Definisanje odnosa sigurnosti i privatnosti na internetu

Jovan Šikanja, administrator za bezbednost, Limundo d.o.o

Sadržaj: Cilj rada je da ukaže na ugrožavanje privatnosti na internetu ali i da ukaže na činjenicu da se iste tehnike, različito postavljanje, koriste za ugrožavanje privatnosti i zaštitu od prevare. Ključne reči: privatnost, prevara, zaštita, tehnike praćenja, anonimnost

1. Uvod

Privatnost na Internetu je široko, slojevito i često diskutovano pitanje. Ugrožavanje privatnosti i krađa ličnih podataka, pored ugrožavanja osnovnih prava pojedinca, može da ima drastične posledice i da rezultira krađom identiteta i prevarom. Generalno, privatnost može biti ugrožena na dva kvalitativno različita načina:

našim nesmotrenim činom pri korišćenju internet servisa ili krađom baze podataka o ličnosti neke državne službe ili web servisa na koji smo se registrovali;

sakupljanjem podataka o našem računaru i praćenje naše celokupne internet komunikacije od strane trećih lica (detaljno objašnjeno u trećem odeljku).

U ovom radu bavićemo se pretežno drugim oblikom ugrožavanja privatnosti jer upravo u tom segmentu dolazi do preplitanja između metoda koje se koriste pri ugrožavanju privatnosti i metoda koje se koriste za cyber zaštitu a pogotovo ukoliko u vidu imamo elektronsku trgovinu. Cilj rada je da ukaže na važnost borbe za poštovanje privatnosti ali i da pokaže drugu stranu medalje: apsolutna anonimnost na internetu može imati svoju mračnu stranu. Treba napomenuti da rad, zbog ograničene forme ne ulazi u teoretski deo pristupa online privatnosti.

2. Kome su potrebni naši podaci?

Treba odmah istaći da je trgovina privatnim i osetljivim podacima ima svoje tržište koje je dosta divergentno. Prati se svaki naš korak na internetu i više nije tajna da se našim privatnim podacima trguje. Tržište je 2012. godine bilo vredno 31 milijardu dolara[1] Svetski ekonomski forum u svom izveštaju “Personal Data:The Emergence of a New Asset Class” označio lične podatke “novom naftom”. U originalu prenosimo

citat iz izveštaja: “Personal data is the new oil of the Internet and the new currency of the digital world”- Meglena Kuneva, European Consumer Commissioner [2] Nećemo ovde ulaziti u detalje ovih trgovina već ćemo damo napomenuti najčešće slučajeve trgovine i zloupotrebe podataka. Naši podaci na internetu koriste takozvanim “data collector” kompanijama, advertajzing kućama, agencijama za marketing i e-prodavnicama koje posećujmo. Posebno treba izdvojiti društvene mreže gde ugrožavanje privatnosti, iako uvek u skladu se uslovima korišćenja datih sajtova, zauzima visok nivo. To je jedna strana medalje. Podaci se, pre svega, koriste pre svega, ukratko rečeno za ciljano plasiranje oglasa takozvani targetirani advertajzing (targeted advertising). Čuveni retargeting sistem zapravo je blaža varijanta ugrožavanja privatnosti. Kompanije koje se bave prikupljanjem podataka spremne su da idu dalje u analizi našeg ponašanja. Detaljnije o ovoj temi u trećem odeljku rada. Sa druge strane privatne podatke i podatke o našoj komunikaciji koriste i prate tajne službe, vojska i policija (i to ne nužno iz naše matične zemlje). Podaci se koriste i u obaveštajne svrhe i u svrhe sajber špijunaže. Ovaj način ugrožavanja privatnosti posebno je dospeo u žižu interesovanja zbog slučaja Wikileaks ali i krajem 2010. godine početkom događaja koji su kasnije nazvani “Arapsko proleće”.

3. Na koji način je privatnost ugrožena. Šta sve možemo da pratimo?

Prema navodima firme "Abine", koja se bavi privatnošću na internetu, trenutno preko 200 kompanija koristi preko 600 različitih tehnika za praćenje našeg ponašanja na internetu[1]. Tehnike idu od jednostavnih, složenih do pravih multidisciplinarnih pristupa koji koriste složene algoritme i statističke analize. Firme koje se bave praćenjem poseduju masovne baze podataka koje se konstantno uvećavaju. Prva i, i dalje, najčešće korišćena metoda praćenja našeg ponašanja na web-u je korišćenjem tehnologije kolačića (u daljem tekstu cookies). Cookies mogu biti razni: Http cookies, flash cookies, evercookies. Cookies tehnologija zastupljena je u praćenju u velikoj meri, pre svega, zbog svoje gotovo apsolutne preciznosti u detekciji našeg ponovnog pojavljivanja na web-u. Sve pomenute podvrste cookies-a funkcionišu na sličnom principu (upisivanje podataka na naš računar radi njihovog ponovnog korišćenja i asocijacije), jedino se razlikuju po perzistentnosti na našem računaru. Na

2

primer, evercookies prednjače po toj karakteristici. Za razliku od ostalih vrsta, do skoro, nije ih bilo moguće obrisati brisanjem cookies-a iz browsera a isto kao i Flash Cookies, funkcionišu nezavisno od internet pretraživača, tako da nas neće sakriti ni navika da koristimo različite pretraživače.

Kakve informacije praćenje našeg ponašanja na internetu nosi? Ilustrovaćemo to jednim koloritnim primerom: Kompanije koje se bave praćenjem podataka znaju da je žena u drugom stanju pre nego što je to saznala njena porodica.[3] Na koji način? Kompanija na osnovu prediktivne analitike razvija patern ponašanja osoba za koje bi se moglo reći da mogu uskoro postati roditelji. Kroz taj patern dalje se propuštaju naše zabeležene pretrage na internetu, kupovine koje smo obavili na web šopovima, oglasi na koje smo kliknuli. Na osnovu prikupljenih podataka dalje nam se plasiraju stvari koje ćemo kao novopečeni roditelji svakako morati da nabavimo. Cookies je toliko uzeo maha da je 2012 na nivou Evropske unije usvojen Zakon koji kontroliše njegovu upotrebu.[4] Može se zaključiti da je u pitanju je velika pobeda pojedinaca i kompanija boraca za privatnost. Međutim, realnost je drugačija i čini sa da borba za privatnost zapravo tek počinje. Metode detekcije koje smenjuju cookies tehnologiju, a u skladu su sa EU zakonom, u stanju su, po iskazima njihovih kreatora, da idu još dublje a sa stepenom pouzdanosti od 99%. U pitanju su, delimično statističke metode koje se zasnivaju na praćenju podataka o računaru i browseru korisnika. Pokušaću detaljnije da pojasnim na koji način funkcionišu ovi sistemi koji se zajednički nazivaju “Cookieless device fingerprinting”. Prate se, tip i verzija browsera, instalirani adoni i pluginovi i njihove verzije, instalirani fontovi, operativni sistem i verzija, rezolucija ekrana, brzina internet konekcije, IP adresa i ISP i slično. Ilustraciju šta se sve može detektovati možete videti na adresi: http://www.mybrowserinfo.com/detail.asp Prikupljeni podaci predstavljaju digitalni otisak prsta našeg računara. Uz sve navedeno, pojedine kompanije nude i uslugu koja se naziva “device association” koja ima za cilj da, recimo u bazi data collector kompanije spoji vaš kućni računar, mobilni telefon, poslovni računar i tablet tako da vam u praksi, na mobilnom telefonu može prikazivati reklame odmarališta u Crnoj Gori, jer ste nedavno gući vršili pretragu po odgovarajućim ključnim rečima.

4. Borba za anonimnost.

Kao odgovor na ugrožavanje privatnosti i sisteme praćenja počeli su da se pojavljuju mnogobrojni programi I aplikacije koje služe za povećanje privatnosti pri korišćenju interneta.

Važno je istaći da danas, izlazak na internet po “default” podešavanjima konekcije i pretraživača znači da ste vrlo podložni praćenju. Najpoznatiji alati koji se danas koriste su NoScripts, AdBlockPlus, BetterPrivacy, DoNotTrack. Zajedničko za sve ove aplikacije je blokiranje neželjenih sadržaja i cookies-a koji se koriste za praćenje. Korak napred idu servisi za kompletnu anonimizaciju i kriptovanje saobraćaja. Najpoznatiji je svakako “TOR browser” (https://www.torproject.org) - servis za potpuno anonimno korišćenje interneta. Prilikom korišćenja TOR-a ni naš ISP ne zna koje sajtove smo posetili. Takođe, TOR je predefinisan i može se koristi iza surfovanje “Deep Web”-om (http://en.wikipedia.org/wiki/Deep_Web), websajtovima skrivenim od pretraživača kojima se po pravilu ne može pristupiti iz običnih internet browsera. Ukoliko se za trenutak od data collectora prebacimo na državne službe koje prate internet saobraćaj možemo videti koliko je zapravo privatnost ugrožena i koliko se prati svaki naš korak na internetu. U prilog ovome govori i postojanje opcije “Strong box” magazina “The New Yorker” koja služi za anonimno dojavljivanje i deljenje fajlova[5]. Slanje poverljivih informacija na siguran način, koje mogu da ugrožen našu sigurnost, jednostavno nije moguće izvesti standardnim web kanalima komunikacije.

5. Sigurnost i borba protiv prevare

Sada dolazimo do dela gde ćemo videti da se sve tehnike koje smo napomenuli mogu koristiti i u ispravne svrhe. Sigurnost na internetu, slično kao i privatnost predstavlja širok pojam. Grubo rečeno možemo reći da se sigurnost kreće na spektru se od sigurnosti informacionih sistema do rizika od prevare kojoj su podložni pojedinac ili kompanija koji učestvuju na internetu. Ono što želim da istaknem u ovom radu je da se gotovo identične metode kao u prethodno navedenim situacijama gde se ugrožava privatnost, sa vrlo malim alteracijama koriste se u prevenciji prevara, pretežno na e-commerce sajtovima. Pokušaću ovo da ilustrujem jednim primerom: Ukoliko možete da detektujete kupca koji je kupio kolica za bebu pa da mu na osnovu te informacije na drugom sajtu ponudite i bebi sedište taj sistem možete vrlo efikasno iskoristiti i za prevenciju prevare. Zabeležićete sve podatke (privatne i manje privatne) o problematičnom korisniku i razvićete sistem koji će vam dojaviti njegovo ponovno vraćanje. Koje metode ćete koristiti? Cookies, remete device fingerprinting, device association koriste se vrlo uspešno u sprečavanju penetracije prevaranata na websajt. Suštinska razlika je zapravo je samo razlog prikupljanja i obrade podataka. Jednima je cilj prodaja a drugima zaštita od prevare. Podaci običnih korisnika biće

3

prikupljeni ali uglavnom neće biti eksploatisani u slučaju odsustva prevarnog događaja. Da se dotaknemo aktuelne situacije u Svetu koja se tiče online prevara. U 13. godišnjem “Online fraud report”-u firme CyberSource kao 4 najefikasnija sistema praćenja koji se koriste u borbi protiv prevare, online trgovci ocenili su:

Sistem bodovanja (specifičan za kompaniju)

Istorija kupovina kupca

Device fingerprinting

Multimerchant data[6]

Ukoliko izanaliziramo ove sisteme možemo zaključiti da se svi u potpunosti (izuzev sistema bodovanja čije korišćenje privatnih podataka može varirati) se oslanjaju na podatke koji se u manjoj ili većoj meri mogu nazvati privatnim podacima.

Posebno problematičan sa stanovišta privatnosti, a vrlo efikasan deo je “Multimerchant data” koji, najjednostavnije rečeno predstavlja, deljenje informacija o prevarama među kompanijama. Razlog za ovako nešto vrlo je jednostavan. Ukoliko je prevarant izvršio prevaru na jednom portalu, deljene podataka može ga sprečiti da isto učini i na nekom drugom. Novi trend koji eksploatiše činjenicu da ljude koji dolaze sa interneta, vrlo lako možete proveriti na internetu nije zaobišao ni tržište borbe za online sigurnost. Ovo je trend provera koji će se masovno eksploatisati u narednom periodu.

2013. godine počela je sa radom kompanija “Signifyd” (https://signifyd.com/) koja za provere koristi dostupne baze podataka na internetu i po prvi put zvanično podatke sa društvenih mreža. Provere vrši na osnovu Ip adrese, e-mail adrese i korisničkog imena. Sa druge strane, važno je istaći, da apsolutna anonimnost može da ima svoju mračnu stranu.

Kada su se pojavili “deep web” i TOR posle dugo vremena ljudi su imali mogućnost da internet koriste potpuno anonimno. Postoje svedočanstva da su aktivisti iz cenzurom pritisnutih zemalja kao što su Iran i Sirija uspeli da upravo pomoću Tor-a podele informacije sa ostatkom sveta a da pritom njihova bezbednost ne bude ugrožena. Međutim, zajednica pedofila među prvima je shvatila šta potpuna anonimnost na internetu može da znači. Usledili su trgovci narkoticima i oružjem, hakeri koji iznajmljuju svoje usluge a ide se toliko daleko da preko “Deep web”-a može čak angažovati i plaćene ubice[5]. Sada imamo još jedan dodatno olakšavajući faktor a to je anonimni novčani transfer posredstvom BitCoin-a[7] Trenutno se vodi velika bitka dobronamernih korisnika TOR mreže i “Deep web” zajednice protiv ovakvih slučajeva

Zaključak

Započeću zaključak jednim pitanjem: U radu je pokazano da trenutno nismo anonomni na internetu, ali koliko smo zapravo anonimni u offline svetu? Biometrijske lične karte, saobraćajne i policijske kamere, banke i kreditni biroi, vojska, policija i tajne službe samo su neki od činilaca ugrožavanja privatnosti. Logično je da se takva situacija iz offline sveta preslikava i na online spektar. Sa druge strane, koliko kod mi uživali u ideji apsolutne anonimnosti, u radu je ukazano da ona može imati mračnu stranu sa velikim posledicama po našu bezbednost.

Bojim se da ćemo, kao i u offline svetu, zbog loših momaka, morati da se odreknemo određenog dela privatnosti. Verovatno ste se nekada zapitali iz kog razloga nosite sa sobom morate da nosite ličnu kartu?

Mišljenja sam da se rešenje nalazi u razvijanju strogih sistema i propisa kontrole ko, kada i kako i zašto sme da prati internet saobraćaj i naše učešće na web-u. Svesni smo da bi ovako rešenje bilo daleko od idealnog, ali se čini da je trenutno najmanje loše i nalazi se u domenu ostvarivog. Pre toga, potrebno je dobiti bitku za privatnost u offline borbi jer se privatnost ugrožava svakodnevno i na svim frontovima. Još jednom na kraju ću istaći da u sadašnjoj konstelaciji stvari (dostupnim sistemima kontrole i globalnom stanju na tržištu) možemo našim delima pozitivno uticati na privatnost a negativno na sigurnost. Dok se situacija ne promeni kada razmišljamo o privatnosti moramo na umu imati i sigurnost.

Literatura

[1] Izvor: https://www.abine.com/ [2] "Personal Data:The Emergence of a New Asset Class" - Worls Economic Forum, 2011 [3] Ilustracija, članak: "10 Things Online Data Collectors Won't Say", http://www.smartmoney.com/ [4] Izvor: http://www.ico.org.uk/for_organisations/privacy_and_electronic_communications/the_guide/cookies [5] http://www.newyorker.com/strongbox/ [6] CyberSource: "Online Payment Fraud Trends, Merchant Practices, and Benchmarks", 13th anual edition. Avaliable: http://www.cybersource.com/cgi-bin/resource_center/resources.cgi [7] http://bitcoin.org/

Abstract - This article represents comparison between online security and online privacy. It stands out a fact that same methods, that data collector companies use for tracking us online, are also used, minorly altered, for online fraud fighting. Article also stands out importance of fighting for online privacy Title of the Paper in English: Defining the relations of security and privacy on the Internet