9 декабря 2019

Анатомия трекеров. Часть I

Глубокое погружение в технологию корпоративного наблюдения: Фонд электронных рубежей (Electronic Frontier Foundation, EFF) решает демистифицировать загадочные «трекеры», которые следят за нами на сайтах и в реальной жизни — в нескольких частях мы публикуем перевод объемной статьи от известных цифровых активистов.  

Трекеры прячутся почти во всех уголках интернета и современной жизни. Средняя веб-страница обменивается данными с десятками третьих сторон. Среднее приложение делает то же самое, а многие из них собирают конфиденциальную информацию, такую ​​как местоположение и записи вызовов, даже когда они не используются.

Трекеры отслеживания проникают и в физический мир. Торговые центры используют автоматические считыватели номерных знаков, чтобы отслеживать трафик через свои парковки, а затем делиться этими данными с правоохранительными органами. Компании, организаторы концертов и политики используют маячки Bluetooth и WiFi для пассивного мониторинга людей в их районе. Розничные магазины используют распознавание лиц, чтобы идентифицировать клиентов, отслеживать кражи и показывать целевую рекламу.

Технологические компании, торговцы данными и рекламодатели, стоящие за этим отслеживанием, а также технологии, с помощью которых оно осуществляется — всё это обычно невидимо для пользователя. Корпорации создали зал односторонних зеркал: внутри, в социальных сетях вы можете видеть только приложения, веб-страницы, рекламу и себя самих. Но в тени с обратной стороны зеркала находятся трекеры, которые спокойно записывают практически все, что вы делаете. Эти трекеры не всезнающие, но они широко распространены и неизбирательны. Данные, которые они собирают и получают, не идеально точны, но, тем не менее, чрезвычайно чувствительны.

Мы надеемся, что этот документ прольёт свет на корпоративное отслеживание и демистифицирует его для журналистов, политиков и заинтересованных потребителей, объяснит масштабы проблемы и предложит способы ее решения.
.
ОТСЛЕЖИВАНИЕ СЕРВИСОМ VS. ОТСЛЕЖИВАНИЕ ТРЕТЬЕЙ СТОРОНОЙ
.
Крупнейшие компании собирают огромные объемы данных, когда люди пользуются их услугами. Facebook знает, кто ваши друзья, что вам «нравится» и какой контент вы читаете в ленте новостей. Google знает, что вы ищете и куда вы идете, когда вы перемещаетесь с помощью Google Maps. Amazon знает, что вам нужно купить и что вы купили.

Данные, которые эти компании собирают с помощью своих собственных продуктов и услуг, называются «отслеживание сервисом». Эта информация может быть чрезвычайно конфиденциальной, и компании уже давно используют ее неправильно. Сервисы обычно собирают данные, получая так называемое «согласие»: используя наш сервис, вы соглашаетесь разрешить нам использовать данные, которые мы собираем, пока вы это делаете. Все больше пользователей начинают понимать, что для многих бесплатных сервисов они являются сырьём, даже если им это не нравится.

Однако компании собирают столько же личной информации, если не больше, о людях, которые не пользуются их услугами. Например, Facebook собирает информацию о пользователях других веб-сайтов и приложений с помощью своих невидимых «пикселей конверсии». Аналогичным образом, Google, хотя вы и не давали ему такого права, отслеживает в какой магазин вы пошли приобретать товар в своем городе, после того как загуглили этот товар, и эти данными могут пользоваться рекламодатели для лучших настроек в Google AdWords. Тысячи других торговцев данными, рекламодателей и трекеров скрываются где-то на заднем плане, когда мы сёрфим веб или просто пользуемся телефоном или умными часами. Это называется «отслеживание третьей стороной». Его гораздо труднее идентифицировать без намётанного взгляда, и его почти невозможно избежать.
.
ЧТО ЗНАЮТ ТРЕКЕРЫ?
.
Многие знакомы с самыми вопиющими случаями нарушения конфиденциальности: каждый смартфон представляет собой карманный GPS-трекер, который постоянно передает информацию о своем местонахождении через интернет неизвестным третьим сторонам. Подключенные к интернету устройства с камерами и микрофонами могут оказаться и периодически оказываются бесшумными жучками для прослушивания разговоров и отслеживания местоположения. Хорошо известен случай, когда школа следила за учениками с помощью веб-камер на их ноутбуках.

Но эти самые известные каналы наблюдения не являются самыми распространенными и опасными для нашей частной жизни. Даже несмотря на то, что мы проводим много часов, смотря в подключенные к интернету фронтальные камеры, они крайне редко записывают что-либо без явного намерения пользователя. Чтобы не нарушать закон, технологические компании обычно воздерживаются от тайного прослушивания разговоров пользователей. Как покажет эта статья далее, трекеры узнают намного больше из тысяч менее шокирующих источников данных. Тревожная правда заключается в том, что хотя Facebook не прослушивает вас через ваш телефон, это просто потому, что ему это уже не нужно.

Самая распространенная угроза нашей конфиденциальности — медленное, постоянное и непреклонное накопление казалось бы довольно обыденных данных о том, как мы живем. Оно включает такие вещи, как история просмотров, использование приложений, историю покупок и данные геолокации. Эти казалось бы малозначительные отдельные данные могут быть объединены в значительное целое, которое говорит о нас почти всё. Трекеры собирают данные о наших кликах, просмотрах, нажатиях и переходах и создают обширные поведенческие профили, которые могут выявить нашу политические предпочтения, религиозные убеждения, сексуальную идентичность и активность, расу и этнос, уровень образования, ежемесячный доход, потребительские привычки, а также физическое и психическое здоровье.
.
КАК ТРЕКЕРЫ СВЯЗЫВАЮТ ДАННЫЕ С КОНКРЕТНЫМИ ЛЮДЬМИ?
.
Большинство сторонних трекеров предназначено для создания профилей реальных людей. Это означает, что каждый раз, когда трекер собирает информацию, ему нужен идентификатор — то, что он может использовать, чтобы связать эту информацию с конкретным человеком. Иногда трекер делает это косвенно: сопоставляя собранные данные с определенным устройством или браузером, что, в свою очередь, впоследствии может соотноситься с одним человеком или, возможно, с небольшой группой людей, например домохозяйством.

Чтобы отслеживать, кто есть кто, трекерам нужны уникальные, постоянные и доступные идентификаторы. Другими словами, трекер ищет информацию, которая (1) указывает только на вас или ваше устройство, которая (2) не изменится, и к которой (3) он имеет легкий доступ. Некоторые потенциальные идентификаторы соответствуют всем трем из этих требований, но трекеры все еще могут использовать идентификатор, который проверяет только два из этих трех показателей. Также трекеры могут комбинировать несколько слабых идентификаторов, чтобы создать один сильный.

Идентификатор, который проверяет все три показателя, может быть именем, адресом электронной почты или номером телефона. Это также может быть «имя», которое дает вам сам трекер, например «af64a09c2» или «921972136.1561665654». Для трекера важнее всего то, что идентификатор указывает на вас и только на вас. Со временем он может создать достаточно богатый профиль о человеке, известном как «af64a09c2» — где он живёт, что читает, что покупает, обычное имя ему даже не нужно. Трекеры могут использовать искусственные идентификаторы, такие как cookie-файлы и рекламные ID, чтобы компании могли писать целевым группам пользователей личные сообщения со своими предложениями. Данные, которые не связаны с реальным именем вроде Василий Петрович Иванов, не менее чувствительны: «анонимные» профили личной информации почти всегда могут быть связаны с реальными людьми.

Классификация идентификаторов по уникальности, постоянности и доступности.
.

.

.

.
Один из самых хитрых и виртуозных способов отслеживания: трекер создает фигуры и графику с текстом в разных шрифтах, а затем следит за тем, какие шрифты отобразились с какого устройства, ведь на устройствах с разными экранами, операционными системами и аппаратном обеспечением отобразятся разные шрифты. Потом трекер переводит отображенный на устройстве шрифт в код — хеширует его. И после анализа рекламодатель уже понимает, с какого устройства вы заходили.
.

.
Это первая часть перевода большой статьи о трекерах. Продолжение следует.

Оригинальный текст на английском — здесь.

II часть перевода — здесь.

Контакты

По общим вопросам

[email protected]

По юридическим вопросам

[email protected]

Для СМИ

Телеграм: moi_fee
Signal: moi_fee.13

18+

23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.