Każdy przejaw aktywności użytkownika w internecie zostawia cyfrowy odcisk palca. AmIUnique jest narzędziem, które pozwala sprawdzić, co o nas wie sieć. Jak z niego skorzystać? Oto poradnik, który pomoże przejść przez ten proces krok po kroku
Czytacie drugi artykuł z cyklu, poświęconego cyfrowemu odciskowi palca. W części pierwszej wyjaśniliśmy, czym jest i jak dokładnie działa cyfrowy odcisk palca. W tym poradniku pokazujemy, jak sprawdzić, które dokładnie informacje na nasz temat mogą zbierać strony internetowe.
Jak dokładny jest cyfrowy odcisk palca?
Dla przypomnienia: cyfrowy odcisk palca (przeglądarki lub urządzenia) to zbiór informacji, które strony www mogą zbierać na nasz temat. Zarówno w celach użytkowych: poprawa jakości strony www, jak i w tych budzących moralne wątpliwości: marketing celowany, sprzedaż brokerom danych.
Im więcej danych zostaje zebranych, tym dokładniej strony www potrafią nas rozpoznać. Nie oznacza to, że znają nasze imię i nazwisko. Wystarczy, że poznają lokalizację i zwyczaje zakupowe, by wiedzieć, jak personalizować reklamy, ukraść naszą tożsamość, okraść nas lub wykorzystać nas do oszustwa.
Mogłoby się wydawać, że takie cechy jak rodzaj przeglądarki, zainstalowane wtyczki czy system operacyjny nie są żadnymi wyróżnikami. Jednak badania udowadniają, że sam „device fingerprint”, czyli cyfrowy odcisk urządzenia zapewnia 90-99% dokładności w rozpoznawaniu użytkownika. A są to wyniki z 2017 roku!
Dzięki projektowi AmIUnique możesz sprawdzić unikatowość swojego odcisku palca. Wystarczy wejść na stronę by przetestować swój fingerprint. I zobaczyć na własne oczy, jakie charakterystyczne informacje na temat komputera może zbierać strona www.
AmIUnique – co to za projekt i czy można mu zaufać?
Ostrożność to podstawa funkcjonowania w sieci, zwłaszcza, gdy mówimy o bezpieczeństwie danych. Projekt AmIUnique pokazuje nam, w jaki sposób przeglądarki zbierają informacje na nasz temat, ale jednocześnie prosi o zgodę na umieszczenie w naszej przeglądarce pliku cookie na 4 miesiące w celach badawczych. Oznacza to, że korzystając ze strony i wyrażając zgodę na ciasteczka, akceptujemy, by nas śledzono. Informacje jednak nie zostaną wykorzystane, by nam coś sprzedać, a wyłącznie w celach badawczych.
Za projektem AmIUnique stoi francuska Inria – Narodowy Instytut Badań nad Nauką i Technologią Cyfrową. Celem projektu jest zmierzenie i zbadanie różnorodności przeglądarek internetowych oraz ustalenie statystycznych profili odcisków palców przeglądarek. Według zapewnień przedstawionych w Polityce Prywatności dane zbierane w ramach projektu AmIUnique są zanonimizowane, a Inria zobowiązuje się do ochrony prywatności osób biorących udział w badaniach.
To, czy wyrazimy zgodę na wykorzystanie naszych danych w badaniach jest indywidualną decyzją każdego z Was.
Jak sprawdzić, jakie dane na nasz może zawierać nasz cyfrowy odcisk palca?
Jakie dane może zawierać nasz cyfrowy odcisk palca? Żeby to sprawdzić, musimy wejść na stronę https://www.amiunique.org/fingerprint i poczekać kilka sekund. W tym czasie przygotowywany jest raport, a nasz wynik zostaje porównany ze wszystkimi innymi wynikami znajdującymi się w bazie portalu.
Na początek dowiadujemy się, czy nasz odcisk palca jest unikatowy i z iloma dokładnie odciskami został porównany. Możemy wybrać w jakiej skali czasowej chcemy operować: Today (dzisiaj), 7 days (7 dni), 15 days (15 dni), 30 days (30 dni), 90 days (90 dni) czy All Time (od początku zbierania danych).
Na kolejnych kaflach strona przedstawia informację o naszym systemie operacyjnym, przeglądarce, języku, strefie czasowej. Każdy z tych parametrów opatrzony jest wynikiem procentowym, ile osób ma taki sam wynik – na przykład na powyższym zrzucie ekranu widać, że język polski jest charakterystyczny dla 1,17% osób zbadanych. Kolor czerwony oznacza, że wynik ten plasuje nas w grupie ryzyka – grupa porównawcza jest mała.
HTTPS Headers i JavaScript attributes – jak wpływają na odcisk palca
Rodzaj przeglądarki czy systemu operacyjnego nie są jeszcze informacjami, które czynią nasz odcisk palca szczególnie wyjątkowym. Dopiero dołożenie nagłówków HTTPS i atrybutów JavaScript sprawia, że stajemy się unikatowi w sieci (jeśli to zdanie wydaje ci się niejasne, koniecznie zacznij od lektury pierwszej części cyklu: Odcisk palca przeglądarki powie złodziejowi, kim jesteś).
Na stronie AmIUnique każdy badany parametr (pierwsza kolumna) jest dokładnie omówiony. Wystarczy najechać myszką na ikonkę z literą „i”, by zobaczyć definicję danego parametru.
Na przykład atrybut JavaScript numer 1 „User agent” oznacza: „Ciąg znaków zawierający szczegółowe informacje o przeglądarce i jej systemie operacyjnym. Ten atrybut jest zbierany za pomocą Javascript.” a numer 8 „Use of Adblock” odpowiada na pytanie, czy używasz AdBlocka (blokady reklam) w przeglądarce.
W kolejnej kolumnie widzimy współczynnik „similarity ratio”, czyli ile przebadanych osób uzyskało taki sam wynik. Im wyższy, tym lepiej. Uzyskanie wyniku 0,0% oznacza, że nasz wynik jest wyjątkowy w skali wszystkich badanych (w momencie pisania tego tekstu: w porównaniu do 2 170 415 zebranych przez AmIUnique odcisków palca). Ostatnia kolumna przedstawia wartość nagłówka HTML lub atrybutu JavaScript, który został zwrócony przez naszą przeglądarkę, czyli dokładną informację o tym, co strona wie na nasz temat.
Na poniższym przykładzie widać, że strona wie, jakie są wymiary naszego ekranu i że plasują nas one w grupie około 13% odcisków palców z identyczną rozdzielczością.
Jakie informacje zbierają o nas strony www?
Projekt AmIUnique pokazuje, jakie informacje mogą zebrać strony www na nasz temat – jednak w żadnym stopniu nie daje gwarancji, że są one zbierane. Oznacza to tyle, że dzięki temu narzędziu dowiadujemy się, jakie konkretnie informacje na nasz temat są jawne.
Niestety, nie istnieje jeden sposób, by sprawdzić, która strona jakie dokładnie dane zbiera – tak jak wyjaśnialiśmy w pierwszej części tego artykułu, rozpoznanie kodu śledzącego od kodu odpowiadającego za działanie strony www nie jest łatwe, a czasem wręcz niemożliwe. Właśnie dlatego tak ważne jest to, by ukryć jak najwięcej informacji – skoro nie możemy kontrolować, jaką wiedzą z kim się dzielimy, powinniśmy po prostu się nie dzielić.
Cyfrowy odcisk palca może ułatwić zidentyfikowanie nas w sieci, ale jak wynika z powyższego eksperymentu – nie jest to aż tak łatwe. Owszem, strona, która zdecyduje się zebrać na nasz temat wszystkie te informacje, które zbierze projekt badawczy AmIUnique, wie o nas wszystko.
Nie oznacza to jednak, że każdy portal w sieci zbiera te wszystkie informacje. Mimo to możemy jeszcze bardziej zminimalizować ryzyko bycia rozpoznanym w sieci po cyfrowym odcisku palca – blokując możliwość pozyskiwania niektórych z tych parametrów. O tym, jak to zrobić, opowiemy w trzeciej części cyklu. Tymczasem jeśli chcesz wiedzieć więcej – zapoznaj się z bogatą biblioteką linków zawartą na stronie francuskiego projektu badawczego AmIUnique.
Źródło zdjęcia: Arthur Mazi/Unsplash