A szupersüti nyomában
Mi esszük meg a sütit, vagy ő minket? Hogyan legyünk tudatos fogyasztók?
Ismeretlen ismerős
Jóleső érzés, ha a kávézóban azzal fogadnak: „- A szokásosat?” Itt ismernek, figyelnek rám: fontos vagyok – gondoljuk. Furcsán néznénk viszont, ha a pincér azt mondaná: mivel látja, hogy éppen a szemközti patikából jövök, felhívta az orvosomat, így csak koffein és cukormentes kávét adhat, mindenmentes süteménnyel. Abszurdnak tűnik a lehetőség, de az internet összekapcsolt világában egyáltalán nem légből kapott.
Minden kattintás a böngészőben, minden lépés az okostelefonnal a zsebünkben növeli a digitális lenyomatunkat a metaverzumban. Elektronikus szenzorok hada figyeli – szó szerint – minden rezdülésünket. Apró adatmorzsákat hagyunk magunk mögött, amelyeket az okoseszközök összegyűjtenek, és folyamatosan az online digitális platformok felé továbbítanak. A mesterséges intelligencia korábban elképzelhetetlen pontosságú képet alkot személyiségünkről, szokásainkról, életkörülményeinkről. A digitális profilozás alapvető feltétele, hogy a begyűjtött adatokat egyértelműen és univerzálisan lehessen egy adott személyhez kötni. Ennek legbiztosabb módja a biometrikus azonosítás lenne, mivel az arcunkat vagy ujjlenyomatunkat nehezebb lecserélni, mint az okostelefonunkat, viszont az emberek egyelőre még szkeptikusak, és sokan tartanak a totális megfigyelés negatív társadalmi hatásaitól. Egyelőre.
Egy kis történelem...
Az internetes weboldalak által a böngészőkben elhelyezett „sütiket” – szakkifejezéssel élve – állapotleíró adatblokkokat Lou Montulli, a Netscape programozója alkotta meg 1994-ben. Egészen addig, ha egy weboldalt keresett fel valaki az interneten, olyan érzése lehetett, hogy még sohasem járt az oldalon, mivel minden egyes alkalommal el kellett végeznie az azonosítást, a nyelv kiválasztását, a felhasználói adatok beírását. A sütik egyik alapvető újítása volt, hogy segítségükkel a webáruházak virtuális bevásárlókosarat tudtak létrehozni, amely „tárolta” az ügyfelek által kiválasztott termékeket a későbbi megrendelésig. A sütik megjelenése egy alapvetően személytelen, technokrata szemléletű adathozzáférés helyett egy a felhasználóval együtt élő, együtt változó böngészési élményt adott, mindenki kialakíthatta és személyessé tehette a webes környezetét, amelyet sokkal egyszerűbb volt használni a mindennapokban. Nem adták azonban ingyen ezt a kényelmet. A felhasználók a magánéletük szűkülésével fizettek érte, mivel a weboldalak üzemeltetői is meglátták az üzleti lehetőséget a sütik elemzésében: ki, mikor milyen weboldalakat látogatott korábban, milyen az érdeklődési köre.
Adatvédelem és kiberbiztonság
A böngésző sütik első szabványosított leírásában (RFC 2109 – 1997.) már megjelentek egyes adatvédelmet szolgáló intézkedések: a sütik küldésének és mentésének a felhasználó általi egyedi vagy akár teljes tiltása, vagy a sütik tartalmának korlátlan vizsgálati lehetősége. Szerepelnek az anyagban a visszaélések elleni védelmi módszerek is, a süti hamisítás és a sütik szándékolatlan megosztása elleni javaslatok. Nem arról van szó tehát, hogy a szakemberek ne látták volna előre a sütik kockázatait, hanem sokkal inkább arról, hogy egyesek meglátták benne az egyedülálló lehetőséget a felhasználók online tevékenységének a folyamatos követésére.
Az egyes süti típusok elkülönítése alapvető fontosságúvá vált mind adatvédelmi, mind pedig kiberbiztonsági szempontból, ezért számos védelmi mechanizmus került bevezetésre: A „Secure” jelzéssel ellátott „biztonságos süti” továbbítását és fogadását kizárólag titkosított, HTTPS-protokollon keresztül teszi lehetővé a böngésző az interneten, ami megakadályozza annak illetéktelen lehallgatását, és újrafelhasználását. A „HttpOnly” jelzéssel ellátott sütihez nem férhetnek hozzá a böngészőben futtatott egyéb programkódok, ami korlátozza a webhelyek közötti parancsfájlok használatán (XSS) alapuló támadásokat. A „SameSite=Strict” jelzés meggátolja, hogy a böngésző a megtekintett oldaltól eltérő domain felé küldjön ki sütit, ami hatásos a weboldalak közötti hamisított adatbeküldés (CSRF) támadás ellen.
A fejlődés dinamikus ezen a területen, mivel újabbnál újabb azonosítási módszereket találnak a fejlesztők, amelyeket a böngészők próbálnak ellehetetleníteni. A hangsúly mindig a komparatív előnyökön van, mivel egy olyan azonosítási módszer, amelyet bármely kereskedelmi cég – vagy nemzetállami információs ügynökség – könnyen alkalmazhat, nem jelent kiemelt értéket, mert várható, hogy hamar az érdeklődés központjába kerül, és a személyes adatok védelme érdekében megszüntetik.
Mi az a szupersüti?
A szupersüti megnevezés eredetileg a legfelső szintű domainnevek (pl.: „.com”, „.hu”) megadásával elhelyezett sütiket jelentette. Azért volt ilyen kitüntetett szerepük, mivel ezek az összes aldomain felé lehetővé tették a kapcsolódó sütik kiküldését, de a jelentős biztonsági kockázat miatt már letiltásra kerültek a legtöbb böngészőben.
Szupersütinek nevezik még az összes olyan technikai megoldást vagy mechanizmust, amely valamilyen módon lehetővé teszi a felhasználó böngészőjének vagy számítógépének az egyedi azonosítását a webkiszolgáló számára. Ezekkel az a legnagyobb probléma, hogy a böngészőben elérhető sütieltávolítási funkciókkal egyszerűen nem törölhetők, ezért hosszú időn keresztül lehetővé teszik az egyén követését.
Egy 2011-ben, az internetes oldalakon alkalmazott kódokon végzett kutatás során azt tapasztalták, hogy a Microsoft weboldalai által elhelyezett sütik a törlésüket követően, újra megjelennek a böngészőben. A részletes vizsgálat később kimutatta, hogy a jelenséget a szerveroldali sütiszinkronizálás okozta, ami egy adott cég hasonló profilú weboldalai között akár elfogadható is lehet, mivel a jobb felhasználói élményt szolgálja. Más a helyzet, ha egymástól független weboldalak élnek a süti szinkronizálás technikával, kizárólag a reklámok célzott eljuttatása céljából. Ez okozhatja azt a jelenséget, hogy egy független weboldalon böngészve, a megjelenő fizetett hirdetések „érthetetlen módon” kapcsolódnak egy korábban megtekintett webáruház árukategóriáihoz.
Különösen veszélyesek az olyan mechanizmusok, amelyek annak ellenére teszik lehetővé a követést, hogy a felhasználó a böngészőt privát módban használja, és közben meg van győződve arról, hogy nem lehet azonosítani. A HSTS egy internet biztonsági protokoll, amely lehetővé teszi annak kikényszerítését, hogy egyes weboldalakhoz kizárólag titkosított, HTTPS-protokollon keresztül csatlakozzon a böngésző. Ennek ellenére, a böngésző HSTS listájában történő új aldomain nevek regisztrálásával egyedi, kizárólag az adott böngészőre jellemző mintázat hozható létre, amely inkognitó módban is kiolvasható, és egyszerű módszerekkel nem törölhető. A HSTS bejegyzéseket kihasználó azonosításhoz hasonló elven működik a böngészőben különböző „favicon” bejegyzéseket elhelyező szupersüti, amely szintén alkalmas arra, hogy azonosítsa az adott böngészőt.
Egyéb „böngészőlenyomat” alapú azonosítási módszerek is léteznek, amelyek különböző beállításokat vizsgálnak a felhasználó számítógépén, mint például az operációs rendszer és böngésző típusa, verziója, a számítógépen telepített karakterkészletek és a beállított időzóna, a beállított nyelv, a videókártya okozta képernyő megjelenítési torzulások, illetve ezek kombinációja. Ezen módszerek jellemzően nem biztosítanak 100%-os azonosítási egyediséget, de a kereskedelmi reklámok célba juttatásánál ez nem is követelmény.
Egyéb követési mechanizmusok
Külön kategóriát képeznek a böngészőn kívüli, a számítógépet vagy a kapcsolódó hálózatot fizikailag azonosító jellemzők, amelyek nem, vagy csak nagyon körülményesen változtathatók meg a felhasználó által. Ebbe a kategóriába tartoznak például a különböző MAC-címek, IP-címek, egyéb hardver azonosítók, a processzorokban és a számítógép kriptográfiai moduljaiban tárolt titkosító kulcsok.
Az Intel Pentium III processzor megjelenésekor, 1999-ben már tartalmazott olyan egyedi sorozatszámot, amelyet a megfelelő utasítással kiolvasva a felhasználó azonosíthatóvá vált, akár az interneten is. A jogvédő csoportok heves tiltakozásra és bojkottra szólították fel a vásárlókat, és részben ennek köszönhetően az Intel egy éven belül kivezette a technológiát, és a jövőben a kriptográfiai funkciókon alapuló megoldásokat támogatta a processzoraiban az egyszerű sorozatszámok helyett.
Több esetben az internet szolgáltatóról derült ki (Comcast, Xfinity, Verizon), hogy a felhasználók http-forgalmát manipulálva, a saját hálózati eszközein keresztül speciális sütiket helyezett el az adatfolyamban, amelyek alapján azonosítani és követni lehetett a központi szervereken a lekérések mögötti felhasználókat.
A mesterséges intelligencia alapú elemzések és a „big data” rendszerek új fejezetet nyitottak a követhetőség területén is. A felhasználók domainnév lekérdezései, online keresési adatai, a közösségi és a videómegosztó oldalakon mutatott aktivitásuk olyan pontos profilalkotást tesznek lehetővé, amely mellett az egyszerű azonosító alapú követhetőség jelentősége is csökkenni látszik. Ezen módszerek legfontosabb előnye, hogy az adatgyűjtést végző online platformok kizárólagossággal rendelkeznek a megszerzett információk felett, és ennek megfelelően tudnak tárgyalni a célzott online hirdetések piacán.
És ha nem akarunk sütit?
A technológiai koncentráció fokozódik az IKT szektorban, és a legnagyobb piaci szereplők vertikálisan integrálják a teljes értékláncot, ezért kapuőr szerepbe kerültek a meghatározó online platformok. Ebben a helyzetben a felhasználóknak szinte lehetetlen olyan, a piacvezetők technológiájától nem csak a márkanévben független szolgáltatót találnia, aki elég nagy és tőkeerős ahhoz, hogy a sebesség, a funkcionalitás, a használhatóság és a kiberbiztonság szempontjából is versenyképes szolgáltatást nyújtson (pl. Mozilla Firefox), vagy legalább a célkitűzéseiben jelenjen meg hangsúlyosan a felhasználói adatvédelem magas szintű támogatása (pl. DuckDuckGo kereső).
A megfelelő szolgáltató kiválasztása mellett természetesen fontos a biztonsági és adatvédelmi beállítások megfelelő elvégzése a böngészőben. Ennek ellenére, az internet technológia komplexitása, illetve a nagy gyártók ellenérdekeltségéből fakadó átláthatatlan, sőt nem egy esetben félrevezető tájékoztatása még egy informatikai szakembert is nehéz helyzetbe tud hozni, ha a megfelelő adatvédelmi beállításokról van szó.
Sajnos, arra kell felkészülnünk, hogy informált, tudatos felhasználóként is előfordulhat, hogy az online tevékenységünk adatai nem kívánt kezekbe kerülnek. Pontosan célzott reklámokat kapunk egy üzlet előtt sétálva az okostelefonunkra; a megállóban hirdetőtábla Bluetooth-on azonosít, és egyedi kedvezményt ajánl egy QR-kóddal… A szupersüti támad.
Szerző: onlineplatformok.hu