Existuje anonymita na webu? Lidé prý mají unikátní otisk prstu a také vkus. Rakouští vědci se snaží odhadovat identitu surfařů podle otisku jejich členství ve skupinách na sociálních sítích.
Internet není ani zdaleka tak anonymní, jak se o něm občas píše. Na úrovni sítě jste skutečně velkou neznámou pouze v anonymní internetové kavárně nebo u webového kiosku v zahraničním motorestu. Pokud se připojujete doma, obsah informací a jejich destinace je pochopitelně známá poskytovateli připojení a stejně tak je tomu na vysokoškolských kolejích, v učebně nebo v práci. Samozřejmě ale zůstává otázkou, jestli vaše surfařská historie někoho z „ajtíků“ skutečně zajímá.
Anonymita... Existuje?
Pokud si odmyslíte anonymitu na úrovni sítě a obsahu informací, zbývá ještě anonymita na úrovni každodenního brouzdání webem – anonymita z hlediska vaší identity. Rozpoznat a identifikovat návštěvníka webové stránky je odvěký sen každého prodejce reklamy. Ostatně představte si situaci, kdy se vám na webu zobrazí reklama šitá na míru. V omezené míře se tak děje už dnes, protože se pomalu pohybujeme v uzavřených ekosystémech několika málo internetových firem.
Tím prvním je Google a jeho reklamní systém AdSense, který o nás ví, jelikož jsme zpravidla na pozadí permanentně připojeni ke svému účtu přinejmenším pro snadný přístup třeba k poště na Gmailu a dalších službách. Pak to jsou ale i další reklamní systémy, které nám na americkém webu nabídnou do češtiny přeloženou reklamu, protože si díky IP adrese zjistí naši skutečnou polohu.
Ačkoliv jsem na zahraničním webu, zobrazí se mi reklama v češtině a dívky ze seznamky,
které čirtou náhodou všechny žijí v Brně, moje IP adresa a webový prohlížeč toho
na mě totiž prásknou celkem dost
Identifikace na úrovni státu a města je ale pouze první krok a stejně tak velké cloudy jako Google, Windows Live a další jsou uzavřené a relativně bezpečné. Hlubší informace o naší identitě po nás chtějí zpravidla jiné reklamní služby a kdesi na pozadí možná i potenciální záškodníci.
Otisk prstu prohlížeče: Panopticlick
Internetový prohlížeč webové stránce neposílá žádný unikátní a jednoznačný otisk vašeho počítače – nedokáže zjistit třeba sériové číslo procesoru, pevného disku a dalších komponent a sestrojit z těchto dostatečně unikátních řetězců pevně daný podpis – sic anonymní. Ale je tomu skutečně tak? Relativně jedinečné totiž může být i to málo, co se o našem systému a prohlížeči dozví stránka z běžné HTTP komunikace a pomocí Javascriptu. Alespoň se nás o tom snaží přesvědčit organizace EFF (Electronic Frontier Foundation), která nedávno spustila webovou aplikaci na zjišťování „otisku prstů“ vašeho prohlížeče. Otisk se přitom vytváří prostým navštívením speciální stránky a konstruuje se z běžně dostupných údajů, kterými prohlížeč disponuje.
Pokud tedy například používáte Firefox, spadáte do skupiny, která čítá miliony uživatelů a tato informace je tedy dostatečně anonymní. Co když ale k Firefoxu přidáte ještě další údaj – rozlišení obrazovky. Anonymita se matematicky rázem sníží, v praxi jste ale stále jen jedna položka v dostatečně velké množině. Pokud ale otisk prohlížeče zpřesníte dalšími údaji, lokalizací, výčtem systémových fontů, HTTP hlavičkami a dalšími vlastnostmi, zjistíte, že se můžete vlézt do skupiny, která je už relativně malá – opět ale především v matematickém měřítku.
Panopticlick se snaží vytvořit použitelný a unikátní otisk prohlížeče,
jedná se ale především o edukativní ukázkovou aplikaci
Projekt EFF Panopticklick do dnešního dne sesbíral zhruba půl milionu otisků. Pokud si jej tedy vygenerujete i vy, snadno zjistíte, jak velká množina testovaných počítačů měla stejný otisk jako vy. Vzorek zatím není v globálním měřítku statisticky reprezentativní, jinými slovy 500 000 testů je při miliardové internetové populaci příliš málo, přesto se ale možná nad svou virtuální anonymitou zamyslíte.
Otisk prstu sociálních skupin – experiment isecLAB
Dalším, opět spíše teoretickým, experimentem je společný projekt vídeňské Technische Universität, francouzského EURECOMu a americké University of California v Santa Barbaře. Studenti si v tomto případě dali za úkol vygenerovat podobný otisk, který by ovšem neměl jedinečně popsat webový prohlížeč, ale skupiny na komunitních webech, do kterých se přihlašujeme. Experiment předpokládá, že se každý uživatel podle svých preferencí připojuje do určitého spektra skupin a jen velmi zřídka mají dvě různé osoby zcela totožný vkus. Tato myšlenka je ale samozřejmě platná pouze v případě, že jste na některé ze sociálních sítí členy desítek skupin a že se do nich nepřipojujete lavinovitě jen proto, že vám takovou skupinu doporučil kamarád na Facebooku. Možná i proto se studenti namísto problematického Facebooku zaměřili na evropský Xing, který se orientuje na profesní profily uživatelů a připomíná tak třeba i u nás docela populární LinkedIn plný konkrétních a detailně vyplněných životopisů. Jeho komunita je zároveň mnohem menší, takže ji lze výpočetně zpracovávat.
V prvním kroku výzkumníci analyzovali profily 1,8 milionu uživatelů Xingu a na sedm tisíc tamních skupin a každému takovému uživateli vygenerovali jedinečný klíč, který reprezentoval skupiny, jejichž je na Xingu členem. V druhém kroku pak vytvořili webovou aplikaci, kterou si můžete vyzkoušet i vy, ovšem pouze v případě, že také aktivně využíváte Xing.
Schéma porovnání dvou klíčových otisků podle skupin na službě Xing
Speciální analýza pomocí několika již pár let známých postupů porovná databázi adres existujících skupin na Xingu s vaší historií navštívených stránek a zjistí, jestli jste některou z těchto skupin navštívili i vy. A pak už je to jednoduché. Ze zjištěných navštívených skupin systém vygeneruje unikátní klíč a porovná jej s databází klíčů, kterou studenti vytvořili v prvním kroku experimentu. Pokud dojde ke shodě, na základě historie prohlížeče vás aplikace dokáže vcelku přesně identifikovat, podobné profesní sociální sítě jsou totiž z principu postavené na skutečné identitě uživatele.
Kompletní studii „A Practical Attack to De-Anonymize Social Network Users“ najdete v PDF
Oba projekty zatím nejsou v praxi příliš použitelné a mají skutečně ryze akademický potenciál. Jak se ale bude internetová komunita nadále „syntetizovat“ do obrovských mraků internetových hegemonů, ve kterých bude tato komunita na rozdíl od předchozí zkušenosti pečlivě rozřazená a identifikovaná – protože takovou chce být – všechny tyto experimentální otisky dohromady možná už vytvoří dostatečně reprezentativní a jedinečný klíč.
Na druhou stranu to ale možná už ani nebude potřeba, pokud totiž Google, Facebook, Microsoft a jejich propojovací API pokryje i zbytek webu, vlastně světu svůj unikátní identifikační klíč nabídneme sami v podobně našeho přihlašovacího jména – loginu. Ostatně už dnes se skrze Google nebo Facebook účet můžete přihlašovat na stovky cizích webů a aplikací. Netvrdím, že to je špatně, netvrdím, že je to riziko, pouze konstatuji, že se tak v dohledné době pravděpodobně skutečně stane.
