مواظب باشید! عادات وب‌گردی بسیار مخفی شما، آنقدرها که تصور می‌کنید، مخفی نمی‌مانند!

[Mohammad Aref 120452]

در آخر هفته پیش، در جریان یک همایش امنیتی و هک در لاس وگاس، دو پژوهشگر مسائل امنیتی آلمانی با نام‌های «سوا اخرت» و «آندره‌آس دوس»، نتیجه یک پژوهش جالب را اعلام کردند که بسیار بحث‌برانگیز شد.

 

منبع برای این خبر سایت بی بی انگلیسی است که خبر را البته به صورت غیرتخصصی و با حذف جزئیات فنی سودمند منتشر کرده است. با این وجود، باز هم کلیات خبر می‌تواند جالب باشد.

 

می‌دانید که ispها لاگ‌ها و سوابق وب‌گردی کاربران را تا مدت مشخصی نگه می‌دارند. بر این اساس، آنها یا مراجعی که آنها را تحت کنترل دارند، گرچه نمی‌توانند متن ایمیل‌های شما را بخوانند، اما میتوانند به آسانی بگویند که کاربر مشخصی، از چه سایت‌هایی بازدید داشته است. (البته در این هم اگر و امای فنی وجود دارد، مثلا اگر از روش‌های «دور زدن» استفاده کنید، تا حدی می‌توانید سوابق وب‌گردی را از isp پنهان نگه دارید. یا وقتی ssl شما در حین گوگل کردن فعال باشد، ظاهرا نمی‌توانند بگویند که چه کلماتی را سرچ کرده‌اید.)

 

اما به جز isp، شرکت‌هایی وجود دارند که برای طرح‌ریزی کارزاری تبلیغاتی آنلاین به دیگر شرکت‌ها اطلاعات می‌فروشند. این اطلاعات شامل سوابق درهم کلیک‌ها و وب‌گردی کاربران است.

 

این اطلاعات وب‌گردی اصولا چطور به دست می‌آیند؟ در واقع افزونه‌هایی که ما روی مرورگرهای ما خود نصب می‌کنیم، چندان هم قابل اعتماد نیستند و این اطلاعات حاصل گردآوری اطلاعات ۱۰ افزونه محبوب بوده است. در واقع کاری که این شرکت‌ها می‌کنند مطابق قوانین اروپا، غیرقانونی است، اما فعلا این شرکت‌ها به این قوانین اعتنا نمی‌کنند یا شاید راه گریز قانونی از این تنگنا را می‌دانند.

 

جالا این دو پژوهشگر به یاری همین اطلاعات توانسته‌اند از رازهای مخفی یک قاضی و یک سیاستمدار پرده بردارند. البته بدون ذکر نام در همایش!

 

آنها متوجه شده‌اند که جناب قاضی علاقه به تماشای پ…ورن آنلاین داشته و فرد سیاستمدار هم تمایل به مواد مخدر خاص داشته و خلاف‌های سایبری انجام می‌داده.

 

همان طور که اشاره کردیم این سوابق کلیک و وب‌گردی، به صورت درهم ارائه می‌شود و ظاهرا قرار نیست که بشود با آن سوابق وب‌گردی را به یک شخص خاص مرتبط کرد، اما در مقام عمل با بررسی این سوابق کارهای جالبی می‌شود کرد.

 

یعنی اگر بتوانیم مجموعه وب‌گردی‌های «عیان» کاربر ایکس را کنار هم بگذاریم، تعیین هویت او ممکن است چیزی شدنی باشد.

 

یک سناریو: کاربر ایکس مرتب از سایت دولتی ایکس بازدید می‌کند. اخبار مورد علاقه‌اش در سایت‌های خبری، شامل اخبار مشخصی است. از روی جستجوهایش برای خرید آنلاین کالا می‌شود حدس زد که کاربری حدودا میانسال با قدرت خرید فلان قدر یورو است. وارد فوروم یا سایت شهرداری مشخصی می‌شود و…

 

آیا با کنار هم نهادن همین اطلاعات به صورت پازلی در کنار هم نمی‌شود گفت که کاربر ایکس، مقام مهمی دارد؟

 

تازه خیلی وقت‌ها تعیین هوبت خیل ساده‌تر است و نیاز به حدس زدن هم ندارد. مثلا تصور کنید که ببینید کاربر ایکس، مرتب وارد صفحه مدیریت یک سایت/وبلاگ/شبکه اجتماعی می‌شود. خب مسلم است که این شخص به احتمال زیاد مالک همین سایت/وبلاگ یا دارند اکانت شبکه اجتماعی است. بعد خیلی راحت است که سوابق وب‌گردی «رمزنگاری نشده» او را بیرون بیاورید و از این طریق به اطلاعاتی در مورد او دست پیدا کنید.

 

در واقع اگر تنها نگرش، نگرش تبلیغاتی صرف باشد، پس از اینکه از این اطلاعات استفاده شد تا به کاربران آگهی‌های آنلاینی نمایش داده شود که برایشان جذاب‌تر است، باید راهکاری هم برای پاک شدن این اطلاعات اتخاذ شود تا این اطلاعات مورد سوء استفاده قرار نگیرند.

 

ما ناخواسته در هنگام وب‌گردی، ردپاهایی از خودمان به جا می‌گذاریم که قابل تشخیص هستند و از همین‌ها می‌شود برای حدس زدن هویت یک کاربر واحد استفاده کرد.

 

حالا تصور کنید که با بررسی اطلاعات بشود سوابق وب‌گردی یک سیاستمدار مهم را پیدا کرد که گرچه به خودی خود قانونی نیستند، اما حاوی جستجوهای اینترنتی یا بازدید از سایت‌هایی هستند که افشای آنها برای عموم، باعتث شرم‌زده شدن فرد شوند. در این صورت حتی امکان اخاذی از شخص وجود دارد.

 

منبع: 1پزشک