Zásah do soukromí prostřednictvím cookie ?

Vědět něco o internetovém uživateli chtějí v podstatě dva druhy lidí a v obou případech často útočí zejména na vaší peněženku. Ovšem jedni to dělají v  mezích zákona a druzí tento zákon překračují, ať už ten napsaný na papíře, nebo ten všeobecně známý. Jaká nebezpečná data jim v tom pomáhají se pokusím vysvětlit v tomto článku.

Prodejce vs. hacker (cracker)

Nejprve bychom měli rozdělit ty kdo po Vašem soukromí tak trochu touží. První skupina lidí jsou prodejci, reklamní agentury, a nakonec i majitelé stránek, které navštěvujete coby uživatelé internetu. Říkejme jí skupina P. Druhá skupina lidí jsou hackři, resp. crackři, zloději a podvodníci. Říkejme jim skupina C. Ovšem zatímco se Vám skupina P snaží prodat / nabídnout / vnutit něco, bez čeho zaručeně nemůžete být, ať už je to z jakéhokoli důvodu, druhá skupina C Vás chce poškodit, nalézt vaší slabinu, vloupat se Vám do počítače, na bankovní účet, nebo dokonce do domu.

Pokud budeme vycházet z toho, že skupina P je neškodná, pomineme-li fakt že o nás uchovává data, není tak tragické, že jí o sobě něco prozradíme. Kdežto skupina C je pro nás nebezpečná, je třeba se před ní chránit a pokud možno ji nepustit k žádným informacím o nás samotných. Máme tedy vydefinováno co rozhodně ne, a co spíš ano. Podívejme se teď, co obě skupiny provádí a co k tomu od nás potřebují.

Marketing, reklama, PPC, prodejci, shopy

Skupina P se snaží vydělat na prodeji. Ať už prodávají cokoli, je vždy lepší nabízet nějaké zboží takovým, kteří mají o daný druh zboží dlouhodobě, nebo aktuálně zájem. To co je tedy zajímá, je jaké stránky navštěvujeme, jaké máme zájmy, aktuální problémy, o jakých službách uvažujeme, či jaké služby využíváme. Řekněme že pokud máme zahrádku, rádi vaříme, a rozbila se nám lednička, jsme ideální zákazníci nějakého prodejce zahradní techniky, semínek a sazeniček (ideálně bylinek), kuchařek a kuchyňských potřeb a aktuálně krátkodobě ještě bílé techniky.

Aby nám skupina P vyšla maximálně vstříc, tedy nabídla nám nějakou formou reklamy právě tyto produkty, musí nás správně označit a zaškatulkovat. K tomu jí pomáhá celá řada technologií a informací, které o sobě zveřejňujeme, nebo které omylem aniž bychom to věděli poskytujeme ostatním. Z profilů různých sociálních sítí, z konferencí a internetových fór se snadno zjistí jaké zájmy máme. Identifikace z profilů je však možná jen přes nějaký konkrétní identifikátor, a tak takových informací může využít jen takový člen skupiny P, které tyto informace spojí přímo z naší osobou. Například majitel zmíněné sociální služby nebo fóra.

Další takováto osobní identifikace je možná snad už jen pomocí e-mailu, a nebo velmi důsledného šmírování. Na šmírování však nikdo ze skupiny P nemá náladu a ani čas. Je to velmi neefektivní. A spam i když jeho obsah pro nás může být zajímavý, je pořád jen spam. Velmi efektivní metodou je tedy identifikace uživatele nikoli vazbou na něj samotného prostřednictvím emailu, jména a nějakého profilu, ale prostřednictvím jeho zájmů. Některé reklamní systémy sledují historii v našem prohlížeči, tu pak ohodnotí a zařadí do nějaké kategorie, ze které nám pak nabídnou příslušné inzeráty. Proto například i když nás ping-pong normálně nezajímá, ale naší ratolest ano, je možné že nám budou vnucovány právě reklamy které se točí okolo ping-pongu, či sportu obecně. A to jen proto, že používáme stejný webový prohlížeč na společném systémovém účtu našeho společného počítače.

Jsou tedy data, která nás přímo neidentifikují, ale říkají o nás anonymních návštěvnících internetových stránek, jaké máme zájmy a potřeby. Taková data sami o sobě jsou dle mého názoru neškodná. Pouze pomáhají jednak reklamním agenturám k zobrazení toho pravého inzerátu, a hlavně nám, aby jsme koukali zejména na takové reklamy, které nám mají co nabídnout. Jednak to zvyšuje efektivitu inzerátu, a také to zvyšuje naší efektivitu práce s internetem - snadno najdeme právě to, co nás zajímá.

Crackři, zloději, podvodníci, vyděrači

Zatímco skupina P nám za naše peníze a za náš čas, přeci jen něco nabízí, skupina C nás chce jen nemilosrdně oškubat. A až na celoplošné emailové útoky, nebo útoky na konkrétní službu, kdy sami figurujeme jen jako jedinci v davu, je pro ně právě naše konkrétní identita velmi důležitá. Vlastně jejich útoky mohou začít sběrem stejných dat jako v případě skupiny P, jen s tím rozdílem, že nás prostřednictvím těchto dat chtějí jen vytřídit. V momentě, kdy jsme zůstali zachyceni v sítu zájmu těchto živlů, zajímají se o nás velmi konkrétně. Jdou po našich profilech a emailech. To jsou totiž velmi bohaté zdroje na osobní informace.

Takový útočník si o nás, konkrétních uživatelích internetu, pěkně sestaví profil a ten pak využije. Problém všech těch informací tkví v tom, že pokud útočník něco neví a ke svým plánům to potřebuje vědět, snadno si to zjistí záludnou lstí. Tu totiž velmi snadno sestaví na základě všeho ostatního co už ví.  Tomuto jednání pak říkáme sociální inženýrství, nebo také sociální hacking. V podstatě už útočník neláme nějaká hesla, ale šikovně je z nás vyloudí a donutí nás, abychom mu vydali vše co chce.

Data, která pak takový útočník o nás nakonec má, mu s námi dovolí dělat téměř cokoli. Představte si, že máte někoho blízkého, nějakého opravdu dobrého přítele, se kterým trávíte hodně času a který o Vás ví vlastně vše. Pokud k tomu přidáme různé obscénní informace uváděné na některých účtech Facebooku a jiných sociálních sítích, pak o Vás ví pomalu víc než Vaše manželka, Váš manžel nebo Vaše děti. Pro někoho takového je velmi jednoduché Vás nějak poškodit, ublížit Vám, okrást Vás. Ale vy mu věříte, máte k sobě nějakou sociální vazbu, která je svázaná morálkou a přátelstvím. Ale takový útočník žádnou morálku nemá. Je třeba si především uvědomit, že případné poškození nemusí být jen prostřednictvím elektronické podoby, např. vymetení všech koutů vašeho bankovního konta. Pokud útočník zjistí že jste jeli na dovolenou, a že klíče pro sousedy, kteří Vám chodí krmit rybičky a zalévat kytky dvakrát týdně v 8 večer, najde v pravém květináči na levém okně, má všechny trumfy v rukávu.

Co tím chtěl vlastně básník říci ?

Celým článkem sem se snažil vysvětlit že naše osobní data roztroušená na internetu jsou velmi slabým článkem řetězu bezpečí nás i našeho majetku. A je zcela správné domnívat se, že útočník využije všech možností které má, aby nás poškodil. Od obecného a neškodného anonymního sběru dat, až po cílené útoky na naše účty na sociálních sítích a emailové účty.

Zakazováním cookie, javascriptu, nepoužívání sociálních sítí a mailů, naše digitální smrt to ale nevyřeší. Problém není ve službách samotných, problém je v našem správném používání takových služeb. Sám osobně Facebook neodmítám proto, že na něm můžete všechny tyto osobní informace vystavit, to můžete i na blogu. Problém Facebooku tkví v jeho rozšířenosti a v ostatních lidech, kteří ho používají a vy je nemáte pod kontrolou. Až se lidé naučí chovat na internetu, až se naučí zveřejňovat jen tolik, co by řekli i zloději který řádí v jejich okolí, pak bude používání sociálních sítích opravdu bezva.
Author:

Discussion

Your comment:

© 2019 Ondřej Tůma McBig. Ondřej Tůma | Based on: Morias | Twitter: mcbig_cz | RSS: articles, twitter