Специалист Центра политики в области информационных технологий Университета Принстон Гюнеш Акар .
Уязвимость в интернете: пользовательские данные как главная ценность
На основании сбора информации о пользователях и их поведении в интернете интенсивно развивается большой бизнес — например, рекламная индустрия. Поэтому главная уязвимость связана с прозрачностью данных: то есть с самим фактом того, что эти данные кто-то собирает. Например, когда вы посещаете какой-то сайт, об этом известно не только самому сайту, но множеству побочных ресурсов, связанных с рекламой или аналитикой. Они предоставляют данные о пользователе другим компаниям, и эта цепочка нарастает, как снежный ком. Поэтому становится актуальной задача разработки систем, которые позволят в какой-то степени сохранить приватность и защититься от проникающего контроля систем отслеживания активности в интернете.
Технологии анализа пользовательской активности, на мой взгляд, развиваются так активно исключительно в коммерческих интересах. На историях поисковых запросов, интересах и личных профилях в социальных сетях строится многомиллиардный бизнес: пользовательские данные становятся ценным товаром и главным финансовым интересом таких компаний, как Google и Facebook.
Когда мы говорим «пользовательские данные», мы не имеем в виду какую-то личную информацию о паролях, паспортных данных или номере страховки. Под этим термином подразумеваются «пользовательские привычки», поведение в интернете: сайты или профили, которые вы посещаете. Конечно, в очень редких случаях возникают инциденты утечки данных кредитных карт и последующих актов мошенничества, обычно это связано только со взломом сайтов. Самой ценной информацией является общий профиль пользователя: его интересы или политические взгляды, если это можно выявить исходя из тех сайтов, которые человек посещает.
Интересно, что мы никогда не знаем точно, где хранятся все эти данные. Они собираются различными ресурсами, и этот процесс совершенно непрозрачный. Обнаружить место хранения можно только в случае утечки. Возможно, большинство данных все же хранится где-то на серверах Google или Facebook.
Война за блокировку рекламы
В последнее время исследования в области отслеживания активности в интернете развиваются в двух направлениях. Первое направление связано с совершенствованием методов «отпечатков пальцев» (fingerprinting techniques) для разных компонентов браузеров. Браузеры меняются буквально каждый день, и новый функционал добавляется постоянно. Люди ищут способы распознавать браузеры, основанные на разном поведении различных IP-адресов множества устройств. Например, можно задать характеристики, позволяющие хранить cookies, или идентификаторы, и на основе этого можно разрабатывать какие-то системы безопасности. С одной стороны, это может защитить пользователей от вторжения в их интернет-трафик, но с другой стороны, эта же технология может быть использована с целью отслеживания их паттернов поведения.
Второе направление исследований нацелено на совершенствование систем защиты от контроля пользовательской активности. Наиболее известным примером технологий из этой сферы являются блокировщики рекламы — специальные браузерные расширения. Их использует более 200 миллионов людей, и их число постоянно растет, что беспокоит представителей индустрии онлайн-рекламы. Вообще все это похоже на игру в кошки-мышки: компании стараются избежать блокировщики и показать вам рекламу тогда, когда вы не хотите ее видеть.
Некоторые производители браузеров, например Apple, используют функцию умной защиты от слежения (Intelligent Tracking Techniques), что является довольно смелым шагом, поскольку они блокируют cookies посторонних сайтов, которые вы практически не посещаете. В ответ рекламная индустрия отреагировала публикациями, свидетельствующими об угрозе подрыва онлайн экономики. Также разрабатываются другие способы обнаружить блокировщики рекламы. Мои коллеги в Принстоне опубликовали статью, в которой они вышли за рамки определения «блокировщик рекламы». Стандартные решения основаны на создании черных списков уже известных трекерных доменов. При поддержке Фонда Электронных Рубежей (Electronic Frontier Foundation) создается расширение под названием Privacy Badger. Принцип его функционирования заключается в следующем: вместо распознавания трекерных технологий на основании черных списков, оно пытается обнаружить их с помощью анализа пользовательского поведения — например, чтения cookies.
Рекомендуем по этой теме:
Леонид Восков — Эволюция интернета вещей
Firefox также интегрирует блокировщики рекламы прямо в браузер. Это называется «режим защиты от слежения» (tracking protection mode), который можно включить, чтобы не загружать дополнительные расширения. Такую технологию проще использовать вне зависимости от уровня компьютерной грамотности пользователя, что довольно важно, поскольку до сих пор для некоторых людей существуют барьеры в освоении техники. Таким образом, важно, чтобы во все браузеры и мобильные платформы уже была включена некоторая защита, но мы пока далеки от этого.
Zombie cookies и другие инструменты отслеживания
У всех браузеров есть API для хранения данных, и предполагается, что эту информацию не могут использовать веб-сайты, но технология zombie cookies позволяет находить слабые места в API браузеров. Важно понимать, что вы не можете удалить всю историю поиска, которая находится в вашем браузере, потому что механизмы хранения очень сложны. И zombie cookies используют эти механизмы для того, чтобы извлекать данные. Вы можете не знать о том, что где-то что-то хранится — ведь для этого даже не существует интерфейса.
Получатся, что cookies — это своеобразные штрих-коды, которые «прилипают» к вам, и в следующий раз, когда вы снова заходите на тот же сайт, они могут быть «отсканированы». А технологии «отпечатков пальцев» не нуждаются в том, чтобы присваивать вам какие-то идентификаторы — они просто анализируют поведение вашего браузера и распознают вас. Это гораздо более удобно, потому что не приходится хранить какую-либо информацию. Даже если пользователь сможет удалить все cookies, его все равно можно будет распознать по «отпечаткам пальцев».
Конечно, идентифицируется не личность пользователя, а только конкретное устройство, с которого он выходит в интернет. Но поскольку сейчас мы очень связаны со своими устройствами, не составляет никакого труда распознать, какой человек кроется за каждым смартфоном или ПК. И «отпечатки пальцев» снимаются, по факту, с браузера, установленного на конкретном устройстве. Они зависят от размера экрана, языка, используемого при поиске, часового пояса, установленных плагинов. Иногда эту технологию сравнивают с рисунком на холсте (canvas fingerprinting). Скрипты сайтов заставляют ваш браузер «рисовать картину», которую вы как пользователь не видите. То, каким образом браузер это делает, зависит от графической карты и операционной системы устройства. Поэтому даже если итоговая картина, полученная с двух устройств, будет одинаковая, сама природа «отпечатков» будет уникальна, поскольку она зависит от множества разных факторов.
Рекомендуем по этой теме:
Василий Ключарев: «Особенности нашего экономического поведения можно объяснить дизайном мозга»
Также существуют технологии, которые позволяют полностью воспроизвести поведение пользователя: то, как он прокручивает страницы, какими кнопками на клавиатуре пользуется, как переходит между вкладками. Большие компании могут узнать все о том, как вы пользуетесь сайтом, так же точно, как если бы они стояли за вашей спиной и наблюдали за экраном из-за вашего плеча. Эти пользовательские сессии можно также записывать и анализировать. В этом случае записывается не видео перемещений курсора по экрану, а содержание страниц и ваше взаимодействие с ним. По этой информации сессия заново воспроизводится.
Главная проблема, которая возникает в этом случае, связана с тем, что помимо воспроизведения сессии взаимодействия с определенным сайтом третьи стороны могут заодно получить доступ к какой-то личной и важной информации. Например, один большой сайт таким образом сливал информацию о рецептах на получение лекарств. Все эти технологии нацелены на выявление индивидуальности пользователя. Если система поняла, что вы — это вы, она может настроить рекламу более точно.
Будущее технологий отслеживания
Мы входим в очень интересную эру, когда вопросы кибербезопасности и конфиденциальности информации должны, наверное, регулироваться на законодательном уровне. Одной из целей наших исследований является способствование росту прозрачности информации о способах контроля активности пользователей в интернете. Только сейчас становятся широко известны технологии, которые большие корпорации использовали уже на протяжении десятка лет.
Хотя, безусловно, это направление будет продолжать развиваться. Сейчас становятся популярными решения, которые позволяют осуществлять кросс-платформенное слежение. Они комбинируют пользовательскую активность одного человека с разных устройств: ПК, смартфон, планшет и др. Другое направление разработок — внедрение систем отслеживания в другие умные устройства — например, в умный телевизор. Тогда можно будет собирать информацию еще и основываясь на паттернах просмотра визуального контента. В этом случае управлять данными станет сложнее, поскольку в умных устройствах пока нет браузеров, способных защитить пользователя от различных систем слежения.
https://postnauka.ru/faq/82504
