Dbasz o bezpieczeństwo. Zamykasz drzwi na klucz. Unikasz przechodzenia przez ulicę na czerwonym świetle. Wykupujesz ubezpieczenie. W sieci też jesteś uważny. Nie klikasz w podejrzane linki. Nie akceptujesz bezmyślnie wszystkich ciasteczek. A czy wiesz, iż i tak jesteś ciągle śledzony? Cyfrowy odcisk palca to popularna technika kradzieży tożsamości i prawdopodobnie każdy z nas już został jej ofiarą.
– Prawdopodobnie twoje dane uwierzytelniające już zostały wystawione na sprzedaż na przestępczym rynku – ostrzega Europol i radzi wszystkim użytkownikom internetu instalowanie systemu antywirusowego oraz większe zainteresowanie kwestiami bezpieczeństwa.
Początek walki o bezpieczeństwo w sieci – powołanie RODO
Gdy kilka lat temu wchodziły nowe przepisy mające chronić nasze dane – RODO – internet wrzał. RODO, czyli unijne Rozporządzenie o Ochronie Danych Osobowych, miało za zadanie zadbać o nasze prawa w sieci.
Według wytycznych obowiązujących w Polsce od 25 maja 2018 roku każdy internauta ma prawo wiedzieć, w jaki sposób i w jakim celu przetwarzane są dane na jego temat. Jak? Między innymi z wykorzystaniem ciasteczek (ang. Cookies), czyli fragmentów tekstu obsługiwanych przez przeglądarkę, które przechowują informację o aktualnej sesji – na przykład o tym, iż jesteśmy zalogowani na portalu, ale też, która reklama na dłużej przykuła naszą uwagę.
Zyskaliśmy prawo do bycia zapomnianym, czyli żądania od dostawcy usług usunięcia naszych danych osobowych. Co więcej, od 2018 roku firmy muszą informować o atakach hakerskich na ich serwery, a by wszystko działało zgodnie z prawem – mają obowiązek powołać Inspektora Danych Osobowych.
Dzięki RODO wszystkie informacje dotyczące przetwarzania danych muszą być zapisane w Polityce Prywatności, czyli dokumencie łatwo dostępnym na stronie www. Tam także znajdziemy informacje o Inspektorze Danych Osobowych i wszystkich osobach bądź instytucjach mających dostęp do naszych danych.
Nic dziwnego, iż w 2018 roku ciasteczka i polityki prywatności były na ustach wszystkich. Programiści zacierali ręce, na myśl o nowych zleceniach, a przedsiębiorcy wychodzili z siebie, by na czas wprowadzić wymagane przez prawo zmiany. Dla użytkowników to też była nowość.
Wyskakujące na każdym kroku pop-upy budziły frustrację, ale ostatecznie wzmogły naszą czujność i wyrobiły dobre nawyki. Nie chcemy być śledzeni, więc świadomie akceptujemy tylko wybrane ciasteczka, ukrywamy hasła i stosujemy uwierzytelnianie dwuskładnikowe.
Pora wprowadzić kolejne dobre nawyki. „Digital Fingerprint”, czyli cyfrowy odcisk palca, to kolejna technika, która ma nas chronić przed niechcianymi reklamami i kradzieżą tożsamości, ale jednocześnie umożliwia ataki. Na czym polega?
Cyfrowy odcisk palca przeglądarki i urządzenia – co to jest?
Cyfrowy odcisk palca to zbiór informacji, które mają umożliwić naszą identyfikację w internecie. Można to wyjaśnić przy pomocy do analogii ze świata offline. jeżeli powiemy, iż ktoś jeździ niebieską skodą, znalezienie tego auta w tłumie innych nie będzie takie łatwe. Jednak dokładanie każdej kolejnej informacji: rocznik, charakterystyczna rysa, zawieszka przy lusterku, naklejka dekoracyjna, rodzaj podwozia – czynią opis coraz bardziej szczegółowym.
Tak samo działa technika cyfrowego odcisku palca – strony www i przeglądarki zbierają informacje o naszym sprzęcie i używanym oprogramowaniu. Podzielić je można na dwie grupy.
Cyfrowy odcisk palca przeglądarki obejmuje m.in. typ i wersję przeglądarki, rozdzielczość ekranu, strefę czasową, wybrane wtyczki i ich ustawienia, adres IP, zainstalowane czcionki.
Cyfrowy odcisk palca urządzenia uwzględnia np. typ i wersję systemu operacyjnego, procesor, ilość pamięci, poziom naładowania baterii, informacje o sieci.
Nie jest to pełna lista informacji, które składają się łącznie na nasz cyfrowy odcisk palca. Co więcej dokładne przewidzenie, która strona www, jakie dane zbiera, jest niemożliwe. Dlaczego? Do tworzenia cyfrowego odcisku palca wykorzystywane są zaszyte w kodzie www skrypty.
Najpopularniejsze są skrypty JavaScript, ale nic nie stoi na przeszkodzie, by użyć innego języka programowania popularnego przy tworzeniu stron www, np. PHP. Popularne jest także wykorzystywanie innych specyficznych dla stron www funkcjonalności, na przykład rysowania Canvas z HTML5, biblioteki WebGL i wiele więcej.
Jak skrypty zbierają informacje na nasz temat w sieci?
Skrypty JS, czyli fragmenty kodu strony napisane w języku JavaScript, odpowiadają za różne jej funkcjonalności, np. działanie karuzeli ze zdjęciami, walidację formularzy, które wypełnia użytkownik, elementy nawigacyjne, na przykład rozwijane menu, wyświetlanie reklam dopasowanych do preferencji użytkownika.
Te skrypty mogą też służyć do celów niewidocznych na pierwszy rzut oka – na przykład pobierania informacji o przeglądarce użytkownika, rozdzielczości i proporcjach ekranu. Choć możemy pomyśleć, iż są to dane, którymi nie chcemy się dzielić, mogą okazać się niezbędne, by przeglądarka np. wyświetliła stronę www w układzie mobilnym.
Odróżnienie skryptów zbierających dane wyłącznie w celu stworzenia odcisku palca, od tych związanych z działaniem strony, jest bardzo trudne, a czasem wręcz niemożliwe.
Do czego służy cyfrowy odcisk palca?
Co się dzieje ze strzępkami informacji, które kolekcjonują o nas skrypty?
W świecie idealnym – służą one wyłącznie do poprawy jakości strony www, która zebrała o nas informacje. Dzięki temu mamy dostęp do bardziej spersonalizowanych informacji (na przykład na portalach z wiadomościami ze świata), trafniejszych reklam itd.
Twórcy stron www, łącząc informacje o danym użytkowniku z przechowywanymi dzięki innego systemu informacjami o błędach, mogą użyć naszego odcisku palca, by poprawić działanie strony www dla konkretnej, wcześniej nie testowanej, konfiguracji przeglądarki.
Cyfrowy odcisk palca może być wykorzystany przez stronę banku, który dzięki niemu może zweryfikować, czy to na pewno my logujemy się na nasze konto. jeżeli digital fingerprint osoby logującej się do banku nie będzie pasował do naszego, aplikacja może podjąć kolejne kroki w celu zapewnienia bezpieczeństwa (na przykład uruchomić procedurę potwierdzenia tożsamość dzięki rozmowy telefonicznej).
Cyfrowy odcisk palca powstał po to, by nas chronić. Dlatego potrafi znacznie więcej:
- chroni przed atakami DDos,
- pomaga w poznawaniu doświadczeń użytkownika (UX) i dostarczaniu mu lepiej dopasowanej zawartości strony,
- optymalizuje treści pod kątem biznesowym i marketingowym,
- wspiera weryfikację dwuetapową…
…i więcej. To wszystko to jasne strony przeglądarkowego i urządzeniowego odcisku palca (browser / device digital fingerprint)! Jednakże złośliwcy twierdzą, iż technologia powstała po to, by uniknąć prawa, dotyczącego zbierania ciasteczek.
Zagrożenia płynące ze zbierania naszych odcisków palców (urządzenia / przeglądarki)
Niestety, technologie, które mają dawać korzyści, często niosą ze sobą też zagrożenia. Jedna z łatwych do znalezienia, darmowych bibliotek (zbiór skryptów) do zbierania odcisku przeglądarki chwali się dokładnością rozpoznania użytkownika na poziomie 40-60%. Inne, komercyjne, równie łatwo dostępne oprogramowanie w sieci, podaje już dokładność 99,5%.
W sytuacji, gdy dana witryna www nie chroni naszego odciska palca przed hakerami lub wręcz celowo go sprzedaje (możliwe, iż zgodziliśmy się na to zakładając konto na portalu i akceptując regulamin) – sprawy stają się jeszcze bardziej skomplikowane. choćby jeżeli nasz jeden, konkretny digital fingerprint nie zawiera wszystkich charakterystycznych danych, połączenie go z naszym odciskiem zebranym z innej strony, powiększa zbiór informacji na nasz temat. Tak jak w opisanej wcześniej analogii z samochodem.
Poprzez brokerów danych, czy też różne programy zewnętrzne, nasze dane są wymieniane pomiędzy stronami internetowymi. Tak powstaje unikalny identyfikator – nie tylko w obrębie jednej witryny, ale też całego internetu. I tak stworzonym odciskiem palca przeglądarki / urządzenia może już posługiwać się przestępca, by podszyć się pod użytkownika w trakcie przestępstwa.
Jakiego? Od włamania na czyjeś konto, przez zalogowanie się na twoje konto i podszywanie pod ciebie (na przykład by wyłudzić pieniądze od znajomych na Facebooku), aż po wielkoskalowe ataki.
Jak daleko jest od cyfrowego odcisku palca do cyfrowego bliźniaka? Przeczytaj: Czy w przyszłości zagłosuje za Ciebie cyfrowy bliźniak?
Cyfrowy odcisk palca – czy musimy się bać?
Choć cyfrowy odcisk palca został stworzony, by zapewnić nam bezpieczeństwo, coraz częściej staje się narzędziem w rękach internetowych przestępców. Nie jesteśmy w stanie w pełni uniemożliwić zbierania informacji na nasz temat, ale zawsze możemy próbować ograniczyć ilość danych, które firmy zbierają. Jak to zrobić? O tym opowiemy w kolejnej części cyklu.