Your SlideShare is downloading. ×
Definisanje odnosa sigurnosti i privatnosti na internetuJovan Šikanja,administrator za bezbednost, Limundo d.o.oSadržaj: C...
2primer, evercookies prednjače po toj karakteristici. Zarazliku od ostalih vrsta, do skoro, nije ih bilo mogućeobrisati br...
3prikupljeni ali uglavnom neće biti eksploatisani u slučajuodsustva prevarnog događaja.Da se dotaknemo aktuelne situacije ...
Definisanje odnosa sigurnosti i privatnosti na internetu
Upcoming SlideShare
Loading in...5
×

Definisanje odnosa sigurnosti i privatnosti na internetu

1,245

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,245
On Slideshare
0
From Embeds
0
Number of Embeds
9
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Definisanje odnosa sigurnosti i privatnosti na internetu"

  1. 1. Definisanje odnosa sigurnosti i privatnosti na internetuJovan Šikanja,administrator za bezbednost, Limundo d.o.oSadržaj: Cilj rada je da ukaže na ugrožavanjeprivatnosti na internetu ali i da ukaže na činjenicu da seiste tehnike, različito postavljanje, koriste zaugrožavanje privatnosti i zaštitu od prevare.Ključne reči: privatnost, prevara, zaštita, tehnikepraćenja, anonimnost1. UvodPrivatnost na Internetu je široko, slojevito i čestodiskutovano pitanje.Ugrožavanje privatnosti i krađa ličnih podataka, poredugrožavanja osnovnih prava pojedinca, može da imadrastične posledice i da rezultira krađom identiteta iprevarom.Generalno, privatnost može biti ugrožena na dvakvalitativno različita načina: našim nesmotrenim činom pri korišćenjuinternet servisa ili krađom baze podataka oličnosti neke državne službe ili web servisa nakoji smo se registrovali; sakupljanjem podataka o našem računaru ipraćenje naše celokupne internet komunikacijeod strane trećih lica (detaljno objašnjeno utrećem odeljku).U ovom radu bavićemo se pretežno drugim oblikomugrožavanja privatnosti jer upravo u tom segmentudolazi do preplitanja između metoda koje se koriste priugrožavanju privatnosti i metoda koje se koriste zacyber zaštitu a pogotovo ukoliko u vidu imamoelektronsku trgovinu.Cilj rada je da ukaže na važnost borbe za poštovanjeprivatnosti ali i da pokaže drugu stranu medalje:apsolutna anonimnost na internetu može imati svojumračnu stranu.Treba napomenuti da rad, zbog ograničene forme neulazi u teoretski deo pristupa online privatnosti.2. Kome su potrebni naši podaci?Treba odmah istaći da je trgovina privatnim i osetljivimpodacima ima svoje tržište koje je dosta divergentno.Prati se svaki naš korak na internetu i više nije tajna dase našim privatnim podacima trguje.Tržište je 2012. godine bilo vredno 31 milijardudolara[1]Svetski ekonomski forum u svom izveštaju “PersonalData:The Emergence of a New Asset Class” označiolične podatke “novom naftom”. U originalu prenosimocitat iz izveštaja: “Personal data is the new oil of theInternet and the new currency of the digital world”-Meglena Kuneva, European Consumer Commissioner[2]Nećemo ovde ulaziti u detalje ovih trgovina već ćemodamo napomenuti najčešće slučajeve trgovine izloupotrebe podataka.Naši podaci na internetu koriste takozvanim “datacollector” kompanijama, advertajzing kućama,agencijama za marketing i e-prodavnicama kojeposećujmo. Posebno treba izdvojiti društvene mrežegde ugrožavanje privatnosti, iako uvek u skladu seuslovima korišćenja datih sajtova, zauzima visok nivo.To je jedna strana medalje. Podaci se, pre svega,koriste pre svega, ukratko rečeno za ciljano plasiranjeoglasa takozvani targetirani advertajzing (targetedadvertising). Čuveni retargeting sistem zapravo je blažavarijanta ugrožavanja privatnosti. Kompanije koje sebave prikupljanjem podataka spremne su da idu dalje uanalizi našeg ponašanja. Detaljnije o ovoj temi u trećemodeljku rada.Sa druge strane privatne podatke i podatke o našojkomunikaciji koriste i prate tajne službe, vojska i policija(i to ne nužno iz naše matične zemlje). Podaci sekoriste i u obaveštajne svrhe i u svrhe sajber špijunaže.Ovaj način ugrožavanja privatnosti posebno je dospeou žižu interesovanja zbog slučaja Wikileaks ali i krajem2010. godine početkom događaja koji su kasnijenazvani “Arapsko proleće”.3. Na koji način je privatnost ugrožena. Šta svemožemo da pratimo?Prema navodima firme "Abine", koja se baviprivatnošću na internetu, trenutno preko 200 kompanijakoristi preko 600 različitih tehnika za praćenje našegponašanja na internetu[1].Tehnike idu od jednostavnih, složenih do pravihmultidisciplinarnih pristupa koji koriste složenealgoritme i statističke analize. Firme koje se bavepraćenjem poseduju masovne baze podataka koje sekonstantno uvećavaju.Prva i, i dalje, najčešće korišćena metoda praćenjanašeg ponašanja na web-u je korišćenjem tehnologijekolačića (u daljem tekstu cookies). Cookies mogu bitirazni: Http cookies, flash cookies, evercookies. Cookiestehnologija zastupljena je u praćenju u velikoj meri, presvega, zbog svoje gotovo apsolutne preciznosti udetekciji našeg ponovnog pojavljivanja na web-u.Sve pomenute podvrste cookies-a funkcionišu nasličnom principu (upisivanje podataka na naš računarradi njihovog ponovnog korišćenja i asocijacije), jedinose razlikuju po perzistentnosti na našem računaru. Na
  2. 2. 2primer, evercookies prednjače po toj karakteristici. Zarazliku od ostalih vrsta, do skoro, nije ih bilo mogućeobrisati brisanjem cookies-a iz browsera a isto kao iFlash Cookies, funkcionišu nezavisno od internetpretraživača, tako da nas neće sakriti ni navika dakoristimo različite pretraživače.Kakve informacije praćenje našeg ponašanja nainternetu nosi? Ilustrovaćemo to jednim koloritnimprimerom: Kompanije koje se bave praćenjem podatakaznaju da je žena u drugom stanju pre nego što je tosaznala njena porodica.[3]Na koji način? Kompanija na osnovu prediktivneanalitike razvija patern ponašanja osoba za koje bi semoglo reći da mogu uskoro postati roditelji. Kroz tajpatern dalje se propuštaju naše zabeležene pretrage nainternetu, kupovine koje smo obavili na web šopovima,oglasi na koje smo kliknuli. Na osnovu prikupljenihpodataka dalje nam se plasiraju stvari koje ćemo kaonovopečeni roditelji svakako morati da nabavimo.Cookies je toliko uzeo maha da je 2012 na nivouEvropske unije usvojen Zakon koji kontroliše njegovuupotrebu.[4]Može se zaključiti da je u pitanju je velika pobedapojedinaca i kompanija boraca za privatnost.Međutim, realnost je drugačija i čini sa da borba zaprivatnost zapravo tek počinje.Metode detekcije koje smenjuju cookies tehnologiju, a uskladu su sa EU zakonom, u stanju su, po iskazimanjihovih kreatora, da idu još dublje a sa stepenompouzdanosti od 99%.U pitanju su, delimično statističke metode koje sezasnivaju na praćenju podataka o računaru i browserukorisnika. Pokušaću detaljnije da pojasnim na koji načinfunkcionišu ovi sistemi koji se zajednički nazivaju“Cookieless device fingerprinting”.Prate se, tip i verzija browsera, instalirani adoni ipluginovi i njihove verzije, instalirani fontovi, operativnisistem i verzija, rezolucija ekrana, brzina internetkonekcije, IP adresa i ISP i slično. Ilustraciju šta se svemože detektovati možete videti na adresi:http://www.mybrowserinfo.com/detail.aspPrikupljeni podaci predstavljaju digitalni otisak prstanašeg računara. Uz sve navedeno, pojedine kompanijenude i uslugu koja se naziva “device association” kojaima za cilj da, recimo u bazi data collector kompanijespoji vaš kućni računar, mobilni telefon, poslovniračunar i tablet tako da vam u praksi, na mobilnomtelefonu može prikazivati reklame odmarališta u CrnojGori, jer ste nedavno gući vršili pretragu poodgovarajućim ključnim rečima.4. Borba za anonimnost.Kao odgovor na ugrožavanje privatnosti i sistemepraćenja počeli su da se pojavljuju mnogobrojniprogrami I aplikacije koje služe za povećanje privatnostipri korišćenju interneta.Važno je istaći da danas, izlazak na internet po “default”podešavanjima konekcije i pretraživača znači da stevrlo podložni praćenju.Najpoznatiji alati koji se danas koriste su NoScripts,AdBlockPlus, BetterPrivacy, DoNotTrack. Zajedničko zasve ove aplikacije je blokiranje neželjenih sadržaja icookies-a koji se koriste za praćenje.Korak napred idu servisi za kompletnu anonimizaciju ikriptovanje saobraćaja. Najpoznatiji je svakako “TORbrowser” (https://www.torproject.org) - servis zapotpuno anonimno korišćenje interneta. Prilikomkorišćenja TOR-a ni naš ISP ne zna koje sajtove smoposetili. Takođe, TOR je predefinisan i može se koristiiza surfovanje “Deep Web”-om(http://en.wikipedia.org/wiki/Deep_Web), websajtovimaskrivenim od pretraživača kojima se po pravilu ne možepristupiti iz običnih internet browsera.Ukoliko se za trenutak od data collectora prebacimo nadržavne službe koje prate internet saobraćaj možemovideti koliko je zapravo privatnost ugrožena i koliko seprati svaki naš korak na internetu. U prilog ovomegovori i postojanje opcije “Strong box” magazina “TheNew Yorker” koja služi za anonimno dojavljivanje ideljenje fajlova[5]. Slanje poverljivih informacija nasiguran način, koje mogu da ugrožen našu sigurnost,jednostavno nije moguće izvesti standardnim webkanalima komunikacije.5. Sigurnost i borba protiv prevareSada dolazimo do dela gde ćemo videti da se svetehnike koje smo napomenuli mogu koristiti i u ispravnesvrhe.Sigurnost na internetu, slično kao i privatnostpredstavlja širok pojam. Grubo rečeno možemo reći dase sigurnost kreće na spektru se od sigurnostiinformacionih sistema do rizika od prevare kojoj supodložni pojedinac ili kompanija koji učestvuju nainternetu.Ono što želim da istaknem u ovom radu je da se gotovoidentične metode kao u prethodno navedenimsituacijama gde se ugrožava privatnost, sa vrlo malimalteracijama koriste se u prevenciji prevara, pretežno nae-commerce sajtovima. Pokušaću ovo da ilustrujemjednim primerom:Ukoliko možete da detektujete kupca koji je kupio kolicaza bebu pa da mu na osnovu te informacije na drugomsajtu ponudite i bebi sedište taj sistem možete vrloefikasno iskoristiti i za prevenciju prevare. Zabeležićetesve podatke (privatne i manje privatne) oproblematičnom korisniku i razvićete sistem koji će vamdojaviti njegovo ponovno vraćanje. Koje metode ćetekoristiti?Cookies, remete device fingerprinting, deviceassociation koriste se vrlo uspešno u sprečavanjupenetracije prevaranata na websajt.Suštinska razlika je zapravo je samo razlog prikupljanjai obrade podataka. Jednima je cilj prodaja a drugimazaštita od prevare. Podaci običnih korisnika biće
  3. 3. 3prikupljeni ali uglavnom neće biti eksploatisani u slučajuodsustva prevarnog događaja.Da se dotaknemo aktuelne situacije u Svetu koja se tičeonline prevara.U 13. godišnjem “Online fraud report”-u firmeCyberSource kao 4 najefikasnija sistema praćenja kojise koriste u borbi protiv prevare, online trgovci ocenilisu: Sistem bodovanja (specifičan za kompaniju) Istorija kupovina kupca Device fingerprinting Multimerchant data[6]Ukoliko izanaliziramo ove sisteme možemo zaključiti dase svi u potpunosti (izuzev sistema bodovanja čijekorišćenje privatnih podataka može varirati) seoslanjaju na podatke koji se u manjoj ili većoj merimogu nazvati privatnim podacima.Posebno problematičan sa stanovišta privatnosti, a vrloefikasan deo je “Multimerchant data” koji,najjednostavnije rečeno predstavlja, deljenje informacijao prevarama među kompanijama.Razlog za ovako nešto vrlo je jednostavan. Ukoliko jeprevarant izvršio prevaru na jednom portalu, deljenepodataka može ga sprečiti da isto učini i na nekomdrugom.Novi trend koji eksploatiše činjenicu da ljude koji dolazesa interneta, vrlo lako možete proveriti na internetu nijezaobišao ni tržište borbe za online sigurnost. Ovo jetrend provera koji će se masovno eksploatisati unarednom periodu.2013. godine počela je sa radom kompanija “Signifyd”(https://signifyd.com/) koja za provere koristi dostupnebaze podataka na internetu i po prvi put zvaničnopodatke sa društvenih mreža. Provere vrši na osnovu Ipadrese, e-mail adrese i korisničkog imena.Sa druge strane, važno je istaći, da apsolutnaanonimnost može da ima svoju mračnu stranu.Kada su se pojavili “deep web” i TOR posle dugovremena ljudi su imali mogućnost da internet koristepotpuno anonimno. Postoje svedočanstva da suaktivisti iz cenzurom pritisnutih zemalja kao što su Iran iSirija uspeli da upravo pomoću Tor-a podele informacijesa ostatkom sveta a da pritom njihova bezbednost nebude ugrožena.Međutim, zajednica pedofila među prvima je shvatila štapotpuna anonimnost na internetu može da znači.Usledili su trgovci narkoticima i oružjem, hakeri kojiiznajmljuju svoje usluge a ide se toliko daleko da preko“Deep web”-a može čak angažovati i plaćene ubice[5].Sada imamo još jedan dodatno olakšavajući faktor a toje anonimni novčani transfer posredstvom BitCoin-a[7]Trenutno se vodi velika bitka dobronamernih korisnikaTOR mreže i “Deep web” zajednice protiv ovakvihslučajevaZaključakZapočeću zaključak jednim pitanjem: U radu jepokazano da trenutno nismo anonomni na internetu, alikoliko smo zapravo anonimni u offline svetu?Biometrijske lične karte, saobraćajne i policijskekamere, banke i kreditni biroi, vojska, policija i tajneslužbe samo su neki od činilaca ugrožavanjaprivatnosti. Logično je da se takva situacija iz offlinesveta preslikava i na online spektar.Sa druge strane, koliko kod mi uživali u ideji apsolutneanonimnosti, u radu je ukazano da ona može imatimračnu stranu sa velikim posledicama po našubezbednost.Bojim se da ćemo, kao i u offline svetu, zbog lošihmomaka, morati da se odreknemo određenog delaprivatnosti. Verovatno ste se nekada zapitali iz kograzloga nosite sa sobom morate da nosite ličnu kartu?Mišljenja sam da se rešenje nalazi u razvijanju strogihsistema i propisa kontrole ko, kada i kako i zašto smeda prati internet saobraćaj i naše učešće na web-u.Svesni smo da bi ovako rešenje bilo daleko odidealnog, ali se čini da je trenutno najmanje loše i nalazise u domenu ostvarivog.Pre toga, potrebno je dobiti bitku za privatnost u offlineborbi jer se privatnost ugrožava svakodnevno i na svimfrontovima.Još jednom na kraju ću istaći da u sadašnjoj konstelacijistvari (dostupnim sistemima kontrole i globalnom stanjuna tržištu) možemo našim delima pozitivno uticati naprivatnost a negativno na sigurnost. Dok se situacija nepromeni kada razmišljamo o privatnosti moramo naumu imati i sigurnost.Literatura[1] Izvor: https://www.abine.com/[2] "Personal Data:The Emergence of a New AssetClass" - Worls Economic Forum, 2011[3] Ilustracija, članak: "10 Things Online Data CollectorsWont Say", http://www.smartmoney.com/[4] Izvor:http://www.ico.org.uk/for_organisations/privacy_and_electronic_communications/the_guide/cookies[5] http://www.newyorker.com/strongbox/[6] CyberSource: "Online Payment Fraud Trends,Merchant Practices, and Benchmarks", 13th anualedition. Avaliable: http://www.cybersource.com/cgi-bin/resource_center/resources.cgi[7] http://bitcoin.org/Abstract - This article represents comparison betweenonline security and online privacy. It stands out a factthat same methods, that data collector companies usefor tracking us online, are also used, minorly altered, foronline fraud fighting. Article also stands out importanceof fighting for online privacyTitle of the Paper in English: Defining the relations ofsecurity andprivacy on the Internet

×