UGROŽAVANJE PRIVATNOSTI

Netko nas promatra

Pitate li se koje informacije vaše računalo šalje u svijet dok bezbrižno surfate? Kakve podatke vaš internetski pretraživač ostavlja na različitim web-stranicama i na koje ih sve načine mogu iskoristiti njihovi vlasnici?

PIŠE MIHOVIL IVANIĆ

Oko te teme vode se razne polemike, a ima i mnogo nejasnoća. Tko nas zapravo prati i koje informacije skuplja o nama? Kako iskorištava te informacije? Podiže li se oko cijele te priče nepotrebna pompa ili zaista trebamo brinuti? To su tek neka od pitanja koje si barem jednom postavlja sigurnosno osviješteni korisnik.
Web 2.0 označio je prekretnicu u web-tehnologiji i predstavio koncept u kojemu korisnici interneta više nisu puki konzumenti usluga ili informacija već aktivno sudjeluju i u kreiranju online sadržaja. No, tehnike programiranja za Web 2.0 ujedno su omogućile razvojnim inženjerima da o korisnicima doznaju puno više informacija negoli dotad. IP adrese, kolačići (cookie), web-beacons ili web-bugs te digitalni otisci naših računala elementi su koji vanjskim entitetima omogućuju mapirati naše surferske navike pa nas i prate na taj način.

Špijunski kolačići
Prije negoli se počnemo baviti specifičnostima vezanima za kolačiće, mrežne bube i digitalne otiske, razjasnimo neke terminološke detalje. Kada unutar svog web-pretraživača pristupite nekoj web-stranici kažemo da ste s njom započeli web-sesiju. To traje sve dok se ne maknete s tog weba. Sesija može biti nešifrirana (koristi se HTTP protokol, a podaci se prenose u jasnom tekstu) ili šifrirana (najčešće uz pomoć SSL ili TLS protokola odnosno X.509 standarda). HTTP je stateless protokol što znači kad pretraživač pošalje web-poslužitelju vaš prvi pa onda i drugi zahtjev web-poslužitelj nikako ne može znati da ta dva zahtjeva dolaze s istog računala i što se njega tiče, drugi s onim prvim nema veze. Unutar HTTP protokola jednostavno nema mehanizma na temelju kojega bi web-poslužitelj mogao povezati dva takva zahtjeva.
Tu u priču ulaze web-kolačići zahvaljujući kojima poslužitelj zna koje su bile vaše preference tijekom prethodne komunikacije. Želite li otkriti kako rade kolačići posjetite neku online-trgovinu bez logiranja, stavite u svoju košaricu određene proizvode, resetirajte računalo pa opet otvorite istu web-stranicu i u košarici će vas dočekati isti artikli. Pitate li se kako web zna što ste tijekom prethodne veze imali u košarici iako se niste identificirali - odgovor su web-kolačići. Štoviše, bez sesijskih web-kolačića već pri odabiru checkout opcije web-poslužitelj bi vašem pretraživaču vratio praznu košaricu jer što se njega tiče checkout je novi zahtjev koji nema veze s prethodnom komunikacijom (HTTP je stateless protokol). Sesijski web-kolačići, za razliku od trajnih persistent web-kolačića, egzistiraju samo tijekom konkretne sesije.

Velika većina web-stranica na temelju kolačića broji i svoje unique posjetitelje. Pri prvom posjetu pretraživač pohranjuje na disk first-party kolačiće i vi ste zabilježeni kao unique visitor. Dok god je taj kolačić tu pohranjen, web-stranica vas neće zabilježiti kao novog unique posjetitelja. Ako pak odmah uklonite kolačić već kod sljedećeg posjeta bit ćete zabilježeni kao novi, dotad na tom webu neviđeni posjetitelj. Web-stranice se često vrednuju na temelju unique posjetitelja, a ne prema sveukupnom broju posjeta.



Špijuniranje špijuna - Ovim malim dodatkom za Firefox možete vidjeti koje sve web-stranice žele ostaviti na vašem računalu svoje third-party kolačiće. Rezultati bi vas mogli zapanjiti.

Kolačići su najobičnije tekstualne datoteke koje vaš pretraživač na zahtjev nekog weba pohranjuje u memoriju (session cookies) ili na tvrdi disk (permanent cookies) i koje pri sljedećem povezivanju s istim webom vraća poslužitelju tako da zna koje informacije treba vratiti klijentu odnosno kako urediti traženu web-stranicu. Kolačići sadrže jednostavne podatke kao što je naziv web-poslužitelja koji ih je generirao, vrijeme njihove valjanosti te nasumično generiran broj pa ne mogu napraviti nikakvu štetu na vašem računalu. Ovisno o tome tko ih je postavio na naše računalo dijelimo ih na first i third-party cookies. First-party kolačiće postavlja web-stranica koju ste posjetili (to je obično poželjna aktivnost) dok će third-party kolačiće postavljati web-stranica koju niste posjećivali tijekom sesije.
Danas je uobičajeno da se pretraživaču dozvoli pohranjivanje first-party kolačića jer bez njih si znatno otežavamo pretraživanje. S druge strane, third-party kolačići se često blokiraju ako na neki način nisu poželjni. Mnogi takve intervencije smatraju zadiranjem u privatnost, a često i antispyware alati mogu detektirati third-party kolačiće kao zloćudne datoteke - mada s vrlo niskim rizikom.
Kako ne bi sve ostalo jednostavno pobrinuli su se hakeri koji vam kroz session hijack napad mogu zadati priličnu glavobolju. Naime, web-stranice na koje se morate prijaviti kao potvrdu pozitivne autentifikacije obično vam šalju kolačić (magic cookie) tako da ne morate uvijek ponovno upisivati korisničko ime i lozinku. Ako haker dođe do takvog kolačića može ga jednostavno postaviti u svoj HTTP zahtjev i predstaviti se na web-stranici kao vi. Jedina zaštita od takvog napada je sigurni HTTPS protokol jer sve što će haker vidjeti snifanjem tako šifriranje sesije je hrpa nesuvislog materijala.


Mrežne bube
Manje poznata, ali zato naprednija metoda od dobro znanih kolačića je praćenje pomoću web-bug, web-beacon ili tracking bug tehnologije. Svi ti pojmovi označavaju istu stvar koja najčešće dolazi u obliku nevidljive gif ili png slike ili pak kao IFrame objekt implementiran unutar weba. Pojedine web-stranice često imaju i referencu prema sadržaju neke druge. Kada pretraživač priprema web-stranicu za prikaz šalje zahtjev i prema poslužitelju na kojemu se nalazi taj dodatni sadržaj. Takav zahtjev među ostalim mora sadržavati IP adresu klijenta, vrijeme, tip pretraživača te popis postojećih kolačića konkretnog web-servera. A baš taj mehanizam iskorištavaju web-bube.
Za razliku od kolačića čije prihvaćanje možete selektivno zabraniti, takve skrivene datoteke vaš će pretraživač uvijek transparentno preuzimati odajući pritom administratoru drugog poslužitelja svu silu vaših informacija. Web bugs-tehnologiju često iskorištavaju i spameri koji će web-bubu postaviti u tijelo svoje spam e-mail poruke. Kada otvorite takav e-mail, vaš će mail klijent od nekog udaljenog web-poslužitelja (prema kojemu je usmjerena referenca unutar poruke) zatražiti dodatni sadržaj što će spameru jasno dati do znanja da je netko otvorio e-mail i da je ta e-mail adresa aktivna. Navedeni dodatni sadržaj je najčešće sličica veličine 1x1 piksel i iste je boje kao pozadina pa se može detektirati isključivo uvidom u izvorni kod web-stranice ili e-mail poruke. Zato poruke za koje sumnjate da su spam nikad ne otvarajte već ih obrišite. Naime, zbog web-bug objekata već samo otvaranje poruke sigurno će dovući dodatni spam.

Kad dobijete e-mail za koji sumnjate da je spam - ne otvarajte ga već ga obrišite bez pregleda

Digitalni otisak
Unutar web-pretraživača može se podesiti opcija Do Not Track (DNT) koja u svaki njemu upućen zahtjev postavlja i DNT header. Teorijski, taj bi header trebao obavijestiti sve web-stranice koje ne posjećujete izravno - a čiji se objekti nalaze na stranici koju ste posjetili i koji bi na našem računalu inače pohranili third-party kolačiće - da ne želite biti praćeni odnosno da ne želite njihove kolačiće. Ta shema nikada nije zaživjela kao standard, a i popis web-stranica koje uistinu poštuju DNT header je prilično kratak. Većina će jednostavno ignorirati DNT header te našem pretraživaču isporučiti svoje (third-party) kolačiće i pomoću njih pratiti vaše pretraživačke navike.
Najmlađa tehnologija među ovima koje spominjemo je browser fingerprinting. To je vjerojatno najpreciznija metoda praćenja pretraživačkih navika među svima trenutno postojećim. Browser fingerprinting sakuplja informacije koje nedvosmisleno diferenciraju pojedino računalo od svih ostalih. Algoritmi za fingerprinting skupljat će razne informacije koje vaše računalo čine jedinstvenim: vremensku zonu, rezoluciju zaslona, instalirane fontove, postavke vezane za kolačiće i slično. Želite li vidjeti kako to funkcionira u praksi posjetite stranicu panopticlick.eff.org i testirajte svoj pretraživač. Uvjerit ćete se koliko informacija o vašem računalu vaš pretraživač transparentno predaje i koliko je vaše računalo zapravo jedinstveno.

Svemogući Google
Valja naglasiti da navedene tehnologije koriste isključivo oglašivačke kompanije poput Googlea kako bi se formirale pretraživačke navike i potrošačke preference. Ako ste se pitali zašto vam Facebook prigodno servira ponudu obuće iz različitih online-trgovina, a nedavno ste na e-Bayu ili Amazonu tražili nove tenisice – odgovor je jasan: zaslužni su Facebookovi third-parties kolačići koje je vaš pretraživač pokupio na Amazonu. Ili, nedavno ste u e-mail poruci koju ste poslali Gmailom spomenuli riječ protein pa vam sad s desne strane pretraživača Google nudi oglase za proteinske napitke. Nije vam jasno kako Google zna da vas zanima baš to. Vaše e-mail poruke čita Googleova umjetna inteligencija koja na vaše računalo postavlja kolačiće, a oni poslije odaju Googleu vaše preference. Štoviše, sve Googleove nove tehnologije sadrže komponentu koja će skupljati vaše osobne informacije i njima hraniti svoje uvijek gladne analitičke algoritme.
Na koncu, Google prilično dobro zarađuje preciznim i relevantnim online-oglašavanjem. U tomu su zaista dobri. Teško da će si pucati u petu da na bilo koji način namjerno naškodi svojim surferima na temelju o njima skupljenih informacija, no problem i povod za različite špekulacije su navodne poveznice između Googlea i njemu sličnih kompanija s tajnim službama poput CIA-e i NSA-e. Ipak, valja naglasiti - za veliku većinu vlasnika web-stranica mi smo samo alfanumerički niz definiran lokalno pohranjenim kolačićima, a one koji crpu informacije iz tih kolačića uopće nije briga tko smo zapravo. Najveća realna opasnost po privatnost i dalje su različiti maliciozni programi koji nam mogu nanijeti ozbiljnu materijalnu štetu, a oko kolačića, mrežnih buba i fingerprinta ne bismo se trebali posebno uzbuđivati - barem ne u normalnim uvjetima.