Cookies a fingerprinting 

Co o tobě majitelé webů zjistí, když je navštívíš? Existuje na internetu anonymita, nebo je to jen naivní představa? A vadí ti to vlastně, když přeci neděláš nic nezákonného? Ne každý z nás je ale Mirek Dušín a většina z nás má nějakého kostlivce ve skříni. 

Před týdnem sis na iDnes prohlížel článek o podzimních únikových destinacích do teplých krajin. Dnes jdeš na Novinky a vidíš reklamu na dovolenou v Egyptě. Náhoda? Nemyslím si… 

Jak to celé funguje? Web iDnes používá sledovací cookies, což jsou malé soubory, které si uloží na disk tvého počítače či mobilu. A do těch souborů si uloží, že sis prohlížel právě tento článek, aby ti sám iDnes mohl i později nabízet cílené reklamy, třeba na dovolenou. 

Jak je ale možné, že se mi ale článek o dovolené zobrazil na úplně jiném webu? 

iDnes spolupracuje s reklamní společností Google, se kterou cookies sdílí. Stejně tak s ní spolupracuje i server Novinky, který si o týden později z těchto tzv. cookies třetích stran zjistí, co přesně jsi to před týdnem četl na konkurenčním webu. A pak ti nabídne cílenou reklamu, ze které bude mít více peněz, než kdyby ti ukázal reklamu na novou nabídku práce, která tě nezajímá, protože ty jsi v práci spokojený😉Cílem je tedy ukázat ti přesně takovou reklamu, na kterou klikneš a tím provozovateli webu vyděláš peníze. 

Vadí ti, že o tobě někdo ví tyto informace? Nebo jsi vlastně rád, že alespoň vidíš relevantní reklamy? Třeba bys do toho Egypta opravdu vlastně chtěl… Představ si ale jiný scénář, kdy ti tvůj lékař řekl závažnou diagnózu a ty sis o ní chtěl na internetu něco zjistit… Nebo ses z nějakého soukromého důvodu díval na web linky bezpečí, vězeňské služby, anonymních alkoholiků, úřadu práce… Jsi pořád v pohodě s tím, že někdo o tobě uchovává tyto informace? 

Díky Googlu se tyto informace navíc propojí s tvojí identitou – tvou emailovou adresou, jménem a dalšími identifikátory. Kromě Googlu je reklamní společností např. Facebook, který těchto identifikátorů také nemá málo. Tyto informace jsou tedy spojeny s tvojí reálnou osobou ve skutečném světě! 

Jak se bránit? Používej moderní prohlížeče jako Firefox či Brave, které standardně blokují cookies třetích stran, což omezuje schopnost reklamních společností sledovat aktivitu napříč weby. Chrome je blokuje pouze v anonymním režimu, v nastavení toto můžeš změnit. Další možností je mazání cookies po každém brouzdání internetem nebo rovnou používání anonymního režimu, který cookies po zavření prohlížeče smaže automaticky.

OK, začal jsem používat Firefox v anonymním režimu nebo dokonce rovnou prohlížeč Brave. Cookies jsem tedy dal sbohem, takže už konečně surfuji anonymně😊 

Pro ochranu soukromí je zákaz cookies určitě dobrá zpráva! Bohužel tě musím zklamat, existuje i další metoda, jak tvé soukromí ohrozit. Je to tzv. fingerprint neboli tvůj otisk. 

Co to je a jak to funguje? 

Když navštívíš webovou stránku, pošleš jí spoustu informací o svém počítači, např. jaký používáš prohlížeč. To je dobré zejména pro optimalizaci webového kódu přesně pro tvůj prohlížeč, tedy aby se ti stránka zobrazila co nejlépe. Také posíláš, jaký máš operační systém, jazykové nastavení, v jaké jsi časové zóně, jaké používáš doplňky do prohlížeče, rozlišení své obrazovky, jak máš v notebooku nabitou baterii a jestli ho máš zrovna v zásuvce… A spoustu dalších informací, vše si můžeš zjistit přímo pro svůj počítač na stránce https://amiunique.org/fingerprint 

Protože je těchto údajů mnoho, jejich kombinace vytváří pro každého jedinečný otisk (tzv. fingerprint). Stránka, kterou jsi minulý týden navštívil, ti nemusí ukládat žádné cookies k tobě na disk. Stačí, když si sama k sobě uloží tvůj otisk. A dnes, když jsi ji navštívil znovu se stejným otiskem, už ví, že je to opět ten stejný počítač. 

Informace je anonymizovaná, tedy není přiřazena žádné konkrétní osobě a pouze na jednom webu, tak to není ještě tak hrozné. Ano, ale jen do té doby, než opět zapojíme třetí stranu, se kterou to funguje stejně jako s cookies. Při každé nové návštěvě webu, který spolupracuje s danou třetí stranou, se otisk zařízení uživatele opět odešle, což umožňuje identifikaci a aktualizaci profilu uživatele, aniž by bylo třeba ukládat cookies. 

Obrana je komplikovaná. Zde už nestačí smazat cookies, fingerprinting zůstává účinný, dokud se nezmění vlastnosti zařízení nebo prohlížeče, což znamená, že profil uživatele je často mnohem trvalejší. Např. i přes změnu IP adresy (připojení k internetu) majitel webu ví, že jsi to stále ty a může tomu přizpůsobit např. cenu letenky. Úplně se vytváření fingerprintu zamezit nedá. Při používání prohlížečů na ochranu soukromí jako jsou Firefox a Brave ale alespoň může docházet k znepřesňování fingerprintu a tím k znesnadnění jednoznačné identifikace návštěvníka. 

Reklamní systém všechny tyto informace dostává a používá především k cílení reklamy. Je tomu ale opravdu tak? Data jsou dnes jednou z nejcennějších komodit. Dají se zneužít k manipulaci, účinnému kybernetickému útoku, stalkingu, reputačnímu poškození, vydírání. Data se přeprodávají třetím stranám nebo mohou uniknout na darkweb, kde k nim mají přístup škodliví aktéři. 

Upřímně, internetovému vyhledávači občas svěříme mnohem intimnější informace než třeba svým přátelům nebo partnerům. Mysli na to, když jsi v prohlížeči přihlášen pod svojí identitou. Svým vyhledáváním signalizuješ nějaké velké korporaci, jaké jsou tvé zájmy, problémy, sexuální či voličské preference. A pokud ti to teď nevadí, jsi si jist, že ti to nebude vadit ani v budoucnu? 

• Zvaž použití prohlížečů jako je Firefox či Brave. 

• Při vyhledávání na internetu mysli na to, zda je dobré být přihlášen. 

OSINT a doxing 

OSINT znamená Open Source Intelligence a označuje sběr informací z veřejně dostupných zdrojů, bez ohledu na účel jejich použití. Jedná se o jeden ze způsobů získávání informací, který je oblíbený především v posledních letech v souvislosti s rozvojem chytrých telefonů a internetu po celém světě. Dříve se pro zpravodajskou činnost využíval především tzv. HUMINT (tedy získávání informací od lidských zdrojů).  

Doxing je naproti tomu označení pro situaci, kdy je o cílové osobě bez jejího souhlasu zveřejněno co největší množství osobních údajů a informací, které vedou k její identifikaci. Pro doxing je možné zneužít i informace získané pomocí OSINTu. 

Pojď se nyní vžít do role útočníka a zkus o sobě najít co nejvíc informací, pokud možno ideálně těch osobních a nějakým způsobem citlivých. K dispozici máš celý internet a různými metodami, ať už manuálním webovým vyhledáváním, automatizovanými scripty (web scraping) či dalšími pokročilejšími metodami, můžeš získat osobní informace na skoro kohokoliv chceš! Je proto důležité dbát na etiku a legálnost takových činností. 

Pojďme si to ukázat na příkladu osoby pražského radního pro dopravu. Z veřejných zdrojů či na základě zákona o svobodném přístupu k informacím zjistíš, jaký je jeho měsíční příjem. Z katastru nemovitostí mimochodem zjistíš, že v Praze vlastní 5 nemovitostí na lukrativních adresách. Ze svého příjmu si je ale zjevně nemohl dovolit. Jak k nim tedy asi přišel? Pátráš tedy důkladně dál a zaměříš se např. na jeho pracovní náplň a aktivity. Postupně se dopracuješ k zjištění, že z každého prodaného lístku na MHD se 10 haléřů posílá na účet na Bahamách. Z dalších více i méně nápadných informací a indicií dospěješ k závěru, že účet na Bahamách patří pravděpodobně právě tomuto radnímu. Jak se k danému zjištění postavíš? Nabízí se ti tři možnosti: 

1. Jsi investigativní novinář a kauzu zveřejníš s poukazem na předraženou zakázku a obrovskou úplatkářskou kauzu. Toto je ukázkový příklad použití OSINTu pro společensky přínosné účely.

2. Informace, které o pražském radním pro dopravu zjistíš, zveřejníš s veškerými podrobnostmi včetně korespondenčních adres, registračních značek apod. Vůbec nebudeš upozorňovat na nepravosti, které se s penězi dělají a tvým motivem je pouze vyzrazení veškerých osobních údajů člověka bez ohledu na kauzu, to je doxing.

3. Rozhodneš se si taky trochu přilepšit a radnímu napíšeš, co jsi zjistil a že od teď ti bude z těch 10 haléřů posílat 5 haléřů na tvůj účet na Panenských ostrovech, jinak celou věc zveřejníš a zatneš mu tipec. V tomto případě by se nejednalo o doxing, ale o obyčejné vydírání 😊  

Obecně tedy záleží především na tom, co se získanými informacemi plánuješ provádět. Je důležité se zamyslet, jak nepřekročit tenkou hranici legitimního sběru informací a nesklouznout ke stalkingu, doxingu, nebo jiným aktivitám, které by mohly být považovány za nelegální. 

Chceš si to přesto zkusit? 

Dejme tomu, že chceš zjistit více informací o osobě, o které znáš pouze uživatelské jméno na Twitteru (dnes síti X).

1. Shromáždi základní informace: Nejprve si analyzuj veřejně dostupný profil osoby. Uživatelské jméno, fotky, lokace nebo časté zmínky ti mohou poskytnout základní informace o jeho životě, jako je přibližné místo bydliště nebo oblíbené aktivity.

2. Udělej křížovou kontrolu na dalších sociálních sítích: Zkus stejné uživatelské jméno nebo profilovou fotku najít i na jiných platformách, jako je Instagram, LinkedIn nebo Facebook. Na LinkedInu můžeš najít pracovní historii nebo vzdělání, na Facebooku pak rodinné nebo přátelské vazby.

3. Analyzuj geolokace fotografií: Pokud osoba sdílí fotografie, můžeš z nich zjistit, kde byly pořízeny. Některé fotky mají v sobě GPS údaje (EXIF data), případně lze lokalitu odvodit podle detailů na fotografii.

4. Zmapuj sociální vazby: Sleduj lajky a komentáře, kterými interaguje s ostatními. Takto zjistíš blízké kontakty osoby a vytvoříš si obrázek o jejím sociálním okruhu.

5. Prozkoumej obchodní a veřejné registry: Pokud osoba podniká, zkus prohledat veřejné obchodní rejstříky jako Justice.cz. Pokud má nemovitost, lze mnoho údajů najít na katastru nemovitostí. 

To jsou jen základy OSINTu – profesionálové mají mnohem mocnější nástroje. 

OSINT se také hojně využívá ve vojenském prostředí například pro identifikaci míst, ze kterých byly pořizovány fotografie nebo videa. Následně mohou být tímto způsobem ověřovány různé události, které se podle tvrzení válčících stran na bojišti odehrály. 

Z tohoto důvodu si můžeme povšimnout, že v poslední době vojáci, kteří z terénu zveřejňují svoje fotky, zakostičkují pozadí krajiny, protože podle zdánlivě nedůležitých keřů, stromů a terénu lze někdy identifikovat přesné místo na Zemi. A na to je následně možné navést např. dělostřeleckou palbu! 

• Vyzkoušej si OSINT na své osobě. 

• Reviduj, co citlivého se o tobě dá snadno dohledat z veřejně dostupných zdrojů. 

• Projdi si své veřejné profily a nastav si u nich vyšší úroveň soukromí. 

Zdroje

https://themarkup.org/blacklight 

O Vzdáleně Odemykatelných Autech, Výbušných Pagerech Nebo Síle Hesel – SecurityCast Ep.249 

JAN CIBULKA – Co o nás ví internet | Neurazitelny.cz | Večery na FF UK 

https://blog.avast.com/sextortion-scams-using-google-street-view-images