástechnikai Tanszék (HIT) óraadója mutatta be a webes nyomkövetési technikák működését illusztrációk, animációk segítségével.

 

A sajtóesemény teltházas volt és a demonstráció is jól sikerült

 

A sajtóesemény második felében a gyakorlati demonstráción volt a hangsúly. Boda Károly,  a HIT hallgatója, és Gulyás Gábor először bemutatták a közismert, de korlátozott használhatóságú Panopticlick ujjlenyomat projektet, majd pedig a BME fiatal kutatói által kifejlesztett új technikát. A kísérlet látványosan sikerült; a közönség egy második kivetítőn is követhette az eseményeket, ahol egy ujjlenyomat falon voltak láthatóak a folyamatosan beérkező események. Miután a helyszínre a legtöbb látogató laptoppal érkezett, az előadók demonstrációjával párhuzamosan a hallgatóság soraiból is elkezdtek beérkezni az ujjlenyomat tesztek. A fiatal kutatók demonstrálták, hogy az ujjlenyomat teszt több böngészőben is képes volt azonosítani a számítógépet, még akár privát böngészési módban is.

A kutatás célja nem a nyomkövetők segítése, hanem a nagyközönség figyelmének felhívása az újszerű, többnyire ismeretlen problémára, illetve a módszer működőképességének tudományos igazolása. További célja a kutatásnak az, hogy felhívja a böngészők gyártóinak figyelmét erre a biztonsági résre, illetve magánélet-sértő lehetőségre.

A kutatók nem elégedtek meg a veszélyek ismertetésével, hanem egyúttal egy új koncepción alapuló „anti-ujjlenyomat” védekezési megoldást is bemutattak. Az ún. proof-of-concept program segítségével azt is demonstrálták, hogy ha a böngésző alkalmazások nem engedélyeznék az ujjlenyomatokhoz szükséges információk lekérdezését, a böngészési élmény akkor sem csorbulna.

 

Az ujjlenyomat teszt weboldala

 

A projekt honlapján  bárki kipróbálhatja az ujjlenyomat tesztet saját számítógépén, és ugyanitt a védekezési alkalmazás hamarosan letölthető lesz.

Webes nyomkövetés és ujjlenyomatok

A weboldalaknak elemi – pontosabban üzleti – érdeke, hogy látogatóikat azonosítsák és tevékenységüket kövessék, például számokkal történő azonosítással. Az azonosítókat eddig leginkább az ún. sütikben tárolták a látogató gépén, de a felhasználók tudatosságának növekedése és az Európai Unió 2009-es ún. „süti-irányelv” szabályozása következtében ez egyre nehezebbé válik (ennek értelmében a felhasználói hozzájárulás nélkül beállított cookie-k törvénysértőek). Ezért a webes üzleti szféra szereplői már elkezdték keresni az újabb lehetőségeket, ilyenek például az ún. ujjlenyomat alapú követési technikák, melyeknek már nyilvánosan hirdetett kereskedelmi alkalmazására is van példa 2012. januárja óta. E módszerek lényege, hogy a látogatóhoz egy ujjlenyomatot rendelnek számítógépes rendszerének főbb jellemzői, mint például a képernyőfelbontás, időzóna, vagy az elérhető betűtípusok alapján.

Az első nagyszabású ujjlenyomat kísérlet a Panopticlick volt. Ez a kísérlet azt vizsgálta, hogy a látogató böngészője egyedi-e egy kellően nagy adatbázisban az azt leíró információk alapján. Ez a kísérlet inspirálta a Nemzetközi PET Portál és Blog kutatóit, hogy a Rendszerujjlenyomat kísérletben  megvizsgálják, hogy az ujjlenyomat-információk segítségével böngésző- és plugin-független módon is azonosíthatóak-e a felhasználók. Ez azt jelenti, hogy függetlenül a Java vagy Flash elérhetőségétől, ugyanúgy azonosítani lehet a felhasználó számítógépét, bármelyik böngészővel is látogat el egy oldalra. A kísérlet során majdnem 1000 ujjlenyomat gyűlt össze, amivel sikerült igazolni az egyik fő alapelvet: a felhasználókat – legalábbis ilyen számosság mellett – böngészőfüggetlen módon, egyedileg azonosítja a feltelepített betűkészletek jelenléte Windows és OS X rendszerek alatt. Azonban kevés olyan ujjlenyomat volt, amelyek egy felhasználó, különböző böngészőben lefuttatott tesztje alapján jöttek létre, és ez indokolta az új teszt elindítását.

Böngészőfüggetlen ujjlenyomat teszt 2.0

Az új teszt alapelve változatlan, és fő információforrásának jelenleg is a számítógépre telepített betűkészleteket tekinti, amelyet plugin-független módon ellenőriz, csak JavaScript alkalmazásával. A betűkészlet egyediségét prózai okokra lehet visszavezetni: ahogyan számítógépünkre feltelepített programok garmadája is egyedi konstellációt alkot, úgy az elérhető betűkészletek is, hiszen ezek listáját legtöbbször a feltelepített programok bővítik. Emellett további információforrásokat is használ az új ujjlenyomat, mint például a képernyőfelbontás, vagy az időzóna, de a betűkészlet mellett szintén az egyik alapvető információforrás lehet a böngészőkre telepített kiegészítők (pluginok) listája, de az új kísérlet ezt nem használja.

 

Az ujjlenyomat tesztet több böngészőben is lefuttattuk, mégsem sikerült eltérő ujjlenyomatot generálni más böngésző alkalmazásban. Önnek sikerült?

 

Az új ujjlenyomat fő előnye a tárolási elven működő technikákkal szemben, hogy nem igényel adattárolást, és privát böngészési módban is működik, sőt, akár kifejezetten a követés ellenszereként bevetett anonim böngészőkben is. A tesztet az érdeklődők is elvégezhetik saját számítógépükön a kísérlet hivatalos weboldalán, amelynek célja kettős: egyrészt az érdeklődők meggyőződhetnek a probléma valódiságáról, másrészt az ennek során generált ujjlenyomatok a további vizsgálatok sikeréhez járulnak hozzá.

A FireGloves nem hagy nyomot

A kísérletet hivatalosan is elindító sajtóeseményen került bemutatásra egy kategóriájában egyedülálló anti-ujjlenyomat védekezési alkalmazás, amelynek segítségével az ujjlenyomat-készítés nehezebbé válik, de a böngészési élmény nem csorbul. Az alkalmazás egy Firefox plugin, amely lehetővé teszi a felhasználóknak, hogy befolyásolhassák a számítógépükről lekérdezett (az ujjlenyomatoknál használt) információk tartalmát, azaz például meghatározhatják, hogy a weboldalak mindig egy adott ál-felbontás értéket detektáljanak, vagy pedig minden lekérdezésnél véletlen értékeket kapjanak. A sajtóeseményen a kutatók demonstrálták, hogy az ilyen jellegű működés befolyásolás mellett a weboldalak többsége továbbra is látogatható marad (mint például a Facebook, vagy a CNN hírportál), de az ujjlenyomatok nem működnek, illetve működésük a felhasználó szempontjából nézve kedvezően befolyásolható. Az új kiegészítő alkalmazása mellett az ACID3 teszt is sikeresen lefutott, amely kifejezetten a web böngészők ilyen jellegű funkcionalitásának tesztelésére szolgál.

 

A FireGloves nem enged az információéhes oldalaknak: a Panopticlick kísérlete sem sikerült a kiegészítő alkalmazása mellett.

 

Az új kiegészítő és privát böngészési mód együttes használata mellett a Panopticlick nem tudott információt lekérdezni, és például a véletlen adatokat közlő random mód esetén a böngészőfüggetlen ujjlenyomat tesztnél lekérdezésenként eltérő ujjlenyomat készült. Az esemény végén a szakemberek hangsúlyozták, hogy a FireGloves csak a nyomkövetés egy aspektusa ellen nyújt védelmet, és így a teljes értékű védekezéshez több kiegészítő párhuzamos használata ajánlott.

Az új fejlesztésű kiegészítő ugyan átmenetileg védelmet ad az ujjlenyomat technikákkal szemben, azonban a FireGloves célja ezen túlmutat: a BME kutatói szeretnék elérni, hogy a böngészőgyártók is felfigyeljenek a problémára, és a böngészőkből eltávolítsák azokat a funkciókat, amelyek normális működését a FireGloves is befolyásolja, így hosszú távon is megoldást nyújtva a problémára.

Címkék: webes megfigyelés, webes privátszféra, ujjIenyomat, webes anonimitás

Permalink: https://pet-portal.eu/blog/read/451/2012-04-05-Digitalis-ujjlenyomat-a-weben-8211-beszamolo-a-nyilva...

Vissza


Hozzászólások

Összesen 0 hozzászólás látható.

Nincsenek hozzászólások.


Új hozzászólás beküldése

Bárki hozzászólhat, nem regisztrált beküldő esetén egyik adat megadása sem kötelező - a hozzászólás akár névtelen is lehet.

Név:
E-mail:
Blog:
Megerősítési kód (Új kép generálása a megerősítési kódról)

A BBCode egy egyszerű jelölő nyelv, amellyel a hozzászólásokat lehet formázni. Érvényes parancsok:

bold: [b]Maecenas at nisl.[/b]
italics: [i]Maecenas at nisl.[/i]
underline: [u]Maecenas at nisl.[/u]
url: [url]http://www.mysite.com[/url], [url=http://www.mysite.com]Maecenas at nisl.[/url]
image: [img]http://www.mysite.com/mypic.png[/img]
quote: [quote]Maecenas at nisl.[/quote]
code: [code]Maecenas at nisl.[/code]
size: [size=12]Maecenas at nisl.[/size]
color: [color=#FF0000]Maecenas at nisl.[/color]

Hozzászólok!





© International PET Portal, 2010 | Impresszum | Felhasználási feltételek | Adatvédelmi Nyilatkozat