Összesen 25 találat.
Érdekes kísérletet hajtott végre Sarah A. Downey, amikor a személyes genetikai kockázataira volt kíváncsi. Úgy kereste fel a 23andme nevű céget, hogy a DNS elemzéshez szükséges minta és az ő személye közötti kapcsolatot elfedte, tartva attól, hogy az elemzés végeredménye a USA kormánya kezébe kerülhet. Az akcióhoz álnevet használt, és anonim böngészési eszközökkel kereste csak fel a cég weboldalát (a jelentkezés során és az eredmények megtekintésekor is):
First, any time I went to 23andMe’s site, I used a few privacy tools, including a Virtual Private Network (VPN) service. ... Then I opened a new Firefox window in Private Browsing mode while running DoNotTrackMe, a tracker-blocker, and MaskMe, an add-on that creates aliases of your contact and payment information, and went to 23andMe’s website.
[...]
I put a kit in my shopping cart and was asked to provide a name for it, so I gave a fake one. When filling out shipping information, I re-entered the same fake name and gave Abine’s address. I was able to do this because A), I actually work there and would get the package; and B), any virtual cards created in MaskMe automatically have Abine’s address as the card’s billing address.
I used MaskMe to create a new alias email address and auto-fill with my masked phone number. Both of these aliases forward to my real information, so I knew I’d still get email confirmations and phone calls. For billing, I again gave my fake name and Abine’s address, then generated a “Masked Card” in the amount of the testing kit.
Ügyes, és egyéb esetben tényleg nagyszerű eszköz lehet a MaskMe (nem rég írtunk róla), de azért több mindenre oda kell figyelni genetikai elemzéskor.
Bármilyen plusz információ ugyanis nyomra vezethet a minta tulajdonosának megtalálásában. Egy esetben például egy kb. 500 fő anonim DNS mintáját tartalmazó csoport 42%-át tudták újra beazonosítani (97% pontossággal), mert a résztvevők megadtak néhány demográfiai adatot (nem, születési dátum, irányítószám – csak úgy, mint egy "aluljárós kutatásban" :-) ), amelyek nyilvános forrásokból visszakereshetőek voltak. Éppen ezért ügyelni kell az ilyesmire, mint például a szállítási címre is, hogy az kellően sok emberhez tartozhasson potenciálisan (így pl. a hölgy esetén a cég nevére/címére történő rendelés nem volt túl szerencsés).
Egy másik érdekes kutatás arra hívja fel a figyelmet, hogy egy illető DNS mintájának a jelenléte akkor is kimutatható egy "vegyes mintából", ha az összességében csak 0,1%-ot tesz ki belőle. Bizonyos esetkben is segíthet a deanonimizálásban, például ha egy adott helyszínről származó mintáknál kell megmutatni, hogy akit keresnek, szintén jelen szokott lenni – bár ez már inkább az extrém eset, és csak az érdekesség kedvéért említem.
Dinamikus árazásról például akkor beszélhetünk, amikor a profitnövelés céljából egy üzletben (például webshopban) a fogyasztók eltérő árakkal találkoznak attül függően, hogy az eladó mennyire tartja őket tehetősnek. Bár ezen beszámoló alapján úgy tűnhet, hogy ez egy nemlétező jelenség, és helyette átláthatatlan kuponrendszerekben találkozhatunk csak efféle diszkriminációval.
Az IT café azonban egy ennek ellentmondó kutatásra hívja fel a figyelmet: igenis létezik a gyakorlatban a dinamikus árazás, és leginkább a böngészési előzmények, illetve a tartózkodási helyünk határozza meg, hogy milyen árakkal találkozunk egy webáruházban. (Ami nem olyan meglepő, hiszen a böngészési előzményeket kicsit tágabb értelmbe véve, a célzott hirdetéseknél felhasznált profilok kellőképpen alkalmasak erre a felhasználásra is.)
Akit érdekel a téma, illetve hogy milyen árak szerepelnek másoknál egy adott webshopban, annak érdemes kipróbálni a kutatók kísérleti pluginjeit, amivel ez utóbbit ellenőrizni lehet. Illetve ennek feltelepítésével hozzá is lehet járulni a dinamikus árazás elterjedtségét felmérő kísérlet adatgyűjtéséhez is.
A végére egy vicces videó: nem mindenki örül, ha nem igazságos a fizetés. :-)
A Privacyfix egy Firefox, illetve Chrome kiterjesztés, amely segíthet a felhasználónak a megfelelő adatvédelmi beállításokat megtalálni. A témával ismerkedők számára kiváló játékszer, de haladóknak kissé túl ambíciózusnak tűnhet: nem működik együtt más kiterjesztésekkel, és ő maga akar megoldani minden problémát (pl. reklámok blokkolását akkor is, ha van fent ilyen célú kiterjesztés). Mindenesetre arra kiváló alkalmazás lehet számukra is, hogy felhívja a figyelmet a még le nem fedett, problémás területekre, mint például a megfelelő Facebook beállítások használata, alkalmazások korlátozása.
Az "Év információbiztonsági szakdolgozata" pályázatra beküldött dolgozatok értékelését követően az Egyesület Bíráló Bizottsága Boda Károlynak ítélte a díjat "Böngészőfüggetlen rendszerujjlenyomat, mint webes nyomkövetési módszer kidolgozása és vizsgálata" című dolgozatáért. Továbbá az Egyesület elismerő oklevéllel díjazta Danis Mihálynak "Webes hírcsatorákban alkalmazható nyomkövetési technikák vizsgálata" című szakdolgozatát.
Mindkettőjüknek gratulálunk!
A böngészőprogramok JavaScript API-ja lehetővé teszi tartalmak elérését az oldal újratöltése nélkül, az ezt megvalósító technikák közös elnevezése AJAX (Aszinkron JavaScript és XML). A lekérések (POST, GET) ugyanúgy URL-eken keresztül történnek, mint szinkron esetben, azonban a szerver válaszát a lekérést indító JavaScript program kapja meg, és dolgozza fel.
A webezőket számítógépük ujjlenyomata könnyedén azonosítja – legalábbis erre a következtetésre jutottak a BME Híradástechnikai Tanszékének fiatal kutatói.
A webes nyomkövetés problémájának súlyosságára kívánja felhívni a figyelmet a Mozilla Collusion privátszféra tudatosság növelő projektje. A működését jól demonstrálja az alábbi videó (de az IT café-n is lehet róla olvasni):
A legtöbben valószínűleg erre azt a választ adnák, hogy semennyiért, nem eladó. A valóság mégis mást mutat, elég csak a Facebook-ra utalnunk, ahol az emberek – habár közvetett módon, de – mégis ezt teszik: kiárusítják kapcsolatrendszerüket a Facebook-nak, aki azt hirdetőknek értékesíti tovább, és cserébe egy kommunikációs-közösségi platformot szolgáltat a felhasználóinak. Ajánljuk Olvasóink figyelmébe ezt a tanulmányt, amely épp ezt a kérdést elemzi: hogyan reagálnak az emberek, ha pénzről vagy szolgáltatásokról van szó az adatokért cserébe. Hiszen ez a kérdés egyre aktuálisabb, és bár formálisan az emberek meglehetősen drágán vagy egyáltalán nem adnák el privát adataikat, sajnos ebből a tanulmányból is kiderül, hogy ha ellenszolgáltatásról van szó, akkor inkább "filléres kiárusításról" beszélhetünk.
Az amerikai Carniege Mellon University kutatói 45 fő bevonásával a webes nyomkövetés (pontosabban az erre épülő hirdetés) elleni védekezésre készített eszközök használhatóságát vizsgálták. Összesen 9, böngészőkbe épülő eszközt válogattak be a vizsgálatba, melyek a beállítások alapján a felhasználót megpróbálják opt-out alapon kivonni ebből a "szolgáltatásból". A tesztjeik során azt vizsgálták, hogy a kísérleti alanyok hogyan használják ezeket az eszközöket. Végeredményben valamennyi eszközben találtak hiányosságokat:
... We found serious usability flaws in all nine tools we examined. The online opt-out tools were challenging for users to understand and configure. Users tend to be unfamiliar with most advertising companies, and therefore are unable to make meaningful choices. Users liked the fact that the browsers we tested had built-in Do Not Track features, but were wary of whether advertising companies would respect this preference. Users struggled to install and configure blocking lists to make effective use of blocking tools. They often erroneously concluded the tool they were using was blocking OBA when they had not properly configured it to do so.
(A felmérés eredményeit egy kutatási beszámolóban tették közzé, ami elérhető itt.)
További érdekesség: a témában a Stanford egyetem kutatói is készítettek felmérést a közelmúltban, melyről itt lehet olvasni.
A Facebook új, nem rég bevezetett újítása, a Timeline sokak számára egyértelműbbé tette: a közösségi oldal nagy mennyiségű információt tárol felhasználóiról. Erre hívja fel a figyelmet a Europe versus Facebook csoport kezdeményezése, akik néhány tagja (egy brit jogszabályra hivatkozva) kikérte a Facebooktól a róla tárolt információkat. A válasz meglepő volt: hatalmas mennyiségű információt kaptak, amelyben számos olyan elem is volt, ami hivatalosan már törlése került, de természetesen a Facebook rendszeréből nem tűnt el (és nem is fog).
Szeptember 22-én új tanulmányt teszünk közzé a PET Portálon: Besenyei Tamás diplomadolgozatát, melynek címe Webes tartalmakban alkalmazható szteganográfiai módszerek vizsgálata.
Amikor egy böngésző meglátogat egy weboldalt, el kell dönteni, hogy a weboldalt újra letöltse, vagy elég, ha csak a helyi gyorsítótárból jeleníti meg azt. A meantime módszere erre az egyezkedési folyamatra épül, és az e során használt kliensoldali meta-adatok illegitim használatával operál, hogy a felhasználót perzisztens módon azonosíthatóvá tegye.
Amikor az új "lájkolós őrület" kezdődött, már felhívtuk Olvasóink figyelmét a Facebook like gomb mögötti veszélyre – konkrétan hogy ezen keresztül a Facebook megfigyel(het)i a bepoloskázott oldalon a tevékenységünk –, és ez a jelenség a sajtóban többször is felmerült már azóta. A Wall Street Journal legutóbbi felmérése szerint súlyosbodó helyzet alakult, figyelembe véve, hogy most már a Google és a Twitter is megjelent hasonló közösségi gombokkal.
Dargó Sándor diplomatervében egy fontos problémát járt körül: bemutatta egy lehetséges módját a tovább finomított webes identitás kezelésnek. A jelenlegi rendszerek alapvetően kétféle lehetőséget kínálnak: vagy mindent lát rólunk a meglátogatott webkiszolgáló (hagyományos böngészők, akár privát böngészésben is) vagy pedig – feltételezve egy kellően biztonságos anonim böngésző használatát – semmit (ez a teljes anonimitás állapota). Azonban vannak olyan esetek, amikor ennél kifinomultabb megoldásokra van szükségünk, és még jelenleg sem tudunk olyan anonim böngészőt ajánlani, ami ezt lehetővé tenné.
Amikor regisztráljuk magunk egy közösségi hálózatra, vagy a webre tesszük fel a következő baráti esemény információit, joggal töprenghetünk el azon, vajon ki és mire fogja végül (a célközönségen kívül) felhasználni mindezt. Mert sajnos egyáltalán nem vagyunk az adatainknak urai. Pedig ez egyáltalán nem megoldhatatlan probléma – hazai kutatók egy bárki által kipróbálható programmal demonstrálják személyes adataink védelmének egy lehetséges megoldását.
A Firesheep nevű Firefox-kiegészítő nagy vihart kavart a megjelenésekor: ez a szoftver volt az első olyan eszköz, amely bárki számára egyetlen klikkeléssel elérhetővé tette a nem különösképpen bonyolult, de mégis több program ismeretét és együttes használatát igénylő sütilopási művelet megvalósítását. Ismeretes, hogy a Firesheep a rejtjelezetlenül átküldött ún. viszonysütiket (session cookie) hallgatja le, míg a gyanútlan felhasználó bejelentkezve böngészik a program által ismert weboldalakon. A viszonysütik visszajátszása révén megszemélyesíthetjük a felhasználó profilját például a Facebookon, ugyanis a sütiben lévő azonosítón kívül nincs más mód a felhasználó identifikálására.
Az internetes zaklatás (cyber-bullying) egyre nagyobb figyelmet kap. A fiatalok jelentős hányada szenvedi el legalább egyszer és sokan rendszeresen. Igen, az alkalmi eseteket is belesoroljuk! (bully: erőszakoskodik, kínoz, megfélemlít, terrorizál, zsarnokoskodik) Több fiatal öngyilkos lett ezek következtében [1].
A gyakori típusok: személyiséglopás; sértő, fenyegető üzenetek, telefonhívások; gyűlölködő weboldalak. Személyiséglopás pl. más nevében pizzát rendelni, vagy az ismerőseitől pénzt kölcsönkérni (a zaklató bankszámlájára).
A Google és Facebook között zajló háború végeredményében többféle kimenetelű lehet, és idő közben akár még az internet aranybányáját jelentő adatalanyok is profitálhatnak belőle. A Facebook lendülete töretlen és alaposan feladta a leckét vetélytársának: most például lett saját böngészője, sőt, várhatóan hamarosan saját levelezője kommunikációs rendszere is lesz, amivel a Gmail népszerűségét igyekszik majd csökkenteni. Mindezek mellett olvashatunk olyan véleményeket, amelyek a Facebook világuralmáról beszélnek, s elnézve a cég közösségi szolgáltatása köré integrált szolgáltatási portfóliót, valóban nem hangzik túl illuzórikusan ez a gondolat.
A különféle újszerű azonosítási módszerek mellett már azt gondolhatnánk, hogy a sütiknek végleg befellegzett. Azonban a helyzet korántsem ennyire egyértelmű: itt vannak például az evercookie-k, amelyek a különféle adattárolási módszereket ötvözik, hogy minél perzisztensebb sütit hozhassanak létre.
A privát böngészési mód célja kettős, nevezetesen hogy a gépet igénybevevő többi felhasználó előtt is elrejtse a privát módban végrehajtott akciók valamennyi nyomát, valamint hogy a meglátogatott weboldalak számára is viszonylagosan anonimitást nyújtson, azaz a visszatérő felhasználó újra azonosítása ne legyen lehetséges. Ahogy nem régen beszámoltunk róla, ez nem teljesen sikeres: egyes esetekben a böngészők hozzáférést engedélyeznek a régi sütikhez, de nagyobb probléma, hogy a kiegészítők adattárolását semmi nem szabályozza. Sajnos ha ezeket a problémákat ki is küszöböljük, akkor sem lélegezhetünk fel felhőtlenül.
Egy, a Stanford Universityn lefolytatott kutatás eredményeképp kiderült: a minden modern böngészőben – más-más néven – elérhető „privát böngészés″ funkció nem nyújt teljeskörű védelmet; a böngésző ebben az üzemmódban is hagy maga után perzisztens adatokat. A cikkből kiderül, hogy bármilyen böngészőszoftvert használjon is az ember, a „pornómód″ néven is emlegetett privát böngészési munkamenet során lehetséges a merevlemezre olyan adatokat írni, melyek nem törlődnek a böngésző bezárása után. Ezen kívül nem biztosított a privát és a publikus munkamenetek szeparációja: a Safari böngészőben például privát böngészés módban is elérhetőek a publikus módban eltárolt sütik. Ugyanakkor az is kiderül, hogy a fő veszélyforrások között továbbra is megtalálhatóak a kiegészítők és beépülőmodulok, mivel ezek általában nem figyelik, hogy milyen módban fut a böngésző.
Sokáig egyébként a Flash sütik voltak a leghírhedtebbek a privátszfére ilyen jellegű megsértése terén, mindazonáltal az Adobe felismerte a problémát, és a Flash plugin alkalmazkodik az őt futtató böngésző üzemmódjához, és az újabb verziók nem hagynak maguk után sütiket, ha a privát böngészés mód aktív. Akik valamiért egy régi pluginverziót kénytelenek használni, azok FireFox alatt kipróbálhatják a BetterPrivacy kiegészítést, melyben beállítható, hogy a böngésző bezárásakor automatikusan törlődjenek a Flash sütik.
A Safari böngésző egy súlyos biztonsági hiányosságáról blogolt Jeremiah Grossman, a WhiteHat Security vezetője. A szakember azt állítja, hogy egy, az inkriminált böngészőt futtató felhasználó személyes adatait (pl. nevét, munkahelyét, e-mail címét) bizonyos körülmények közt akkor is meg tudja szerezni, ha ezen információkat a felhasználó sosem adta meg böngészés közben. A támadáshoz videós illusztráció is fellelhető.
Lehetséges, hogy új fejezetet nyithatunk a Google információétvágyát kielégíteni hívatott "eszközök" történetében. Az óriáscég még 2005-ben nyújtott be kérvényt a szabadalmi hivatalhoz egy olyan rendszer koncepciójával kapcsolatban, mely az egérkurzor mozgása alapján finomítaná a személyre szabott hirdetéseket. Az újítás itt az, hogy nem szükséges többé rákattintani egy linkre ahhoz, hogy a Google információt kapjon a webböngészési szokásainkról; már az is elég, ha az egérkurzorral "elmerengünk" egy szó felett. Arról nincs információ, hogy a keresőóriás mikortól tervezi a gyakorlatban is alkalmazni a rendszert – mindössze annyi bizonyos, hogy privátszféránk egy újabb rétegébe sikerült behatolniuk.
Az IT café is cikkezett róla, hogy várhatóan néhány héten belül el fog készíteni a Google egy olyan böngésző kiegészítőt, amelynek segítségével a felhasználó letilthatja a Google Analytics szolgáltatást, és ezáltal a tevékenységének nyomkövetését. Korábban írtunk egy olyan Firefox kiegészítőről, ami a belépést nem igénylő Google szolgáltatásoknál tett hasonlót lehetővé – azonban ez a megoldás nem egy Google termék volt. A felhasználó privátszféráját veszélyeztető tényezőket három csoportba sorolhatjuk, ebből az egyiknek az alapját épp a Google-hez hasonló szolgáltatók adják, és ezért is érdekes a Google-nek ez a lépése.