Blog
2010.10.18.
Ahogy a mobiltelefonok beleeszik magukat a mindennapi életünkbe, egyre fontosabbá válik, hogy a rajtuk tárolt, illetve a rajtuk keresztül küldött információk biztonságban legyenek, és így a privátszféra védelme is egyre inkább előtérbe kerül. Már korábban is beszámoltunk róla, hogy voltak ilyen irányú törekvések, azonban úgy tűnik, hogy a The Guardian Project ezeket szeretné egy helyen, egy közösség által gondozottnak látni, méghozzá nyílt forráskódú alapokon és hosszú távon. Érdemes megnézni a honlapjukat az Android felhasználóknak, ahol találhatnak mobil változatra fejlesztett Tor-ral kiegészített anonim böngészőt, Jabber protokollt használó csevegő szolgáltatást, vagy akár magát a mobil Tor-t. Reméljük, hogy a kezdeményezés tovább erősödik majd, és egyre több alkalmazással találkozhatunk a weboldalaikon. Forrás: The Guardian Project - Open-Source Mobile Security Címkék: android , mobil telefon , tor , webes megfigyelés A bejegyzés címe: 2010.10.11.A különféle újszerű azonosítási módszerek mellett már azt gondolhatnánk, hogy a sütiknek végleg befellegzett. Azonban a helyzet korántsem ennyire egyértelmű: itt vannak például az evercookie-k, amelyek a különféle adattárolási módszereket ötvözik, hogy minél perzisztensebb sütit hozhassanak létre. Forrás: evercookie - virtually irrevocable persistent cookies Címkék: sütik , webes megfigyelés , webes privátszféra A bejegyzés címe: 2010.09.29.Hogy mi az a Browser History Attack? Nézd meg a kapcsolódó linket. Könnyű azt mondani, hogy töröljed a sütiket, cache-t és az előzményeket rendszeresen. De a világon senki nem fogja ezt megtenni minden alkalommal, ha egy linken 'open in new tab'-ot nyom. Ráadásul egy csomó web alkalmazás a cache-től és a sütiktől lesz kényelmesen és gyorsan használható. Rengetegszer csukunk be egy böngészőablakot, majd vesszük ismét elő az előzményekből, hogy visszatérjünk. Kellene egy olyan megoldás, ami kevesebb kompromisszumot igényel. Szerencsére erre van mód! Forrás: What the Internet knows about you Címkék: history stealing , webes megfigyelés A bejegyzés címe: 2010.09.16.A múltkor beszámoltunk róla, hogy a böngészők ujlenyomata passzív követésre ad lehetőséget, nem csak normál, hanem privát módban is, sőt, akár átívelően az egyes normál-privát munkamenetek között. Azonban kísérleteink szerint nem csak erre lehet alkalmas, hanem akár a böngészők között átívelő követésre is! Ugyanis vannak olyan jellemzők, amelyek a böngésző programtól függetlenek, és valamennyi böngészőből is elérhetőek. Ilyen például az elérhető betűtípusok listája, vagy az IP cím. Ezek megfelelően előkészített kombinációjából olyan egyedi azonosító állítható elő a felhasználó számára, amellyel privát módban, vagy valamennyi böngészőben egyértelműen azonosíthatóvá válik. Sőt, kísérleteink szerint az azonosítás még anonim böngészők esetén is jól működik: JondoFox esetében is jól működött az azonosítási technika! Ehhez csupán a JavaScript-et kellett engedélyezni, minden más plugin, kiegészítő maradhatott tiltott állapotban, ami más technikáknál mégis szükséges lehet. Az érdeklődők számára készítettünk egy egyszerű demót, amit az alábbi linken lehet kipróbálni:
Megkérjük felhasználóinkat, hogy a későbbi nemzetközi átállásra való tekintettel az alábbi linkek segítségével terjesszék az oldalakat: Magyar változat: http://tinyurl.com/ujjlenyomat Nemzetközi változat: http://tinyurl.com/fingerprint-intl Címkék: fingerprint , privát böngészési mód , ujjlenyomat , webes megfigyelés A bejegyzés címe: 2010.08.28.Újabb fícsörökkel bővült és önálló szolgáltatásként jelent meg a Google valósidejű keresője, a Google Realtime Search. Bár a privátszféra mai állapotáért elsődlegesen az önkéntes adatszolgáltatásokon alapuló "webkettes" szolgáltatások a felelősek, de a keresők is nagy szerepet játszanak ebben a folyamatban: valahogy össze kell gyűjteni, rendszerezni kell, és el is kell tudni érni ezeket az információkat. Ahogy ezek a szolgáltatások egyre inkább a magánszféra részévé válnak, és egyre több információt publikálnak, üzleti szempontból ésszerű lépésnek tűnik a valósidejű keresőkkel való integrálásuk, ez azonban szükségszerűen a privátszféra további csökkenésével jár. (Ráadásul a Google vezetői pontosan tudják, hogy mit csinálnak, mégsem érdekli őket.) Várhatóan ez csak a "valósidejűsödési" folyamat következő lépése, és előbb-utóbb hozzá fogunk szokni, hogy amit az internetre egyszer kiraktunk, az már tényleg soha vissza nem vonható és le nem vehető, és még csak meggondolnunk sem érdemes magunkat. Címkék: google , keresés , valós idejű keresés , webes megfigyelés A bejegyzés címe: 2010.08.24.A privát böngészési mód célja kettős, nevezetesen hogy a gépet igénybevevő többi felhasználó előtt is elrejtse a privát módban végrehajtott akciók valamennyi nyomát, valamint hogy a meglátogatott weboldalak számára is viszonylagosan anonimitást nyújtson, azaz a visszatérő felhasználó újra azonosítása ne legyen lehetséges. Ahogy nem régen beszámoltunk róla, ez nem teljesen sikeres: egyes esetekben a böngészők hozzáférést engedélyeznek a régi sütikhez, de nagyobb probléma, hogy a kiegészítők adattárolását semmi nem szabályozza. Sajnos ha ezeket a problémákat ki is küszöböljük, akkor sem lélegezhetünk fel felhőtlenül. Címkék: privát böngészési mód , webes megfigyelés , webes privátszféra A bejegyzés címe: 2010.07.31.Lehetséges, hogy új fejezetet nyithatunk a Google információétvágyát kielégíteni hívatott "eszközök" történetében. Az óriáscég még 2005-ben nyújtott be kérvényt a szabadalmi hivatalhoz egy olyan rendszer koncepciójával kapcsolatban, mely az egérkurzor mozgása alapján finomítaná a személyre szabott hirdetéseket. Az újítás itt az, hogy nem szükséges többé rákattintani egy linkre ahhoz, hogy a Google információt kapjon a webböngészési szokásainkról; már az is elég, ha az egérkurzorral "elmerengünk" egy szó felett. Arról nincs információ, hogy a keresőóriás mikortól tervezi a gyakorlatban is alkalmazni a rendszert – mindössze annyi bizonyos, hogy privátszféránk egy újabb rétegébe sikerült behatolniuk. Forrás: Slashdot Technology Story | Google Nabs Patent To Monitor Your Cursor Movement Címkék: adatgyűjtés , google , hirdetés , webes megfigyelés , webes privátszféra A bejegyzés címe: 2010.06.18.A HTTPS Everywhere egy egyszerű gondolatot valósít meg: hogyha egy weboldal HTTPS-en keresztül is elérhető, akkor használjuk csak azon keresztül. A gyakorlatban ennek több akadálya lehet, például HTTP-s linkek mutathatnak a védtelen oldalra – nos, az ilyen jelenségek ellenére is kikényszeríti a kiegészítő a HTTPS használatát. (Az alkalmazás fejlesztését a HTTPS-en keresztül is elérhető Google kereső inspirálta.) A kiegészítő számos nagy szolgáltatással működik együtt, de a felhasználó saját maga is beállíthat újakat. Forrás: HTTPS Everywhere Címkék: firefox , https , kriptográfia , webes megfigyelés A bejegyzés címe: 2010.06.14.A rövidítés feloldva a Cross Site URL Hijacking. Ez a technika (jelenleg) csak Firefox-ban működik, és arra használható, hogy egy harmadik weboldal lekérdezze bizonyos szolgáltatásokban a felhasználói azonosítónkat. A módszer roppant egyszerű: bizonyos URL-ekben megtalálható a felhasználó azonosítója, és a Firefox hibakezelőjének átállításával ezt képes kiolvasni a támadó (voltaképp az egész URL elérhető). A támadásra egy bemutató oldal is készült. A támadás pici hasonlóságot mutat a History Stealinggel, hiszen azt is le lehet tesztelni, hogy mely weboldalakon járt (és jelentkezett be) az illető, bár itt a cél a belépett identitás meghatározása. Ahogy a közösségi oldalak terjednek, és nő a virtuális identitásunk súlya, egyre inkább várhatóak az ilyen jellegű támadások is – reméljük valamennyire még időben fény derül majd. Forrás: Soroush Dalili - Cross Site URL Hijacking by using Error Object in Mozilla Firefox Címkék: anonimitás , azonosítás , webes megfigyelés A bejegyzés címe: 2010.05.20.Videó: Anonymity, privacy and Circumvention: Tor in the Real World2010.05.20. 11:48:46, Gulyás Gábor Az alábbiakban Jake Appelbaum előadását hallhatjuk a SOURCE 2010 konferenciáról. Kicsit hosszú az előadás, de érdekes dolgokat említ benne, mint például hogyan alakítottak ki egy e-mail alapú Tor letöltő rendszert azon országok lakói számára, ahol a közvetlen webes letöltés le van tiltva. (A videó HD felbontásban itt kikereshető, a fóliák is megtekinthetőek külön is.) Címkék: privacy , tor , videó , webes megfigyelés A bejegyzés címe: 2010.05.01.A legaktuálisabb újítása a Facebook-nak, hogy mindenütt lehetővé tették, hogy a felhasználóik a funkciót támogató weboldalakon rögtön kedveltté nyilvánítsanak bizonyos tartalmakat. A privátszféra oldaláról ez annyit jelent, hogy ahol beágyazzák ezeket az elemeket, akkor az ott megforduló látogatók a Facebook számára követhetőek lesznek, és ha ezek az emberek még be is vannak lépve a Facebook oldalán, akkor a követési információk egyből a profilhoz kapcsolhatóak lesznek. (Ennek működése egyszerű, és hasonló a webpoloskáékhoz, csak egy iframe tartalma kerül letöltésre.) Ráadásul úgy tűnik, hogy mindez nem csak paranoia. Címkék: facebook , privacy , webes megfigyelés A bejegyzés címe: 2010.03.30.Az utóbbi időben egész sokat foglalkoztunk a History Stealing módszerrel, és azon belül is kiemelten, hogy a legújabb kutatási eredmények szerint hogyan lehetséges ezzel a módszerrel egy vadidegen oldalnak beazonosítani a közösségi oldalon lévő profilunkat. (Emlékeztető: a böngészőben tárolt URL-ekkel ellenőrzik, hogy mely csoportok weboldalát látogattuk meg, és ezt összehasonlítják a profilokkal.) A módszer hátránya, hogy munkaigényes: egyrészt be kell gyűjteni egy közösségi oldal profil adatait, és meg kell határozni, hogy mely csoportokat (vagy egyebet) használjanak fel a beazonosításhoz. Ez azért nehéz, mert akkor jó a csoportok kiválasztása, ha a csoportba tartozás nagy valószínűségű esemény, és a teszteléshez nem kell túl sok URL-t ellenőrizni, mert az feltűnő lehet. Előnye viszont, hogy ez a módszer pontos azonosítást adhat, ráadásul egy személyes profil szintjén. Azonban úgy tűnik, hogy a Facebook szeretné megkímélni a weboldalak üzemeltetőit ettől a nehéz munkától, és újabb változtatásokat eszközölnének az adatvédelmi nyilatkozatban. Forrás: Facebook Blog: Another Step in Open Site Governance Címkék: facebook , history stealing , webes megfigyelés A bejegyzés címe: 2010.03.22.Az IT café is cikkezett róla, hogy várhatóan néhány héten belül el fog készíteni a Google egy olyan böngésző kiegészítőt, amelynek segítségével a felhasználó letilthatja a Google Analytics szolgáltatást, és ezáltal a tevékenységének nyomkövetését. Korábban írtunk egy olyan Firefox kiegészítőről, ami a belépést nem igénylő Google szolgáltatásoknál tett hasonlót lehetővé – azonban ez a megoldás nem egy Google termék volt. A felhasználó privátszféráját veszélyeztető tényezőket három csoportba sorolhatjuk, ebből az egyiknek az alapját épp a Google-hez hasonló szolgáltatók adják, és ezért is érdekes a Google-nek ez a lépése. Forrás: More choice for users: browser-based opt-out for Google Analytics on the way Címkék: google , nyomkövetés , webes megfigyelés , webes privátszféra A bejegyzés címe: 2010.03.16.Egy ideje követem Arvind Narayanan-nak a 33 Bits of Entropy nevű blogján megjelenő post sorozatát a History Stealing témaköréből, és ennek is köszönhetőek a kapcsolódó bejegyzések zöme (de azért nem mind). A History Stealing módszer ámbár már régen ismert, egy újszerű támadási módszer újra fény vetett rá. Ennek lényege, hogy ha ismerünk elegendő mennyiségű publikus profilt a csoport-tagságokkal együtt egy tetszőleges közösségi oldalról, akkor elég ellenőriznünk a weboldalt meglátogató felhasználónál néhány csoportok weboldalának az URL-jét, hogy a felhasználó profilját egyedileg be tudjuk azonosítani. Arvind azonban továbbfejlesztette az ötletet általánosságban a közösségi médiákra. Címkék: history stealing , web 2.0 , webes megfigyelés A bejegyzés címe: 2010.03.10.A közelmúltban bemutattuk egy rövid bejegyzésben a History Stealing lényegét, illetve egy olyan újfajta támadási módszert is említettünk, amelynek segítségével jó eséllyel beazonosítható a felhasználó profilja egy közösségi oldalon. Ha valaki szeretne mélyebb betekintést tenni a böngészőjében tárolt múltjába, ajánljuk a What the Internet know about you weboldalt, illetve ha valaki szeretne egy kicsit részletesebben dokumentált tesztet is megnézni, ajánljuk figyelmébe ezt a másik oldalt. Szívesen veszünk át olvasóinktól is ajánlásokat a hozzászólások közül! Címkék: előzmények , history stealing , privacy , webes megfigyelés A bejegyzés címe: 2010.03.06.Korábban beszámoltunk a Pirni nevű alkalmazásról, ami lehetővé teszi – bizonyos korlátok között –, hogy WLAN hálózatokat hallgassunk le a zsebünkből. (Egészen friss fejlemény ezen a téren, hogy eltűntek az Apple Store-ból a lehallgatásra alkalmas programok.) Azonban jó hír, hogy a védekezésre használható technológiák között találhatunk már Android platformra elérhető alkalmazásokat, melyek segítségével lehetővé válik az anonim webezés is! Forrás: TorProxy and Shadow Címkék: android , anonim böngésző , webes megfigyelés A bejegyzés címe: 2010.02.23.Nem rég megjelent a Linkek szekcióban egy új Firefox kiegészítő (SafeHistory), mely segítségével megakadályozhatjuk, hogy illetéktelen weboldalak felderítsék a böngészési előzményeinket (history), és ezt felhasználják a privátszféránk elleni támadásokra. Például arra, hogy azonosítsanak minket. Hogyan is működik ez a támadás? Forrás: Safehistory Címkék: history stealing , közösségi szolgáltatások , nyomkövetés , webes megfigyelés A bejegyzés címe: 2010.02.03.A nyomkövetéses azonosítás a megfigyelési technikák egyik legrégebbi módja. Eleinte az IP címeket használták a felhasználó azonosítójaként, és a megfigyelés során összegyűlt adatokat az ehhez kapcsolódó profilban tárolták. Majd mivel a NAT elterjedt, és az IP címek egyre kevésbé voltak egyediek, ez a módszer már nem bizonyult pontosnak. Ehelyett inkább a felhasználó gépén kezdték tárolni az egyedi azonosítót, amit a szolgáltatók generáltak, erre szolgáltak a követésre használt sütik. A felhasználók tudatossága azonban egyre növekedett, és elkezdték törölni a sütiket, így más, kiegészítő technikákat kezdtek használni, mint például a Flash sütikben való tárolás vagy biztonsági másolat készítés, vagy Javascript gyorsítótárazással trükközés. Néha a szolgáltatók közötti kollaboráció sem volt kizárható (pl. Yahoo beacon-ök terjesztése), de a hirdetők vagy audit szolgáltatók is jó pozícióba kerültek, hiszen a hirdetéseken és az elhelyezett "poloskákon" (web bug) keresztül átfogó megfigyelést képesek végrehajtani az egyes oldalak között. Forrás: Even without cookies, a browser leaves a trail of crumbs Címkék: nyomkövetés , webes megfigyelés A bejegyzés címe: 2010.01.24.A Google a kínai incidens után előhozta a szokásos érveket, amivel általában a kukkoló társadalom továbbépítése mellett szoktak érvelni – ráadásul most az EU irányába lobbizik. Ez röviden így foglalható össze: a terrorizmus elleni harc miatt visszább kell venni a demokráciából, csak kisebb szabadság és privátszféra engedhető meg, és több megfigyelést, naplózást kell eltűrniük a felhasználóknak (hasonló témájú vita zajlik a reptéri ellenőrzések körül). Ahhoz ugyanis, hogy a kínai támadáshoz hasonlókat kezelni lehessen, IP címeket és egyéb érzékenyebb adatokat is tárolni szükséges. Ráadásul a Google 9-18 hónapig tárolja ezeket. Forrás: GoogleSharing Címkék: google , pet , rövid hír , webes megfigyelés A bejegyzés címe: 2009.12.08.Tudjuk, hogy egyesek szerint egyre inkább az várható, hogy mindent a weben keresztül fogunk intézni, és az elsődleges alkalmazássá a gépünkön a web böngésző válik majd. Ha ez így, ilyen formában nem is teljesül, azért a böngésző alkalmazások fontosságát nem vithathatjuk; kétségkívül fontos szerepet töltenek be mind a munkánkban és magánéletünben is, vagy ha nálunk nem is, de sokaknál igen. Vegyük figyelembe, hogy manapság a Firefox 3 az egyik legnépszerűb böngésző, így várható, hogy majd lesznek olyan vírusírók, akik erre a platformra kívánnak majd specializálódni. Forrás: The Invisible Firefox Extensions Címkék: firefox , webes megfigyelés A bejegyzés címe: 2009.11.25.Közösségi oldalakon is érdemes lehet néhány információt titkosítani munkról, ha már másképp nem tudjuk szabályozni, hogy ki milyen adatunkhoz férjen hozzá, vagy ha esetleg nem bízunk a szolgáltatóban. Erre a problémára is kínál megoldást a PET Portál korábban bemutatot projektje a BlogCrypt Firefox kiegészítő, de más megoldásokkal is találkozhatunk, mint például a NOYB: None Of Your Business. Ezen Firefox kiegészítő készítői nem csupán egy alkalmazást tettek közzé, hanem egy publikációt is mellékeltek alkalmazásukról. Címkék: közösségi szolgáltatások , webes megfigyelés A bejegyzés címe: 2009.11.10.A Google Dashboard bejelentkezés után elérhető bárki adatlapján, és annak áttekintésére szolgál, hogy milyen információkat tárol rólunk a Google. Bár egyes vélemények szerint ezt a funkciót senki sem fogja használni, azért némi előnye rögtön akad: legalább tudjuk, hogy a régebben látogatott Google szolgáltatásokat mikor használtuk utoljára, milyen tevékenységeket végeztünk ott. Leginkább talán azért hasznos, mert elgondolkodunk azon, hogy mi mindent is tudnak rólunk. Forrás: Transparency, choice and control — now complete with a Dashboard! Címkék: adatgyűjtés , adatvédelem , google , privacy , profilozás , webes megfigyelés A bejegyzés címe: 2009.09.19.A mai nappal kezdetét veszi BlogCrypt projektünk nyílt béta fázisa. A blogcrypt.com-mal ellentétben itt nem horror stílusú weblapokat hozhatunk létre, hanem privát szféránk elé helyezhetünk egy újabb bástyát. A BlogCrypt egy olyan Firefox kiegészítés, melynek segítségével titkosíthatjuk a webre általunk felkerült blogbejegyzéseket, fórumhozzászólásokat. Ha érdekel részletesebben a project, akkor ide kattintva a project hivatalos oldalán minden információt megkaphatsz. Címkék: ajánló , blogcrypt béta , webes megfigyelés A bejegyzés címe: 2009.09.11.A FaceCloak Firefox kiegészítő célja, hogy a Facebook-on csak a kiválasztott ismerőseinkkel ossztunk meg információkat. A működése egyszerű: bizonyos mezőket titkosítunk, úgy töltjük fel, majd pedig a kulcsot csak bizonyos ismerőseinkkel osztjuk meg. Ugyanezt a működési elvet valósítja meg a BlogCrypt Firefox kiegészítő is, azonban ez általánosabb: akár blogokon, fórumokon, vagy más helyeken is titkosíthatjuk ezzel a módszerrel az adatainkat. A BlogCrypt első hivatalos bemutatója a Hacktivity 2009 konferencián lesz, és ugyanitt tesszük elérhetővé az első kipróbálható változatot, ami beépítve tartalmazza és támogatja AES-CBC, AES-CTR titkosítási módokat is. Címkék: hacktivity , pet , webes megfigyelés A bejegyzés címe: 2009.09.08.Mostanában egyre többször merül fel a kérdés, és van, amikor már a privátszféra végét jósolgatják. Gondoljunk például arra az esetre, amikor az AOL kiadott anonimizált keresési kifejezéseket, aminek az eredménye az lett, hogy végül is csak ki lehetett deríteni, hogy kik hajtottak végre egyes kereséseket, és az AOL-nál emberek kezdték elveszíteni a munkájukat emiatt. Aztán például a Netflix anonimizált adatbázisán is végre tudtak hajtani hasonló de-anonimizáló támadást, de torrent hálózatok esetén is sikerült már pusztán a kapcsolatok struktúrjából hozzávetőlegesen az identitásra következtetni. Most pedig megjelent egy újabb riogató cikk a témában. Címkék: de-anonimizálás , webes megfigyelés A bejegyzés címe: 2009.09.02.Fogyasztóvédő szervezetek egy csoportja úgy véli, hogy új védelmi mechanizmusokra van szükség az on-line privátszféra védelmét illetően, és törvényekkel is kellene védeni a felhasználókat a viselkedésük profilírozásával és a célzott hirdetésekkel szemben. A Center for Digital Democracy egyenesen úgy fogalmazott, hogy az önszabályozó próbálkozások elbuktak, ennél többre van szükség. Ezért a fogyasztóvédő szervezetek javasoltak néhány irányelvet, és készítettek egy áttekintő tanulmányt is. Ha nekik nem is hiszünk, nem kell messzire mennünk további bizonyítékokért, gondoljunk csak a Flash sütikre (cikk a törlésükről), vagy a Know Privacy felmérésre. Talán nem is önszabályozásra van szükség, hanem nagyobb tudatosságra, hiszen a közvélemény alapjaiban meg tudná ingatni a szolgáltatókat – ha tudna arról, hogy kihasználják. Forrás: Privacy Groups Call for New Safeguards for Online Advertising Címkék: hirdetés , internet , privacy , profilozás , rövid hír , webes megfigyelés A bejegyzés címe: 2009.08.15.Nem rég körbejárta a webet a hír: hiába törlik a felhasználók a sütiket, a Flash sütik segítségével úgyis követhetőek maradnak (nekünk ez nem volt újdonság, már több, mint egy évvel ezelőtt írtunk róla). Azoknak, akiket zavar ez a lehetőség, s tenni szeretnének ellene, az alábbi lehetőségeket tudjuk ajánlani. Címkék: pie , webes megfigyelés A bejegyzés címe: 2009.08.14.Újgenerációs anonim böngészők: sütik, piték, javascript - a webes megfigyelés újabb mélységei2009.08.14. 10:22:56, Gulyás Gábor A következő PET Portálon is megjelenő tanulmány témája az internet böngészésének kihívásaival foglalkozik, amely cikk 2007-ben jelent meg a Híradástechnika folyóiratban. Az utóbbi időben is kurrens kérdés, hogy a webes tartalomszolgáltatók hogyan figyelik meg és követik nyomon a látogatóik tevékenységét. A napokban a Wired-en, majd az Index-en is jelentek meg cikkek ebben a témában, amelyek a Flash sütikkel foglalkoznak. Ezen belül is pontosabban az ún. pitékkel, amelyek a felhasználói tevékenység követésére alkalmas azonosítókat tartalmazó Flash sütik. Persze nem mindig, de előfordulhat az is, hogy ezekben tárolják el a követésre használt böngésző sütik biztonsági másolatát, ahelyett, hogy közvetlenül követésre használnák őket. A kifejezés az angol PIE rövidítésből származik, ami találóan hasonlít a süti kifejezéshez (angolul cookie), és a amelynek feloldása pedig magyarul "állandó azonosító elem" lehetne, megfelelően az angol "Persistent Identification Element" kifejezésnek. Erről már másfél évvel ezelőtt írtunk a PET Portálon a Sütik, piték és a webes megfigyelés című bejegyzésünkben, és most szeretnénk olvasóink figyelmébe ajánlani a PET Portálon megjelent tanulmányt, amely ezt a témakört is érinti, de megemlít más követésre alkalmas módszereket is. A tanulmány emellett a megfigyelés ellen védelmet nyújtó technológiákkal, az anonim böngészőkket foglalkozik legfőképp, és rendszerbe is szervezi ezeket a technológiákat. Gulyás Gábor, Schulcz Róbert: Újgenerációs anonim böngészôk A web már régóta felvet adatvédelmi kérdéseket a látogatók számára is: bizonyos szolgáltatók megfigyelik a felhasználók tevékenységeit, követik ôket, adatbázist építenek ízlésvilágukról. Az anonim böngészôk megoldást kínálnak a felhasználóknak, elrejtik ôket a figyelô szemek elôl. A cikkben bemutatunk néhány követésre használt módszert, illetve egy új, az anonimizáló szolgáltatásokra vonatkozó konstrukciós paradigmát, majd egy ez alapján értelmezett osztályozási rendszert is az anonim böngészôk besorolásához. A tanulmány letölthető a Tanulmányok szekció cikkei közül. Címkék: pie , privacy , tanulmány , webes megfigyelés A bejegyzés címe: 2009.07.16.Nem régiben írtunk a Facebook adatvédelmi nyilatkozatáról, de egyébként is felvetnek az ilyen szolgáltatások érdekes kérdéseket: egyes esetekben nehézkesen tudják kezelni a felhasználók a hozzájuk közhető információkat; törlés után a képek vagy levelek nem tűnnek el azonnal; a különbözőnek feltüntetett de egy felhasználóhoz tartozó identitások összeköthetőek lesznek (akár különböző oldalakon keresztül); nem mindig szabályozható ismerettségi körön belül az egyes információk hozzáférhetősége; vagy akár ugyanez ismeretlenek felé. A listát sorolhatnánk tovább is, de ez azért már ad némi ízelítőt. Forrás: Opinion 5/2009 on online social networking Címkék: európai unió , facebook , social networks , webes megfigyelés A bejegyzés címe: 2009.07.12.A Ghostery egy nagyon egyszerű kis Firefox plugin, ami figyelmeztet, ha egy weboldalon web bugok, hirdető hálózatok "detektorai" jelen vannak. Az adott hálózatról - ha a plugin ismeri - bővebb információt kérhetünk, illetve megtekinthetjük a hozzá tartozó forráskódot is. Forrás: Ghostery Címkék: megfigyelés , pet , web bug , webes megfigyelés A bejegyzés címe: 2009.06.28.Egy érdekesség a Facebook adatvédelmi nyilatkozatából: Facebook may also collect information about you from other sources, such as newspapers, blogs, instant messaging services, and other users of the Facebook service through the operation of the service (e.g., photo tags) in order to provide you with more useful information and a more personalized experience. Ugyanez megjelent már az immáron magyar nyelvű adatvédelmi nyilatkozatban is (2 hete még nem volt ilyen): A Facebook más forrásokból is gyűjthet rólad adatokat, például újságokból, blogokból, azonnali üzenetküldő szolgáltatásokból, továbbá a Facebook szolgáltatás használata közben más Facebook-felhasználóktól (pl. fénykép-megjelölések) azért, hogy még hasznosabb információkat és még jobban személyre szabott élményt biztosíthassunk neked. Sajnos ennek az adatgyűjtésnek a célját nem említik. Hiszen nyilván nem azért gyűjtenek rólunk információkat blogokból, újságokból, hogy a szolgáltatást minél inkább személyre szabhassák: ma is egyszerűbb megkérdezni (beállítások), mint ezt csinálni. Az más kérdés, hogy a 'blogok' és 'újságok' alatt azt is értik-e, hogy web-poloskák segítségével az ottani tevékenységünk is megfigyelik. Egy másik érdekes kérdés, hogy bizonyára nem kerültek véletlenül a listába az azonnali üzenetküldő szolgáltatások: vajon ennek mi lehet a szerepe itt? Forrás: Facebook Privacy Policy Címkék: facebook , megfigyelés , privacy , webes megfigyelés A bejegyzés címe: 2008.12.29.A TOR hálózatok célja, hogy a elrejtsék az illetéktelenek elől a felhasználói IP címét, így megnehezítve a a felhasználói tevékenységek megfigyelését és a profilkészítés lehetőségét. Magát a TOR technológia alapgondolatát nem mondhatnánk újnak (Hiding Routing Information, 1996), de manapság egyre több helyen tudnak róla és használják. Talán éppen emiatt már időszerű volt, hogy megjelenjen ez és a hasonló PET-es technológiák hardveres formában, hasonlóan ahhoz, ahogy például tűzfalak is léteznek célhardver formában, vagy ahogy VPN-t kezelhetünk a router-eken keresztül. Forrás: JanusPA Címkék: anonimitás , internet , privacy , tor , webes megfigyelés A bejegyzés címe: 2008.11.30.Az Opera Mini egy mobil telefonokra készített web böngésző alkalmazás (J2ME platform), amely ingyenes, gyors és kicsi: a gyorsasága nem csupán az alkalmazás renderelési sebességében merül ki, hanem maga a böngészés, a letöltés sebessége is gyors, akár egy mezei GPRS kapcsolaton keresztül is. Az érdeklődők a böngésző emulált változatát itt ki is próbálhatják. Forrás: Opera Mini Címkék: anonimitás , megfigyelés , webes megfigyelés A bejegyzés címe: 2008.10.22.A svéd kormány beleegyezett a hatalmas tiltakozást kiváltó ún. FRA-törvény megváltoztatására. Az új tervezetet 2009 elején terjesztik a törvényhozás elé. Mint azt már előzőleg megírtam, az eredeti paragrafus lehetőséget adott volna az FRA nevű szervezetnek bármilyen, az ország határát keresztező, kábelen haladó kommunikáció lehallgatására, bírósági végzés nélkül is. Forrás: Swedish Government Agrees To Change New Eavesdropping Law Címkék: megfigyelés , privacy , webes megfigyelés A bejegyzés címe: 2008.09.22.Absztrakt
A PET Portálon hamarosan közzé tesszük a következő tanulmányt, melynek címe „A web bug technológia — barát vagy ellenség?”. Ez a tanulmány is az Alma Mater könyvsorozatban jelent meg, a Szabad adatok, védett adatok tanulmánykötet részeként. Következő tanulmányok: Miután a tanulmány elérhetővé lesz a PET Portálon, következőként Tóth Csaba tanulmányát fogjuk közzé tenni, az anonim digitális pénzrendszerek átfogó vizsgálatáról, Egy ideális anonim digitális pénzrendszer címmel. Idén ezen kívül még egy "meglepetés" tanulmányt fogunk elérhetővé tenni a PET Portálon, amely mind terjedelmében és jellegében kilóg az eddigi sorból, s az érdeklődők számára érdekes olvasmánynak ígérkezik a karácsonyi szünetre. Címkék: anonimitás , profilozás , tanulmány előzetes , web bug , webes megfigyelés A bejegyzés címe: 2008.07.10.Legutóbb a vészharangot egy DNS sebezhetőség kapcsán kongatták meg a szakemberek világszerte, amely gyengeség jelenleg nyilvános részleteiről a hazai sajtó is tudósított. A probléma lehetővé teszi, hogy a DNS adatbázis mérgezésével (hamis információkkal való feltöltésével) rosszindulatú felek elérjék, hogy a felhasználó tudta nélkül a saját szervereikre irányítsák. Szakmai információkat még nem hoztak nyilvánosságra, de állítólag az augusztus elejei Black Hat konferencián ezt is bepótolják, bár a hibát felfedező szakember előadásáról még nincsenek kint információk. A PET rendszereket is érinthetik ezek a gyengeségek. Ilyen sebezhetőségek mellett könnyen lehet például az anonimizáló rendszereket kompromittálni, egyszerűen csak a belépő proxy-k címének "felülírásával". Mialatt a felhasználó mit sem sejt, sőt, abban a hitben él, hogy anonim, követhetetlen, profilozhatatlan. Pedig épp ellenkezőleg. Hasonló, de már inkább privacy vonatkozású eset az év elején kiderült Flash gyengeség, amelyet kihasználva a támadó fél átállíthatja a felhasználó routerét, és ráveheti, hogy tetszőlegesen proxy-n irányítsa át a forgalmat, valamint ez esetben is meg tudja hamisítani a DNS információkat! Ez esetben - PET-ek szempontjából - sokkal érdekesebb problémával állunk szembe, hiszen így a teljes internet forgalmunk eltéríthető, módosítható és elemezhetővé válik. Ezen problémáról itt található egy leírás, sőt, proof-of-concept demó is! (Az előbbi cikk szerzői egy FAQ -t is készítettek.) A gyengeség kihasználásához semmi másra nincs szükségünk mint a belső hálózati számítógépre telepített Flash lejátszóra, és arra, hogy a router-en be legyen kapcsolva az UPNP funkció! További részletek elérhetőek az említett címen. Forrás: IT Café Címkék: internet , megfigyelés , web , webes megfigyelés A bejegyzés címe: 2008.06.26.A World Wide Web Consortiumnak (W3C) egy olyan technológiája, melynek révén az Internet felhasználói több eszközt kapnak személyes adataik védelmére. A konzorcium együttműködési ülése módot adott ügyvédeknek és cégeknek, hogy javaslataikkal hozzájáruljanak a Platform for Privacy Preferences Project (P3P) fejlesztéséhez. Forrás: W3C - P3P hivatalos oldala Címkék: personal data , web , webes megfigyelés A bejegyzés címe: 2008.06.22.A svéd kormány egy „furcsa” törvény elfogadására készül. Svédországban 2009-től – ha június 17-én elfogadják a törvényjavaslatot – az FRA (Försvarets Radioanstalt, kb. Honvédelmi Rádióintézet) nevű, a nemzetbiztonsági szolgálatok alá tartozó szervezet a svéd országhatáron átmenő bármilyen kommunikációt lehallgathat, bírósági végzés nélkül. (Pontosabban az „újítás” csak a kábelen haladó információk vizsgálatának joga, a vezeték nélküli rendszerek lehallgatásához már eddig is biztosított volt a jog.) Forrás: Swedish Gov´t to Vote on Allowing E-mail, Phone Monitoring Címkék: megfigyelés , webes megfigyelés A bejegyzés címe: 2008.06.17.Ha az Olvasó számára nyitott kérdés, hogy miért léteznek ilyen szolgálatások, javasoljuk, hogy olvassa el webes szférát övező veszélyeket is taglaló, honlapunkról letölthető anonim böngészőkről szóló tanulmányt. Ebben a bejegyzésben az anonimbizáló webes szolgáltatások egy lehetséges kategorizálási lehetőségére mutatunk rá. Címkék: anonim böngésző , webes megfigyelés A bejegyzés címe: 2008.04.16.A web privátszférát érintő kérdésere - természetesen a felszámolandó problémát tekintve - számos megoldás létezik. A hálózati anonimizáló és szűrő megoldások mellett ide sorolhatunk olyan kiegészítő védelmi technikákat, amelyek nem közvetlenül a hálózati privátszférát érintik, mint például a spyware eltávolító és szűrő programok; hiszen a kémprogramok egy része hajlamos a böngészési előzmények, sütik között is keresgélni. Azonban teljeskörű védelmet - a hálózatot érintő privátszféra védelem tekintetében - csak az anonim böngészők kínálnak. A PET Portálon hamarosan közzé tesszük a következő tanulmányt, melynek címe „Anonim-e az anonim böngésző? Technológiák és szolgáltatások elemzése”. A tanulmány a web privátszférát érintő kérdéseinek elemzésén túl bemutatja az anonim böngészők világát, és összehasonlító módon elemez néhány szolgáltatást, amely segíthet az érdeklődőknek a szolgáltatások közötti eligazodásban, a megfelelő böngésző kiválasztásában. Ez a tanulmány is az Alma Mater könyvsorozatban jelent meg, és amelyekből a későbbiekben további, technológiai vonatkozású írást a PET Portálon is letölthetővé kívánunk tenni. Címkék: anonim böngésző , anonimitás , tanulmány előzetes , webes megfigyelés A bejegyzés címe: 2008.03.16.A web indulásának elején alapvető probléma volt, hogy a weboldalak állapotmentesek voltak, azaz nem tároltak információkat a látogatásról, az elvégzett műveletekről, mindig ugyanabban formában jelentek meg. A sütiket (cookie) a web statikus mivoltának enyhítésére találták ki: a sütik a látogató számítógépén tárolt információk, melyeket a weboldal látogatása elején automatikusan megkap a weboldal. Szerencsére minden oldal csak azokhoz a sütikhez fér hozzá, amelyeket a saját címére vannak elmentve; hogy az oldalak ne tudjanak a sütiken keresztül egymásnak üzenni, egy oldal csak saját magának menthet el sütiben információt. Sütiket azonban nem csak akkor menthet el egy webes kiszolgáló, ha őt látogatjuk meg, elég, ha beágyazzák egy hirdetését egy oldalba. Erre sincs feltétlenül szükség, az ún. web poloskák (web bug) speciális 1x1 pixeles, láthatatlan hátterű kis képek, amelyeket észre sem lehet venni, de lehetővé teszik az őket megosztó webes kiszolgáló számára, hogy kövessenek minket. A weboldal megnyitásával automatikusan letölti a böngészőnk a beágyazott poloskát is. A poloskán keresztül kapunk egy egyedi azonosítót, és a későbbiekben ezen keresztül azonosít a poloskával minket megfigyelő szolgáltató, aki azt is mindig tudja, hogy milyen oldalt nyitottunk meg, amelyen a poloska szerepelt. Így naplózni tudja tevékenységünk, amely alapján profilt készíthet rólunk. A profilt számos számunkra előnyös, de jó néhány kellemetlen dologra is fel lehet használni, mint például: kaphatunk személyes ízlésvilágunkra szabott tartalmat és funkcionalitást, de célzott hirdetéseket vagy épp dinamikus árlistát. A web poloskák szűrésére és detektálására használható a PET Portál sajtóbemutatóján is ismertetett program, az Internet Explorer böngészőbe telepíthető Bugnosis . Hasonlóan a sütik analógiájára, a Flash 6 óta elérhetőek az ún. LSO-k (Local Shared Object, helyben tárolt megosztott objetum), melyekben a flash-ben írt programok tárolhatnak információkat. Ezeket első sorban sütikhez hasonlóan munkamenet azonosítók, vagy egyéb hasznos információk tárolására szántak, mint például pontszámok, szintidők, vagy éppen a már megjelenített hirdetések azonosítóinak tárolására. Az LSO-k segítségével a sütiknél leírtakhoz hasonlóan lehetőség nyílik a nyomkövetésre, hiszen manapság teljes természetesnek számít, hogy a webes portálokon tömérdek Flash reklámba botlunk, lépten-nyomon. Az angol szakirodalomban a követésre használt LSO-kat épp PIE (Persistent Identification Element, megmaradó azonosító elem) elnevezéssel illették. (Ha az angolul cookie-nak hívott találmányt sütinek fordította a szakma, akkor a véletlenül PIE-nak nevezett elem helytálló fordítása a pite.) Mit tehetünk? A Firefox böngésző használóinak az LSO-k kezelésére ad lehetőséget az Objection kiterjesztés, mellyel a sütikezelő megoldásához hasonlóan törölhetjük a Flash programok által mentett adatokat, de segítségével az is kiderül, hogy merevlemezünkön hol tárolja a Flash lejátszó ezeket az adatokat. A Macromedia oldalán keresztül elérhetünk egy kezelőfelületet, amelyben például letilthatjuk az LSO-kat véglegesen is. További olvasnivaló: Címkék: profilozás , webes megfigyelés A bejegyzés címe: 2008.02.16.Az USA kormányszerveinek szabad hozzáférést szeretne biztosítani az emailekhez és a webkeresési adatokhoz2008.02.16. 22:53:57 Az amerikai titkosszolgálat vezetője, Mike McConnell új, az interneten folyó adatforgalom megfigyelésével kapcsolatos szabályrendszer kidolgozásán dolgozik. A tervek szerint a kormányzati szervek hozzáférési joga rendkívül széles körű lenne. Amellett, hogy az ilyen természetű változások komoly hatással lehetnek a személyi szabadságjogokra, köztük a magánszféra védelmére, arra kell felhívni a figyelmet, hogy míg a „rosszfiúknak” szinte minden eszközük megvan arra, hogy tevékenységüket és kommunikációjukat elrejtsék az őket figyelők elől, addig az ártatlan és a PET-technológiában járatlan internethasználó a megfigyelés tárgyává válik. Forrás: A The Raw Story Címkék: usa , webes megfigyelés A bejegyzés címe:
|
BejelentkezésRegisztrációs panelHozzászólásokCímkékArchívumPartnereink
Ajánló
|
RSS 2.0 
Új bejegyzés beküldése 
Tovább a hozzászólásokhoz (0 hozzászólás)