cogito, ergo incognito

cogito, ergo incognito | gordiusz

Privacy Trumped!

2017. április 04. - gordiuszblog


Mint az korábban egy csatakiáltás stílusában kiderülhetett, az amerikai szenátus teret engedett, majd a képviselőház is megszavazta, hogy a tengerentúli internetszolgáltatók - AT&T, Comcast.., melyek magyarországi megfelelője a digi/fibernet/invitel/telekom/telenor/upc/vidanet/vodafone - előzetes beleegyezés nélkül eladhassák az ügyfeleik helyadatait, internetböngészési szokásait - például reklámcégeknek, biztosítóknak.

Szűcs Péter szintén a Washington Postra támaszkodva korrekt távolságtartással, érzelemmentes szakmaisággal vezette le a folyamatot az ITcafé forráskódján:
- Olcsóbb lenne az internet, ha eladhatók a webes előzmények
- A szenátus kiáll a böngészési adatok szabad kereskedelme mellett
- Nincs akadálya az internetes előzmények értékesítésének

..és a mai napon, mindez alternatív valósággá vált:

trumped-gordiusz.png

Az új amerikai szabályozás távolinak tűnhet Magyarországról nézve, de az Internet határtalan - az üzleti döntés itthon is gondot okozhat. Arról van szó, hogy eladás és anonimizált eladás között a problémás összefüggés nem az eladás, hanem már maga az adatok gyűjtögetése, készletezése és annak a lehetőségnek a megteremtése, hogy valaki felhasználhassa mindezeket.
Gondoljunk bele, hogy, ha a munkahelyen egy célcsoportba sorol minket az algoritmus és két gépen ugyan az az „anonimizált” hirdetés jelenik meg, ez milyen összefüggéseknek lehet táptalaja.
Ha az internetszolgáltató gyűjt össze rólunk mindent, akkor nincs választási lehetőségünk, például kijelentkezni vagy törölni egy fiókot.
Az elhárítási-jelentőségű információk pénzre váltásának esélye, Pandóra szelencéjének piszkálásával lehet egyenértékű - a Snowden utáni II. adatvédelmi apokalipszishez vezethet.

Lássuk milyen álhírekkel lehetne érzékeltetni a problémakört:

- A Vízművek látni akarja a testedet, amit a tőle megvásárolt vízzel mosol. Ízléses vízálló kameráikon keresztül lehetőség van előfizetni online stream-re.

- A Csatornázási Művek elemzi végtermékedet és elérhetőségeiddel együtt eladja egészségügyi profilodat a gyógyszergyártó cégeknek, hogy az általuk szponzorált háziorvosod a megfelelő készítményeket írhassa fel.

- A telefonos telekom cég mesterséges intelligenciával elemzi a beszélgetéseidet, hogy személyre szabott hirdetésekkel kereshessen meg.

- A kábeltévészolgáltató néhány szenzorral fejlesztené tovább a box-ot, melyek érzékelik és mérik a horkolást, pislogást, vizeletcsörgést, annak érdekében, hogy a tévécsatornák minél inkább személyre szabhassák műsor-kínálatunkat az információk birtokában.

- A klímakatasztrófa elősegítésének érdekében az Elektromos Művek havi rendszerességgel ellenőriz és adja át azon fogyasztók adatait a hatóságoknak, akik háztartásukban LED-izzókat használnak, napkollektorral lopják az áramot.

historym.png

saját böngészési előzmények egy szelete

- Amik a jelenlegi helyzetben nem védenek meg: Linux, Windows, reklámblokkoló, gyakori mentés, különleges jelszó, imamalom, format C:
- Ami segíthet: a Paul Bunyan Communications példája, az olyan internetszolgáltatóké, akik nem akarnak visszaélni helyzeti előnyükkel.
Mindenesetre az új helyzet fókuszba állítja a biztonságos internetezést, a látogatási statisztikákon az látszik, hogy jó reklám a területnek.

Vajon lesz itthon privacy barát internetelőfizetés vagy olvasgassunk blogokat és csináljunk magunk?

"The Onion Router"

TOR-böngésző - ha eddig nem tetted, jobb, ha tudod, mától ez a divat, mert a TOR hálózatán biztonságosan internetezhetsz, a szolgáltatóddal nem megosztva a meglátogatott hagyományos weboldalakat. Speciális TOR-szálytok is vannak:

Facebook a TOR-hálózaton
ProtonMail levelező a TOR-hálózaton
ScryptMail levelező a TOR-hálózaton

Védett hálózat használatára hárdveres megoldás is van: NetAidKit, InvizBox..
A VPN azért nem feltétlenül jó megoldás, mert csöbörből vödörbe esünk, a VPN szolgáltatónak csak egy képlékeny vállalása van arra vonatkozóan, hogy nem él vissza a rajta keresztülcsorgatott adatforgalommal. Van rá példa, hogy a VPN-ezés rosszul sült el.

history-hun.png

példa: böngészési előzmények

VPN helyett TOR vagy titkosított kommunikáció

Signal chat és titkosított VoIP-telefon.
ProtectedText, az oldal bizonyos szempontból kommunikációra is kiválóan alkalmazható, de egyébként eredeti funkcióját tekintve jegyzetelő, mint a Ghostbin.
Telegram, végponttól-végpontig titkosított üzenetküldő és telefon alkalmazás, Jitsi, Java alapú audió/videó telefon, valamint a Tor Messenger bétában.

Jelen esetben a Google is megfelelő választás keresőoldal tekintetében, mivel most más a közellenség, az internetszolgáltató előtt titkoskodunk. A Google alkalmaz un. hijacking blokkoló technikát a keresések eltérítése ellen és titkosítja a forgalmat.

https

Mindegyik fenti weboldal igyekszik titkosítani a rajta történő böngészést. Címük úgynevezett https-sel kezdődik, nem pedig http-vel.
Az oldalra látogatás visszafejthető a hagyományos interneten, de https-nél, azon hogy ott mit művelünk, már nem éri meg dolgozni.
A HTTPS Everywhere böngésző-bedolgozó hasznos eszköze az un. kikényszerített SSL-kapcsolatnak.

OpenDNS

Az OpenDNS 208.67.220.220 és 208.67.222.222 Grabovoj-számai sok mindenre jók. Ha ezeket használjuk az internetszolgáltatóé helyett, akkor egy harmadik félhez kerül a névfeloldás, bármit is jelentsen mindez - jobb lesz nekünk, mert nem az ISP szervereit használjuk startkőként.

adatzaj

Vallási hovatartozással vagy politikai preferenciával kapcsolatosan olvassunk, amit csak akarunk, de keltsünk magunk körül adatzajt:
példa: ha valaki szívesen olvassa a 444 vagy az index cikkeit, akkor állítson be egy automatikusan induló böngészőt, ami a 888 vagy az origo kezdőlapjaival tölt be.
A hanyatló PC-piac kedvéért ne felejtkezzünk meg a Jamaica Observer, a Marianas Variety és az Arctic Journal értő szemlézéséről sem!

RIP privacy via TOR

A bejegyzés trackback címe:

https://gordiusz.blog.hu/api/trackback/id/tr2812385615

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Bambano 2017.04.04. 13:21:53

hogy is fogják eladni a böngészési előzményeket, amiket https-en keresztül csinálsz?

gordiuszblog · http://gordiusz.blog.hu 2017.04.04. 13:43:00

Ebben a cikkben ilyesmiről nem volt szó - várj csak, olvassuk el együtt az előzőt! Komolyra fordítva a rendkívül jó tréfát..
https-ből is kétfajta van:
www.nav.gov.hu ott a szép söbetű, de itt csak böngészünk
nav.gov.hu/nav/e-ugyfsz/levelkuldes
hát sajnos itt már nincsen sö, pedig itt küldjük el az adószámot, adóazonosító jelet..
Másik példa:
Az ISP látja, hogy a NAV oldalát nézegeted. Ha rendes [https] oldal lenne, akkor csak azt látná, hogy a NAV oldalát nézegeted, ez is információ [pénz].
Az ISP HTTPS-nél az „ajtót látja” - hogy mi van a szobában azt nem. De, ha te nem a NAV oldalát nézegeted, hanem babaruhákat, mert hamarosan szülni fogsz, akkor már érdekes lettél és eladható valami bababoltnak.

Bambano 2017.04.04. 13:46:26

@gordiuszblog: az isp csak azt látja, hogy egy olyan ip címre nyitsz https kapcsolatot, ahol többek között lehet olyan oldal is, amit feltételezel.

a nav esetén azt látja, hogy az állami elektronikus szolgáltatások szerverfarmja felé nyitsz kapcsolatot. még azt sem biztos, hogy látja, hogy ez a nav.

tehát az isp gyakorlatilag nem tudja értelmesen előállítani a böngészési előzményeidet, így azt eladni sem lehet.

gordiuszblog · http://gordiusz.blog.hu 2017.04.04. 13:50:58

igen, amikor valakiről információt kér a hatóság, akkor általában azért kéri, mert a kialakult gyakorlat alapján ez nem használható fel semmire, így nem kell/leht vele tovább dolgozni és ez mindenkinek egy jó adminisztratív önigazolás

Bambano 2017.04.04. 15:06:32

@gordiuszblog: nem teljesen értem, ezt mire válaszoltad, de lássuk a különbséget az adatok eladása meg a rendőrségi megkeresés között:
- ha az isp el akarja adni a böngészési előzményeket, ő nem tudja megmondani, hogy milyen weblapot böngészett az ügyfél, mert az ssl-t nem tudja kinyitni.
- amikor a rendőrség adatkérést küld, akkor ott konkrét adat van az adott website logjából, és ő nem azt akarja tudni, hogy adott ip-ről milyen webeket olvastak, hanem azt, hogy az ip, amiről egy adott webet olvastak, kihez tartozik.

gordiuszblog · http://gordiusz.blog.hu 2017.04.04. 15:16:44

most kicsit elbizonytalanodtam én is. Ha otthon beírom egy weboldal címét, akkor hogyan kerül elém a weboldal? Mert az ISP ügye, csak tippelget, hogy mire lehetek kíváncsi. Lehet itt szerephez jutnak a Grabovoj-számok.

Bambano 2017.04.04. 15:47:40

@gordiuszblog: az url-ből a dns szerver segítségével kideríti a böngésző (egyébként a libc-ben levő rezolver, de midnegy), hogy melyik ip-n keresse a weboldalt. a weboldal vagy ott van vagy nem. a problémás része a poszt témájához az, hogy a weboldal vagy egyedül van ott, vagy nem. ha megvan az ip cím, nyit egy tcp kapcsolatot a szerverre, egyeztet titkosítást, stb. majd átküldi a http fejlécet, de azt már titkosítva. a http fejlécben többek között ott van az url, amit le akarsz kérni, így az a gép, amire felkapcsolódtál, szintén tudja, hogy konkrétan mit akarsz látni, és megoldja, hogy megkapd.

esetek:
- 1 weboldal egyedül egy ip-n. ez a legegyszerűbb, ilyenkor az ip-re bejövő kérést triviálisan ki tudja szolgálni a webszerver
- sok weboldal (akár több ezer) egy ip-n: ilyenkor név alapú virtuál-webhoszting van, az url-ből tudja meg a webszerver, hogy a nagy dokumentum-tárolón belül hol van annak a webszájtnak a kiindulási könyvtára, amihez képest ki kell szolgálni a kérést.
- egy weboldal-sok ip: ilyenkor rendszerint terhelés-elosztási vagy rendelkezésre állási okokból ugyanazt a weboldalt több gép szolgálja ki, és a load balancer szétdobálja a bejövő kéréseket több szerver felé. a nav honlapja valószínűleg ilyen, az emagyarország cucc alatt levő szerverfarmon futhat. (nem tudom pontosan)

és ezek keverékei.

amiatt, hogy maga a kapcsolat titkosított, tehát az isp az url-t már nem látja, és amiatt, hogy egy ip-n többezer weboldal is lehet, van az, hogy az isp nem tudja megfejteni, hogy mit nézel.

szemben a rendőrséggel, amely egy virtuális weboldallal kapcsolatban kér adatot, miközben a virtuálisan hosztolt weboldal logjához hozzáfér. a rendőrséget az érdekli, hogy x.y.z.s ip címhez milyen előfizetői adatok tartoznak.

a rendőrséget elvben érdekelheti, hogy gipsz jakab milyen weboldalakat néz, ilyenkor viszont soha nem kérnek konkrét infót gipsz jakabról, mert nyomozás közben nem adják ki a terhelt nevét, hanem egyszerűen betelepülnek a szolgáltatóhoz és a teljes előfizetői forgalmat átnyálazzák, hogy megtudják, ami őket érdekli.

gordiuszblog · http://gordiusz.blog.hu 2017.04.04. 16:03:12

Szerintem ott értettük egymást félre, hogy a Nemzeti Információs Infrastruktúra Fejlesztési Intézetnél van 822 szályt és én NAV-ot írtam példaként egyedi oldal helyett. A komment végén írod, hogy „betelepül/átnyálaz”. Számomra ez azt sugallja, hogy egyetértesz - rendelkezésre áll az információ. És egy megfelelő infrastruktúrával bíró ISP, képes a saját szobájába betelepülni és átnyálazni nagy tételben. Ha ezt támogatja az üzlet. Egyről beszélünk szerintem, csak nem HUP-ul mondjuk.

Bambano 2017.04.04. 16:20:08

@gordiuszblog: mit nem lehet azon az egyszerű kifejezésen érteni, hogy TITKOSÍTVA MEGY a fejléc? amit az isp NEM TUD KINYITNI?

nagyon nem egyről beszélünk, amit írtál, meg amit az itcafe-n írtak, az ebből a szempontból téves. ezt én mondtam az itcafe-n is, de ott se hallják meg, amikor a hülyeségüket korrigálom.

tehát mégegyszer és utoljára: amióta a gugli erőlteti a https forgalmat, azóta az isp ezekre a szájtokra nem tud böngészési előzményeket gyűjteni, tehát eladni sem. utoljára: NEM TUD.

még annyit: én isp rendszergazda vagyok, én kapom a rendőrségi megkereséseket, én konfigurálom a routereket meg a többi lomot. a magam részéről továbbra is azt tekintem hiteles, első kézből származó infónak, ami az én első kezemből származik, nem azt, amit az itcafe meg hasonló bulvároldalak leírnak.

gordiuszblog · http://gordiusz.blog.hu 2017.04.04. 16:26:24

A https jó dolog, csak lesz valami, amiben egyetértünk.

gordiuszblog · http://gordiusz.blog.hu 2017.04.04. 16:37:02

Köszönöm, hogy mindezt leírtad, remélem többünk épülésére szolgál!
süti beállítások módosítása