Személyes adatainkkal fizetünk az „ingyenes” internetes szolgáltatásokért

Információvédelmi pályázatot nyert a BME VIK hallgatója, aki azt vizsgálta, hogy a számítógépes egérmozgás alapján azonosíthatók-e a webes látogatók és egyéni szokásaik.

„Olyan szoftver-alkalmazást fejlesztettem, amely az internetezők egérmozgásait és ehhez kapcsolódóan adatokat rögzít. Ezekből az adatokból a felhasználók tevékenységét elemző grafikonokat készítettem. Ábrázoltam az egérmozgások eltéréseinek eloszlását, majd hőtérképpel szemléltettem a kattintásokat és a kurzormozgásokat. Az ábrák elemzésével azt vizsgáltam, hogy vannak-e olyan állandó vagy következetes jellemzők, amelyek alapján egymástól elkülöníthetően azonosíthatók a felhasználók; ezek alapján bepillantást nyerhetünk-e ízlésvilágukba, viselkedésükbe vagy szokásaikba” – foglalta össze pályamunkájának lényegét Szerencsés Ákos műegyetemi villamosmérnök hallgató, aki a „Webes egér hőtérképek készítése és elemzése” című dolgozatával első helyezést ért el a Hétpecsét Információbiztonsági Egyesület pályázatán, és elnyerte az „Év információbiztonsági szakdolgozata” címet. (Ákos dolgozata itt érhető el)

A Hétpecsét Információbiztonsági Egyesület 2004-ben jött létre egy korábbi, az információbiztonság területein dolgozó szakembereket és vállalatokat összefogó munkacsoport utódjaként. Az egyesület célja, hogy elősegítse az információvédelem kultúrájának és ismereteinek terjesztését, és növelje az információvédelmi tudatosságot. Célja továbbá egy olyan szakmai műhely létrehozása, amely egyben a téma szakembereinek fóruma.
Az egyesület évente 5 szakmai fórumot szervez, és 3 saját alapítású díjat oszt ki: az „Év információbiztonsági újságírója”, az „Év információbiztonsági szakdolgozata” és az „Év információbiztonsági diplomadolgozata” elismerést.

Szerencsés Ákos a díjazott szakdolgozatban egy jelentős, üzleti szereplőket is foglalkoztató, „forró” témába kezdett bele. „Az egér mozgásából lehet következtetni például a felhasználót legjobban érdeklő weboldal-tartalmakra vagy elemekre, a klikkelésekből pedig megállapíthatók az adott oldal legértékesebb pontjai” – fejtette ki a BME hallgatója. Az üzleti szempontokon túl Ákos kutatásainak erkölcsi vonatkozása is említésre méltó: kísérletei végcéljaként – személyes információk megadása nélkül – az egérmozgás koordinátáiból levonható, a felhasználóra vonatkozó egyedi információk és következtetések etikus formáját keresi, amellyel hatékonyabbá tehető az ember és az internet kapcsolata. Mindezt a privátszféra „értékesítése” nélkül. Az empirikus vizsgálatokhoz adatgyűjtő alkalmazást hozott létre, amellyel a kísérletében önkéntesen résztvevő alanyokról gyűjtött be információkat. A megkezdett szakmai munka folytatásaként továbbviszi a kísérleteit: manuális helyett digitális adatfeldolgozást próbál megvalósítani egy lényegesen több alanyból álló mintán, amelyhez jelenleg egy sokkal felhasználóbarátabb és automatizált Firefox böngésző-kiegészítőt fejleszt. Ákos szakmai munkájának a Műegyetem CrySyS Laboratóriuma ad otthont.

Egérmozgást reprezentáló hőtérkép

A BME Hálózati Rendszerek és Szolgáltatások Tanszék CrySyS Adat- és Rendszerbiztonság Laboratóriumának (CrySyS Lab) egyik fő tevékenysége a kiberhadviselés területéhez kapcsolódik, amely néhány éve kapott nagyobb hangsúlyt. E mellett az adatvédelem terén jelenleg a webes követés, az internetes azonosítás, a biztonságos webes tartalom-elhelyezés vagy a közösségi hálózatok adatvédelme témakörében is folynak kutatások. (A CrySyS Labor működéséről korábban a bme.hu is beszámolt.)

Érdekesség
Az elmúlt években a labor egyik legjelentősebb eredménye az ún. Duqu program első közismert felismerése, majd analízise. A szoftver célja az információszerzés, vélhetőleg többek között ipari vezérlőrendszerekkel összefüggő környezetben. Egyes feltételezések szerint a szoftvert az iráni atomprogram szabotálására fejlesztette ki az amerikai és az izraeli kormány.

A program arról kapta nevét, hogy az információlopó komponense a "~DQ" kezdetű fájlneveket használja a rögzített adatok tárolására. A támadó szoftver telepítője egy Microsoft Word (.doc kiterjesztésű) fájl, amely kihasználja a Win32 Windows Module True Type betűtípus feldolgozó magjának hibáját, és azon keresztül teszi lehetővé a kód futtatását.

„A webes hirdetőfelületek és a weben történő értékesítés mai modelljében a saját személyes adataink – a magyarban is elterjedt angol szóval ’privacy-nk’ – megosztásával ’fizetünk’ az ingyenes szolgáltatásokért. A weben – elsősorban a felhasználók böngészésének rejtett követésével – megszerzett személyes adatokat kereskedelmi célokra használják fel az erre specializálódott cégek: célzott hirdetésekhez és személyre szabott árképzéshez, amely általában kedvezményekre jogosító kuponok formájában jelenik meg. A felhasználók sokszor mindezt egyfajta „gondoskodásként” élik meg: mintha a hirdetések nagy része direkt nekik szólna, rájuk szabták volna, és a kuponok által a kiváltságosok körébe kerülhetnének. A látszat ellenére ezek az intézkedések nem az internetezők kényelmét szolgálják, hanem a hirdetők és az eladók így érvényesítik a saját üzleti érdekeiket a potenciális ügyfelekkel szemben. Lehet, hogy az egyik kuponnal nyerünk, de ki tudja, mennyit bukunk egy másikkal? A cél minden esetben a céges profit maximalizálása” – egészítette ki az Ákos által elmondottakat Gulyás Gábor György, a CrySyS Labor munkatársa, a díjazott konzulense.

„Az interneten szerzett személyes adatok üzleti felhasználása erkölcsi, jogi és technikai szempontból is ingoványos terület – sok esetben képlékenyek a szabályok. Az EU-ban például tilos a dinamikus árképzés, azaz ugyanazt a terméket valakinek többért adni, mint másnak. A személyre szabott kuponokat semmi nem tiltja, de a végeredmény ugyanaz, az árak személyre szabottak lesznek” – világított rá az információvédelem bizonytalanságaira a VIK oktatója. „Néhány év alatt változtak a felhasználók, és e mellett nőtt a bizalmatlanság is az internettel szemben. Az üzleti szféra mellett ma már egyes magánszemélyek is hajlandók áldozni adataik védelméért, és egy részük óvatosabban fogadja az adataikra építő újításokat, modern fejlesztéseket. Ellenpélda ugyanakkor, hogy sokan használják a közösségi oldalakat, például a facebookot, ahol a felhasználók nagy része könnyűszerrel kihasználható személyes információkat oszt meg magáról. Például olyan adatokat, fotókat, amelyek kínos kérdésekre adhatnak okot állásinterjúkon, de ezeken az oldalakon nyilvánossá teszik azt is, hogy éppen mikor nincsenek otthon, ami a lakásbetörésekre specializálódott bűnözők egyik hiteles információforrása lehet” – hívta fel a figyelmet a közösségi portálokkal kapcsolatos problémára a műegyetemi oktató.

„Vannak ma már olyan amerikai hitelező cégek is, amelyek evidenciának tekintik az ügyfelek facebook-kapcsolatait, és ez alapján ítélik meg az embereket. Jó és stabil adós az, akinek szilárd anyagi háttérrel rendelkező barátai vannak; a hitelfelvételre pedig csak magasabb kamat mellett alkalmas az az ügyfél, akinek a barátai között olyanok vannak, akik nem fizetik rendesen a kölcsönüket” – szemléltette a közösségi oldalakról nyerhető információ üzleti hasznosítását Szerencsés Ákos.

„Létezik olyan felmérés is, amelynek eredményeiből a célzott hirdetéseket alkalmazó cégek arra következtetnek, hogy érdemes reklámjaikkal a hölgyekre összpontosítaniuk. A nők online tevékenységének követésével fény derülhet a hetente ismétlődő bizonytalanságukra, ilyenkor ugyanis a megszokottnál nyitottabbaknak találták őket például kozmetikumok és egyéb szépítőszerek megvásárlására. Az ilyen típusú személyes adatfelhasználás nyilván az érintettek tudta és hozzájárulása nélkül történik, és már etikai határokat feszeget, már ha túl nem lépte azokat” – világított rá Gulyás Gábor György, aki 2007-ben még hallgatóként nyerte el az egyesület „Év információvédelmi diplomadolgozata” elismerését. „Közel hét év alatt óriásit változott a világ, átalakultak a problémák. Ma már a szolgáltatások egyre szélesebb spektrumán érezhetjük, hogy adataink veszélyben vannak. Szerencsére a tavaly kirobbant Snowden-botrány óta a felhasználók nagyobb óvatossággal viseltetnek az internetes szolgáltatások iránt, és sokan egyre tudatosabb fogyasztókká válnak” – ecsetelte az egykori díjazott. Gulyás Gábor György szerint egyre értékesebb a piacon az adatvédelemmel foglalkozó IT-szakemberek (angolul privacy engineers) tudása: „annak ellenére hiányszakma ez a képesítés, hogy egyre több helyen van igény rá”.

„Internetezés közben vannak alapvető lépések, amelyeket minden felhasználó megtehet a saját adatai védelméért. A legelterjedtebbek az ún. tracking cookie-k, magyarul nyomkövető sütik, amelyek egy azonosítót tartalmaznak, és a böngészőkben megtelepedve teszik lehetővé a felhasználó netes tevékenységének megfigyelését. Ezek ellen könnyű védekezni néhány beállítással, mint például a sütik rendszeres, bezárás utáni automatikus törlésével” – hozta fel példaként Szerencsés Ákos. Kicsit nehezebb, de nem lehetetlen az önvédelem az ennél bonyolultabb elven működő, ún. webpoloskákkal szemben, amelyek az internetezők webes viselkedését követik nyomon. Ezek, ellentétben a sütikkel, csak bizonyos esetekben tárolják a számítógépen az azonosítót. E helyett például egyéni ujjlenyomatot készítenek a felhasználó számítógépéről annak műszaki adatai (pl. képernyő felbontása vagy alkalmazott betűstílus) alapján. „Kifejezetten a blokkolásukra specializálódott programmal lehet a webpoloskák ellen védekezni. Ilyen például a Firefox vagy a Chrome böngészőbe feltelepíthető Ghostery” – javasolta Gulyás Gábor György. Kifejtette, hogy a webpoloskák függetlenek a felhasznált készülékektől: „az asztali számítógépektől kezdve a tableteken át az okostelefonokig bármilyen webböngészésre alkalmas eszközön képesek az adott készülék azonosítására, és így a weben végzett tevékenység megfigyelésére.” Hozzátette, hogy „az adatvédelmet mindenkinek ésszerű határok között lehet és kell kezelnie. Nem kell remeteként kivonulni a társadalomból, de nem is lehetetlen a privátszféránk védelme, hiszen hatékony és ingyenes programok állnak rendelkezésre”.

- TZS -

Fotó: Philip János