Browser Fingerprinting: What Is It and What Should You Do About It?

BY admin
|

Oletko koskaan kuullut selaimen sormenjäljistä? Ei haittaa, jos et ole, sillä lähes kukaan muukaan ei ole koskaan kuullut siitä.

Selaimen sormenjälki on uskomattoman tarkka menetelmä yksilöllisten selainten tunnistamiseen ja verkkoaktiivisuuden seurantaan.

Onneksi on olemassa muutama asia, joita voit tehdä pyyhkiäksesi kaikki sormenjälkesi internetistä. Aloitetaan kuitenkin ensin tutkimalla, mitä selaimen sormenjälki tarkalleen ottaen on.

Browser Fingerprinting:

Selaimen sormenjälki määritellään Wikipediassa seuraavasti:

”Laitteen sormenjälki, koneen sormenjälki tai selaimen sormenjälki on tietoa, joka on kerätty etäluettavasta laskentalaitteesta tunnistamistarkoituksessa. Sormenjälkiä voidaan käyttää yksittäisten käyttäjien tai laitteiden täydelliseen tai osittaiseen tunnistamiseen myös silloin, kun evästeet on kytketty pois päältä.”

Tämä tarkoittaa sitä, että kun muodostat yhteyden internetiin kannettavalla tietokoneellasi tai älypuhelimellasi, laitteesi luovuttaa vastaanottavalle palvelimelle joukon erityisiä tietoja verkkosivustoista, joilla vierailet.

Selaimen sormenjälki on tehokas menetelmä, jota verkkosivustot käyttävät kerätäkseen tietoja selaimesi tyypistä ja versiosta sekä käyttöjärjestelmästäsi, aktiivisista lisäosista, aikavyöhykkeestäsi, kielestäsi, näytön resoluutiosta ja monista muista aktiivisista asetuksista.

Nämä tietopisteet saattavat aluksi tuntua yleisiltä eivätkä välttämättä näytä räätälöidyiltä yhden tietyn henkilön tunnistamiseksi. On kuitenkin huomattavan pieni mahdollisuus, että toisella käyttäjällä on 100-prosenttisesti samanlaiset selaintiedot. Panopticlick havaitsi, että vain yhdellä 286 777:stä muusta selaimesta on sama sormenjälki kuin toisella käyttäjällä.

Web-sivustot käyttävät selainten antamia tietoja yksilöllisten käyttäjien tunnistamiseen ja heidän verkkokäyttäytymisensä seuraamiseen. Tätä prosessia kutsutaankin ”selaimen sormenjäljiksi.”

Selaimen tietojen ainutlaatuisuus liittyy läheisesti poliisin ja rikostutkintaryhmien tutkintamenetelmään, jossa epäillyt ja rikolliset tunnistetaan sormenjälkien perusteella rikospaikalta.

Integroitu automatisoitu sormenjälkien tunnistusjärjestelmä (Integrated Automated Fingerprint Identification System, IAFIS) on massiivinen tietopankki, joka tallettaa sormenjälkitietokantaan 70:stä miljoonaa sormenjälkeä rikosoikeudellisten tapausten kohdehenkilöiltä sekä 31:stä miljoonasta sormenjäljestä siviilioikeudellisista tapauksista. Tämä tarkoittaa, että suuri osa näistä sormenjäljistä on kerätty analyysitarkoituksiin.

Selaimen sormenjälkien ottaminen toimii myös näin. Verkkosivustot keräävät suuren joukon tietoja kävijöistä voidakseen myöhemmin verrata niitä tunnettujen käyttäjien selaimen sormenjälkiin.

Kaikki nämä tiedot eivät välttämättä paljasta tarkalleen, kuka olet, nimesi ja/tai kotiosoitteesi, mutta ne ovat uskomattoman arvokkaita mainostarkoituksiin, sillä yritykset voivat käyttää niitä tiettyjen ryhmien kohdentamiseen. Nämä ryhmät on muodostettu vertailemalla ihmisiä selaimen sormenjäljen perusteella.

Voit nyt ihmetellä: miksi näin tehdään ja miksi tietosi ovat niin uskomattoman arvokkaita näille yrityksille?

Kansainvälinen mainosteollisuus ja markkinointikoneet rakastavat tietojasi. Ne tekevät mitä tahansa saadakseen tietosi käsiinsä seuratakseen online-toimintojasi.

Seurantamenetelmät ja tiedonkeruu ovat äärimmäisen arvokkaita, koska niiden avulla mainosyritykset voivat luoda profiileja tietojesi perusteella. Mitä enemmän tietoja näillä yrityksillä on, sitä tarkemmin ne voivat kohdistaa mainoksia sinulle, mikä (epäsuorasti) tarkoittaa yritykselle suurempia tuloja.

Se ei onneksi ole pelkästään huono asia. Selaimen sormenjälkiä käytetään myös bottiverkkojen ominaisuuksien tunnistamiseen, koska bottiverkkojen yhteydet luodaan joka kerta eri laitteella.

Tällainen analyysi voi johtaa huijareiden ja muiden epäilyttävien toimintojen tunnistamiseen, jotka vaativat tutkimuksia.

Pankit käyttävät tätä menetelmää myös mahdollisten petostapausten tunnistamiseen.

Jos esimerkiksi tili osoittaa kyseenalaista verkkokäyttäytymistä, pankin turvajärjestelmä voisi yksilöllistä sormenjälkeä analysoimalla tunnistaa, että tiliä on käytetty useista eri paikoista lyhyen ajanjakson aikana.

Tällöin voidaan mahdollisesti tunnistaa hakkeri, joka on kirjautunut tilille käyttämällä laitetta, jolla tiliä ei ole koskaan aiemmin käytetty.

Kaikki nämä merkit viittaavat mahdolliseen petokseen, ja yleensä ne käynnistävät lisätutkimukset tai tilin ennaltaehkäisevän jäädyttämisen.

(Sormenjälki)seurantaan käytetyt menetelmät

Web-sivustot käyttävät useita eri menetelmiä käyttäjien seuraamiseen internetissä. Näin ne voivat kerätä tietoja ja sormenjälkiä selaimestasi – etkä edes tiedä tai näe, että verkkosivut tekevät näin!

Kysymys kuuluukin: miten ne tekevät sen?

Tekniikan avulla verkkosivut voivat olla vuorovaikutuksessa selaimesi kanssa ja hakea tietoja. Seuraavissa osioissa annan sinulle tietoa siitä, miten verkkosivustot ovat vuorovaikutuksessa selaimesi kanssa ja miten ne hankkivat tietoja.

Evästeet & Seuranta

Yleinen tapa, jolla verkkosivustot hankkivat tietojasi, on evästeiden käyttö. Evästeet ovat pieniä tekstitiedostopaketteja, jotka tallennetaan tietokoneellesi ja jotka sisältävät tiettyjä tietoja, jotka voivat antaa verkkosivustoille tietoa käyttäjäkokemuksen parantamiseksi.

Verkkosivustot muistavat ja seuraavat yksittäisiä tietokoneita ja laitteita lataamalla evästeet (pienet tietopaketit) tietokoneellesi.

Joka kerta, kun vierailet verkkosivustolla, selaimesi lataa evästeitä. Kun vierailet samalla verkkosivustolla myöhemmin, verkkosivusto arvioi tietopaketteja ja tarjoaa sinulle henkilökohtaisesti räätälöidyn käyttökokemuksen.

Ajattele fontin kokoa tai näytön resoluutiota, jota katsot verkkosivustolla. Jos verkkosivusto tietää, että käytät aina iPhone 8:aa, se tarjoaa sinulle iPhonellesi parhaat asetukset. Näin verkkosivusto tietää myös, oletko ainutkertainen kävijä vai palaava kävijä. Evästeet tallentavat myös tietoja selausaktiivisuudesta, tottumuksista, kiinnostuksen kohteista ja paljon muuta.

Sivustoilla käytetään lisäksi Javascriptiä, joka on vuorovaikutuksessa kävijöiden kanssa tiettyjen tehtävien suorittamiseksi, kuten videon toistamiseksi. Nämä vuorovaikutukset aiheuttavat myös vastauksen, ja näin ne saavat tietoja sinusta.

Canvas Fingerprinting

Uusi menetelmä selaimen tietojen hankkimiseksi on nimeltään ”Canvas Fingerprinting”. Yksinkertaisesti sanottuna verkkosivut kirjoitetaan HTML5-koodilla, ja tuon koodin sisällä on pieni koodinpätkä, joka ottaa selaimesi sormenjäljen.

Miten verkkosivut tarkalleen ottaen tekevät sen?

Tämä uusi seurantamenetelmä, jota verkkosivustot käyttävät saadakseen selaimesi sormenjäljen, mahdollistetaan HTML5:n uusilla koodausominaisuuksilla.

HTML5 on koodauskieli, jota käytetään verkkosivustojen rakentamiseen. Se on jokaisen verkkosivuston keskeinen perusta. HTML5-koodauskielessä on elementti, jota kutsutaan nimellä ”canvas.”

Alun perin HTML <canvas> -elementtiä käytettiin grafiikan piirtämiseen verkkosivulle.

Wikipediassa on seuraava selitys siitä, miten HTML5:n canvas-elementin hyödyntäminen tuottaa selaimen sormenjäljen:

”Kun käyttäjä vierailee sivulla, sormenjälki-skripti piirtää ensin tekstin valitsemallaan fontilla ja koolla ja lisää taustavärit. Seuraavaksi skripti kutsuu Canvas API:n ToDataURL-metodia saadakseen canvas-pikselidatan dataURL-muodossa, joka on periaatteessa Base64-koodattu esitys binäärisestä pikselidatasta. Lopuksi skripti ottaa tekstikoodatun pikselidatan hashin, joka toimii sormenjälkenä.”

Kielellä tämä tarkoittaa sitä, että HTML5-canvas-elementti tuottaa verkkosivulla tiettyjä tietoja, kuten kävijän selaimen fonttikoon ja aktiivisen taustavärin asetukset. Nämä tiedot toimivat jokaisen kävijän yksilöllisenä sormenjälkenä.

Toisin kuin evästeet, canvas-sormenjälki ei lataa mitään tietokoneellesi, joten et voi poistaa mitään tietoja, koska niitä ei tallenneta tietokoneellesi tai laitteellesi vaan muualle.

Browser Fingerprinting vs. IP-osoitteesi

Uskon, että monet yksityisyyden suojaa verkossa arvostavat ihmiset, kuten minä, ovat tietoisia siitä, että IP-osoitteen peittäminen on tärkeä keino piilottaa verkkoidentiteettinsä.

IP-osoiteprotokolla on suunniteltu lähettämään pyyntö vastaanottavalle verkkopalvelimelle joka kerta, kun käyttäjä on vuorovaikutuksessa verkkosivuston tai palvelun kanssa, koska vastaanottava verkkopalvelin tarvitsee IP-osoitteen, johon se voi lähettää vastauksen.

Tämä tarkoittaa, että IP-osoitteesi on ainutlaatuinen numerosarja, joka osoittaa suoraan laitteeseesi. Teknisesti taitavien verkkosivustojen omistajat pystyvät jopa seuraamaan, millä muilla verkkosivustoilla vierailet, mihin tiliin olet kirjautunut ja joskus jopa maantieteellisen sijaintisi.

Tämä vaatisi tietysti hieman enemmän vaivannäköä, mutta on tavallaan pelottavaa, että se on mahdollista.

Testaa selaimesi sormenjälkitunnistusta

Esimerkkejä selaimesi tunnistamisesta Esimerkkitunnistukseen on saatavilla erilaisia työkaluja, joilla selaimesi tunnistusta on mahdollista testata. Voit käyttää ”Am I Unique”, ”PANOPTICLICK” tai ”Unique Machine” -työkalua laitteesi identiteetin testaamiseen.

Huomautus: tätä kirjoitettaessa Unique Machinen testityökalua kehitetään edelleen, mutta sen pitäisi tulla pian markkinoille.

Mikä tahansa näistä työkaluista tarkastelee selaimesi sormenjälkeä ja arvioi, kuinka ainutlaatuisia tietosi todellisuudessa ovat.

”Am I Unique” -työkalussa käytetään kattavaa luetteloa, joka käsittää 19 attribuuttia (tietoa). Merkittävimpiä attribuutteja ovat muun muassa se, ovatko evästeet käytössä, mitä alustaa käytät, minkä tyyppistä selainta (sekä sen versiota) ja tietokonetta käytät ja onko seurantaevästeet estetty.

Am I Unique -sivustolla voit suorittaa testin yksinkertaisesti napsauttamalla ”Näytä selaimeni sormenjälki”.

Kun napsautat painiketta ”Tarkastele lisätietoja”, näet kaikki ne tarkemmat tiedot, jotka selaimesi toimittaa palvelimelle. Selaimeni on ainutlaatuinen kaikkien tähän mennessä kerättyjen testinäytteiden joukossa (lähes 700 000)!

Voit suorittaa testin myös Panopticlickin avulla. Se on Electronic Frontier Foundationin (EFF) tutkimusprojekti.

Panopticlickin verkkosivustolla voit suorittaa testin klikkaamalla ”TEST ME”, jolloin näet, kuinka turvallinen selaimesi on seurantaa vastaan.

Panopticlick suorittaa myös erilaisia testejä selaimesi identiteetin arvioimiseksi. Olen julkaissut testitulokseni alla.

Panopticlick testaa, onko selaimesi:

  1. Blokkaa seurantamainokset
  2. Blokkaa näkymättömät seurantamerkit
  3. Blokkaa ”valkoiseen listaan” merkityt seurantamerkit
  4. Poista sivustot, jotka lupaavat kunnioittaa ”Älä seuraa”-merkintää
  5. Onko se kaiken kaikkiaan suojattu selaimen sormenjälkien ottamiselta

>

Tulokset analyysin mukaan vaihtelevat. Minulla on ”jonkinlainen suojaus” verkkoseurantaa vastaan, mutta se ei selvästikään ole riittävän hyvä. Selaimeni estää tietyt kohteet osittain, kun taas toisia asioita ei estetä lainkaan.

Tämä jäljittäjä päättelee, että selaimeni sormenjälki on ainutlaatuinen. Panopticlick suosittelee Privacy Badgerin asentamista – siitä lisää myöhemmin kohdassa ”Miten puolustautua selaimen sormenjälkiä vastaan”.

Miten puolustautua selaimen sormenjälkiä vastaan

Täydellistä suojautumista sormenjälkiä vastaan ei todennäköisesti ole mahdollista tehdä. Ehkä lähitulevaisuudessa kehitetään uusia ohjelmistoja tai muita tapoja, joilla selaimen sormenjälkien ottamista voidaan torjua riittävästi.

Mutta saatavilla on melko paljon työkaluja ja menetelmiä, joilla voit parantaa yksityisyyttäsi verkossa ja minimoida tunnistamisen mahdollisuuden.

Tule alla olevasta löydät tehokkaimmat menetelmät, joilla voit suojautua.

Käytä yksityisiä selausmenetelmiä

Vaihtelevat selaimet, kuten Chrome, Safari ja FireFox, antavat käyttäjille mahdollisuuden selata incognito-tilassa.

Incognito-tila tekee selaamisestasi yksityistä asettamalla ”profiilisi” tiettyihin vakiomuotoisiin tietoihin. Nämä datapisteet ovat osa sormenjälkeäsi, joten koska monet ihmiset käyttävät samoja ”profiili”-asetuksia, sormenjäljet näyttävät samankaltaisilta.

Tämä vähentää huomattavasti mahdollisuuksiasi saada yksilöllinen sormenjälki.

Käytä liitännäisiä

Voit myös halutessasi asentaa liitännäisohjelmia, jotka estävät tiettyjen verkkosivujen käyttämiä seurantalaitteita toimimasta selaimessa.

Lisäosat, kuten AdBlock Plus, Privacy Badger, Disconnect ja NoScript, on suunniteltu estämään skriptien, jotka mahdollisesti mahdollistavat vakoilevien mainosten ja näkymättömien seurantalaitteiden suorittamisen selaimessasi.

Joidenkin verkkosivustojen kohdalla tämä tarkoittaa sitä, että käyttökokemus saattaa olla jonkin verran vähemmän tyydyttävä. On kuitenkin mahdollista estää liitännäisiä toimimasta sivustoilla, joihin luotat, asettamalla ne valkoiseen luetteloon.

Panopticlick suosittelee käyttämään Privacy Badgeria, joka on selainlaajennus, joka estää mainostajia ja muita kolmansien osapuolten seurantaohjelmistoja seuraamasta online-toimintojasi.

NoScriptin käyttöönotto ja tehokas käyttö vie enemmän aikaa, koska liitännäinen estää oletusarvoisesti JavaScriptiä kaikilla sivustoilla. Tämä tarkoittaa, että sinun on otettava JavaScript käyttöön manuaalisesti jokaisella luotettavalla verkkosivustolla.

Poista JavaScript ja Flash käytöstä

Yksi tehokkaimmista menetelmistä, joilla voit suojautua selaimen sormenjäljiltä, on poistaa JavaScript ja Flash käytöstä.

Kun JavaScript on poistettu käytöstä, verkkosivustot eivät pysty havaitsemaan käyttämiesi aktiivisten liitännäisten ja fonttien luetteloa, eivätkä ne myöskään pysty asentamaan tiettyjä evästeitä selaimeesi.

Javaskriptin poistamisen käytöstä haittapuolena on se, että verkkosivustot eivät aina toimi kunnolla, koska sitä käytetään myös siihen, että verkkosivustot toimivat sujuvasti laitteellasi. Tämä vaikuttaa selauskokemukseesi.

Toisaalta Flash voidaan poistaa käytöstä ilman, että sillä on kielteisiä vaikutuksia käyttökokemukseen. Yleensä Flash vaikuttaa selailukokemukseen vain silloin, kun vierailet hyvin vanhoilla verkkosivustoilla.

Asenna haittaohjelmien torjuntaohjelmisto

Haittaohjelmien torjuntaohjelmisto on aina hyödyllinen riippumatta siitä, etsitkö suojaa yksityisyydeltäsi verkossa vai haluatko vain yleistä suojaa laitteellesi ja henkilökohtaisille tiedostoillesi/tiedoillesi.

Malwarebytes ja HitmanPro ovat molemmat erinomaisia haittaohjelmien torjuntaohjelmistotyökaluja, jotka toimivat saumattomasti virustorjuntaohjelmistojesi rinnalla ja toimivat toisena suojakerroksena.

Useimmissa tapauksissa haittaohjelmien torjuntaohjelmat estävät mainoksia, haitallisia tai ärsyttäviä työkalupalkkeja ja vakoiluohjelmistoja, jotka saattavat pyöriä järjestelmässäsi taustalla.

Nämä ohjelmistotyökalut ja -skriptit kytkeytyvät suoraan selaimessesi sormenjälkesi. On siis parempi pitää selain puhtaana ja poistaa nämä uhat haittaohjelmien torjuntatyökalulla.

Kun asennat haittaohjelmien torjuntatyökalun, ole fiksu ja siirry asetuksiin, jotta voit ottaa käyttöön automaattiset viikoittaiset tai (vähintään) kuukausittaiset koko järjestelmän tarkistukset.

Käytä Tor-selainta

Jos suhtaudut erittäin vakavasti turvalliseen selaamiseen ja selaimen sormenjälkien muodostumisen estämiseen, sinun kannattaa harkita Tor-selaimen (The Onion Router) asentamista.

Parasta olisi käyttää Tor-selainta yhdessä kunnollisen VPN:n kanssa. Koska Tor käyttää tiettyjä oletusasetuksia, jotka ovat identtiset jokaisella käyttäjällä, yksilöllisten selaimen sormenjälkien tunnistaminen on vaikeampaa.

Lisäksi Tor-selain estää aggressiivisesti verkkosivujen JavaScript-koodin.

Tor-selaimen käytön suurin haittapuoli on hidas selausnopeus ja se, että se suojaa vain Tor-selaimen kautta lähetettyä internet-liikennettä eikä muiden, kuten Firefoxin tai Chromen, kautta.

Käytä VPN:ää

Yksi suosituimmista menetelmistä IP-osoitteen piilottamiseen on asentaa virtuaalinen yksityisverkko (Virtual Private Network, VPN).

VPN on ikään kuin välikätenä alla olevan kuvan mukaisesti. Sen sijaan, että ottaisit suoraan yhteyden verkkopalvelimeen, otat ensin yhteyden VPN:n palvelimeen, ja VPN yhdistää sinut verkkosivustolle. Näin IP-osoitteesi jää verkkopalvelimelle tuntemattomaksi.

VPN:n käyttäminen on erittäin tehokas tapa piilottaa IP-osoitteesi, koska verkkopalvelin näkee vain VPN:n IP-osoitteen (jota todennäköisesti käyttävät monet muut käyttäjät).

Mutta IP-osoitteesi on vain yksi osa verkkoidentiteettiäsi.

Riippumatta siitä, minkä IP:n verkkopalvelin näkee, selaimesi asetuksia, versiota ja niin edelleen, jotka tuottavat selaimen yksilöllisiä sormenjälkitietoja, ei VPN voi estää.

Tämä tarkoittaa, että selaimesi tietojen avulla verkkopalvelin voi edelleen tunnistaa sinut yksilölliseksi kävijäksi riippumatta siitä, käytätkö VPN:ää, sillä IP-osoitteesi on vain yksi osa selaimesi sormenjälkiprofiilia.

VPN on loistava keino todellisen IP-osoitteesi piilottamiseen, mutta se ei ole kaikkein tehokkain tapa suojautua selaimesi sormenjäljentäisyydeltä, sillä sormenjälkesi osa ovat myös monet muut ominaisuudet. Yhdessä muiden menetelmien kanssa käytettynä VPN voi kuitenkin olla suureksi avuksi.

Lue lisätietoa VPN:ää käsittelevästä kirjoituksestani.

Loppuajatukseni

Selaimen sormenjälki on vakava uhka internetin yksityisyydelle, ja se menee paljon pidemmälle kuin pelkkä IP-osoitteen tarkistaminen.

Selaimen sormenjälki käyttää laajaa luetteloa tietopisteitä, jotka yhdessä muodostavat selaimesi sormenjäljen. Selaimesi sormenjälki on todennäköisesti erittäin yksilöllinen.

Web-sivustot voivat käyttää yksilöllistä sormenjälkeäsi kerätäkseen ja luodakseen syvällisen henkilökohtaisen tiedoston sivustoista, joilla olet vieraillut, tai kohdistaakseen sinulle hyvin yksilöllisiä mainoksia.

On olemassa erilaisia menetelmiä, joilla voit peittää sormenjälkesi internetissä. Käydään nopeasti läpi tehokkaimmat menetelmät.

  1. Käytä incognito-tilaa
  2. Käytä tietoturvaliitännäisiä
  3. Poista JavaScript ja Flash käytöstä
  4. Asenna haittaohjelmien torjuntatyökalut
  5. Käytä VPN:ää
  6. Käytä Tor-selainta

Kuten on esitetty osiossa ”Testaa selaimesi sormenjälkien tunnistaminen”, selaimellani oli lopulta ainutlaatuinen sormenjälki. Kuitenkin sen jälkeen, kun otin edellä luetellut menetelmät käyttöön, selaimestani tuli huomattavasti suojatumpi sormenjälkiä vastaan.

Kuten alla näkyy, onnistuin vähentämään ainutkertaisuuden tasoa 1:286 777:sta 1:93,25:een, mikä on valtava ero.