Анонімності немає

Анонімності немає

Привіт% username%! Хотів тобі показати і розповісти частину мого дослідження розслідування вивчення світу цього, яке я розповідав на конференції Zeronights 2014. Тема була про деанонімізацію, але більше питань було саме за даними, тому я вирішив розповісти про це окремо.


Ну ти ж в курсі, що сайти збирають дані про твої відвідини, звідки ти прийшов, куди ти йдеш, твої запити, ip адреси? Ось ти пам'ятаєш, у скільки і якого числа ти шукав.

Власне, ось приклад даних. Фічу прикрили, приклад даних у коментарях:)

Саме твоїх,% username%. Якщо у тебе порожня сторінка, можливо ти використовуєш плагіни Ghostery, Adblock, Noscript - дай посилання своєму другові, сподіваюся, ти здивуєшся.

Що це було?

Дані. Звичайні дані про користувачів, які збирають безліч сайтів. Включають в себе пошукові запити, браузери, ip-адреси, відвідані сайти. За ними будується вік, стать, інтереси. І це лише один з прикладів, який зібрала одна з безлічі компаній.

Навіщо ці дані третім особам?

Перш ніж показати тобі рекламу, про тебе зберуть дані, куди ти ходиш і навіщо, потім проаналізують їх. Зрозуміють твій приблизний вік, віднесуть тебе до певних інтересів, визначать платоспроможність. Але ж і правда, якщо я сиджу на форумі велосипедистів - непогано показати мені рекламу велосипедних аксесуарів, а не рожеві трусики з ультра-сучасною гумкою з нової колекції європейських модельєрів.

Як збираються дані?

Ти заходиш на сайт життєболь.lol.

Система присвоює вам ідентифікатор, наприклад - 0001 і створює cookie user = 0001. Собі записує:

15-43 27 березня з ip адреси x.x.x.x зайшов користувач 0001, User-agent: Calculator 1.2, сайт життєболь.lol

Потім він заходить на сайт голиєпопки.lol, з сайту пошука.lol/? search = голі + але + не + смішні, тут можна створити відразу 3 записи.

20-43 27 березня з ip адреси x.x.x.x зайшов користувач 0001, сайт пошука.lol/? search = голі, + але + не + смішні

20-43 27 березня з ip адреси x.x.x.x пошуковий запит «голі, але не смішні»

20-43 27 березня з ip адреси x.x.x.x зайшов користувач 0001, сайт голиєпопки.lol

Якщо на сайті 1 немає жучка, але ти переходиш за посиланням на сайт 2, передавши referer, «система» вже буде знати, що ти був на обох.

Ну це найпримітивніший варіант. Тільки подібних даних у сотні, тисячі разів більше. Крім цього збираються пристрої (правило трьох), твоє переміщення, решту ти виставив на показ в соціальних мережах.

Чому даних так багато?

Тому що ними обмінюються. Уяви, я велика соціальна мережа. А ти - магазин. Тобі вигідно знати, хто відвідує магазин, ти не впізнаєш без мене. І мені, щоб показати рекламу, теж вигідно знати. Так давай махнемося не дивлячись?

Та це ж персональні дані! Це незаконно!

Спірно. Інформація знеособлена. Чи є персональною інформація про те, що користувач з ідентифікатором 0001 зайшов на сайт життєболь.lol? А те, що користувач з ідентифікатором 0001 відвідує голиепопки.lol у вихідні? А те, що користувач з ідентифікатором 0001 - має id53083705 на сайті vk.com? Де грань?

Так хто збирає ці дані?

Все. А хто має великий ресурс, але не збирає - той дурень. Це сучасність і нікуди від цього не подітися. Якщо ти власник сайту - швидше за все ти теж збираєш дані і відправляєш їх дядькам, які покажуть тобі рекламу. Ні? Впевнений?

А тепер пройдемося за основними джерелами даних. Найбільше інформації, як я вважаю, у корпорації Google. Впевнений, що вона знає про тебе більше, ніж ти сам.

Реклама

Цілком логічно, що рекламні банери самі є збирачами інформації.

Лічильники та аналітика

Наприклад Яндекс.Метрика з функцією «Вебвізор» - це повноцінний кейлоггер. Поставте якийсь приватний чат і Яндекс.Метрику і спостерігайте, що пишуть користувачі. А лічильникам чисто функціонально необхідно збирати дані.

Шрифти, бібліотеки, зображення

А ти посилаєшся на чужі ресурси?

У мене суперплагін, який блокує все

Не все. Як мінімум - пропускає, як максимум - все купується і продається.

Я стираю cookie кожні 34 секунди, міняю user-agent і мою клавіатуру

Ну і гаразд. Крім куки є ще купа способів закріпити за браузером користувача унікальний ідентифікатор. І це вже використовують.

Я взагалі дивлюся сайти через консоль

Не біда. Дані про відвідані тобою сайти продадуть провайдери. Ось список провайдерів, дані яких можна купити через систему imaker, про яку вже писав ValdikSS

Хочеш стати сайтом-шпигуном? Підключай лічильник на сайт і ласкаво просимо в команду!

Я дивлюся сайти через консоль, через сусідську Wi-Fi, міняю Mac адресу, відключений flash, js, за double-vpn різних країн.

Вітаю, тепер ви привертаєте до себе увагу! Правда, я не впевнений, що зацікавлені в цьому служби моніторять підозрілий трафік. І взагалі, на місці зацікавлених у цьому служб, я б використовував деанонімізацію на практиці.

Що робити?

Обов'язково прочитай, подивися або послухай виступ Стіва Рамбама на конференції Hackers On Planet Earth анонімності немає, змиріться. Живи і радійте життю. Все одно нічого не зміниться.

Інші приклади на слайдах.

Image