Cyfrowy odcisk palca – jak digital footprint śledzi cię w internecie?
Anonimowość w sieci to iluzja, co nie będzie zaskoczeniem dla żadnego świadomego użytkownika Internetu i współczesnych technologii. VPNy, tryb incognito, czy bezpieczne przeglądarki owszem nieco pomagają, ale bardzo im daleko daleko do czapki niewidki. Digital fingerprint (cyfrowy odcisk palca) nie jest oparty na żadnej przełomowej technologii, nie da się go w stu procentach zwalczyć, nie ma żadnej skutecznej legislacji, która ograniczałaby jego użycie, a jest niezwykle skuteczny w identyfikacji użytkownika. Jak działa?
Czym jest cyfrowy odcisk palca?
Cyfrowy odcisk palca to zbiór całej masy pozornie mało istotnych cech charakterystycznych, które są dostępne dla stron, które odwiedzamy. Informacje te udostępniają przeglądarki (jedne więcej, inne mniej, o czym później) w dobrej wierze – żeby strona mogła lepiej dostosować się do ekranu, rozpoznać język użytkownika itd. Okazuje się jednak, że gdy złożymy do kupy dziesiątki takich mało poufnych parametrów, otrzymamy mozaikę zaskakująco unikalną. Miarą tej unikalności jest entropia – im wyższa, tym większa szansa, że podobny odcisk jest jedyny w swoim rodzaju.
Około 1 na 286,777 użytkowników ma nieunikalny odcisk palca.
Panopticlick, 2021
Od tego czasu technologia poszła do przodu i szacuje się, że blisko 90% użytkowników ma unikalny odcisk palca.
Jakie parametry składają się na cyfrowy odcisk palca?
Często wprowadza się podział na dwa podejścia browser footprint (odcisk palca przeglądarki) i device footprint (odcisk palca urządzenia).
Cyfrowy odcisk przeglądarki
W tej kategorii znajdują się parametry, które wynikają bezpośrednio z używanej przez nas przeglądarki i na tym samym urządzeniu mogę się różnić, jeśli skorzystamy z innej. Przykładowo są to:
- Typ przeglądarki i jej wersja
- System operacyjny
- Używane wtyczki i rozszerzenia
- Zainstalowane czcionki
- Wymiary ekranu (mogą być wirtualne)
- Szczegóły audio
- Strefa czasowa
- Język
Najbardziej skuteczny okazuje się jednak test renderowania grafiki (webGL fingerprinting) – urządzenia mają tendencję do niewielkich odchyleń w wygenerowanych obrazach, odchyleń niestety często unikalnych.
Cyfrowy odcisk urządzenia
W tej kategorii znajdują się informacje związane z urządzeniem, którego używamy – a więc niezależne od przeglądarki. Więcej unikalnych informacji uzyskać można na urządzeniach mobilnych. Będą to na przykład:
- Model procesora
- Karta graficzna
- Głębia koloru ekranu
- Producent urządzenia i model
- Pamięć RAM
W łatwostrawnej formie można zobaczyć co wie o nas każda strona, którą odwiedzamy, na witrynie AmIUnique. Poniżej czubeczek góry lodowej dostępnych parametrów, który jednak uświadamia, że samo używanie języka polskiego jest w skali całego Internetu cechą rzadką.
Jeśli ktoś ma doświadczenie w branży i ma ochotę na dane ciężkostrawne – zapraszam do wtyczki fingerprint.js, której zresztą możecie używać w swoich projektach za darmo. Odpłatnie zresztą też, ale sam nie korzystałem z wersji pro i nie płacą mi za reklamę, więc nie zachwalam.
Wyczyściłeś ciasteczka? I tak cię śledzą
Unia Europejska potraktowała ciasteczka na tyle poważnie, że w praktyce poświęciła zagadnieniu osobną dyrektywę ePrivacy Directive, odrębną od RODO, obowiązującą od roku 2002, później nowelizowaną. Czy odnosi się ona, albo somo RODO, do cyfrowych odcisków palca? Tak… ale zasadniczo to nie. Teoretycznie dyrektywa stanowi, że odczytywanie informacji o użytkowniku i jego urządzeniu powinno wymagać zgody, ale przecież część danych jest realnie niezbędna do poprawnego funkcjonowania i nie ma potrzeby zapisywania niczego po stronie klienta. Oznacza to też, że tryb incognito nie pomaga zasadniczo w niczym – ciastek nie zapisuje, ale przed odczytem parametrów do odcisku nie chroni.
Po co komu nasz cyfrowy odcisk palca?
W większości przypadków jest faktycznie przydatny do dostarczenia stron lepiej dopasowanych do naszych urządzeń i preferencji. Ma też pozytywne zastosowania – pomaga zwiększyć bezpieczeństwo, np. gdy logujemy się do banku z nieznanego urządzenia. Znacie na pewno komunikaty z prośbą o potwierdzenie w aplikacji czy przez sms, bo logowanie ma inny wzorzec. Odcisk jest też pomocny w odsiewaniu ruchu botów.
Jest spora szansa, że nasz internetowy obuwniczy dobrze wie o naszych poszukiwaniach sandałów w zeszłym tygodniu, mimo, że nie zezwoliliśmy na żadne ciastka, co szczególnie irytujące nie jest… Ale tychże sandałów domyśla się też Google, gdzie wpisywaliśmy hasło, przez co nawet na portalu informacyjnym dziwnym trafem reklamy proponują nam obuwie.
Jest i gorsza część – firmy prowadzą nielegalny handel odciskami palców, głównie do celów komercyjnych, żeby bombardować nas „lepiej dopasowanymi reklamami”, ale nie tylko. Ponieważ odciski są używane jako pomocniczy mechanizm uwierzytelniania mogą też służyć do kradzieży tożsamości, a są przesłanki, że firmy ubezpieczeniowe mogą ich używać do oceny ryzyka na bazie aktywności klienta.
Da się ukryć cyfrowy odcisk palca?
Trochę się da. Można znaleźć głosy, że jednym z rozwiązań jest stosowanie tak popularnych rozwiązań jak to możliwe, wtedy nasz odcisk nie będzie unikalny. O ile w przypadku przeglądarki i systemu operacyjnego to nie jest genialny pomysł, o tyle takie ustawienia jak język i strefa czasowa faktycznie mogą śledzenie utrudnić. Ale znacznie lepszą metodą jest korzystanie z odpowiednich przeglądarek i rozszerzeń. Bazowy Chrome dzieli się wszystkim, czym się da, ale nie każda przeglądarka jest tak wylewna.
Brave
Brave to przeglądarka oparta na silniku Chromium, więc nie powoduje problemów z przeglądaniem stron i ich czasem ładowania, ma kompatybilne wtyczki i generalnie nie powoduje żadnych problemów nawet dla początkujących użytkowników.
Brave zaimplementował rozwiązanie, które zdaje się sprawdzać naprawdę nieźle – losuje niektóre parametry, żeby nasz odcisk stale się zmieniał.
Tor
Ciężki kaliber w dziedzinie bezpieczeństwa, przeglądarka, która oferuje najwyższy poziom prywatności, w związku z tym powszechnie kojarzona z użytkownikami, którzy szukają w sieci treści niezgodnych z prawem. Jej metoda działania jest nieco bardziej skomplikowana, zawiera dodatkowe kroki pośrednie, ale pozwala na dosyć skuteczne maskowanie, niestety nie bez przykrych konsekwencji – strony często działają niepoprawnie i wolno. Dla zaawansowanych użytkowników z podejrzanie dużymi potrzebami.
NoScript
Wtyczka, kompatybilna z Chromem, Firefoxem i Edge, która chroni przed skryptami śledzącymi i szerzej przed niechcianymi kawałkami kodu. Niestety, może wyciąć nieco więcej niż byśmy sobie życzyli, przez co strony przestaną działać prawidłowo.
Chcesz wiedzieć więcej o prywatności? Zapraszam na szkolenie!
