SlideShare une entreprise Scribd logo
1  sur  4
Télécharger pour lire hors ligne
Definisanje odnosa sigurnosti i privatnosti na internetu
Jovan Šikanja,
administrator za bezbednost, Limundo d.o.o
Sadržaj: Cilj rada je da ukaže na ugrožavanje
privatnosti na internetu ali i da ukaže na činjenicu da se
iste tehnike, različito postavljanje, koriste za
ugrožavanje privatnosti i zaštitu od prevare.
Ključne reči: privatnost, prevara, zaštita, tehnike
praćenja, anonimnost
1. Uvod
Privatnost na Internetu je široko, slojevito i često
diskutovano pitanje.
Ugrožavanje privatnosti i krađa ličnih podataka, pored
ugrožavanja osnovnih prava pojedinca, može da ima
drastične posledice i da rezultira krađom identiteta i
prevarom.
Generalno, privatnost može biti ugrožena na dva
kvalitativno različita načina:
 našim nesmotrenim činom pri korišćenju
internet servisa ili krađom baze podataka o
ličnosti neke državne službe ili web servisa na
koji smo se registrovali;
 sakupljanjem podataka o našem računaru i
praćenje naše celokupne internet komunikacije
od strane trećih lica (detaljno objašnjeno u
trećem odeljku).
U ovom radu bavićemo se pretežno drugim oblikom
ugrožavanja privatnosti jer upravo u tom segmentu
dolazi do preplitanja između metoda koje se koriste pri
ugrožavanju privatnosti i metoda koje se koriste za
cyber zaštitu a pogotovo ukoliko u vidu imamo
elektronsku trgovinu.
Cilj rada je da ukaže na važnost borbe za poštovanje
privatnosti ali i da pokaže drugu stranu medalje:
apsolutna anonimnost na internetu može imati svoju
mračnu stranu.
Treba napomenuti da rad, zbog ograničene forme ne
ulazi u teoretski deo pristupa online privatnosti.
2. Kome su potrebni naši podaci?
Treba odmah istaći da je trgovina privatnim i osetljivim
podacima ima svoje tržište koje je dosta divergentno.
Prati se svaki naš korak na internetu i više nije tajna da
se našim privatnim podacima trguje.
Tržište je 2012. godine bilo vredno 31 milijardu
dolara[1]
Svetski ekonomski forum u svom izveštaju “Personal
Data:The Emergence of a New Asset Class” označio
lične podatke “novom naftom”. U originalu prenosimo
citat iz izveštaja: “Personal data is the new oil of the
Internet and the new currency of the digital world”-
Meglena Kuneva, European Consumer Commissioner
[2]
Nećemo ovde ulaziti u detalje ovih trgovina već ćemo
damo napomenuti najčešće slučajeve trgovine i
zloupotrebe podataka.
Naši podaci na internetu koriste takozvanim “data
collector” kompanijama, advertajzing kućama,
agencijama za marketing i e-prodavnicama koje
posećujmo. Posebno treba izdvojiti društvene mreže
gde ugrožavanje privatnosti, iako uvek u skladu se
uslovima korišćenja datih sajtova, zauzima visok nivo.
To je jedna strana medalje. Podaci se, pre svega,
koriste pre svega, ukratko rečeno za ciljano plasiranje
oglasa takozvani targetirani advertajzing (targeted
advertising). Čuveni retargeting sistem zapravo je blaža
varijanta ugrožavanja privatnosti. Kompanije koje se
bave prikupljanjem podataka spremne su da idu dalje u
analizi našeg ponašanja. Detaljnije o ovoj temi u trećem
odeljku rada.
Sa druge strane privatne podatke i podatke o našoj
komunikaciji koriste i prate tajne službe, vojska i policija
(i to ne nužno iz naše matične zemlje). Podaci se
koriste i u obaveštajne svrhe i u svrhe sajber špijunaže.
Ovaj način ugrožavanja privatnosti posebno je dospeo
u žižu interesovanja zbog slučaja Wikileaks ali i krajem
2010. godine početkom događaja koji su kasnije
nazvani “Arapsko proleće”.
3. Na koji način je privatnost ugrožena. Šta sve
možemo da pratimo?
Prema navodima firme "Abine", koja se bavi
privatnošću na internetu, trenutno preko 200 kompanija
koristi preko 600 različitih tehnika za praćenje našeg
ponašanja na internetu[1].
Tehnike idu od jednostavnih, složenih do pravih
multidisciplinarnih pristupa koji koriste složene
algoritme i statističke analize. Firme koje se bave
praćenjem poseduju masovne baze podataka koje se
konstantno uvećavaju.
Prva i, i dalje, najčešće korišćena metoda praćenja
našeg ponašanja na web-u je korišćenjem tehnologije
kolačića (u daljem tekstu cookies). Cookies mogu biti
razni: Http cookies, flash cookies, evercookies. Cookies
tehnologija zastupljena je u praćenju u velikoj meri, pre
svega, zbog svoje gotovo apsolutne preciznosti u
detekciji našeg ponovnog pojavljivanja na web-u.
Sve pomenute podvrste cookies-a funkcionišu na
sličnom principu (upisivanje podataka na naš računar
radi njihovog ponovnog korišćenja i asocijacije), jedino
se razlikuju po perzistentnosti na našem računaru. Na
2
primer, evercookies prednjače po toj karakteristici. Za
razliku od ostalih vrsta, do skoro, nije ih bilo moguće
obrisati brisanjem cookies-a iz browsera a isto kao i
Flash Cookies, funkcionišu nezavisno od internet
pretraživača, tako da nas neće sakriti ni navika da
koristimo različite pretraživače.
Kakve informacije praćenje našeg ponašanja na
internetu nosi? Ilustrovaćemo to jednim koloritnim
primerom: Kompanije koje se bave praćenjem podataka
znaju da je žena u drugom stanju pre nego što je to
saznala njena porodica.[3]
Na koji način? Kompanija na osnovu prediktivne
analitike razvija patern ponašanja osoba za koje bi se
moglo reći da mogu uskoro postati roditelji. Kroz taj
patern dalje se propuštaju naše zabeležene pretrage na
internetu, kupovine koje smo obavili na web šopovima,
oglasi na koje smo kliknuli. Na osnovu prikupljenih
podataka dalje nam se plasiraju stvari koje ćemo kao
novopečeni roditelji svakako morati da nabavimo.
Cookies je toliko uzeo maha da je 2012 na nivou
Evropske unije usvojen Zakon koji kontroliše njegovu
upotrebu.[4]
Može se zaključiti da je u pitanju je velika pobeda
pojedinaca i kompanija boraca za privatnost.
Međutim, realnost je drugačija i čini sa da borba za
privatnost zapravo tek počinje.
Metode detekcije koje smenjuju cookies tehnologiju, a u
skladu su sa EU zakonom, u stanju su, po iskazima
njihovih kreatora, da idu još dublje a sa stepenom
pouzdanosti od 99%.
U pitanju su, delimično statističke metode koje se
zasnivaju na praćenju podataka o računaru i browseru
korisnika. Pokušaću detaljnije da pojasnim na koji način
funkcionišu ovi sistemi koji se zajednički nazivaju
“Cookieless device fingerprinting”.
Prate se, tip i verzija browsera, instalirani adoni i
pluginovi i njihove verzije, instalirani fontovi, operativni
sistem i verzija, rezolucija ekrana, brzina internet
konekcije, IP adresa i ISP i slično. Ilustraciju šta se sve
može detektovati možete videti na adresi:
http://www.mybrowserinfo.com/detail.asp
Prikupljeni podaci predstavljaju digitalni otisak prsta
našeg računara. Uz sve navedeno, pojedine kompanije
nude i uslugu koja se naziva “device association” koja
ima za cilj da, recimo u bazi data collector kompanije
spoji vaš kućni računar, mobilni telefon, poslovni
računar i tablet tako da vam u praksi, na mobilnom
telefonu može prikazivati reklame odmarališta u Crnoj
Gori, jer ste nedavno gući vršili pretragu po
odgovarajućim ključnim rečima.
4. Borba za anonimnost.
Kao odgovor na ugrožavanje privatnosti i sisteme
praćenja počeli su da se pojavljuju mnogobrojni
programi I aplikacije koje služe za povećanje privatnosti
pri korišćenju interneta.
Važno je istaći da danas, izlazak na internet po “default”
podešavanjima konekcije i pretraživača znači da ste
vrlo podložni praćenju.
Najpoznatiji alati koji se danas koriste su NoScripts,
AdBlockPlus, BetterPrivacy, DoNotTrack. Zajedničko za
sve ove aplikacije je blokiranje neželjenih sadržaja i
cookies-a koji se koriste za praćenje.
Korak napred idu servisi za kompletnu anonimizaciju i
kriptovanje saobraćaja. Najpoznatiji je svakako “TOR
browser” (https://www.torproject.org) - servis za
potpuno anonimno korišćenje interneta. Prilikom
korišćenja TOR-a ni naš ISP ne zna koje sajtove smo
posetili. Takođe, TOR je predefinisan i može se koristi
iza surfovanje “Deep Web”-om
(http://en.wikipedia.org/wiki/Deep_Web), websajtovima
skrivenim od pretraživača kojima se po pravilu ne može
pristupiti iz običnih internet browsera.
Ukoliko se za trenutak od data collectora prebacimo na
državne službe koje prate internet saobraćaj možemo
videti koliko je zapravo privatnost ugrožena i koliko se
prati svaki naš korak na internetu. U prilog ovome
govori i postojanje opcije “Strong box” magazina “The
New Yorker” koja služi za anonimno dojavljivanje i
deljenje fajlova[5]. Slanje poverljivih informacija na
siguran način, koje mogu da ugrožen našu sigurnost,
jednostavno nije moguće izvesti standardnim web
kanalima komunikacije.
5. Sigurnost i borba protiv prevare
Sada dolazimo do dela gde ćemo videti da se sve
tehnike koje smo napomenuli mogu koristiti i u ispravne
svrhe.
Sigurnost na internetu, slično kao i privatnost
predstavlja širok pojam. Grubo rečeno možemo reći da
se sigurnost kreće na spektru se od sigurnosti
informacionih sistema do rizika od prevare kojoj su
podložni pojedinac ili kompanija koji učestvuju na
internetu.
Ono što želim da istaknem u ovom radu je da se gotovo
identične metode kao u prethodno navedenim
situacijama gde se ugrožava privatnost, sa vrlo malim
alteracijama koriste se u prevenciji prevara, pretežno na
e-commerce sajtovima. Pokušaću ovo da ilustrujem
jednim primerom:
Ukoliko možete da detektujete kupca koji je kupio kolica
za bebu pa da mu na osnovu te informacije na drugom
sajtu ponudite i bebi sedište taj sistem možete vrlo
efikasno iskoristiti i za prevenciju prevare. Zabeležićete
sve podatke (privatne i manje privatne) o
problematičnom korisniku i razvićete sistem koji će vam
dojaviti njegovo ponovno vraćanje. Koje metode ćete
koristiti?
Cookies, remete device fingerprinting, device
association koriste se vrlo uspešno u sprečavanju
penetracije prevaranata na websajt.
Suštinska razlika je zapravo je samo razlog prikupljanja
i obrade podataka. Jednima je cilj prodaja a drugima
zaštita od prevare. Podaci običnih korisnika biće
3
prikupljeni ali uglavnom neće biti eksploatisani u slučaju
odsustva prevarnog događaja.
Da se dotaknemo aktuelne situacije u Svetu koja se tiče
online prevara.
U 13. godišnjem “Online fraud report”-u firme
CyberSource kao 4 najefikasnija sistema praćenja koji
se koriste u borbi protiv prevare, online trgovci ocenili
su:
 Sistem bodovanja (specifičan za kompaniju)
 Istorija kupovina kupca
 Device fingerprinting
 Multimerchant data[6]
Ukoliko izanaliziramo ove sisteme možemo zaključiti da
se svi u potpunosti (izuzev sistema bodovanja čije
korišćenje privatnih podataka može varirati) se
oslanjaju na podatke koji se u manjoj ili većoj meri
mogu nazvati privatnim podacima.
Posebno problematičan sa stanovišta privatnosti, a vrlo
efikasan deo je “Multimerchant data” koji,
najjednostavnije rečeno predstavlja, deljenje informacija
o prevarama među kompanijama.
Razlog za ovako nešto vrlo je jednostavan. Ukoliko je
prevarant izvršio prevaru na jednom portalu, deljene
podataka može ga sprečiti da isto učini i na nekom
drugom.
Novi trend koji eksploatiše činjenicu da ljude koji dolaze
sa interneta, vrlo lako možete proveriti na internetu nije
zaobišao ni tržište borbe za online sigurnost. Ovo je
trend provera koji će se masovno eksploatisati u
narednom periodu.
2013. godine počela je sa radom kompanija “Signifyd”
(https://signifyd.com/) koja za provere koristi dostupne
baze podataka na internetu i po prvi put zvanično
podatke sa društvenih mreža. Provere vrši na osnovu Ip
adrese, e-mail adrese i korisničkog imena.
Sa druge strane, važno je istaći, da apsolutna
anonimnost može da ima svoju mračnu stranu.
Kada su se pojavili “deep web” i TOR posle dugo
vremena ljudi su imali mogućnost da internet koriste
potpuno anonimno. Postoje svedočanstva da su
aktivisti iz cenzurom pritisnutih zemalja kao što su Iran i
Sirija uspeli da upravo pomoću Tor-a podele informacije
sa ostatkom sveta a da pritom njihova bezbednost ne
bude ugrožena.
Međutim, zajednica pedofila među prvima je shvatila šta
potpuna anonimnost na internetu može da znači.
Usledili su trgovci narkoticima i oružjem, hakeri koji
iznajmljuju svoje usluge a ide se toliko daleko da preko
“Deep web”-a može čak angažovati i plaćene ubice[5].
Sada imamo još jedan dodatno olakšavajući faktor a to
je anonimni novčani transfer posredstvom BitCoin-a[7]
Trenutno se vodi velika bitka dobronamernih korisnika
TOR mreže i “Deep web” zajednice protiv ovakvih
slučajeva
Zaključak
Započeću zaključak jednim pitanjem: U radu je
pokazano da trenutno nismo anonomni na internetu, ali
koliko smo zapravo anonimni u offline svetu?
Biometrijske lične karte, saobraćajne i policijske
kamere, banke i kreditni biroi, vojska, policija i tajne
službe samo su neki od činilaca ugrožavanja
privatnosti. Logično je da se takva situacija iz offline
sveta preslikava i na online spektar.
Sa druge strane, koliko kod mi uživali u ideji apsolutne
anonimnosti, u radu je ukazano da ona može imati
mračnu stranu sa velikim posledicama po našu
bezbednost.
Bojim se da ćemo, kao i u offline svetu, zbog loših
momaka, morati da se odreknemo određenog dela
privatnosti. Verovatno ste se nekada zapitali iz kog
razloga nosite sa sobom morate da nosite ličnu kartu?
Mišljenja sam da se rešenje nalazi u razvijanju strogih
sistema i propisa kontrole ko, kada i kako i zašto sme
da prati internet saobraćaj i naše učešće na web-u.
Svesni smo da bi ovako rešenje bilo daleko od
idealnog, ali se čini da je trenutno najmanje loše i nalazi
se u domenu ostvarivog.
Pre toga, potrebno je dobiti bitku za privatnost u offline
borbi jer se privatnost ugrožava svakodnevno i na svim
frontovima.
Još jednom na kraju ću istaći da u sadašnjoj konstelaciji
stvari (dostupnim sistemima kontrole i globalnom stanju
na tržištu) možemo našim delima pozitivno uticati na
privatnost a negativno na sigurnost. Dok se situacija ne
promeni kada razmišljamo o privatnosti moramo na
umu imati i sigurnost.
Literatura
[1] Izvor: https://www.abine.com/
[2] "Personal Data:The Emergence of a New Asset
Class" - Worls Economic Forum, 2011
[3] Ilustracija, članak: "10 Things Online Data Collectors
Won't Say", http://www.smartmoney.com/
[4] Izvor:
http://www.ico.org.uk/for_organisations/privacy_and_ele
ctronic_communications/the_guide/cookies
[5] http://www.newyorker.com/strongbox/
[6] CyberSource: "Online Payment Fraud Trends,
Merchant Practices, and Benchmarks", 13th anual
edition. Avaliable: http://www.cybersource.com/cgi-
bin/resource_center/resources.cgi
[7] http://bitcoin.org/
Abstract - This article represents comparison between
online security and online privacy. It stands out a fact
that same methods, that data collector companies use
for tracking us online, are also used, minorly altered, for
online fraud fighting. Article also stands out importance
of fighting for online privacy
Title of the Paper in English: Defining the relations of
security and
privacy on the Internet
Definisanje odnosa sigurnosti i privatnosti na internetu

Contenu connexe

Plus de Limundo

Limundograd English version
Limundograd English versionLimundograd English version
Limundograd English versionLimundo
 
Oglas za posao
Oglas za posaoOglas za posao
Oglas za posaoLimundo
 
Šta sve čini LimundoGrad?
Šta sve čini LimundoGrad?Šta sve čini LimundoGrad?
Šta sve čini LimundoGrad?Limundo
 
Edukacija u LimundoGrad timu
Edukacija u LimundoGrad timuEdukacija u LimundoGrad timu
Edukacija u LimundoGrad timuLimundo
 
Affiliate rezultati
Affiliate rezultatiAffiliate rezultati
Affiliate rezultatiLimundo
 
Kupindo API results for 2014.
Kupindo API results for 2014.Kupindo API results for 2014.
Kupindo API results for 2014.Limundo
 
Oglašavanje Web Shop vs Kupindo
Oglašavanje Web Shop vs KupindoOglašavanje Web Shop vs Kupindo
Oglašavanje Web Shop vs KupindoLimundo
 
Limundo statistike
Limundo statistike Limundo statistike
Limundo statistike Limundo
 
Pola miliona Limundovaca
Pola miliona LimundovacaPola miliona Limundovaca
Pola miliona LimundovacaLimundo
 
Tražimo pojačanje u IT timu na poziciji Junior sistem administrator
Tražimo pojačanje u IT timu na poziciji Junior sistem administratorTražimo pojačanje u IT timu na poziciji Junior sistem administrator
Tražimo pojačanje u IT timu na poziciji Junior sistem administratorLimundo
 
Tražimo pojačanje u IT timu na poziciji PHP programer junior
Tražimo pojačanje u IT timu na poziciji PHP programer junior Tražimo pojačanje u IT timu na poziciji PHP programer junior
Tražimo pojačanje u IT timu na poziciji PHP programer junior Limundo
 
Novi Pravilnik na Limundu
Novi Pravilnik na LimunduNovi Pravilnik na Limundu
Novi Pravilnik na LimunduLimundo
 
Tehnomegdan predavanje - LimundoGrad
Tehnomegdan predavanje -  LimundoGradTehnomegdan predavanje -  LimundoGrad
Tehnomegdan predavanje - LimundoGradLimundo
 
Decoupage #diy kupindo
Decoupage #diy kupindoDecoupage #diy kupindo
Decoupage #diy kupindoLimundo
 
API Kupindo
API KupindoAPI Kupindo
API KupindoLimundo
 
Recept za cheese cake
Recept za cheese cakeRecept za cheese cake
Recept za cheese cakeLimundo
 
Kako pokrenuti-lc-transakciju
Kako pokrenuti-lc-transakcijuKako pokrenuti-lc-transakciju
Kako pokrenuti-lc-transakcijuLimundo
 
Limundo porodica broji 400.000 članova
Limundo porodica broji 400.000 članovaLimundo porodica broji 400.000 članova
Limundo porodica broji 400.000 članovaLimundo
 
A New Beginning New York
A New Beginning New YorkA New Beginning New York
A New Beginning New YorkLimundo
 
A New Beginning Dallas
A New Beginning DallasA New Beginning Dallas
A New Beginning DallasLimundo
 

Plus de Limundo (20)

Limundograd English version
Limundograd English versionLimundograd English version
Limundograd English version
 
Oglas za posao
Oglas za posaoOglas za posao
Oglas za posao
 
Šta sve čini LimundoGrad?
Šta sve čini LimundoGrad?Šta sve čini LimundoGrad?
Šta sve čini LimundoGrad?
 
Edukacija u LimundoGrad timu
Edukacija u LimundoGrad timuEdukacija u LimundoGrad timu
Edukacija u LimundoGrad timu
 
Affiliate rezultati
Affiliate rezultatiAffiliate rezultati
Affiliate rezultati
 
Kupindo API results for 2014.
Kupindo API results for 2014.Kupindo API results for 2014.
Kupindo API results for 2014.
 
Oglašavanje Web Shop vs Kupindo
Oglašavanje Web Shop vs KupindoOglašavanje Web Shop vs Kupindo
Oglašavanje Web Shop vs Kupindo
 
Limundo statistike
Limundo statistike Limundo statistike
Limundo statistike
 
Pola miliona Limundovaca
Pola miliona LimundovacaPola miliona Limundovaca
Pola miliona Limundovaca
 
Tražimo pojačanje u IT timu na poziciji Junior sistem administrator
Tražimo pojačanje u IT timu na poziciji Junior sistem administratorTražimo pojačanje u IT timu na poziciji Junior sistem administrator
Tražimo pojačanje u IT timu na poziciji Junior sistem administrator
 
Tražimo pojačanje u IT timu na poziciji PHP programer junior
Tražimo pojačanje u IT timu na poziciji PHP programer junior Tražimo pojačanje u IT timu na poziciji PHP programer junior
Tražimo pojačanje u IT timu na poziciji PHP programer junior
 
Novi Pravilnik na Limundu
Novi Pravilnik na LimunduNovi Pravilnik na Limundu
Novi Pravilnik na Limundu
 
Tehnomegdan predavanje - LimundoGrad
Tehnomegdan predavanje -  LimundoGradTehnomegdan predavanje -  LimundoGrad
Tehnomegdan predavanje - LimundoGrad
 
Decoupage #diy kupindo
Decoupage #diy kupindoDecoupage #diy kupindo
Decoupage #diy kupindo
 
API Kupindo
API KupindoAPI Kupindo
API Kupindo
 
Recept za cheese cake
Recept za cheese cakeRecept za cheese cake
Recept za cheese cake
 
Kako pokrenuti-lc-transakciju
Kako pokrenuti-lc-transakcijuKako pokrenuti-lc-transakciju
Kako pokrenuti-lc-transakciju
 
Limundo porodica broji 400.000 članova
Limundo porodica broji 400.000 članovaLimundo porodica broji 400.000 članova
Limundo porodica broji 400.000 članova
 
A New Beginning New York
A New Beginning New YorkA New Beginning New York
A New Beginning New York
 
A New Beginning Dallas
A New Beginning DallasA New Beginning Dallas
A New Beginning Dallas
 

Definisanje odnosa sigurnosti i privatnosti na internetu

  • 1. Definisanje odnosa sigurnosti i privatnosti na internetu Jovan Šikanja, administrator za bezbednost, Limundo d.o.o Sadržaj: Cilj rada je da ukaže na ugrožavanje privatnosti na internetu ali i da ukaže na činjenicu da se iste tehnike, različito postavljanje, koriste za ugrožavanje privatnosti i zaštitu od prevare. Ključne reči: privatnost, prevara, zaštita, tehnike praćenja, anonimnost 1. Uvod Privatnost na Internetu je široko, slojevito i često diskutovano pitanje. Ugrožavanje privatnosti i krađa ličnih podataka, pored ugrožavanja osnovnih prava pojedinca, može da ima drastične posledice i da rezultira krađom identiteta i prevarom. Generalno, privatnost može biti ugrožena na dva kvalitativno različita načina:  našim nesmotrenim činom pri korišćenju internet servisa ili krađom baze podataka o ličnosti neke državne službe ili web servisa na koji smo se registrovali;  sakupljanjem podataka o našem računaru i praćenje naše celokupne internet komunikacije od strane trećih lica (detaljno objašnjeno u trećem odeljku). U ovom radu bavićemo se pretežno drugim oblikom ugrožavanja privatnosti jer upravo u tom segmentu dolazi do preplitanja između metoda koje se koriste pri ugrožavanju privatnosti i metoda koje se koriste za cyber zaštitu a pogotovo ukoliko u vidu imamo elektronsku trgovinu. Cilj rada je da ukaže na važnost borbe za poštovanje privatnosti ali i da pokaže drugu stranu medalje: apsolutna anonimnost na internetu može imati svoju mračnu stranu. Treba napomenuti da rad, zbog ograničene forme ne ulazi u teoretski deo pristupa online privatnosti. 2. Kome su potrebni naši podaci? Treba odmah istaći da je trgovina privatnim i osetljivim podacima ima svoje tržište koje je dosta divergentno. Prati se svaki naš korak na internetu i više nije tajna da se našim privatnim podacima trguje. Tržište je 2012. godine bilo vredno 31 milijardu dolara[1] Svetski ekonomski forum u svom izveštaju “Personal Data:The Emergence of a New Asset Class” označio lične podatke “novom naftom”. U originalu prenosimo citat iz izveštaja: “Personal data is the new oil of the Internet and the new currency of the digital world”- Meglena Kuneva, European Consumer Commissioner [2] Nećemo ovde ulaziti u detalje ovih trgovina već ćemo damo napomenuti najčešće slučajeve trgovine i zloupotrebe podataka. Naši podaci na internetu koriste takozvanim “data collector” kompanijama, advertajzing kućama, agencijama za marketing i e-prodavnicama koje posećujmo. Posebno treba izdvojiti društvene mreže gde ugrožavanje privatnosti, iako uvek u skladu se uslovima korišćenja datih sajtova, zauzima visok nivo. To je jedna strana medalje. Podaci se, pre svega, koriste pre svega, ukratko rečeno za ciljano plasiranje oglasa takozvani targetirani advertajzing (targeted advertising). Čuveni retargeting sistem zapravo je blaža varijanta ugrožavanja privatnosti. Kompanije koje se bave prikupljanjem podataka spremne su da idu dalje u analizi našeg ponašanja. Detaljnije o ovoj temi u trećem odeljku rada. Sa druge strane privatne podatke i podatke o našoj komunikaciji koriste i prate tajne službe, vojska i policija (i to ne nužno iz naše matične zemlje). Podaci se koriste i u obaveštajne svrhe i u svrhe sajber špijunaže. Ovaj način ugrožavanja privatnosti posebno je dospeo u žižu interesovanja zbog slučaja Wikileaks ali i krajem 2010. godine početkom događaja koji su kasnije nazvani “Arapsko proleće”. 3. Na koji način je privatnost ugrožena. Šta sve možemo da pratimo? Prema navodima firme "Abine", koja se bavi privatnošću na internetu, trenutno preko 200 kompanija koristi preko 600 različitih tehnika za praćenje našeg ponašanja na internetu[1]. Tehnike idu od jednostavnih, složenih do pravih multidisciplinarnih pristupa koji koriste složene algoritme i statističke analize. Firme koje se bave praćenjem poseduju masovne baze podataka koje se konstantno uvećavaju. Prva i, i dalje, najčešće korišćena metoda praćenja našeg ponašanja na web-u je korišćenjem tehnologije kolačića (u daljem tekstu cookies). Cookies mogu biti razni: Http cookies, flash cookies, evercookies. Cookies tehnologija zastupljena je u praćenju u velikoj meri, pre svega, zbog svoje gotovo apsolutne preciznosti u detekciji našeg ponovnog pojavljivanja na web-u. Sve pomenute podvrste cookies-a funkcionišu na sličnom principu (upisivanje podataka na naš računar radi njihovog ponovnog korišćenja i asocijacije), jedino se razlikuju po perzistentnosti na našem računaru. Na
  • 2. 2 primer, evercookies prednjače po toj karakteristici. Za razliku od ostalih vrsta, do skoro, nije ih bilo moguće obrisati brisanjem cookies-a iz browsera a isto kao i Flash Cookies, funkcionišu nezavisno od internet pretraživača, tako da nas neće sakriti ni navika da koristimo različite pretraživače. Kakve informacije praćenje našeg ponašanja na internetu nosi? Ilustrovaćemo to jednim koloritnim primerom: Kompanije koje se bave praćenjem podataka znaju da je žena u drugom stanju pre nego što je to saznala njena porodica.[3] Na koji način? Kompanija na osnovu prediktivne analitike razvija patern ponašanja osoba za koje bi se moglo reći da mogu uskoro postati roditelji. Kroz taj patern dalje se propuštaju naše zabeležene pretrage na internetu, kupovine koje smo obavili na web šopovima, oglasi na koje smo kliknuli. Na osnovu prikupljenih podataka dalje nam se plasiraju stvari koje ćemo kao novopečeni roditelji svakako morati da nabavimo. Cookies je toliko uzeo maha da je 2012 na nivou Evropske unije usvojen Zakon koji kontroliše njegovu upotrebu.[4] Može se zaključiti da je u pitanju je velika pobeda pojedinaca i kompanija boraca za privatnost. Međutim, realnost je drugačija i čini sa da borba za privatnost zapravo tek počinje. Metode detekcije koje smenjuju cookies tehnologiju, a u skladu su sa EU zakonom, u stanju su, po iskazima njihovih kreatora, da idu još dublje a sa stepenom pouzdanosti od 99%. U pitanju su, delimično statističke metode koje se zasnivaju na praćenju podataka o računaru i browseru korisnika. Pokušaću detaljnije da pojasnim na koji način funkcionišu ovi sistemi koji se zajednički nazivaju “Cookieless device fingerprinting”. Prate se, tip i verzija browsera, instalirani adoni i pluginovi i njihove verzije, instalirani fontovi, operativni sistem i verzija, rezolucija ekrana, brzina internet konekcije, IP adresa i ISP i slično. Ilustraciju šta se sve može detektovati možete videti na adresi: http://www.mybrowserinfo.com/detail.asp Prikupljeni podaci predstavljaju digitalni otisak prsta našeg računara. Uz sve navedeno, pojedine kompanije nude i uslugu koja se naziva “device association” koja ima za cilj da, recimo u bazi data collector kompanije spoji vaš kućni računar, mobilni telefon, poslovni računar i tablet tako da vam u praksi, na mobilnom telefonu može prikazivati reklame odmarališta u Crnoj Gori, jer ste nedavno gući vršili pretragu po odgovarajućim ključnim rečima. 4. Borba za anonimnost. Kao odgovor na ugrožavanje privatnosti i sisteme praćenja počeli su da se pojavljuju mnogobrojni programi I aplikacije koje služe za povećanje privatnosti pri korišćenju interneta. Važno je istaći da danas, izlazak na internet po “default” podešavanjima konekcije i pretraživača znači da ste vrlo podložni praćenju. Najpoznatiji alati koji se danas koriste su NoScripts, AdBlockPlus, BetterPrivacy, DoNotTrack. Zajedničko za sve ove aplikacije je blokiranje neželjenih sadržaja i cookies-a koji se koriste za praćenje. Korak napred idu servisi za kompletnu anonimizaciju i kriptovanje saobraćaja. Najpoznatiji je svakako “TOR browser” (https://www.torproject.org) - servis za potpuno anonimno korišćenje interneta. Prilikom korišćenja TOR-a ni naš ISP ne zna koje sajtove smo posetili. Takođe, TOR je predefinisan i može se koristi iza surfovanje “Deep Web”-om (http://en.wikipedia.org/wiki/Deep_Web), websajtovima skrivenim od pretraživača kojima se po pravilu ne može pristupiti iz običnih internet browsera. Ukoliko se za trenutak od data collectora prebacimo na državne službe koje prate internet saobraćaj možemo videti koliko je zapravo privatnost ugrožena i koliko se prati svaki naš korak na internetu. U prilog ovome govori i postojanje opcije “Strong box” magazina “The New Yorker” koja služi za anonimno dojavljivanje i deljenje fajlova[5]. Slanje poverljivih informacija na siguran način, koje mogu da ugrožen našu sigurnost, jednostavno nije moguće izvesti standardnim web kanalima komunikacije. 5. Sigurnost i borba protiv prevare Sada dolazimo do dela gde ćemo videti da se sve tehnike koje smo napomenuli mogu koristiti i u ispravne svrhe. Sigurnost na internetu, slično kao i privatnost predstavlja širok pojam. Grubo rečeno možemo reći da se sigurnost kreće na spektru se od sigurnosti informacionih sistema do rizika od prevare kojoj su podložni pojedinac ili kompanija koji učestvuju na internetu. Ono što želim da istaknem u ovom radu je da se gotovo identične metode kao u prethodno navedenim situacijama gde se ugrožava privatnost, sa vrlo malim alteracijama koriste se u prevenciji prevara, pretežno na e-commerce sajtovima. Pokušaću ovo da ilustrujem jednim primerom: Ukoliko možete da detektujete kupca koji je kupio kolica za bebu pa da mu na osnovu te informacije na drugom sajtu ponudite i bebi sedište taj sistem možete vrlo efikasno iskoristiti i za prevenciju prevare. Zabeležićete sve podatke (privatne i manje privatne) o problematičnom korisniku i razvićete sistem koji će vam dojaviti njegovo ponovno vraćanje. Koje metode ćete koristiti? Cookies, remete device fingerprinting, device association koriste se vrlo uspešno u sprečavanju penetracije prevaranata na websajt. Suštinska razlika je zapravo je samo razlog prikupljanja i obrade podataka. Jednima je cilj prodaja a drugima zaštita od prevare. Podaci običnih korisnika biće
  • 3. 3 prikupljeni ali uglavnom neće biti eksploatisani u slučaju odsustva prevarnog događaja. Da se dotaknemo aktuelne situacije u Svetu koja se tiče online prevara. U 13. godišnjem “Online fraud report”-u firme CyberSource kao 4 najefikasnija sistema praćenja koji se koriste u borbi protiv prevare, online trgovci ocenili su:  Sistem bodovanja (specifičan za kompaniju)  Istorija kupovina kupca  Device fingerprinting  Multimerchant data[6] Ukoliko izanaliziramo ove sisteme možemo zaključiti da se svi u potpunosti (izuzev sistema bodovanja čije korišćenje privatnih podataka može varirati) se oslanjaju na podatke koji se u manjoj ili većoj meri mogu nazvati privatnim podacima. Posebno problematičan sa stanovišta privatnosti, a vrlo efikasan deo je “Multimerchant data” koji, najjednostavnije rečeno predstavlja, deljenje informacija o prevarama među kompanijama. Razlog za ovako nešto vrlo je jednostavan. Ukoliko je prevarant izvršio prevaru na jednom portalu, deljene podataka može ga sprečiti da isto učini i na nekom drugom. Novi trend koji eksploatiše činjenicu da ljude koji dolaze sa interneta, vrlo lako možete proveriti na internetu nije zaobišao ni tržište borbe za online sigurnost. Ovo je trend provera koji će se masovno eksploatisati u narednom periodu. 2013. godine počela je sa radom kompanija “Signifyd” (https://signifyd.com/) koja za provere koristi dostupne baze podataka na internetu i po prvi put zvanično podatke sa društvenih mreža. Provere vrši na osnovu Ip adrese, e-mail adrese i korisničkog imena. Sa druge strane, važno je istaći, da apsolutna anonimnost može da ima svoju mračnu stranu. Kada su se pojavili “deep web” i TOR posle dugo vremena ljudi su imali mogućnost da internet koriste potpuno anonimno. Postoje svedočanstva da su aktivisti iz cenzurom pritisnutih zemalja kao što su Iran i Sirija uspeli da upravo pomoću Tor-a podele informacije sa ostatkom sveta a da pritom njihova bezbednost ne bude ugrožena. Međutim, zajednica pedofila među prvima je shvatila šta potpuna anonimnost na internetu može da znači. Usledili su trgovci narkoticima i oružjem, hakeri koji iznajmljuju svoje usluge a ide se toliko daleko da preko “Deep web”-a može čak angažovati i plaćene ubice[5]. Sada imamo još jedan dodatno olakšavajući faktor a to je anonimni novčani transfer posredstvom BitCoin-a[7] Trenutno se vodi velika bitka dobronamernih korisnika TOR mreže i “Deep web” zajednice protiv ovakvih slučajeva Zaključak Započeću zaključak jednim pitanjem: U radu je pokazano da trenutno nismo anonomni na internetu, ali koliko smo zapravo anonimni u offline svetu? Biometrijske lične karte, saobraćajne i policijske kamere, banke i kreditni biroi, vojska, policija i tajne službe samo su neki od činilaca ugrožavanja privatnosti. Logično je da se takva situacija iz offline sveta preslikava i na online spektar. Sa druge strane, koliko kod mi uživali u ideji apsolutne anonimnosti, u radu je ukazano da ona može imati mračnu stranu sa velikim posledicama po našu bezbednost. Bojim se da ćemo, kao i u offline svetu, zbog loših momaka, morati da se odreknemo određenog dela privatnosti. Verovatno ste se nekada zapitali iz kog razloga nosite sa sobom morate da nosite ličnu kartu? Mišljenja sam da se rešenje nalazi u razvijanju strogih sistema i propisa kontrole ko, kada i kako i zašto sme da prati internet saobraćaj i naše učešće na web-u. Svesni smo da bi ovako rešenje bilo daleko od idealnog, ali se čini da je trenutno najmanje loše i nalazi se u domenu ostvarivog. Pre toga, potrebno je dobiti bitku za privatnost u offline borbi jer se privatnost ugrožava svakodnevno i na svim frontovima. Još jednom na kraju ću istaći da u sadašnjoj konstelaciji stvari (dostupnim sistemima kontrole i globalnom stanju na tržištu) možemo našim delima pozitivno uticati na privatnost a negativno na sigurnost. Dok se situacija ne promeni kada razmišljamo o privatnosti moramo na umu imati i sigurnost. Literatura [1] Izvor: https://www.abine.com/ [2] "Personal Data:The Emergence of a New Asset Class" - Worls Economic Forum, 2011 [3] Ilustracija, članak: "10 Things Online Data Collectors Won't Say", http://www.smartmoney.com/ [4] Izvor: http://www.ico.org.uk/for_organisations/privacy_and_ele ctronic_communications/the_guide/cookies [5] http://www.newyorker.com/strongbox/ [6] CyberSource: "Online Payment Fraud Trends, Merchant Practices, and Benchmarks", 13th anual edition. Avaliable: http://www.cybersource.com/cgi- bin/resource_center/resources.cgi [7] http://bitcoin.org/ Abstract - This article represents comparison between online security and online privacy. It stands out a fact that same methods, that data collector companies use for tracking us online, are also used, minorly altered, for online fraud fighting. Article also stands out importance of fighting for online privacy Title of the Paper in English: Defining the relations of security and privacy on the Internet