Blog: keresés
Összesen 95 találat.
Kétszer fizetsz az ingyenes tartalomért
|
|
2015.05.28. 05:00:25
Gulyás Gábor
Számos alkalommal írtunk már arról, hogy az ingyenességnek ára van; egész pontosan az ingyenes tartalom, amelyért a privátszféránk kiszolgáltatásával fizetünk, nincs is ingyen. Ezt támasztja alá a Firefox legújabb (egyelőre rejtett) beállítása, amellyel a követők tartósan kikapcsolhatóak. Kutatók mérései alapján a webpoloskák kikapcsolása után az Alexa top 200 oldal betöltési sebessége átlagosan 44%-kal gyorsabb lett, és 39%-kal csökkent a betöltés közben keletkező adatforgalom. Ebből jól látszik, hogy nem csupán előnybe hozzuk a megfigyelő vállalatokat a privátszféra eladásával, hanem a megfigyelés alapvetően a mi költségünkön megy: a mi adatforgalmunk csökken ezáltal, és például a mobil készülékek akkumulátorjai is hamarabb lemerülnek.
Az új beállítás könnyen bekapcsolható:
- Írjuk be az about:config szöveget a böngésző címsorába.
- Erősítsük meg, hogy odafigyelünk a beállítások kezelésénél.
- Az itt lévő keresősávba üssük be, hogy privacy.trackingprotection.enabled
- Majd kattintsunk rá kettőt, hogy aktív legyen, és már be is zárhatjuk a tabot.
Hozzászólások (0 hozzászólás) Évkezdő privacy hírcsokor (XII)
|
|
2015.01.03. 05:41:46
Gulyás Gábor
A Princeton egyetem kutatócsoportjában megnézték, hogy egy NSA szintű megfigyelő milyen mértékben képes követni valakinek az online tevékenységét a sütik alapján, és meglepő eredményre jutottak: alapesetben a böngésző tevékenységének kb. 60%-a megfigyelhető, és ezen a különféle eszközök is vajmi keveset tudnak javítani. Az általam is legjobbnak ítélt megoldás, a Ghostery is csak 20% körülire tudja leszorítani ezt az eredményt.
Különféle privátszféra erősítő megoldások esetén (ill. balra alapesetben) az online tevékenység feltüntetett hányadát képes kövezni a sütik alapján egy globális megfigyelő. [forrás]
A karácsonyi dömpingben érdekes színfolt volt a Privacy International adománygyűjtő kampánya, ahol megtudhattuk, hogy a mikulásnak milyen nehézségekkel kell megküzdenie, amikor a kormány a jók és rosszak listájának átadására kötelezi. (És hogy ez a valóságban miért érint mindannyiunkat.)
Itt pedig egy érdekes írás, hogy miért is te vagy a termék, ha Facebook-ot használsz.
Az év információvédelmi szakdolgozata: Webes egér hőtérképek készítése és elemzése
|
|
2014.09.18. 09:53:39
Gulyás Gábor
A Hétpecsét Információbiztonsági Egyesület a tegnapi napon kihirdette az "Év információvédelmi szakdolgozata" címet, amelyet Szerencsés Ákos nyert el Webes egér hőtérképek készítése és elemzése című munkájával. A nyertesnek ezúton is gratulálunk!
A weben ma már szinte sokásos üzletnek mondható egy weboldal látogatóinak az egérműveleteinek figyelése, naplózása, és statisztikai célú feldolgozása. Számos cég értékesít ilyen szogláltatásokat, sőt, ezek akár olyan pontosságúak is lehetnek, hogy az egyes felhasználók tevékenysége videó-szerűen visszajátszható. Ez érzékelhetően átlép egy újabb határt a privátszféránkban.
Azonban felmerülhet a kérdés, hogy hasonlóan ahhoz, ahogy az eszközök ujjlenyomatozhatóak jellmezőik alapján, úgy az efféle egérmozgások is alkalmasak-e a felhasználó beazonosítására. Ez egyféle biometrikus azonosítás lehetőségét veti fel, amely függetlenül a használt eszköztől azonosíthatja tulajdonosát.
Ákos dolgozata alapozó munka, amelyben az azonosíthatóság kérdését vizsgálja: az egérmozgásokból kinyerhetőek-e olyan jellemzők, amelyek konzisztensek az egyes felhasználók esetében, azonban megkülönböztetik bizonyos mértékben az egyes felhasználókat egymástól. Ákos ennek érdekében egy bookmarklet alkalmazást készített, amely lehetővé tette ilyen jellegű adatok gyűjtését. A szakdolgozat kitér az így gyűjtött 5 felhasználó adatának elemzésére is.
Ákos jelenleg egy profibb adatgyűjtő alkalmazáson dolgozik, amellyel több száz felhasználót is be tud vonni az adatgyűjtésbe, és a szakdolgozatban vizsgált állítások precízebben megerősíthetők és cáfolhatóak. Valamint nem csupán a privátszféra potenciális kiszolgáltatottságának a felmérése a cél, hanem olyan megoldások, eszközök készítése, amelyek a kialakuló helyzetben orvoslásul is szolgálhatnak.
Új divat: az internet szolgáltató a tracker, és reklámoz is
|
|
2014.01.10. 05:03:32
Gulyás Gábor
Az utóbbi hetekben érdekes hírek röppentek fel. Úgy látszik, nem csak az Apple és a hasonló óriáscégek látnak fantáziát a nyomkövetésben, hanem egyes tengerentúli internetszolgáltatók is felismerték a benne rejlő lehetőséget.
Idén januári a hír, hogy egy internet szolgáltató sütikkel követi felhasználóit:
My ISP, Access Media 3 has started injecting tracking cookies into html packets going through their network and are potentially making money from tracking their customers.
A probléma az, hogy ebbe kis (semmi) beleszólása van az előfizetőknek, az ISP pedig szép extra profitot termeltet a felhasználóival. Persze, aki ért hozzá, tud tenni ellene. Míg más esetben az ISP-k reklámokkal és kuponokkal traktálják felhasználóikat, és közben úgy gondolják, hogy ezzel mindenki nyer:
Customers blocking pop-ups do not see the coupons. The response so far has been overwhelmingly positive (in view of the number of customers who have taken advantage of savings by using the coupons).
Hosszú távon ezzel senki sem nyer: az árakba beépül a tevékenységből szerzett profit, és normál áron nem éri majd meg előfizetni. A megfigyelésből fakadóan pedig hatalmi aszimmetria alakul ki a szolgáltató-fogyasztó között, ahol az előbbi ebből egyre nagyobb mértékű gazdasági előnyhöz juthat, és a fogyasztónak egyre kevesebb lehetősége lesz a kitörésre.
Kicsit béta, de érdekes: Netograph
|
|
2013.11.28. 05:48:56
Gulyás Gábor
Ez egy érdekes web poloska megjelenítő Firefox plugin – elvileg, ugyanis saját URL-t még nem sikerült beadni neki. Mindenesetre érdekes koncepció.
A Ghostery-t észrevehetik a weboldalak
|
|
2013.11.25. 05:16:44
Gulyás Gábor
Érdekes írást közölt Nick Nikiforakis, amelyben leírja, hogy hogyan detektálhatja egy weboldal, ha Ghostery-t használva látogatunk el rá. Mivel a Ghostery egy rövid időre a lap betöltődésekor beszúr egy HTML elemet, amit a weboldal így detektálhat, vagy akár "el is kaphat":
Lassan elég sokan használnak valamiféle web blokkolót, amelyekkel a weboldalak azonosítási, vagy reklámozási próbálkozásai elől akarnak egyesek elbújni (jogosan!). Előbb-utóbb azonban a weboldalak reagálni fognak erre, és ha detektálják, hogy a felhasználó védekezik, megpróbálhatják majd azt kikerülni. A kör bezárult, kezdődik a játék elölről.
(Érdemes megnézni a Doodle oldalát adblock mellett: észreveszik a turpisságot, és jelzik, hogy ők reklámból élnek, és ha nem szeretnénk reklámot nézni, fizessünk elő prémium csomagra. Abból a szempontból mindenképp dicséretes, hogy legalább felkínálnak alternatívát a reklám nézegetése helyett...)
Új anonim böngésző: EPIC Privacy Browser
|
|
2013.11.07. 05:42:37
Gulyás Gábor
Talán Olvasóink többsége már hallott az EPIC Privacy Browser elnevezésű új anonim böngészőről. Üdvözlendő kezdeményezés, ami kissé okot adhat a fenntartásokra, az a böngésző alapja:
Az Epic már első pillantásra is egyértelműen a nyílt forráskódú Google Chromium böngészőre épül, ennél pontosabban cikkünk írásának idején a legfrissebb 29-es verzióról volt szó. Ettől függetlenül a fejlesztők első lépésben kiszedtek belőle minden a keresőcéggel kapcsolatos adalékot, amelynek köszönhetően például a könyvjelzők és jelszavak szinkronizálásra sincs lehetőség, sőt: a Chrome Web Store-ból kiegészítők sem telepíthetőek hozzá. Mindez jelen esetben teljesen normális.
Ugyan igyekeztek tisztába tenni a forráskódot, és biztos nagyszerű munkát is végeztek a lehetőségekhez képest. De mi van, ha mégsem sikerült mindent kellőképpen eltávolítani, mert rejtett kiskapuk és gyengeségek is voltak benne? (Szándékosan az NSA programjai miatt.)
Attól még, hogy nyílt forráskódú egy szoftver, nem vagyunk automatikusan előrébb, hiszen ez akkor lesz értékes tulajdonság, ha rendszeresen át is nézik szakértő felhasználók a kódot. Többek között emiatti került a TrueCrypt több ízben kereszttűzbe, és tűzték ki célul lelkes felhasználók a teljes átvizsgálását.
Használjunk PET-eket, de csak okosan!
|
|
2013.10.31. 05:57:44
Gulyás Gábor
Az alábbi diasor jól mutatja, miért baj, ha rosszul használjuk a technológiát: biztonságban nem leszünk, de azt hisszük. Éppen ezért fontos, hogy minden részletre odafigyeljünk, hangoztatják a Tor fejlesztői, mikor hangsúlyozzák, önmagában a Tor nem elég, de a Tor Browser Bundle-t is mellé kell párosítani.
Az NSA-nél is rájöttek már erre:
Persze ez egy sokkal általánosabb probléma. Gondoljunk például az anonimitási paradoxonra a Panopticlick esetén: a Privoxy (PET) felhasználók a kísérlet során jobban azonosíthatóak voltak, mint az átlag, akik nem igyekeztek védeni a privátszférájukat. De ez igaz azon felhasználók többségére is, akik az ujjlenyomatozással szemben házilag összeválogatott böngésző kiegészítésekkel akarnak védekezni. Ugyanis sok esetben ezek (részlegesen) detektálhatóak, és mivel egyedi az összeállítás, a detektált információ a megfigyelőnek dolgozik...
Videó: Hot on Your Trail: Privacy, Your Data, and Who Has Access to It
|
|
2013.10.25. 05:25:08
Gulyás Gábor
Rövidhírek a webes nyomkövetés világából: ahogy ők nézik a világot
|
|
2013.10.14. 05:41:07
Gulyás Gábor
Webes nyomkövetés a marketinges szemével: a Woopra. Bár egy regisztrált felhasználók kezelésére szakosodott eszközt kínálnak, mégis jó rálátást ad, hogyan gondolkodnak ők. (Ez azért is fontos, mert hosszú távon nem oldja meg a problémát a tüneti kezelés, mint például a nyomkövetők blokkolása. Olyan megoldásokra van szükség, amelyek a személyes megfigyelést kiiktatják, de a marketing számára is adnak használható eszközöket.)
Egy másik cég meg statisztikák alapján azt kutatta ki, hogy a nők mely időszakokban a legsérülékenyebbek (például mikor érzik legkevésbé vonzónak magukat), és ezekre az időszakokra koncentrál a reklám- és egyéb tevékenységével. Duplán etikátlan.
Az Inria fejlesztésében egy érdekes kutatás zajlik, amely segítségével megtudhatjuk mennyit ér a böngészési előzményünk (vagyis mennyiért árusítják ki a privátszféránk). Nem túl magas az ára – így joggal kívánhatjuk, hogy bárcsak lenne mód fizetni a privátszféránk feladása helyett...
Privátszférát érintő hírek röviden
|
|
2013.10.01. 05:23:57
Gulyás Gábor
A Google Hummingbird-ről még nem sokat tudni. Azt azért tudjuk, hogy az új algoritmus inkább a keresőkifejezés emberi értelmezését veszi figyelembe majd, és a mögöttes jelentést próbálja meg a Knowledge Graph nevű tudásbázissal összekapcsolni. Ebben jóval nagyobb szerepet kaphatnak már a felhasználókról gyűjtött információk. Egyező irányba halad az utóbbi tíz évben az online hirdetésipar is, kíváncsi leszek, milyen hatással lesz az új motor a privátszférára, illetve milyen új szolgáltatások, termékek jelenhetnek meg ennek kapcsán.
Érdekes cikk a Facebook "data scientist" csoportjáról – ők azok, akik belelátnak a Facebook teljes adatbázisába, és új eljárásokat keresnek, hogy tudjanak is kezdeni vele valamit. Ez a sohasem látott adatmennysiég kiváló lehetőséget nyújt az emberi viselkedés kutatására, de bizonyos eredményekkel szemben érdemes kételkedni: a Facebook (és az utóbbi évek digitális "forradalma") a megfigyeltek viselkedésére is jelentős hatással volt.
A Google rájött, ha hagyják, hogy továbblépjen valaki a hirdetéseken a YouTube-on, háromszor olyan hatékony lesz a hirdetési ráta. Ez általánosabb kontextusban is igaz lehet. Ha az online hirdetők kikérnék a véleményünket (és hozzájárulásunkat), lehet, hogy a hirdetések is pontosabbak és hatékonyabbak lehetnének.
Végezetül pedig íme néhány kőkorszakinak tűnő mobiltelefon lehallgató eszköz. :-)
Google AdID?
|
|
2013.09.19. 05:20:22
Gulyás Gábor
Kíváncsian várom a további részleteket erről (ahogy gondolom sokan mások is):
Apple's Safari browser has blocked third-party cookies since its introduction in 2003, and the technology giant introduced its own ad identifiers for its iOS mobile platform last year.
If Google follows through with its own version of this approach, that could give users more control over how they are tracked online. However, it will also put more power in the hands of two of the largest technology companies, according to some people in the advertising industry.
...
However, the new tool will give users the ability to limit ad tracking through browser settings, according to the person familiar with the plan.
The AdID may be automatically reset by the browser every year, and users will be able to create a secondary AdID for online browsing sessions they want to keep particularly private, the person explained.
Advertisers will get access to these AdIDs, as long as they adhere to the terms of the program. However, users may be able to change the list of approved advertisers, through controls in the browser, to exclude specific firms, the person added.
Jól és rosszul is könnyen elsülhet egy ilyen kedvezményezés, nagyon sok múlik a részleteken. Elképzelhető, hogy csak centralizálni fogja egyes nagy hirdetők hatalmát (mint a Google is maga), de ha nem, az is érdekes kérdés, hogyan ellenőrzik, hogy a résztvevők betartják-e a feltételeket.
UPDATE (2013-09-20 9:30): két további olvasmány a témáról, sok a találgatás – szerencsés, hogy nem passzívan várja mindenki, hogy mi fog érkezni.
Amikor a bank a hitelét nem fizető Facebook-os kapcsolatokat is figyelembe veszi
|
|
2013.08.30. 05:23:35
Gulyás Gábor
Amikor privacy-ről, megfigyelésről, azonosításról és hasonlókról van szó, mindig van néhány ember, aki az "És akkor mi van?" álláspontra helyezkedik, és úgy véli, hogy mindezeknek a jelenségeknek igazából nincs semmi jelentősége. Ha őket nem is tudjuk meggyőzni, de az e irányba hajló bizonytalanoknak üzenünk egy konkrét példával, amikor is a pénzintézet efféle eszköket bevetve dönt a hitelkérelem elbírálása során.
A cikk által említett Kreditech nevű vállalat a hitelkérelem elbírálása során két érdekes forrást vesz figyelembe. Egyrészt negatív súllyal esnek latba a felhasználó azon Facebook-os kapcsolatai, amelyek késedelmesen fizetik a törlesztőrészleteket, másrészt pedig figyelik, hogy a kérvényező (webes) űrlapot hogy tölti ki az illető. Így például aki nem tölt kellő időt a részletesk olvasgatásával, szintén veszik hitelfelvevő-erejéből (mert ugye az EULA-t is mindenki elolvassa :-)).
Ugyan ez egy konkrét eset, amikor a saját bőrén tapasztalhatja meg valaki ezen technológiák hátrányait, de sajnos jelenleg túl áttételesen zajlik a megfigyelési, azonosítási technológiák elterjedése, ahhoz hogy a legtöbben ezt a folyamatot észrevegyék, értelmezzék és tegyenek ellene. Viszont így előfordulhat, hogy mire a probléma tömegek számára is érzékelhető lesz, akkor már nem lehet (egykönnyen) tenni ellene, mert az egész webes iparág a megfigyelésből származó bevételektől fog függenni. Ez a lehetőség főleg akkor lehet komoly probléma, ha az asztali számítógépünk tovább fejlődik a vékonykliens irányba, és minden a webről megy majd.
FireGloves: önstünk tiszta vizet a pohárba!
|
|
2013.08.27. 05:54:13
Gulyás Gábor
Talán Olvasóink egy része hallott már az Ujjlenyomat 2.0 tesztről és az ehhez (vagy inkább e mellett) készült FireGloves kiegészítőről (amelyek egyébként elérhetőek a bal oldali menüben is). Bár tavaly szeptember óta nem fejlesztjük a kiterjesztést, és ezt ki is írtuk a honlapra és az addons oldalára is, mégis megmaradt kb. 2000 felhasználónk, és néhány hetente kaptunk 1-1 hibabejelentést vagy segítségkérést.
Az utóbbi időben azonban igen megugrott a felhasználók és a beérkező levelek száma, köszönhetően annak, hogy néhány külföldi weboldal szép sorban beszámolt a kiegészítőről. Ennek nagyon örülünk, hiszen egy megoldatlan problémára hívják fel "átlagfelhasználók" figyelmét, azonban annak kevésbé, hogy a FireGlovest úgy mutatják be, mint egy élesben használható anti-ujjlenyomat technika. Ez sajnos azonban nem igaz, hiszen ez csak egy koncepciót demonstrált, és a védelmi mechanizmusai könnyen megkerülhetőek.
Ebből az apropóból fakadóan írtam egy a fentieknél kicsit bővebb, a hátteret és jelen helyzetet tisztázó bejegyzést az angol nyelvű blogba, amelyet ez úton ajánlok az érdeklődő Olvasók figyelmébe.
Érdekelnek a rövidebb hírek, érdekességek, újdonságok is? Nem mindegyikből lesz itt is poszt, ezért ha igen, kövesd a Twitter fiókomat is!
History stealing újra terítéken
|
|
2013.08.05. 12:09:21
Gulyás Gábor
A klasszikus, css-alapú history stealing techikát ugyan már 2010-ben eltemethettük (egy igencsak hosszú, 10 éves pályafutás után), de azért mégis felüti időnként a fejét, sőt, egész széles skálán találhatunk hasonló megoldásokat. Az idei BlackHat-en Paul Ohm közzé tett egy új technikát, ami a linkek renderelési sebessége alapján képes eldönteni, hogy valahol járt-e már a felhasználó vagy sem. Ugyanis a böngésző minden linket ismeretlenként jelenít meg először, majd kikeresi az adatbázisában, és újrarendereli, ha már jártunk ott. Ebből fakadóan ez utóbbiak renderelése mérhetően lassabb, és sajnos a probléma jellegéből fakadóan elég nehéz lesz javítani.
A kutató további technikákról is beszámolt. Az egyik az SVG renderelőt használja, hogy a felhasználó által is látott képet "meglesse", illetve a másikkal a látogatott weboldalak forrásához lehet hozzáférni, és azokból információt nyerni, mint például felhasználónevek és azonosítók.
Google Now - most, mindent, rólunk (videó és infógrafika!)
|
|
2013.08.02. 05:59:40
Gulyás Gábor
A Google Now mobilokon elérhető kereső szolgáltatásának lényegege, hogy a rólunk elérhető valamennyi információt felhasználva a lehető legpontosabb választ adja a felhasználó kérdésére. Ehhez felhasználja a telefonon elérhető különböző információforrásokat, mint a helyzetinformáció, naptárbejegyzések, keresési előzmények – vagyis lényegében egyszerre kezel minden rólunk elérhető információt.
Ez több okból is ijesztő. Ugyanis az adatok együttes kezelésében nagy biznisz van, ezt a Google is tudja, és emiatt a jövőben is inkább az efféle szolgáltatásokat fogja támogatni, szemben a privátszféra-erősítő törekvésekkel. Másrészt az összekapcsolt adatokból további implicit információk nyerhetőek, ami külön veszélyforrás lehet. (Például Gipsz Jakab péntek délutáni keresőkifejezése, a 'virág üzlet flórián tér', egyértelműen elárulja a keresőnek, hogy aznap este a feleségét készül meglepni, amihez máris kapcsolhatóak célzott hirdetések.) Vélhetően nehezebben fog kialakulni a felhasználókban ellenérzés ezzel a problémával szemben.
Szerencsére nem az a kizárólagos megoldás, hogy az ilyen (egyébként hasznos) szolgáltatásokat elvetjük. Úgy kellene megoldani őket, hogy az információk ne hagyják el a felhasználó készülékét. Erre egy megoldásként elképzelhető, hogy a keresések, lekérdezések központi anonimizáló proxy-kon mennek keresztül (ezen az elven működik a Google Sharing), de más megoldások is lehetségesek.
További információk a szolgáltatásról videóban a tovább után, illetve infógrafika a poszt végén!
Tovább (0 hozzászólás) Anonim böngészés - csak ne a "modem életérzéssel"?
|
|
2013.07.07. 05:05:33
Gulyás Gábor
Manapság a webes megfigyelés, nyomkövetés olyannyira kifinomult már, hogy nem lehet akármilyen eszközt használnunk, ha anonim módon szeretnénk a webet használni. A legkorszerűbb anonim böngészők, mint a JondoFox és a Tor Browser Bundle, megfelelnek ennek a célnak, azonban ezek ingyenes változatainál az IP cím rejtés elég lassú általában. Így erre a célra érdemes egy gyorsabb, ingyenes anonim VPN szolgáltatást választani – így megfelelő anonimitási szint mellett értékelhető szolgáltatás sebességet is elérhetünk, ingyen. Ha valaki viszont hajlandó erre pénzt áldozni (a garantált sebesség kedvéért), érdemes megnézni a fizetős megoldásokat is: például a JondoFox esetében kb. 3000 Ft összegért 1,5GB forgalmat kapunk, amely 1 évig felhasználható.
Mennyire stabilak a böngésző ujjlenyomatok?
|
|
2013.04.15. 10:26:53
Gulyás Gábor
Ahogy az várható volt, az ujjlenyomat alapú követés csak most kezd el igazán "életre kelni" – például nem rég jelent meg egy részletes tényfeltáró cikk, és látszik, hogy a nyomkövető cégek is jól megélnek (állami támogatás nélkül is :-) ). A böngészőfüggetlen ujjlenyomat kísérlet kapcsán hívták fel a figyelmünket egy az INRIA-nál folytatott kutatásra, ami a böngésző ujjlenyomatok stabilitását kutatja: egy böngésző ujjlenyomata milyen gyorsan változik és ebből fakadóan hosszú távon mennyire követhető. (A kutatók célja az ujjlenyomat-alapú nyomkövetéssel szembeni védelem támogatása, nem a meglévő technikák tökéletesítése.)
A kutatók létrehoztak két böngésző kiegészítőt, amellyel a kutatáshoz szükséges adatokat gyűjtik:
- Firefox: https://addons.mozilla.org/en-US/firefox/addon/stopfingerprinting/?src=ss
- Google Chrome: https://chrome.google.com/webstore/detail/stopfingerprinting/kfhlgmfkolojpnmhgggilmillpcokmnb
Ajánljuk olvasóink figyelmébe, akik szívesen támogatnának egy ilyen kutatást.
Aki már ma védekezni szeretne az ujjlenyomatokkal szemben, annak ajánljuk a következő kiegészítéseket:
- FireGloves: hazai fejlesztésű, kifejezetten ujjlenyomatok ellen készült kiegészítő. Sajnos már nem frissül, de még ma is használható.
- Ghostery: általános "tracker" blokkoló kiegészítő, de mivel számos ujjlenyomatozó céget is ismer, és tiltja a kódjaikat, így ezek ellen is hatásos védelmet nyújt.
Hírek a privátszféra világából
|
|
2013.03.27. 05:19:32
Gulyás Gábor
Az utóbbi időben egészen megsokasodtak a privátszférát érintő hírek, kutatási beszámolók – most ezekről közlünk egy rövid válogatást.
Az elmúlt hét nagy hírét szinte valamennyi hírportál lehozta, miszerint a Facebook lájkok egész sokat elárulnak felhasználójukról: a kutatási eredményekben a lájkok 88%-os biztossággal differenciálják a szexuális érdeklődést homo- és heteroszexuális férfiak között (ez az érték 75% a másik nem esetén), 85%-os pontossággal pedig a politikai beállítottságot (republikánus/demokrata), vagy például 82%-os pontossággal a vallásos irányultságot (keresztény/iszlám hit). Talán azért keltette fel ennyire a média érdeklődését ez a hír, mivel kellően magas számokat sikerült az egyes jellemzők mellé állítani a kutatóknak – azonban a jelenség nem meglepő, mivel korábban is voltak már ilyen irányú, relatíve sikeresnek mondható kísérletek. Meg persze a Facebook is megél valamiből, méghozzá többek között a célzott hirdetésekből, amihez valószínűleg ilyen prediktív funkciókat is használnak.
A PET Portálon gyakran foglalkozunk a megfigyelés technikai aspektusaival. Ehhez kapcsolódóan ajánljuk olvasóinknak Bruce Schneier a CNN oldalán megjelent írását, mely az internetet egy lakosait megfigyelő államhoz hasonlítja – a téma alapvetéseként említ három friss példát, amikor az internetes médiumok a kormányzati bűnüldöző szervek segítségére voltak.
A webes megfigyeléshez és nyomkövetéshez kapcsolódóan egy friss cikk rántja le a leplet három jelentősebb piaci szereplő ujjlenyomat technikájának működéséről. (A cikk alapján számos olyan dolgot használnak ma is ezek a technikák, amiről mi is írtunk egy korábbi cikkünkben.)
Az ingyenebéd, amiért mégis (meg)fizetünk: az árcetlin mi vagyunk
|
|
2012.11.19. 05:33:14
Gulyás Gábor
Olyan, hogy ingyenebéd nem létezik. Mégis, a hirdetési ipar számos szereplője mindent megtesz, hogy ezt webfelhasználók százmillióival elhitesse – sajnos nem teljesen sikertelenül. Márpedig ezen esetekben, amikor a szolgáltatás, vagy a termék ingyenes (vagy irreálisan olcsó), szinte biztosra vehetjük, hogy az adatainkkal, szokásaink megfigyelésének engedélyezésével fizetjük meg a különbözetet. (De nem mindig van így: az Apple-nek köszönhetően nem rég láthattunk egy esetet, amikor a termék sem volt olcsó.)
Az online hirdetésipar önellentmondása
|
|
2012.11.04. 05:16:02
Gulyás Gábor
Az októberi Amsterdam Privacy Conference-n megjelent cikkjükben kutatók arra hívják fel a figyelmet (többek között), hogy az (amerikai) emberek nem szeretnék, hogy a hirdetők kövessék őket, és a többségük nem találja a hirdetéseket hasznosnak. Valószínűleg az amerikai felhasználók ezzel nincsenek egyedül. Ezzel szemben az online hirdetők egy csoportja legalább 1 millió dollár értékű lobbihadjáratot indított, hogy meggyőzze a web felhasználóit, hogy a tevékenységük értékteremtő, gazdaságilag hasznos, és semmi okuk nincs tartani a reklámok nyomkövetésétől. Érthető, hogy védekezni kezdtek, hisz ez a pénz nyilvánvalóan a dinamikuan növekedő és súlyos bevételekkel rendelkező iparág szereplőitől származik, akiknek nem érdeke a felhasználók tudatossága: amíg el tudják adni a látogatókat marketing alapanyagként, addig a bevételek is biztosítva vannak.
Operációs rendszer szintű webes követés: iOS6
|
|
2012.10.16. 22:14:09
Gulyás Gábor
A tegnapi hírcsokorhoz kiváló mobilos témájú kiegészítés, hogy az Apple az iOS6-ba egy speciális nyomkövető rendszert épített, amely megkönnyíti a készüléken folyó webes tevékenység megfigyelését. Ez a rendszer lehetővé teszi a hirdetőknek, hogy egyedileg pontosan beazonosíthassák a felhasználót, így megkönnyítve a felhasználó (ízlés) profiljának elkészítését, és célzott hirdetésekkel való bőséges "ellátását". (A követés névtelen, de valójában ez csak egy fokkal jobb, mintha névvel történne.)
Az Apple biztosra ment a funkció élesítése során. Egyrészt igyekezet elbonyolítani a kikapcsolás lehetőségét, ugyanis nem a megszokott helyre került ez a funkció és egyébként is kissé sutának tűnik, ahogy használni kell – vélhetően hasonló megfontolásból, mint ahogy a Facebook újradizájnolásánál eljártak nem rég. Másrészt alapból engedélyezve van a követés: nyilván ők is tudják, hogy a felhasználók nem szoktak az adatvédelmi beállításokkal sokat babrálni.
Nem meglepő ez a lépés. A megfigyelési technológiák igen elburjánzottak, legyen szó a hagyományosnak mondható, web poloska alapú nyomkövetésről, vagy akár az ujjlenyomat technika alapú módszerekről, amit az is jól mutat, hogy a hirdetési iparág rekordméretű bevételeket ér el. Velük karöltve az Apple egyszerre két eladást is elkönyvelhet: jelentősen magasabb áron árusítja készülékeit (a többi termékhez viszonyítva), majd pedig eladja magát a vásárlót is. De miért kell kétszer fizetni ezekért a termékekért?
Webes nyomkövető detektor és blokkoló: Ghostery
|
|
2012.10.08. 05:04:01
Gulyás Gábor
A Ghostery nevű Firefox addon eleinte csak a nyomkövetésre használt webpoloskák és egyéb eszközök jelenlétét figyelte, és ezekről értesítette a felhasználót, tehát inkább egy figyelemfelkeltő alkalmazás volt. Azonban ahogy telt az idő (sőt, még tulajdonost is váltott menet közben), átalakult, és egy komplex, vezetőnek számító blokkoló alkalmazás lett belőle, amelyet bátran javaslunk mindent Firefox böngészőt használó Olvasónk számára. Jelentős méretű adatbázisa segítségével az elterjedtebb nemzetközi és hazai követőket, auditor cégeket ismeri, és bizonyos trükköket is képes kiszűrni, például az átirányításokat. (Több cég ennek segítségével méri a rajta átfutó forgalmat, illetve így játssza ki a harmadik féltől származó sütik tiltását – hiszen így bárkiből lehet elsődleges fél.)
Ha valakinek esetleg nem lenne szimpatikus, alternatívaként esetleg a Do Not Track Plus-t tudjuk javasolni.
Az Év információvédelmi szakdolgozata - 2012: Böngészőfüggetlen rendszerujjlenyomat
|
|
2012.09.20. 16:17:16
Gulyás Gábor
Az "Év információbiztonsági szakdolgozata" pályázatra beküldött dolgozatok értékelését követően az Egyesület Bíráló Bizottsága Boda Károlynak ítélte a díjat "Böngészőfüggetlen rendszerujjlenyomat, mint webes nyomkövetési módszer kidolgozása és vizsgálata" című dolgozatáért. Továbbá az Egyesület elismerő oklevéllel díjazta Danis Mihálynak "Webes hírcsatorákban alkalmazható nyomkövetési technikák vizsgálata" című szakdolgozatát.
Mindkettőjüknek gratulálunk!
Új szakdolgozat: RSS csatorna felhasználók követése
|
|
2012.08.02. 11:49:34
Gulyás Gábor
A „webkettő” új, információ-vezérelt szolgáltatásai kétség kívül számtalan új lehetőséget hoztak az internet világába. Térnyerésüknek köszönhetően a tartalommegosztás vált a világméretű hálózat egyik fő mozgatórugójává, akár a közösségi, akár az üzleti szférát nézzük. Ez utóbbi viszont nem csak előnyöket, hanem hátrányokat is hordoz magában. Sok szervezet, cég azzal a kizárólagos céllal jött létre, hogy nyomon kövessék a felhasználókat profilírozás céljából, amelyet vagy saját maguk használnak fel, vagy pedig más cégeknek adnak el. Azonban akár egyszerű tartalomszolgáltatók esetén is megfigyelhető ez a jelenség.
Danis Mihály szakdolgozata ezen kérdéskör egy feldolgozatlan szeletét vizsgálja, hogy a webes hírcsatornák használóinak tevékenysége milyen módszerekkel követhető. Gyakorlati aspektusból is tárgyalja a kérdéskört: az elterjedtebb hírolvasókat is górcső alá veszi, illetve azt is vizsgálja, hogy az egyes módszerek hogyan sérthetik meg a felhasználók privátszféráját.
A munka hiánypótló felfedezéseket tartalmaz. Először is rámutat arra, hogy az ún. inline frame HTML elem segítségével a hírolvasók többségében a biztonsági védelem kijátszható (mint például a JavaScript blokkolás). Másrészt a szerző elvégzett egy 40 populárisabb oldalt érintő felmérést, amelyben ezek hírcsatornáit vizsgálta, s a szakdolgozatból kiderül, hogy ezek közül 11 alkalmaz követési technikát a hírcsatornájában.
A szakdolgozat a tanulmányok részen letölthető.
Így látnak minket a hirdetők (infógrafika)
|
|
2012.07.21. 11:07:40
Gulyás Gábor
A weboldalak még mindig ellenőrizhetik, merre jártunk korábban!
|
|
2012.07.04. 17:43:47
Gulyás Gábor
A history stealing lényege, hogy egy weboldal "illegális" módszekkel próbálja meg kinyerni a böngészőből az előzmények listáját, hogy azonosítsa a felhasználót, vagy hogy üzleti célból profilt készítsen róla (például kedvezőbb árakkal hatást gyakorljon rá, ha járt a konkurenciánál). A maga idején a history stealing elég elterjedt módszer volt, de mióta a Firefox befoltozta a lehetőséget (és ezt követte a többi böngészőgyártó), csak körülményesebb módszerekkel nyílt az előzmények detektálására lehetősége az egyes érdeklődő oldalaknak.
Azonban nem sikerült minden rést befoltozni. Az ún. cache-stealing segítségével weboldalak detektálhatják, hogy a látogató milyen más oldakon járt korábban, amennyiben a gyorsítótárban megtalálható az adott lap valamelyik erőforrása (pl. kép, JavaScript könyvtár). Ez például úgy működhet, hogy egy ilyen erőforrást megpróbál a detektáló algoritmus saját maga betölteni, és ha elég gyorsan sikerül, akkor feltételezi, hogy a betöltést a gyorsítótárból történt, és találatként könyveli el. Azonban az eddig ismert módszerek hátránya, hogy csak egyszer végezhető el velük a kísérlet, és a history stealinghez képest elég lassú ellenőrzést tesznek lehetővé.
Ezen sikerült javítania a cachetime írójának (2011. végén!), aki egy nem-destruktív (= ismételhető), és elég gyors cache-stealing algoritmust fejlesztett ki több böngésző alá is. Működési elve egyszerű: megpróbál egy-egy erőforrást betölteni, és mivel relatíve igen hamar kiderül, hogy a cache-ből sikerül-e betölteni, nem várja meg a teljes betöltést, hanem előbb megszakítja. Tapasztalataim alapján a demó algoritmus kb. 15-20 URL / másodperc tesztelésére alkalmas, ami elég jó, de a készítő szerint ez még tovább optimalizálható.
Az érdeklődők kedvéért készítettem az eredeti demóból egy hazai változatot, ahol három közismertebb hírportál látogatottsága tesztelhető le (Index, Origo, ATV). Nálam Firefox alatt korrektül működött.
Gary Kovacs: Tracking the trackers (Firefox Collusions)
|
|
2012.06.08. 05:29:22
Gulyás Gábor
Összefoglaló: a Do Not Track mozgalom
|
|
2012.05.10. 09:53:53
Boda Károly
Bevezető
Napjainkban a kereskedelmi weboldalak sokféle harmadik féltől származó szolgáltatást használnak profitnövelési és látogatottságnövelési célból. Hirdetések, analitikai szolgáltatások, közösségi portálok widgetei (pl. hozzászólásokat megjelenítő doboz), megosztó gombok, és a beágyazható szolgáltatások is ide tartoznak (pl. google maps).
Az ujjlenyomat védelmi módszerek anatómiája
|
|
2012.04.25. 05:17:17
Gulyás Gábor
Korábbi bejegyzéseinkben hírt adtunk az új ujjlenyomat kísérletről és a hazai fejlesztésű FireGloves kiegészítőről, és nemzetközi fejlesztésű alternatív védekezi megoldásokról is. De pontosan hogyan is működnek ezek?
Digitális ujjlenyomat: hogy rejtsük el a web elől betűkészletünket?
|
|
2012.04.18. 05:14:26
Gulyás Gábor
Már két hete volt a PET Portál által is támogatott új ujjlenyomat kísérlet sajtótájékoztató eseménye. Az új kísérlet elindítását az indokolta, hogy a korábbi kísérlet eredményeként csak azt a kérdést tudtuk megválaszolni, hogy a betűkészlet JavaScript-ből történő lekérdezése valóban elégséges információforrás a nyomkövetéshez, de azt nem, hogy ezt böngészőfüggetlen módon is meg lehet-e tenni. Mivel a kísérlettel a végső célunk nem a követési technikák népszerűsítése, hanem a védekezés hirdetése és a probléma ismertségének növelése, így egy proof-of-concept Firefox kiegészítőt is létrehoztunk, amely védelmet nyújt ilyen azonosítási technikákkal szemben (amit eddig majdnem ezer alkalommal töltöttek le).
Digitális ujjlenyomat a weben – beszámoló a nyilvános bemutató és sajtótájékoztató eseményről és háttéranyag a kutatásról
|
|
2012.04.05. 21:50:32
Gulyás Gábor
A webezőket számítógépük ujjlenyomata könnyedén azonosítja – legalábbis erre a következtetésre jutottak a BME Híradástechnikai Tanszékének fiatal kutatói.
Nem titok, be vagyunk-e lépve valamelyikre: Twitter, Facebook or Google+
|
|
2012.03.19. 12:44:10
Gulyás Gábor
Könnyen kiderítheti egy weboldal, hogy a látogatás pillanatában be vagyunk-e lépve valamelyik jelentősebb közösségi hálózatra. Az érdeklődök a kód készítésének részletek is elolvasáshatják, és maguk is kipróbálhatják a böngészőfüggetlen detektor működését.
Firefox Collusion: megmutatja a böngészésünket megfigyelők kapcsolati hálóját
|
|
2012.03.02. 19:12:13
Gulyás Gábor
A webes nyomkövetés problémájának súlyosságára kívánja felhívni a figyelmet a Mozilla Collusion privátszféra tudatosság növelő projektje. A működését jól demonstrálja az alábbi videó (de az IT café-n is lehet róla olvasni):
Az ujjlenyomat technikát nyíltan alkalmazzák webes követésre
|
|
2012.01.31. 20:50:10
Gulyás Gábor
A BlueCava nevű amerikai székhelyű cég tegnap sajtóközleményben jelentette be, hogy megoldást kínálnak az EU-ban problémát jelentő süti alapú nyomkövetés alternatívájaként: egy sütimentes, ujjlenyomat alapú megoldást. Bár a cég honlapja kínosan ügyel arra, hogy ne áruljon el túl sok technikai részletet, de annyi kiderül, hogy JavaScript alapú ujjlenyomat alapú módszerről van szó, amely a rendszert elemzi, és az alapján készít ujjlenyomatot.
Egészen pontosan a rendszerjellemzőket összegyűjti, és a cég háttérrendszeréből lekéri az adott konfiguráció ujjlenyomatát. Amely ha létezik, akkor a hozzátartozó profillal együtt lesz elérhető. Ráadásul a cég állítása szerint több platformon is működik a technika (mint például set top box és playstation), és az esetek 99%-ban képes egyedi azonosítót adni a látogatóknak. Állításuk szerint az ujjlenyomat hosszútávon is megbízható, azaz a rendszer változásaira nem érzékeny az ujjlenyomat készítési módszerük.
Az ujjlenyomat-technika nem újkeletű jelenség, először a Panopticlick projekt végzett a témában széleskörű vizsgálatot 2010 elején, majd a PET Portálon mi is indítottunk egy hasonló kísérletet, ami már közelebb áll a BlueCava cég eszközéhez. A PET Portál Ujjlenyomat projekt keretén belül arra voltunk kíváncsiak, hogy lehetséges-e magát az operációs rendszert azonosítani, és így böngészőfüggetlen módon követni a felhasználót. A kísérlet eredményeit a NordSec 2011 konferencián publikáltuk, és az ott megjelent cikk draft változata hamarosan elérhető lesz a PET Portálon – egyelőre még a kiadó dolgozik a konferenciakiadványon, és addig mi sem akarjuk közzétenni, amíg ők nem publikálják.
Jelenleg is folytatjuk az ujjlenyomatok területén a munkát: hamarosan elindítjuk az új ujjlenyomat tesztet, amelyről az érdeklődők a PET Portálon informálódhatnak majd.
UPDATE (2012-02-06): további érdekes olvasnivaló az érintett törvények elemzéséről. (Azaz miért baj, hogy a törvény csak a tárolt adatokra vonatkozik.)
Google: itt és most, csakis Önökért!
|
|
2012.01.26. 14:19:19
Gulyás Gábor
A Google egyszerűsíti adatvédelmi nyilatkozatát, melynek dedikált célja, hogy (1) a felhasználó egy egyszerűsített nyilatkozatban tájékozódhasson valamennyi Google szolgáltatás adatkezeléséről, valamint hogy (2) a szolgáltatások közötti hatékonyabb együttműködést megvalósíthassák az alkalmazásközi adatáramlással (vagyis az alkalmazások hozzáférnek egymás adataihoz). A személyes adavédelmi olvasata kicsit más az ügynek: ezzel lehetővé válik a Google számára a felhasználóinak a precízebb profilírozása, ami hatékonyabb reklámfelület értékesítést is jelent, és több bevételt.
Mindenesetre akit érdekel a hivatalos bejelentés, a lényeget összefoglaló videót megtekintheti alább.
UPDATE (2012-01-27 20:45): Bár részemről nem olvadok el a Google-nek és a Facebook-nak a felhasználó felé irányuló szeretetétől, de érthető a szolgáltatások adatkezelésének ilyen módú összevonása, ha idén valóban a közösségi média felturbózása a cél.
Nincs esély, ha nem akarjuk, hogy megfigyeljenek?
|
|
2011.11.18. 13:52:34
Gulyás Gábor
Az amerikai Carniege Mellon University kutatói 45 fő bevonásával a webes nyomkövetés (pontosabban az erre épülő hirdetés) elleni védekezésre készített eszközök használhatóságát vizsgálták. Összesen 9, böngészőkbe épülő eszközt válogattak be a vizsgálatba, melyek a beállítások alapján a felhasználót megpróbálják opt-out alapon kivonni ebből a "szolgáltatásból". A tesztjeik során azt vizsgálták, hogy a kísérleti alanyok hogyan használják ezeket az eszközöket. Végeredményben valamennyi eszközben találtak hiányosságokat:
... We found serious usability flaws in all nine tools we examined. The online opt-out tools were challenging for users to understand and configure. Users tend to be unfamiliar with most advertising companies, and therefore are unable to make meaningful choices. Users liked the fact that the browsers we tested had built-in Do Not Track features, but were wary of whether advertising companies would respect this preference. Users struggled to install and configure blocking lists to make effective use of blocking tools. They often erroneously concluded the tool they were using was blocking OBA when they had not properly configured it to do so.
(A felmérés eredményeit egy kutatási beszámolóban tették közzé, ami elérhető itt.)
További érdekesség: a témában a Stanford egyetem kutatói is készítettek felmérést a közelmúltban, melyről itt lehet olvasni.
Ajánló: mi mindennek van ujjlenyomata?
|
|
2011.10.17. 17:44:42
Gulyás Gábor
Ha a privátszféra oldaláról nézzük, az ujjlenyomat készítésének fő célja egy rövid, nagy valószínűséggel egyedi azonosító hozzárendelése egy adott eszközhöz, szoftverhez, aminek segítségével később az eszköz megfigyelhetővé, profilírozhatóvá válik. Példáért sem kell messzire látogatnunk: PET Portál ujjlenyomat projektje is hasonló céllal indult, azaz, hogy egy egyedi azonosítót rendeljen a felhasználó operációs rendszeréhez, amely segítségével böngészőfüggetlen módon lehetséges azonosítani, adattárolás nélkül.
Ajánljuk a téma iránt érdeklődő Olvasóink figyelmébe a 33 Bits of Entropy blog nemrég indult sorozatát, melyben különféle témakörökben olvashatunk az ujjlenyomatok alkalmazási lehetőségeiről. Az első bejegyzés egy rendhagyónak tűnő témát vesz górcső alá, és egyszerű papírlapok ujjlenyomatozási módszerét mutatja be. (Ez miért érdekes? Ha egy papírlap egyértelműen azonosítható, akkor a nyomtatott kérdőívek, szavazások például de-anonimizálhatóak.) A későbbi bejegyzések már elektronikus eszközök ujjlenyomatozásával foglalkoznak, mint a fényképezőgépek megkülönböztethetősége fényképeik alapján, RFID címkék együttes nyomkövetése és szkennerek és nyomtatók azonosítása.
Facebook vs. Europe
|
|
2011.10.01. 11:10:00
Gulyás Gábor
A Facebook új, nem rég bevezetett újítása, a Timeline sokak számára egyértelműbbé tette: a közösségi oldal nagy mennyiségű információt tárol felhasználóiról. Erre hívja fel a figyelmet a Europe versus Facebook csoport kezdeményezése, akik néhány tagja (egy brit jogszabályra hivatkozva) kikérte a Facebooktól a róla tárolt információkat. A válasz meglepő volt: hatalmas mennyiségű információt kaptak, amelyben számos olyan elem is volt, ami hivatalosan már törlése került, de természetesen a Facebook rendszeréből nem tűnt el (és nem is fog).
Hamarosan új tanulmány a PET Portálon!
|
|
2011.09.15. 05:06:30
Gulyás Gábor
Szeptember 22-én új tanulmányt teszünk közzé a PET Portálon: Besenyei Tamás diplomadolgozatát, melynek címe Webes tartalmakban alkalmazható szteganográfiai módszerek vizsgálata.
Egy régebbi érdekesség: meantime, követés a böngésző beállítások alapján, nyomok nélkül
|
|
2011.08.25. 11:23:13
Gulyás Gábor
Amikor egy böngésző meglátogat egy weboldalt, el kell dönteni, hogy a weboldalt újra letöltse, vagy elég, ha csak a helyi gyorsítótárból jeleníti meg azt. A meantime módszere erre az egyezkedési folyamatra épül, és az e során használt kliensoldali meta-adatok illegitim használatával operál, hogy a felhasználót perzisztens módon azonosíthatóvá tegye.
Hol az összefüggés: JavaScript sebesség és privátszféra a weben? (II. rész)
|
|
2011.08.08. 05:18:12
Gulyás Gábor
Az előző bejegyzésben saját, JavaScript sebességmérési eredményeinket ismertettük, a második részben pedig külföldi kutatók erre épülő böngészőazonosítási módszerét mutatjuk be.
Hol az összefüggés: JavaScript sebesség és privátszféra a weben? (I. rész)
|
|
2011.08.03. 05:36:21
PET Portál
Ahogy korábban a cache stealing ötlete, úgy a böngészők JavaScript alapú azonosítása is felvetődött a rendszerujjlenyomat kutatás során. Egyszerű teszteket hajtottunk végre, hogy az ötlet életképességét teszteljük; az eredményeinket alább közöljük. A bejegyzés egy kétrészes sorozat része, amelynek első részében saját kísérleteink eredményét közöljük, a másodikban pedig külföldi kutatók eredményeiről tudósítunk.
Kiút az adatvédelmi káoszból: kétlépcsős anonimizálási folyamat és differenciális adatvédelem
|
|
2011.07.27. 05:51:00
Boda Károly
Arvind Narayanan újabb bejegyzéséből megismerhetünk egy kétlépcsős adatvédelmi struktúrát és annak előnyeit, valamint ennek kapcsán Eleanor Rieffel matematikus magyarázata alapján ismertetem a differenciális adatvédelem lényegét.
Vélemény és infografika: anonimitás vs. névtelenség?
|
|
2011.07.18. 09:33:13
Gulyás Gábor
Az alábbi érdekes infografika az átláthatóságot és a névtelenséget állítja szembe egymással, egy sajátos szemszögből: ahogy az erre talán leginkább hatással lévő szereplők gondolkodnak róluk.
Az új, hivatalos webpoloskák a like, +1 és tweet gombok?
|
|
2011.05.24. 12:18:28
Gulyás Gábor
Amikor az új "lájkolós őrület" kezdődött, már felhívtuk Olvasóink figyelmét a Facebook like gomb mögötti veszélyre – konkrétan hogy ezen keresztül a Facebook megfigyel(het)i a bepoloskázott oldalon a tevékenységünk –, és ez a jelenség a sajtóban többször is felmerült már azóta. A Wall Street Journal legutóbbi felmérése szerint súlyosbodó helyzet alakult, figyelembe véve, hogy most már a Google és a Twitter is megjelent hasonló közösségi gombokkal.
Hamarosan új tanulmány érkezik, mely az anonim böngészés következő szintjét taglalja
|
|
2011.05.13. 05:27:42
Gulyás Gábor
Dargó Sándor diplomatervében egy fontos problémát járt körül: bemutatta egy lehetséges módját a tovább finomított webes identitás kezelésnek. A jelenlegi rendszerek alapvetően kétféle lehetőséget kínálnak: vagy mindent lát rólunk a meglátogatott webkiszolgáló (hagyományos böngészők, akár privát böngészésben is) vagy pedig – feltételezve egy kellően biztonságos anonim böngésző használatát – semmit (ez a teljes anonimitás állapota). Azonban vannak olyan esetek, amikor ennél kifinomultabb megoldásokra van szükségünk, és még jelenleg sem tudunk olyan anonim böngészőt ajánlani, ami ezt lehetővé tenné.
StegoWeb: adatrejtés a weben és álruhában a közösségi oldalakon!
|
|
2011.04.26. 05:21:56
Gulyás Gábor
Amikor regisztráljuk magunk egy közösségi hálózatra, vagy a webre tesszük fel a következő baráti esemény információit, joggal töprenghetünk el azon, vajon ki és mire fogja végül (a célközönségen kívül) felhasználni mindezt. Mert sajnos egyáltalán nem vagyunk az adatainknak urai. Pedig ez egyáltalán nem megoldhatatlan probléma – hazai kutatók egy bárki által kipróbálható programmal demonstrálják személyes adataink védelmének egy lehetséges megoldását.
Felhasználónevek egyedisége: honnan tudják, hogy ki vagyok?
|
|
2011.03.24. 12:00:49
Gulyás Gábor
Az azonosíthatóság fontos témakör a weben, akár a webet böngésző felhasználó tevékenységéről beszélünk, akár a róla feltöltött adatokat nézzük. Kutatók azt vizsgálták, hogy offline elérhető adatbázisokban mennyire egyértelműen köthető össze két felhasználónév, azaz mondható meg nagy valószínűséggel, hogy egy felhasználóhoz tartoznak. E mögött érthető okok húzódnak meg: az összekapcsolt felhasználók nagyobb üzleti értéket képviselnek, ráadásul így színesebbé válhat a felhasználó (reklámküldésnél felhasznált) profilja.
Fejlődik a Flash: adatvédelmi központ, általános adatkezelési API kiegészítőknek 2011-ben?
|
|
2011.01.14. 10:46:20
Gulyás Gábor
A Flashnek már sikerült felhívni magára a figyelmet a helyi adattárolásra szolgáló sütik, és a privát böngészési mód kapcsán felmerült adatvédelmi problémákkal. A problémára születtek ideiglenes megoldások, de egészen mostanáig úgy tűnt, hogy a probléma kielégítő szintű megoldása várat magára. Valószínűleg az előbbi okok, valamint a HTML5-ben megjelenő új lokális adattárolási módok körüli aggályok (gondoljunk csak az Evercookies-ra!) is előrébb mozdították a problémakeresés ügyét.
Válaszok a Firesheepre
|
|
2010.12.06. 11:26:21
Földes Ádám Máté
A Firesheep nevű Firefox-kiegészítő nagy vihart kavart a megjelenésekor: ez a szoftver volt az első olyan eszköz, amely bárki számára egyetlen klikkeléssel elérhetővé tette a nem különösképpen bonyolult, de mégis több program ismeretét és együttes használatát igénylő sütilopási művelet megvalósítását. Ismeretes, hogy a Firesheep a rejtjelezetlenül átküldött ún. viszonysütiket (session cookie) hallgatja le, míg a gyanútlan felhasználó bejelentkezve böngészik a program által ismert weboldalakon. A viszonysütik visszajátszása révén megszemélyesíthetjük a felhasználó profilját például a Facebookon, ugyanis a sütiben lévő azonosítón kívül nincs más mód a felhasználó identifikálására.
Google vs. Facebook: ne örüljünk korán!
|
|
2010.11.18. 05:40:19
Gulyás Gábor
A Google és Facebook között zajló háború végeredményében többféle kimenetelű lehet, és idő közben akár még az internet aranybányáját jelentő adatalanyok is profitálhatnak belőle. A Facebook lendülete töretlen és alaposan feladta a leckét vetélytársának: most például lett saját böngészője, sőt, várhatóan hamarosan saját levelezője kommunikációs rendszere is lesz, amivel a Gmail népszerűségét igyekszik majd csökkenteni. Mindezek mellett olvashatunk olyan véleményeket, amelyek a Facebook világuralmáról beszélnek, s elnézve a cég közösségi szolgáltatása köré integrált szolgáltatási portfóliót, valóban nem hangzik túl illuzórikusan ez a gondolat.
Google vs. Facebook: nevessünk, vagy sírjunk?
|
|
2010.11.12. 16:04:31
Gulyás Gábor
Elkezdődött az óriások háborúja: a Facebook felcseperedett, elkezdte elszívni a munkaerőt, mire (vagyis feltehetőleg ezért) a Google fizetésemelést adott dolgozóinak. Azért máshol is igyekeznek keresztbe tenni egymásnak: például nem olyan régen a Google letiltotta a Gmail kapcsolati listák kiexportálását a Facebookra, amire válaszképp a közösségi oldal egy kis kerülőt kezdett el kínálni a felhasználóinak. A nagy kérdés az, hogy ennek vajon örülhetnek a felhasználók, vagy sem? Véleményem szerint igen, itt is jól járhatunk, hasonlóan ahogy a valós piaci verseny is a vásárlók javát szolgálja. Hiszen a versenyben az egyes felek egyre inkább meg akarnak felelni a fogyasztóknak, és elképzelhetőnek tartom, hogy ez a helyzet is eredményezni fog néhány új felhasználóbarát funkciót ezeknek az óriásoknak a szolgáltatásaikban. Azonban mivel mindkét említett cégnek érdekében az áll, hogy minél több adat legyen publikus, így a jelenlegi webes privacy helyzet megoldódását nem várhatjuk ettől, de talán kicsit javulhat a helyzet.
The Guardian: biztonságos Androidért
|
|
2010.10.18. 12:27:20
Gulyás Gábor
Ahogy a mobiltelefonok beleeszik magukat a mindennapi életünkbe, egyre fontosabbá válik, hogy a rajtuk tárolt, illetve a rajtuk keresztül küldött információk biztonságban legyenek, és így a privátszféra védelme is egyre inkább előtérbe kerül. Már korábban is beszámoltunk róla, hogy voltak ilyen irányú törekvések, azonban úgy tűnik, hogy a The Guardian Project ezeket szeretné egy helyen, egy közösség által gondozottnak látni, méghozzá nyílt forráskódú alapokon és hosszú távon. Érdemes megnézni a honlapjukat az Android felhasználóknak, ahol találhatnak mobil változatra fejlesztett Tor-ral kiegészített anonim böngészőt, Jabber protokollt használó csevegő szolgáltatást, vagy akár magát a mobil Tor-t. Reméljük, hogy a kezdeményezés tovább erősödik majd, és egyre több alkalmazással találkozhatunk a weboldalaikon.
A sütik még nem tűntek el a színről: itt az evercookies!
|
|
2010.10.11. 12:03:31
Gulyás Gábor
A különféle újszerű azonosítási módszerek mellett már azt gondolhatnánk, hogy a sütiknek végleg befellegzett. Azonban a helyzet korántsem ennyire egyértelmű: itt vannak például az evercookie-k, amelyek a különféle adattárolási módszereket ötvözik, hogy minél perzisztensebb sütit hozhassanak létre.
Egy megoldás Browser History Attack ellen
|
|
2010.09.29. 13:05:27
[anonymous]
Hogy mi az a Browser History Attack? Nézd meg a kapcsolódó linket.
Könnyű azt mondani, hogy töröljed a sütiket, cache-t és az előzményeket rendszeresen. De a világon senki nem fogja ezt megtenni minden alkalommal, ha egy linken 'open in new tab'-ot nyom. Ráadásul egy csomó web alkalmazás a cache-től és a sütiktől lesz kényelmesen és gyorsan használható. Rengetegszer csukunk be egy böngészőablakot, majd vesszük ismét elő az előzményekből, hogy visszatérjünk. Kellene egy olyan megoldás, ami kevesebb kompromisszumot igényel. Szerencsére erre van mód!
Böngésző ujjlenyomat: mire lehet még jó?!
|
|
2010.09.16. 20:15:22
Gulyás Gábor
A múltkor beszámoltunk róla, hogy a böngészők ujlenyomata passzív követésre ad lehetőséget, nem csak normál, hanem privát módban is, sőt, akár átívelően az egyes normál-privát munkamenetek között. Azonban kísérleteink szerint nem csak erre lehet alkalmas, hanem akár a böngészők között átívelő követésre is! Ugyanis vannak olyan jellemzők, amelyek a böngésző programtól függetlenek, és valamennyi böngészőből is elérhetőek. Ilyen például az elérhető betűtípusok listája, vagy az IP cím.
Ezek megfelelően előkészített kombinációjából olyan egyedi azonosító állítható elő a felhasználó számára, amellyel privát módban, vagy valamennyi böngészőben egyértelműen azonosíthatóvá válik. Sőt, kísérleteink szerint az azonosítás még anonim böngészők esetén is jól működik: JondoFox esetében is jól működött az azonosítási technika! Ehhez csupán a JavaScript-et kellett engedélyezni, minden más plugin, kiegészítő maradhatott tiltott állapotban, ami más technikáknál mégis szükséges lehet.
Az érdeklődők számára készítettünk egy egyszerű demót, amit az alábbi linken lehet kipróbálni:
Megkérjük felhasználóinkat, hogy a későbbi nemzetközi átállásra való tekintettel az alábbi linkek segítségével terjesszék az oldalakat:
Magyar változat: http://tinyurl.com/ujjlenyomat
Nemzetközi változat: http://tinyurl.com/fingerprint-intl
Újabb pofon a privátszférának, itt a Google Realtime Search
|
|
2010.08.28. 10:41:34
Gulyás Gábor
Újabb fícsörökkel bővült és önálló szolgáltatásként jelent meg a Google valósidejű keresője, a Google Realtime Search. Bár a privátszféra mai állapotáért elsődlegesen az önkéntes adatszolgáltatásokon alapuló "webkettes" szolgáltatások a felelősek, de a keresők is nagy szerepet játszanak ebben a folyamatban: valahogy össze kell gyűjteni, rendszerezni kell, és el is kell tudni érni ezeket az információkat. Ahogy ezek a szolgáltatások egyre inkább a magánszféra részévé válnak, és egyre több információt publikálnak, üzleti szempontból ésszerű lépésnek tűnik a valósidejű keresőkkel való integrálásuk, ez azonban szükségszerűen a privátszféra további csökkenésével jár. (Ráadásul a Google vezetői pontosan tudják, hogy mit csinálnak, mégsem érdekli őket.) Várhatóan ez csak a "valósidejűsödési" folyamat következő lépése, és előbb-utóbb hozzá fogunk szokni, hogy amit az internetre egyszer kiraktunk, az már tényleg soha vissza nem vonható és le nem vehető, és még csak meggondolnunk sem érdemes magunkat.
Privát böngészési mód vs. böngésző ujjlenyomat
|
|
2010.08.24. 10:36:34
Gulyás Gábor
A privát böngészési mód célja kettős, nevezetesen hogy a gépet igénybevevő többi felhasználó előtt is elrejtse a privát módban végrehajtott akciók valamennyi nyomát, valamint hogy a meglátogatott weboldalak számára is viszonylagosan anonimitást nyújtson, azaz a visszatérő felhasználó újra azonosítása ne legyen lehetséges. Ahogy nem régen beszámoltunk róla, ez nem teljesen sikeres: egyes esetekben a böngészők hozzáférést engedélyeznek a régi sütikhez, de nagyobb probléma, hogy a kiegészítők adattárolását semmi nem szabályozza. Sajnos ha ezeket a problémákat ki is küszöböljük, akkor sem lélegezhetünk fel felhőtlenül.
Jön a "cursorlogger" – egyenesen a Google-tól
|
|
2010.07.31. 04:22:47
Földes Ádám Máté
Lehetséges, hogy új fejezetet nyithatunk a Google információétvágyát kielégíteni hívatott "eszközök" történetében. Az óriáscég még 2005-ben nyújtott be kérvényt a szabadalmi hivatalhoz egy olyan rendszer koncepciójával kapcsolatban, mely az egérkurzor mozgása alapján finomítaná a személyre szabott hirdetéseket. Az újítás itt az, hogy nem szükséges többé rákattintani egy linkre ahhoz, hogy a Google információt kapjon a webböngészési szokásainkról; már az is elég, ha az egérkurzorral "elmerengünk" egy szó felett. Arról nincs információ, hogy a keresőóriás mikortól tervezi a gyakorlatban is alkalmazni a rendszert – mindössze annyi bizonyos, hogy privátszféránk egy újabb rétegébe sikerült behatolniuk.
HTTPS Everywhere - biztonságosan, ahol csak lehet
|
|
2010.06.18. 18:56:42
Gulyás Gábor
A HTTPS Everywhere egy egyszerű gondolatot valósít meg: hogyha egy weboldal HTTPS-en keresztül is elérhető, akkor használjuk csak azon keresztül. A gyakorlatban ennek több akadálya lehet, például HTTP-s linkek mutathatnak a védtelen oldalra – nos, az ilyen jelenségek ellenére is kikényszeríti a kiegészítő a HTTPS használatát. (Az alkalmazás fejlesztését a HTTPS-en keresztül is elérhető Google kereső inspirálta.) A kiegészítő számos nagy szolgáltatással működik együtt, de a felhasználó saját maga is beállíthat újakat.
Rövid hír egy érdekességről: az XSUH
|
|
2010.06.14. 22:30:31
Gulyás Gábor
A rövidítés feloldva a Cross Site URL Hijacking. Ez a technika (jelenleg) csak Firefox-ban működik, és arra használható, hogy egy harmadik weboldal lekérdezze bizonyos szolgáltatásokban a felhasználói azonosítónkat. A módszer roppant egyszerű: bizonyos URL-ekben megtalálható a felhasználó azonosítója, és a Firefox hibakezelőjének átállításával ezt képes kiolvasni a támadó (voltaképp az egész URL elérhető). A támadásra egy bemutató oldal is készült. A támadás pici hasonlóságot mutat a History Stealinggel, hiszen azt is le lehet tesztelni, hogy mely weboldalakon járt (és jelentkezett be) az illető, bár itt a cél a belépett identitás meghatározása. Ahogy a közösségi oldalak terjednek, és nő a virtuális identitásunk súlya, egyre inkább várhatóak az ilyen jellegű támadások is – reméljük valamennyire még időben fény derül majd.
Videó: Anonymity, privacy and Circumvention: Tor in the Real World
|
|
2010.05.20. 11:48:46
Gulyás Gábor
Az alábbiakban Jake Appelbaum előadását hallhatjuk a SOURCE 2010 konferenciáról. Kicsit hosszú az előadás, de érdekes dolgokat említ benne, mint például hogyan alakítottak ki egy e-mail alapú Tor letöltő rendszert azon országok lakói számára, ahol a közvetlen webes letöltés le van tiltva. (A videó HD felbontásban itt kikereshető, a fóliák is megtekinthetőek külön is.)
Facebook újra: like mindenütt - de mi "nem lájkoljuk"
|
|
2010.05.01. 11:38:21
Gulyás Gábor
A legaktuálisabb újítása a Facebook-nak, hogy mindenütt lehetővé tették, hogy a felhasználóik a funkciót támogató weboldalakon rögtön kedveltté nyilvánítsanak bizonyos tartalmakat. A privátszféra oldaláról ez annyit jelent, hogy ahol beágyazzák ezeket az elemeket, akkor az ott megforduló látogatók a Facebook számára követhetőek lesznek, és ha ezek az emberek még be is vannak lépve a Facebook oldalán, akkor a követési információk egyből a profilhoz kapcsolhatóak lesznek. (Ennek működése egyszerű, és hasonló a webpoloskáékhoz, csak egy iframe tartalma kerül letöltésre.) Ráadásul úgy tűnik, hogy mindez nem csak paranoia.
Amikor a Facebook lenyomja a History Stealinget
|
|
2010.03.30. 10:35:15
Gulyás Gábor
Az utóbbi időben egész sokat foglalkoztunk a History Stealing módszerrel, és azon belül is kiemelten, hogy a legújabb kutatási eredmények szerint hogyan lehetséges ezzel a módszerrel egy vadidegen oldalnak beazonosítani a közösségi oldalon lévő profilunkat. (Emlékeztető: a böngészőben tárolt URL-ekkel ellenőrzik, hogy mely csoportok weboldalát látogattuk meg, és ezt összehasonlítják a profilokkal.) A módszer hátránya, hogy munkaigényes: egyrészt be kell gyűjteni egy közösségi oldal profil adatait, és meg kell határozni, hogy mely csoportokat (vagy egyebet) használjanak fel a beazonosításhoz. Ez azért nehéz, mert akkor jó a csoportok kiválasztása, ha a csoportba tartozás nagy valószínűségű esemény, és a teszteléshez nem kell túl sok URL-t ellenőrizni, mert az feltűnő lehet. Előnye viszont, hogy ez a módszer pontos azonosítást adhat, ráadásul egy személyes profil szintjén. Azonban úgy tűnik, hogy a Facebook szeretné megkímélni a weboldalak üzemeltetőit ettől a nehéz munkától, és újabb változtatásokat eszközölnének az adatvédelmi nyilatkozatban.
Google Analytics: opt-out a Google birodalmon kívül
|
|
2010.03.22. 14:46:36
Gulyás Gábor
Az IT café is cikkezett róla, hogy várhatóan néhány héten belül el fog készíteni a Google egy olyan böngésző kiegészítőt, amelynek segítségével a felhasználó letilthatja a Google Analytics szolgáltatást, és ezáltal a tevékenységének nyomkövetését. Korábban írtunk egy olyan Firefox kiegészítőről, ami a belépést nem igénylő Google szolgáltatásoknál tett hasonlót lehetővé – azonban ez a megoldás nem egy Google termék volt. A felhasználó privátszféráját veszélyeztető tényezőket három csoportba sorolhatjuk, ebből az egyiknek az alapját épp a Google-hez hasonló szolgáltatók adják, és ezért is érdekes a Google-nek ez a lépése.
History Stealing: közösségi platformokra továbbfejlesztve
|
|
2010.03.16. 11:07:23
Gulyás Gábor
Egy ideje követem Arvind Narayanan-nak a 33 Bits of Entropy nevű blogján megjelenő post sorozatát a History Stealing témaköréből, és ennek is köszönhetőek a kapcsolódó bejegyzések zöme (de azért nem mind). A History Stealing módszer ámbár már régen ismert, egy újszerű támadási módszer újra fény vetett rá. Ennek lényege, hogy ha ismerünk elegendő mennyiségű publikus profilt a csoport-tagságokkal együtt egy tetszőleges közösségi oldalról, akkor elég ellenőriznünk a weboldalt meglátogató felhasználónál néhány csoportok weboldalának az URL-jét, hogy a felhasználó profilját egyedileg be tudjuk azonosítani. Arvind azonban továbbfejlesztette az ötletet általánosságban a közösségi médiákra.
History Stealing bemutató: szembesülni azzal, hogy merre jártunk
|
|
2010.03.10. 15:21:28
Gulyás Gábor
A közelmúltban bemutattuk egy rövid bejegyzésben a History Stealing lényegét, illetve egy olyan újfajta támadási módszert is említettünk, amelynek segítségével jó eséllyel beazonosítható a felhasználó profilja egy közösségi oldalon. Ha valaki szeretne mélyebb betekintést tenni a böngészőjében tárolt múltjába, ajánljuk a What the Internet know about you weboldalt, illetve ha valaki szeretne egy kicsit részletesebben dokumentált tesztet is megnézni, ajánljuk figyelmébe ezt a másik oldalt. Szívesen veszünk át olvasóinktól is ajánlásokat a hozzászólások közül!
Anonim webezés mobiltelefonról
|
|
2010.03.06. 21:54:00
Gulyás Gábor
Korábban beszámoltunk a Pirni nevű alkalmazásról, ami lehetővé teszi – bizonyos korlátok között –, hogy WLAN hálózatokat hallgassunk le a zsebünkből. (Egészen friss fejlemény ezen a téren, hogy eltűntek az Apple Store-ból a lehallgatásra alkalmas programok.) Azonban jó hír, hogy a védekezésre használható technológiák között találhatunk már Android platformra elérhető alkalmazásokat, melyek segítségével lehetővé válik az anonim webezés is!
History Stealing: a totális azonosíthatóság új eszköze?
|
|
2010.02.23. 16:31:25
Gulyás Gábor
Nem rég megjelent a Linkek szekcióban egy új Firefox kiegészítő (SafeHistory), mely segítségével megakadályozhatjuk, hogy illetéktelen weboldalak felderítsék a böngészési előzményeinket (history), és ezt felhasználják a privátszféránk elleni támadásokra. Például arra, hogy azonosítsanak minket. Hogyan is működik ez a támadás?
Vissza a nyomkövetéses azonosításhoz?
|
|
2010.02.03. 10:40:32
Gulyás Gábor
A nyomkövetéses azonosítás a megfigyelési technikák egyik legrégebbi módja. Eleinte az IP címeket használták a felhasználó azonosítójaként, és a megfigyelés során összegyűlt adatokat az ehhez kapcsolódó profilban tárolták. Majd mivel a NAT elterjedt, és az IP címek egyre kevésbé voltak egyediek, ez a módszer már nem bizonyult pontosnak. Ehelyett inkább a felhasználó gépén kezdték tárolni az egyedi azonosítót, amit a szolgáltatók generáltak, erre szolgáltak a követésre használt sütik. A felhasználók tudatossága azonban egyre növekedett, és elkezdték törölni a sütiket, így más, kiegészítő technikákat kezdtek használni, mint például a Flash sütikben való tárolás vagy biztonsági másolat készítés, vagy Javascript gyorsítótárazással trükközés. Néha a szolgáltatók közötti kollaboráció sem volt kizárható (pl. Yahoo beacon-ök terjesztése), de a hirdetők vagy audit szolgáltatók is jó pozícióba kerültek, hiszen a hirdetéseken és az elhelyezett "poloskákon" (web bug) keresztül átfogó megfigyelést képesek végrehajtani az egyes oldalak között.
GoogleSharing: inkább a privátszférát választom
|
|
2010.01.24. 10:24:04
Gulyás Gábor
A Google a kínai incidens után előhozta a szokásos érveket, amivel általában a kukkoló társadalom továbbépítése mellett szoktak érvelni – ráadásul most az EU irányába lobbizik. Ez röviden így foglalható össze: a terrorizmus elleni harc miatt visszább kell venni a demokráciából, csak kisebb szabadság és privátszféra engedhető meg, és több megfigyelést, naplózást kell eltűrniük a felhasználóknak (hasonló témájú vita zajlik a reptéri ellenőrzések körül). Ahhoz ugyanis, hogy a kínai támadáshoz hasonlókat kezelni lehessen, IP címeket és egyéb érzékenyebb adatokat is tárolni szükséges. Ráadásul a Google 9-18 hónapig tárolja ezeket.
Firefox kiegészítők: vírusok, trójaik és spyware
|
|
2009.12.08. 20:19:41
Gulyás Gábor
Tudjuk, hogy egyesek szerint egyre inkább az várható, hogy mindent a weben keresztül fogunk intézni, és az elsődleges alkalmazássá a gépünkön a web böngésző válik majd. Ha ez így, ilyen formában nem is teljesül, azért a böngésző alkalmazások fontosságát nem vithathatjuk; kétségkívül fontos szerepet töltenek be mind a munkánkban és magánéletünben is, vagy ha nálunk nem is, de sokaknál igen. Vegyük figyelembe, hogy manapság a Firefox 3 az egyik legnépszerűb böngésző, így várható, hogy majd lesznek olyan vírusírók, akik erre a platformra kívánnak majd specializálódni.
Ez az én közösségi profilom, semmi közöd hozzá!
|
|
2009.11.25. 10:27:26
Gulyás Gábor
Közösségi oldalakon is érdemes lehet néhány információt titkosítani munkról, ha már másképp nem tudjuk szabályozni, hogy ki milyen adatunkhoz férjen hozzá, vagy ha esetleg nem bízunk a szolgáltatóban. Erre a problémára is kínál megoldást a PET Portál korábban bemutatot projektje a BlogCrypt Firefox kiegészítő, de más megoldásokkal is találkozhatunk, mint például a NOYB: None Of Your Business. Ezen Firefox kiegészítő készítői nem csupán egy alkalmazást tettek közzé, hanem egy publikációt is mellékeltek alkalmazásukról.
Google Dashboard: megtudhatjuk, mit tárol rólunk a Nagy Testvér
|
|
2009.11.10. 17:10:07
Gulyás Gábor
A Google Dashboard bejelentkezés után elérhető bárki adatlapján, és annak áttekintésére szolgál, hogy milyen információkat tárol rólunk a Google. Bár egyes vélemények szerint ezt a funkciót senki sem fogja használni, azért némi előnye rögtön akad: legalább tudjuk, hogy a régebben látogatott Google szolgáltatásokat mikor használtuk utoljára, milyen tevékenységeket végeztünk ott. Leginkább talán azért hasznos, mert elgondolkodunk azon, hogy mi mindent is tudnak rólunk.
BlogCrypt nyílt bétateszt!
|
|
2009.09.19. 17:00:00
Paulik Tamás
A mai nappal kezdetét veszi BlogCrypt projektünk nyílt béta fázisa. A blogcrypt.com-mal ellentétben itt nem horror stílusú weblapokat hozhatunk létre, hanem privát szféránk elé helyezhetünk egy újabb bástyát. A BlogCrypt egy olyan Firefox kiegészítés, melynek segítségével titkosíthatjuk a webre általunk felkerült blogbejegyzéseket, fórumhozzászólásokat. Ha érdekel részletesebben a project, akkor ide kattintva a project hivatalos oldalán minden információt megkaphatsz.
Titkosítsuk kliens oldalon a webes adatainkat? Igen!
|
|
2009.09.11. 11:03:36
Gulyás Gábor
A FaceCloak Firefox kiegészítő célja, hogy a Facebook-on csak a kiválasztott ismerőseinkkel ossztunk meg információkat. A működése egyszerű: bizonyos mezőket titkosítunk, úgy töltjük fel, majd pedig a kulcsot csak bizonyos ismerőseinkkel osztjuk meg.
Ugyanezt a működési elvet valósítja meg a BlogCrypt Firefox kiegészítő is, azonban ez általánosabb: akár blogokon, fórumokon, vagy más helyeken is titkosíthatjuk ezzel a módszerrel az adatainkat. A BlogCrypt első hivatalos bemutatója a Hacktivity 2009 konferencián lesz, és ugyanitt tesszük elérhetővé az első kipróbálható változatot, ami beépítve tartalmazza és támogatja AES-CBC, AES-CTR titkosítási módokat is.
Olyan, mint anonimizált adat, nem létezik?
|
|
2009.09.08. 20:31:59
Gulyás Gábor
Mostanában egyre többször merül fel a kérdés, és van, amikor már a privátszféra végét jósolgatják. Gondoljunk például arra az esetre, amikor az AOL kiadott anonimizált keresési kifejezéseket, aminek az eredménye az lett, hogy végül is csak ki lehetett deríteni, hogy kik hajtottak végre egyes kereséseket, és az AOL-nál emberek kezdték elveszíteni a munkájukat emiatt. Aztán például a Netflix anonimizált adatbázisán is végre tudtak hajtani hasonló de-anonimizáló támadást, de torrent hálózatok esetén is sikerült már pusztán a kapcsolatok struktúrjából hozzávetőlegesen az identitásra következtetni. Most pedig megjelent egy újabb riogató cikk a témában.
Rövid hír: on-line hirdetés és privátszféra-védelme
|
|
2009.09.02. 07:57:12
Gulyás Gábor
Fogyasztóvédő szervezetek egy csoportja úgy véli, hogy új védelmi mechanizmusokra van szükség az on-line privátszféra védelmét illetően, és törvényekkel is kellene védeni a felhasználókat a viselkedésük profilírozásával és a célzott hirdetésekkel szemben. A Center for Digital Democracy egyenesen úgy fogalmazott, hogy az önszabályozó próbálkozások elbuktak, ennél többre van szükség. Ezért a fogyasztóvédő szervezetek javasoltak néhány irányelvet, és készítettek egy áttekintő tanulmányt is.
Ha nekik nem is hiszünk, nem kell messzire mennünk további bizonyítékokért, gondoljunk csak a Flash sütikre (cikk a törlésükről), vagy a Know Privacy felmérésre. Talán nem is önszabályozásra van szükség, hanem nagyobb tudatosságra, hiszen a közvélemény alapjaiban meg tudná ingatni a szolgáltatókat – ha tudna arról, hogy kihasználják.
Zavar, hogy hiába törlöd a sütiket, Flash-el úgyis megfigyelnek?
|
|
2009.08.15. 10:58:37
Gulyás Gábor
Nem rég körbejárta a webet a hír: hiába törlik a felhasználók a sütiket, a Flash sütik segítségével úgyis követhetőek maradnak (nekünk ez nem volt újdonság, már több, mint egy évvel ezelőtt írtunk róla). Azoknak, akiket zavar ez a lehetőség, s tenni szeretnének ellene, az alábbi lehetőségeket tudjuk ajánlani.
Újgenerációs anonim böngészők: sütik, piték, javascript - a webes megfigyelés újabb mélységei
|
|
2009.08.14. 10:22:56
Gulyás Gábor
A következő PET Portálon is megjelenő tanulmány témája az internet böngészésének kihívásaival foglalkozik, amely cikk 2007-ben jelent meg a Híradástechnika folyóiratban. Az utóbbi időben is kurrens kérdés, hogy a webes tartalomszolgáltatók hogyan figyelik meg és követik nyomon a látogatóik tevékenységét. A napokban a Wired-en, majd az Index-en is jelentek meg cikkek ebben a témában, amelyek a Flash sütikkel foglalkoznak. Ezen belül is pontosabban az ún. pitékkel, amelyek a felhasználói tevékenység követésére alkalmas azonosítókat tartalmazó Flash sütik. Persze nem mindig, de előfordulhat az is, hogy ezekben tárolják el a követésre használt böngésző sütik biztonsági másolatát, ahelyett, hogy közvetlenül követésre használnák őket.
A kifejezés az angol PIE rövidítésből származik, ami találóan hasonlít a süti kifejezéshez (angolul cookie), és a amelynek feloldása pedig magyarul "állandó azonosító elem" lehetne, megfelelően az angol "Persistent Identification Element" kifejezésnek. Erről már másfél évvel ezelőtt írtunk a PET Portálon a Sütik, piték és a webes megfigyelés című bejegyzésünkben, és most szeretnénk olvasóink figyelmébe ajánlani a PET Portálon megjelent tanulmányt, amely ezt a témakört is érinti, de megemlít más követésre alkalmas módszereket is. A tanulmány emellett a megfigyelés ellen védelmet nyújtó technológiákkal, az anonim böngészőkket foglalkozik legfőképp, és rendszerbe is szervezi ezeket a technológiákat.
Gulyás Gábor, Schulcz Róbert: Újgenerációs anonim böngészôk
A web már régóta felvet adatvédelmi kérdéseket a látogatók számára is: bizonyos szolgáltatók megfigyelik a felhasználók tevékenységeit, követik ôket, adatbázist építenek ízlésvilágukról. Az anonim böngészôk megoldást kínálnak a felhasználóknak, elrejtik ôket a figyelô szemek elôl. A cikkben bemutatunk néhány követésre használt módszert, illetve egy új, az anonimizáló szolgáltatásokra vonatkozó konstrukciós paradigmát, majd egy ez alapján értelmezett osztályozási rendszert is az anonim böngészôk besorolásához.
A tanulmány letölthető a Tanulmányok szekció cikkei közül.
Online közösségi hálózatok és az EU
|
|
2009.07.16. 12:06:07
Gulyás Gábor
Nem régiben írtunk a Facebook adatvédelmi nyilatkozatáról, de egyébként is felvetnek az ilyen szolgáltatások érdekes kérdéseket: egyes esetekben nehézkesen tudják kezelni a felhasználók a hozzájuk közhető információkat; törlés után a képek vagy levelek nem tűnnek el azonnal; a különbözőnek feltüntetett de egy felhasználóhoz tartozó identitások összeköthetőek lesznek (akár különböző oldalakon keresztül); nem mindig szabályozható ismerettségi körön belül az egyes információk hozzáférhetősége; vagy akár ugyanez ismeretlenek felé. A listát sorolhatnánk tovább is, de ez azért már ad némi ízelítőt.
Ghostery: egy Firefox plugin, ami megmondja, ki figyel téged
|
|
2009.07.12. 08:32:46
Gulyás Gábor
A Ghostery egy nagyon egyszerű kis Firefox plugin, ami figyelmeztet, ha egy weboldalon web bugok, hirdető hálózatok "detektorai" jelen vannak. Az adott hálózatról - ha a plugin ismeri - bővebb információt kérhetünk, illetve megtekinthetjük a hozzá tartozó forráskódot is.
Facebook - a nagy testvér figyel téged
|
|
2009.06.28. 17:56:22
Gulyás Gábor
Egy érdekesség a Facebook adatvédelmi nyilatkozatából:
Facebook may also collect information about you from other sources, such as newspapers, blogs, instant messaging services, and other users of the Facebook service through the operation of the service (e.g., photo tags) in order to provide you with more useful information and a more personalized experience.
Ugyanez megjelent már az immáron magyar nyelvű adatvédelmi nyilatkozatban is (2 hete még nem volt ilyen):
A Facebook más forrásokból is gyűjthet rólad adatokat, például újságokból, blogokból, azonnali üzenetküldő szolgáltatásokból, továbbá a Facebook szolgáltatás használata közben más Facebook-felhasználóktól (pl. fénykép-megjelölések) azért, hogy még hasznosabb információkat és még jobban személyre szabott élményt biztosíthassunk neked.
Sajnos ennek az adatgyűjtésnek a célját nem említik. Hiszen nyilván nem azért gyűjtenek rólunk információkat blogokból, újságokból, hogy a szolgáltatást minél inkább személyre szabhassák: ma is egyszerűbb megkérdezni (beállítások), mint ezt csinálni. Az más kérdés, hogy a 'blogok' és 'újságok' alatt azt is értik-e, hogy web-poloskák segítségével az ottani tevékenységünk is megfigyelik.
Egy másik érdekes kérdés, hogy bizonyára nem kerültek véletlenül a listába az azonnali üzenetküldő szolgáltatások: vajon ennek mi lehet a szerepe itt?
PET-ek a hálón - már hardver formában?
|
|
2008.12.29. 13:00:50
Gulyás Gábor
A TOR hálózatok célja, hogy a elrejtsék az illetéktelenek elől a felhasználói IP címét, így megnehezítve a a felhasználói tevékenységek megfigyelését és a profilkészítés lehetőségét. Magát a TOR technológia alapgondolatát nem mondhatnánk újnak (Hiding Routing Information, 1996), de manapság egyre több helyen tudnak róla és használják. Talán éppen emiatt már időszerű volt, hogy megjelenjen ez és a hasonló PET-es technológiák hardveres formában, hasonlóan ahhoz, ahogy például tűzfalak is léteznek célhardver formában, vagy ahogy VPN-t kezelhetünk a router-eken keresztül.
Opera Mini
|
|
2008.11.30. 14:10:13
Gulyás Gábor
Az Opera Mini egy mobil telefonokra készített web böngésző alkalmazás (J2ME platform), amely ingyenes, gyors és kicsi: a gyorsasága nem csupán az alkalmazás renderelési sebességében merül ki, hanem maga a böngészés, a letöltés sebessége is gyors, akár egy mezei GPRS kapcsolaton keresztül is. Az érdeklődők a böngésző emulált változatát itt ki is próbálhatják.
Módosul a svéd „Lex Orwell”
|
|
2008.10.22. 13:17:04
Földes Ádám Máté
A svéd kormány beleegyezett a hatalmas tiltakozást kiváltó ún. FRA-törvény megváltoztatására. Az új tervezetet 2009 elején terjesztik a törvényhozás elé. Mint azt már előzőleg megírtam, az eredeti paragrafus lehetőséget adott volna az FRA nevű szervezetnek bármilyen, az ország határát keresztező, kábelen haladó kommunikáció lehallgatására, bírósági végzés nélkül is.
A web bug technológia — barát vagy ellenség?
|
|
2008.09.22. 16:02:17
Gulyás Gábor
Absztrakt
A gazdasági életben az üzleti érdekek és az agresszív marketing egyre inkább igényli a vásárlók magánéletébe való behatolást, míg a vásárlók természetesen ennek megóvásában érdekeltek. E miatt az alapvető érdekellentét miatt számos csatát vívott a két oldal egymással mind az offline, mind az online világban. A web bug kezdetben nem volt más, mint egy több fronton bevethető, új fegyver az online marketing oldalán, ám idővel az internetes felhasználók adatainak tömegesen alkalmazott, ellenőrizhetetlen, jogilag és etikailag egyaránt kifogásolható megfigyelő eszközévé vált. Mára megszülettek azok az irányelvek, szabályozások, amelyek kijelölték és részben megteremtették a web bug etikus felhasználásához szükséges korlátozásokat. Az alábbiakban a lehetséges felhasználási módok ismertetése mellett ezen irányelvek bemutatására is sor kerül, érintve a már tisztázott jogi és etikai kérdéseket, valamint azokat a területeket, amelyek még további figyelmet igényelnek.
A PET Portálon hamarosan közzé tesszük a következő tanulmányt, melynek címe „A web bug technológia — barát vagy ellenség?”. Ez a tanulmány is az Alma Mater könyvsorozatban jelent meg, a Szabad adatok, védett adatok tanulmánykötet részeként.
Következő tanulmányok:
Miután a tanulmány elérhetővé lesz a PET Portálon, következőként Tóth Csaba tanulmányát fogjuk közzé tenni, az anonim digitális pénzrendszerek átfogó vizsgálatáról, Egy ideális anonim digitális pénzrendszer címmel.
Idén ezen kívül még egy "meglepetés" tanulmányt fogunk elérhetővé tenni a PET Portálon, amely mind terjedelmében és jellegében kilóg az eddigi sorból, s az érdeklődők számára érdekes olvasmánynak ígérkezik a karácsonyi szünetre.
Beköszönt a sötét proxy-k korszaka? Két érdekesség.
|
|
2008.07.10. 12:21:10
Gulyás Gábor
Legutóbb a vészharangot egy DNS sebezhetőség kapcsán kongatták meg a szakemberek világszerte, amely gyengeség jelenleg nyilvános részleteiről a hazai sajtó is tudósított. A probléma lehetővé teszi, hogy a DNS adatbázis mérgezésével (hamis információkkal való feltöltésével) rosszindulatú felek elérjék, hogy a felhasználó tudta nélkül a saját szervereikre irányítsák. Szakmai információkat még nem hoztak nyilvánosságra, de állítólag az augusztus elejei Black Hat konferencián ezt is bepótolják, bár a hibát felfedező szakember előadásáról még nincsenek kint információk.
A PET rendszereket is érinthetik ezek a gyengeségek. Ilyen sebezhetőségek mellett könnyen lehet például az anonimizáló rendszereket kompromittálni, egyszerűen csak a belépő proxy-k címének "felülírásával". Mialatt a felhasználó mit sem sejt, sőt, abban a hitben él, hogy anonim, követhetetlen, profilozhatatlan. Pedig épp ellenkezőleg.
Hasonló, de már inkább privacy vonatkozású eset az év elején kiderült Flash gyengeség, amelyet kihasználva a támadó fél átállíthatja a felhasználó routerét, és ráveheti, hogy tetszőlegesen proxy-n irányítsa át a forgalmat, valamint ez esetben is meg tudja hamisítani a DNS információkat! Ez esetben - PET-ek szempontjából - sokkal érdekesebb problémával állunk szembe, hiszen így a teljes internet forgalmunk eltéríthető, módosítható és elemezhetővé válik. Ezen problémáról itt található egy leírás, sőt, proof-of-concept demó is! (Az előbbi cikk szerzői egy FAQ -t is készítettek.)
A gyengeség kihasználásához semmi másra nincs szükségünk mint a belső hálózati számítógépre telepített Flash lejátszóra, és arra, hogy a router-en be legyen kapcsolva az UPNP funkció! További részletek elérhetőek az említett címen.
W3C - P3P protokoll az adatbiztonságért
|
|
2008.06.26. 03:26:10
Fehér Iván
A World Wide Web Consortiumnak (W3C) egy olyan technológiája, melynek révén az Internet felhasználói több eszközt kapnak személyes adataik védelmére. A konzorcium együttműködési ülése módot adott ügyvédeknek és cégeknek, hogy javaslataikkal hozzájáruljanak a Platform for Privacy Preferences Project (P3P) fejlesztéséhez.
A svéd kormány mindenkit lehallgatna?
|
|
2008.06.22. 17:44:49
Földes Ádám Máté
A svéd kormány egy „furcsa” törvény elfogadására készül. Svédországban 2009-től – ha június 17-én elfogadják a törvényjavaslatot – az FRA (Försvarets Radioanstalt, kb. Honvédelmi Rádióintézet) nevű, a nemzetbiztonsági szolgálatok alá tartozó szervezet a svéd országhatáron átmenő bármilyen kommunikációt lehallgathat, bírósági végzés nélkül. (Pontosabban az „újítás” csak a kábelen haladó információk vizsgálatának joga, a vezeték nélküli rendszerek lehallgatásához már eddig is biztosított volt a jog.)
Anonimizáló webes szolgáltatások és összehasonlításuk
|
|
2008.06.17. 12:34:44
Gulyás Gábor
Ha az Olvasó számára nyitott kérdés, hogy miért léteznek ilyen szolgálatások, javasoljuk, hogy olvassa el webes szférát övező veszélyeket is taglaló, honlapunkról letölthető anonim böngészőkről szóló tanulmányt. Ebben a bejegyzésben az anonimbizáló webes szolgáltatások egy lehetséges kategorizálási lehetőségére mutatunk rá.
Anonim-e az anonim böngésző?
|
|
2008.04.16. 08:24:36
PET Portál
A web privátszférát érintő kérdésere - természetesen a felszámolandó problémát tekintve - számos megoldás létezik. A hálózati anonimizáló és szűrő megoldások mellett ide sorolhatunk olyan kiegészítő védelmi technikákat, amelyek nem közvetlenül a hálózati privátszférát érintik, mint például a spyware eltávolító és szűrő programok; hiszen a kémprogramok egy része hajlamos a böngészési előzmények, sütik között is keresgélni. Azonban teljeskörű védelmet - a hálózatot érintő privátszféra védelem tekintetében - csak az anonim böngészők kínálnak.
A PET Portálon hamarosan közzé tesszük a következő tanulmányt, melynek címe „Anonim-e az anonim böngésző? Technológiák és szolgáltatások elemzése”. A tanulmány a web privátszférát érintő kérdéseinek elemzésén túl bemutatja az anonim böngészők világát, és összehasonlító módon elemez néhány szolgáltatást, amely segíthet az érdeklődőknek a szolgáltatások közötti eligazodásban, a megfelelő böngésző kiválasztásában. Ez a tanulmány is az Alma Mater könyvsorozatban jelent meg, és amelyekből a későbbiekben további, technológiai vonatkozású írást a PET Portálon is letölthetővé kívánunk tenni.
Sütik, piték és a webes megfigyelés
|
|
2008.03.16. 18:23:51
Gulyás Gábor
A web indulásának elején alapvető probléma volt, hogy a weboldalak állapotmentesek voltak, azaz nem tároltak információkat a látogatásról, az elvégzett műveletekről, mindig ugyanabban formában jelentek meg. A sütiket (cookie) a web statikus mivoltának enyhítésére találták ki: a sütik a látogató számítógépén tárolt információk, melyeket a weboldal látogatása elején automatikusan megkap a weboldal. Szerencsére minden oldal csak azokhoz a sütikhez fér hozzá, amelyeket a saját címére vannak elmentve; hogy az oldalak ne tudjanak a sütiken keresztül egymásnak üzenni, egy oldal csak saját magának menthet el sütiben információt.
Sütiket azonban nem csak akkor menthet el egy webes kiszolgáló, ha őt látogatjuk meg, elég, ha beágyazzák egy hirdetését egy oldalba. Erre sincs feltétlenül szükség, az ún. web poloskák (web bug) speciális 1x1 pixeles, láthatatlan hátterű kis képek, amelyeket észre sem lehet venni, de lehetővé teszik az őket megosztó webes kiszolgáló számára, hogy kövessenek minket.
A weboldal megnyitásával automatikusan letölti a böngészőnk a beágyazott poloskát is. A poloskán keresztül kapunk egy egyedi azonosítót, és a későbbiekben ezen keresztül azonosít a poloskával minket megfigyelő szolgáltató, aki azt is mindig tudja, hogy milyen oldalt nyitottunk meg, amelyen a poloska szerepelt. Így naplózni tudja tevékenységünk, amely alapján profilt készíthet rólunk. A profilt számos számunkra előnyös, de jó néhány kellemetlen dologra is fel lehet használni, mint például: kaphatunk személyes ízlésvilágunkra szabott tartalmat és funkcionalitást, de célzott hirdetéseket vagy épp dinamikus árlistát. A web poloskák szűrésére és detektálására használható a PET Portál sajtóbemutatóján is ismertetett program, az Internet Explorer böngészőbe telepíthető Bugnosis .
Hasonlóan a sütik analógiájára, a Flash 6 óta elérhetőek az ún. LSO-k (Local Shared Object, helyben tárolt megosztott objetum), melyekben a flash-ben írt programok tárolhatnak információkat. Ezeket első sorban sütikhez hasonlóan munkamenet azonosítók, vagy egyéb hasznos információk tárolására szántak, mint például pontszámok, szintidők, vagy éppen a már megjelenített hirdetések azonosítóinak tárolására.
Az LSO-k segítségével a sütiknél leírtakhoz hasonlóan lehetőség nyílik a nyomkövetésre, hiszen manapság teljes természetesnek számít, hogy a webes portálokon tömérdek Flash reklámba botlunk, lépten-nyomon. Az angol szakirodalomban a követésre használt LSO-kat épp PIE (Persistent Identification Element, megmaradó azonosító elem) elnevezéssel illették. (Ha az angolul cookie-nak hívott találmányt sütinek fordította a szakma, akkor a véletlenül PIE-nak nevezett elem helytálló fordítása a pite.)
Mit tehetünk? A Firefox böngésző használóinak az LSO-k kezelésére ad lehetőséget az Objection kiterjesztés, mellyel a sütikezelő megoldásához hasonlóan törölhetjük a Flash programok által mentett adatokat, de segítségével az is kiderül, hogy merevlemezünkön hol tárolja a Flash lejátszó ezeket az adatokat. A Macromedia oldalán keresztül elérhetünk egy kezelőfelületet, amelyben például letilthatjuk az LSO-kat véglegesen is.
További olvasnivaló:
Az USA kormányszerveinek szabad hozzáférést szeretne biztosítani az emailekhez és a webkeresési adatokhoz
|
|
2008.02.16. 22:53:57
[anonymous]
Az amerikai titkosszolgálat vezetője, Mike McConnell új, az interneten folyó adatforgalom megfigyelésével kapcsolatos szabályrendszer kidolgozásán dolgozik. A tervek szerint a kormányzati szervek hozzáférési joga rendkívül széles körű lenne. Amellett, hogy az ilyen természetű változások komoly hatással lehetnek a személyi szabadságjogokra, köztük a magánszféra védelmére, arra kell felhívni a figyelmet, hogy míg a „rosszfiúknak” szinte minden eszközük megvan arra, hogy tevékenységüket és kommunikációjukat elrejtsék az őket figyelők elől, addig az ártatlan és a PET-technológiában járatlan internethasználó a megfigyelés tárgyává válik.
Új jelszó 
Regisztráció 
