مواظب باشید! عادات وبگردی بسیار مخفی شما، آنقدرها که تصور میکنید، مخفی نمیمانند!
در آخر هفته پیش، در جریان یک همایش امنیتی و هک در لاس وگاس، دو پژوهشگر مسائل امنیتی آلمانی با نامهای «سوا اخرت» و «آندرهآس دوس»، نتیجه یک پژوهش جالب را اعلام کردند که بسیار بحثبرانگیز شد.
منبع برای این خبر سایت بی بی انگلیسی است که خبر را البته به صورت غیرتخصصی و با حذف جزئیات فنی سودمند منتشر کرده است. با این وجود، باز هم کلیات خبر میتواند جالب باشد.
میدانید که ISPها لاگها و سوابق وبگردی کاربران را تا مدت مشخصی نگه میدارند. بر این اساس، آنها یا مراجعی که آنها را تحت کنترل دارند، گرچه نمیتوانند متن ایمیلهای شما را بخوانند، اما میتوانند به آسانی بگویند که کاربر مشخصی، از چه سایتهایی بازدید داشته است. (البته در این هم اگر و امای فنی وجود دارد، مثلا اگر از روشهای «دور زدن» استفاده کنید، تا حدی میتوانید سوابق وبگردی را از ISP پنهان نگه دارید. یا وقتی SSL شما در حین گوگل کردن فعال باشد، ظاهرا نمیتوانند بگویند که چه کلماتی را سرچ کردهاید.)
اما به جز ISP، شرکتهایی وجود دارند که برای طرحریزی کارزاری تبلیغاتی آنلاین به دیگر شرکتها اطلاعات میفروشند. این اطلاعات شامل سوابق درهم کلیکها و وبگردی کاربران است.
این اطلاعات وبگردی اصولا چطور به دست میآیند؟ در واقع افزونههایی که ما روی مرورگرهای ما خود نصب میکنیم، چندان هم قابل اعتماد نیستند و این اطلاعات حاصل گردآوری اطلاعات 10 افزونه محبوب بوده است. در واقع کاری که این شرکتها میکنند مطابق قوانین اروپا، غیرقانونی است، اما فعلا این شرکتها به این قوانین اعتنا نمیکنند یا شاید راه گریز قانونی از این تنگنا را میدانند.
جالا این دو پژوهشگر به یاری همین اطلاعات توانستهاند از رازهای مخفی یک قاضی و یک سیاستمدار پرده بردارند. البته بدون ذکر نام در همایش!
آنها متوجه شدهاند که جناب قاضی علاقه به تماشای پ…ورن آنلاین داشته و فرد سیاستمدار هم تمایل به مواد مخدر خاص داشته و خلافهای سایبری انجام میداده.
همان طور که اشاره کردیم این سوابق کلیک و وبگردی، به صورت درهم ارائه میشود و ظاهرا قرار نیست که بشود با آن سوابق وبگردی را به یک شخص خاص مرتبط کرد، اما در مقام عمل با بررسی این سوابق کارهای جالبی میشود کرد.
یعنی اگر بتوانیم مجموعه وبگردیهای «عیان» کاربر ایکس را کنار هم بگذاریم، تعیین هویت او ممکن است چیزی شدنی باشد.
یک سناریو: کاربر ایکس مرتب از سایت دولتی ایکس بازدید میکند. اخبار مورد علاقهاش در سایتهای خبری، شامل اخبار مشخصی است. از روی جستجوهایش برای خرید آنلاین کالا میشود حدس زد که کاربری حدودا میانسال با قدرت خرید فلان قدر یورو است. وارد فوروم یا سایت شهرداری مشخصی میشود و…
آیا با کنار هم نهادن همین اطلاعات به صورت پازلی در کنار هم نمیشود گفت که کاربر ایکس، مقام مهمی دارد؟
تازه خیلی وقتها تعیین هوبت خیل سادهتر است و نیاز به حدس زدن هم ندارد. مثلا تصور کنید که ببینید کاربر ایکس، مرتب وارد صفحه مدیریت یک سایت/وبلاگ/شبکه اجتماعی میشود. خب مسلم است که این شخص به احتمال زیاد مالک همین سایت/وبلاگ یا دارند اکانت شبکه اجتماعی است. بعد خیلی راحت است که سوابق وبگردی «رمزنگاری نشده» او را بیرون بیاورید و از این طریق به اطلاعاتی در مورد او دست پیدا کنید.
در واقع اگر تنها نگرش، نگرش تبلیغاتی صرف باشد، پس از اینکه از این اطلاعات استفاده شد تا به کاربران آگهیهای آنلاینی نمایش داده شود که برایشان جذابتر است، باید راهکاری هم برای پاک شدن این اطلاعات اتخاذ شود تا این اطلاعات مورد سوء استفاده قرار نگیرند.
ما ناخواسته در هنگام وبگردی، ردپاهایی از خودمان به جا میگذاریم که قابل تشخیص هستند و از همینها میشود برای حدس زدن هویت یک کاربر واحد استفاده کرد.
حالا تصور کنید که با بررسی اطلاعات بشود سوابق وبگردی یک سیاستمدار مهم را پیدا کرد که گرچه به خودی خود قانونی نیستند، اما حاوی جستجوهای اینترنتی یا بازدید از سایتهایی هستند که افشای آنها برای عموم، باعتث شرمزده شدن فرد شوند. در این صورت حتی امکان اخاذی از شخص وجود دارد.
